Festlegen von Sicherheitsbeschreibungen für neue Verzeichnisobjekte

Wenn Sie ein neues Objekt in Active Directory Domain Services erstellen, können Sie explizit einen Sicherheitsdeskriptor erstellen und dann diesen Sicherheitsdeskriptor als nTSecurityDescriptor-Eigenschaft des Objekts festlegen. Weitere Informationen finden Sie unter Erstellen eines Sicherheitsdeskriptors für ein neues Verzeichnisobjekt.

Active Directory Domain Services die folgenden Regeln verwenden, um die DACL im Sicherheitsdeskriptor des neuen Objekts festzulegen:

  • Wenn Sie beim Erstellen des Objekts explizit einen Sicherheitsdeskriptor angeben, führt das System alle vererbbaren ACEs aus dem übergeordneten Objekt in der angegebenen DACL zusammen, es sei denn, das SE_DACL_PROTECTED Bit ist in den Kontrollbits des Sicherheitsdeskriptors festgelegt.
  • Wenn Sie keinen Sicherheitsdeskriptor angeben, erstellt das System die DACL des Objekts, indem alle vererbbaren ACEs aus dem übergeordneten Objekt in die Standard-DACL aus dem classSchema-Objekt für die Klasse des Objekts zusammengeführt werden.
  • Wenn das Schema keine Standard-DACL aufweist, ist die DACL des Objekts die Standard-DACL aus dem primären Token oder Identitätswechseltoken des Erstellers.
  • Wenn keine angegebene, geerbte oder standardmäßige DACL vorhanden ist, erstellt das System das Objekt ohne DACL, sodass jeder voll auf das Objekt zugreifen kann.

Das System verwendet einen ähnlichen Algorithmus, um eine SACL für ein Verzeichnisdienstobjekt zu erstellen.

Der Besitzer und die primäre Gruppe im Sicherheitsdeskriptor des neuen Objekts werden auf die Werte festgelegt, die Sie beim Erstellen des Objekts in der nTSecurityDescriptor-Eigenschaft angeben. Wenn Sie diese Werte nicht festlegen, Active Directory Domain Services die in der folgenden Tabelle aufgeführten Regeln verwenden, um sie festzulegen.

Regel BESCHREIBUNG
Besitzer Der Besitzer in einem Standardsicherheitsdeskriptor wird auf die Standard-Besitzer-SID aus dem primären Token oder Identitätswechseltoken des Erstellungsprozesses festgelegt. Für die meisten Benutzer ist die Standard-Besitzer-SID identisch mit der SID, die das Konto des Benutzers identifiziert. Beachten Sie, dass für Benutzer, die Mitglieder der integrierten Administratorgruppe sind, das System automatisch die Standard-Besitzer-SID im Zugriffstoken für die Administratorgruppe festlegt. Daher gehören Objekte, die von einem Mitglied der Administratorgruppe erstellt wurden, in der Regel der Administratorgruppe. Um den Standardbesitzer in einem Zugriffstoken abzurufen oder festzulegen, rufen Sie die GetTokenInformation - oder SetTokenInformation-Funktion mit der TOKEN_OWNER-Struktur auf.
Primäre Gruppe Die primäre Gruppe in einem Standardsicherheitsdeskriptor ist auf die standardmäßige primäre Gruppe aus dem primären Oder Identitätswechseltoken des Erstellers festgelegt. Beachten Sie, dass die primäre Gruppe nicht im Kontext von Active Directory Domain Services verwendet wird.

 

Weitere Informationen zur ACE-Vererbung finden Sie unter Vererbung und Delegierung der Verwaltung.

Weitere Informationen zu den Standardsicherheitsdeskriptoren im Schema finden Sie unter Standardsicherheitsdeskriptor.

Weitere Informationen zu classSchema-Objekten finden Sie unter Active Directory-Schema.