No Gerenciador de Autorização, os destinatários da diretiva de autorização são representados pelos seguintes tipos diferentes de grupos:

  • Usuários e grupos do Windows. Esses grupos incluem usuários, computadores e grupos internos para entidades de segurança. Os usuários e grupos do Windows são usados em todo o Windows, não apenas no Gerenciador de Autorização.

  • Grupos de aplicativos. Esses grupos incluem grupos de aplicativos básicos e grupos de consulta do protocolo LDAP. Os grupos de aplicativos são específicos à administração baseada em função do Gerenciador de autorização.

Importante

Um grupo de aplicativos é um grupo de usuários, computadores ou outros objetos de segurança. Um grupo de aplicativos não é um grupo composto de aplicativos.

  • Grupos de consulta LDAP. A associação nesses grupos é calculada de forma dinâmica, conforme a necessidade das consultas LDAP. Um grupo de consulta LDAP é um tipo de grupo de aplicativos.

  • Grupos de aplicativos básicos. Esses grupos são definidos em termos de grupos de consulta LDAP, usuários e grupos do Windows e outros grupos de aplicativos básicos. Um grupo de aplicativos básico é um tipo de grupo de aplicativos.

  • Grupo de aplicativos de regras comerciais. Esses grupos são definidos por um script escrito em VBScript ou Jscript e resultam na determinação dinâmica da associação de grupo em tempo de execução, de acordo com os critérios definidos.

Usuários e grupos do Windows

Para obter mais informações sobre grupos nos Serviços de Domínio Active Directory (AD DS), consulte Controle de acesso baseado em função para aplicativos de várias camadas que utilizam o Gerenciador de Autorização (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=64287). Para obter mais informações sobre entidades de segurança que não são armazenadas no AD DS, consulte a Referência técnica de entidades de segurança (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=129213).

Grupos de aplicativos

Ao criar um novo grupo de aplicativos, você precisa determinar se ele será um grupo de consulta LDAP ou um grupo de aplicativos básico. Em aplicativos baseados em função do Gerenciador de Autorização, todas as autorizações que você puder fazer com usuários e grupos do Windows também poderão ser feitas com grupos de aplicativos.

Definições de associações circulares não são permitidas, podendo resultar na mensagem de erro "Não é possível adicionar <Nome do grupo>. Ocorreu o seguinte problema: Um loop foi detectado."

Grupos de consulta LDAP

No Gerenciador de Autorização, você pode usar consultas LDAP para localizar objetos no AD DS, no Active Directory Lightweight Directory Services (AD LDS) e em outros diretórios compatíveis com LDAP.

Você pode usar uma consulta LDAP para especificar um grupo de consulta LDAP digitando a consulta desejada no espaço fornecido na guia Consulta da caixa de diálogo Propriedades do grupo de aplicativos.

O Gerenciador de Autorização dá suporte para dois tipos de consultas LDAP que podem ser usadas para definir um grupo de consulta LDAP: consultas versão 1 do Gerenciador de Autorização e consultas LDAP URL.

  • Consultas LDAP versão 1 do Gerenciador de Autorização

    As consultas LDAP versão 1 dão suporte limitado à sintaxe de consulta LDAP URL descrita em RFC 2255. Essas consultas estão limitadas à lista de atributos do objeto de usuário especificado no contexto do cliente atual.

    Por exemplo, a consulta abaixo localiza todas as pessoas, exceto Andy:

    (&(objectCategory=person)(objectClass=user)(!cn=andy)).

    Esta consulta avalia se o cliente é membro do alias StatusReports em northwindtraders.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    O Gerenciador de Autorização continua a dar suporte a consultas versão 1. Assim, as soluções desenvolvidas com o uso de versões anteriores do Gerenciador de Autorização podem ser atualizadas com menos esforço.

  • Consultas LDAP URL

    Para remover limitações de objetos e atributos que podem ser pesquisados, o Gerenciador de Autorização oferece suporte a uma sintaxe de consulta LDAP URL com base em RFC 2255. Isso permite criar grupos de consulta LDAP que usem objetos de diretório que não o objeto de usuário atual como raiz da pesquisa.

    Uma LDAP URL começa com o prefixo de protocolo "ldap" e segue este formato:

Observação

O nome distinto também é conhecido como DN.

ldap://<servidor:porta>/<baseObjectDN>?<atributos>?<Escopo_da_pesquisa>?<Filtro>

Especificamente, há suporte para a seguinte gramática:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Por exemplo, a consulta a seguir retorna os usuários cujo atributo de empresa esteja definido como "FabCo," no servidor LDAP executado na porta 389 em um host chamado "fabserver":

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Ao usar uma consulta LDAP URL, você pode utilizar o valor de espaço reservado especial %AZ_CLIENT_DN%. Esse espaço reservado é substituído pelo DN (nome distinto) do cliente que está fazendo a verificação de acesso. Isso permite construir consultas que retornam objetos do diretório com base em sua relação com o nome distinto do cliente que está fazendo a solicitação.

Neste exemplo, a consulta LDAP testa se o usuário é membro de "Customers" OU:

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

Neste exemplo, a consulta LDAP testa se o usuário é subordinado a um gerente chamado "SomeManager" e se o "searchattribute" SomeManager é igual ao valor particular "searchvalue":

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Para obter mais informações sobre a sintaxe de uma consulta LDAP URL, consulte o texto RFC 2255 (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=65973).

Importante

Se a consulta LDAP começar com "ldap", ela será tratada como uma consulta LDAP URL. Se começar com outro valor, será tratada como uma consulta versão 1.

Grupos de aplicativos básicos

Os grupos de aplicativos básicos são específicos ao Gerenciador de Autorização.

Para definir a associação ao grupo de aplicativos básico, você precisa:

  1. Definir quem é membro.

  2. Definir quem não é membro.

Ambas as etapas acima são realizadas da mesma forma.

  • Em primeiro lugar, você especifica zero ou mais usuários e grupos do Windows, grupos de aplicativos básicos previamente definidos ou grupos de consulta LDAP.

  • Depois, a associação ao grupo de aplicativos básico é calculada removendo-se todos aqueles que não são membros do grupo. O Gerenciador de Autorização faz isso automaticamente em tempo de execução.

Importante

Os não associados a um grupo de aplicativos básico têm precedência sobre os associados.

Grupos de aplicativos de regra comercial

Os grupos de aplicativos de regra comercial são específicos ao Gerenciador de Autorização.

Para definir uma associação de grupos de aplicativos de regra comercial, é necessário gravar um script em VBScript ou Jscript. O código-fonte do script é carregado de um arquivo de texto na página Propriedades do grupo de aplicativos de regra comercial.

Sumário