Az Active Directory összevonási szolgáltatásokban (AD FS) az erőforrásfiókok olyan felhasználói fiókok, amelyek egy Active Directory-erdőben (az erőforráspartner erdőjében) tárolódnak abból a célból, hogy megszemélyesítsenek pl. egy alkalmazott által aktívan használt, másik Active Directory-erdőben (a fiókpartner erdőjében) tárolt felhasználói fiókot.

Az erőforrásfiókokat az erőforráspartner erdőjében kell létrehozni, hogy a fiókpartner erdőjében felhasználói fiókkal rendelkező alkalmazottak az AD FS-alkalmazáson keresztül hozzáférjenek a webes, Windows NT-jogkivonatalapú alkalmazásokhoz. A jogcímbarát alkalmazásokhoz emellett erőforrásfiókok és erőforráscsoportok is szükségesek.

Az erőforrás-oldali webes erőforrást az erőforráspartner erdőjében lévő felhasználói fiókok vagy csoportok hozzáférés-szabályozási listái (ACL) védik. A rendszergazdának kell létrehoznia az erőforrásfiókokat, az erőforráshoz pedig hozzá kell adnia az erőforrásfiókok hozzáférés-szabályozási listáit.

A felügyeleti terhek csökkentése érdekében az erőforrás-oldali rendszergazda beállíthat egy vagy több, az Active Directory tartományi szolgáltatásokban (AD DS) létrehozott biztonsági csoportot, amelyek feladata a fiókpartnerektől érkező bejövő csoportjogcímekhez történő leképezés. Az AD FS által használt bejövő csoportjogcímekhez rendelt biztonsági csoportokat erőforráscsoportoknak nevezik.

Az erőforráscsoportokat az alábbi eljárással állíthatja be.

Erőforráscsoport beállítása
  1. Hozzon létre egy új biztonsági csoportot az Active Directory – felhasználók és számítógépek beépülő modulban az erőforráspartner erdőjének egyik tartományvezérlőjén.

  2. Rendelje a biztonsági csoporthoz a megfelelő hozzáférést az AD FS által védett webes erőforrásból.

  3. Hozzon létre egy új csoportjogcímet az AD FS beépülő modulban, majd a létrehozott jogcím tulajdonságlapján kattintson az Erőforráscsoport fülre. A három pontot () ábrázoló gombra kattintva rendelje az új biztonsági csoportot az AD DS szolgáltatásokban az új csoportjogcímhez. Ebben a lépésben az új biztonsági csoport erőforráscsoportként szerepel.

  4. Az Összevonási szolgáltatás\Megbízhatósági házirend\Partnerszervezetek\Fiókpartnerek\<fiókpartner_neve>\ útvonalon hozzon létre egy új bejövő csoportjogcím-leképezést az új csoportjogcím és az ahhoz kapcsolódó erőforráscsoport hozzárendeléséhez, amely történhet a fiókpartner erdőjének bármely bejövő csoportjogcíméhez.

Bejövő csoportjogcím erőforráscsoporthoz rendelésekor az erőforráspartner erdőjének rendszergazdája nem kell, hogy erőforrásfiókot hozzon létre a fiókpartner erdőjének minden egyes olyan felhasználójához, akinek hozzáférésre van szüksége a Windows NT rendszerű, jogkivonat-alapú, az AD FS által védett alkalmazáshoz.

Alapértelmezés szerint az AD FS úgy adja meg a fiókpartner beállításait, hogy az erőforráspartner rendszergazdája hozzá tudja rendelni a bejövő csoportjogcímeket legalább egy erőforráscsoporthoz. A következőkben részletezett erőforrásfiók-beállítások valamelyikének megadásával azonban lehetőség van módosítani ezt az alapértelmezett működési módot.

  • Minden felhasználó rendelkezik erőforrásfiókkal - Ezzel a beállítással megadhatja, hogy a fiókpartner minden olyan felhasználójához legyen erőforrásfiók beállítva, akinek hozzáférésre van szüksége a szóban forgó erőforráshoz. Ebben az esetben a bejövő csoportjogcímeket nem képezi le a rendszer az erőforráscsoportokhoz, még akkor sem, ha meg vannak adva ilyen csoportok.

  • Egyes felhasználók rendelkeznek erőforrásfiókkal, és az erőforrásfiókok részesítendők előnyben - Ezzel a lehetőséggel megadhatja, hogy egyes felhasználói fiókokhoz használjon-e a program erőforráscsoportokat. Ennek értelmében előfordulhat, hogy egyes felhasználók saját erőforrásfiókokat hozhatnak létre, míg mások esetleg erőforráscsoportok használatára vannak beállítva. Ezt a beállítást választva az AD FS először megkeresi azokat az erőforrásfiókokat, amelyek megfelelnek a bejövő jogkivonatban megadott egyszerű felhasználónévi (UPN) jogcímnek vagy e-mail jogcímnek. Ha az AD FS megtalálja ezeket az erőforrásfiókokat, akkor ezeket használja. Ha nem ez a helyzet, és a jogkivonat erőforráscsoporthoz rendelt csoportjogcímmel rendelkezik, a program az erőforráscsoportot alkalmazza.

  • Egyes felhasználók rendelkeznek erőforrásfiókkal, és a jogkivonatbeli csoportok részesítendők előnyben - Ez az alapértelmezett beállítás, amellyel engedélyezheti, hogy az AD FS saját logikájával eldöntse, hogy minden bejövő jogkivonatot erőforráscsoporthoz rendeljen-e a program, vagy keressen egy megfelelő erőforrásfiókot. Ha ezt a lehetőséget választja, az AD FS először megkeresi a jogkivonatban az erőforráscsoporthoz rendelhető bejövő csoportjogcímeket. Ha talál ilyeneket, az AD FS az erőforráscsoportot használja. Ha nincs ilyen bejövő csoportjogcím, a program keres egy erőforrásfiókot, és azt alkalmazza.

  • Nem tartoznak erőforrásfiókok a fiókpartnerhez - Megadhatja, hogy a rendszer legalább egy erőforráscsoportot használjon a fiókpartner felhasználóihoz. Ez azt jelenti, hogy a fiókpartnertől származó minden egyes jogkivonatnak legalább egy olyan csoportjogcímet kell tartalmaznia, amely az erőforráspartner erdőjének legalább egy erőforráscsoportjára mutat.


Tartalom