במנהל ההרשאות, נמענים של מדיניות הרשאות מיוצגים באמצעות סוגי הקבוצות השונים הבאים:

  • משתמשים וקבוצות של Windows. קבוצות אלה כוללות משתמשים, מחשבים וקבוצות מוכללות עבור מנהלי אבטחה. משתמשים וקבוצות של Windows נמצאים בשימוש ב- Windows בכלל, לא רק במנהל ההרשאות.

  • קבוצות יישומים. קבוצות אלה כוללות קבוצות יישומים בסיסיות וקבוצות שאילתות של Lightweight Directory Access Protocol (LDAP)‎. קבוצות יישומים הן ספציפיות לניהול מבוסס תפקידים במנהל ההרשאות.

חשוב

קבוצת יישומים היא קבוצה של משתמשים, מחשבים או מנהלי אבטחה אחרים. קבוצת יישומים אינה קבוצה של יישומים.

  • קבוצות שאילתות של LDAP. החברות בקבוצות אלה מחושבת באופן דינמי בהתאם לצורך, על סמך שאילתות LDAP. קבוצת שאילתות של LDAP היא סוג של קבוצת יישומים.

  • קבוצות יישומים בסיסיות. קבוצות אלה מוגדרות במונחים של קבוצות שאילתות של LDAP, משתמשים וקבוצות של Windows וקבוצות יישומים בסיסיות אחרות. קבוצת יישומים בסיסית היא סוג של קבוצת יישומים.

  • קבוצות יישומים של כללים עסקיים. קבוצות אלה מוגדרות על-ידי קובץ script שנכתב ב- VBScript או ב- Jscript, והחברות בקבוצה נקבעת באופן דינמי בזמן ריצה, בהתאם לקריטריונים שתגדיר.

משתמשים וקבוצות של Windows

לקבלת מידע נוסף אודות קבוצות ב- Active Directory Domain Services (AD DS)‎, ראה בקרת גישה מבוססת תפקידים עבור יישומים מרובי שכבות באמצעות מנהל ההרשאות (https://go.microsoft.com/fwlink/?LinkId=64287). לקבלת מידע נוסף אודות מנהלי אבטחה שאינם מאוחסנים ב- AD DS, ראה חומר עזר טכני אודות מנהלי אבטחה (https://go.microsoft.com/fwlink/?LinkId=129213).

קבוצות יישומים

כאשר תיצור קבוצת יישומים חדשה, יהיה עליך לקבוע אם ברצונך שקבוצה זו תהיה קבוצת שאילתות של LDAP או קבוצת יישומים בסיסית. עבור יישומים מבוססי תפקידים של מנהל ההרשאות, כל הרשאה שתוכל לבצע עם משתמשים וקבוצות של Windows יכולה להתבצע גם עם קבוצות יישומים.

הגדרות חברות מעגליות אינן מותרות, וגורמות להופעת הודעת השגיאה "אין אפשרות להוסיף את <שם קבוצה>. אירעה הבעיה הבאה: המערכת זיהתה לולאה."

קבוצות שאילתות של LDAP

במנהל ההרשאות, באפשרותך להשתמש בשאילתות LDAP כדי לחפש אובייקטים ב- AD DS, Active Directory Lightweight Directory Services (AD LDS) ובספריות אחרות תואמות LDAP.

באפשרותך להשתמש בקבוצת שאילתות של LDAP על-ידי הקלדת שאילתת LDAP הרצויה בשטח המוקצה לכך בכרטיסיה שאילתה בתיבת הדו-שיח מאפיינים של קבוצת היישומים.

מנהל ההרשאות תומך בשני סוגים של שאילתות LDAP שבהם ניתן להשתמש כדי להגדיר קבוצת שאילתות של LDAP: שאילתות בסגנון גירסה 1 של מנהל ההרשאות ושאילתות URL של LDAP

  • שאילתות LDAP בסגנון גירסה 1 של מנהל ההרשאות

    שאילתות LDAP בסגנון גירסה 1 מספקות תמיכה מוגבלת עבור תחביר שאילתות של כתובת URL של LDAP, כמתואר ב- RFC 2255. שאילתות אלה מוגבלות לביצוע שאילתות עבור רשימת התכונות של אובייקט המשתמש שצוין בהקשר הלקוח הנוכחי.

    לדוגמה, השאילתה הבאה מאתרת את כולם פרט ל- Andy:

    (&(objectCategory=person)(objectClass=user)(!cn=andy)).

    שאילתה זו בודקת אם הלקוח חבר בכינוי StatusReports באתר northwindtraders.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    מנהל ההרשאות ממשיך לתמוך בשאילתות בסגנון גירסה 1, כך שניתן יהיה לשדרג פתרונות שפותחו באמצעות גירסאות קודמות של מנהל ההרשאות בפחות מאמץ.

  • שאילתות URL של LDAP

    כדי להסיר מגבלות על אובייקטים ותכונות שבהם ניתן לחפש, מנהל ההרשאות תומך בתחביר שאילתות של כתובת URL של LDAP המבוסס על RFC 2255. פעולה זו מאפשרת לך ליצור קבוצות שאילתות של LDAP המשתמשות באובייקטי ספריה שונים מאובייקט המשתמש הנוכחי כבסיס לחיפוש.

    כתובת URL של LDAP מתחילה בקידומת הפרוטוקול "ldap" ובתבנית הבאה:

הערה

שם ייחודי נקרא גם DN.

ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>

באופן ספציפי, הדקדוק הבא נתמך:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

לדוגמה, השאילתא הבאה מחזירה למשתמשים שתכונת החברה שלהם הוגדרה בתור FabCo משרת LDAP הפועל ביציאה 389 במחשב מארח שנקרא fabserver.

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

בעת שימוש בשאילתת URL של LDAP, באפשרותך להשתמש בערך מציין המיקום המיוחד %AZ_CLIENT_DN%. מציין מיקום זה מוחלף בשם הייחודי (DN) של הלקוח המבצע את בדיקת הגישה. הדבר מאפשר לך לבנות שאילתות המחזירות אובייקטים מן הספרייה לפי היחס שלהם לשם הייחודי של הלקוח המגיש את הבקשה.

בדוגמה זו, שאילתת ה- LDAP בודקת אם המשתמש הוא חבר ביחידה הארגונית "customers":

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

בדוגמה זו, שאילתת ה- LDAP בודקת אם המשתמש הוא דוח ישיר של מנהל הנקרא SomeManager ושה- searchattribute של SomeManager שווה לערך המסוים searchvalue:

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

לקבלת מידע נוסף אודות התחביר של שאילתת URL של LDAP, עיין בטקסט של RFC 2255 (https://go.microsoft.com/fwlink/?linkid=65973).

חשוב

אם שאילתת LDAP מתחילה בקידומת "ldap", המערכת מתייחסת אליה כאל שאילתת כתובת URL של LDAP. אם השאילתה מתחילה בכל קידומת אחרת, המערכת מתייחסת אליה כאל שאילתה בגירסה 1.

קבוצות יישומים בסיסיות

קבוצות יישומים בסיסיות הן ספציפיות למנהל ההרשאות.

כדי להגדיר חברות בקבוצת יישומים בסיסית, עליך:

  1. להגדיר מי חבר.

  2. להגדיר מי אינו חבר.

שני השלבים האלה מתבצעים באותה דרך:

  • תחילה, עליך לציין אפס או יותר משתמשים וקבוצות של Windows, קבוצות יישומים בסיסיות שהוגדרו בעבר, או קבוצות שאילתות של LDAP.

  • שנית, החברות בקבוצת היישומים הבסיסית מחושבת על-ידי הסרת פריטים שאינם חברים מהקבוצה. מנהל ההרשאות מבצע פעולה זו באופן אוטומטי בזמן ריצה.

חשוב

העדר חברות בקבוצת יישומים בסיסית מקבלת קדימות על פני חברות.

קבוצות יישומים של כללים עסקיים.

קבוצות יישומים של כללים עסקיים הן ספציפיות למנהל ההרשאות.

כדי להגדיר חברות בקבוצת יישומים של כלל עסקי, עליך לכתוב קובץ script ב- VBScript או ב- JScript. קוד המקור של קובץ ה- Script נטען מקובץ טקסט בדף מאפיינים של קבוצת היישומים של הכלל העסקי.


תוכן העניינים