Como marcar um atributo como confidenciais no Windows Server 2003 Service Pack 1

Traduções de Artigos Traduções de Artigos
Artigo: 922836 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

do serviço directório Active Directory para o Microsoft Windows Server 2000 e para o Microsoft Windows Server 2003, é difícil impedir que um utilizador autenticado ao ler um atributo. Geralmente, se o utilizador solicita READ_PROPERTY permissões para um atributo ou para o conjunto de propriedades, é concedido acesso de leitura. Segurança predefinida no Active Directory é definida para que os utilizadores autenticados tenham acesso de leitura para todos os atributos. Este artigo descreve como impedir o acesso de leitura para um atributo no Windows Server 2003 Service Pack 1 (SP1).

INTRODUÇÃO

Este artigo descreve como marcar um atributo como confidenciais no Windows Server 2003 Service Pack 1.

Mais Informação

Windows Server 2003 SP1 inclui uma forma de marcar um atributo como confidencial. Para o fazer, modifique o valor do atributo searchFlags no esquema. O valor do atributo searchFlags contém vários bits que representam as diversas propriedades de um atributo. Por exemplo, se o bit 1 estiver definido, o atributo está indexado. Bit 7 (128) designa o atributo como confidencial.

Requisitos e restrições

Apenas controladores de domínio que executem o Windows Server 2003 SP1 ou uma versão posterior impõem a verificação de acesso de leitura para atributos confidenciais. A funcionalidade de atributos confidencial está associada à instalação do Windows Server 2003 SP1 ou uma versão posterior. Esta funcionalidade não depende se um domínio ou um nível funcional de floresta está activado.

Não utilize a funcionalidade de atributos confidenciais a menos que se verifiquem as seguintes condições:
  • Todos os controladores de domínio baseado no Windows Server 2003 de ter o Windows Server 2003 SP1 ou uma versão posterior instalado.
  • Todos os controladores de domínio baseado no Windows 2000 foram actualizados ou removidos.
Se um domínio contiver uma mistura de controladores de domínio com o Windows 2000 Server, a versão original do Windows Server 2003 e Windows Server 2003 SP1, poderá ocorrer o seguinte cenário:
  • Se um cliente não autorizado consultas os controladores de domínio baseado no Windows 2000 Server e baseado no Windows Server 2003 para dados confidenciais atributo, o cliente poderá ler os dados.
  • Se um cliente não autorizado consulta o controlador de domínio baseados no Windows Server 2003 SP1 para dados confidenciais atributo, o cliente não consegue ler os dados.
Não é possível marcar um atributo de esquema base como confidencial. Um ID do empregado é um exemplo de um atributo de esquema base. Este atributo não pode ser marcado como confidencial porque o respectivo valor de atributo systemsFlags está definido para 0 x 10 (esquema base). Para mais informações, consulte a secção "Como determinar se um atributo é um atributo de esquema base" e a secção "Como determinar o valor do atributo searchFlags quando utiliza um atributo existente".

Testar

À medida que vai testa qualquer alteração ao Active Directory e qualquer extensão do esquema, recomendamos que teste exaustivamente as alterações de atributos num laboratório que espelha a floresta de produção. Teste ajuda a garantia de que o procedimento funciona sem problemas e são detectados problemas.

Verificações de controlo de acesso

Depois do Windows Server 2003 SP1 está instalado e depois do Active Directory efectua uma verificação de acesso de leitura, Active Directory verifica atributos confidenciais. Se atributos confidenciais existem e se READ_PROPERTY permissões são definidas para estes atributos, Active Directory também necessitará CONTROL_ACCESS permissões para os atributos ou para os respectivos conjuntos de propriedades.

Nota A definição da permissão Controlo total inclui a permissão CONTROL_ACCESS.

O Active Directory efectua uma verificação de acesso de leitura de um objecto nos seguintes casos:
  • Quando avaliar se o filtro de procura corresponde ao objecto.
  • Quando regressar atributos de um objecto que correspondam ao filtro procura.
Por predefinição, apenas os administradores têm permissões de CONTROL_ACCESS a todos os objectos. Por conseguinte, só os administradores podem ler atributos confidenciais. Os administradores podem delegar estas permissões a qualquer utilizador ou a qualquer grupo.

Entradas de controlo de acesso genérico e específico de objecto

Todos os objectos do Active Directory tem informações de controlo de acesso associadas à mesma. Esta informação é conhecida como um descritor de segurança. O descritor de segurança controla o tipo de acesso que está disponível para utilizadores e grupos. O descritor de segurança é criado automaticamente quando o objecto é criado.

O conjunto de entradas de permissão num descritor de segurança é denominado uma lista de controlo de acesso discricionário (DACL). Cada entrada de permissão a DACL é conhecida como uma entrada de controlo de acesso (ACE).

Pode conceder permissões para o objecto ou conceder permissões CONTROL_ACCESS atributos confidenciais utilizando uma entrada de controlo de acesso genérico ou específico do objecto no objecto. Pode conceder permissões, marca-os explicitamente no objecto ou utilizando a herança. Herança significa que defina uma entrada de controlo de acesso herdáveis num contentor é superior na hierarquia do contentor.

Entradas de controlo de acesso genérico e específico de objecto são basicamente os mesmos. O que define-los separadamente é o grau de controlo que oferecem as entradas de controlo de acesso através de herança e sobre o acesso a objectos. Aplicar entradas de controlo de acesso genérico ao objecto inteiro. Entradas de controlo de acesso específica de objectos oferecem maior controlo sobre que objectos herdam a entrada de controlo de acesso. Quando utiliza uma entrada de controlo de acesso de objecto específico, pode especificar o atributo ou o conjunto de propriedades do objecto herdará a entrada de controlo de acesso.

Quando utiliza a funcionalidade de atributos confidenciais, CONTROL_ACCESS permissão é concedida ao atribuir uma entrada de controlo de acesso genérico a um utilizador. Se é concedida permissão CONTROL_ACCESS atribuindo uma entrada de controlo de acesso de objecto específico, o utilizador só terá CONTROL_ACCESS permissão para o atributo confidencial.

As seguintes permissões são concedidas quando utiliza uma entrada de controlo de acesso genérico:
  • Direitos expandidos todos os
  • Permitido autenticar
  • Alterar palavra-passe
  • Receber como
  • Repor palavra-passe
  • Enviar como
Permissões que são concedidas quando utiliza uma entrada de controlo de acesso genérico podem fornecer acesso mais do que pretender sobre o objecto inteiro. Se este for um factor a considerar, pode definir uma entrada de controlo de acesso de objecto específico no objecto para que a entrada de controlo de acesso só se aplica a atributo confidencial. Quando utilizar entradas de controlo de acesso específica de objectos, pode controlar a propriedade ou a propriedade definida para que se aplica a entrada de controlo de acesso.

A interface de utilizador no Windows Server 2003 não expõe Control_Access permissões. Pode utilizar a ferramenta Dsacls.exe para definir permissões Control_Access atribuindo uma entrada de controlo de acesso genérico. No entanto, pode utilizar esta ferramenta para atribuir uma entrada de controlo de acesso de objecto específico. A ferramenta só pode definir permissões de Control_Access atribuindo uma entrada de controlo de acesso específica de objectos é a ferramenta Ldp.exe.

Nota Uma aprofundada do controlo de acesso está para além do âmbito deste artigo. Para obter mais informações sobre o controlo de acesso, visite os seguintes Web sites da Microsoft:
http://msdn.microsoft.com/en-us/library/aa374860(VS.85).aspx
http://technet.microsoft.com/en-us/library/cc749433.aspx

A utilização da herança

Num domínio grande, não é prático atribuir manualmente controlar o acesso a um utilizador ou a um grupo para cada objecto tem um atributo confidencial. A solução é utilizar a herança para definir uma entrada de controlo de acesso herdáveis que é superior na hierarquia do contentor. Este movimento de controlo de acesso se aplica a todos os objectos subordinados desse contentor.

Por predefinição, a herança está activada para todas as unidades organizacionais (UO) e para todas as contas de utilizador, excepto para a conta de administrador incorporada. Se criar contas de utilizador que tenham desactivada a herança, ou se criar contas administrativas copiando a conta de administrador incorporada, terá de activar a herança para estas contas. Caso contrário, o modelo de herança não se aplica a estas contas.

Como criar um atributo confidencial

  1. Determinar qual o atributo para marcar como confidenciais ou adicionar um atributo que pretende tornar confidenciais.
  2. Conceda aos utilizadores apropriados Control_Access permissões para que os utilizadores possam visualizar os dados de atributo.
Ferramentas, tais como a ferramenta Ldp.exe e a ferramenta Adsiedit.msc podem ser utilizadas para criar um atributo confidencial. .ldf ficheiros são normalmente utilizados para expandir o esquema. Estes ficheiros também podem ser utilizados para marcar um atributo como confidencial. Os ficheiros que criar para uma implementação devem ser optimizados durante a fase de teste para que saibam exactamente o que está a adicionar o esquema quando Ir para produção. ficheiros .ldf ajudar a evitar erros.

Os ficheiros de .ldf de exemplo seguintes podem ser utilizados para efectuar o seguinte:
  • Adicionar um atributo de esquema
  • Marcar o atributo como confidencial
  • Adicione o atributo para a classe de utilizadores
Nota Antes de utilizar ficheiros .ldf, certifique-se de que leia as secções "Identificadores de objectos" e "Attribute sintaxe" para obter informações importantes sobre como adicionar objectos e atributos ao esquema.

Exemplo .ldf ficheiros

O seguinte código adiciona um atributo no esquema e, em seguida, marca o atributo como confidencial.
dn: CN=ConfidentialAttribute-LDF,CN=Schema,Cn=Configuration,DC=domain,DC=com
changetype: add
objectClass: attributeSchema
lDAPDisplayName: ConfidentialAttribute
adminDescription: This attribute stores user's confidential data
attributeID: 1.2.840.113556.1.xxxx.xxxx.1.x
attributeSyntax: 2.5.5.12
oMSyntax: 64
isSingleValued: TRUE
showInAdvancedViewOnly: TRUE
searchFlags: 128

dn:
changeType: modify
add: schemaupdatenow
schemaupdatenow: 1
-
O seguinte código adiciona o atributo novo para o utilizador class.
dn: CN=User,CN=Schema,CN=Configuration,DC=domain,DC=com
changetype: modify
add: mayContain
mayContain: ConfidentialAttribute

dn:
changeType: modify
add: schemaupdatenow
schemaupdatenow: 1
-

Como permitir que os utilizadores não administrativos os dados de atributo

Nota Os seguintes procedimentos requerem que utilize a ferramenta Ldp.exe incluída com o Windows Server 2003 R2 Active Directory Application Mode (ADAM). Outras versões da ferramenta Ldp.exe não é possível definir permissões.

Como definir manualmente Control_Access permissões numa conta de utilizador

  1. Abra a ferramenta Ldp.exe incluída no Windows Server 2003 R2 ADAM.
  2. Ligar e o enlace ao directório.
  3. Seleccionar uma conta de utilizador, clique com o botão direito do rato na conta, clique em Avançadas , clique em Descritor de segurança e, em seguida, clique em OK .
  4. Na caixa DACL , faça clique sobre Adicionar ACE, Access Control ENTRY .
  5. Na caixa Trustee , escreva o nome de grupo ou o nome de utilizador ao qual pretende conceder permissões.
  6. Na caixa de Controlar o acesso , verifique se as alterações que efectuou no passo 5.

A utilização da herança para atribuir permissões Control_Access

Para utilizar a herança, crie uma entrada de controlo de acesso que concede permissões Control_Access aos utilizadores pretendidos ou grupos que são superiores na hierarquia do contentor de objectos com atributos confidenciais. Pode definir esta entrada de controlo de acesso ao nível do domínio ou em qualquer ponto na hierarquia de contentor que funciona bem com uma empresa. Os objectos subordinados que possuem atributos confidenciais tem de ter activada a herança.

Para atribuir permissões Control_Access, siga estes passos:
  1. Abra o ficheiro Ldp.exe incluída no Windows Server 2003 R2 ADAM.
  2. Ligar e associar a um directório.
  3. Seleccione uma OU ou um contentor que é mais acima na hierarquia do contentor do clique com o botão direito dos objectos que têm atributos confidenciais, rato OU ou contentor, clique em Avançadas , clique em Descritor de segurança e, em seguida, clique em OK .
  4. Na caixa DACL , clique em Adicionar ACE .
  5. Na caixa Trustee , escreva o nome de grupo ou o nome de utilizador ao qual pretende conceder permissões.
  6. Na caixa de Controlar o acesso , verifique se as alterações que efectuou no passo 5.
  7. Na caixa Tipo de objecto , faça clique sobre o atributo confidencial que adicionou.
  8. Certifique-se que a herança está activada em objectos de destino.

Como determinar o valor do atributo systemFlags quando utiliza um atributo existente

Se utilizar um objecto existente, terá de verificar que o valor de atributo searchFlags actual for. Se adicionar um objecto, pode definir o valor quando adicionar o objecto. Existem muitas formas de obter o valor do atributo searchFlags . Utilize o método que funcione melhor para si.

Para utilizar a ferramenta Ldp.exe para obter o valor do atributo searchFlags , siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva LDP e, em seguida, clique em OK .
  2. Clique em ligação e clique em ligação .
  3. Ligar como o administrador do domínio de raiz ou ligar como uma conta que seja um administrador da empresa.
  4. Clique em Ver e clique em árvore .
  5. Clique em CN = schema, cn = configuration, dc = rootdomain e, em seguida, clique em OK .
  6. No painel esquerdo, expanda CN = schema, cn = configuration, dc = rootdomain.
  7. Localize o nome de domínio do atributo que pretende marcar como confidenciais e, em seguida, expandir.
  8. Na lista de atributos que são preenchidas para o objecto, localize searchFlags para determinar o valor do atributo searchFlags actual para esse objecto.
Nota Para determinar o novo valor do atributo searchFlags , utilize a seguinte fórmula:
128 + current searchFlags attribute value = new searchFlags attribute value

Como determinar se um atributo é um atributo de esquema base

Para determinar se um atributo é um atributo de esquema base, utilize a ferramenta Ldp.exe para examinar o valor do atributo systemFlags .

Resultado LDP do ID de empregado ? systemFlags: 0 x 10 = (FLAG_SCHEMA_BASE_OBJECT)

Na saída de LDP.exe do seguinte exemplo, o Ldp.exe identifica o valor do atributo systemFlags como 0 x 10 e como um atributo de esquema base. Por conseguinte, não pode marcar este atributo como confidencial.
>> Dn: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com
	2> objectClass: top; attributeSchema; 
	1> cn: Employee-ID; 
	1> distinguishedName: CN=Employee-ID,CN=Schema,CN=Configuration,DC=domain,DC=com; 
	1> instanceType: 0x4 = ( IT_WRITE ); 
	1> whenCreated: 08/05/2005 14:58:58 Central Standard Time; 
	1> whenChanged: 08/05/2005 14:58:58 Central Standard Time; 
	1> uSNCreated: 220; 
	1> attributeID: 1.2.840.113556.1.4.35; 
	1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE ); 
	1> isSingleValued: TRUE; 
	1> rangeLower: 0; 
	1> rangeUpper: 16; 
	1> uSNChanged: 220; 
	1> showInAdvancedViewOnly: TRUE; 
	1> adminDisplayName: Employee-ID; 
	1> adminDescription: Employee-ID; 
	1> oMSyntax: 64 = ( OM_S_UNICODE_STRING ); 
	1> searchFlags: 0x0 = (  ); 
	1> lDAPDisplayName: employeeID; 
	1> name: Employee-ID; 
	1> objectGUID: 64fb3ed1-338f-466e-a879-595bd3940ab7; 
	1> schemaIDGUID: bf967962-0de6-11d0-a285-00aa003049e2; 
	1> systemOnly: FALSE; 
	1> systemFlags: 0x10 = ( FLAG_SCHEMA_BASE_OBJECT ); 
	1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=domain,DC=com;

Saída LDP do número de empregado systemFlags: 0 x 0 =)

Na saída de LDP.exe do seguinte exemplo, o Ldp.exe identifica o valor do atributo systemFlags como 0. This attribute can be marked as confidential.
>> Dn: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com
	2> objectClass: top; attributeSchema; 
	1> cn: Employee-Number; 
	1> distinguishedName: CN=Employee-Number,CN=Schema,CN=Configuration,DC=warrenw,DC=com; 
	1> instanceType: 0x4 = ( IT_WRITE ); 
	1> whenCreated: 08/05/2005 14:58:58 Central Standard Time; 
	1> whenChanged: 08/05/2005 14:58:58 Central Standard Time; 
	1> uSNCreated: 221; 
	1> attributeID: 1.2.840.113556.1.2.610; 
	1> attributeSyntax: 2.5.5.12 = ( SYNTAX_UNICODE_TYPE ); 
	1> isSingleValued: TRUE; 
	1> rangeLower: 1; 
	1> rangeUpper: 512; 
	1> mAPIID: 35943; 
	1> uSNChanged: 221; 
	1> showInAdvancedViewOnly: TRUE; 
	1> adminDisplayName: Employee-Number; 
	1> adminDescription: Employee-Number; 
	1> oMSyntax: 64 = ( OM_S_UNICODE_STRING ); 
	1> searchFlags: 0x0 = (  ); 
	1> lDAPDisplayName: employeeNumber; 
	1> name: Employee-Number; 
	1> objectGUID: 2446d04d-b8b6-46c7-abbf-4d8e7e1bb6ec; 
	1> schemaIDGUID: a8df73ef-c5ea-11d1-bbcb-0080c76670c0; 
	1> systemOnly: FALSE; 
	1> systemFlags: 0x0 = (  ); 
	1> objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=warrenw,DC=com; 
-----------

Identificadores de objectos

Quando adicionar um atributo ou um objecto de classe ao esquema, uma dos atributos necessários é o identificador de objectos (também conhecido como OID). Identificadores de objecto são utilizados para exclusivamente definir classes de objectos e atributos. Certifique-se de que a empresa obtém um identificador de objecto exclusivo para identificar o atributo. Ferramentas que geram identificadores de objectos, tais como a ferramenta Oidgen.exe, não são suportadas. Para obter um identificador de objecto da Microsoft, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/ms677620.aspx

Sintaxe do atributo

O atributo attributeSyntax também é necessário para adicionar novos objectos ao esquema. Este atributo define a representação de armazenamento, byte a ordenação e regras de correspondência para comparações dos tipos de propriedades. A sintaxe define se o valor do atributo tem de ser uma cadeia, um número ou uma unidade de tempo. Cada atributo de cada objecto está associado a exactamente uma sintaxe. Certifique-se de que selecciona a sintaxe do atributo correcto para o novo atributo. Isto é especialmente importante se sincronizar um directório (LIGHTWEIGHT Directory Access Protocol) com o LDAP outro directório. Depois do atributo é adicionado ao esquema, a sintaxe do atributo não pode ser modificado.

Para mais informações sobre o atributo attributeSyntax , visite o seguinte Web site da Microsoft:
hhttp://msdn.microsoft.com/en-us/library/ms675236(VS.85).aspx
Para obter mais informações sobre valores de atributo searchFlags , visite o seguinte Web site da Microsoft e, em seguida, procure "Efeitos de indexação na procura comportamento":
http://technet2.microsoft.com/WindowsServer/en/library/8196d68e-776a-4bbc-99a6-d8c19f36ded41033.mspx?mfr=true

Propriedades

Artigo: 922836 - Última revisão: 11 de outubro de 2007 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbhowto kbinfo KB922836 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 922836

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com