Compartilhar via


Como o Controle de Acesso Funciona nos Serviços de Domínio Active Directory

O controle de acesso para objetos nos Serviços de Domínio Active Directory é baseado em modelos de controle de acesso do Windows NT e Windows 2000. Para obter mais informações e uma descrição detalhada desse modelo e de seus componentes, como descritores de segurança, tokens de acesso, SIDs, ACLs e ACEs, consulte Modelo de controle de acesso.

Os privilégios de acesso para recursos nos Serviços de Domínio Active Directory geralmente são concedidos por meio do uso de uma entrada de controle de acesso (ACE). Uma ACE define uma permissão de acesso ou auditoria em um objeto para um usuário ou grupo específico. Uma lista de controle de acesso (ACL) é a coleção ordenada de entradas de controle de acesso definidas para um objeto. Um descritor de segurança oferece suporte a propriedades e métodos que criam e gerenciam ACLs. Para obter mais informações sobre modelos de segurança, consulte Segurança ou o Windows 2000 Server Resource Kit. (Este recurso pode não estar disponível em alguns idiomas e países ou regiões.)

A estrutura básica do modelo de segurança é:

  • Descritor de segurança. Cada objeto de diretório tem seu próprio descritor de segurança que contém dados de segurança que protegem o objeto. O descritor de segurança pode conter uma lista de controle de acesso discricionário (DACL). Uma DACL contém uma lista de ACEs. Cada ACE concede ou nega um conjunto de direitos de acesso a um usuário ou grupo. Os direitos de acesso correspondem às operações, como propriedades de leitura e gravação, que podem ser executadas no objeto.
  • Contexto de segurança. Quando um objeto de diretório é acessado, o aplicativo especifica as credenciais da entidade de segurança que está fazendo a tentativa de acesso. Quando autenticadas, essas credenciais determinam o contexto de segurança do aplicativo, que inclui as associações de grupo e os privilégios associados à entidade de segurança. Para obter mais informações sobre contextos de segurança, consulte Contextos de segurança e Serviços de Domínio Active Directory.
  • Verificação de acesso. O sistema concede acesso a um objeto somente se o descritor de segurança do objeto conceder os direitos de acesso necessários à entidade de segurança que está tentando a operação (ou aos grupos aos quais a entidade de segurança pertence).

A tabela a seguir lista as interfaces ADSI usadas para manipular os recursos de controle de acesso dos Serviços de Domínio Active Directory.

Interface Descrição
IADsSecurityDescritor Usado para ler e gravar propriedades de segurança de um objeto de serviço de diretório.
IADsAccessControlList Usado para gerenciar e enumerar todas as ACEs de um objeto de serviço de diretório.
IADsAccessControlEntry Usado para ler e gravar propriedades ACE.