Администрирование управления доступом
В ADAM (Active Directory Application Mode) доступом можно управлять на уровне раздела каталога с помощью назначения членства пользователей группам на основе ролей, находящимся в каждом разделе. Управление доступом в ADAM можно настроить пообъектно, используя средство командной строки dsacls. При администрировании управления доступом в ADAM рекомендуется назначать разрешения участникам безопасности Windows и избегать назначения разрешений встроенным участникам безопасности.
Дополнительные сведения о средстве командной строки dsacls см в разделе Dsacls.
Параметры таблиц управления доступом (ACL) по умолчанию
По умолчанию ADAM предоставляет параметры таблиц управления доступом (ACL) для каждого раздела каталога. Также по умолчанию все объекты данного раздела наследуют эти параметры ACL по умолчанию. Чтобы настроить управление доступом, можно:
- Изменить параметры таблиц ACL по умолчанию для объектов
раздела.
- Установить новые параметры таблиц ACL для отдельных
объектов.
- Изменить параметры наследования для отдельных объектов.
Таблицу, в которой содержится описание доступа по умолчанию, предоставляемого каждой группе ADAM по умолчанию, см. в разделе Общие сведения о пользователях и группах ADAM.
Сведения о просмотре и установке разрешений для объекта см. в разделе Просмотр или установка разрешений на доступ к объекту каталога.
Примечание | |
В ADAM администратор ADAM или пользователь, обладающий достаточными правами доступа в группе администраторов, может удалять учетные записи членов из группы администраторов ADAM. При этом возможна ситуация, когда ADAM может остаться без действующих администраторов. В случае возникновения такой ситуации назначенный администратор ADAM, являясь владельцем группы администраторов, может повторно заполнить группу администраторов ADAM соответствующими учетными записями. |
Особые механизмы авторизации
В некоторых приложениях может использоваться особая схема авторизации. Даже используя особую схему авторизации, ADAM продолжает выполнять проверку подлинности пользователей, однако приложение, приложение, поддерживающее службу каталогов, управляет своим собственным набором данных авторизации. Даже используя особую схему авторизации, ADAM продолжает применять параметры таблицы ACL для объектов ADAM. Таким образом, если приложение использует свою собственную схему авторизации, может оказаться необходимым назначить более слабые разрешения для всех объектов ADAM, чтобы разрешения ADAM не конфликтовали со схемой авторизации этого приложения. Если в ADAM будут использоваться более слабые разрешения, то необходимо предотвратить возможность получения клиентами доступа к ADAM посредством использования протокола LDAP (Lightweight Directory Access Protocol), что позволяет избежать особых механизмов авторизации.
Авторизация на основе ролей
В среде Windows Server 2003 один из способов получения приложением, поддерживающим службу каталогов, доступа к объектам каталога является использование авторизации на основе ролей, альтернативной управлению доступом на основе таблиц ACL. В этом случае приложение, поддерживающее службу каталогов, управляет всем доступом к данным каталога, не используя возможности протокола LDAP. ADAM же просто используется как хранилище данных. Дополнительные сведения об авторизации на основе ролей в Windows Server 2003 см. на на веб-узле Microsoft MSDN.
Примечание | |
При использовании ADAM в качестве хранилища данных авторизации необходимо импортировать файл ms-azman.ldf в схему ADAM. Файл ms-azman.ldf можно импортировать с помощью мастера установки ADAM в процессе установки, используя средство командной строки ldifde. Дополнительные сведения см. в разделе Импорт LDIF-файлов во время установки. |
Участники безопасности Windows
По умолчанию участники безопасности Windows, прошедшие проверку подлинности, могут только читать объекты в разделе каталога схемы. Чтобы предоставить участникам безопасности Windows, прошедшим проверку подлинности, право на чтение любых других объектов, можно назначить разрешения на доступ к объектам для хорошо известного идентификатора безопасности (SID) пользователя, прошедшего проверку подлинности. Можно назначить разрешение на чтение для всего раздела каталога, включив пользователя, прошедшего проверку подлинности в группу, имеющую разрешение на чтение этого раздела каталога. Можно также предоставить разрешения на чтение на основе пообъектного подхода, используя средство dsacls.
Рекомендации по назначению разрешений
Несмотря на то, что имеется возможность назначить разрешения на доступ к объектам встроенным участникам безопасности, рекомендуется этого не делать. Встроенные участники безопасности представляют собой группы пользователей, определенные системой безопасности. Эти встроенные группы представляются в форме BUILTIN\имя_группы. Например, встроенная группа «Администраторы» (SID S-1-5-32-544) имеется на каждом компьютере. Если назначение разрешений для определенного объекта сделаны для встроенной группы «Администраторы», то цель такого назначения не всегда может быть определена. Другими словами, ADAM не всегда сможет определить, принадлежит ли участник безопасности, требующий доступ к объекту, встроенной группе «Администраторы», для которой предполагалось назначить разрешение.
Также возможно назначить разрешения на доступ к объектам хорошо известным участникам безопасности. Известные участники безопасности относятся к специальным группам, определенным в рамках системы безопасности, включая такие группы, как «Все», «Локальная система», «Администраторы», «Прошедшие проверку», «Создатель-владелец» и другие. В основном считается допустимым назначать разрешения на доступ к объектам любым из следующих известных участников безопасности:
- Анонимный вход (после учета возможных последствий для
безопасности)
- Прошедшие проверку (S-1-5-11)
- Сеть (S-1-5-2)
- Интерактивные (S-1-5-4)
- Создатель-владелец (S-1-3-0)
- Self (S-1-5-10)
Рекомендуется избегать назначения разрешений на доступ к объектам следующим известным участникам безопасности:
- Сетевая служба (S-1-5-20)
- Локальная служба (S-1-5-19)
- Локальная система (S-1-5-18)
Назначение разрешений на доступ к объектам любым другим известным участникам безопасности должны производиться в зависимости от ситуации с учетом потребностей приложения.