Wie Sie ein Attribut vertraulich Windows Server 2003 Service Pack 1 zu markieren

Dieser Artikel beschreibt wie Sie ein Attribut vertraulich Windows Server 2003 Service Pack 1 zu markieren.

Windows Server 2003 SP1 stellt eine Möglichkeit, ein Attribut vertraulich kennzeichnen. Dazu ändern Sie den Wert des SearchFlags -Attributs im Schema. Der SearchFlags -Attributwert enthält mehrere Bits, die verschiedenen Eigenschaften eines Attributs darstellen. Angenommen, wird Bit 1 gesetzt ist, das Attribut indiziert. Bit 7 (128) kennzeichnet das Attribut als vertraulich.

Anforderungen und Einschränkungen

Nur Domänencontroller, auf denen Windows Server 2003 SP1 oder höher ausgeführt wird, erzwingen die Überprüfung Lesezugriff auf vertrauliche Attribute. Das Feature vertraulicher Attribute ist für die Installation von Windows Server 2003 SP1 oder eine höhere Version gebunden. Dieses Feature ist nicht abhängig, ob eine Domäne oder Gesamtstruktur-Funktionsebene aktiviert ist.

Verwenden Sie das Feature vertraulicher Attribute nur die folgenden Bedingungen erfüllt sind:

• Alle Windows 2003-Domänencontroller verfügen, Windows Server 2003 SP1 oder eine höhere Version installiert.
• Alle Windows 2000-basierten Domänencontroller wurde entfernt oder aktualisiert.

Das folgende Szenario kann auftreten, wenn eine Domäne eine Mischung aus Domänencontroller enthält, auf denen Windows 2000 Server, die Originalversion von Windows Server 2003 und Windows Server 2003 SP1 ausgeführt wird:

• Wenn ein nicht autorisierter Client die Windows 2000 Server-basierten und Windows Server 2003-basierten Domänencontroller für vertrauliche Attributdaten abfragt, kann der Client die Daten lesen.
• Wenn ein nicht autorisierter Client der Windows Server 2003 SP1-basierten Domänencontroller für vertrauliche Attributdaten abfragt, der Client nicht die Daten lesen kann.

Sie können ein Basisschema Attribut vertraulich nicht markieren. Eine Mitarbeiter ID ist ein Beispiel für ein Attribut Basisschema. Dieses Attribut kann nicht als vertraulich markiert werden, da die SystemsFlags -Attributwert auf 0 x 10 (Basisschema) festgelegt ist. Weitere Informationen finden Sie Abschnitt "bestimmen, ob ein Attribut ein Attribut Basisschema ist" und im Abschnitt "So den Wert SearchFlags -Attribut zu bestimmen, wenn Sie ein vorhandenes Attribut verwenden".

Testen

Da Sie alle Änderungen an Active Directory und jede Schemaerweiterung testen würden, empfehlen wir, dass Sie gründlich Attributänderungen in einer Testumgebung testen, die Ihrer Produktionsgesamtstruktur spiegelt. Testen hilft garantiert, die die Prozedur reibungslos funktioniert und dass Probleme erkannt werden.

Zugriffsüberprüfungen-Steuerelement

Nachdem Windows Server 2003 SP1 installiert ist und nach Active Directory eine Lesezugriff Überprüfung ausführt, überprüft Active Directory vertraulicher Attribute. Wenn vertrauliche Attribute vorhanden sind und wenn READ_PROPERTY Berechtigungen für diese Attribute festgelegt sind, Active Directory ebenfalls CONTROL_ACCESS benötigen Berechtigungen für die Attribute oder Ihre Property Sets.

Hinweis: Die Einstellung Vollzugriff-Berechtigung umfasst die CONTROL_ACCESS-Berechtigung.

Active Directory führt eine Überprüfung der Lesezugriff für ein Objekt in den folgenden Fällen:

• Wenn Sie prüfen, ob das Objekt des Suchfilters entspricht.
• Wenn Sie Attribute eines Objekts zurückgeben, die den Suchfilterkriterien entsprechen.

Standardmäßig verfügen nur Administratoren CONTROL_ACCESS Berechtigungen für alle Objekte. Daher können nur Administratoren vertrauliche Attribute lesen. Administratoren können diese Berechtigungen an alle Benutzer oder jede Gruppe delegieren.

Generische und objektspezifischen Zugriffssteuerungseinträge

Jedes Objekt in Active Directory hat die Zugriffssteuerungsinformationen, die es zugeordnet ist. Diese Informationen werden als Sicherheitsbeschreibung bezeichnet. Die Sicherheitsbeschreibung steuert den Zugriff, die Benutzern und Gruppen verfügbar sind. Die Sicherheitsbeschreibung wird automatisch erstellt, wenn das Objekt erstellt wird.

Die Menge der Berechtigungseinträge in einer Sicherheitsbeschreibung wird als (discretionary Access Control List) bezeichnet. Jeder Eintrag Berechtigung in der DACL wird als einen Zugriffssteuerungseintrag (ACE) bezeichnet.

Sie können Berechtigungen für das Objekt erteilt oder CONTROL_ACCESS Berechtigungen auf vertrauliche Attribute mithilfe eines generischen oder objektspezifischen Zugriffssteuerungseintrag für das Objekt gewähren. Sie können Berechtigungen von Stempeln Sie explizit auf das Objekt oder durch Vererbung erteilen. Vererbung bedeutet, dass Sie einen vererbbarer Zugriffssteuerungseintrag für einen Container festlegen, die höher in der Hierarchie Container.

Generische und objektspezifischen Zugriffssteuerungseinträge sind im Grunde identisch. Diese auseinander legt ist der Grad Steuerelement, das die Zugriffssteuerungseinträge bieten über Vererbung und über Zugriff auf Objekte. Generische Access Control Entries gelten für das gesamte Objekt. Objektspezifischen Zugriffssteuerungseinträge bieten mehr Kontrolle über welche Objekte der ACE erben. Wenn Sie einen Zugriffssteuerungseintrag objektspezifischen verwenden, können Sie das Attribut oder den Eigenschaftensatz des Objekts, die der Zugriffssteuerungseintrag erben angeben.

Wenn Sie das Feature vertraulicher Attribute verwenden, wird die CONTROL_ACCESS Berechtigung erteilt, indem ein Benutzer ein generischer Zugriffssteuerungseintrag zuweisen. Wenn CONTROL_ACCESS Berechtigung durch Zuweisen von einen objektspezifischen Zugriffssteuerungseintrag gewährt wird, wird der Benutzer nur CONTROL_ACCESS Berechtigung, das vertrauliche Attribut verfügen.

Die folgenden Berechtigungen werden gewährt, wenn Sie ein generischer Zugriffssteuerungseintrag verwenden:

• Alle erweiterten Rechte
• Authentifizierung zugelassen
• Kennwört ändern
• Empfangen als
• Kennwort zurücksetzen
• Senden als

Wenn Sie ein generischer Zugriffssteuerungseintrag verwenden erteilten Berechtigungen mit bieten mehr Zugriff als über das gesamte Objekt gewünscht wird. Wenn dies nicht gewünscht ist, können Sie einen Zugriffssteuerungseintrag objektspezifischen auf das Objekt festlegen, so, dass der ACE nur für vertrauliche Attribut angewendet wird. Bei Verwendung von objektspezifischen Zugriffssteuerungseinträge können Sie steuern die Eigenschaft oder die Eigenschaft auf die der Zugriffssteuerungseintrag bezieht festgelegt.

Die Benutzeroberfläche in Windows Server 2003 macht keine Control_Access Berechtigungen verfügbar. Das Tool DSACLS.exe können Sie Control_Access Berechtigungen festlegen, indem ein generischer Zugriffssteuerungseintrag zuweisen. Können dieses Tool jedoch nicht verwenden, einen Zugriffssteuerungseintrag objektspezifischen zuweisen. Das einzige Tool, das Control_Access Berechtigungen festlegen kann, indem Sie einen Zugriffssteuerungseintrag objektspezifischen zuweisen ist das Tool Ldp.exe.

Hinweis: Eine ausführliche Erläuterung der Zugriffssteuerung würde den Rahmen dieses Artikels sprengen. Weitere Informationen zur Zugriffssteuerung finden Sie auf der folgenden Microsoft-Websites:

Zum Verwenden von Vererbung

In einer großen Domäne ist es nicht sinnvoll, Steuern des Zugriffs manuell zuweisen an einen Benutzer oder einer Gruppe für jedes Objekt, das vertrauliche-Attribut verfügt. Die Lösung ist die Verwendung Vererbung einen vererbbarer Zugriffssteuerungseintrag festzulegen, der in der Container-Hierarchie höher ist. Dieser Zugriffssteuerungseintrag gilt für alle untergeordneten Objekte des Containers.

Standardmäßig ist die Vererbung für alle Organisationseinheiten (OU) und für alle Benutzerkonten, außer für das integrierte Administratorkonto aktiviert. Wenn Sie Benutzerkonten erstellen, die Vererbung deaktiviert haben oder wenn Sie Administratorkonten, erstellen indem das integrierte Administratorkonto kopieren, müssen Sie die Vererbung für diese Konten aktivieren. Andernfalls gilt das Vererbungsmodell für diese Konten nicht.

Zum Erstellen von vertraulichen Attribut

1. Bestimmen, welche-Attribut als vertraulich kennzeichnen, oder fügen ein Attribut, das Sie vertrauliche vornehmen möchten.
2. Erteilen Sie die entsprechenden Benutzer Control_Access Berechtigungen, damit die Benutzer die Attributdaten anzeigen können.

Tools wie das Tool Ldp.exe und das Tool Adsiedit.msc können zum Erstellen eines vertraulichen Attributs verwendet werden. LDF-Dateien werden i. d. r. verwendet, um das Schema zu erweitern. Diese Dateien können auch verwendet werden, um ein Attribut vertraulich markieren. Die Dateien, die Sie erstellen für eine Implementierung sollten während der Testphase optimiert werden, damit Sie genau wie das Schema hinzugefügt werden beim Zuordnen wissen Produktion. LDF-Dateien für Fehler verhindern.

Die folgende ldf-Beispieldateien können für Folgendes verwendet werden:

• Das Schema ein Attribut hinzufügen
• Markieren Sie das Attribut vertraulich
• Das Attribut der Benutzerklasse hinzufügen

Hinweis: Bevor Sie LDF-Dateien verwenden, stellen Sie sicher, dass Sie die Abschnitten "Objekt-IDs" und "Attribute-Syntax" wichtige Informationen zum Objekte und Attribute im Schema hinzufügen lesen.

Beispiel LDF-Dateien

Der folgende Code Fügt ein Attribut mit dem Schema und das Attribut vertraulich markiert. Der folgende Code die Benutzer-class. neues Attribut hinzugefügt

Wie können nicht administrative Benutzer finden Sie unter die Attributdaten

Hinweis: Die folgenden Verfahren müssen Sie das Tool Ldp.exe verwenden, das mit Windows Server 2003 R2 Active Directory-Anwendungsmodus (ADAM) enthalten ist. Berechtigungen können nicht von anderen Versionen des Tools LDP.exe festgelegt werden.

Wie manuell Control_Access Berechtigungen auf ein Benutzerkonto einrichten

1. Öffnen Sie das LDP.exe-Tool, das in Windows Server 2003 R2 ADAM enthalten ist.
2. Verbinden und Binden an das Verzeichnis.
3. Wählen Sie ein Benutzerkonto, klicken Sie mit der rechten Maustaste auf das Konto, klicken Sie auf Erweitert , klicken Sie auf Sicherheitsbeschreibung und klicken Sie dann auf OK .
4. Klicken Sie im Feld DACL auf Hinzufügen ACE .
5. Geben Sie in das Feld Vertrauensnehmer den Namen der Gruppe oder den Benutzernamen Berechtigungen gewährt werden soll.
6. Überprüfen Sie im Zugriffssteuerung die in Schritt 5 vorgenommenen Änderungen.

Verwendung von Vererbung zum Control_Access Berechtigungen zuweisen

Um Vererbung verwenden, erstellen Sie einen Zugriffssteuerungseintrag, der Control_Access Berechtigungen den gewünschten Benutzer oder Gruppen, die in der Container-Hierarchie höher sind als die Objekte, die vertrauliche Attribute erteilt. Sie können diesen Zugriffssteuerungseintrag auf Domänenebene oder zu jedem Zeitpunkt die Hierarchie der Container, die für ein Unternehmen gut funktioniert festlegen. Die untergeordneten Objekte, die vertrauliche Attribute müssen Vererbung aktiviert haben.

Gehen Sie folgendermaßen vor um Control_Access Berechtigungen zuzuweisen,

1. Öffnen Sie die Ldp.exe-Datei, die in Windows Server 2003 R2 ADAM enthalten ist.
2. Verbinden und Binden an ein Verzeichnis.
3. Wählen Sie eine ORGANISATIONSEINHEIT oder einen Container, der ist, klicken Sie in der Container-Hierarchie höher als mit der rechten Maustaste auf die Objekte mit vertrauliche Attribute, die ORGANISATIONSEINHEIT oder den Container, klicken auf Erweitert , klicken Sie auf Sicherheitsbeschreibung , und klicken Sie dann auf OK .
4. Klicken Sie im DACL ACE hinzufügen .
5. Geben Sie in das Feld Vertrauensnehmer den Namen der Gruppe oder den Benutzernamen Berechtigungen gewährt werden soll.
6. Überprüfen Sie im Zugriffssteuerung die in Schritt 5 vorgenommenen Änderungen.
7. Klicken Sie im Typ auf das vertrauliche Attribut, das Sie hinzugefügt.
8. Stellen Sie sicher, dass Vererbung auf die Zielobjekte aktiviert ist.

Zum Wert des SystemFlags-Attributs zu ermitteln, wenn Sie ein vorhandenes Attribut

Wenn Sie ein vorhandenes Objekt verwenden, müssen Sie überprüfen, was der Wert des aktuellen SearchFlags -Attributs ist. Wenn Sie ein Objekt hinzufügen, können Sie den Wert definieren, wenn Sie das Objekt hinzufügen. Es gibt viele Möglichkeiten zum Abrufen des SearchFlags -Attribut-Wertes. Verwenden Sie die Methode, die für Sie am besten geeignet ist.

Gehen Sie folgendermaßen vor um das Tool Ldp.exe verwenden, um den Wert des SearchFlags -Attributs zu erhalten:

1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie LDP und klicken Sie dann auf OK .
2. Klicken Sie auf Verbindung , und klicken Sie dann auf binden .
3. Als Administrator der Stammdomäne binden oder als ein Konto, das ein Unternehmensadministrator ist gebunden.
4. Klicken Sie auf Ansicht , und klicken Sie dann auf Struktur .
5. Klicken Sie auf CN = Schema, Cn = Configuration, dc = rootdomain, und klicken Sie dann auf OK .
6. Erweitern Sie im linken Bereich CN = Schema, Cn = Configuration, dc = rootdomain.
7. Suchen Sie den Domänennamen des Attributs, das Sie als vertraulich kennzeichnen möchten, und erweitern Sie ihn.
8. Finden Sie in der Liste der Attribute, die für das Objekt aufgefüllt werden SearchFlags um den aktuellen SearchFlags -Attribut-Wert für das Objekt zu ermitteln.

Hinweis: Um den neuen SearchFlags -Attributwert zu bestimmen, verwenden Sie die folgende Formel:

Wie Sie feststellen, ob ein Attribut ein Attribut Basisschema ist

Bestimmen, ob ein Attribut ein Attribut Basisschema, verwenden Sie das Tool Ldp.exe um den Wert des SystemFlags -Attributs zu untersuchen.

LDP-Ausgabe der MITARBEITERNUMMER ? SystemFlags: 0 x 10 = (FLAG_SCHEMA_BASE_OBJECT)

In der folgenden Beispielausgabe Ldp.exe identifiziert Ldp.exe den SystemFlags- Attribut-Wert, als 0 x 10 und als ein Attribut Basisschema. Daher kann nicht dieses Attribut als vertraulich markiert werden.

LDP-Ausgabe von Mitarbeiter-Number SystemFlags: 0 x 0 =)

In der folgenden Beispielausgabe Ldp.exe identifiziert Ldp.exe den SystemFlags- Attribut-Wert als 0. This attribute can be marked as confidential.

Objektkennungen

Wenn Sie ein Attribut oder ein Class-Objekt mit dem Schema hinzufügen, lautet eines der erforderlichen Attribute die Objektkennung (auch als OID bezeichnet). Objektkennungen werden zur eindeutigen Definition von Objektklassen und Attribute. Stellen Sie sicher, dass Ihr Unternehmen eine eindeutige Objektkennung zur Identifizierung der Attributs abruft. Tools, die Objektkennungen, wie z. B. die Oidgen.exe-Tool generiert werden nicht unterstützt. Um einen Objektbezeichner von Microsoft zu erhalten, die folgende Microsoft-Website:

Attributsyntax

Das AttributeSyntax -Attribut ist auch erforderlich, um dem Schema neue Objekte hinzuzufügen. Dieses Attribut definiert den Speicher Darstellung, Bytereihenfolge und Zuordnungsregeln für Vergleiche von Eigenschaftentypen. Die Syntax definiert, ob der Attributwert eine Zeichenfolge, eine Zahl oder eine Zeiteinheit sein muss. Jedes Attribut jedes Objekts ist mit genau einer Syntax verknüpft. Stellen Sie sicher, dass die richtige Attributsyntax für das neue Attribut auswählen. Dies ist besonders wichtig, wenn Sie ein Verzeichnis (LIGHTWEIGHT Directory Access Protocol) mit einem anderen LDAP synchronisieren Verzeichnis. Nachdem das Attribut dem Schema hinzugefügt wurde, kann nicht die Attributsyntax geändert werden.

Weitere Informationen zu AttributeSyntax -Attribut der folgenden Microsoft-Website:Weitere Informationen zu Werten im SearchFlags -Attributs der folgenden Microsoft-Website, und suchen dann nach "Auswirkungen der Indizierung auf Suchen Verhalten":