O controle de acesso baseado em função permite atribuir usuários a funções e controlar quais permissões receberam cada função. Também é possível aplicar um controle bastante específico usando scripts chamados regras de autorização. Essas regras permitem controlar a relação entre o controle de acesso e a estrutura da sua organização.
O Gerenciador de Autorização pode ajudar a fornecer um controle efetivo de acesso a recursos em muitas situações. Geralmente, duas categorias de funções se beneficiam da administração baseada em função: regras de autorização de usuário e regras de configuração de computador.
-
As Funções de autorização de usuário são baseadas na função do trabalho do usuário. Você pode usar funções de autorização para autorizar o acesso, delegar privilégios administrativos ou gerenciar a interação com recursos baseados no computador. Por exemplo, você pode definir uma função Tesoureiro incluindo o direito de autorizar despesas e fazer auditoria em transações entre contas.
-
As funções de configuração de computador se baseiam na função do computador. Você pode usar funções de configuração do computador para selecionar recursos que deseja instalar, ativar serviços e escolher opções. Por exemplo, as regras de configuração de computador para servidores devem ser definidas para configurações de servidores Web, controladores de domínio, servidores de arquivos e servidores personalizados apropriados à organização.
Usando os modos de desenvolvedor e administrador no Gerenciador de autorização
Com o Gerenciador de autorização, você pode usar estes dois tipos de modos:
-
Modo de desenvolvedor. No modo de desenvolvedor, você pode criar, implantar e manter aplicativos. Você tem acesso irrestrito a todos os recursos do Gerenciador de Autorização.
-
Modo de administrador. Este é o modo padrão. No modo de administrador, você pode implantar e manter aplicativos. Você tem acesso a todos os recursos do Gerenciador de autorização, mas não pode criar novos aplicativos ou definir operações.
Normalmente, o Gerenciador de Autorização é usado por aplicativos personalizados criados para fins específicos do ambiente. Esses aplicativos geralmente criam, gerenciam e usam um repositório de autorização chamando as interfaces de programação de aplicativos (APIs) do Gerenciador de Autorização. Nesse caso, não é necessário usar o modo de desenvolvedor. Para obter mais informações sobre como usar o Gerenciador de Autorização programaticamente, consulte Recursos do Gerenciador de Autorização.
Quando você usar o modo de desenvolvedor, recomendamos executar o Gerenciador de Autorização no modo de desenvolver somente até que o repositório de autorização, o aplicativo ou outros objetos necessários sejam criados e configurados. Após configurar inicialmente o Gerenciador de Autorização, execute-o no modo de administrador. Para obter mais informações sobre como usar o modo de desenvolvedor e o modo de administrador, consulte Definir opções do Gerenciador de Autorização.
Comparando o Gerenciador de Autorização a outras ferramentas de gerenciamento
Você pode usar o Gerenciador de Autorização para implementar várias alterações de configuração e permissão de uma só vez. Outras ferramentas de gerenciamento disponíveis com esta versão do Windows também podem ser usadas para configurar permissões de acesso, às vezes de maneiras que podem ser comparadas ao Gerenciador de Autorização. Entre as quais:
-
Listas de controle de acesso. As ACLs na guia de propriedades Segurança podem ser usadas para gerenciar a diretiva de controle de acesso de objetos armazenados nos Serviços de Domínio Active Directory (AD DS), nos Serviços AD LDS e em objetos do Windows. O Gerenciador de Autorização difere da guia propriedades de Segurança ao permitir que você baseie seu controle de acesso em funções (geralmente com base em determinadas tarefas de trabalho), e não apenas na associação de grupo, e no controle das permissões concedidas.
-
Assistente para Delegação de Controle. Este assistente também define várias permissões automaticamente; no entanto, ao contrário do Gerenciador de Autorização, ele não fornece um método para controlar ou remover permissões concedidas.
Referências adicionais