Active Directory 域服务支持继承对象树下的权限,以允许在树中的较高级别执行管理任务。 这使管理员能够设置根附近的对象的可继承权限,例如域和组织单位,并具有分发到树中各种对象的权限。
可以按 ACE 设置继承。 下表列出了可在 AceFlags 中指定的标志来控制 ACE 的继承。
| 旗 | 描述 |
|---|---|
|
ADS_ACEFLAG_INHERIT_ACE |
导致 ACE 在树中继承。 |
|
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
导致 ACE 在树中仅继承一个级别。 |
|
ADS_ACEFLAG_INHERIT_ONLY_ACE |
使 ACE 在指定对象上被忽略,只继承下来,并在继承时有效。 |
除了设置继承之外,Active Directory 域服务还支持特定于对象的继承。 这样,就可以在树中继承可继承的 ACE,但仅在特定类型的对象上有效。 这在委派管理方面非常有用。 例如,这可用于在组织单位设置特定于对象的可继承 ACE,使组能够完全控制组织单位中的所有用户对象,但别无他法。 因此,该组织单位中的用户管理将委派给该组中的用户。
使用安全组委派服务管理
使用安全组定义和委托与应用程序服务器关联的管理角色。 例如,服务可能与组 MyService 管理员相关联。 标识为 MyService 管理员的用户将被添加到 MyService 管理员组。 MyService 的安装程序可以在目录中设置 ACL,使 MyService 管理员有足够的权限读取/写入与 MyService 相关的属性,或创建特定于 MyService 的对象,例如。
运行服务的计算机的安全组中的角色
使用安全组定义授予对目录中服务对象的访问权限的计算机集。 例如,服务可能与组 MyService Servers 相关联。 运行 MyService 服务器的所有计算机都将添加到 MyService 服务器组,然后,可以将此组授予对 MyService 服务器需要读取/写入数据的目录部分的访问权限。 MyService 的安装程序可以在目录中设置 ACL,以启用 MyService 服务器足够的权限来读取/写入 MyService 相关属性或创建特定于 MyService 的对象,例如。