Um escopo é uma subdivisão virtual em um aplicativo que separa alguns recursos de outros usados por esse aplicativo. Você pode usar escopos para evitar o compartilhamento indesejado de recursos e para oferecer suporte a auditoria e delegação. O uso de escopos não é obrigatório.
Um escopo pode representar uma pasta, um contêiner nos Serviços de Domínio Active Directory (AD DS) ou nos serviços LDS do Active Directory (AD LDS), uma coleção de arquivos com máscara (por exemplo, *.doc), uma URL ou qualquer outro item que possa ser acessado pelo aplicativo e por seu repositório de autorização de base. Entretanto, um escopo é uma abstração; é uma definição criada no Gerenciador de Autorização, mas não é uma pasta física no sistema de arquivos nem um contêiner real no AD DS, por exemplo.
Se você possui grupos, atribuições de funções, definições de função ou definições de tarefa do Gerenciador de Autorização, porém não deseja aplicá-las ao aplicativo inteiro, pode criá-los no nível de escopo. O aplicativo que contém o escopo deve ser capaz de reconhecer o nome do escopo. Por exemplo, aplicativos com base em arquivos podem apresentar nomes de escopo que incluem nomes de arquivos ou caminhos. Os aplicativos com base em arquivos devem ter nomes de escopo com base em URL. Aplicativos do Registro podem possuir nomes de escopo baseados em ramificações do registro, e nomes de escopo do Active Directory podem especificar unidades organizacionais. Não é possível definir operações no nível de escopo.
Fazendo auditoria em escopos
Não é possível controlar a auditoria em tempo de execução do Gerenciador de Autorização no nível do escopo. Você pode controlar a auditoria de alteração do repositório de autorização do Gerenciador de Autorização em escopos contidos em repositórios de autorização que estejam armazenados no AD DS. Para obter mais informações, consulte Noções básicas sobre a auditoria do Gerenciador de Autorização.
Delegando escopos
É possível delegar a administração dos escopos a outras pessoas se as duas condições a seguir forem atendidas:
-
o repositório de autorização deve ser armazenado no AD DS, no AD LDS ou no Microsoft SQL Server.
-
as regras de autorização não são usadas em nenhuma definição de tarefa ou função feita no escopo a ser delegado.