Seguridad de particiones del directorio de aplicaciones
El modelo de seguridad y control de acceso para las particiones de directorio de aplicaciones es el mismo que para otras particiones de Servicios de dominio de Active Directory. Los usuarios normales pueden acceder a objetos de una partición de directorio de aplicación sujeto a las ACL colocadas en esos objetos. Para obtener más información, vea Controlar el acceso a objetos en Servicios de dominio de Active Directory.
Sin embargo, dado que las particiones de directorio de aplicaciones pueden abarcar varios dominios de seguridad en un servicio de directorio, surge la pregunta de cómo interpretar constantes de cadena de SID conocidas relativas al dominio en el defaultSecurityDescriptor de la clase de esquema de un objeto en el momento de la creación de objetos en una partición de directorio de aplicación. Por ejemplo, si "DA" hace referencia al grupo de administradores de dominio, pero en una partición de directorio de aplicación, no se sabe a qué dominio hace referencia el grupo "DA".
Para solucionar este problema, el objeto crossRef de una partición de directorio de aplicación tiene un atributo msDS-SDReferenceDomain que contiene el nombre distintivo del dominio de referencia para esa partición de directorio de aplicación. El sistema de seguridad usa el dominio especificado para interpretar las referencias de dominio local para los descriptores de seguridad predeterminados asociados a los objetos creados en esa partición de directorio de aplicación. El dominio de referencia se puede especificar cuando se crea el objeto crossRef para una partición de directorio de aplicación. Sin embargo, esto requiere que se cree previamente un objeto crossRef para la partición del directorio de la aplicación. Si no se especifica ningún dominio de referencia, el sistema establece automáticamente el dominio de referencia en función de una de las condiciones siguientes:
- Si el elemento primario del objeto de partición del directorio de la aplicación es otra partición de directorio de aplicación, se usa el atributo msDS-SDReferenceDomain de la partición del directorio de la aplicación principal para el dominio de referencia.
- Si el objeto primario es un dominio, ese dominio se usa para el dominio de referencia.
- Si no hay ningún objeto primario, se usa el dominio raíz del bosque para el dominio de referencia.
El atributo crossRef también se puede cambiar al dominio de referencia después de crear la partición, pero no se recomienda.
Se produce un problema similar si se especifica un grupo local en una ACL para un objeto en una partición de directorio de aplicación. En este caso, no se puede usar el atributo msDS-SDReferenceDomain para interpretar el dominio de referencia de un grupo local. Para evitar este problema, los grupos locales no deben usarse en las ACL de los objetos de partición del directorio de la aplicación.