Az Engedélyezéskezelőben a következő típusú csoportokra érvényes az engedélyezési házirend:
-
Windows-felhasználók és -csoportok: Ezek a csoportok felhasználókat, számítógépeket és rendszerbiztonsági tagok beépített csoportjait tartalmazzák. A Windows-felhasználókat és -csoportokat nem csak az Engedélyezéskezelő használja, hanem a Windows is.
-
Alkalmazáscsoportok: Ezek a csoportok alapvető alkalmazáscsoportokat és LDAP-lekérdezéscsoportokat tartalmaznak. Az alkalmazáscsoportok kifejezetten az engedélykezelővel megvalósított, szerepköralapú felügyeletnél használhatók.
Fontos! | |
Az alkalmazáscsoportok felhasználókból, számítógépekből vagy más rendszerbiztonsági tagokból álló csoportok. Az alkalmazáscsoport nem azonos az alkalmazások csoportjával. |
-
LDAP-lekérdezéscsoportok: A csoportok tagságát dinamikusan számítja ki a rendszer LDAP-lekérdezésekből. Az LDAP-lekérdezéscsoport az alkalmazáscsoportok egy típusa.
-
Alapvető alkalmazáscsoportok: Ezek a csoportok LDAP-lekérdezéscsoportokként, Windows-felhasználókként és -csoportokként és más alapvető alkalmazáscsoportokként definiálhatók. Az alapvető alkalmazáscsoport az alkalmazáscsoportok egy típusa.
-
Üzleti szabály alkalmazáscsoport: Ezek a csoportok VBScript vagy Jscript nyelvű parancsfájlokkal definiálhatók, és a csoporttagság futás közbeni, dinamikus, a megadott feltételek alapján történő meghatározását eredményezik.
Windows-felhasználók és -csoportok
Az Active Directory tartományi szolgáltatások (AD DS) csoportjaival kapcsolatban a
Alkalmazáscsoportok
Új alkalmazáscsoportok létrehozásakor meg kell határoznia, hogy azok LDAP-lekérdezéscsoportok vagy alapvető alkalmazáscsoportok legyenek-e. Az Engedélyezéskezelő szerepköralapú alkalmazásai esetében a Windows felhasználókkal és csoportokkal végrehajtott engedélyezési műveletek az alkalmazáscsoportokkal is végrehajthatók.
A körkörös tagsági definíciók nincsenek engedélyezve, és a következő hibaüzenetet eredményezik: A(z) <Csoportnév> hozzáadása nem sikerült. A következő hiba lépett fel: A rendszer hurkot érzékelt.”
LDAP-lekérdezéscsoportok
Az Engedélyezéskezelőben használhat LDAP-lekérdezéseket arra, hogy megkeresse a kívánt objektumokat az Active Directory tartományszolgáltatásokban (AD DS), az Active Directory Lightweight Directory-szolgáltatásokban (AD LDS) és más LDAP-kompatibilis címtárakban.
LDAP-lekérdezés használatával úgy adhat meg LDAP-lekérdezéscsoportot, hogy az alkalmazáscsoport Tulajdonságok párbeszédpaneljének Lekérdezés lapján található megfelelő mezőbe beírja a kívánt LDAP-lekérdezést.
Az Engedélyezéskezelőben kétféle LDAP-lekérdezéssel definiálhatók LDAP-lekérdezéscsoportok: az Engedélyezéskezelő 1. verziójában használt lekérdezésekkel és URL-típusú LDAP-lekérdezésekkel.
-
Az Engedélyezéskezelő 1. verziójában használt LDAP-lekérdezések
Az 1. verzióban használt LDAP-lekérdezések korlátozottan támogatják az RFC 2255 dokumentumban leírt URL típusú LDAP-lekérdezés szintaxisát. Ezekkel a lekérdezésekkel csak az aktuális ügyfélkörnyezetben meghatározott felhasználói objektum attribútumlistája kérdezhető le.
A következő lekérdezés például az összes felhasználót megkeresi az Andy nevűek kivételével:
(&(objectCategory=person)(objectClass=user)(!cn=andi)).
Ez a lekérdezés kiértékeli, ha az ügyfél az AllapotJelentes alias tagja a hkweb.hu webhelyen:
(memberOf=CN=AllapotJelentes,OU=Distribution Lists,DC=hkweb,DC=hu)
Az Engedélyezéskezelő továbbra is támogatja az 1. verzióban használt lekérdezéseket, így az Engedélyezéskezelő korábbi verzióinak segítségével fejlesztett lekérdezések kevesebb erőfeszítéssel frissíthetők.
-
LDAP URL-lekérdezések
A kereshető objektumok és attribútumok korlátozásainak eltávolításához az Engedélyezéskezelő támogatja az RFC 2255-alapú LDAP URL-lekérdezést. Ez engedélyezi olyan LDAP-lekérdezéscsoportok létrehozását, amelyek az aktuális felhasználói objektumtól eltérő címtárobjektumokat használnak a keresés gyökereként.
Egy LDAP URL az „ldap” protokollelőtaggal kezdődik és ezt a formátumot követi:
Megjegyzés | |
A megkülönböztető név másik neve DN. |
ldap://<kiszolgalo:port>/<alapObjektumDN>?<attributumok>?<lekerdezesHatokore>?<Szuro>
Konkrétabban a következő szintaxis támogatott:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
A következő lekérdezés eredményében például azok a felhasználók szerepelnek, akiket a Fabkiszolgalo nevű kiszolgálón, a 389-es porton elérhető LDAP-kiszolgáló tárol, és company attribútumuk a "FabRt" névre van állítva:
ldap://fabkiszolgalo:389/OU=Ugyfelek,DC=FABCO-PN,DC=com?*?sub?(&(company=FabRt)(objectClass=user)(objectCategory=user))
Az URL típusú LDAP-lekérdezésekben használható az %AZ_CLIENT_DN%. speciális helyőrző. Ezt a helyőrzőt a hozzáférés-ellenőrzést végző ügyfél megkülönböztető nevére (DN) cseréli a rendszer. Ezáltal olyan lekérdezések építhetők fel, amelyek a kérést küldő ügyfél megkülönböztető nevével fennálló viszonyuk alapján adják vissza az objektumokat.
Ebben a példában azt vizsgálja a lekérdezés, hogy tagja-e a felhasználó az „Ugyfelek” szervezeti egységnek:
ldap://kiszolgalo:<port>/OU=UGYFELEK,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
Ebben a példában azt ellenőrzi az LDAP-lekérdezés, hogy a felhasználó közvetlen beosztottja-e az „EgyFelettes" nevű felettesnek, és hogy EgyFelettes "searchattribute" attribútumának értéke azonos-e a meghatározott "keresettertek" értékkel:
ldap://kiszolgalo:port/Cn=EgyFelettes,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= keresettertek) (directreports = %AZ_CLIENT_DN%))
Az URL típusú LDAP-lekérdezések szintaxisáról az
Fontos! | |
Ha az LDAP-lekérdezés az „ldap” taggal kezdődik, akkor azt a rendszer URL-típusú LDAP-lekérdezésként kezeli. Ha bármi mással kezdődik, akkor az 1. verzióban használt lekérdezésként kezeli. |
Alapvető alkalmazáscsoportok
Az alapvető alkalmazáscsoportok az Engedélyezéskezelőre vonatkoznak.
Az alapvető alkalmazáscsoport tagságának definiálásához a következők szükségesek:
-
A tagok definiálása.
-
A nem tagok definiálása.
Mindkét művelet ugyanúgy hajtható végre:
-
Először adjon meg nulla vagy több Windows-elhasználót és -csoportot, előzőleg definiált alapvető alkalmazáscsoportot vagy LDAP-lekérdezéscsoportot.
-
Ezután az Engedélyezéskezelő a nem tagok eltávolításával összeállítja az alapvető alkalmazáscsoportot. Ezt az Engedélyezéskezelő futás közben, automatikusan végzi el.
Fontos! | |
Ha egy objektum egy alapvető alkalmazáscsoport tagjaként és nem tagjaként is meg van adva, akkor nem minősül tagnak. |
Üzleti szabály alkalmazáscsoportok
Az üzleti szabály alkalmazáscsoportok az Engedélyezéskezelőre vonatkoznak.
Az üzleti szabály alkalmazáscsoport definiálásához VBScript- vagy JScript-parancsfájlt kell írnia. A parancsfájl forráskódja az üzleti szabály alkalmazáscsoport Tulajdonságok lapján lévő szövegfájlból lesz betöltve.