In Gestione autorizzazioni, i destinatari dei criteri di autorizzazione sono rappresentati dai tipi di gruppi riportati di seguito.

  • Utenti e gruppi di Windows: includono utenti, computer e gruppi predefiniti per le identità di sicurezza. Gli utenti e i gruppi di Windows non vengono utilizzati solo in Gestione autorizzazioni, bensì in tutto il sistema.

  • Gruppi di applicazioni: includono i gruppi di applicazioni di base e i gruppi di query LDAP (Lightweight Directory Access Protocol). I gruppi di applicazioni sono specifici dell'amministrazione basata sui ruoli di Gestione autorizzazioni.

Importante

Un gruppo di applicazioni è costituito da un gruppo di utenti, computer o altre identità di sicurezza. Un gruppo di applicazioni non rappresenta un insieme di diverse applicazioni.

  • Gruppi di query LDAP: l'appartenenza a tali gruppi viene calcolata in modo dinamico in base alle query LDAP. Un gruppo di query LDAP costituisce un tipo di gruppo di applicazioni.

  • Gruppi di applicazioni di base: vengono definiti in termini di gruppi di query LDAP, di utenti e gruppi di Windows e di altri gruppi di applicazioni di base. Un gruppo di applicazioni di base costituisce un tipo di gruppo di applicazioni.

  • Gruppi di applicazioni regole business: vengono definiti tramite uno script scritto in VBScript o Jscript in modo che l'appartenenza ai gruppi sia determinata in modo dinamico in fase di esecuzione in base ai criteri definiti.

Utenti e gruppi di Windows

Per ulteriori informazioni sui gruppi in Servizi di dominio Active Directory, vedere la pagina relativa al controllo di accesso basato sui ruoli per applicazioni multilivello tramite Gestione autorizzazioni (https://go.microsoft.com/fwlink/?LinkId=64287). Per ulteriori informazioni sulle identità di sicurezza non archiviate in Servizi di dominio Active Directory, visitare il sito Web contenente la documentazione tecnica relativa alle identità di sicurezza (https://go.microsoft.com/fwlink/?LinkId=129213).

Gruppi di applicazioni

Quando si crea un nuovo gruppo di applicazioni è necessario stabilire se deve corrispondere a un gruppo di query LDAP o a un gruppo di applicazioni di base. Per le applicazioni di Gestione autorizzazioni basate sui ruoli, è possibile assegnare ai gruppi di applicazioni qualsiasi autorizzazione che può essere concessa a utenti e gruppi di Windows.

Non sono consentite definizioni di appartenenza circolari, che determinano la restituzione del messaggio di errore "Impossibile aggiungere <Nome gruppo>. Si è verificato il seguente problema: Rilevato un loop".

Gruppi di query LDAP

In Gestione autorizzazioni è possibile utilizzare query LDAP per trovare oggetti in Servizi di dominio Active Directory, in Active Directory Lightweight Directory Services e in altre directory compatibili con LDAP.

Per specificare un gruppo di query LDAP mediante una query LDAP, digitare la query LDAP desiderata nello spazio apposito disponibile nella scheda Query della finestra di dialogo Proprietà del gruppo di applicazioni.

Gestione autorizzazioni supporta due tipi di query LDAP, che possono essere utilizzati per definire un gruppo di query LDAP: query di Gestione autorizzazioni versione 1 e query di URL LDAP.

  • Query LDAP di Gestione autorizzazioni versione 1

    Questo tipo di query offre supporto limitato per la sintassi delle query di URL LDAP descritta in RFC 2255. Tali query consentono solo di interrogare l'elenco di attributi dell'oggetto utente specificato nel contesto client corrente.

    La query riportata di seguito consente, ad esempio, di trovare tutti gli utenti ad eccezione di Andy:

    (&(objectCategory=person)(objectClass=user)(!cn=andy))

    Questa query valuta se il client è un membro dell'alias StatusReports in northwindtraders.com:

    (memberOf=CN=DogLovers,OU=Distribution Lists,DC=nwtraders,DC=com)

    Gestione autorizzazioni supporta comunque le query della versione 1 per consentire di aggiornare in modo semplice le soluzioni sviluppate tramite le versioni precedenti di Gestione autorizzazioni.

  • Query di URL LDAP

    Allo scopo di rimuovere le limitazioni relative a oggetti e attributi che è possibile cercare, in Gestione autorizzazioni è ora supportata la sintassi delle query di URL LDAP in base a RFC 2255. Ciò consente di creare gruppi di query LDAP che utilizzano oggetti directory diversi dall'oggetto utente corrente come radice della ricerca.

    Gli URL LDAP iniziano con il prefisso di protocollo "ldap" e seguono il formato seguente:

Nota

Il nome distinto è denominato anche DN.

ldap://<server:porta>/<DNoggettobas>?<attributi>?<AmbitoQuery>?<Filtro>

In particolare, è supportata la grammatica seguente:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName
       hostport   = hostport
       attrdesc   = AttributeDescription
       filter     = filter

La query seguente, ad esempio, restituisce gli utenti il cui attributo company è impostato su "FabCo" dal server LDAP eseguito nella porta 389 in un host denominato "fabserver":

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Quando si utilizza una query di URL LDAP, è possibile utilizzare il valore di segnaposto speciale %AZ_CLIENT_DN%. Questo segnaposto viene sostituito dal nome distinto del client che esegue la verifica dell'accesso. In questo modo, è possibile creare query che restituiscano oggetti dalla directory in base alla relazione con il nome distinto del client che effettua la richiesta.

In questo esempio la query LDAP verifica se l'utente è un membro dell'unità organizzativa "Customers":

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

In questo esempio la query LDAP verifica se l'utente riferisce direttamente a un manager denominato "SomeManager" e se "searchattribute" di SomeManager è uguale al valore specifico di "searchvalue":

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Per ulteriori informazioni sulla sintassi di una query di URL LDAP, fare riferimento al testo di RFC 2255 (https://go.microsoft.com/fwlink/?linkid=65973).

Importante

Se la query LDAP inizia con "ldap", viene considerata una query di URL LDAP. Se inizia in qualsiasi altro modo, viene considerata una query della versione 1.

Gruppi di applicazioni di base

I gruppi di applicazioni di base sono specifici di Gestione autorizzazioni.

Per definire l'appartenenza a gruppi di applicazioni di base è necessario effettuare le seguenti operazioni:

  1. Definire i membri.

  2. Definire gli utenti e i gruppi non membri.

Per completare entrambi i passaggi è necessario

  • Specificare innanzitutto zero o più utenti e gruppi di Windows, in precedenza definiti gruppi di applicazioni di base, o gruppi di query LDAP.

  • L'appartenenza al gruppo di applicazioni di base viene quindi calcolata rimuovendo dal gruppo gli utenti e i gruppi non membri. Questa operazione viene eseguita automaticamente da Gestione autorizzazioni in fase di esecuzione.

Importante

La non appartenenza a un gruppo di applicazioni di base ha la precedenza rispetto all'appartenenza.

Gruppi di applicazioni regole business

I gruppi di applicazioni regole business sono specifici di Gestione autorizzazioni.

Per definire l'appartenenza a un gruppo di applicazioni regole business, è innanzitutto necessario scrivere uno script in VBScript o Jscript. Il codice sorgente dello script viene caricato da un file di testo nella pagina Proprietà del gruppo di applicazioni regole business.


Argomenti della Guida