制御アクセス権の作成
Active Directoryサーバーに制御アクセス権を追加するには、以下の手順で作成します。 コントロールアクセス右 オブジェクトをコンフィギュレーション・パーティションのExtended-Rightsコンテナに追加します。 詳細とコード例については 制御アクセス権を作成するコード例. 制御アクセス権を使用するには、制御アクセス権が特別な操作のためのものか、プロパティセットのためのものかに応じて、さらにいくつかのステップを完了しなければならない。
プロパティセットに制御アクセス権を定義する場合は ライツGUID の コントロールアクセス右 オブジェクトを使用して、セット内のプロパティを識別します。 すべてのプロパティは 属性スキーマ オブジェクトを作成する。 について 属性SecurityGUID プロパティ 属性スキーマ オブジェクトは、そのプロパティが属するプロパティセットがあれば、それを識別します。 ということに注意してください。 属性SecurityGUID プロパティは単一値で、GUID をバイナリ形式(オクテット文字列構文)で格納します。
制御アクセス権を定義して特定の操作へのアクセスに制限をかける場合、アプリケーションはユーザーがその操作を試行したときにアクセスチェックを実行する必要があります。
アクセスチェックを設定するには
- アプリケーションまたはサービスへのアクセスタイプを定義する制御アクセス権を作成します。 詳しくは以下のコード例を参照。
- 保護するアプリケーション、サービス、またはリソースを表す Active Directory Domain Services オブジェクトを作成します。
- オブジェクト・セキュリティ記述子の DACL にオブジェクト ACE を追加して、そのオブジェクトに対する制御アクセス権をユーザーまたはグループに付与または拒否する。 詳しくは オブジェクトのACLに制御アクセス権ACEを設定する.
- ユーザーが操作を実行しようとしたら、オブジェクト・セキュリティ記述子とユーザー・アクセストークンを AccessCheckByTypeResultList 機能. 詳しくは オブジェクトのACLで制御アクセス権をチェックする.
オブジェクトに対するアクセスチェックの結果に基づいて、アプリケーションまたはサービスは、アプリケーションまたはサービスに対するユーザーのアクセスを許可または拒否することができる。
を作成する。 コントロールアクセス右 オブジェクトをActive DirectoryドメインサービスとWindowsセキュリティシステムによって認識される合法的な制御アクセス権にするには、次の表に示す属性を設定します。
| 属性 | 説明 |
|---|---|
| cn | Extended-Rights コンテナ内のオブジェクトの相対識別名(RDN)である単一値のプロパティ。 について cn は、Active Directoryドメインサービスにおけるアクセス制御権の名前である。 |
| appliesTo | アクセス制御権が適用されるオブジェクトクラスを列挙する多値プロパティ。 例えば 送信 アクセス制御権は ユーザー そして コンピュータ オブジェクト・クラスを 適用対象 プロパティ. リストでは、各オブジェクト・クラスは スキーマIDGUID その クラススキーマ オブジェクト. GUIDは、次のような形式の文字列として格納される。 文字列FromGUID2 関数を COM ライブラリに追加するが、開始と終了の中括弧({ })は付けない。 例えば、以下のGUIDは スキーマIDGUID のために コンピュータ class: bf967a86-0de6-11d0-a285-00aa003049e2. ということに注意してください。 スキーマIDGUID プロパティの クラススキーマ オブジェクトは、オクテット文字列構文を使ったバイナリGUIDとして格納される。 このオクテット文字列フォーマットを 適用対象 プロパティを使用します。 文字列FromGUID2 関数を呼び出して、返された文字列から中括弧を取り除く。 についての詳細は スキーマIDGUID のような定義済みのオブジェクト・クラスのプロパティの1つである。 ユーザー ユーザー コンピュータ, の Active Directory スキーマリファレンスにあるクラスリファレンスのページを参照してください。 Active Directoryドメインサービスのリファレンス. を取得するコード例と詳細については、こちらをご覧ください。 スキーマIDGUID を参照してください。 attributeSchemaオブジェクトとclassSchemaオブジェクトの読み込み. |
| displayName | などのユーザーインターフェイスでアクセス制御権を表示するために使用される文字列。 セキュリティ プロパティページや、Active Directory Users and Computers MMCスナップインの他の場所にある。 |
| rightsGuid | ACE内の制御アクセス権を識別するGUID。 GUIDは、次のような形式の文字列として格納される。 文字列FromGUID2 関数の開始ブレースと終了ブレースを除いたものである。 Uuidgen.exeまたは他のユーティリティを使用して、制御アクセス権のGUIDを生成する。 ライツガイド の コントロールアクセス右 オブジェクトを使用して、セット内のプロパティを識別します。 プロパティ・セット内の各プロパティについて、プロパティの 属性SecurityGUID 値をプロパティ・セットの ライツGUID. 物件の 属性SecurityGUID 値はプロパティの 属性スキーマ の定義をActive Directoryスキーマに追加する。 について 属性SecurityGUID プロパティは単一値で、GUID をバイナリ形式(オクテット文字列構文)で格納します。 |
| objectClass | この属性は以下を指定する。 コントロールアクセス右 をオブジェクト・クラスとする。 |
| 有効アクセス数 | プロパティ・セットの場合、この属性を 0x30 に設定する。 (ads_right_ds_read_prop | ads_right_ds_read_prop). アクセス権を制御する場合は、この属性を 0x100 に設定します。 (ADS_RIGHT_DS_CONTROL_ACCESS). セキュリティプロパティページは、以下の場合にのみ制御アクセス権を認識します。 有効アクセス数 属性が適切な値に設定される。 ゼロの場合、制御アクセス権は無視されるか、セキュリティプロパティページによって表示されない。 |
定義済みのスキーマクラスは ローカライゼーションDisplayId 属性は コントロールアクセス右 オブジェクトを使用して、Dssec からローカライズされた表示名を取得するために使用されるメッセージ識別子を指定する。dll. を設定しないでください。 ローカライゼーションDisplayId 属性を定義する。 コントロールアクセス右 オブジェクト.