Ereditarietà e delega di Amministrazione istration

Dominio di Active Directory Services supporta l'ereditarietà delle autorizzazioni verso il basso nell'albero degli oggetti per consentire l'esecuzione delle attività di amministrazione a livelli superiori nell'albero. In questo modo gli amministratori possono configurare autorizzazioni ereditabili per gli oggetti vicino alla radice, ad esempio le unità di dominio e dell'organizzazione, e disporre di tali autorizzazioni distribuite a vari oggetti nell'albero.

L'ereditarietà può essere impostata su base ACE. Nella tabella seguente sono elencati i flag che possono essere specificati in AceFlags per controllare l'ereditarietà dell'ace.

Flag Descrizione
ADS_ACEFLAG_INHERIT_ACE
Fa sì che l'ace venga ereditato nell'albero.
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE
Fa sì che l'ace venga ereditato solo un livello nell'albero.
ADS_ACEFLAG_INHERIT_ONLY_ACE
Fa sì che l'ace venga ignorato sull'oggetto su cui è specificato, venga ereditato solo inattivo ed efficace in cui sia stato ereditato.

Oltre a impostare l'ereditarietà, Dominio di Active Directory Services supporta l'ereditarietà specifica dell'oggetto. In questo modo gli ACL ereditabili devono essere ereditati nell'albero, ma essere efficaci solo su un tipo specifico di oggetto. Questo è estremamente utile per delegare l'amministrazione. Ad esempio, questo può essere usato per impostare un ace ereditabile specifico dell'oggetto in un'unità organizzativa che consente a un gruppo di avere il controllo completo su tutti gli oggetti utente nell'unità organizzativa, ma nient'altro. Di conseguenza, la gestione degli utenti in tale unità organizzativa viene delegata agli utenti di tale gruppo.

Delega dell'Amministrazione del servizio con i gruppi di sicurezza

Usare i gruppi di sicurezza per definire e delegare i ruoli amministrativi associati al server applicazioni. Ad esempio, il servizio può essere associato a un gruppo MyService Amministrazione istrators. Gli utenti identificati come amministratori di MyService verranno aggiunti al gruppo MyService Amministrazione istrators. Il programma di installazione per MyService può impostare elenchi di controllo di accesso nella directory per abilitare myService Amministrazione istrator autorizzazioni sufficienti per leggere/scrivere attributi correlati a MyService o creare oggetti specifici di MyService, ad esempio.

Ruoli nei gruppi di sicurezza per i computer che eseguono il servizio

Usare i gruppi di sicurezza per definire il set di computer a cui viene concesso l'accesso agli oggetti del servizio nella directory. Ad esempio, il servizio può essere associato a un gruppo Server MyService. Tutti i computer che eseguono il server MyService vengono aggiunti al gruppo Server MyService e a questo gruppo può quindi essere concesso l'accesso a parti della directory in cui i server MyService devono leggere/scrivere dati. Il programma di installazione per MyService può impostare elenchi di controllo di accesso nella directory per abilitare i server MyService autorizzazioni sufficienti per la lettura/scrittura di attributi correlati a MyService o creare oggetti specifici di MyService, ad esempio.