Editor de ACL e herança de permissões

O Active Directory do Windows 2000 fornece uma interface de utilizador (UI, User Interface) para modificar as permissões de controlo de acesso a objectos contidos no directório. Esta UI é referida como sendo o editor de ACL (Access Control List). Este artigo aborda um conceito de herança utilizado pelo editor de ACL de que os administradores deverão ter conhecimento. Para mais informações sobre o editor de ACL, consulte a documentação do produto.

Quando são atribuídas permissões a um utilizador ou grupo na caixa de diálogo do editor de ACL, por predefinição, estas permissões são limitadas ao objecto contentor propriamente dito, além de que os objectos subordinados contidos no contentor não são afectados pela alteração da permissão. Estes objectos subordinados têm, no entanto, permissões explícitas predefinidas específicas. Por exemplo, um administrador cria uma unidade organizacional (OU, Organizational Unit) no domínio intitulado "OU1". Dentro de OU1, existem vários objectos de utilizador. O administrador adiciona um utilizador à lista de permissões da OU1 e concede controlo total a esse utilizador. Quando o utilizador iniciar sessão e tentar modificar um dos objectos de utilizador da OU1, receberá uma mensagem de erro de acesso negado. Tal deve-se ao facto de ao utilizador só terem sido atribuídas permissões relativas ao objecto contentor e não aos objectos secundários desse contentor.

O administrador poderá:

• Alterar o âmbito das permissões do utilizador no objecto contentor e permitir que os objectos subordinados herdem as permissões do contentor principal.
  
  - ou -
• Adicionar o utilizador à lista de permissões de cada objecto existente no contentor.

Por predefinição, os objectos subordinados de um contentor não permitirão a herança das permissões do contentor principal. Quando adicionar ou modificar uma permissão no contentor principal, execute os passos que se seguem para permitir que essas permissões sejam propagadas para os objectos subordinados.

1. Abra as propriedades do objecto contentor no Directory e seleccione o separador Segurança.
2. Clique em Avançadas. Este procedimento fará com que a caixa de diálogo Definições de controlo de acesso seja apresentada.
3. Seleccione o utilizador ou o grupo cujas permissões pretende modificar e clique em Ver/Editar. Se o utilizador ainda não estiver presente, clique em Adicionar para adicionar o utilizador antes de continuar.
4. No menu pendente de Aplicar em, seleccione este objecto e todos os sub-objectos e personalize as permissões conforme apropriado.
5. Verifique o estado da caixa de verificação Aplicar estas permissões na árvore toda. Se esta caixa de verificação estiver desactivada, as permissões só serão propagadas aos objectos subordinados deste contentor que estejam imediatamente a seguir. Se esta caixa de verificação estiver activada, permitirá que a herança das permissões seja transmitida para além dos objectos subordinados imediatamente a seguir para outros contentores existentes no objecto principal.
6. Clique em OK e feche as restantes janelas de diálogo.

Tal como foi mencionado anteriormente, por predefinição, os objectos subordinados de um contentor permitirão a herança de permissões do contentor principal. Para confirmar este aspecto, o administrador poderá abrir as propriedades de um determinado objecto, seleccionar o separador Segurança e anotar o estado da caixa de verificação Herdar permissões do contentor principal que se encontra no fim da página de propriedades. Para visualizar as permissões herdadas, clique em Avançadas e repare se o utilizador a quem foram atribuídas permissões ao nível do contentor se encontra mencionado na lista de permissões, mas com um ícone com uma cor esbatida.

Para desactivar a capacidade de herança de permissões do contentor principal por parte de um objecto em particular, desmarque a caixa de verificação Herdar permissões do contentor principal. Uma vez concluído este procedimento, os utilizadores e grupos a quem foram atribuídas permissões ao nível do contentor principal passarão a ser apresentados como entradas activas na lista de permissões. O administrador poderá remover estas entradas antes de fechar a caixa de diálogo.