W Menedżerze autoryzacji adresaci zasad autoryzacji są reprezentowani przez następujące różne rodzaje grup:
-
Użytkownicy i grupy systemu Windows Te grupy obejmują użytkowników, komputery oraz wbudowane grupy podmiotów zabezpieczeń. Są one używane w całym systemie Windows, a nie tylko w Menedżerze autoryzacji.
-
Grupy aplikacji. Te grupy obejmują grupy podstawowe aplikacji i grupy zapytań LDAP. Grupy aplikacji są charakterystyczne dla administrowania opartego na rolach w Menedżerze autoryzacji.
Ważne | |
Grupa aplikacji to grupa użytkowników, komputerów lub innych zabezpieczeń głównych. Grupa aplikacji nie jest grupą, w skład której wchodzą aplikacje. |
-
Grupy zapytań LDAP. Członkostwo w tych grupach jest w razie potrzeby dynamicznie wyznaczane na podstawie zapytań LDAP. Grupa zapytań LDAP to typ grupy aplikacji.
-
Podstawowe grupy aplikacji. Te grupy są definiowane zgodnie z zasadami grup zapytań LDAP, użytkowników i grup systemu Windows oraz innych podstawowych grup aplikacji. Podstawowa grupa aplikacji to typ grupy aplikacji.
-
Grupa reguł biznesowych aplikacji. Te grupy są definiowane przez skrypt napisany w języku VBScript lub Jscript i powodują dynamiczne określanie członkostwa w grupie w czasie wykonywania na podstawie zdefiniowanych kryteriów.
Użytkownicy i grupy systemu Windows
Więcej informacji o grupach w usługach domenowych w usłudze Active Directory znajduje się w artykule o
Grupy aplikacji
Przy tworzeniu nowej grupy aplikacji należy określić, czy ma to być grupa zapytań LDAP czy podstawowa grupa aplikacji. W przypadku aplikacji Menedżera autoryzacji opartych na rolach dowolną aplikację, którą można wykonać za pomocą opcji Użytkownicy i grupy systemu Windows, można również wykonać za pomocą grup aplikacji.
Cykliczne definicje członkostwa nie są dozwolone. Wynikiem użycia takiej definicji będzie wyświetlenie komunikatu o błędzie „Nie można dodać <Nazwa grupy>. Wystąpił następujący problem: Została wykryta pętla.”
Grupy zapytań LDAP
W Menedżerze autoryzacji można używać zapytań LDAP do znajdowania obiektów w usługach domenowych w usłudze Active Directory (AD DS), usługach LDS w usłudze Active Directory (AD LDS) i w innych katalogach zgodnych z protokołem LDAP.
Zapytania LDAP można użyć do określenia grupy zapytań LDAP przez wpisanie odpowiedniego zapytania w polu na karcie Zapytanie w oknie dialogowym Właściwości.
Menedżer autoryzacji obsługuje dwa typy zapytań LDAP, których można używać do określania grupy zapytań LDPA: Zapytania Menedżera autoryzacji w wersji 1 i zapytania LDAP URL.
-
Zapytania LDAP Menedżera autoryzacji w wersji 1
Zapytania LDAP w wersji 1 zapewniają ograniczoną obsługę składni zapytania LDAP URL opisanej w dokumencie RFC 2255. Te zapytania są zawężone do listy atrybutów obiektu użytkownika określonego w bieżącym kontekście klienta.
Na przykład poniższe zapytanie powoduje znalezienie wszystkich osób z wyjątkiem Adama.
(&(objectCategory=person)(objectClass=user)(!cn=adam)).
To zapytanie ocenia, czy klient jest członkiem aliasu StatusReports w lokalizacji northwindtraders.com:
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
Menedżer autoryzacji nadal obsługuje zapytania w wersji 1, dzięki czemu rozwiązania przygotowane w starszych wersjach Menedżera autoryzacji mogą zostać uaktualnione przy mniejszym nakładzie pracy.
-
Zapytania LDAP URL
W celu usunięcia ograniczeń obiektów i atrybutów, które mogą być wyszukiwane, Menedżer autoryzacji obsługuje składnię zapytań LDAP URL opartą na dokumencie RFC 2255.
Adres LDAP URL zaczyna się od prefiksu protokołu „ldap" i ma następujący format:
Uwaga | |
Nazwa wyróżniająca znana także jako DN (Distinguished Name). |
ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>
W szczególności obsługiwana jest następująca gramatyka:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Na przykład poniższe zapytanie zwraca wszystkich użytkowników, dla których atrybut firma jest ustawiony na „FabCo”, z serwera LDAP działającego na porcie 389 hosta o nazwie „fabserver”.
ldap://fabserver:389/OU=Klienci,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
Podczas używania zapytania LDAP URL można użyć specjalnej wartości symbolu zastępczego %AZ_CLIENT_DN%. Ten symbol zastępczy jest zastępowany nazwą wyróżniającą (DN, Distinguished Name) klienta sprawdzającego prawa dostępu. Dzięki temu można tworzyć zapytania zwracające obiekty z katalogu na podstawie ich relacji względem nazwy wyróżniającej klienta zgłaszającego żądanie.
W tym przykładzie zapytanie LDAP sprawdza, czy użytkownik jest członkiem jednostki organizacyjnej (OU) „Klienci”.
ldap://serwer:<port>/OU=Klienci,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
W tym przykładzie zapytanie LDAP sprawdza, czy użytkownik bezpośrednio podlega kierownikowi o nazwie „PewienKierownik” i czy „wyszukiwany_atrybut” użytkownika PewienKierownik jest równy konkretnej wartości „wyszukiwana_wartość”.
ldap://serwer:port/Cn=PewienKierownik,OU=Użytkownicy,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(wyszukiwany_atrybut= wyszukiwana_wartość) (directreports = %AZ_CLIENT_DN%))
Więcej informacji o składni zapytań LDAP URL znajduje się w dokumencie
Ważne | |
Jeżeli zapytanie LDAP zaczyna się od prefiksu „ldap”, jest traktowane jako zapytanie LDAP URL. Jeżeli zaczyna się inaczej, jest traktowane jako zapytanie wersji 1. |
Podstawowe grupy aplikacji
Podstawowe grupy aplikacji są specyficzne dla Menedżera autoryzacji.
Aby zdefiniować członkostwo w podstawowej grupie aplikacji, należy:
-
Zdefiniować, kto jest członkiem.
-
Zdefiniować, kto nie jest członkiem.
Oba te kroki wykonuje się w ten sam sposób:
-
Po pierwsze należy określić zero lub więcej użytkowników i grup systemu Windows, zdefiniowane wcześniej podstawowe grupy aplikacji lub grupy zapytań LDAP.
-
Po drugie obliczane jest członkostwo podstawowej grupy aplikacji przez usunięcie z grupy elementów, które nie są jej członkami. Menedżer autoryzacji robi to automatycznie w czasie wykonywania.
Ważne | |
Brak członkostwa w podstawowej grupie aplikacji ma pierwszeństwo nad członkostwem. |
Grupy reguł biznesowych aplikacji
Grupy reguł biznesowych aplikacji są specyficzne dla Menedżera autoryzacji.
Aby zdefiniować członkostwo w grupie reguł biznesowych aplikacji, należy napisać skrypt w języku VBScript lub JScript. Kod źródłowy skryptu jest ładowany z pliku tekstowego na stronie Właściwości grupy reguł biznesowych aplikacji.