In Autorisatiebeheer wordt bij het toepassen van autorisatiebeleid onderscheid gemaakt tussen de volgende groepen:

  • Windows-gebruikers en -groepen. Tot deze groepen behoren gebruikers, computers en ingebouwde groepen voor beveiligings-principals. Windows-gebruikers en -groepen worden overal in Windows gebruikt, niet alleen in Autorisatiebeheer.

  • Toepassingsgroepen. Tot deze groepen behoren basistoepassingsgroepen en groepen voor LDAP-query's (Lightweight Directory Access Protocol). Toepassingsgroepen zijn specifiek voor Autorisatiebeheer met op functies gebaseerd beheer.

Belangrijk

Een toepassingsgroep is een groep gebruikers, computers of andere beveiligings-principals. Een toepassingsgroep is geen groep toepassingen.

  • Groepen voor LDAP-query's. Het lidmaatschap van deze groepen wordt dynamisch berekend met LDAP-query's wanneer dat nodig is. Een groep voor LDAP-query's is een type toepassingsgroep.

  • Basistoepassingsgroepen. Deze groepen worden gedefinieerd als groepen voor LDAP-query's, Windows-gebruikers en -groepen en andere basistoepassingsgroepen. Een basistoepassingsgroep is een type toepassingsgroep.

  • Toepassingsgroep voor zakelijke regels. Deze groepen worden gedefinieerd door een script dat is geschreven in VBScript of Jscript en zorgen ervoor dat het groepslidmaatschap dynamisch wordt bepaald in runtime, op basis van de criteria die u definieert.

Windows-gebruikers en -groepen

Zie Op functies gebaseerd toegangsbeheer voor toepassingen met meerdere lagen die gebruikmaken van Autorisatiebeheer (https://go.microsoft.com/fwlink/?LinkId=64287) voor meer informatie over groepen in AD DS (Active Directory Domain Services) (pagina is mogelijk Engelstalig). Zie de technische informatie over beveiligings-principals (https://go.microsoft.com/fwlink/?LinkId=129213) voor meer informatie over beveiligings-principals die niet is AD DS worden opgeslagen (pagina is mogelijk Engelstalig).

Toepassingsgroepen

Wanneer u een nieuwe toepassingsgroep maakt, moet u opgeven of het een groep voor LDAP-query's of een basistoepassingsgroep is. Voor op functies gebaseerde toepassingen van Autorisatiebeheer kunnen machtigingen die u verleent met Windows-gebruikers en -groepen, ook worden verleend met toepassingsgroepen.

Circulaire lidmaatschapsdefinities zijn niet toegestaan en leiden tot het foutbericht 'Kan <groepsnaam> niet toevoegen. Het volgende probleem is opgetreden: Er is een lusconstructie gevonden.'

Groepen voor LDAP-query's

In Autorisatiebeheer kunt u met LDAP-query's objecten zoeken in AD DS, AD LDS (Active Directory Lightweight Directory Services) en andere LDAP-compatibele directory's.

Met een LDAP-query kunt u een LDAP-querygroep opgeven door de gewenste LDAP-query te typen in de ruimte op het tabblad Query van het dialoogvenster Eigenschappen van de toepassingsgroep.

In Autorisatiebeheer worden twee typen LDAP-query's ondersteund die kunnen worden gebruikt om een LDAP-querygroep te definiëren: Query's van Autorisatiebeheer versie 1 en LDAP-URL-query's.

  • LDAP-query's van Autorisatiebeheer versie 1

    LDAP-query's van versie 1 bieden beperkte ondersteuning voor de LDAP-URL-querysyntaxis die wordt beschreven in RFC 2255. Deze query's zijn beperkt tot het opvragen van de kenmerkenlijst van het gebruikersobject dat wordt gespecificeerd in de huidige clientcontext.

    Met de volgende query vindt u bijvoorbeeld iedereen behalve André:

    (&(objectCategory=persoon)(objectClass=gebruiker)(!cn=andré)).

    Met deze query wordt beoordeeld of de client lid is van de alias Statusrapporten op noordenwind.com:

    (memberOf=CN=Statusrapporten,OU=Distribution Lists,DC=noordenwind,DC=com)

    Query's van versie 1 worden nog steeds ondersteund in Autorisatiebeheer, zodat oplossingen die zijn ontwikkeld met eerdere versies van Autorisatiebeheer, makkelijker kunnen worden bijgewerkt.

  • LDAP-URL-query's

    In Autorisatiebeheer wordt een LDAP-URL-querysyntaxis op basis van RFC 2255 ondersteund, opdat beperkingen op objecten en kenmerken die kunnen worden doorzocht, worden weggenomen. Zodoende kunt u LDAP-querygroepen maken waarin andere mapobjecten dan het huidige gebruikersobject kunnen worden gebruikt als basis voor de zoekactie.

    Een LDAP-URL begint met het protocolprefix 'ldap' en heeft de volgende indeling:

Opmerking

DN staat voor Distinguished Name.

ldap://<server:poort>/<basisobjectDN>?<kenmerken>?<querybereik>?<Filter>

De volgende grammatica wordt specifiek ondersteund:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Met de volgende query worden bijvoorbeeld gebruikers waarbij het bedrijfskenmerk is ingesteld op 'FabCo' opgehaald vanaf de LDAP-server op poort 389 op een host met de naam 'fabserver':

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Wanneer u een LDAP-URL-query gebruikt, kunt u de speciale tijdelijke waarde %AZ_CLIENT_DN% gebruiken. Deze waarde wordt vervangen door de DN-naam van de client die de toegangscontrole uitvoert. Zo kunt u query's bouwen die objecten uit Active Directory ophalen op basis van hun relatie met de DN-naam van de client waarvan de aanvraag afkomstig is.

In dit voorbeeld wordt met de LDAP-query getest of de gebruiker lid is van de organisatie-eenheid Customers:

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

n dit voorbeeld wordt met de LDAP-query getest of de gebruiker rechtstreeks rapporteert aan een manager met de naam SomeManager en of het searchattribute SomeManager gelijk is aan de specifieke waarde searchvalue:

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Raadpleeg de tekst van RFC 2255 (https://go.microsoft.com/fwlink/?linkid=65973) voor meer informatie over de syntaxis van een LDAP-URL-query (pagina is mogelijk Engelstalig).

Belangrijk

Als de LDAP-query begint met 'ldap', wordt deze behandeld als een LDAP-URL-query. Als de query begint met iets anders, wordt deze behandeld als een query van versie 1.

Basistoepassingsgroepen

Basistoepassingsgroepen zijn specifiek voor Autorisatiebeheer.

Als u het lidmaatschap van een basistoepassingsgroep wilt definiëren, moet u het volgende doen:

  1. Definiëren wie lid is.

  2. Definiëren wie geen lid is.

Beide stappen worden op dezelfde manier uitgevoerd:

  • Eerst geeft u nul of meer Windows-gebruikers en -groepen, eerder gedefinieerde basistoepassingsgroepen of groepen voor LDAP-query's op.

  • Vervolgens wordt het lidmaatschap van de basistoepassingsgroep berekend door alle niet-leden uit de groep te verwijderen. In Autorisatiebeheer gebeurt dit automatisch in runtime.

Belangrijk

Niet-lidmaatschap van een basistoepassingsgroep telt zwaarder dan lidmaatschap.

Toepassingsgroepen voor zakelijke regels

Toepassingsgroepen voor zakelijke regels zijn specifiek voor Autorisatiebeheer.

Als u het lidmaatschap van toepassingsgroepen voor zakelijke regels wilt definiëren, moet u een script schrijven in VBScript of JScript. De broncode voor het script wordt geladen uit een tekstbestand op de pagina Eigenschappen van de toepassingsgroep voor zakelijke regels.

Inhoudsopgave