Active Directory Domain Servicesにおけるアクセス制御のしくみ
Active Directory Domain Servicesのオブジェクトに対するアクセス制御は、Windows NTおよびWindows 2000のアクセス制御モデルに基づいています。 このモデルとそのコンポーネント (セキュリティ記述子、アクセストークン、SID、ACL、ACEなど) の詳細および詳細な説明については、 「Access Control Model」 を参照してください。
Active Directory Domain Servicesのリソースに対するアクセス特権は、通常、アクセス制御エントリ (ACE) を使用して付与されます。 ACEは、特定のユーザーまたはグループのオブジェクトに対するアクセス許可または監査アクセス許可を定義します。 アクセス制御リスト (ACL) は、オブジェクトに対して定義されているアクセス制御エントリの順序付きコレクションです。 セキュリティ記述子は、Aclを作成および管理するプロパティとメソッドをサポートします。 セキュリティモデルの詳細については、 「セキュリティ」 または 「Windows 2000 Serverリソースキット」 を参照してください。 (このリソースは、一部の言語、国、または地域では利用できません。)
セキュリティモデルの基本的な概要は次のとおりです。
- セキュリティ記述子。 各ディレクトリオブジェクトには、オブジェクトを保護するセキュリティデータを含む独自のセキュリティ記述子があります。 セキュリティ記述子には、随意アクセス制御リスト (DACL) を含めることができます。 DACLには、ACEの一覧が含まれています。 各ACEは、ユーザーまたはグループに対して一連のアクセス権を付与または拒否します。 アクセス権は、プロパティの読み取りや書き込みなど、オブジェクトに対して実行できる操作に対応します。
- セキュリティコンテキスト。 ディレクトリオブジェクトにアクセスすると、アプリケーションは、アクセスを試行しているセキュリティプリンシパルの資格情報を指定します。 認証されると、これらの資格情報によって、セキュリティプリンシパルに関連付けられているグループメンバーシップと特権を含む、アプリケーションのセキュリティコンテキストが決定されます。 セキュリティコンテキストの詳細については、 「セキュリティコンテキストとActive Directory Domain Services」 を参照してください。
- アクセスチェック。 システムは、オブジェクトのセキュリティ記述子によって、操作を試行するセキュリティプリンシパル (またはセキュリティプリンシパルが属するグループ) に必要なアクセス権が付与されている場合にのみ、オブジェクトへのアクセスを許可します。
次の表に、Active Directory Domain Servicesのアクセス制御機能を操作するために使用されるADSIインターフェイスを示します。
Interface | 説明 |
---|---|
IADsSecurityDescriptor | ディレクトリサービスオブジェクトのセキュリティプロパティの読み取りと書き込みに使用されます。 |
IADsAccessControlList | ディレクトリサービスオブジェクトのすべてのACEを管理および列挙するために使用されます。 |
IADsAccessControlEntry | ACEプロパティの読み取りと書き込みに使用されます。 |