Editor de ACL e herança de permissões

Active Directory do Windows 2000 fornece uma interface de usuário (UI) para modificar permissões de controle de acesso para objetos dentro do diretório. Essa interface do usuário é conhecido como editor de lista de controle de acesso (ACL). Este artigo aborda um conceito de herança usado pelo ACL Editor que os administradores devem estar cientes de. Para obter mais informações sobre o Editor ACL, consulte a documentação do produto.

Quando um usuário ou grupo recebe as permissões na caixa de diálogo Editor de ACL, por padrão essas permissões são restritas ao próprio objeto de recipiente e os objetos filho dentro do contêiner não são afetados pela alteração permissão. Esses objetos filho no entanto, fazer, ter permissões explícitas de padrão de seus próprios. Por exemplo, um administrador cria uma OU (unidade organizacional) dentro do domínio chamado "OU1". Em OU1, vários objetos de usuário existem. O administrador adiciona um usuário à lista de permissões para OU1 e concede a esse usuário controle total. Quando o usuário fizer logon e tenta modificar um dos objetos de usuário em OU1, o usuário recebe uma mensagem de erro de acesso negado. Isso ocorre porque o usuário foi somente determinadas permissões no objeto de recipiente e não nos objetos filho desse recipiente.

O administrador pode:

• Altere o escopo de permissões do usuário no objeto de recipiente e permitir que o filho objetos herdam as permissões do recipiente pai.
  
  - ou -
• Adicione o usuário à lista de permissões de cada objeto dentro do contêiner.

Por padrão, os objetos filho de um recipiente permitirá a herança de permissões do recipiente pai. Ao adicionar ou modificar uma permissão no recipiente pai, execute as seguintes etapas para permitir que essas permissões sejam propagadas para objetos filho.

1. Abra as propriedades para o objeto recipiente no Directory e selecione a guia Segurança.
2. Clique em Avançado. Isso exibirá a caixa de diálogo Access Control Settings.
3. Selecione o usuário ou grupo para modificar as permissões para e clique em View/Edit. Se o usuário já não estiver presente, clique em Adicionar para adicionar o usuário antes de continuar.
4. No menu para aplicar em suspenso, selecione "Este objeto e todos os subobjetos," e personalizar as permissões apropriadamente.
5. Verificar o estado da caixa de seleção "Aplicar estas permissões abaixo da árvore". Se esta caixa de seleção estiver desativada, as permissões somente serão propagadas para os objetos filho imediato desse recipiente. Se esta caixa de seleção é ativada, permitirá que a herança de permissões fluxo após os filhos imediatos para outros recipientes pai.
6. Clique em OK e feche as janelas de diálogo restantes.

Conforme mencionado acima, objetos filho de um recipiente permitirá que a herança de permissões do recipiente pai por padrão. Para confirmar isso, o administrador pode abrir as propriedades para um determinado objeto, selecione a guia Segurança e observe o estado da caixa de seleção "Herdar permissões do pai" na parte inferior da página de propriedades. Para exibir as permissões herdadas, clique em Avançado e observe que o usuário que recebeu permissões no nível de contêiner está listado na lista de permissões, mas com um ícone descolorido.

Para desativar herança de um objeto específico de permissões do recipiente pai, desmarque a caixa de seleção "Herdar permissões do pai". Quando isso for feito, os usuários e grupos que receberam permissões no nível de contêiner pai agora são exibidos como entradas ativas na lista de permissões. O administrador pode remover essas entradas antes de fechar a caixa de diálogo.