Az Engedélyezéskezelőben a következő típusú csoportokra érvényes az engedélyezési házirend:

  • Windows-felhasználók és -csoportok: Ezek a csoportok felhasználókat, számítógépeket és rendszerbiztonsági tagok beépített csoportjait tartalmazzák. A Windows-felhasználókat és -csoportokat nem csak az Engedélyezéskezelő használja, hanem a Windows is.

  • Alkalmazáscsoportok: Ezek a csoportok alapvető alkalmazáscsoportokat és LDAP-lekérdezéscsoportokat tartalmaznak. Az alkalmazáscsoportok kifejezetten az engedélykezelővel megvalósított, szerepköralapú felügyeletnél használhatók.

Fontos!

Az alkalmazáscsoportok felhasználókból, számítógépekből vagy más rendszerbiztonsági tagokból álló csoportok. Az alkalmazáscsoport nem azonos az alkalmazások csoportjával.

  • LDAP-lekérdezéscsoportok: A csoportok tagságát dinamikusan számítja ki a rendszer LDAP-lekérdezésekből. Az LDAP-lekérdezéscsoport az alkalmazáscsoportok egy típusa.

  • Alapvető alkalmazáscsoportok: Ezek a csoportok LDAP-lekérdezéscsoportokként, Windows-felhasználókként és -csoportokként és más alapvető alkalmazáscsoportokként definiálhatók. Az alapvető alkalmazáscsoport az alkalmazáscsoportok egy típusa.

  • Üzleti szabály alkalmazáscsoport: Ezek a csoportok VBScript vagy Jscript nyelvű parancsfájlokkal definiálhatók, és a csoporttagság futás közbeni, dinamikus, a megadott feltételek alapján történő meghatározását eredményezik.

Windows-felhasználók és -csoportok

Az Active Directory tartományi szolgáltatások (AD DS) csoportjaival kapcsolatban aTöbbrétegű alkalmazások szerepkör-alapú hozzáférés-vezérlése az Engedélyezéskezelő segítségével (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?LinkId=64287) című cikk nyújt tájékoztatást. Az AD DS szolgáltatásban nem tárolt rendszerbiztonsági tagokról A rendszerbiztonsági tagok biztonsági útmutatója (https://go.microsoft.com/fwlink/?LinkId=129213) című cikk nyújt tájékoztatást.

Alkalmazáscsoportok

Új alkalmazáscsoportok létrehozásakor meg kell határoznia, hogy azok LDAP-lekérdezéscsoportok vagy alapvető alkalmazáscsoportok legyenek-e. Az Engedélyezéskezelő szerepköralapú alkalmazásai esetében a Windows felhasználókkal és csoportokkal végrehajtott engedélyezési műveletek az alkalmazáscsoportokkal is végrehajthatók.

A körkörös tagsági definíciók nincsenek engedélyezve, és a következő hibaüzenetet eredményezik: A(z) <Csoportnév> hozzáadása nem sikerült. A következő hiba lépett fel: A rendszer hurkot érzékelt.”

LDAP-lekérdezéscsoportok

Az Engedélyezéskezelőben használhat LDAP-lekérdezéseket arra, hogy megkeresse a kívánt objektumokat az Active Directory tartományszolgáltatásokban (AD DS), az Active Directory Lightweight Directory-szolgáltatásokban (AD LDS) és más LDAP-kompatibilis címtárakban.

LDAP-lekérdezés használatával úgy adhat meg LDAP-lekérdezéscsoportot, hogy az alkalmazáscsoport Tulajdonságok párbeszédpaneljének Lekérdezés lapján található megfelelő mezőbe beírja a kívánt LDAP-lekérdezést.

Az Engedélyezéskezelőben kétféle LDAP-lekérdezéssel definiálhatók LDAP-lekérdezéscsoportok: az Engedélyezéskezelő 1. verziójában használt lekérdezésekkel és URL-típusú LDAP-lekérdezésekkel.

  • Az Engedélyezéskezelő 1. verziójában használt LDAP-lekérdezések

    Az 1. verzióban használt LDAP-lekérdezések korlátozottan támogatják az RFC 2255 dokumentumban leírt URL típusú LDAP-lekérdezés szintaxisát. Ezekkel a lekérdezésekkel csak az aktuális ügyfélkörnyezetben meghatározott felhasználói objektum attribútumlistája kérdezhető le.

    A következő lekérdezés például az összes felhasználót megkeresi az Andy nevűek kivételével:

    (&(objectCategory=person)(objectClass=user)(!cn=andi)).

    Ez a lekérdezés kiértékeli, ha az ügyfél az AllapotJelentes alias tagja a hkweb.hu webhelyen:

    (memberOf=CN=AllapotJelentes,OU=Distribution Lists,DC=hkweb,DC=hu)

    Az Engedélyezéskezelő továbbra is támogatja az 1. verzióban használt lekérdezéseket, így az Engedélyezéskezelő korábbi verzióinak segítségével fejlesztett lekérdezések kevesebb erőfeszítéssel frissíthetők.

  • LDAP URL-lekérdezések

    A kereshető objektumok és attribútumok korlátozásainak eltávolításához az Engedélyezéskezelő támogatja az RFC 2255-alapú LDAP URL-lekérdezést. Ez engedélyezi olyan LDAP-lekérdezéscsoportok létrehozását, amelyek az aktuális felhasználói objektumtól eltérő címtárobjektumokat használnak a keresés gyökereként.

    Egy LDAP URL az „ldap” protokollelőtaggal kezdődik és ezt a formátumot követi:

Megjegyzés

A megkülönböztető név másik neve DN.

ldap://<kiszolgalo:port>/<alapObjektumDN>?<attributumok>?<lekerdezesHatokore>?<Szuro>

Konkrétabban a következő szintaxis támogatott:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

A következő lekérdezés eredményében például azok a felhasználók szerepelnek, akiket a Fabkiszolgalo nevű kiszolgálón, a 389-es porton elérhető LDAP-kiszolgáló tárol, és company attribútumuk a "FabRt" névre van állítva:

ldap://fabkiszolgalo:389/OU=Ugyfelek,DC=FABCO-PN,DC=com?*?sub?(&(company=FabRt)(objectClass=user)(objectCategory=user))

Az URL típusú LDAP-lekérdezésekben használható az %AZ_CLIENT_DN%. speciális helyőrző. Ezt a helyőrzőt a hozzáférés-ellenőrzést végző ügyfél megkülönböztető nevére (DN) cseréli a rendszer. Ezáltal olyan lekérdezések építhetők fel, amelyek a kérést küldő ügyfél megkülönböztető nevével fennálló viszonyuk alapján adják vissza az objektumokat.

Ebben a példában azt vizsgálja a lekérdezés, hogy tagja-e a felhasználó az „Ugyfelek” szervezeti egységnek:

ldap://kiszolgalo:<port>/OU=UGYFELEK,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

Ebben a példában azt ellenőrzi az LDAP-lekérdezés, hogy a felhasználó közvetlen beosztottja-e az „EgyFelettes" nevű felettesnek, és hogy EgyFelettes "searchattribute" attribútumának értéke azonos-e a meghatározott "keresettertek" értékkel:

ldap://kiszolgalo:port/Cn=EgyFelettes,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= keresettertek) (directreports = %AZ_CLIENT_DN%))

Az URL típusú LDAP-lekérdezések szintaxisáról az RFC 2255 dokumentum (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?linkid=65973) nyújt tájékoztatást.

Fontos!

Ha az LDAP-lekérdezés az „ldap” taggal kezdődik, akkor azt a rendszer URL-típusú LDAP-lekérdezésként kezeli. Ha bármi mással kezdődik, akkor az 1. verzióban használt lekérdezésként kezeli.

Alapvető alkalmazáscsoportok

Az alapvető alkalmazáscsoportok az Engedélyezéskezelőre vonatkoznak.

Az alapvető alkalmazáscsoport tagságának definiálásához a következők szükségesek:

  1. A tagok definiálása.

  2. A nem tagok definiálása.

Mindkét művelet ugyanúgy hajtható végre:

  • Először adjon meg nulla vagy több Windows-elhasználót és -csoportot, előzőleg definiált alapvető alkalmazáscsoportot vagy LDAP-lekérdezéscsoportot.

  • Ezután az Engedélyezéskezelő a nem tagok eltávolításával összeállítja az alapvető alkalmazáscsoportot. Ezt az Engedélyezéskezelő futás közben, automatikusan végzi el.

Fontos!

Ha egy objektum egy alapvető alkalmazáscsoport tagjaként és nem tagjaként is meg van adva, akkor nem minősül tagnak.

Üzleti szabály alkalmazáscsoportok

Az üzleti szabály alkalmazáscsoportok az Engedélyezéskezelőre vonatkoznak.

Az üzleti szabály alkalmazáscsoport definiálásához VBScript- vagy JScript-parancsfájlt kell írnia. A parancsfájl forráskódja az üzleti szabály alkalmazáscsoport Tulajdonságok lapján lévő szövegfájlból lesz betöltve.

Tartalom