Jak označit atribut jako důvěrné v systému Windows Server 2003 Service Pack 1

Překlady článku Překlady článku
ID článku: 922836 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Adresářová služba v the Active Directory pro systém Microsoft Windows 2000 Server a Microsoft Windows Server 2003, je obtížné zabránit ve čtení atributu ověřený uživatel. Obecně platí pokud uživatel požádá o oprávnění READ_PROPERTY atributu nebo jeho sadu vlastností, je povolen přístup pro čtení. Výchozí zabezpečení ve službě Active Directory je nastavit tak, že ověření uživatelé mají přístup pro všechny atributy čtení. Tento článek popisuje, jak zabránit přístup ke čtení u atributu v systému Windows Server 2003 Service Pack 1 (SP1).

ÚVOD

Tento článek popisuje, jak označit atribut jako důvěrné v systému Windows Server 2003 Service Pack 1.

Další informace

Windows Server 2003 SP1 představuje způsob, jak označit atribut jako důvěrné. Chcete-li to provést, změníte hodnotu atributu searchFlags ve schématu. Hodnota atributu searchFlags obsahuje více bitů, které představují různé vlastnosti atributu. Pokud je nastaven bit 1, je-li například indexován atribut. Bit 7 (128) atribut označí jako důvěrné.

Požadavky a omezení

Pouze řadiče domény se systémem Windows Server 2003 SP1 nebo novější verze vynutit kontrolu důvěrné atributy přístup pro čtení. Funkce důvěrné atributy je vázána k instalaci aktualizace Windows Server 2003 SP1 nebo novější. Tato funkce není závislá na Určuje, zda je povoleno doméně nebo úroveň funkčnosti doménové struktury.

Funkce důvěrné atributy nepoužívejte, pokud jsou splněny následující podmínky:
  • Všechny řadiče domény se systémem Windows Server 2003 mít systém Windows Server 2003 SP1 nebo novější verze nainstalován.
  • Všechny řadiče domény se systémem Windows 2000 byly inovovány nebo odebrány.
Následující situaci může dojít, pokud doména obsahuje kombinaci řadičů domény se systémem Windows 2000 Server původní verzi systému Windows Server 2003 a Windows Server 2003 SP1:
  • Pokud klientem neoprávněné dotazuje řadičů domény se systémem Windows 2000 Server a systémem Windows Server 2003 pro atribut důvěrné údaje, klient může číst data.
  • Pokud klientem neoprávněné dotazuje řadič domény se systémem Windows Server 2003 SP1 pro atribut důvěrných dat, klient nemůže číst data.
Nemůžete označit atribut základního schématu jako důvěrné. IDENTIFIKÁTOR zaměstnance je příkladem atributu základního schématu. Tento atribut nemůže být označeno jako důvěrné, protože jeho hodnota atributu systemsFlags nastavena na 0x10 (základního schématu). Další informace naleznete v části "Jak zjistit, zda je atribut základního schématu atribut" a části „ Jak určit hodnotu atributu searchFlags, pokud použijete existující atribut.

Testování

By při testování všech změn do služby Active Directory a jakékoli rozšíření schématu, doporučujeme v laboratoři, která zrcadlí výrobní doménové struktury důkladně otestujte změny atributů. Testování pomáhá zaručeno, že postup funguje hladce a rozpoznání problémů.

Ovládací prvek kontroly přístupu

Po instalaci aktualizace Windows Server 2003 SP1 a po služby Active Directory provede kontrolu přístupu pro čtení, kontroluje důvěrné atributy služby Active Directory. Pokud existují důvěrné atributy a pokud jsou nastavena oprávnění READ_PROPERTY těchto atributů služby Active Directory bude také vyžadovat CONTROL_ACCESS oprávnění pro atributy nebo pro jejich sady vlastností.

Poznámka: Nastavení oprávnění Úplné řízení zahrnuje oprávnění CONTROL_ACCESS.

Služba Active Directory provede kontrolu přístupu pro čtení objektu v následujících případech:
  • Při můžete vyhodnotit, zda objekt odpovídá vyhledávací filtr.
  • Vrátí atributy objektu odpovídající vyhledávací filtr.
Ve výchozím nastavení mají pouze správci CONTROL_ACCESS oprávnění ke všem objektům. Pouze správci proto mohou číst atributy důvěrné. Správci mohou přenést tyto oprávnění každému uživateli nebo do žádné skupiny.

Položky řízení přístupu obecné a specifické objektu

Každý objekt v adresáři služby Active Directory má informace o řízení přístupu přidružený jej. Tyto informace se nazývá popisovač zabezpečení. Popisovač zabezpečení řídí typ přístupu, který je k dispozici uživatelům a skupinám. Popisovač zabezpečení je automaticky vytvořen při vytvoření objektu.

Sada položek oprávnění v popisovači zabezpečení se nazývá volitelný seznam řízení přístupu (DACL). Každá položka oprávnění v seznamu DACL se nazývá položka řízení přístupu (ACE).

Můžete udělit oprávnění k objektu nebo udělit oprávnění CONTROL_ACCESS důvěrné atributy pomocí položky řízení přístupu obecný nebo specifický objekt na objekt. Razítkování je výslovně na objektu nebo pomocí dědičnosti můžete udělit oprávnění. Dědičnost znamená, že můžete položku dědičné přístup ovládacího prvku nastavena na kontejner, který je v hierarchii kontejneru vyšší.

Položky řízení přístupu objektu specifické a obecné jsou v podstatě stejné. Co je nastaví od sebe je stupeň kontroly, které nabízejí položky řízení přístupu dědičnosti a objektu přístup. Obecný přístup ovládacího prvku položky platné pro celý objekt. Položky řízení přístupu objektu specifické nabízejí větší kontrolu nad objekty, které dědí položka řízení přístupu. Použijete-li položce řízení přístupu specifické pro objekt, můžete určit atribut nebo sadu vlastností objektu, který položka řízení přístupu zdědí.

Při použití funkce důvěrné atributy, CONTROL_ACCESS je povoleno přiřazením položka řízení obecný přístupu uživatele. V případě přiřazením položce řízení přístupu objektu specifické je uděleno oprávnění CONTROL_ACCESS, uživatel bude pouze CONTROL_ACCESS k oprávnění důvěrné atribut.

Následující oprávnění jsou udělena, použijete-li položka řízení obecný přístupu:
  • Všechna rozšířená oprávnění
  • Povoleno ověřování
  • Změna hesla
  • Přijmout jako
  • Obnovit heslo
  • Odeslat jako
Oprávnění udělená při použití položky řízení obecný přístupu mohou stanovit další přístup, než je žádoucí přes celý objekt. Pokud tento stav nevyhovuje, můžete nastavit položce řízení přístupu objektu specifické na objekt tak, aby položka řízení přístupu se vztahuje pouze na důvěrné atribut. Použijete-li položky řízení přístupu specifické pro objekt, můžete určit vlastnosti nebo pro které platí položka řízení přístupu sadu vlastností.

Uživatelské rozhraní v systému Windows Server 2003 nevystavuje Control_Access oprávnění. Nástrojem Dsacls.exe Control_Access oprávnění nastavit přiřazením položka řízení obecný přístupu. Tento nástroj však nelze použít přiřadit položce řízení přístupu objektu specifické. Jediný nástroj, Control_Access oprávnění lze nastavit přiřazením položce řízení přístupu objektu specifické je nástroj Ldp.exe.

Poznámka:Podrobné informace, řízení přístupu je nad rámec tohoto článku. Na Další informace o řízení přístupu naleznete následujících webech společnosti Microsoft:
http://msdn.microsoft.com/en-us/library/aa374860(VS.85).aspx
http://technet.microsoft.com/en-us/library/cc749433.aspx

Použití dědičnosti

V doméně velké není praktické ručně přiřadit řízení přístupu uživateli nebo skupině pro každý objekt, který má atribut důvěrné. Řešením je dědičnost slouží k nastavení položky dědičné přístup ovládacího prvku, která je výše v hierarchii kontejneru. Všechny podřízené objekty kontejneru se vztahuje tato položka řízení přístupu.

Dědičnost je ve výchozím nastavení povoleno pro všechny organizační jednotky (OU) a pro všechny uživatelské účty, s výjimkou pro účet správce vestavěné. Při vytváření uživatelských účtů, které mají dědičnosti zakázán nebo správy účtů vytvoříte zkopírováním účtu vestavěný správce, musíte povolit dědění pro tyto účty. V opačném případě model dědičnosti se nevztahuje na tyto účty.

Jak vytvořit důvěrné atributu

  1. Určit, jaké atribut označit jako důvěrné, nebo přidat atribut, který chcete provést důvěrné.
  2. Vhodné uživatelům udělit oprávnění Control_Access tak, že uživatelé mohou zobrazit data atributu.
Nástrojů, jako jsou například nástrojem Ldp.exe a nástrojem Adsiedit.msc lze vytvořit atribut důvěrné. ldf soubory se obvykle používají pro rozšíření schématu. Tyto soubory lze také označit atribut jako důvěrné. Soubory, které vytvoříte pro implementace by měla být naladěn během fáze zkoušení aby víte přesně co přidáváte do schématu při zavedení do výroby. soubory ldf zabránit chybám.

Následující ukázkové soubory ldf lze provést následující:
  • Přidání atributu do schématu
  • Označit atribut jako důvěrné
  • Přidání atributu do třídy uživatele
Poznámka: Než použijete soubory ldf, ujistěte se, že jste čtení v částech "Identifikátory objektu" a "Attribute syntaxe" důležité informace o tom, jak přidat objekty a atributy schématu.

Ukázkové soubory ldf

Následující kód přidá atribut schématu a poté atribut za důvěrné označí.
dn: CN=ConfidentialAttribute-LDF,CN=Schema,Cn=Configuration,DC=domain,DC=com
changetype: add
objectClass: attributeSchema
lDAPDisplayName: ConfidentialAttribute
adminDescription: This attribute stores user's confidential data
attributeID: 1.2.840.113556.1.xxxx.xxxx.1.x
attributeSyntax: 2.5.5.12
oMSyntax: 64
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
searchFlags: 128

dn:
changeType: modify
add: schemaupdatenow
schemaupdatenow: 1
-
Následující kód přidá nový atribut třída uživatele
dn: CN=User,CN=Schema,CN=Configuration,DC=domain,DC=com
changetype: modify
add: mayContain
mayContain: ConfidentialAttribute

dn:
changeType: modify
add: schemaupdatenow
schemaupdatenow: 1
-

Jak umožňují uživatelům bez oprávnění správce, viz data atributu

Poznámka: Následující postupy vyžadují použití nástroje Ldp.exe, která je součástí s Windows Server 2003 R2 Active Directory Application Mode (ADAM). Ostatní verze nástroje Ldp.exe nelze nastavit oprávnění.

Jak ručně nastavit Control_Access oprávnění uživatelského účtu

  1. Spusťte nástroj Ldp.exe, která je součástí systému Windows Server 2003 R2 ADAM.
  2. Připojení a vytvoření vazby s adresářem.
  3. Vyberte uživatelský účet, klepněte pravým tlačítkem myši na účet, klepněte na tlačítko Upřesnit, klepněte na tlačítko Popisovač zabezpečení a klepněte na tlačítko OK.
  4. V rozevíracím seznamu DACL, klepněte na položku Přidat ACE.
  5. V poli Trustee zadejte název skupiny nebo uživatelské jméno, ke kterému chcete udělit oprávnění.
  6. V rozevíracím seznamu Řízení přístupu zkontrolujte změny, které jste provedli v kroku 5.

Jak přiřadit oprávnění Control_Access pomocí dědičnosti

Chcete-li použít dědičnosti, vytvořit položky řízení přístupu, který uděluje oprávnění Control_Access požadované uživatelům nebo skupinám, které jsou v hierarchii kontejneru vyšší než objekty, které mají atributy důvěrné. Tato položka řízení přístupu můžete nastavit na úrovni domény nebo na libovolný bod v kontejneru hierarchii, která funguje dobře pro rozlehlé sítě. Podřízené objekty, které mají atributy důvěrné musí mít dědičnost povolena.

Chcete-li přiřadit oprávnění Control_Access, postupujte takto:
  1. Otevřete soubor Ldp.exe, který je součástí systému Windows Server 2003 R2 ADAM.
  2. Připojte se a vazbě adresář.
  3. Vyberte organizační jednotce nebo kontejner, který je v hierarchii kontejneru vyšší než objekty, které mají atributy důvěrné, klepněte pravým tlačítkem myši na organizační jednotku nebo kontejneru, klepněte na tlačítko Upřesnit, klepněte na tlačítko Popisovač zabezpečení a klepněte na tlačítko OK.
  4. V okně seznam DACL klepněte na tlačítko Přidat položky řízení přístupu.
  5. V poli Trustee zadejte název skupiny nebo uživatelské jméno, ke kterému chcete udělit oprávnění.
  6. V rozevíracím seznamu Řízení přístupu zkontrolujte změny, které jste provedli v kroku 5.
  7. V poli Typ objektu klepněte na důvěrné atribut, který jste přidali.
  8. Ujistěte se, že je dědičnost povolena u cílových objektů.

Jak lze zjistit hodnotu atributu systemFlags použijete existující atribut

Použijete-li existující objekt, musíte ověřit, jaké je aktuální hodnota atributu searchFlags. Pokud přidáte objekt, můžete definovat hodnotu při přidávání objektu. Hodnota atributu searchFlags získat mnoha způsoby. Použít metodu, která vám nejlépe.

Chcete-li použít nástroj Ldp.exe k získání hodnoty atributu searchFlags, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte LDP a potom klepněte na tlačítko OK.
  2. Klepněte na položku připojení a potom klepněte na tlačítko vytvořit.
  3. Svázání jako správce domény kořenový nebo vázat jako účet, který je správcem organizace.
  4. Klepněte na tlačítko Zobrazit a klepněte na položku stromu.
  5. Klepněte na tlačítko CN = schéma, cn = konfigurace, dc = rootdomain a potom klepněte na tlačítko OK.
  6. V levém podokně rozbalte položku CN = schéma, cn = configuration, dc = rootdomain.
  7. Vyhledejte název domény atribut, který chcete označit jako důvěrné a poté ji rozbalte.
  8. V seznamu atributů, které jsou pro objekt naplněna vyhledejte searchFlags určit aktuální hodnotu atributu searchFlags pro daný objekt.
Poznámka: Chcete-li určit novou hodnotu atributu searchFlags, použijte následující vzorec:
128 + current searchFlags attribute value = new searchFlags attribute value

Určení, zda atributu je atribut základního schématu

K určení, zda je atribut je základním schématu atribut, zkontrolujte hodnotu atributu systemFlags pomocí nástroje Ldp.exe.

Výstup nástroje LDP ID zaměstnance – systemFlags: = 0x10 (FLAG_SCHEMA_BASE_OBJECT)

V následující ukázce Ldp.exe výstupu nástroje Ldp.exe identifikuje hodnota atributu systemFlags jako 0x10 a atribut základního schématu. Proto nemůžete označit tento atribut jako důvěrné.
>> Dn: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com
	2> objectClass: top; attributeSchema; 
	1> cn: Employee-ID; 
	1> distinguishedName: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com; 
	1> instanceType: 0x4 = ( IT_WRITE ); 
	1> whenCreated: 08/05/2005 14:58:58 Central Standard Time; 
	1> whenChanged: 08/05/2005 14:58:58 Central Standard Time; 
	1> uSNCreated: 220; 
	1> attributeID: 1.2.840.113556.1.4.35; 
	1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE ); 
	1> isSingleValued: TRUE; 
	1> rangeLower: 0; 
	1> rangeUpper: 16; 
	1> uSNChanged: 220; 
	1> showInAdvancedViewOnly: TRUE; 
	1> adminDisplayName: Employee-ID; 
	1> adminDescription: Employee-ID; 
	1> oMSyntax: 64 = ( OM_S_UNICODE_STRING ); 
	1> searchFlags: 0x0 = (  ); 
	1> lDAPDisplayName: employeeID; 
	1> name: Employee-ID; 
	1> objectGUID: 64fb3ed1-338f-466e-a879-595bd3940ab7; 
	1> schemaIDGUID: bf967962-0de6-11d0-a285-00aa003049e2; 
	1> systemOnly: FALSE; 
	1> systemFlags: 0x10 = ( FLAG_SCHEMA_BASE_OBJECT ); 
	1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=domain,DC=com;

Výstup nástroje LDP systemFlags číslo zaměstnance: 0x0 =)

V následující ukázce Ldp.exe výstupu Ldp.exe označuje hodnotu atributu systemFlags 0. This attribute can be marked as confidential.
>> Dn: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com
	2> objectClass: top; attributeSchema; 
	1> cn: Employee-Number; 
	1> distinguishedName: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com; 
	1> instanceType: 0x4 = ( IT_WRITE ); 
	1> whenCreated: 08/05/2005 14:58:58 Central Standard Time; 
	1> whenChanged: 08/05/2005 14:58:58 Central Standard Time; 
	1> uSNCreated: 221; 
	1> attributeID: 1.2.840.113556.1.2.610; 
	1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE ); 
	1> isSingleValued: TRUE; 
	1> rangeLower: 1; 
	1> rangeUpper: 512; 
	1> mAPIID: 35943; 
	1> uSNChanged: 221; 
	1> showInAdvancedViewOnly: TRUE; 
	1> adminDisplayName: Employee-Number; 
	1> adminDescription: Employee-Number; 
	1> oMSyntax: 64 = ( OM_S_UNICODE_STRING ); 
	1> searchFlags: 0x0 = (  ); 
	1> lDAPDisplayName: employeeNumber; 
	1> name: Employee-Number; 
	1> objectGUID: 2446d04d-b8b6-46c7-abbf-4d8e7e1bb6ec; 
	1> schemaIDGUID: a8df73ef-c5ea-11d1-bbcb-0080c76670c0; 
	1> systemOnly: FALSE; 
	1> systemFlags: 0x0 = (  ); 
	1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=warrenw,DC=com; 
-----------

Identifikátory objektů

Když přidáte atribut nebo třídu objektu schématu, jedna z požadované atributy je identifikátor objektu (OID). Identifikátory objektů se používají k jednoznačně definovat třídy objektů a atributů. Ujistěte se, že vaše společnost získá identifikátor jedinečný objekt k identifikaci jeho atribut. Nástroje, které generují identifikátory objektů, jako je například nástroj Oidgen.exe nejsou podporovány. Identifikátor objektu můžete získat od společnosti Microsoft, na následujícím webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/ms677620.aspx

Syntaxe atributu

Atribut attributeSyntax vyžaduje také přidat nové objekty schématu. Tento atribut definuje znázornění úložiště, pořadí bajtů a odpovídající pravidla pro porovnání typů vlastností. Syntaxe určuje, zda hodnota atributu musí být řetězec, číslo nebo jednotku času. Každý atribut každého objektu je přidružen k přesně jedna syntaxe. Přesvědčte se, že jste vybrali správný atribut syntaxi pro nový atribut. To je důležité zejména v případě, že synchronizaci adresáře Lightweight Directory Access Protocol (LDAP) s LDAP jiného adresáře. Po přidání atributu do schématu, jeho syntaxe atributu nelze změnit.

Další informace o atribut attributeSyntax navštivte následující web společnosti Microsoft:
hhttp://msdn.microsoft.com/en-us/library/ms675236(VS.85).aspx
Další informace o hodnotách v atributu searchFlags navštivte následující web společnosti Microsoft a vyhledejte "Efekty z indexování na hledání chování":
http://technet2.microsoft.com/WindowsServer/en/library/8196d68e-776a-4bbc-99a6-d8c19f36ded41033.mspx?mfr=true

Vlastnosti

ID článku: 922836 - Poslední aktualizace: 11. října 2007 - Revize: 3.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Klíčová slova: 
kbmt kbhowto kbinfo KB922836 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:922836

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com