Vererbung und Delegierung der Verwaltung
Active Directory Domain Services unterstützt die Vererbung von Berechtigungen in der Objektstruktur, damit Verwaltungsaufgaben auf höheren Ebenen in der Struktur ausgeführt werden können. Dadurch können Administratoren vererbbare Berechtigungen für Objekte in der Nähe des Stammes einrichten, z. B. Domänen- und Organisationseinheiten, und diese Berechtigungen auf verschiedene Objekte in der Struktur verteilen.
Die Vererbung kann auf ACE-Basis festgelegt werden. In der folgenden Tabelle sind Flags aufgeführt, die in den AceFlags angegeben werden können, um die Vererbung des ACE zu steuern.
Flag | Beschreibung |
---|---|
ADS_ACEFLAG_INHERIT_ACE |
Bewirkt, dass der ACE in der Struktur vererbt wird. |
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Bewirkt, dass der ACE nur eine Ebene in der Struktur vererbt wird. |
ADS_ACEFLAG_INHERIT_ONLY_ACE |
Bewirkt, dass der ACE für das Objekt ignoriert wird, für das er angegeben wird, nur vererbt wird und dort wirksam wird, wo es geerbt wurde. |
Zusätzlich zum Festlegen der Vererbung unterstützt Active Directory Domain Services objektspezifische Vererbung. Dadurch können die vererbbaren ACEs in der Struktur vererbt werden, aber nur für einen bestimmten Objekttyp wirksam sein. Dies ist bei der Delegierung der Verwaltung äußerst nützlich. Dies kann beispielsweise verwendet werden, um einen objektspezifischen vererbbaren ACE in einer Organisationseinheit festzulegen, der es einer Gruppe ermöglicht, die volle Kontrolle über alle Benutzerobjekte in der Organisationseinheit zu haben, aber nichts anderes. Dadurch wird die Verwaltung der Benutzer in dieser Organisationseinheit an die Benutzer in dieser Gruppe delegiert.
Delegieren der Dienstverwaltung mit Sicherheitsgruppen
Verwenden Sie Sicherheitsgruppen, um Administratorrollen zu definieren und zu delegieren, die Ihrem Anwendungsserver zugeordnet sind. Beispielsweise kann Ihr Dienst einer Gruppe MyService-Administratoren zugeordnet sein. Benutzer, die als MyService-Administratoren identifiziert sind, werden der Gruppe MyService-Administratoren hinzugefügt. Das Setupprogramm für MyService kann ACLs für das Verzeichnis festlegen, um MyService-Administratoren ausreichende Berechtigungen zum Lesen/Schreiben von MyService-bezogenen Attributen oder zum Erstellen von MyService-spezifischen Objekten zu ermöglichen.
Rollen in Sicherheitsgruppen für Computer, auf denen Ihr Dienst ausgeführt wird
Verwenden Sie Sicherheitsgruppen, um die Gruppe von Computern zu definieren, denen Zugriff auf die Objekte Ihres Diensts im Verzeichnis gewährt wird. Beispielsweise kann Ihr Dienst einer Gruppe MyService Servers zugeordnet sein. Alle Computer, auf denen der MyService-Server ausgeführt wird, werden der Gruppe MyService Servers hinzugefügt, und dieser Gruppe kann dann Zugriff auf Teile des Verzeichnisses gewährt werden, in dem MyService-Server Daten lesen/schreiben müssen. Das Setupprogramm für MyService kann ACLs für das Verzeichnis festlegen, um MyService Servers ausreichende Berechtigungen zum Lesen/Schreiben von MyService-bezogenen Attributen oder zum Erstellen von MyService-spezifischen Objekten zu ermöglichen.