Funzionamento di Controllo di accesso nei servizi di Dominio di Active Directory
Il controllo di accesso per gli oggetti nei servizi di Dominio di Active Directory si basa su modelli di controllo di accesso di Windows NT e Windows 2000. Per altre informazioni e una descrizione dettagliata di questo modello e dei relativi componenti, ad esempio descrittori di sicurezza, token di accesso, SID, ACL e ACL, vedere Controllo di accesso Modello.
I privilegi di accesso per le risorse in Dominio di Active Directory Services vengono in genere concessi tramite l'uso di una voce di controllo di accesso (ACE). Un ace definisce un'autorizzazione di accesso o controllo per un oggetto per un utente o un gruppo specifico. Un elenco di controllo di accesso (ACL) è la raccolta ordinata di voci di controllo di accesso definite per un oggetto . Un descrittore di sicurezza supporta proprietà e metodi che creano e gestiscono elenchi di controllo di accesso. Per altre informazioni sui modelli di sicurezza, vedere Security or the Windows 2000 Server Resource Kit.For more information about security models, see Security or the Windows 2000 Server Resource Kit. Questa risorsa potrebbe non essere disponibile in alcune lingue e paesi o aree geografiche.
La struttura di base del modello di sicurezza è:
- Descrittore di sicurezza. Ogni oggetto directory ha un descrittore di sicurezza specifico che contiene i dati di sicurezza che proteggono l'oggetto. Il descrittore di sicurezza può contenere un elenco di controllo di accesso discrezionale (DACL). Un daCL contiene un elenco di ACL. Ogni ACE concede o nega un set di diritti di accesso a un utente o a un gruppo. I diritti di accesso corrispondono alle operazioni, ad esempio le proprietà di lettura e scrittura, che possono essere eseguite sull'oggetto .
- Contesto di sicurezza. Quando si accede a un oggetto directory, l'applicazione specifica le credenziali dell'entità di sicurezza che esegue il tentativo di accesso. Quando vengono autenticate, queste credenziali determinano il contesto di sicurezza dell'applicazione, che include le appartenenze ai gruppi e i privilegi associati all'entità di sicurezza. Per altre informazioni sui contesti di sicurezza, vedere Contesti di sicurezza e servizi Dominio di Active Directory.
- Controllo di accesso. Il sistema concede l'accesso a un oggetto solo se il descrittore di sicurezza dell'oggetto concede i diritti di accesso necessari all'entità di sicurezza che tenta l'operazione (o ai gruppi a cui appartiene l'entità di sicurezza).
Nella tabella seguente sono elencate le interfacce ADSI usate per modificare le funzionalità di controllo di accesso di Dominio di Active Directory Services.
Interfaccia | Descrizione |
---|---|
IADsSecurityDescriptor | Utilizzato per leggere e scrivere proprietà di sicurezza di un oggetto servizio directory. |
IADsAccessControlList | Consente di gestire ed enumerare tutti gli ACL per un oggetto servizio directory. |
IADsAccessControlEntry | Utilizzato per leggere e scrivere proprietà ACE. |