Jak pomocí jazyka a ADsSecurity.dll správně objednávky ACE v seznam ACL

Překlady článku Překlady článku
ID článku: 269159 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek ukazuje, jak použít ADsSecurity.dll získání popisovače zabezpečení (SD) pro soubor, objektu Active Directory nebo klíč registru. Tento článek ukazuje, jak po SD má byla získání načíst seznam řízení přístupu (ACL) z dané SD a přidat položka řízení přístupu (ACE) v umístění správné. Tento článek poskytuje jednoduchý algoritmus spolu s příklad kódu jazyka Visual Basic ilustrující jak správně objednávky seznam ACL pak zápis seznamu ACL zpět SD.

Další informace

Metoda IADsAccessControlList::AddAce přidá ACE v horní části seznamu ACL. V některých případech bude přidáním ACE horní vytvoření nežádoucímu zabezpečení přístupu. Mezipaměť vlastností Active Directory Service Interfaces (ADSI), Microsoft Windows Server 2003 a Microsoft Windows XP bude správně objednávky seznamu DACL před zápis zpět na objekt. V systému Microsoft Windows 2000 je pouze přiobjednání vyžadována. Správné pořadí ACE seznam ACL je následující:
Přístup odepřen ACE, které se týkají samotný objekt
Přístup odepřen ACE, které platí pro podřízený objekt, například sada vlastností nebo vlastnosti
Přístup povolen ACE, které se týkají samotný objekt
Přístup povolen ACE, které platí pro podřízený objekt, například sada vlastností nebo vlastnosti
V produktech uvedených v tomto článku rozhraní IADsAccessControlList nepodporuje metodu správně objednávky seznam ACL. Položky řízení přístupu musí být seřazeny do těchto pět skupin:
Přístup odepřen na objektu
Přístup odepřen na podřízené nebo vlastnost
Povolen přístup k objektu.
Povolen přístup na podřízené nebo vlastnost
Všechny zděděné ACE
Objednání zděděné ACE by měl být nezmění. Všechny zděděné ACE jsou přidány operačního systému a jsou příslušně Objednáno. Programátor určit zděděná ACE a Windows 2000 nebo Windows NT bude trvat nakonfigurováno nerozšiřují ACE na podřízené objekty.

Je výjimkou pravidla šíření. Esa přidány ACL objektu nebude automaticky získat použita existující objekty ve stromu. Je odpovědnosti programátor provedl stromu a šíření ACE přidáním ACE existující objekty. ACE bude rozšířeno na nové objekty v podstromu.

Algoritmus pro řazení ACE seznam ACL

  1. Získat volitelných ACL (DACL) od popisovače zabezpečení.
  2. Zkontrolujte IADsAccessControlEntry::AceFlags Pokud ACE byla zděděna (Kontrola ADS_ACEFLAG_INHERITED_ACE bit).
  3. Zkontrolujte IADsAccessControlEntry::AceType v tématu Jaký typ přístupu ACE udělí a co je přístup udělen (samotného objektu nebo vlastnosti objektu). Následující seznam uvádí typ hodnoty ACE a jejich význam:
    ADS_ACETYPE_ACCESS_ALLOWED - udělí povolený přístup k celý objekt
    ADS_ACETYPE_ACCESS_ALLOWED_OBJECT - označuje přístup je povolena vlastnost nebo sadu vlastností
    ADS_ACETYPE_ACCESS_DENIED - odepře přístup celý objekt
    ADS_ACETYPE_ACCESS_DENIED_OBJECT - odepře přístup k vlastnosti nebo sadu vlastností.
  4. Umístěte ACE příslušné dočasné DACL na základě hodnoty IADsAccessControlListEntry::AceType.
  5. Znovu sestavit ACL ze samostatných ACL v následujícím pořadí:
    Typy ACE ADS_ACETYPE_ACCESS_DENIED
    Typy ACE ADS_ACETYPE_ACCESS_DENIED_OBJECT
    Typy ACE ADS_ACETYPE_ACCESS_ALLOWED
    Typy ACE ADS_ACETYPE_ACCESS_ALLOWED_OBJECT
    Nastavit esa s příznakem ADS_ACEFLAG_INHERITED_ACE v IADsAccessControlListEntry::AceFlags
  6. Nastavit nové ACL stejnou úroveň revize jako staré ACL.
  7. Nahrazení ACL v popisovač zabezpečení.

Kroky použít kód jazyka, která je k dispozici v tomto článku

  1. Registrovat ADsSecurity.dll.

    ADsSecurity.dll je součástí Active Directory Service Interfaces (ADSI) 2.5 Resource Kit. Stáhnout ADSI 2.5 Resource kit naleznete na následujícím webu:
    http://www.microsoft.com/technet/archive/winntas/downloads/adsi25.mspx?mfr=true
    Regsvr32 použít k evidenci ADsSecurity.dll. Pokud tato knihovna nezaregistruje správně, označuje toto chování ADSI není nainstalována. Pokud používáte kód v počítači se systémem Microsoft Windows NT nebo v počítači se systémem Microsoft Windows 98, nainstalujte příslušné rozšíření klienta služby Active Directory. Další informace o získání těchto klientů naleznete v části "Odkazy".
  2. Spustit jazyka. Pak vytvořte standardní EXE projektu.
  3. Zobrazit odkazy pro projekt. Zkontrolujte, zda jsou postupujte zaškrtnuto:
    • Aktivní knihovny typů DS
    • Knihovna typů ADsSecurity 2.5
  4. Proveďte příkazové tlačítko ve formuláři.
  5. Poklepejte na příkazové tlačítko. Vložte následující kód v obsluze příkaz Command1_Click.

Jak implementovat řazení algoritmus ilustruje ukázkový kód jazyka

Dim sec As New ADsSecurity
Dim sd As IADsSecurityDescriptor
Dim dacl As IADsAccessControlList
Dim ace As IADsAccessControlEntry
Dim newAce As New AccessControlEntry
'
' Declare temporary ACLs for sorting the original
' ACL
'
Dim newdacl As New AccessControlList
Dim ImpDenyDacl As New AccessControlList
Dim ImpDenyObjectDacl As New AccessControlList
Dim InheritedDacl As New AccessControlList
Dim ImpAllowDacl As New AccessControlList
Dim impAllowObjectDacl As New AccessControlList

Private Sub Command1_Click()
'
' Be sure to register ADsSecurity.Dll using RegSvr32 and
' adding the ADsSecurity2.5 Type Library to you references for
' the project.
'
' Using the ADsSecurity object, retrieve a SD for an object.  Just
' Replace the LDAP:// path with the path of an object that contains a
' SD.  For additional details on valid path strings, review
' the information stored in the Platform SDK ADSI samples starting with
' "<Platform SDK Root>\Samples\NetDs\ADSI\rtk.htm"
'
Set sec = CreateObject("ADsSecurity")<BR/>
' TODO :  replace the servername and DN of the object you want to modify.
Set sd = sec.GetSecurityDescriptor("LDAP://MyDCname/cn=MyUser,cn=Users,dc=MyDom,dc=com")

'Displaying the ACE in the DACL --- it's the same way you display ACEs for File, File Share, Registry, Exchange, and Active Directory's ACL.

Set dacl = sd.DiscretionaryAcl
Debug.Print Date & Time & "Initial Values of DACL"
For Each ace In dacl
   Debug.Print ace.Trustee
   Debug.Print Hex(ace.AccessMask)
   Debug.Print Hex(ace.AceType)
   Debug.Print Hex(ace.AceFlags)
   Debug.Print Hex(ace.Flags)
Next

Debug.Print dacl.AceCount

'
' Initialize all of the new ACLs
'
' If you are doing this in VBSscript you will need to use
' The following methods of creating the ACL bins instead of
' using the Dim As New statements above. 
'
'Set newAce = CreateObject("AccessControlEntry")
'Set newdacl = CreateObject("AccessControlList")
'Set InheritedDacl = CreateObject("AccessControlList")
'Set ImpAllowDacl = CreateObject("AccessControlList")
'Set InhAllowDacl = CreateObject("AccessControlList")
'Set ImpDenyObjectDacl = CreateObject("AccessControlList")
'Set ImpAllowObjectDacl = CreateObject("AccessControlList")
'
'
' Create a new ace, this one
' sets an extended right on the user object that allows the
' trustee to read and write the userAccountControl property of an
' user object.
'
' TODO : Replace the trustee with an appropriate trustee on the domain
' in question.
'
newAce.Trustee = "MyDomain\Myuser"
newAce.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT
newAce.ObjectType = "{BF967A68-0DE6-11D0-A285-00AA003049E2}"
newAce.AccessMask = ADS_RIGHT_DS_READ_PROP Or ADS_RIGHT_DS_WRITE_PROP
newAce.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT
newAce.AceFlags = ADS_ACEFLAG_INHERIT_ACE
'
' Place the new ace in the DACL
'
dacl.AddAce newAce
'
' Sift the DACL into 5 bins:
' Inherited Aces
' Implicit Deny Aces
' Implicit Deny Object Aces
' Implicit Allow Aces
' Implicit Allow object aces
'
For Each ace In dacl
  '
  ' Sort the original ACEs into their appropriate
  ' ACLs
  '
  Debug.Print ace.Trustee
  If ((ace.AceFlags And ADS_ACEFLAG_INHERITED_ACE) = ADS_ACEFLAG_INHERITED_ACE) Then
     '
     ' Do not really care about the order of inherited aces. Since we are
     ' adding them to the top of a new list, when they are added back
     ' to the Dacl for the object, they will be in the same order as
     ' they were originally. Just a positive side effect of adding items
     ' of a LIFO (Last In First Out) type list.
     '
     InheritedDacl.AddAce ace
  Else
     '
     ' We have an Implicit ACE, let's put it the proper pool
     '
     Select Case ace.AceType
     Case ADS_ACETYPE_ACCESS_ALLOWED
        '
        ' We have an implicit allow ace
        '
        ImpAllowDacl.AddAce ace
     Case ADS_ACETYPE_ACCESS_DENIED
        '
        ' We have an implicit Deny ACE
        '
        ImpDenyDacl.AddAce ace
     Case ADS_ACETYPE_ACCESS_ALLOWED_OBJECT
        '
        ' We have an object allowed ace
        ' Does it apply to a property? or an Object?
        '
        impAllowObjectDacl.AddAce ace
     Case ADS_ACETYPE_ACCESS_DENIED_OBJECT
        '
        ' We have an object Deny ace
        '
        ImpDenyObjectDacl.AddAce ace
     Case Else
        '
        ' Missed a bin?
        '
        Debug.Print "Bad ace...." & Hex(ace.AceType)
     End Select
  End If
Next
'
' Combine the ACEs in the proper order
' Implicit Deny
' Implicit Deny Object
' Implicit Allow
' Implicit Allow Object
' Inherited aces
'
' Implicit Deny
'
For Each ace In ImpDenyDacl
  newdacl.AddAce ace
Next
'
' Implicit Deny Object
'
For Each ace In ImpDenyObjectDacl
  newdacl.AddAce ace
Next
'
' Implicit Allow
'
For Each ace In ImpAllowDacl
  newdacl.AddAce ace
Next
'
' Implicit Allow Object
'
For Each ace In impAllowObjectDacl
  newdacl.AddAce ace
Next
'
' Inherited Aces
'
For Each ace In InheritedDacl
  newdacl.AddAce ace
Next

sd.DiscretionaryAcl = newdacl
Debug.Print Date
For Each ace In newdacl
   Debug.Print ace.Trustee
   Debug.Print "Ace Mask: " & Hex(ace.AccessMask)
   Debug.Print "Ace Type: " & Hex(ace.AceType)
   Debug.Print "Ace Flags: " & Hex(ace.AceFlags)
   Debug.Print "Object Type value: " & Hex(ace.Flags)
   Debug.Print "Object Guid : " & ace.ObjectType
Next
'
' Set the appropriate revision level
' for the DACL
'
newdacl.AclRevision = dacl.AclRevision
'
' Replace the Security Descriptor
'
sec.SetSecurityDescriptor sd
' If this generates the error -214023559 or 80070539 check your TODO
' strings.  This error is most likely a problem with DNS name resolution.
				

Odkazy

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
269175Jak používat Visual C++ správně objednat ACE v seznam ACL
279682Jak přidat položku řízení přístupu do složky NTFS pomocí ADsSecurity.dll
Další informace o instalaci rozšíření klienta služby Active Directory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
288358Postup instalace rozšíření klienta služby Active Directory

Vlastnosti

ID článku: 269159 - Poslední aktualizace: 15. ledna 2007 - Revize: 7.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Active Directory Service Interfaces 2.5
  • Microsoft Active Directory Service Interfaces 2.5
  • Microsoft Windows Scripting Host 2.5
Klíčová slova: 
kbmt kbdswadsi2003swept kbhowto KB269159 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:269159
Právní omezení pro obsah znalostní báze týkající se produktů, jejichž podpora byla ukončena
Tento článek byl napsán o produktech, pro které společnost Microsoft již neposkytuje nadále podporu. Článek je tedy nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com