Zakres jest wirtualną częścią aplikacji, która oddziela niektóre zasoby od innych zasobów używanych przez aplikację. Zakresów można używać, aby zapobiegać niezamierzonemu udostępnianiu zasobów i aby obsługiwać inspekcje i delegowanie. Korzystanie z zakresów nie jest konieczne.

Zakres może reprezentować folder, kontener usług domenowych w usłudze AD (Active Directory Domain Services, AD DS) albo usług LDS w usłudze AD (Active Directory Lightweight Directory Services, AD LDS), zbiór plików określony przez maskę pliku (na przykład *.doc), adres URL lub dowolny element, do którego ma dostęp aplikacja i jej magazyn autoryzacji. Jednak zakres jest pojęciem abstrakcyjnym; jest on definicją utworzoną w Menedżerze autoryzacji i nie jest folderem fizycznym w systemie plików czy np. kontenerem usługi AD DS.

Jeżeli niektóre grupy, przypisania ról lub definicje zadań w Menedżerze autoryzacji nie powinny odnosić się do całej aplikacji, można je utworzyć na poziomie zakresu. Aplikacja, która zawiera zakres, musi być w stanie rozpoznać nazwę tego zakresu. Na przykład nazwy zakresów w aplikacjach opartych na plikach mogą zawierać nazwy lub ścieżki plików. Nazwy zakresów w aplikacjach opartych na sieci Web mogą zawierać adresy URL. Nazwy zakresów w aplikacjach związanych z rejestrem mogą być oparte na gałęziach rejestru, a nazwy zakresów usługi Active Directory mogą określać jednostki organizacyjne. Na poziomie zakresu nie można definiować operacji.

Inspekcje zakresów

Nie można kontrolować inspekcji Menedżera autoryzacji w czasie wykonywania na poziomie zakresów. Inspekcje zmian magazynu autoryzacji Menedżera autoryzacji można kontrolować na podstawie zakresów, które znajdują się w magazynach autoryzacji przechowywanych w usługach domenowych w usłudze AD. Aby uzyskać więcej informacji, zobacz temat Opis inspekcji Menedżera autoryzacji.

Delegowanie zakresów

Administrację zakresami można przekazać innym osobom, jeżeli spełnione są dwa następujące warunki:

  • Magazyn autoryzacji musi być przechowywany w usługach domenowych w usłudze AD, usługach LDS w usłudze AD lub w programie Microsoft SQL Server.

  • W żadnej definicji zadania lub roli podanej w zakresie, który ma być delegowany, nie są wykorzystywane reguły autoryzacji.


Spis treści