I Auktoriseringshanteraren representeras auktoriseringsprincipmottagare av följande grupptyper:

  • Windows-användare och -grupper. De här grupperna inkluderar användare, datorer och inbyggda grupper för säkerhetsobjekt. Windows-användare och -grupper används inte bara i Auktoriseringshanteraren, utan i hela Windows.

  • Programgrupper. De här grupperna inkluderar enkla programgrupper och LDAP-frågegrupper (Lightweight Directory Access Protocol). Programgrupper är specifika för rollbaserad administration i Auktoriseringshanteraren.

Viktigt!

En programgrupp är en grupp av användare, datorer eller andra säkerhetsobjekt. En programgrupp är inte en grupp med program.

  • LDAP-frågegrupper. Medlemskap i de här grupperna beräknas dynamiskt vid behov från LDAP-frågor. En LDAP-frågegrupp är en typ av programgrupp.

  • Enkla programgrupper. De här grupperna definieras som LDAP-frågegrupper, Windows-användare och -grupper och andra enkla programgrupper. En enkel programgrupp är en typ av programgrupp.

  • Programgrupper genom företagslogik.De här grupperna definieras efter ett skript som skrivits antingen i VBScript eller JScript och resulterar i att gruppmedlemskap fastställs dynamiskt under körning enligt villkor som du anger.

Windows-användare och -grupper

Mer information om grupper i Active Directory Domain Services (AD DS) finns i Rollbaserad åtkomstkontroll med Auktoriseringshanteraren för program med flera nivåer (sidan kan vara på engelska) (https://go.microsoft.com/fwlink/?LinkId=64287). Mer information om säkerhetsobjekt som inte är lagrade i AD DS finns i Teknisk referens för säkerhetsobjekt (sidan kan vara på engelska) (https://go.microsoft.com/fwlink/?LinkId=129213).

Programgrupper

När du skapar en ny programgrupp måste du ange om det ska vara en LDAP-frågegrupp eller en enkel programgrupp. Alla auktoriseringar som du kan göra för Windows-användare och -grupper kan du också göra för programgrupper (för rollbaserade program i Auktoriseringshanteraren).

Cirkulära medlemskapsdefinitioner tillåts inte. Om en sådan skapas visas felmeddelandet "<Gruppnamn> kan inte läggas till. Följande fel uppstod: En slinga (loop) har upptäckts."

LDAP-frågegrupper

I Auktoriseringshanteraren kan du använda LDAP-frågor för att söka efter objekt i AD DS, AD LDS (Active Directory Lightweight Directory Services) och andra LDAP-kompatibla kataloger.

Du kan använda en LDAP-fråga för att ange en LDAP-frågegrupp genom att skriva den i utrymmet på fliken Fråga i dialogrutan Egenskaper för programgruppen.

Auktoriseringshanteraren stöder två typer av LDAP-frågor som kan användas för att definiera en LDAP-frågegrupp: Frågor av version 1-typ i Auktoriseringshanteraren och LDAP-URL-frågor.

  • LDAP-frågor av version 1-typ i Auktoriseringshanteraren

    LDAP-frågor av version 1-typ ger begränsat stöd för LDAP-URL-frågesyntaxen som beskrivs i RFC 2255. De här frågorna är begränsade till att fråga attributlistan för användarobjektet som anges i den aktuella klientkontexten.

    Med hjälp av följande exempelfråga hittar du alla personer förutom Andreas:

    (&(objectCategory=person)(objectClass=användare)(!cn=andreas)).

    Den här frågan utvärderar om klienten är medlem i aliaset Statusrapporter på northwindtraders.com:

    (memberOf=CN=Statusrapporter,OU=Distributionslistor,DC=nwtraders,DC=com)

    Auktoriseringshanteraren har fortsatt stöd för frågor av version 1-typ så att lösningar som utvecklats med tidigare versioner av Auktoriseringshanteraren kan uppgraderas enklare.

  • LDAP-URL-frågor

    För att ta bort begränsningar för objekt och attribut som kan eftersökas stöder Auktoriseringshanteraren en LDAP-URL-frågesyntax som baseras på RFC 2255. På så sätt kan du skapa LDAP-frågegrupper som använder andra katalogobjekt än det aktuella användarobjektet som rot för sökningen.

    En LDAP-URL börjar med protokollprefixet "ldap" och följer det här formatet:

OBS

Unikt namn (Distinguished Name) kallas även DN.

ldap://<server:port>/<DN för basobjekt>?<attribut>?<fråge-scope>?<Filter>

Särskilt följande grammatik stöds:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Följande fråga t.ex. returnerar användare vars företagsattribut har angetts till "FabCo" från den LDAP-server som körs på port 389 på en värddator med namnet "fabserver":

ldap://fabserver:389/OU=Kunder,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=användare)(objectCategory=användare))

När du använder en LDAP URL-fråga kan du använda det särskilda platshållarvärdet %AZ_CLIENT_DN%. Den här platshållaren ersätts med det unika namnet (DN) för den klient som utför åtkomstkontrollen. På det här sättet kan du skapa frågor som returnerar objekt från katalogen baserat på deras förhållande till det unika namnet för den klient som anger begäran.

I det här exemplet testar LDAP-frågorna om användaren är medlem i "Kund"-OU:

ldap://server:<port>/OU=Kunder,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=användare)(objectCategory=användare) (distinguishedName= %AZ_CLIENT_DN% ))

I det här exemplet testar LDAP-frågan om användaren är en direktrapport för en chef med namnet "SpecifikChef" och att "sökattribut" för SpecifikChef är lika med det särskilda värdet "sökvärde":

ldap://server:port/Cn=SpecifikChef,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(sökattribut= sökvärde) (directreports = %AZ_CLIENT_DN%))

Mer information om syntaxen för en LDAP URL-fråga finns i texten för RFC 2255 (sidan kan vara på engelska) (https://go.microsoft.com/fwlink/?linkid=65973).

Viktigt!

Om LDAP-frågan börjar med "ldap" hanteras den som en LDAP-URL-fråga. Om den börjar med någonting annat hanteras den som en fråga av version 1-typ.

Enkla programgrupper

Enkla programgrupper är specifika för Auktoriseringshanteraren.

Om du vill definiera medlemskap för en enkel programgrupp så måste du göra två saker:

  1. Ange vem som är medlem.

  2. Ange vem som inte är medlem.

Du utför dessa steg på samma sätt:

  • Först anger du ett antal (noll eller fler) Windows-användare och -grupper, tidigare definierade enkla programgrupper eller LDAP-frågegrupper.

  • Därefter beräknas medlemskapet för den enkla programgruppen genom att alla icke-medlemmar tas bort från gruppen. Detta görs automatiskt när Auktoriseringshanteraren körs.

Viktigt!

Icke-medlemskap i en enkel programgrupp har högre prioritet än medlemskap.

Programgrupper genom företagslogik

Programgrupper genom företagslogik är specifika för Auktoriseringshanteraren.

Om du vill ange medlemskap för programgrupper genom företagslogik måste du skriva ett skript i antingen VBScript eller JScript. Källkoden från skriptet laddas från en textfil på sidan Egenskaper för programgruppen genom företagslogik.

Innehåll