Прежде чем использовать диспетчер авторизации для контроля доступа к ресурсам, необходимо создать хранилище данных авторизации.

Для выполнения этой процедуры требуется как минимум членство в группе Администраторы. См. подробности в пункте «Прочие вопросы» этого раздела.

Создание хранилища данных авторизации

  1. Запустите диспетчер авторизации.

  2. При необходимости переключитесь в режим разработчика, изменив параметры диспетчера авторизации.

  3. В дереве консоли щелкните правой кнопкой мыши Диспетчер авторизации, а затем щелкните Создание хранилища данных авторизации.

  4. В диалоговом окне Создание хранилища данных авторизации щелкните Служба Active Directory, XML-файл или Microsoft SQL.

  5. Введите имя хранилища в поле Имя хранилища или щелкните Расположение, чтобы указать расположение хранилища данных авторизации. Расположение нельзя использовать для поиска компьютера, на котором работает сервер Microsoft SQL Server. При создании хранилища на SQL Server его расположение должно быть известно заранее.

  6. (Необязательно) Введите описание нового хранилища данных авторизации в поле Описание.

  7. Нажмите кнопку ОК.

Прочие вопросы

  • Для выполнения этой процедуры необходимо переключиться в режим разработчика.

  • Для создания хранилища данных авторизации в доменных службах Active Directory (AD DS) следует использовать LDAP-имя (например, CN=myStore,CN=Program Data,DN=nwtraders,DN=com). Хранилище может быть создано в разделе доменных служб Active Directory (AD DS) или служб Active Directory облегченного доступа к каталогам (AD LDS). AD LDS ранее назывались Active Directory Application Mode (ADAM).

  • Любому пользователю, которому присвоена роль Администратор политики, Читатель политики или Делегированный пользователь политики на любом уровне (хранилище, приложение, область) для хранилища диспетчера авторизации, размещенного в разделе AD LDS, также должна быть присвоена роль Устройство чтения AD LDS этого раздела AD LDS.

  • Для создания хранилища авторизации на базе XML следует использовать путь и имя файла, действительные во время выполнения (например, C:\AuthStores\MyStore.xml).

  • Для создания хранилища авторизации на базе SQL следует использовать URL-адрес, начинающийся с префикса протокола MSSQL://. Дополнительные сведения о представлении строки подключения SQL в виде URL-адреса см. в пункте «Дополнительные ссылки» этого раздела.

  • По умолчанию члены локальной группы Администраторы имеют достаточные права и привилегии для выполнения этой задачи. В конкретной среде безопасность может быть организована так, что пользователи, не являющиеся администраторами, будут иметь дополнительные права.

  • Если включен контроль учетных записей, он может быть настроен так, чтобы разрешить вводить учетные данные администраторов для выполнения административных задач не-администраторам, которые не являются членами группы Администраторы.

  • Если хранилище создается на другом компьютере, следует убедиться в наличии достаточных полномочий для доступа и создания на нем соответствующего типа ресурсов.

Дополнительные ссылки

Содержание