I Authorization Manager er mottakere av autorisasjonspolicy representert ved de følgende typene grupper:
-
Windows-brukere og -grupper. Disse gruppene omfatter brukere, datamaskiner og innebygde grupper for sikkerhetskontohavere. Windows-brukere og -grupper brukes flere steder i Windows, ikke bare i Authorization Manager.
-
Programgrupper. Disse gruppene omfatter grunnleggende programgrupper og LDAP-spørringsgrupper (Lightweight Directory Access Protocol). Programgrupper er spesifikke for rollebasert administrasjon i Authorization Manager.
Viktig! | |
En programgruppe er en gruppe av brukere, datamaskiner eller andre sikkerhetskontohavere. En programgruppe er ikke en gruppe av programmer. |
-
LDAP-spørringsgrupper. Medlemskap i disse gruppene beregnes dynamisk etter behov fra LDAP-spørringer. En LDAP-spørringsgruppe er en type programgruppe.
-
Grunnleggende programgrupper. Disse gruppene defineres som LDAP-spørringsgrupper, Windows-brukere og -grupper samt andre grunnleggende programgrupper. En grunnleggende programgruppe er en type programgrupper.
-
Programgrupper for forretningsregel. Disse gruppene defineres av et skript som er skrevet i enten VBScript eller JScript, og resulterer i at gruppemedlemskap blir avgjort dynamisk under kjøring i henhold til kriterier du angir.
Windows-brukere og -grupper
Se
Programgrupper
Når du oppretter en ny programgruppe, må du avgjøre om du vil den skal være en LDAP-spørringsgruppe eller en grunnleggende programgruppe. For rollebaserte programmer for Authorization Manager vil enhver godkjenning du kan gjøre med Windows-brukere og grupper, også kunne gjøres med programgrupper.
Sirkulære medlemskapsdefinisjoner tillates ikke, og resulterer i feilmeldingen Kan ikke legge til <gruppenavn>. Følgende problem oppstod: Fant en løkke."
LDAP-spørringsgrupper
I Authorization Manager kan du bruke LDAP-spørringer til å finne objekter i AD DS, AD LDS (Active Directory Lightweight Directory Services) og andre LDAP-kompatible mapper.
Du kan bruke en LDAP-spørring til å angi en LDAP-spørringsgruppe ved å skrive inn den ønskede LDAP-spørringen i det gitte området i kategorien Spørring i dialogboksen Egenskaper for programgruppen.
Authorization Manager støtter to typer LDAP-spørringer som kan brukes til å definere en LDAP-spørringsgruppe: Spørringer av typen Authorization Manager versjon 1 og LDAP URL-spørringer.
-
LDAP-spørringer av typen Authorization Manager versjon 1
LDAP-spørringer av typen versjon 1 gir begrenset støtte for LDAP URL-spørringssyntaksen som er beskrevet i RFC 2255. Disse spørringene er begrenset til å spørre attributtlisten for brukerobjektet som er angitt i gjeldende klientkontekst.
Følgende spørring finner for eksempel alle bortsett fra Anders:
(&(objectCategory=person)(objectClass=user)(!cn=anders)).
Denne spørringen vurderer om klienten er medlem av StatusReports-aliaset på northwindtraders.com:
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
Authorization Manager støtter fortsatt spørringer av typen versjon 1, slik at løsninger som er utviklet med tidligere versjoner av Authorization Manager, lettere kan oppgraderes.
-
LDAP URL-spørringer
For å kunne fjerne begrensninger på objekter og attributter som kan søkes i, støtter Authorization Manager en LDAP URL-spørringssyntaks basert på RFC 2255. Dette gjør at du kan opprette LDAP-spørringsgrupper som bruker andre mappeobjekter enn gjeldende brukerobjekt som rot for søket.
En LDAP URL begynner med protokollprefikset "ldap", og følger dette formatet:
Obs! | |
Unikt navn kalles også DN (Distinguished Name). |
ldap://<server:port>/<DNbasisobjekt>?<attributter>?<spørringsområde>?<Filter>
Følende grammatikk støttes:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Følgende spørring returnerer for eksempel brukere med firmaattributt satt til "FabCo", fra LDAP-serveren som kjører på port 389 på en vert med navnet "fabserver":
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
Når du bruker en LDAP URL-spørring, kan du bruke den spesielle plassholderverdien %AZ_CLIENT_DN%. Denne plassholderen erstattes med det unike navnet (DN) til klienten som utfører tilgangskontrollen. Dette gjør at du kan konstruere spørringer som returnerer objekter fra katalogen basert på objektenes relasjon til det unike navnet på klienten som foretar forespørselen.
I dette eksemplet tester LDAP-spørringen om brukeren er medlem av organisasjonsenheten "Customers":
ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
I dette eksemplet tester LDAP-spørringen om brukeren er direkte underordnet "SomeManager", og om "searchattribute" for SomeManager er lik den bestemte verdien "searchvalue":
ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
Les teksten i
Viktig! | |
Hvis LDAP-spørringen begynner med "ldap", behandles den som en LDAP URL-spørring. Hvis den begynner med noe annet, behandles den som en spørring av typen versjon 1. |
Grunnleggende programgrupper
Grunnleggende programgrupper er spesifikke for Authorization Manager.
Når du skal definere medlemskap i grunnleggende programgrupper, må du gjøre følgende:
-
Angi hvem som er medlem.
-
Angi hvem som ikke er medlem.
Begge disse trinnene utføres på samme måte:
-
Først angir du null eller flere Windows-brukere og -grupper, tidligere definerte grunnleggende programgrupper eller LDAP-spørringsgrupper.
-
Deretter beregnes medlemskapet for den grunnleggende programgruppen ved å fjerne eventuelle ikke-medlemmer fra gruppen. Authorization Manager gjør dette automatisk ved kjøring.
Viktig! | |
Ikke-medlemskap i en grunnleggende programgruppe overstyrer medlemskap. |
Programgrupper for forretningsregel
Programgrupper for forretningsregel er spesifikke for Authorization Manager.
Når du skal angi medlemskap i en programgruppe for forretningsregel, må du skrive et skript i enten VBScript eller JScript. Skriptkildekoden lastes inn fra en tekstfil på Egenskaper-siden i programgruppen for forretningsregel.