Um den Autorisierungs-Manager für die Zugriffssteuerung von Ressourcen effektiv verwenden zu können, müssen Sie zunächst Rollen, Aufgaben und Vorgänge definieren.

  • Bei einer Rolle handelt es sich um eine Reihe von Berechtigungen, die ein Benutzer zum Ausführen bestimmter Tätigkeiten benötigt. Gut durchdachte (entworfene) Rollen sollten einer Tätigkeitskategorie oder einem Verantwortungsbereich entsprechen (z. B. Empfangschef, Personalchef oder Archivar) und dementsprechend bezeichnet werden. Mit dem Autorisierungs-Manager können Sie Benutzer zu einer Rolle hinzufügen, um sie für die jeweilige Tätigkeit zu autorisieren.

  • Bei einer Aufgabe handelt es sich um eine Sammlung von Vorgängen und ggf. anderen Aufgaben. Gut durchdachte (entworfene) Aufgaben sind so umfassend, dass sie erkennbare Arbeitselemente darstellen können (z. B. Kennwort ändern oder Kosten einreichen).

  • Bei einem Vorgang handelt es sich um eine Reihe von Berechtigungen, die Sie Sicherheitsverfahren auf Systemebene oder auf API-Ebene zuordnen können. Sie verwenden Vorgänge als Module für Aufgaben.

Sie können Rollen, Aufgaben und Vorgänge nur im Entwicklermodus und nicht im Verwaltungsmodus definieren. Informationen zum Festlegen des Entwicklermodus finden Sie unter Festlegen von Autorisierungs-Manager-Optionen.

Rollendefinitionen

Die jeweils angemessenen Rollendefinitionen sind von der Struktur und den Zielen der Organisation abhängig. Rollen unterstützen die Vererbung von anderen Rollen.

Wenn Sie eine Rolle definieren möchten, geben Sie einen Namen, eine Beschreibung sowie einige bestimmte Aufgaben, Rollen und Vorgänge an, die Teil der Rolle sind. Dadurch wird ein Mechanismus für die Rollenvererbung bereitgestellt. Eine Helpdesk-Rolle kann z. B. eine Support-Rolle umfassen.

Sie können eine Autorisierungsregel angeben, die auf VBScript oder JScript basiert. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter VBScript (https://go.microsoft.com/fwlink/?linkid=65964) und JScript (https://go.microsoft.com/fwlink/?LinkId=65963).

Wenn mehrere Autorisierungsregeln einer Rollendefinition zugeordnet sind (wenn sie z.B. über mehrere untergeordnete Rollen und Aufgaben verfügt), werden die Autorisierungsregeln synchron ausgeführt. Im Autorisierungs-Manager wirkt sich die Reihenfolge nicht auf die Autorisierung aus.

Aufgabendefinitionen

Eine Aufgabendefinition ist weniger umfassend als eine Rollendefinition und kann zum Definieren von Rollen und anderen Aufgaben verwendet werden.

Beim Autorisierungs-Manager verbinden Sie Aufgaben intuitiv mit Rollen. Die Personalleiter-Rolle könnte beispielsweise die Aufgabe Vorstellungsgespräche führen umfassen.

Aufgaben werden (wie Rollen) gemäß den Gegebenheiten und Anforderungen der Organisation definiert. Wenn Sie eine Aufgabe definieren möchten, geben Sie einen Namen, eine Beschreibung sowie einige bestimmte Aufgaben und Vorgänge an, die Teil der Aufgabe sind. Sie können auch eine VBScript- oder JScript-Autorisierungsregel angeben.

Vorgangsdefinitionen

Vorgänge sind kleinere Aktionen auf Computerebene, die zum Definieren von Aufgaben (oder Tasks) verwendet werden und für Administratoren irrelevant sind. Vorgänge werden ausschließlich im Entwicklermodus definiert.

Sie können Vorgangsdefinitionen auf der Anwendungsebene festlegen. Auf der Autorisierungsspeicher- oder Bereichsebene ist dies jedoch nicht möglich.

Eine Vorgangsdefinition umfasst einen Namen, eine Beschreibung und eine Vorgangsnummer. Bei der Vorgangsnummer X muss es sich um eine ganze Zahl zwischen 1 und 2.147.483.647 handeln (die entspricht 1 ≤ X ≤ 2^31 - 1). Die Vorgangsnummer wird von der Anwendung zum Identifizieren des Vorgangs verwendet. Das Eingeben einer falschen Vorgangsnummer führt daher dazu, dass der Zugang fälschlicherweise gewährt oder verweigert wird. Dies wiederum kann zu Sicherheitslücken oder unerwünschtem Verhalten der Clientanwendung führen.


Inhaltsverzeichnis