Для эффективного делегирования административных задач вы должны знать, каким образом Active Directory контролирует доступ к объектам, которые хранятся в службе каталогов. Речь идет о следующих элементах управления доступом:
- учетные данные принципала безопасности, пытающегося выполнить задачу или получить доступ к ресурсу;
- данные авторизации, используемые для защиты ресурса или авторизации выполняемой задачи;
- проверка доступа, сравнивающая учетные данные с данными авторизации, чтобы определить, разрешено ли принципалу безопасности получать доступ к ресурсу или выполнять задачу.
Когда пользователь входит в домен AD DS, выполняется проверка подлинности и пользователь получает маркер доступа, содержащий идентификатор безопасности (SID) учетной записи пользователя, SID-идентификаторы каждой группы безопасности, членом которых является пользователь, а также список привилегий пользователя и этих групп безопасности. Маркер доступа позволяет обеспечить контекст безопасности и учетные данные для управления сетевыми ресурсами, выполнения административных задач и получения доступа к объектам в Active Directory.
Безопасность применяется к сетевому ресурсу или объекту Active Directory с помощью данных авторизации, хранящихся в дескрипторе безопасности (Security Descriptor) каждого объекта. Дескриптор безопасности состоит из следующих компонентов.
Владелец объекта. Идентификатор SID текущего владельца объекта. Как правило, владельцем является создатель объекта или принципал безопасности, которому передано владение объектом.
Основная группа. Идентификатор SID текущей основной группы владельца. Эта информация используется только подсистемой Portable Operating System Interface for UNIX (POSIX).
Дискреционный список контроля доступа (DACL). Список записей управления доступом АСЕ (Access Control Entry), определяющих разрешения доступа каждого принципала безопасности к объекту. Каждый принципал безопасности, добавляемый в объект, получает список разрешений, указывающих экстент, где пользователь или группа может манипулировать с объектом. Если пользователь не представлен в АСЕ лично или в качестве члена группы, он не получает доступ к объекту.
Системный список контроля доступа (SASL). Определяет параметры аудита для объекта, включая принципалы безопасности и операции, аудит которых должен выполняться.
На рис. 1 показана архитектура маркера доступа пользователя и дескриптора безопасности объекта. Когда пользователь пытается получить доступ к сетевому ресурсу или объекту Active Directory, выполняется проверка доступа и анализ всех записей АСЕ, пока не будет найден соответствующий SID-идентификатор пользователя или группы. Затем право доступа определяется разрешениями доступа, отконфигурированными в записи АСЕ.
Рис. 1. Проверка доступа, выполняемая между маркером доступа пользователя и
дескриптором безопасности объекта.