Windows活动目录是对象的分层架构。它提供各种活动目录对象的信息,如资源、服务、用户帐户、组等,并设置这些对象的访问权限和安全性。活动目录网络组件的结构如下:
管理安全权限
Windows支持的基本安全权限(例如读取、写入和完全控制)可用于活动目录上的每个对象。除了这些标准权限外,AD还提供一些基于对象类别的特殊权限,例如列表内容、删除树、列表对象、自写、控制访问、创建子项、删除子项、读取属性、写入属性等。
这些权限须分配给用户或组,以限制或授予对活动目录对象的访问。用户或组的每个权限分配被称为访问控制项(ACE)。
继承权限
容器(或父对象)上设置的权限也可应用于其子对象,这称为继承权限。活动目录安全模型使您可以定义显式权限或将权限传播到其子对象。例如,您可以指定以下传播条件:
容器可以是任何活动目录组件,例如域、组织单元,且只有那些容器内的对象才能从父级继承权限。