ADS Active Directory Service (Farsi User Guide)
Resource: Windows 2000 Server Resource kit Distributed Systems Guide

> ADS > Part 1 > Active Directory Data Storage > Data Storage > Object-Based Security

Object-Based Security

یک رابطه بنیادی میان Active Directory و Security Service های موجود در Windows 2000 وجود دارد .

ADS اطلاعات را بر حسب Policy های موجود بر روی سیستم ذخیره سازی می کند خود این Policy ها نیز درون ADS ذخیره شده

و ازآن برای محافظت  اطلاعات بهره می برد.این عمل را در سرتاسر Domain انجام می دهد .چیز جدیدی که در Windows 2000 اضافه شده

محافظت از اطلاعات در درون Object ها می باشد یعنی سیستم در مورد موارد Access و Modify هر Object حساس می باشد و برای این دو مورد نیز

Permission تعریف کرده .در این جا با دو واژه Security Model و Access Control آشنا می شویم .

هر Object در درون ADS تشکیل شده از بخشی بنام  Unique Security Descriptor که  در آن تعریف شده Access Permission های

مربوط به آن Object که مواردی همچون Read and Update مربوط به هر Object در Property آن تعریف شده .

 
Security Identifiers "SID"

امنیت برای هر Object  مانند Users , Computer ,Groups , Domain در درون SID آن Object ها می باشد

این SID یا ObjectSid مربوط به هر Object وجود دارد. در یک Domain تمامی SID های مربوط به Object عضو آن Domain با

یکدیگر یکسان می باشند یعنی تمامی SID های Object ها از SID آن Domain اطلاعات را به ارث می برند درنتیجه با هم یکسان می باشند .

 

Security Descriptors

این قسمت از هر Object اطلاعات مربوط به Access Control Information هر Object را  در بر می گیرد .

و تشکیل شده از موارد زیر :

1.Header

در این قسمت چندین Flag وجود دارد برای چهار مرحله دیگر Security Descriptor .

هر Flag علامت دار باشد یعنی Object از آن مورد استفاده می کند این چهار مرحله از شماره 2 به بعد می باشد .

2.Owner

در بر دارد SID که در آن مشخص شده کدام User یا Group مالک آن Object می باشد .Owner هر Object در مورد آن

Full Control Access دارد بصورت پیش فرض .

3.Primary Group

در بر دارد اطلاعاتی که در SID می باشد برای سیستم های Unix طراحی شده در واقع SID را برای این سیستم ها

ترجمه کرده.

4.Discretionary Access Control List "DACL"

در این قسمت لیستی از افرادی که اجازه دسترسی دارند و یا ندارند وجود دارد همچنین نوع دسترسی نیز مشخص شده .DACL کنترل می شود

توسط Owner آن Object و Owner فقط می تواند این  کنترل را به دیگری بدهد یا Grant کند .

5.System Access Control List "SACL"

این قسمت لیستی از دسترسی دیگر افراد یا Object ها به Object خود را دارا می باشد

در واقع زمانی که یک Object دیگر دسترسی به این Object برایش تعریف شود در اینجا ثبت می شود .

این قسمت از Security Descriptor کنترل می شود فقط توسط Administrators Group .

 
Default Object Security

زمانی که در Active Directory شما یک Object ایجاد می کنید می تواید برای آن بصورت Manually یک

Security Descriptor ایجاد کنید اگر این کار را نکنید و Security Descriptor را ایجاد نکنید سیستم

بصورت By Default برای آن Object این کار را می کند در زیر آن را بررسی می کنیم .

  • The Owner usually is assigned by default. If the creator's access token contains a default owner, the default is set as the "owner." Otherwise, the user SID of the object's creator is assigned. The only case in which the owner is not the user SID of the creator of the object is when the creator is a member of the Domain Administrators group. In that case, the default owner is set to the Domain Administrators group SID. Thus, all objects that are created by an administrator are owned by all members of the Domain Administrators group.
  • The Primary group is usually assigned by default. If the creator's access token contains a default primary group, this default group is set as the primary group. Otherwise, a NULL SID is assigned.
  • DACL is assigned as a new object's DACL if an explicit (not inherited) DACL is provided. The parent container's DACL is checked for any inheritable access control entries. If one is found, the inherited DACL is merged with the explicit DACL as the new object's DACL. If an explicit DACL is not provided, the default DACL that is provided by the Active Directory schema, if any, is used. If no default DACL is provided by Active Directory, the creator's access token is checked for a default DACL. If a default DACL is found in the owner's access token, it is assigned as the new object's DACL. If there is no default DACL in the creator's access token, no DACL is assigned to the new object. In this case, unconditional access is granted to everyone.
  • SACL is assigned as being any explicit SACL that is provided. The parent container's SACL is checked for any inheritable access control entries. If inheritable access control entries are found, the inherited SACL is merged with the explicit SACL as the new object's SACL. If an explicit SACL is not available, the default SACL that is provided by the Active Directory schema, if any, is used. If no default SACL is provided by Active Directory, no SACL is assigned.

Note

An object manager is different from an object's owner. Each object type has an object manager that handles creation of the object. Active Directory is the object manager for directory objects. NTFS is the object manager for file system objects.

 

ADS Active Directory Service (Farsi User Guide)

LastUpdate:2005/06/05

> ADS > Part 1 > Active Directory Data Storage > Data Storage > Object-Based Security