Управление доступом на основе ролей позволяет назначить пользователям роли и контролировать разрешения, предоставленные каждой роли. Кроме того, можно создать детализированную схему контроля с помощью сценариев, которые называются правилами авторизации. Правила авторизации позволяют контролировать взаимосвязь между контролем доступа и структурой организации.
Диспетчер авторизации предоставляет эффективный контроль доступа к ресурсам во многих ситуациях. Обычно две категории ролей часто получают преимущество от администрирования, основанного на ролях: роли авторизации пользователей и роли конфигурации компьютера.
-
Роли авторизации пользователей основаны на выполняемых пользователем функциях. Роли авторизации можно использовать для разрешения доступа, делегирования административных прав или управления взаимодействием с ресурсами на компьютере. Например, можно определить роль «Казначей», которая включает в себя права для авторизации расходов и аудита транзакций счета.
-
Роли конфигурации компьютера основаны на функциях компьютера. Эти роли можно использовать для выбора компонентов, которые требуется установить, включения служб и выбора параметров. Например, можно определить роли конфигурации компьютера для веб-серверов, контроллеров домена, файловых серверов, а также для особых конфигураций серверов, соответствующих потребностям организации.
Использование режима разработчика и режима администратора в диспетчере авторизации
В диспетчере авторизации можно использовать следующие два режима.
-
Режим разработчика. Используется для создания, разворачивания и поддержки приложений. Доступ к функциям диспетчера авторизации не ограничен.
-
Режим администратора. Этот режим включен по умолчанию. Используется для разворачивания и поддержки приложений. Открыт доступ ко всем возможностям диспетчера авторизации, за исключением создания новых приложений или определения операций.
Обычно диспетчер авторизации используется специальными приложениями, написанными для определенных целей в конкретной среде. Эти приложения обычно создают, управляют и используют хранилище данных авторизации с помощью интерфейса прикладного программирования (API) диспетчера авторизации. В этом случае нет необходимости в использовании режима разработчика. Дополнительные сведения о программном использовании диспетчера авторизации см. в разделе Ресурсы для диспетчера авторизации.
Режим разработчика рекомендуется использовать только для создания и настройки хранилищ данных авторизации, приложений и других необходимых объектов. После настройки диспетчера авторизации его следует переключить в режим администратора. Дополнительные сведения об использовании режима разработчика или администратора см. в разделе Установка параметров диспетчера авторизации.
Сравнение диспетчера авторизации с другими средствами управления
С помощью диспетчера авторизации можно одновременно изменить несколько параметров конфигурации или разрешений. В этой версии Windows существуют и другие инструменты управления, которые также можно использовать для настройки разрешений доступа способами, в ряде случаев сопоставимыми с использованием диспетчера авторизации. К таким инструментам относятся:
-
Списки управления доступом. Списки управления доступом (ACL) на вкладке Безопасность можно использовать для управления политикой контроля доступа для объектов, хранящихся в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) и для объектов Windows. Диспетчер авторизации отличается от вкладки свойств «Безопасность» тем, что в основе управления доступом в первом случае лежат роли (обычно основанные на конкретных задачах), а не только членство в группах, а также тем, что диспетчер авторизации отслеживает выданные разрешения.
-
Мастер делегирования управления. Мастер делегирования управления также автоматически настраивает несколько разрешений, но, в отличие от диспетчера авторизации, не предоставляет способа отслеживания и удаления выданных разрешений.
Дополнительные ссылки