Im Autorisierungs-Manager werden die Empfänger von Autorisierungsrichtlinien durch die folgenden unterschiedlichen Gruppen dargestellt:
-
Windows-Benutzer und -Gruppen: Diese Gruppen schließen Benutzer, Computer und integrierte Gruppen für Sicherheitsprinzipale ein. Windows-Benutzer und -Gruppen werden nicht nur im Autorisierungs-Manager verwendet, sondern überall in Windows.
-
Anwendungsgruppen: Diese Gruppen schließen Basisanwendungsgruppen und LDAP-Abfragegruppen (Lightweight Directory Access-Protokoll) ein. Anwendungsgruppen sind speziell auf die rollenbasierte Verwaltung im Autorisierungs-Manager ausgerichtet.
Wichtig | |
Bei einer Anwendungsgruppe handelt es sich um eine Gruppe von Benutzern, Computern oder anderen Sicherheitsprinzipalen. Eine Anwendungsgruppe ist keine Gruppe von Anwendungen. |
-
LDAP-Abfragegruppen: Die Mitgliedschaft in diesen Gruppen wird dynamisch je nach Bedarf der LDAP-Abfragen berechnet. Eine LDAP-Abfragengruppe ist ein Anwendungsgruppentyp.
-
Basisanwendungsgruppen: Diese Gruppen werden im Zusammenhang mit LDAP-Abfragegruppen, Windows-Benutzern und -gruppen und anderen Basisanwendungsgruppen definiert. Eine Basisanwendungsgruppe ist ein Anwendungsgruppentyp.
-
Geschäftsregel-Anwendungsgruppe: Diese Gruppen werden durch ein Skript definiert, das in VBScript oder JScript geschrieben ist. Ihre Gruppenmitgliedschaft wird dynamisch zur Laufzeit anhand von Ihnen definierter Kriterien bestimmt.
Windows-Benutzer und -Gruppen
Weitere Informationen (möglicherweise in englischer Sprache) zu Gruppen in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) finden Sie unter
Anwendungsgruppen
Beim Erstellen einer neuen Anwendungsgruppe müssen Sie festlegen, ob es sich um eine LDAP-Abfragengruppe oder eine Basisanwendungsgruppe handeln soll. Bei rollenbasierten Autorisierungs-Manager-Anwendungen kann jede Autorisierung, die für Windows-Benutzer und -Gruppen erfolgen kann, auch für Anwendungsgruppen erfolgen.
Zirkuläre Mitgliedschaftsdefinitionen sind nicht zulässig und führen zu der Fehlermeldung "<Gruppenname> kann nicht hinzugefügt werden. Das folgende Problem ist aufgetreten: Es wurde eine Schleife gefunden."
LDAP-Abfragengruppen
Im Autorisierungs-Manager können Sie LDAP-Abfragen verwenden, um nach Objekten in AD DS, Active Directory Lightweight Directory Services (AD LDS) und anderen LDAP-kompatiblen Verzeichnissen zu suchen.
Sie können eine LDAP-Abfrage zum Festlegen einer LDAP-Abfragengruppe verwenden, indem Sie die gewünschte LDAP-Abfrage im Dialogfeld Eigenschaften der Anwendungsgruppe auf der Registerkarte Abfrage im dafür vorgesehenen Feld eingeben.
Der Autorisierungs-Manager unterstützt zwei Typen von LDAP-Abfragen, die zum Definieren einer LDAP-Abfragegruppe verwendet werden können: Autorisierungs-Manager-Abfragen der Version 1 und LDAP-URL-Abfragen.
-
Autorisierungs-Manager-LDAP-Abfragen der Version 1
LDAP-Abfragen der Version 1 bieten eingeschränkte Unterstützung für die in RFC 2255 beschriebene LDAP-URL-Abfragsyntax. Diese Abfragen sind auf das Abfragen der Attributliste des Benutzerobjekts beschränkt, das im aktuellen Clientkontext angegeben ist.
Bei der folgenden Abfrage wird beispielsweise nach allen Benutzern mit Ausnahme von Andy gesucht:
(&(objectCategory=person)(objectClass=user)(!cn=andy)).
Mit dieser Abfrage wird ausgewertet, ob es sich bei dem Client um ein Mitglied des StatusReports-Alias bei northwindtraders.com handelt.
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
Abfragen der Version 1 werden weiterhin vom Autorisierungs-Manager unterstützt, sodass Lösungen, die mit früheren Versionen des Autorisierungs-Managers entwickelt wurden, ohne großen Aufwand aktualisiert werden können.
-
LDAP-URL-Abfragen
Um die Einschränkungen für die Objekte und Attribute aufzuheben, nach denen gesucht werden kann, unterstützt der Autorisierungs-Manager die Syntax von LDAP-URL-Abfragen nach RFC 2255. Dadurch können Sie LDAP-Abfragegruppen erstellen, die andere Verzeichnisobjekte als das aktuelle Benutzerobjekt als Stamm der Suche verwenden.
Ein LDAP-URL beginnt mit dem Protokollpräfix "ldap" und weist das folgende Format auf:
Hinweis | |
Der Distinguished Name wird auch als DN bezeichnet. |
ldap://<server:port>/<basisObjektDN>?<attribute>?<abfrageBereich>?<Filter>
Es wird insbesondere die folgende Grammatik unterstützt:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Bei der folgenden Abfrage werden beispielsweise vom LDAP-Server, der an Port 389 auf einem Host mit dem Namen fabserver ausgeführt wird, Benutzer zurückgegeben, deren Company-Attribut auf FabCo festgelegt ist.
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
Bei einer LDAP-URL-Abfrage können Sie den speziellen Platzhalterwert %AZ_CLIENT_DN% verwenden. Dieser Platzhalter wird durch den Distinguished Name (DN) des Clients ersetzt, von dem die Zugriffsüberprüfung ausgeführt wird. Dadurch können Sie Abfragen erstellen, mit denen Objekte aus dem Verzeichnis basierend auf ihrer Beziehung mit dem Distinguished Name des Clients zurückgegeben werden, von dem die Anforderung gesendet wird.
Im folgenden Beispiel wird von der LDAP-Abfrage geprüft, ob der Benutzer ein Mitglied der Organisationseinheit "Customers" ist.
ldap://Server:<Port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
Im folgenden Beispiel wird von der LDAP-Abfrage geprüft, ob der Benutzer gegenüber dem Manager mit dem Namen SomeManager einen direkten Rechenschaftsbericht abgeben muss und ob das Suchattribut searchattribute von SomeManager mit dem bestimmten Wert searchvalue übereinstimmt.
ldap://Server:Port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
Weitere Informationen (möglicherweise in englischer Sprache) zur Syntax einer LDAP-URL-Abfrage finden Sie im Text zu
Wichtig | |
Wenn die LDAP-Abfrage mit "ldap" beginnt, wird sie wie eine LDAP-URL-Abfrage behandelt. Wenn Sie mit einer anderen Zeichenfolge beginnt, wird sie wie eine Abfrage der Version 1 behandelt. |
Basisanwendungsgruppen
Basisanwendungsgruppen gibt es eigens für den Autorisierungs-Manager.
Zum Definieren der Mitgliedschaft in einer Basisanwendungsgruppe müssen Sie folgende Schritte durchführen:
-
Definieren der Mitglieder.
-
Definieren der Nichtmitglieder.
Beide Schritte werden auf dieselbe Art und Weise durchgeführt:
-
Sie geben zunächst keine oder mehrere Windows-Benutzer und -Gruppen, zuvor definierte Basisanwendungsgruppen oder LDAP-Abfragegruppen an.
-
Dann wird die Mitgliedschaft in der Basisanwendungsgruppe durch Entfernen der Nichtmitglieder aus der Gruppe berechnet. Der Autorisierungs-Manager führt dies automatisch zur Laufzeit aus.
Wichtig | |
Die Nichtmitgliedschaft in einer Basisanwendungsgruppe hat Vorrang vor der Mitgliedschaft. |
Geschäftsregel-Anwendungsgruppen
Geschäftsregel-Anwendungsgruppen gibt es eigens für den Autorisierungs-Manager.
Wenn Sie die Mitgliedschaft für eine Geschäftregel-Anwendungsgruppe definieren möchten, müssen Sie eine Skript in VBScript oder JScript schreiben. Der Quellcode des Skripts wird von einer Textdatei auf der Seite Eigenschaften der Geschäftsregel-Anwendungsgruppe geladen.