Un ámbito es una subdivisión virtual dentro de una aplicación que separa algunos recursos de otros que utiliza esa aplicación. Puede utilizar los ámbitos para evitar el uso compartido de recursos no deseado y permitir la auditoría y la delegación. El usuario no tiene que usar ámbitos.

Un ámbito puede representar una carpeta, un contenedor en los Servicios de dominio de Active Directory (AD DS) o en los Servicios de directorio ligero de Active Directory (AD LDS), un conjunto de archivos con máscara de archivo (por ejemplo, *.doc), una dirección URL o cualquier elemento al que puedan tener acceso la aplicación y su almacén de autorización subyacente. Sin embargo, un ámbito es una abstracción; es una definición creada en Administrador de autorización, no una carpeta física del sistema de archivos ni un contenedor real en AD DS, por ejemplo.

Si existen grupos, asignaciones de roles, definiciones de rol o definiciones de tarea de Administrador de autorización que no desea implementar en toda una aplicación, puede crearlos en el nivel del ámbito. La aplicación que contiene el ámbito debe ser capaz de reconocer el nombre del ámbito. Por ejemplo, es posible que las aplicaciones basadas en archivos tengan nombres de ámbito que incluyan nombres de archivo o rutas de acceso. Es posible que las aplicaciones basadas en Web tengan nombres de ámbito basados en una dirección URL. Es posible que las aplicaciones del Registro tengan nombres de ámbito basados en subárboles del Registro y los nombres de ámbito de Active Directory pueden especificar unidades organizativas. No se pueden definir operaciones en el nivel del ámbito.

Auditoría de ámbitos

No se puede controlar la auditoría en tiempo de ejecución del Administrador de autorización en el nivel del ámbito. Puede controlar la auditoría de cambios del almacén de autorización del Administrador de autorización en ámbitos contenidos en almacenes de autorización guardados en AD DS. Para obtener más información, vea Descripción de la auditoría de Administrador de autorización.

Delegación de ámbitos

Puede delegar la administración de ámbitos a otras personas si se satisfacen las dos condiciones siguientes:

  • El almacén de autorización debe estar guardado en AD DS, en AD LDS o en Microsoft SQL Server.

  • No se usan reglas de autorización en ninguna definición de tarea o de rol establecida en el ámbito que se desea delegar.

Tabla de contenido