Атрибут базовой схемы

ad-old-new-values-thumb

При попытке установить разряд конфиденциальности для атрибута категории 1 (то есть атрибута базовой схемы) в ответ будет выдано дезориентирующее сообщение об ошибке, показанное на экране 4. Всегда следует помнить о том, что атрибут базовой схемы нельзя сделать конфиденциальным. Как только этот флаг установлен (и кэш схемы обновлен), заполненный атрибут становится невидимым для обычного пользователя, наделенного правом чтения всех атрибутов (Read All Attributes) через стандартные разрешения, предоставляемые субъекту безопасности SELF. На экране показано содержимое атрибута до (слева) и после (справа) активации разряда конфиденциальности. Сразу возникает другой вопрос: как установить разрешение CONTROL_ACCESS для доступа к скрытому атрибуту? В Windows Server 2003 SP1 не предусмотрены средства командной строки, позволяющие устанавливать такое право доступа на уровне атрибута. Однако в Windows Server 2008 и более новых версиях обновленный вариант Dsacls полностью поддерживает такую возможность, как показало тестирование на DC под управлением Windows Server 2012. Синтаксис добавления разрешения CONTROL_ACCESS с помощью Dsacls выглядит так: DSACLS /G: : CA; При назначении пользователю или группе разрешения CONTROL_ ACCESS на уровне свойства необходимо указать отображаемое имя этого свойства (в нашем случае employeeNumber): DSACLS «CN=Root — User1, OU=UserAccounts, DC=root, DC=net»/G root\HR — users: employeeNumber К сожалению, со времени появления CONTROL_ACCESS отсутствует удобный пользовательский интерфейс для управления этим разрешением. В Windows Server 2012 в этом отношении ничего не изменилось. Однако с момента выхода Windows Server 2003 R2 программа LDP.exe включает мощный редактор безопасности, позволяющий видеть и устанавливать флаг CONTROL_ACCESS для определенного атрибута объекта. Перейдите к объекту, для которого требуется изменить разрешения. Щелкните на объекте правой кнопкой и выберите «Дополнительно» (Advanced), «Дескриптор безопасности» (Security Descriptor). Всплывает диалоговое окно, где можно задать параметры отображения дескриптора безопасности. Не следует выбирать установку «Дамп текста» (Text dump), при которой дескриптор выгружается в окно вывода. Новый редактор безопасности запускается при использовании установок по умолчанию. Чтобы предоставить атрибуту employeeNumber разрешение на доступ к управлению, выберите Add АСЕ. Управление разрешениями для атрибутов в списке отдельных объектов в AD из пользовательского интерфейса работает не слишком эффективно. Если вам нужно управлять разрешениями доступа к конфиденциальным атрибутам, но вы все еще работаете с AD под управлением версии более ранней, чем Windows Server 2008, рассмотрите вопрос об организации вспомогательного сервера с более новой версией Windows Server. Это позволит вам задействовать более новую версию Dsacls, а дело того стоит!