Freigeben über


Steuern von Zugriffsrechten (AD DS)

Alle Objekte in Active Directory Domain Services unterstützen einen Standardsatz von Zugriffsrechten, die in der ADS_RIGHTS_ENUM-Enumeration definiert sind. Diese Zugriffsrechte können im Access Control Entries (ACEs) des Sicherheitsdeskriptors eines Objekts verwendet werden, um den Zugriff auf das Objekt zu steuern. Das heißt, um zu steuern, wer Standardvorgänge ausführen kann, z. B. das Erstellen und Löschen untergeordneter Objekte oder das Lesen und Schreiben der Objektattribute. Für einige Objektklassen kann es jedoch wünschenswert sein, den Zugriff auf eine Weise zu steuern, die von den Standardzugriffsrechten nicht unterstützt wird. Um dies zu erleichtern, Active Directory Domain Services zulassen, dass der Standardzugriffssteuerungsmechanismus über das controlAccessRight-Objekt erweitert wird.

Kontrollzugriffsrechte werden auf drei Arten verwendet:

  • Für erweiterte Rechte, bei denen es sich um besondere Vorgänge handelt, die nicht durch den Standardsatz von Zugriffsrechten abgedeckt sind. Beispielsweise kann der Benutzerklasse ein "Send As"-Recht gewährt werden, das von Exchange, Outlook oder einer anderen E-Mail-Anwendung verwendet werden kann, um zu bestimmen, ob ein bestimmter Benutzer E-Mails in ihrem Namen von einem anderen Benutzer senden kann. Erweiterte Rechte werden für controlAccessRight-Objekte erstellt, indem das attribut validAccesses auf das Zugriffsrecht ADS_RIGHT_DS_CONTROL_ACCESS (256) festgelegt wird.

  • Zum Definieren von Eigenschaftssätzen, um den Steuern des Zugriffs auf eine Teilmenge der Attribute eines Objekts und nicht nur auf die einzelnen Attribute zu ermöglichen. Mithilfe der Standardzugriffsrechte kann ein einzelner ACE den Zugriff auf alle Attribute eines Objekts oder auf ein einzelnes Attribut gewähren oder verweigern. Kontrollzugriffsrechte bieten eine Möglichkeit für einen einzelnen ACE, den Zugriff auf eine Gruppe von Attributen zu steuern. Beispielsweise unterstützt die Benutzerklasse den Eigenschaftssatz Personal-Information , der Attribute wie Straßenadresse und Telefonnummer enthält. Eigenschaftensatzrechte werden für controlAccessRight-Objekte erstellt, indem das attribut validAccesses so festgelegt wird, dass es sowohl die Zugriffsrechte ACTR_DS_READ_PROP (16) als auch die ACTRL_DS_WRITE_PROP (32) enthält.

  • Für überprüfte Schreibvorgänge, um zu verlangen, dass das System eine Wertüberprüfung oder -überprüfung durchführt, die über die vom Schema erforderliche hinausgeht, bevor ein Wert in ein Attribut für ein DS-Objekt geschrieben wird. Dadurch wird sichergestellt, dass der für das Attribut eingegebene Wert der erforderlichen Semantik entspricht, sich innerhalb eines rechtlichen Wertebereichs befindet oder einer anderen speziellen Überprüfung unterzogen wird, die für einen einfachen Schreibvorgang auf niedriger Ebene in das Attribut nicht durchgeführt wird. Ein überprüfter Schreibvorgang ist einer speziellen Berechtigung zugeordnet, die sich von der Berechtigung "Attribut> schreiben<" unterscheidet, mit der jeder Wert in das Attribut geschrieben werden kann, ohne dass eine Wertüberprüfung durchgeführt wird. Der überprüfte Schreibzugriff ist die einzige der drei Kontrollzugriffsrechte, die nicht als neues Steuerungszugriffsrecht für eine Anwendung erstellt werden können. Dies liegt daran, dass das vorhandene System nicht programmgesteuert geändert werden kann, um die Überprüfung zu erzwingen. Wenn ein Kontrollzugriffsrecht im System als überprüfter Schreibvorgang eingerichtet wurde, enthält das validAccesses-Attribut für die controlAccessRight-Objekte das Zugriffsrecht ADS_RIGHT_DS_SELF (8).

    Im Windows 2000 Active Directory-Schema sind nur drei überprüfte Schreibvorgänge definiert:

    • Self-Membership Berechtigung für ein Group-Objekt, wodurch das Konto des Aufrufers, aber kein anderes Konto hinzugefügt oder aus der Mitgliedschaft einer Gruppe entfernt werden kann.
    • Die Berechtigung Validate-DNS-Host-Name für ein Computerobjekt ermöglicht das Festlegen eines DNS-Hostnamen-Attributs, das mit dem Computernamen und domänennamen kompatibel ist.
    • Validate-SPN-Berechtigung für ein Computerobjekt, mit der ein SPN-Attribut festgelegt werden kann, das mit dem DNS-Hostnamen des Computers kompatibel ist.

Der Einfachheit halber wird jedes Steuerelementzugriffsrecht durch ein controlAccessRight-Objekt im Extended-Rights Container der Configuration-Partition dargestellt, obwohl Eigenschaftensätze und überprüfte Schreibvorgänge nicht als erweiterte Rechte gelten. Da der Konfigurationscontainer über die gesamte Gesamtstruktur repliziert wird, werden Die Steuerungsrechte auf alle Domänen in einer Gesamtstruktur verteilt. Es gibt eine Reihe vordefinierter Kontrollzugriffsrechte, und natürlich können auch benutzerdefinierte Zugriffsrechte definiert werden.

Alle Steuerungszugriffsrechte können im ACL-Editor als Berechtigungen angezeigt werden.

Weitere Informationen und ein C++- und Visual Basic-Codebeispiel, mit dem ein ACE zum Steuern des Lese-/Schreibzugriffs auf einen Eigenschaftensatz festgelegt wird, finden Sie unter Beispielcode zum Festlegen eines ACE für ein Verzeichnisobjekt.

Weitere Informationen zur Verwendung von Steuerelementzugriffsrechten zum Steuern des Zugriffs auf spezielle Vorgänge finden Sie unter: