Valtuutustietojen hallinnassa vahvistuskäytäntöjen vastaanottajat on esitetty seuraavanlaisina ryhminä:

  • Windows-käyttäjät ja -ryhmät. Nämä ryhmät sisältävät käyttäjiä, tietokoneita ja valmiita ryhmiä suojausobjekteja varten. Windows-käyttäjiä ja -ryhmiä käytetään kaikkialla Windowsissa, ei pelkästään Valtuutustietojen hallinnassa.

  • Sovellusryhmät. Nämä ryhmät sisältävät perussovellusryhmiä ja LDAP (Lightweight Directory Access Protocol) -kyselyryhmiä. Sovellusryhmät liittyvät Valtuutustietojen hallinnan rooleihin perustuvaan hallinnointiin.

Tärkeää

Sovellusryhmä muodostuu käyttäjistä, tietokoneista tai muista suojausobjekteista. Sovellusryhmä ei ole ryhmä sovelluksia.

  • LDAP-kyselyryhmät. Näiden ryhmien jäsenyys lasketaan dynaamisesti LDAP-kyselyiden tarpeiden mukaisesti. LDAP-kyselyryhmä on sovellusryhmän laji.

  • Perussovellusryhmät. Nämä ryhmät määritellään LDAP-kyselyryhmien, Windows-käyttäjien ja -ryhmien sekä muiden perussovellusryhmien ehtojen mukaisesti. Perussovellusryhmä on sovellusryhmän laji.

  • Liiketoimintasäännön sovellusryhmä. Nämä ryhmät määritellään joko VBScriptillä tai JScriptillä kirjoitetulla komentosarjalla, jonka tuloksena on dynaamisesti suorittamisen aikana määritettävä ryhmän jäsenyys.

Windows-käyttäjät ja -ryhmät

Lisätietoja Active Directory -toimialuepalveluiden (AD DS) ryhmistä on Microsoftin sivuston kohdassa Monitasoisten sovellusten roolipohjainen käyttöoikeuksien hallinta Valtuutustietojen hallinnan avulla (sivu voi olla englanninkielinen) (https://go.microsoft.com/fwlink/?LinkId=64287). Lisätietoja suojausobjekteista, joita ei ole tallennettu Active Directory -toimialuepalveluihin, on Microsoftin sivuston kohdassa Suojausobjekteihin liittyviä teknisiä tietoja (sivu voi olla englanninkielinen) (https://go.microsoft.com/fwlink/?LinkId=129213).

Sovellusryhmät

Kun luot uuden sovellusryhmän, määritä, onko kyseessä LDAP-kyselyryhmä vai perussovellusryhmä. Valtuutustietojen hallinnan rooleihin perustuvissa sovelluksissa sovellusryhmille voi käyttää samoja valtuutuksia kuin Windows-käyttäjille ja -ryhmille.

Kehäjäsenyysmääritykset eivät ole sallittuja. Ne aiheuttavat virhesanoman Ei voi lisätä: <ryhmän nimeä>. Ongelma: Havaittiin silmukka."

LDAP-kyselyryhmät

LDAP-kyselyitä voi käyttää Valtuutustietojen hallinnassa objektien etsimiseen Active Directory -toimialuepalveluista, Active Directory Lightweight Directory Services -palveluista (AD LDS) tai muista LDAP-yhteensopivista hakemistoista.

LDAP-kyselyn avulla voi määrittää LDAP-kyselyryhmän. Kirjoita haluamasi LDAP-kysely sovellusryhmän Ominaisuudet-valintaikkunan Kysely-välilehden muokkausruutuun.

Valtuutustietojen hallinta tukee kahdenlaisia LDAP-kyselyitä, joita voi käyttää LDAP-kyselyryhmän määrittämiseen: Valtuutustietojen hallinnan version 1 kyselyitä ja LDAP URL -kyselyitä.

  • Valtuutustietojen hallinnan version 1 LDAP-kyselyt

    Version 1 LDAP-kyselyt tukevat rajoitetusti RFC 2255 -standardissa kuvattua LDAP URL -kyselysyntaksia. Kyselyt suorittavat kyselyitä vain asiakaskontekstissa määritetystä käyttäjäobjektin määriteluettelosta.

    Esimerkiksi seuraava kysely löytää kaikki muut paitsi Antin:

    (&(objectCategory=henkilö)(objectClass=käyttäjä)(!cn=antti)).

    Tämä kysely puolestaan määrittää, onko asiakas Tilaraportit-aliaksen jäsen osoitteessa northwindtraders.com:

    (memberOf=CN=tilaraportit,OU=jakelulistat,DC=nwtraders,DC=com)

    Valtuutustietojen hallinta tukee edelleen version 1 kyselyitä, joten aikaisemmissa Valtuutustietojen hallinnan versioissa kehitetyt ratkaisut voi päivittää helposti.

  • LDAP URL -kyselyt

    Objektien ja määritteiden hakuun liittyvien rajoitusten poistamiseksi Valtuutustietojen hallinta tukee nyt myös RFC 2255 -standardin mukaista LDAP URL -kyselysyntaksia. Kyselysyntaksin avulla voi luoda LDAP-kyselyryhmiä, jotka käyttävät haun perusteena muita kuin nykyisen käyttäjäobjektin hakemisto-objekteja.

    LDAP URL alkaa protokollaetuliitteellä "ldap" ja on seuraavan muotoinen:

Huomautus

DN on lyhenne sanoista Distinguished Name.

ldap://<palvelin:portti>/<perusobjekti-DN>?<määritteet>?<kyselyn_vaikutusalue>?<suodatin>

Seuraavaa kielioppia tuetaan:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Esimerkiksi seuraava kysely palauttaa käyttäjät, joiden yritysmääritteenä on "FabCo", LDAP-palvelimesta, jota suoritetaan portissa 389 ja isännässä nimeltä "fabserver":

ldap://fabserver:389/OU=asiakkaat,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=käyttäjä)(objectCategory=käyttäjä))

Käytettäessä LDAP URL -kyselyä voit käyttää erityistä paikkamerkin arvoa %AZ_ASIAKKAAN_DN%. Paikkamerkin korvaa tarkistuksen tekevän asiakkaan DN-nimi. Tämä mahdollistaa sellaisten kyselyjen luonnin, jotka palauttavat objekteja hakemistoista objektien ja pyynnön tekevän asiakkaan DN-nimen välisen suhteen perusteella.

Tässä esimerkiksi LDAP-kyselyllä tarkistetaan, kuuluuko käyttäjä Asiakkaat-ryhmään:

ldap://palvelin:<portti>/OU=asiakkaat,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=käyttäjä)(objectCategory=käyttäjä) (distinguishedName= %AZ_ASIAKKAAN_DN% ))

Tässä esimerkissä LDAP-kyselyllä tarkistetaan, raportoiko käyttäjä suoraan päällikölle nimeltä "päällikön_nimi" ja onko kyseisen päällikön "hakumäärite" sama kuin tietty "hakuarvo":

ldap://palvelin:portti/Cn=päällikön_nimi,OU=käyttäjät,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(hakumäärite= hakuarvo) (directreports = %AZ_ASIAKKAAN_DN%))

Lisätietoja LDAP URL -kyselyn syntaksista on RFC 2255 -asiakirjassa (sivu voi olla englanninkielinen) (https://go.microsoft.com/fwlink/?linkid=65973).

Tärkeää

Jos LDAP-kyselyn alussa on "ldap", se tulkitaan LDAP URL -kyselyksi. Jos kyselyn alussa on jotain muuta, se tulkitaan version 1 kyselyksi.

Perussovellusryhmät

Perussovellusryhmiä käytetään vain Valtuutustietojen hallinnassa.

Perussovellusryhmän jäsenyyden määrittämiseksi täytyy

  1. määrittää, kuka on jäsen

  2. määrittää, kuka ei ole jäsen.

Molemmat vaiheet suoritetaan samalla tavoin:

  • Valitse ensin Windows-käyttäjät ja -ryhmät, aikaisemmin määritetyt perussovellusryhmät tai LDAP-kyselyryhmät (yhtään ei välttämättä tarvitse valita).

  • Tämän jälkeen perussovellusryhmän jäsenyys lasketaan poistamalla ryhmästä siihen kuulumattomat jäsenet. Valtuutustietojen hallinta tekee tämän automaattisesti suorituksen aikana.

Tärkeää

Perussovellusryhmässä on jäsenyyden puuttuminen on etusijalla jäsenyyteen nähden.

Liiketoimintasäännön sovellusryhmä

Liiketoimintasäännön sovellusryhmiä käytetään vain Valtuutustietojen hallinnassa.

Liiketoimintasäännön sovellusryhmän jäsenyys määritetään kirjoittamalla VBScript- tai JScript-komentosarja. Komentosarjan lähdekoodi ladataan liiketoimintasäännön sovellusryhmän Ominaisuudet-sivulla olevasta tekstitiedostosta.

Sisällys