Mit der rollenbasierten Zugriffssteuerung können Sie Benutzer Rollen zuweisen und nachverfolgen, welche Berechtigungen jeder einzelnen Rolle erteilt wurden. Sie können auch eine sehr spezielle Steuerung anwenden, indem Sie Skripts (auch als "Autorisierungsregeln" bezeichnet) verwenden. Mit Autorisierungsregeln können Sie die Beziehung zwischen der Zugriffssteuerung und der Struktur Ihrer Organisation steuern.
Der Autorisierungs-Manager ist in vielen Situationen für eine effektive Steuerung des Ressourcenzugriffs hilfreich. Im Allgemeinen ziehen vor allem zwei Kategorien von Rollen Nutzen aus der rollenbasierten Verwaltung: Benutzerautorisierungsrollen und Computerkonfigurationsrollen.
-
Benutzerautorisierungsrollen basieren auf dem Aufgabenbereich eines Benutzers. Sie können Autorisierungsrollen zum Autorisieren des Zugriffs, zum Delegieren von Administratorberechtigungen oder zum Verwalten der Interaktion mit computerbasierten Ressourcen verwenden. Sie können z. B. die Finanzleiter-Rolle definieren, die die Berechtigung zum Autorisieren von Ausgaben und zum Überwachen von Kontentransaktionen umfasst.
-
Computerkonfigurationsfunktionen basieren auf der Rolle eines Computers. Sie können Computerkonfigurationsfunktionen zum Auswählen von zu installierenden Funktionen, zum Aktivieren von Diensten und zum Auswählen von Optionen verwenden. Computerkonfigurationsrollen für Server können z.B. für Webserver, Domänencontroller, Dateiserver und benutzerdefinierte Serverkonfigurationen definiert werden, die den Anforderungen der jeweiligen Organisation entsprechen.
Verwenden des Entwicklermodus und Verwaltungsmodus des Autorisierungs-Managers
Der Autorisierungs-Manager ermöglicht Ihnen das Verwenden der folgenden zwei Modi:
-
Entwicklermodus. Im Entwicklermodus können Sie Anwendungen erstellen, bereitstellen und verwalten. Sie verfügen über uneingeschränkten Zugriff auf alle Features des Autorisierungs-Managers.
-
Verwaltungsmodus. Dies ist der Standardmodus. Im Verwaltungsmodus können Sie Anwendungen bereitstellen und verwalten. Sie haben zwar Zugriff auf alle Funktionen des Autorisierungs-Managers, können jedoch keine neuen Anwendungen erstellen oder Vorgänge definieren.
Im Allgemeinen wird der Autorisierungs-Manager von benutzerdefinierten Anwendungen verwendet, die eigens für bestimmte Zwecke in Ihrer Umgebung geschrieben wurden. Diese Anwendungen erstellen, verwalten und verwenden gewöhnlich einen Autorisierungsspeicher, indem Sie die Autorisierungs-Manager-APIs (Anwendungsprogrammierschnittstellen) aufrufen. In diesem Fall müssen Sie den Entwicklermodus nicht verwenden. Weitere Informationen zur programmgesteuerten Verwendung des Autorisierungs-Managers finden Sie unter Informationsquellen zum Autorisierungs-Manager.
Sie sollten den Autorisierungs-Manager nur so lange im Entwicklermodus ausführen, bis der Autorisierungsspeicher, die Anwendung und andere erforderliche Objekte erstellt und konfiguriert sind. Führen Sie den Autorisierungs-Manager nach der Erstinstallation im Verwaltungsmodus aus. Weitere Informationen zum Arbeiten im Entwickler- und Verwaltungsmodus finden Sie unter Festlegen von Autorisierungs-Manager-Optionen.
Vergleichen des Autorisierungs-Managers mit anderen Verwaltungsprogrammen
Sie können den Autorisierungs-Manager verwenden, um mehrere Konfigurations- und Berechtigungsänderungen gleichzeitig zu implementieren. Es können auch andere in dieser Version von Windows verfügbare Verwaltungsprogramme verwendet werden, um Zugriffsberechtigungen zu konfigurieren. In einigen Fällen geschieht dies auf vergleichbare Weise wie mit dem Autorisierungs-Manager. Dazu zählen:
-
Zugriffssteuerungslisten: Die Zugriffssteuerungslisten (Access Control Lists, ACLs) auf der Eigenschaftenregisterkarte Sicherheit können zum Verwalten der Zugriffssteuerungsrichtlinie für in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) und Active Directory Lightweight Directory Services (AD LDS) gespeicherte Objekte und für Windows-Objekte verwendet werden. Der Autorisierungs-Manager unterscheidet sich von der Eigenschaftenregisterkarte Sicherheit, da Sie die Zugriffssteuerung im Autorisierungs-Manager auf Rollen (in der Regel basierend auf bestimmten Aufgabenbereichen) und nicht nur auf Gruppenmitgliedschaften basieren und die erteilten Berechtigungen nachverfolgen können.
-
Assistent zum Zuweisen der Objektverwaltung: Der Assistent zum Zuweisen der Objektverwaltung legt auch mehrere Berechtigungen automatisch fest. Im Gegensatz zum Autorisierungs-Manager bietet er jedoch keine Möglichkeit zum Nachverfolgen oder Entfernen erteilter Berechtigungen.
Weitere Verweise