Para poder utilizar Administrador de autorización de forma efectiva para controlar el acceso a los recursos, primero debe definir roles, tareas y operaciones.

  • Un rol es un conjunto de permisos de los que debe disponer un usuario para realizar un trabajo. Los roles bien diseñados deberían corresponderse con una categoría o responsabilidad profesional (por ejemplo, recepcionista, director de contratación o archivista) y ser nombradas en consecuencia. En Administrador de autorización, puede agregar usuarios a un rol a fin de autorizarles para un trabajo.

  • Una tarea es un conjunto de operaciones y, en ocasiones, de otras tareas. Las tareas bien diseñadas son lo suficientemente inclusivas para representar elementos de trabajo que sean reconocibles (por ejemplo, "cambiar contraseña" o "presentar gastos").

  • Un operación es un conjunto de permisos que se asocian a procedimientos de seguridad del nivel del sistema o de la API, como WriteAttributes o ReadAttributes (atributos de escritura o atributos de lectura). Las operaciones se usan como bloques de creación para las tareas.

Los roles, las tareas y las operaciones sólo se pueden definir en el modo de programador, pero no en el modo de administrador. Para establecer el modo de programador, vea Establecer opciones de Administrador de autorización.

Definiciones de rol

La creación de definiciones de rol adecuados depende de la estructura y de los objetivos de su organización. Los roles admiten la herencia de otras funciones.

Para definir un rol, especifique un nombre, una descripción clara y algunas tareas, roles y operaciones específicos que formen parte del rol. Esto proporciona un mecanismo para la herencia de roles. Por ejemplo, una función del departamento de soporte puede incluir un rol de soporte técnico.

Puede especificar una regla de autorización, ya sea en VBScript o en JScript. Para obtener más información, vea las páginas sobre VBScript (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=65964) y JScript (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=65963).

Si hay varias reglas de autorización asociadas a una definición de rol (por ejemplo, la definición de rol tiene varias subroles y tareas), las reglas de autorización se ejecutan de forma sincrónica. En Administrador de autorización, el orden no afecta a la autorización.

Definiciones de tarea

Una definición de tarea es menor que una definición de rol y se puede utilizar para definir roles y otras tareas.

Con Administrador de autorización se pueden asociar tareas a roles de forma intuitiva. Por ejemplo, es posible que el rol Seleccionador de personal incluya la tarea Entrevista.

Las tareas, al igual que los roles, se definen de forma adecuada para la organización. Para definir una tarea, especifique un nombre, una descripción y algunas tareas y operaciones específicas que formen parte de la tarea. También puede especificar una regla de autorización en VBScript o JScript.

Definiciones de operación

Las operaciones son pequeñas acciones en el nivel del equipo que se utilizan para definir tareas y que, normalmente, no son relevantes para el administrador. Sólo se pueden definir operaciones en el modo de programador.

Puede establecer definiciones de operación en el nivel de aplicación, pero no en el nivel de almacén de autorización ni en el nivel de ámbito.

Una definición de operación incluye un nombre, una descripción y un número de operación. El número de operación X debe ser un número entero comprendido entre 1 y 2.147.483.647 (es decir, 1 ≤ X ≤ 2^31 - 1). La aplicación utiliza este número para identificar la operación, por lo que si se introduce un número de operación incorrecto se concederá o denegará el acceso incorrectamente. Esto puede provocar, a su vez, infracciones de seguridad o un comportamiento no deseado de la aplicación cliente.


Tabla de contenido