Jak ozna�it atribut jako d�v�rn� v syst�mu Windows Server 2003 Service Pack 1

Tento �l�nek popisuje, jak ozna�it atribut jako d�v�rn� v syst�mu Windows Server 2003 Service Pack 1.

Windows Server 2003 SP1 p�edstavuje zp�sob, jak ozna�it atribut jako d�v�rn�. Chcete-li to prov�st, zm�n�te hodnotu atributu searchFlags ve sch�matu. Hodnota atributu searchFlags obsahuje v�ce bit�, kter� p�edstavuj� r�zn� vlastnosti atributu. Pokud je nastaven bit 1, je-li nap��klad indexov�n atribut. Bit 7 (128) atribut ozna�� jako d�v�rn�.

Po�adavky a omezen�

Pouze �adi�e dom�ny se syst�mem Windows Server 2003 SP1 nebo nov�j�� verze vynutit kontrolu d�v�rn� atributy p��stup pro �ten�. Funkce d�v�rn� atributy je v�z�na k instalaci aktualizace Windows Server 2003 SP1 nebo nov�j��. Tato funkce nen� z�visl� na Ur�uje, zda je povoleno dom�n� nebo �rove� funk�nosti dom�nov� struktury.

Funkce d�v�rn� atributy nepou��vejte, pokud jsou spln�ny n�sleduj�c� podm�nky:

• V�echny �adi�e dom�ny se syst�mem Windows Server 2003 m�t syst�m Windows Server 2003 SP1 nebo nov�j�� verze nainstalov�n.
• V�echny �adi�e dom�ny se syst�mem Windows 2000 byly inovov�ny nebo odebr�ny.

N�sleduj�c� situaci m��e doj�t, pokud dom�na obsahuje kombinaci �adi�� dom�ny se syst�mem Windows 2000 Server p�vodn� verzi syst�mu Windows Server 2003 a Windows Server 2003 SP1:

• Pokud klientem neopr�vn�n� dotazuje �adi�� dom�ny se syst�mem Windows 2000 Server a syst�mem Windows Server 2003 pro atribut d�v�rn� �daje, klient m��e ��st data.
• Pokud klientem neopr�vn�n� dotazuje �adi� dom�ny se syst�mem Windows Server 2003 SP1 pro atribut d�v�rn�ch dat, klient nem��e ��st data.

Nem��ete ozna�it atribut z�kladn�ho sch�matu jako d�v�rn�. IDENTIFIK�TOR zam�stnance je p��kladem atributu z�kladn�ho sch�matu. Tento atribut nem��e b�t ozna�eno jako d�v�rn�, proto�e jeho hodnota atributu systemsFlags nastavena na 0x10 (z�kladn�ho sch�matu). Dal�� informace naleznete v ��sti "Jak zjistit, zda je atribut z�kladn�ho sch�matu atribut" a ��sti � Jak ur�it hodnotu atributu searchFlags, pokud pou�ijete existuj�c� atribut.

Testov�n�

By p�i testov�n� v�ech zm�n do slu�by Active Directory a jak�koli roz���en� sch�matu, doporu�ujeme v laborato�i, kter� zrcadl� v�robn� dom�nov� struktury d�kladn� otestujte zm�ny atribut�. Testov�n� pom�h� zaru�eno, �e postup funguje hladce a rozpozn�n� probl�m�.

Ovl�dac� prvek kontroly p��stupu

Po instalaci aktualizace Windows Server 2003 SP1 a po slu�by Active Directory provede kontrolu p��stupu pro �ten�, kontroluje d�v�rn� atributy slu�by Active Directory. Pokud existuj� d�v�rn� atributy a pokud jsou nastavena opr�vn�n� READ_PROPERTY t�chto atribut� slu�by Active Directory bude tak� vy�adovat CONTROL_ACCESS opr�vn�n� pro atributy nebo pro jejich sady vlastnost�.

Pozn�mka: Nastaven� opr�vn�n� �pln� ��zen� zahrnuje opr�vn�n� CONTROL_ACCESS.

Slu�ba Active Directory provede kontrolu p��stupu pro �ten� objektu v n�sleduj�c�ch p��padech:

• P�i m��ete vyhodnotit, zda objekt odpov�d� vyhled�vac� filtr.
• Vr�t� atributy objektu odpov�daj�c� vyhled�vac� filtr.

Ve v�choz�m nastaven� maj� pouze spr�vci CONTROL_ACCESS opr�vn�n� ke v�em objekt�m. Pouze spr�vci proto mohou ��st atributy d�v�rn�. Spr�vci mohou p�en�st tyto opr�vn�n� ka�d�mu u�ivateli nebo do ��dn� skupiny.

Polo�ky ��zen� p��stupu obecn� a specifick� objektu

Ka�d� objekt v adres��i slu�by Active Directory m� informace o ��zen� p��stupu p�idru�en� jej. Tyto informace se naz�v� popisova� zabezpe�en�. Popisova� zabezpe�en� ��d� typ p��stupu, kter� je k dispozici u�ivatel�m a skupin�m. Popisova� zabezpe�en� je automaticky vytvo�en p�i vytvo�en� objektu.

Sada polo�ek opr�vn�n� v popisova�i zabezpe�en� se naz�v� voliteln� seznam ��zen� p��stupu (DACL). Ka�d� polo�ka opr�vn�n� v seznamu DACL se naz�v� polo�ka ��zen� p��stupu (ACE).

M��ete ud�lit opr�vn�n� k objektu nebo ud�lit opr�vn�n� CONTROL_ACCESS d�v�rn� atributy pomoc� polo�ky ��zen� p��stupu obecn� nebo specifick� objekt na objekt. Raz�tkov�n� je v�slovn� na objektu nebo pomoc� d�di�nosti m��ete ud�lit opr�vn�n�. D�di�nost znamen�, �e m��ete polo�ku d�di�n� p��stup ovl�dac�ho prvku nastavena na kontejner, kter� je v hierarchii kontejneru vy���.

Polo�ky ��zen� p��stupu objektu specifick� a obecn� jsou v podstat� stejn�. Co je nastav� od sebe je stupe� kontroly, kter� nab�zej� polo�ky ��zen� p��stupu d�di�nosti a objektu p��stup. Obecn� p��stup ovl�dac�ho prvku polo�ky platn� pro cel� objekt. Polo�ky ��zen� p��stupu objektu specifick� nab�zej� v�t�� kontrolu nad objekty, kter� d�d� polo�ka ��zen� p��stupu. Pou�ijete-li polo�ce ��zen� p��stupu specifick� pro objekt, m��ete ur�it atribut nebo sadu vlastnost� objektu, kter� polo�ka ��zen� p��stupu zd�d�.

P�i pou�it� funkce d�v�rn� atributy, CONTROL_ACCESS je povoleno p�i�azen�m polo�ka ��zen� obecn� p��stupu u�ivatele. V p��pad� p�i�azen�m polo�ce ��zen� p��stupu objektu specifick� je ud�leno opr�vn�n� CONTROL_ACCESS, u�ivatel bude pouze CONTROL_ACCESS k opr�vn�n� d�v�rn� atribut.

N�sleduj�c� opr�vn�n� jsou ud�lena, pou�ijete-li polo�ka ��zen� obecn� p��stupu:

• V�echna roz���en� opr�vn�n�
• Povoleno ov��ov�n�
• Zm�na hesla
• P�ijmout jako
• Obnovit heslo
• Odeslat jako

Opr�vn�n� ud�len� p�i pou�it� polo�ky ��zen� obecn� p��stupu mohou stanovit dal�� p��stup, ne� je ��douc� p�es cel� objekt. Pokud tento stav nevyhovuje, m��ete nastavit polo�ce ��zen� p��stupu objektu specifick� na objekt tak, aby polo�ka ��zen� p��stupu se vztahuje pouze na d�v�rn� atribut. Pou�ijete-li polo�ky ��zen� p��stupu specifick� pro objekt, m��ete ur�it vlastnosti nebo pro kter� plat� polo�ka ��zen� p��stupu sadu vlastnost�.

U�ivatelsk� rozhran� v syst�mu Windows Server 2003 nevystavuje Control_Access opr�vn�n�. N�strojem Dsacls.exe Control_Access opr�vn�n� nastavit p�i�azen�m polo�ka ��zen� obecn� p��stupu. Tento n�stroj v�ak nelze pou��t p�i�adit polo�ce ��zen� p��stupu objektu specifick�. Jedin� n�stroj, Control_Access opr�vn�n� lze nastavit p�i�azen�m polo�ce ��zen� p��stupu objektu specifick� je n�stroj Ldp.exe.

Pozn�mka:Podrobn� informace, ��zen� p��stupu je nad r�mec tohoto �l�nku. Na Dal�� informace o ��zen� p��stupu naleznete n�sleduj�c�ch webech spole�nosti Microsoft:

Pou�it� d�di�nosti

V dom�n� velk� nen� praktick� ru�n� p�i�adit ��zen� p��stupu u�ivateli nebo skupin� pro ka�d� objekt, kter� m� atribut d�v�rn�. �e�en�m je d�di�nost slou�� k nastaven� polo�ky d�di�n� p��stup ovl�dac�ho prvku, kter� je v��e v hierarchii kontejneru. V�echny pod��zen� objekty kontejneru se vztahuje tato polo�ka ��zen� p��stupu.

D�di�nost je ve v�choz�m nastaven� povoleno pro v�echny organiza�n� jednotky (OU) a pro v�echny u�ivatelsk� ��ty, s v�jimkou pro ��et spr�vce vestav�n�. P�i vytv��en� u�ivatelsk�ch ��t�, kter� maj� d�di�nosti zak�z�n nebo spr�vy ��t� vytvo��te zkop�rov�n�m ��tu vestav�n� spr�vce, mus�te povolit d�d�n� pro tyto ��ty. V opa�n�m p��pad� model d�di�nosti se nevztahuje na tyto ��ty.

Jak vytvo�it d�v�rn� atributu

1. Ur�it, jak� atribut ozna�it jako d�v�rn�, nebo p�idat atribut, kter� chcete prov�st d�v�rn�.
2. Vhodn� u�ivatel�m ud�lit opr�vn�n� Control_Access tak, �e u�ivatel� mohou zobrazit data atributu.

N�stroj�, jako jsou nap��klad n�strojem Ldp.exe a n�strojem Adsiedit.msc lze vytvo�it atribut d�v�rn�. ldf soubory se obvykle pou��vaj� pro roz���en� sch�matu. Tyto soubory lze tak� ozna�it atribut jako d�v�rn�. Soubory, kter� vytvo��te pro implementace by m�la b�t nalad�n b�hem f�ze zkou�en� aby v�te p�esn� co p�id�v�te do sch�matu p�i zaveden� do v�roby. soubory ldf zabr�nit chyb�m.

N�sleduj�c� uk�zkov� soubory ldf lze prov�st n�sleduj�c�:

• P�id�n� atributu do sch�matu
• Ozna�it atribut jako d�v�rn�
• P�id�n� atributu do t��dy u�ivatele

Pozn�mka: Ne� pou�ijete soubory ldf, ujist�te se, �e jste �ten� v ��stech "Identifik�tory objektu" a "Attribute syntaxe" d�le�it� informace o tom, jak p�idat objekty a atributy sch�matu.

Uk�zkov� soubory ldf

N�sleduj�c� k�d p�id� atribut sch�matu a pot� atribut za d�v�rn� ozna��. N�sleduj�c� k�d p�id� nov� atribut t��da u�ivatele

Jak umo��uj� u�ivatel�m bez opr�vn�n� spr�vce, viz data atributu

Pozn�mka: N�sleduj�c� postupy vy�aduj� pou�it� n�stroje Ldp.exe, kter� je sou��st� s Windows Server 2003 R2 Active Directory Application Mode (ADAM). Ostatn� verze n�stroje Ldp.exe nelze nastavit opr�vn�n�.

Jak ru�n� nastavit Control_Access opr�vn�n� u�ivatelsk�ho ��tu

1. Spus�te n�stroj Ldp.exe, kter� je sou��st� syst�mu Windows Server 2003 R2 ADAM.
2. P�ipojen� a vytvo�en� vazby s adres��em.
3. Vyberte u�ivatelsk� ��et, klepn�te prav�m tla��tkem my�i na ��et, klepn�te na tla��tko Up�esnit, klepn�te na tla��tko Popisova� zabezpe�en� a klepn�te na tla��tko OK.
4. V rozev�rac�m seznamu DACL, klepn�te na polo�ku P�idat ACE.
5. V poli Trustee zadejte n�zev skupiny nebo u�ivatelsk� jm�no, ke kter�mu chcete ud�lit opr�vn�n�.
6. V rozev�rac�m seznamu ��zen� p��stupu zkontrolujte zm�ny, kter� jste provedli v kroku 5.

Jak p�i�adit opr�vn�n� Control_Access pomoc� d�di�nosti

Chcete-li pou��t d�di�nosti, vytvo�it polo�ky ��zen� p��stupu, kter� ud�luje opr�vn�n� Control_Access po�adovan� u�ivatel�m nebo skupin�m, kter� jsou v hierarchii kontejneru vy��� ne� objekty, kter� maj� atributy d�v�rn�. Tato polo�ka ��zen� p��stupu m��ete nastavit na �rovni dom�ny nebo na libovoln� bod v kontejneru hierarchii, kter� funguje dob�e pro rozlehl� s�t�. Pod��zen� objekty, kter� maj� atributy d�v�rn� mus� m�t d�di�nost povolena.

Chcete-li p�i�adit opr�vn�n� Control_Access, postupujte takto:

1. Otev�ete soubor Ldp.exe, kter� je sou��st� syst�mu Windows Server 2003 R2 ADAM.
2. P�ipojte se a vazb� adres��.
3. Vyberte organiza�n� jednotce nebo kontejner, kter� je v hierarchii kontejneru vy��� ne� objekty, kter� maj� atributy d�v�rn�, klepn�te prav�m tla��tkem my�i na organiza�n� jednotku nebo kontejneru, klepn�te na tla��tko Up�esnit, klepn�te na tla��tko Popisova� zabezpe�en� a klepn�te na tla��tko OK.
4. V okn� seznam DACL klepn�te na tla��tko P�idat polo�ky ��zen� p��stupu.
5. V poli Trustee zadejte n�zev skupiny nebo u�ivatelsk� jm�no, ke kter�mu chcete ud�lit opr�vn�n�.
6. V rozev�rac�m seznamu ��zen� p��stupu zkontrolujte zm�ny, kter� jste provedli v kroku 5.
7. V poli Typ objektu klepn�te na d�v�rn� atribut, kter� jste p�idali.
8. Ujist�te se, �e je d�di�nost povolena u c�lov�ch objekt�.

Jak lze zjistit hodnotu atributu systemFlags pou�ijete existuj�c� atribut

Pou�ijete-li existuj�c� objekt, mus�te ov��it, jak� je aktu�ln� hodnota atributu searchFlags. Pokud p�id�te objekt, m��ete definovat hodnotu p�i p�id�v�n� objektu. Hodnota atributu searchFlags z�skat mnoha zp�soby. Pou��t metodu, kter� v�m nejl�pe.

Chcete-li pou��t n�stroj Ldp.exe k z�sk�n� hodnoty atributu searchFlags, postupujte takto:

1. Klepn�te na tla��tko Start, klepn�te na p��kaz Spustit, zadejte LDP a potom klepn�te na tla��tko OK.
2. Klepn�te na polo�ku p�ipojen� a potom klepn�te na tla��tko vytvo�it.
3. Sv�z�n� jako spr�vce dom�ny ko�enov� nebo v�zat jako ��et, kter� je spr�vcem organizace.
4. Klepn�te na tla��tko Zobrazit a klepn�te na polo�ku stromu.
5. Klepn�te na tla��tko CN = sch�ma, cn = konfigurace, dc = rootdomain a potom klepn�te na tla��tko OK.
6. V lev�m podokn� rozbalte polo�ku CN = sch�ma, cn = configuration, dc = rootdomain.
7. Vyhledejte n�zev dom�ny atribut, kter� chcete ozna�it jako d�v�rn� a pot� ji rozbalte.
8. V seznamu atribut�, kter� jsou pro objekt napln�na vyhledejte searchFlags ur�it aktu�ln� hodnotu atributu searchFlags pro dan� objekt.

Pozn�mka: Chcete-li ur�it novou hodnotu atributu searchFlags, pou�ijte n�sleduj�c� vzorec:

Ur�en�, zda atributu je atribut z�kladn�ho sch�matu

K ur�en�, zda je atribut je z�kladn�m sch�matu atribut, zkontrolujte hodnotu atributu systemFlags pomoc� n�stroje Ldp.exe.

V�stup n�stroje LDP ID zam�stnance � systemFlags: = 0x10 (FLAG_SCHEMA_BASE_OBJECT)

V n�sleduj�c� uk�zce Ldp.exe v�stupu n�stroje Ldp.exe identifikuje hodnota atributu systemFlags jako 0x10 a atribut z�kladn�ho sch�matu. Proto nem��ete ozna�it tento atribut jako d�v�rn�.

V�stup n�stroje LDP systemFlags ��slo zam�stnance: 0x0 =)

V n�sleduj�c� uk�zce Ldp.exe v�stupu Ldp.exe ozna�uje hodnotu atributu systemFlags 0. This attribute can be marked as confidential.

Identifik�tory objekt�

Kdy� p�id�te atribut nebo t��du objektu sch�matu, jedna z po�adovan� atributy je identifik�tor objektu (OID). Identifik�tory objekt� se pou��vaj� k jednozna�n� definovat t��dy objekt� a atribut�. Ujist�te se, �e va�e spole�nost z�sk� identifik�tor jedine�n� objekt k identifikaci jeho atribut. N�stroje, kter� generuj� identifik�tory objekt�, jako je nap��klad n�stroj Oidgen.exe nejsou podporov�ny. Identifik�tor objektu m��ete z�skat od spole�nosti Microsoft, na n�sleduj�c�m webu spole�nosti Microsoft:

Syntaxe atributu

Atribut attributeSyntax vy�aduje tak� p�idat nov� objekty sch�matu. Tento atribut definuje zn�zorn�n� �lo�i�t�, po�ad� bajt� a odpov�daj�c� pravidla pro porovn�n� typ� vlastnost�. Syntaxe ur�uje, zda hodnota atributu mus� b�t �et�zec, ��slo nebo jednotku �asu. Ka�d� atribut ka�d�ho objektu je p�idru�en k p�esn� jedna syntaxe. P�esv�d�te se, �e jste vybrali spr�vn� atribut syntaxi pro nov� atribut. To je d�le�it� zejm�na v p��pad�, �e synchronizaci adres��e Lightweight Directory Access Protocol (LDAP) s LDAP jin�ho adres��e. Po p�id�n� atributu do sch�matu, jeho syntaxe atributu nelze zm�nit.

Dal�� informace o atribut attributeSyntax nav�tivte n�sleduj�c� web spole�nosti Microsoft:Dal�� informace o hodnot�ch v atributu searchFlags nav�tivte n�sleduj�c� web spole�nosti Microsoft a vyhledejte "Efekty z indexov�n� na hled�n� chov�n�":