Als u Autorisatiebeheer effectief wilt gebruiken om de toegang tot bronnen te beheren, moet u eerst functies, taken en bewerkingen definiëren.

  • Een functie is een verzameling machtigingen die een gebruiker nodig heeft om een taak uit te voeren. Goed doordachte functies moeten overeenkomen met een taakomschrijving of verantwoordelijkheid (bijvoorbeeld receptioniste, personeelschef of archivaris) en een bijpassende naam krijgen. Met Autorisatiebeheer kunt u gebruikers aan een functie toevoegen, zodat ze de voor hun werk benodigde taken kunnen uitvoeren.

  • Een taak is een verzameling bewerkingen en soms andere taken. Goed doordachte taken zijn duidelijk genoeg om herkenbare werkonderdelen te vormen (bijvoorbeeld 'wachtwoord wijzigen' of 'kosten invoeren').

  • Een bewerking is een set machtigingen die u koppelt aan beveiligingsprocedures op systeem- of API-niveau, zoals WriteAttributes of ReadAttributes. Bewerkingen vormen de bouwstenen voor taken.

U kunt alleen functies, taken en bewerkingen definiëren in de ontwikkelaarsmodus, niet in de Administrator-modus. Zie Opties instellen voor Autorisatiebeheer voor het instellen van de ontwikkelaarsmodus.

Functiedefinities

Het maken van geschikte functiedefinities is afhankelijk van de structuur en de doelen van uw organisatie. Functies ondersteunen overname van andere functies.

Als u een functie definieert, geeft u een naam, een beschrijving en enkele specifieke taken, functies en bewerkingen op die deel uitmaken van de functie. Zo ontstaat een mechanisme voor rolovername. De functie Helpdesk kan bijvoorbeeld de functie Productondersteuning bevatten.

U kunt een autorisatieregel opgeven in VBScript of JScript. Zie VBScript (https://go.microsoft.com/fwlink/?linkid=65964) en JScript (https://go.microsoft.com/fwlink/?LinkId=65963) voor meer informatie (deze pagina's zijn mogelijk in het Engels).

Als er meerdere autorisatieregels aan een functiedefinitie zijn gekoppeld (bijvoorbeeld door meerdere subfuncties en taken), worden de autorisatieregels synchroon uitgevoerd. Het machtigingsproces in Autorisatiebeheer wordt niet beïnvloed door de volgorde.

Taakdefinities

Een taakdefinitie is kleiner dan een functiedefinitie en kan worden gebruikt om functies en andere taken te definiëren.

Met Autorisatiebeheer koppelt u taken op een intuïtieve manier aan functies. De functie Werver kan bijvoorbeeld de taak Sollicitatiegesprek bevatten.

Taken worden, net als functies, op een manier gedefinieerd die past bij de organisatie. Als u een taak definieert, geeft u een naam, een beschrijving en enkele specifieke taken en bewerkingen op die deel uitmaken van de taak. U kunt ook een autorisatieregel schrijven in VBScript of JScript.

Bewerkingsdefinities

Bewerkingen zijn kleine acties op computerniveau die worden gebruikt om taken te definiëren en meestal niet van belang zijn voor een beheerder. U kunt bewerkingen alleen definiëren in de ontwikkelaarsmodus.

U kunt bewerkingsdefinities instellen op toepassingsniveau, maar niet op het niveau van het autorisatiearchief of het bereik.

Een bewerkingsdefinitie bevat een naam, een beschrijving en een bewerkingsnummer. Het bewerkingsnummer X moet een geheel getal zijn in het bereik van 1 tot 2.147.483.647 (dat wil zeggen 1 ≤ X ≤ 2^31 - 1). Het bewerkingsnummer wordt in de toepassing gebruikt om de bewerking te herkennen. Als u dus een verkeerd bewerkingsnummer opgeeft, wordt er onjuist toegang verleend of geweigerd. Dit kan dan vervolgens weer leiden tot problemen met de beveiliging of ongewenst gedrag van de clienttoepassing.


Inhoudsopgave