Набор атрибутов

Сокрытие данных в AD имеет еще один аспект, касающийся контроллера домена только для чтения (RODC), который стал ключевым структурным изменением в AD с Windows Server 2008. Разряд конфиденциальности позволяет скрыть данные, хранимые в атрибутах, от пользователей с обычными правами на чтение, но помимо этого может понадобиться воспрепятствовать репликации этих данных в места развертывания RODC, поскольку концепция RODC предполагает размещение в среде, не являющейся доверенной. Для обеспечения этого дополнительного инструмента управления безопасностью логика репликации RODC была дополнена отфильтрованным набором атрибутов (FAS), что широко используется при разработке сайтов и влияет на скорость раскрутки сайтов в Белгороде.
Этот компонент позволяет снабжать флагами атрибуты в схеме AD, содержание которых не должно реплицироваться на RODC в лесу. Как разряд конфиденциальности, разряд FAS устанавливается через свойство searchFlags контролируемого атрибута; в данном случае это разряд 9 (512 в десятичном коде). После этого открытые для чтения и записи DC в лесу будут запрещать репликацию данных соответствующих атрибутов на RODC. Заметим, что для FAS действует то же ограничение, что и для разряда конфиденциальности: его нельзя использовать для атрибутов базовой схемы. Однако FAS отлично работает для любого атрибута, добавленного для расширения схемы AD.
Сохраняйте конфиденциальность
Используйте разряд конфиденциальности для контроля доступа к конфиденциальным атрибутам. Это позволит скрыть определенные атрибуты от пользователей, наделенных общими правами доступа на чтение через стандартные разрешения для объектов в AD. Рассматривая вопрос применения разряда конфиденциальности для сокрытия атрибутов от пользователей с общими правами доступа на чтение в AD, необходимо помнить общие положения. Как и другие инструменты сокрытия данных, разряд конфиденциальности не мешает администратору домена видеть конфиденциальные атрибуты объектов AD. Однако он препятствует пользователям, наделенным лишь общими правами доступа на чтение, считывать данные атрибута, указанного как конфиденциальный. Назначение атрибута как конфиденциального немедленно изменяет разрешения соответствующего атрибута для всех объектов в AD. Большинство стандартных атрибутов в AD (каждый из которых является атрибутом базовой схемы) не могут назначаться конфиденциальными. Как и при изменении наборов свойств, активация измененного разрешения в лесу AD требует повторной обработки списков управления доступом ACL. Для предоставления доступа на чтение обычным пользователям необходимо дать целевой группе разрешение CONTROL_ACCESS на доступ к конфиденциальному атрибуту. Специалистам Microsoft потребовалось время, чтобы сделать инструмент командной строки Dsacls способным эффективно управлять необходимыми разрешениями на доступ к атрибутам, однако с выходом последних версий серверных продуктов ничто не мешает правильно настроить разрешения AD для сокрытия конфиденциальных данных.