Application Directory 파티션 보안

애플리케이션 디렉터리 파티션에 대한 보안 및 액세스 제어 모델은 Active Directory Domain Services 다른 파티션의 경우와 동일합니다. 일반 사용자는 해당 개체에 배치된 ACL에 따라 애플리케이션 디렉터리 파티션의 개체에 액세스할 수 있습니다. 자세한 내용은 Active Directory Domain Services 개체에 대한 액세스 제어를 참조하세요.

그러나 애플리케이션 디렉터리 파티션은 디렉터리 서비스의 여러 보안 도메인에 걸쳐 있을 수 있으므로 애플리케이션 디렉터리 파티션에서 개체를 만들 때 개체의 스키마 클래스의 defaultSecurityDescriptor 에서 도메인에 상대적으로 잘 알려진 SID 문자열 상수를 해석하는 방법에 대한 질문이 발생합니다. 예를 들어 "DA"가 도메인 관리자 그룹을 참조하지만 애플리케이션 디렉터리 파티션에서 "DA" 그룹이 참조하는 도메인을 알 수 없습니다.

이 문제를 해결하기 위해 애플리케이션 디렉터리 파티션의 crossRef 개체에는 해당 애플리케이션 디렉터리 파티션에 대한 참조 도메인의 고유 이름을 포함하는 msDS-SDReferenceDomain 특성이 있습니다. 보안 시스템은 지정된 도메인을 사용하여 해당 애플리케이션 디렉터리 파티션에서 만든 개체에 연결된 기본 보안 설명자에 대한 로컬 도메인 참조를 해석합니다. 애플리케이션 디렉터리 파티션에 대한 crossRef 개체를 만들 때 참조 도메인을 지정할 수 있습니다. 그러나 애플리케이션 디렉터리 파티션에 대해 crossRef 개체를 미리 만들어야 합니다. 참조 도메인을 지정하지 않으면 시스템은 다음 조건 중 하나에 따라 참조 도메인을 자동으로 설정합니다.

• 애플리케이션 디렉터리 파티션 개체의 부모가 다른 애플리케이션 디렉터리 파티션인 경우 부모 애플리케이션 디렉터리 파티션의 msDS-SDReferenceDomain 특성이 참조 도메인에 사용됩니다.
• 부모 개체가 도메인인 경우 해당 도메인은 참조 도메인에 사용됩니다.
• 부모 개체가 없으면 포리스트 루트 도메인이 참조 도메인에 사용됩니다.

파티션을 만든 후 crossRef 특성을 참조 도메인으로 변경할 수도 있지만 권장되지는 않습니다.

애플리케이션 디렉터리 파티션의 개체에 대한 ACL에서 로컬 그룹을 지정하는 경우에도 비슷한 문제가 발생합니다. 이 경우 msDS-SDReferenceDomain 특성을 사용하여 로컬 그룹에 대한 참조 도메인을 해석할 수 없습니다. 이 문제를 방지하려면 애플리케이션 디렉터리 파티션 개체의 ACL에서 로컬 그룹을 사용하면 안 됩니다.