По умолчанию ADAM предоставляет параметры таблиц управления доступом (ACL) для каждого раздела каталога. Также по умолчанию все объекты данного раздела наследуют эти параметры ACL по умолчанию. Чтобы настроить управление доступом, можно:

• Изменить параметры таблиц ACL по умолчанию для объектов раздела.
  
  
• Установить новые параметры таблиц ACL для отдельных объектов.
  
  
• Изменить параметры наследования для отдельных объектов.
  
  

Таблицу, в которой содержится описание доступа по умолчанию, предоставляемого каждой группе ADAM по умолчанию, см. в разделе Общие сведения о пользователях и группах ADAM.

Сведения о просмотре и установке разрешений для объекта см. в разделе Просмотр или установка разрешений на доступ к объекту каталога.

Примечание

В ADAM администратор ADAM или пользователь, обладающий достаточными правами доступа в группе администраторов, может удалять учетные записи членов из группы администраторов ADAM. При этом возможна ситуация, когда ADAM может остаться без действующих администраторов. В случае возникновения такой ситуации назначенный администратор ADAM, являясь владельцем группы администраторов, может повторно заполнить группу администраторов ADAM соответствующими учетными записями.

Особые механизмы авторизации

Авторизация на основе ролей

В среде Windows Server 2003 один из способов получения приложением, поддерживающим службу каталогов, доступа к объектам каталога является использование авторизации на основе ролей, альтернативной управлению доступом на основе таблиц ACL. В этом случае приложение, поддерживающее службу каталогов, управляет всем доступом к данным каталога, не используя возможности протокола LDAP. ADAM же просто используется как хранилище данных. Дополнительные сведения об авторизации на основе ролей в Windows Server 2003 см. на на веб-узле Microsoft MSDN.

	Примечание
	При использовании ADAM в качестве хранилища данных авторизации необходимо импортировать файл ms-azman.ldf в схему ADAM. Файл ms-azman.ldf можно импортировать с помощью мастера установки ADAM в процессе установки, используя средство командной строки ldifde. Дополнительные сведения см. в разделе Импорт LDIF-файлов во время установки.

По умолчанию участники безопасности Windows, прошедшие проверку подлинности, могут только читать объекты в разделе каталога схемы. Чтобы предоставить участникам безопасности Windows, прошедшим проверку подлинности, право на чтение любых других объектов, можно назначить разрешения на доступ к объектам для хорошо известного идентификатора безопасности (SID) пользователя, прошедшего проверку подлинности. Можно назначить разрешение на чтение для всего раздела каталога, включив пользователя, прошедшего проверку подлинности в группу, имеющую разрешение на чтение этого раздела каталога. Можно также предоставить разрешения на чтение на основе пообъектного подхода, используя средство dsacls.

Несмотря на то, что имеется возможность назначить разрешения на доступ к объектам встроенным участникам безопасности, рекомендуется этого не делать. Встроенные участники безопасности представляют собой группы пользователей, определенные системой безопасности. Эти встроенные группы представляются в форме BUILTIN\имя_группы. Например, встроенная группа «Администраторы» (SID S-1-5-32-544) имеется на каждом компьютере. Если назначение разрешений для определенного объекта сделаны для встроенной группы «Администраторы», то цель такого назначения не всегда может быть определена. Другими словами, ADAM не всегда сможет определить, принадлежит ли участник безопасности, требующий доступ к объекту, встроенной группе «Администраторы», для которой предполагалось назначить разрешение.

Также возможно назначить разрешения на доступ к объектам хорошо известным участникам безопасности. Известные участники безопасности относятся к специальным группам, определенным в рамках системы безопасности, включая такие группы, как «Все», «Локальная система», «Администраторы», «Прошедшие проверку», «Создатель-владелец» и другие. В основном считается допустимым назначать разрешения на доступ к объектам любым из следующих известных участников безопасности:

• Анонимный вход (после учета возможных последствий для безопасности)
  
  
• Прошедшие проверку (S-1-5-11)
  
  
• Сеть (S-1-5-2)
  
  
• Интерактивные (S-1-5-4)
  
  
• Создатель-владелец (S-1-3-0)
  
  
• Self (S-1-5-10)
  
  

Рекомендуется избегать назначения разрешений на доступ к объектам следующим известным участникам безопасности:

• Сетевая служба (S-1-5-20)
  
  
• Локальная служба (S-1-5-19)
  
  
• Локальная система (S-1-5-18)
  
  

Назначение разрешений на доступ к объектам любым другим известным участникам безопасности должны производиться в зависимости от ситуации с учетом потребностей приложения.