Στη Διαχείριση εξουσιοδοτήσεων, οι παραλήπτες της πολιτικής εξουσιοδότησης αντιπροσωπεύονται από τα παρακάτω διαφορετικά είδη ομάδων:
-
Χρήστες και ομάδες των Windows. Αυτές οι ομάδες περιλαμβάνουν χρήστες, υπολογιστές και ενσωματωμένες ομάδες για αρχές ασφαλείας. Οι χρήστες και οι ομάδες των Windows χρησιμοποιούνται σε όλα τα Windows, όχι μόνο στη Διαχείριση εξουσιοδοτήσεων.
-
Ομάδες εφαρμογών. Αυτές οι ομάδες περιλαμβάνουν βασικές ομάδες εφαρμογών και ομάδες ερωτημάτων για το πρωτόκολλο LDAP (Lightweight Directory Access Protocol). Οι ομάδες εφαρμογών είναι συγκεκριμένες για τη διαχείριση που βασίζεται σε ρόλους μέσω της Διαχείρισης εξουσιοδοτήσεων.
 | Σημαντικό |
|
Μια ομάδα εφαρμογών είναι μια ομάδα χρηστών, υπολογιστών ή άλλων αρχών ασφαλείας. Μια ομάδα εφαρμογών δεν είναι μια ομάδα από εφαρμογές. |
-
Ομάδες ερωτημάτων για το πρωτόκολλο LDAP. Η ιδιότητα μέλους σε αυτές τις ομάδες υπολογίζεται δυναμικά όπως απαιτείται από τα ερωτήματα για το πρωτόκολλο LDAP. Μια ομάδα ερωτημάτων για το πρωτόκολλο LDAP είναι ένας τύπος ομάδας εφαρμογών.
-
Βασικές ομάδες εφαρμογών. Αυτές οι ομάδες ορίζονται αναφορικά με τις ομάδες ερωτημάτων για το πρωτόκολλο LDAP, τους χρήστες και τις ομάδες των Windows και άλλες βασικές ομάδες εφαρμογών. Μια βασική ομάδα εφαρμογών είναι ένας τύπος ομάδας εφαρμογών.
-
Ομάδα εφαρμογών επιχειρησιακού κανόνα. Αυτές οι ομάδες ορίζονται από μια δέσμη ενεργειών η οποία συντάσσεται σε γλώσσα VBScript ή JScript και έχει ως αποτέλεσμα η ιδιότητα μέλους ομάδας να καθορίζεται δυναμικά κατά το χρόνο εκτέλεσης σύμφωνα με τα κριτήρια που ορίζετε.
Χρήστες και ομάδες των Windows
Για περισσότερες πληροφορίες σχετικά με τις ομάδες στις υπηρεσίες τομέα Active Directory (AD DS), ανατρέξτε στο θέμα
Ομάδες εφαρμογών
Όταν δημιουργείτε μια ομάδα εφαρμογών, πρέπει να καθορίσετε αν θέλετε να είναι μια ομάδα ερωτημάτων για το πρωτόκολλο LDAP ή μια βασική ομάδα εφαρμογών. Για τις εφαρμογές της Διαχείρισης εξουσιοδοτήσεων που βασίζονται σε ρόλους, όποια εξουσιοδότηση μπορείτε να κάνετε με τους χρήστες και τις ομάδες των Windows, μπορείτε να την κάνετε και με τις ομάδες εφαρμογών.
Δεν επιτρέπονται κυκλικοί ορισμοί ιδιότητας μέλους και το αποτέλεσμα θα είναι να προκύψει το μήνυμα σφάλματος "Δεν είναι δυνατή η προσθήκη <ονόματος ομάδας>. Συνέβη το παρακάτω πρόβλημα: Εντοπίστηκε ένας βρόχος."
Ομάδες ερωτημάτων για το πρωτόκολλο LDAP
Στη Διαχείριση εξουσιοδοτήσεων, μπορείτε να χρησιμοποιήσετε ερωτήματα LDAP για να εντοπίσετε αντικείμενα στις υπηρεσίες AD DS, στις υπηρεσίες καταλόγου Lightweight Active Directory (AD LDS) και άλλους συμβατούς καταλόγους LDAP.
Μπορείτε να χρησιμοποιήσετε ένα ερώτημα για το πρωτόκολλο LDAP για να καθορίσετε μια ομάδα ερωτημάτων για το πρωτόκολλο LDAP, πληκτρολογώντας το επιθυμητό ερώτημα για το πρωτόκολλο LDAP στον παρεχόμενο χώρο, στην καρτέλα Ερώτημα του παραθύρου διαλόγου Ιδιότητες της ομάδας εφαρμογών.
Η Διαχείριση εξουσιοδοτήσεων υποστηρίζει δύο τύπους ερωτημάτων LDAP που μπορούν να χρησιμοποιηθούν για τον ορισμό μιας ομάδας ερωτημάτων για το πρωτόκολλο LDAP: ερωτήματα Διαχείρισης εξουσιοδοτήσεων έκδοσης 1 και ερωτήματα για το πρωτόκολλο LDAP με μορφή διεύθυνσης URL.
-
Ερωτήματα για το πρωτόκολλο LDAP σε μορφή Διαχείρισης εξουσιοδοτήσεων έκδοσης 1
Τα ερωτήματα για το πρωτόκολλο LDAP σε μορφή έκδοσης 1 παρέχουν περιορισμένη υποστήριξη σύνταξης ερωτημάτων για το πρωτόκολλο LDAP με μορφή διεύθυνσης URL που περιγράφεται στο RFC 2255. Αυτά τα ερωτήματα περιορίζονται σε υποβολή στη λίστα χαρακτηριστικών του αντικειμένου χρήστη που καθορίζεται στο τρέχον περιβάλλον συστήματος-πελάτη.
Για παράδειγμα, το παρακάτω ερώτημα βρίσκει όλους τους χρήστες εκτός από τη Δήμητρα:
(&(objectCategory=person)(objectClass=user)(!cn=δήμητρα)).
Αυτό το ερώτημα εκτιμά αν το σύστημα-πελάτης είναι μέλος του ψευδώνυμου StatusReports στην τοποθεσία northwindtraders.com:
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
Η Διαχείριση εξουσιοδοτήσεων συνεχίζει να υποστηρίζει ερωτήματα έκδοσης 1 ώστε οι λύσεις που δημιουργήθηκαν χρησιμοποιώντας προηγούμενες εκδόσεις της Διαχείρισης εξουσιοδοτήσεων να μπορούν να αναβαθμιστούν με λιγότερη προσπάθεια.
-
Ερωτήματα για το πρωτόκολλο LDAP με μορφή διεύθυνσης URL
Για να καταργήσετε τους περιορισμούς σε αντικείμενα και χαρακτηριστικά με δυνατότητα αναζήτησης, η Διαχείριση εξουσιοδοτήσεων υποστηρίζει τη σύνταξη ερωτημάτων πρωτοκόλλου LDAP με μορφή διεύθυνσης URL στο RFC 2255. Αυτό σας επιτρέπει να δημιουργείτε ομάδες ερωτημάτων για το πρωτόκολλο LDAP που χρησιμοποιούν αντικείμενα καταλόγου που δεν είναι το τρέχον αντικείμενο χρήστη ως ρίζα για την αναζήτηση.
Μια διεύθυνση URL για το πρωτόκολλο LDAP ξεκινά με το πρόθεμα πρωτοκόλλου "ldap" και ακολουθεί αυτή τη μορφή:
 | Σημείωση |
|
Το αποκλειστικό όνομα είναι επίσης γνωστό ως DN. |
ldap://<διακομιστής:θύρα>/<DN_βασικού_αντικειμένου>?<χαρακτηριστικά>?<εμβέλεια_ερωτήματος>?<φίλτρο>
Συγκεκριμένα, υποστηρίζεται η εξής σύνταξη:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Για παράδειγμα, το παρακάτω ερώτημα επιστρέφει ως αποτελέσματα τους χρήστες για τους οποίους το χαρακτηριστικό company έχει οριστεί σε "FabCo", από τον διακομιστή LDAP που λειτουργεί στη θύρα 389 ενός κεντρικού υπολογιστή με την ονομασία "fabserver":
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
Όταν χρησιμοποιείτε ένα ερώτημα LDAP με μορφή διεύθυνσης URL, μπορείτε να χρησιμοποιήσετε την ειδική τιμή κράτησης θέσης %AZ_CLIENT_DN%. Αυτή η τιμή κράτησης θέσης αντικαθίσταται με το αποκλειστικό όνομα (DN) του προγράμματος-πελάτη που εκτελεί τον έλεγχο πρόσβασης. Αυτό σας επιτρέπει να δημιουργήσετε ερωτήματα τα οποία επιστρέφουν αντικείμενα από τον κατάλογο με βάση τη σχέση τους με το αποκλειστικό όνομα του προγράμματος-πελάτη που κάνει το ερώτημα.
Σε αυτό το παράδειγμα, το ερώτημα LDAP ελέγχει εάν ο χρήστης είναι μέλος της οργανικής μονάδας (OU) "Customers":
ldap://διακομιστής:<θύρα>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
Σε αυτό το παράδειγμα, το ερώτημα LDAP ελέγχει εάν ο χρήστης είναι άμεσα αναφερόμενος σε έναν διευθυντή με το όνομα "SomeManager" και ότι το χαρακτηριστικό "searchattribute" του SomeManager ισούται με τη συγκεκριμένη τιμή "τιμήαναζήτησης":
ldap://διακομιστής:θύρα/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= τιμήαναζήτησης) (directreports = %AZ_CLIENT_DN%))
Για περισσότερες πληροφορίες σχετικά με τη σύνταξη ενός ερωτήματος LDAP με μορφή διεύθυνσης URL, ανατρέξτε στο
| Σημαντικό |
|
Αν το ερώτημα για το πρωτόκολλο LDAP αρχίζει με "ldap", αντιμετωπίζεται ως ερώτημα LDAP μορφής διεύθυνσης URL. Αν αρχίζει με οτιδήποτε άλλο, αντιμετωπίζεται ως ερώτημα έκδοσης 1. |
Βασική ομάδα εφαρμογών
Οι βασικές ομάδες εφαρμογών είναι συγκεκριμένες για τη Διαχείριση εξουσιοδοτήσεων.
Για να ορίσετε την ιδιότητα μέλους σε βασική ομάδα εφαρμογών, πρέπει:
-
Να ορίσετε ποιος είναι μέλος.
-
Να ορίσετε ποιος δεν είναι μέλος.
Και τα δύο αυτά βήματα εκτελούνται με τον ίδιο τρόπο:
-
Πρώτα, καθορίστε μηδέν ή περισσότερους χρήστες και ομάδες των Windows, βασικές ομάδες εφαρμογών που είχαν οριστεί προηγουμένως ή ομάδες ερωτημάτων για το πρωτόκολλο LDAP.
-
Έπειτα, υπολογίζεται η ιδιότητα μέλους της βασικής ομάδας εφαρμογών, καταργώντας τα όποια μη μέλη από την ομάδα. Η Διαχείριση εξουσιοδοτήσεων το κάνει αυτόματα κατά το χρόνο εκτέλεσης.
| Σημαντικό |
|
Η ιδιότητα μη μέλους στη βασική ομάδα εφαρμογών έχει προτεραιότητα έναντι της ιδιότητας μέλους. |
Ομάδες εφαρμογών επιχειρησιακού κανόνα
Οι ομάδες εφαρμογών επιχειρησιακού κανόνα είναι συγκεκριμένες για τη Διαχείριση εξουσιοδοτήσεων.
Για να ορίσετε την ιδιότητα μέλους μιας ομάδας εφαρμογών επιχειρησιακού κανόνα, πρέπει να συντάξετε μια δέσμη ενεργειών σε VBScript ή σε JScript. Ο πηγαίος κώδικας της δέσμης ενεργειών φορτώνεται από το αρχείο κειμένου στη σελίδα Ιδιότητες της ομάδας εφαρμογών επιχειρησιακού κανόνα.