作用域是应用程序中将某些资源与该应用程序使用的其他资源相分隔的虚拟细分。可使用作用域防止非有意的资源共享,并可支持审核和委派。并非一定要使用作用域。

作用域可以代表文件夹、Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS) 中的容器、文件的文件掩码集合(例如,*.doc)、URL 或任何可由应用程序及其基础授权存储访问的项目。但是,作用域是一个抽象概念。它是授权管理器中创建的一个定义,但并不是诸如文件系统中的物理文件夹或 AD DS 的实际容器一样的实物。

如果具有不希望应用到整个应用程序的授权管理器组、角色分配、角色定义或任务定义,则可在作用域级别对其进行创建。包含作用域的应用程序必须可识别作用域名称。例如,基于文件的应用程序可以具有包括文件名或路径的作用域名称。基于 Web 的应用程序可以具有基于 URL 的作用域名称。注册表应用程序可以具有基于注册表配置单元的作用域名称,Active Directory 作用域名称可以指定组织单元。无法在作用域级别上定义操作。

审核作用域

无法在作用域级别控制授权管理器运行时审核。可以在存储在 AD DS 中的授权存储中所包含的作用域上,控制授权管理器授权存储更改审核。有关详细信息,请参阅了解授权管理器审核

委派作用域

如果同时满足下列两个条件,则可以将作用域委派给其他人管理:

  • 授权存储必须存储在 AD DS、AD LDS 或 Microsoft SQL Server 中。

  • 在要委派的作用域内所定义的任何任务或角色定义中,没有使用授权规则。


目录