في "إدارة التخويل"، يتم تمثيل مستلمي نهج التخويل من خلال أنواع المجموعات المختلفة التالية:
-
مستخدموا Windows ومجموعاته- تضم هذه المجموعات المستخدمين وأجهزة الكمبيوتر والمجموعات المضمنة لمبادئ الأمان. ويتم استخدام مستخدمي Windows ومجموعاتها عبر Windows بأكمله، وليس فقط في "إدارة التخويل".
-
مجموعات التطبيق. تتضمن هذه المجموعات مجموعات التطبيق الأساسية ومجموعات استعلام البروتوكول الخفيف لتغيير بيانات الدليل (LDAP). حيث تعتبر مجموعات التطبيق خاصة بالإدارة القائمة على الدور لـ "إدارة التخويل".
 | هام |
|
تعد مجموعة التطبيق مجموعة من المستخدمين وأجهزة الكمبيوتر ومبادئ الأمان الأخرى. ولكنها ليست مجموعة من التطبيقات. |
-
مجموعات استعلام LDAP يتم حساب العضوية في هذه المجموعات بطريقة ديناميكية من استعلامات LDAP عند الضرورة. تعتبر مجموعة استعلام LDAP نوعًا من مجموعات التطبيق.
-
مجموعات التطبيق الأساسية. يتم تعريف هذه المجموعات حسب مجموعات استعلام LDAP ومستخدمي Windows ومجموعاته وكذلك مجموعات التطبيق الأخرى. تعتبر مجموعة التطبيق الأساسية نوعًا من مجموعات التطبيق.
-
مجموعة تطبيقات قواعد العمل. يتم تعريف هذه المجموعات من قبل برنامج نصي مكتوب إما بلغة VBScript أو بلغة Jscript، وينتج عنها عضوية مجموعة تم تحديدها ديناميكيًا في وقت التشغيل وفقاً للمعايير التي تقود بتحديدها.
مستخدمو Windows ومجموعاته
للمزيد من المعلومات حول المجموعات الموجودة في خدمات مجال Active Directory (AD DS)، راجع
مجموعات التطبيق
عندما تقوم بإنشاء مجموعة تطبيق جديدة، يجب تحديد ما إذا كنت تريد أن تكون عضوًا في مجموعة استعلام LDAP أو مجموعة تطبيق أساسية. وللحصول على تطبيقات تستند إلى الدور لـ "إدارة التخويل"، فإن أي تخويل يمكن القيام به مع مستخدمي Windows ومجموعاته يمكن أيضًا إجراؤه مع مجموعات التطبيق.
لا يتم السماح بتعريفات العضوية الدائرية، وينتج عن ذلك وجود رسالة الخطأ "يتعذر إضافة <اسم المجموعة>. حدثت المشكلة التالية: تم اكتشاف تكرار حلقي."
مجموعات استعلام LDAP
في "إدارة التخويل"، يمكن استخدام استعلامات LDAP للعثور على كائنات أخرى متوافقة في خدمة Active Directory ودلائل LDAP.
يمكنك استخدام استعلام LDAP لتعيين مجموعة استعلام LDAP بواسطة كتابة استعلام LDAP المرغوب فيه في المساحة المتوفرة من قبل علامة التبويباستعلام من مربع الحوار خصائص الخاص بمجموعة التطبيق.
تدعم "إدارة التخويل" نوعين من استعلامات LDAP التي يمكن استخدامها لتعريف مجموعة استعلام LDAP: الإصدار 1 من استعلامات "إدارة التخويل" واستعلامات LDAP URL.
-
استعلامات LDAP للإصدار 1 من "إدارة التخويل"
توفر استعلامات LDAP الإصدار 1 دعمًا محدودًا لبناء جملة استعلام LDAP URL الموضحة في RFC 2255. وتقتصر هذه الاستعلامات على الاستعلام عن قائمة سمات كائن المستخدم المحددة في سياق العميل الحالي.
على سبيل المثال، الاستعلام التالي يعثر على جميع الأشخاص باستثناء منار:
(&(objectCategory=person)(objectClass=user)(!cn=andy)).
يقوم هذا الاستعلام بتقييم ما إذا كان العميل عضوًا في الاسم المستعار في StatusReports على northwindtraders.com:
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
وتستمر "إدارة التخويل" في دعم استعلامات الإصدار 1 لتتم ترقية الحلول المطورة باستخدام إصدارات أقدم من "إدارة التخويل" بأقل جهد ممكن.
-
استعلامات LDAP URL
لإزالة القيود المفروضة على الكائنات والسمات التي يمكن البحث عنها، تدعم "إدارة التخويل" بناء جملة استعلام LDAP URL القائم على RFC 2255. يسمح لك هذا الأمر بإنشاء مجموعات استعلام LDAP التي تستخدم كائنات الدليل بخلاف كائن المستخدم الحالي كجذر للبحث.
يبدأ LDAP URL ببادئة البروتوكول "ldap" ويتبع هذا التنسيق:
 | ملاحظة |
|
كما يعرف الاسم المميز أيضاً بـ DN. |
ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>
وبالأخص، يتم دعم التدقيق اللغوي التالي:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
على سبيل المثال، يقوم الاستعلام التالي بإرجاع المستخدمين الذين تم تعييم سمة الشرمة الخاصة بهم إلى "FabCo"، من خادم LDAP يقوم التشغيل على المنفذ 389 على مضيف اسمه "fabserver":
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
عند استخدام استعلام LDAP URL، يمكنك استخدام قيمة العنصر النائب الخاص %AZ_CLIENT_DN%.. يتم استبدال هذا العنصر النائب بالاسم المميز (DN) الخاص بالعميل الذي يقوم بإجراء فحص الوصول. ويسمح لك هذا الأمر ببناء الاستعلامات التي تقوم بإرجاع كائنات من الدليل اعتماداً على علاقتها بالاسم المميز للعميل الذي يقوم بإجراء الطلب.
في هذا المثال، يختبر استعلام LDAP ما إذا كان المستخدم عضواً في "Customers" OU:
ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
في ها المثال، يختبر استعلام LDAP ما إذا كان المستخدم عبارة عن تقرير مباشر للمدير الذي اسمه "SomeManager" وأن "searchattribute" الخاصة بـ SomeManager تساوي القيمة الشائعة "searchvalue":
ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
لمزيد من المعلومات حول بناء جملة استعلام LDAP URL، قم بالرجوع إلى نص
| هام |
|
إذا كان استعلام LDAP يبدأ بـ "ldap"، تتم معاملته كاستعلام LDAP URL. أما إذا كان يبدأ بأي شيء آخر، فتتم معاملته كاستعلام إصدار 1 |
مجموعات التطبيق الأساسية
تعتبر مجموعات التطبيق الأساسية مجموعات خاصة بـ "إدارة التخويل".
لتحديد عضوية مجموعة تطبيق أساسية، يجب:
-
تعريف من هم الأعضاء.
-
تعريف من هم غير الأعضاء.
يتم تنفيذ كلٍ من هاتين الخطوتين بنفس الطريقة:
-
أولاً، يجب عدم تحديد مستخدمي Windows أو مجموعاته أو تحديد أكثر من مستخدم ومجموعة لـ Windows، مثل مجموعات التطبيق الأساسية ومجموعات استعلام LDAP سابقة التعريف.
-
ثانيًا، يتم حساب عضوية مجموعة التطبيق الأساسية بواسطة إزالة أي أشخاص غير أعضاء في المجموعة. حيث تقوم "إدارة التخويل" بالقيام بذلك بشكل تلقائي في وقت التشغيل.
| هام |
|
تكون الأسبقية لغير الأعضاء في مجموعة التطبيق الأساسية على الأعضاء. |
مجموعات تطبيقات قواعد العمل.
تعتبر مجموعات تطبيق قواعد العمل هي مجموعات خاصة بـ "إدارة التخويل".
لتحديد عضوية مجموعة تطبيق قواعد العمل، يجب كتابة برنامج نصي إما بلغة VBScript أو بلغة Jscript. حيث يتم تحميل رمز مصدر البرنامج النصي من ملف نصي في الصفحة خصائص لمجموعة تطبيق قواعد العمل.