Condividi tramite

Modalità di utilizzo dei gruppi di sicurezza in Controllo di accesso

  • Articolo

L'identificatore di sicurezza (SID) è l'identificatore dell'oggetto dell'utente o del gruppo di sicurezza quando l'utente o il gruppo viene usato a scopo di sicurezza. Il nome dell'utente o del gruppo non viene usato come identificatore univoco all'interno del sistema. Il SID viene archiviato nell'attributo objectSid degli oggetti utente e degli oggetti del gruppo di sicurezza. Il server Active Directory genera l'oggettoSid quando viene creato l'utente o il gruppo. Il sistema garantisce che i SID siano univoci in una foresta. Tenere presente che objectGuid è l'identificatore univoco di un utente, di un gruppo o di qualsiasi altro oggetto directory. Il SID cambia se un utente o un gruppo viene spostato in un altro dominio; objectGuid rimane invariato.

Quando a un utente o a un gruppo viene concessa l'autorizzazione per accedere a una risorsa, ad esempio una stampante o una condivisione file, il SID dell'utente o del gruppo viene aggiunto alla voce di controllo di accesso (ACE) che definisce l'autorizzazione concessa nell'elenco di controllo di accesso discrezionale (DACL) della risorsa. In Dominio di Active Directory Services ogni oggetto ha un attributo nTSecurityDescriptor che archivia un DACL che definisce l'accesso a quel particolare oggetto o attributi su tale oggetto. Per altre informazioni sull'impostazione del controllo di accesso sugli oggetti in Dominio di Active Directory Services, vedere Controllo dell'accesso agli oggetti in Dominio di Active Directory Services.

Quando un utente accede a un dominio di Windows 2000, il sistema operativo genera un token di accesso. Questo token di accesso viene usato per determinare le risorse a cui l'utente può accedere. Il token di accesso utente include i dati seguenti:

  • SID utente.
  • SID di tutti i gruppi di sicurezza globali e universali di cui l'utente è membro.
  • SID di tutti i gruppi di sicurezza globali e universali annidati.

Ogni processo eseguito per conto di questo utente ha una copia di questo token di accesso.

Quando l'utente tenta di accedere alle risorse in un computer, il servizio tramite il quale l'utente accede alla risorsa rappresenta l'utente creando un nuovo token di accesso in base al token di accesso creato al momento dell'accesso utente. Questo nuovo token di accesso conterrà anche i SID seguenti:

  • SID per tutti i gruppi locali di dominio nel dominio di destinazione di cui l'utente è membro.
  • SID per tutti i gruppi locali del computer nel computer di destinazione di cui l'utente è membro.

Il servizio usa questo nuovo token di accesso per valutare l'accesso alla risorsa. Se un SID nel token di accesso viene visualizzato in qualsiasi ACL nell'elenco di controllo di accesso, il servizio concede all'utente le autorizzazioni specificate in tali ACL.