I Authorization Manager er modtagere af autorisationspolitikker repræsenteret ved følgende forskellige typer grupper:
-
Windows-brugere og -grupper. Disse grupper omfatter brugere, computere og indbyggede grupper for sikkerhedskonti. Windows-brugere og -grupper bruges i hele Windows, ikke kun i Authorization Manager.
-
Programgrupper. Disse grupper omfatter basisprogramgrupper og LDAP-forespørgselsgrupper (Lightweight Directory Access Protocol). Programgrupper er specielt udviklet til rollebaseret administration i Authorization Manager.
Vigtigt! | |
En programgruppe er en gruppe brugere, computere eller andre sikkerhedskonti. En programgruppe er ikke en gruppe programmer. |
-
LDAP-forespørgselsgrupper. Medlemskab af disse grupper beregnes dynamisk efter anmodning fra LDAP-forespørgsler. En LDAP-forespørgselsgruppe er en form for programgruppe.
-
Basisprogramgrupper. Disse grupper defineres ud fra LDAP-forespørgselsgrupper, Windows-brugere og -grupper og andre basisprogramgrupper. En basisprogramgruppe er en form for programgruppe.
-
Forretningsregel-programgrupper. Disse grupper defineres via et script, der enten er skrevet i VBScript eller Jscript, og medfører, at gruppemedlemskab fastslås dynamisk i kørselstid i overensstemmelse med kriterier, du angiver.
Windows-brugere og -grupper
Du kan finde flere oplysninger om grupper i Active Directory-domænetjenester (AD DS) under
Programgrupper
Når du opretter en ny programgruppe, skal du fastslå, om det skal være en LDAP-forespørgselsgruppe eller en basisprogramgruppe. For rollebaserede programmer i Authorization Manager kan den autorisation, du kan udføre med Windows-brugere og -grupper, også udføres med programgrupper.
Definitioner af cirkulære medlemskaber er ikke tilladt og medfører fejlmeddelelsen <Gruppenavn> kan ikke tilføjes. Følgende problem opstod: Der blev fundet en løkke.
LDAP-forespørgselsgrupper
I Authorization Manager kan du bruge LDAP-forespørgsler til at søge efter objekter i Active Directory-domænetjenester (AD DS), Lightweight-katalogtjenester Active Directory (AD LDS) og andre LDAP-kompatible mapper.
Du kan bruge en LDAP-forespørgsel til at angive en LDAP-forespørgsel ved at skrive den ønskede LDAP-forespørgsel i det område, der findes under fanen Forespørgsel i dialogboksen Egenskaber for programgruppen.
Authorization Manager understøtter to typer LDAP-forespørgsler, der kan bruges til at definere en LDAP-forespørgselsgruppe: Forespørgsler til Authorization Manager version 1 og LDAP URL-forespørgsler
-
LDAP-forespørgsler til Authorization Manager version 1
LDAP-forespørgsler til version 1 understøtter i begrænset omfang den syntaks til LDAP URL-forespørgsler, der beskrives i RFC 2255. Disse forespørgsler er begrænset til at forespørge egenskabslisten for det brugerobjekt, der er angivet i den aktuelle klientkontekst.
I følgende forespørgsel findes f.eks. alle undtagen Anders:
(&(objectCategory=person)(objectClass=user)(!cn=anders)).
Denne forespørgsel evaluerer, om klienten er medlem af aliasset StatusReports hos northwindtraders.com:
(memberOf=CN=DogLovers,OU=Distribution Lists,DC=nwtraders,DC=com)
Authorization Manager understøtter fortsat forespørgsler til version 1, så det er nemt at opgradere løsninger, der er udviklet ved hjælp af tidligere versioner af Authorization Manager.
-
LDAP URL-forespørgsler
Hvis du vil fjerne begrænsninger for objekter og egenskaber, der kan søges efter, understøtter Authorization Manager syntaksen for en LDAP URL-adresseforespørgsel, der er baseret på RFC 2255. Det giver dig mulighed for at oprette LDAP-forespørgselsgrupper, der bruger andre mappeobjekter end det aktuelle brugerobjekt som roden for søgningen.
En LDAP URL-adresse starter med protokolpræfikset ldap og benytter følgende format:
Bemærk! | |
Entydigt navn, der også kaldes DN (Distinguished Name). |
ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>
Følgende grammatik understøttes specifikt:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Følgende forespørgsel returnerer f.eks. de brugere, hvis firmaattribut er angivet til "FabCo", fra den LDAP-server, der kører på port 389 på en vært med navnet "fabserver":
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
Når du bruger en LDAP URL-forespørgsel, kan du bruge den særlige pladsholderværdi %AZ_CLIENT_DN%. Denne pladsholder erstattes af det entydige navn (DN) for den klient, der foretager adgangskontrollen. Dette gør det muligt for dig at oprette forespørgsler, der returnerer objekter fra mappen på basis af deres forhold til det entydige navn på den klient, der udfører anmodningen.
I dette eksempel tester LDAP-forespørgslen, om brugeren er medlem af organisationsenheden "Customers":
ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
I dette eksempel tester LDAP-forespørgslen, om brugeren refererer direkte til en chef med navnet "SomeManager", og om "searchattribute" for SomeManager er lig med den bestemte værdi "searchvalue":
ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
Du kan finde flere oplysninger om syntaksen i en LDAP URL-forespørgsel under
Vigtigt! | |
Hvis LDAP-forespørgslen starter med "ldap", behandles den som en LDAP URL-forespørgsel. Hvis den starter med noget andet, behandles den som en forespørgsel til version 1 |
Basisprogramgrupper
Basisprogramgrupper er specielt udviklet til Authorization Manager.
Hvis du vil definere medlemskab af basisprogramgrupper, skal du:
-
Definere, hvem der er medlem.
-
Definere, hvem der ikke er medlem.
Disse trin udføres på samme måde:
-
Du skal først angive nul eller flere Windows-brugere og -grupper, tidligere definerede basisprogramgrupper eller LDAP-forespørgselsgrupper.
-
Dernæst beregnes medlemskabet af basisprogramgruppen ved at fjerne ikke-medlemmer fra gruppen. Det gør Authorization Manager automatisk i kørselstid.
Vigtigt! | |
Ikke-medlemskab i en basisprogramgruppe tilsidesætter medlemskab. |
Forretningsregel-programgrupper
Forretningsregel-programgrupper er specielt udviklet til Authorization Manager.
Hvis du vil definere medlemskab af forretningsregel-programgrupper, skal du enten skrive et script i VBScript eller JScript. Scriptkildekoden indlæses fra en tekstfil på siden Egenskaber for forretningsregel-programgruppen.