Une étendue est une sous-division virtuelle d’une application qui sépare certaines ressources d’autres ressources utilisées par cette application. Vous pouvez utiliser les étendues pour empêcher un partage non voulu des ressources et pour prendre en charge l’audit et la délégation. Vous n’êtes pas obligé d’utiliser des étendues.

Une étendue peut représenter un dossier, un conteneur dans des services de domaine Active Directory (AD DS), des services AD LDS (Active Directory Lightweight Directory Services), un ensemble de fichiers masqué par un fichier (par exemple, *.doc), une URL ou tout élément auquel vous pouvez accéder par le biais de l’application et de son magasin d’autorisations sous-jacent. Toutefois, une étendue est une abstraction ; il s’agit d’une définition créée dans le Gestionnaire d’autorisations, mais ce n’est pas un dossier physique dans le système de fichiers ou un conteneur réel dans AD DS, par exemple.

Si vous avez des groupes, des affectations de rôles, des définitions de rôles ou des définitions de tâches du Gestionnaire d’autorisations que vous ne voulez pas appliquer à une application entière, vous pouvez les créer au niveau de l’étendue. L’application contenant l’étendue doit pouvoir reconnaître le nom de l’étendue. Par exemple, les applications basées sur des fichiers peuvent porter des noms d’étendue contenant des noms de fichiers ou des chemins. Les applications basées sur le Web peuvent porter des noms d’étendue basés sur les URL. Les applications de Registre peuvent porter des noms d’étendue basés sur les ruches du Registre et les noms d’étendue Active Directory peuvent préciser des unités d’organisation. Vous ne pouvez pas définir d’opérations au niveau de l’étendue.

Audit des étendues

Vous ne pouvez pas contrôler l’audit de l’exécution du Gestionnaire d’autorisations au niveau de l’étendue. Vous pouvez en revanche contrôler les audits des modifications apportées au magasin d’autorisations du Gestionnaire d’autorisations sur des étendues figurant dans des magasins d’autorisations stockés dans les services de domaine Active Directory (AD DS, Active Directory Domain Services). Pour plus d’informations, voir Présentation de l’audit du Gestionnaire d’autorisations.

Délégation des étendues

Vous pouvez déléguer l’administration des étendues à d’autres personnes si les deux conditions suivantes sont réunies :

  • Le magasin d’autorisations doit être stocké dans les services AD DS, les services AD LDS ou Microsoft SQL Server.

  • Les règles d’autorisation ne sont utilisées dans aucune définition de tâche ou de rôle configurée dans l’étendue à déléguer.

Table des matières