Héritage et délégation d’administration

services de domaine Active Directory prend en charge l’héritage des autorisations dans l’arborescence d’objets pour permettre aux tâches d’administration d’être effectuées à des niveaux plus élevés dans l’arborescence. Cela permet aux administrateurs de configurer des autorisations héritées sur des objets proches de la racine, tels que les unités de domaine et d’organisation, et de distribuer ces autorisations à différents objets de l’arborescence.

L’héritage peut être défini par ACE. Le tableau suivant répertorie les indicateurs qui peuvent être spécifiés dans les AceFlags pour contrôler l’héritage de l’ACE.

Indicateur Description
ADS_ACEFLAG_INHERIT_ACE
Provoque l’héritage de l’ACE vers le bas dans l’arborescence.
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE
Entraîne l’héritage de l’ACE vers le bas d’un seul niveau dans l’arborescence.
ADS_ACEFLAG_INHERIT_ONLY_ACE
Fait que l’ACE est ignoré sur l’objet sur lequel il est spécifié, qu’il est hérité vers le bas uniquement et qu’il soit effectif là où il a été hérité.

En plus de définir l’héritage, services de domaine Active Directory prend en charge l’héritage spécifique à l’objet. Cela permet aux ACE pouvant être hérités dans l’arborescence, mais d’être efficaces uniquement sur un type spécifique d’objet. Cela est extrêmement utile pour déléguer l’administration. Par exemple, cela peut être utilisé pour définir une ace héritée spécifique à un objet au niveau d’une unité d’organisation qui permet à un groupe d’avoir un contrôle total sur tous les objets utilisateur de l’unité d’organisation, mais rien d’autre. Ainsi, la gestion des utilisateurs de cette unité d’organisation est déléguée aux utilisateurs de ce groupe.

Délégation de l’administration des services avec des groupes de sécurité

Utilisez des groupes de sécurité pour définir et déléguer les rôles d’administration associés à votre serveur d’applications. Par exemple, votre service peut être associé à un groupe MyService Administrators. Les utilisateurs identifiés comme administrateurs MyService seront ajoutés au groupe Administrateurs MyService. Le programme d’installation de MyService peut définir des listes de contrôle d’accès sur le répertoire pour permettre aux administrateurs MyService de lire/écrire des attributs liés à MyService ou de créer des objets spécifiques à MyService, par exemple.

Rôles dans les groupes de sécurité pour les ordinateurs exécutant votre service

Utilisez des groupes de sécurité pour définir l’ensemble des ordinateurs auxquels l’accès aux objets de votre service est accordé dans l’annuaire. Par exemple, votre service peut être associé à un groupe Serveurs MyService. Tous les ordinateurs exécutant le serveur MyService sont ajoutés au groupe Serveurs MyService et ce groupe peut ensuite avoir accès aux parties du répertoire où les serveurs MyService doivent lire/écrire des données. Le programme d’installation de MyService peut définir des listes de contrôle d’accès sur le répertoire pour permettre aux serveurs MyService d’avoir des autorisations suffisantes pour lire/écrire des attributs liés à MyService ou créer des objets spécifiques à MyService, par exemple.