V nástroji Správce autorizací jsou příjemci zásad autorizace představováni následujícími skupinami:

  • Uživatelé a skupiny systému Windows Mezi tyto skupiny patří uživatelé, počítače a předdefinované skupiny objektů zabezpečení. Uživatelé a skupiny systému Windows se používají v celém systému Windows, nejen v nástroji Správce autorizací.

  • Skupiny aplikací Tyto skupiny zahrnují základní skupiny aplikací a skupiny dotazů protokolu LDAP (Lightweight Directory Access Protocol). Skupiny aplikací jsou používány výhradně pro správu na základě rolí v nástroji Správce autorizací.

Důležité informace

Skupina aplikací je skupinou uživatelů, počítačů a dalších objektů zabezpečení. Skupina aplikací nepředstavuje sadu aplikací.

  • Skupiny dotazů LDAP Členství v těchto skupinách se dynamicky vypočítává na základě dotazů protokolu LDAP. Skupina dotazu LDAP je typem skupiny aplikací.

  • Základní skupiny aplikací Tyto skupiny jsou definovány podle skupin dotazů LDAP, uživatelů a skupin systému Windows a podle dalších základních skupin aplikací. Základní skupina aplikací je typem skupiny aplikací.

  • Skupiny aplikací obchodního pravidla Tyto skupiny jsou definované skriptem napsaným v jazyce VBScript nebo v jazyce Jscript, a proto je členství v této skupině určováno dynamicky podle definovaných kritérií.

Uživatelé a skupiny systému Windows

Další informace o skupinách ve službě AD DS (Active Directory Domain Services) naleznete v tématu Používání nástroje Správce autorizací pro řízení přístupu podle rolí u vícevrstvých aplikací (stránka může být v angličtině). Další informace o objektech zabezpečení, které nejsou uloženy ve službě AD DS, naleznete v tématu Technické informace o objektech zabezpečení (stránka může být v angličtině).

Skupiny aplikací

Při vytváření nové skupiny aplikací je nutné určit, jestli má být skupinou dotazu LDAP nebo základní skupinou aplikací. Pro aplikace nástroje Správce autorizací založené na rolích je možné každou autorizaci, kterou lze provést pomocí uživatelů a skupin systému Windows, provést také pomocí skupin aplikací.

Cyklické definování členství není povoleno a má za následek zobrazení chybového hlášení Nelze přidat <Název skupiny>. Došlo k následující chybě: Byla rozpoznána smyčka.

Skupiny dotazů LDAP

Dotazy LDAP lze v rámci Správce autorizací použít k nalezení objektů v adresáři služby AD DS (Active Directory Domain Services), služby AD LDS (Active Directory Lightweight Directory Services) a v dalších adresářích kompatibilních s protokolem LDAP.

Dotaz LDAP můžete použít k určení skupiny dotazu LDAP zadáním požadovaného dotazu LDAP do pole na kartě Dotaz v dialogovém okně Vlastnosti dané skupiny aplikací.

Správce autorizací podporuje dva typy dotazů LDAP, které lze použít k definování skupiny dotaz LDAP: Dotazy Správce autorizací verze 1 a URL dotazy LDAP

  • Dotazy LDAP Správce autorizací verze 1

    Dotazy LDAP verze 1 poskytují pouze omezenou podporu pro syntaxi URL dotazů LDAP popsanou v RFC 2255. Tyto dotazy jsou omezeny pouze na dotazy týkající se seznamu atributů objektu uživatele určeného aktuálním kontextem klienta.

    Následující dotaz například hledá všechny uživatele s výjimkou uživatele Andy:

    (&(objectCategory=person)(objectClass=user)(!cn=andy)).

    Následující dotaz vyhodnotí, jestli je klient členem aliasu StatusReports na webu northwindtraders.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    Nástroj Správce autorizací i nadále podporuje dotazy verze 1, aby bylo snazší upgradovat řešení založená na předchozí verzi nástroje Správce autorizací.

  • Dotazy LDAP URL

    Za účelem odstranění omezení ve vyhledávání objektů a atributů podporuje nástroj Správce autorizací syntaxi dotazů LDAP URL založenou na RFC 2255. Ta vám umožňuje používat jako kořen vyhledávání jiné adresářové objekty než aktuální uživatelský objekt.

    Dotaz LDAP URL začíná předponou protokolu „Idap“ a má následující formát:

Poznámka

Rozlišující název se také označuje zkratkou DN.

ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>

Podporována je konkrétně následující gramatika:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName
       hostport   = hostport
       attrdesc   = AttributeDescription
       filter     = filter

Například následující dotaz vrátí uživatele, jejichž atribut společnosti je nastaven na hodnotu FabCo, ze serveru LDAP spuštěného na portu 389 na hostiteli s názvem fabserver:

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Při používání dotazu LDAP URL můžete použít zvláštní hodnotu zástupného symbolu %AZ_CLIENT_DN%. Tento zástupný symbol bude nahrazen rozlišujícím názvem (DN) klienta provádějícího kontrolu přístupu. To umožňuje vytvářet dotazy, které vracejí objekty z adresáře na základě jejich vztahu k rozlišujícímu názvu klienta vytvářejícího požadavek.

V tomto příkladu dotaz LDAP testuje, zda je uživatel členem skupiny Customers OU:

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

V tomto příkladu dotaz LDAP testuje, zda je uživatel přímým podřízeným manažera SomeManager a zda je searchattribute manažera SomeManager roven konkrétní hodnotě searchvalue:

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Další informace o syntaxi dotazu LDAP URL naleznete v textu dokumentu RFC 2255.

Důležité informace

Pokud dotaz LDAP začíná předponou „Idap“, bude zpracován jako dotaz LDAP URL. Pokud začíná čímkoli jiným, bude zpracován jako dotaz verze 1.

Základní skupiny aplikací

Základní skupiny aplikací jsou specifické pro nástroj Správce autorizací.

Při definici základní skupiny aplikací je nutné provést následující kroky:

  1. Definovat, kdo je členem.

  2. Definovat, kdo není členem.

Oba tyto kroky jsou prováděny stejným způsobem:

  • Nejprve je nutné určit žádného či více Uživatelů a skupin systému Windows, dříve definovaných základních skupin aplikací a skupin dotazů LDAP.

  • Členství v základní skupině aplikací je poté určeno odebráním uživatelů, kteří nejsou členy výše uvedených skupin. Správce autorizací provádí tento krok automaticky při běhu.

Důležité informace

Nečlenství v základní skupině aplikací má přednost před členstvím.

Skupiny aplikací obchodního pravidla

Skupiny aplikací obchodního pravidla jsou specifické pro nástroj Správce autorizací.

Pokud chcete definovat členství ve skupině aplikací obchodního pravidla, bude nutné napsat skript v jazyce VBScript nebo nebo v jazyce Jscript. Zdrojový kód tohoto skriptu nahrajte z textového souboru na stránce Vlastnosti skupiny aplikací obchodního pravidla.


Obsah