El control de acceso basado en roles permite asignar usuarios a roles y realizar un seguimiento de los permisos concedidos a cada rol. Además, puede aplicar un control muy específico mediante scripts denominados reglas de autorización. Las reglas de autorización permiten controlar la relación entre el control de acceso y la estructura de la organización.
Administrador de autorización puede ayudarle a proporcionar un control efectivo del acceso a los recursos en muchas situaciones. En términos generales, hay dos categorías de roles que se suelen beneficiar de la administración basada en roles: roles de autorización de usuario y roles de configuración de equipo.
-
Los roles de autorización de usuario se basan en la función de trabajo del usuario. Puede usar los roles de autorización para autorizar el acceso, delegar privilegios administrativos o administrar la interacción con los recursos basados en equipos. Por ejemplo, puede definir un rol de Tesorero que incluya el derecho a autorizar gastos y a auditar transacciones contables.
-
Los roles de configuración de equipo se basan en la función de un equipo. Puede usar los roles de configuración de equipo para seleccionar características que desee instalar, habilitar servicios y seleccionar opciones. Por ejemplo, se pueden definir roles de configuración de equipo para servidores web, controladores de dominio, servidores de archivos y configuraciones de servidor personalizadas que sean adecuadas para su organización.
Uso del modo de programador y el modo de administrador en Administrador de autorización
En Administrador de autorización puede utilizar los dos modos siguientes:
-
Modo de programador. En el modo de programador se pueden crear, implementar y mantener aplicaciones. Tiene acceso ilimitado a todas las características del Administrador de autorización.
-
Modo de administrador. Éste es el modo predeterminado. En el modo de administrador se pueden implementar y mantener aplicaciones. Tiene acceso a todas las características de Administrador de autorización, pero no puede crear nuevas aplicaciones ni definir operaciones.
Administrador de autorización suele utilizarse en aplicaciones personalizadas creadas para un propósito específico en su entorno. Normalmente estas aplicaciones crean, administran y utilizan un almacén de autorización llamando a las interfaces de programación de aplicaciones (API) de Administrador de autorización. En ese caso, no es necesario usar el modo de programador. Para obtener más información acerca de cómo usar Administrador de autorización mediante programación, vea Recursos para Administrador de autorización.
Cuando se utiliza el modo de programador, se recomienda ejecutar Administrador de autorización en modo de programador sólo hasta que el almacén de autorización, la aplicación y otros objetos necesarios estén creados y configurados. Después de la configuración inicial de Administrador de autorización, ejecute dicha herramienta en modo de administrador. Para obtener más información acerca de cómo usar el modo de programador o el modo de administrador, vea Establecer opciones de Administrador de autorización.
Comparación de Administrador de autorización con otras herramientas de administración
El Administrador de autorización se puede usar para implementar varios cambios de configuración y permisos al mismo tiempo. Además, se pueden usar otras herramientas de administración disponibles con esta versión de Windows para configurar los permisos de acceso, en ocasiones mediante métodos similares a los del Administrador de autorización. Entre ellas se incluyen:
-
Listas de control de acceso. Las listas de control de acceso (ACL) de la pestaña Seguridad se pueden usar para administrar la directiva de control de acceso para los objetos almacenados en Servicios de dominio de Active Directory (AD DS), Active Directory Lightweight Directory Services (AD LDS) y objetos de Windows. El Administrador de autorización se diferencia de la pestaña de propiedades Seguridad en que permite basar el control de acceso en roles (normalmente basado en tareas de trabajo específicas) y no sólo en la pertenencia a grupos, y en que realiza un seguimiento de los permisos concedidos.
-
Asistente para delegación de control. El Asistente para delegación de control también establece varios permisos automáticamente pero, a diferencia del Administrador de autorización, no proporciona ningún método para realizar un seguimiento de los permisos concedidos ni para quitarlos.
Referencias adicionales