承認マネージャーを使用すると、承認ストアにアクセスする承認マネージャー アプリケーションを作成して、管理者に承認サービスを提供できます。
承認マネージャーには、既定の承認ストアも、既定のアプリケーションもありません。承認ストアを作成するには、承認マネージャーの開発者モードで作業する必要があります。開発者モードでの作業の詳細については、「承認マネージャーのオプションを設定する」を参照してください。
承認ストアは、XML ファイル、Active Directory ドメイン サービス (AD DS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS)、または Microsoft SQL Server データベースに保存できます。
次の表で、承認ストアのさまざまな種類を比較します。
承認ストアの種類 | 委任のサポート | 承認ストアの指定 | 要件 | ||||
---|---|---|---|---|---|---|---|
AD DS または AD LDS |
承認ストア、アプリケーション、およびスコープ レベルでサポート |
プロトコルのプレフィックスが MSLDAP:// で始まる URL または LDAP 識別名 (たとえば、CN=myStore,CN=Program Data,DN=nwtraders,DN=com) |
ドメインの機能レベルが Windows Server 2003 以上である必要があります。
| ||||
XML |
サポートされていません。 XML ファイルは、NTFS ファイル システムのアクセス制御エントリ (ACE) で全体がセキュリティ保護されます。 |
プロトコルのプレフィックスが MSXML:// で始まる URL またはパス (たとえば、C:\Temp\MyStore.xml や \\ServerName\ShareName\MyStore.xml) |
すべての NTFS パーティション | ||||
SQL Server |
承認ストア、アプリケーション、およびスコープ レベルでサポート |
プロトコルのプレフィックスが MSSQL:// で始まり、接続文字列、データベース名、およびポリシー ストア名が続く URL。次の形式になります。MSSQL://<接続文字列>/<データベース名>/<ポリシー ストア名> |
Microsoft SQL Server 2000 以降 |
アプリケーションは承認ストアに固有のもので、承認マネージャーの親承認ストアのすぐ下に常駐します。詳細については、「承認マネージャーのアプリケーションを作成する」を参照してください。
スコープ、役割、タスク、および操作は常にアプリケーションに固有のものです。詳細については、「承認マネージャーのスコープとは」と「承認マネージャーの役割、タスク、および操作の定義とは」を参照してください。
アプリケーション グループを使用する
アプリケーション グループは、承認マネージャー アプリケーションのユーザー グループです。アプリケーション グループは、承認マネージャー コンソールの 3 つのレベルのいずれかで作成できます。次の表に、アプリケーション グループを作成できる承認マネージャーの各レベルを示します。
レベル | アプリケーション グループを使用できる場所 |
---|---|
承認ストア |
承認ストア、およびその下のアプリケーションとスコープ |
アプリケーション |
アプリケーションとその下のスコープ |
スコープ |
スコープ |
アプリケーション グループの詳細については、「承認マネージャーのアプリケーション グループとは」を参照してください。
承認ストアとアプリケーションを委任する
AD DS、AD LDS、または SQL サーバーに保存された承認ストアは、委任をサポートしています。つまり、他のユーザーがそれらの承認ストアや、そこに含まれているアプリケーションを管理することを承認できます。
委任の実行については、「他のユーザーが承認ストアを管理することを許可する」を参照してください。