W Menedżerze autoryzacji adresaci zasad autoryzacji są reprezentowani przez następujące różne rodzaje grup:

  • Użytkownicy i grupy systemu Windows Te grupy obejmują użytkowników, komputery oraz wbudowane grupy podmiotów zabezpieczeń. Są one używane w całym systemie Windows, a nie tylko w Menedżerze autoryzacji.

  • Grupy aplikacji. Te grupy obejmują grupy podstawowe aplikacji i grupy zapytań LDAP. Grupy aplikacji są charakterystyczne dla administrowania opartego na rolach w Menedżerze autoryzacji.

Ważne

Grupa aplikacji to grupa użytkowników, komputerów lub innych zabezpieczeń głównych. Grupa aplikacji nie jest grupą, w skład której wchodzą aplikacje.

  • Grupy zapytań LDAP. Członkostwo w tych grupach jest w razie potrzeby dynamicznie wyznaczane na podstawie zapytań LDAP. Grupa zapytań LDAP to typ grupy aplikacji.

  • Podstawowe grupy aplikacji. Te grupy są definiowane zgodnie z zasadami grup zapytań LDAP, użytkowników i grup systemu Windows oraz innych podstawowych grup aplikacji. Podstawowa grupa aplikacji to typ grupy aplikacji.

  • Grupa reguł biznesowych aplikacji. Te grupy są definiowane przez skrypt napisany w języku VBScript lub Jscript i powodują dynamiczne określanie członkostwa w grupie w czasie wykonywania na podstawie zdefiniowanych kryteriów.

Użytkownicy i grupy systemu Windows

Więcej informacji o grupach w usługach domenowych w usłudze Active Directory znajduje się w artykule o opartej na rolach kontroli dostępu dla aplikacji wielowarstwowych z wykorzystaniem Menedżera autoryzacji (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?LinkId=64287). Więcej informacji o podmiotach zabezpieczeń, które nie są przechowywane w usługach domenowych w usłudze AD, znajduje się w informacjach technicznych o podmiotach zabezpieczeń (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?LinkId=129213).

Grupy aplikacji

Przy tworzeniu nowej grupy aplikacji należy określić, czy ma to być grupa zapytań LDAP czy podstawowa grupa aplikacji. W przypadku aplikacji Menedżera autoryzacji opartych na rolach dowolną aplikację, którą można wykonać za pomocą opcji Użytkownicy i grupy systemu Windows, można również wykonać za pomocą grup aplikacji.

Cykliczne definicje członkostwa nie są dozwolone. Wynikiem użycia takiej definicji będzie wyświetlenie komunikatu o błędzie „Nie można dodać <Nazwa grupy>. Wystąpił następujący problem: Została wykryta pętla.”

Grupy zapytań LDAP

W Menedżerze autoryzacji można używać zapytań LDAP do znajdowania obiektów w usługach domenowych w usłudze Active Directory (AD DS), usługach LDS w usłudze Active Directory (AD LDS) i w innych katalogach zgodnych z protokołem LDAP.

Zapytania LDAP można użyć do określenia grupy zapytań LDAP przez wpisanie odpowiedniego zapytania w polu na karcie Zapytanie w oknie dialogowym Właściwości.

Menedżer autoryzacji obsługuje dwa typy zapytań LDAP, których można używać do określania grupy zapytań LDPA: Zapytania Menedżera autoryzacji w wersji 1 i zapytania LDAP URL.

  • Zapytania LDAP Menedżera autoryzacji w wersji 1

    Zapytania LDAP w wersji 1 zapewniają ograniczoną obsługę składni zapytania LDAP URL opisanej w dokumencie RFC 2255. Te zapytania są zawężone do listy atrybutów obiektu użytkownika określonego w bieżącym kontekście klienta.

    Na przykład poniższe zapytanie powoduje znalezienie wszystkich osób z wyjątkiem Adama.

    (&(objectCategory=person)(objectClass=user)(!cn=adam)).

    To zapytanie ocenia, czy klient jest członkiem aliasu StatusReports w lokalizacji northwindtraders.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    Menedżer autoryzacji nadal obsługuje zapytania w wersji 1, dzięki czemu rozwiązania przygotowane w starszych wersjach Menedżera autoryzacji mogą zostać uaktualnione przy mniejszym nakładzie pracy.

  • Zapytania LDAP URL

    W celu usunięcia ograniczeń obiektów i atrybutów, które mogą być wyszukiwane, Menedżer autoryzacji obsługuje składnię zapytań LDAP URL opartą na dokumencie RFC 2255.

    Adres LDAP URL zaczyna się od prefiksu protokołu „ldap" i ma następujący format:

Uwaga

Nazwa wyróżniająca znana także jako DN (Distinguished Name).

ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>

W szczególności obsługiwana jest następująca gramatyka:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Na przykład poniższe zapytanie zwraca wszystkich użytkowników, dla których atrybut firma jest ustawiony na „FabCo”, z serwera LDAP działającego na porcie 389 hosta o nazwie „fabserver”.

ldap://fabserver:389/OU=Klienci,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Podczas używania zapytania LDAP URL można użyć specjalnej wartości symbolu zastępczego %AZ_CLIENT_DN%. Ten symbol zastępczy jest zastępowany nazwą wyróżniającą (DN, Distinguished Name) klienta sprawdzającego prawa dostępu. Dzięki temu można tworzyć zapytania zwracające obiekty z katalogu na podstawie ich relacji względem nazwy wyróżniającej klienta zgłaszającego żądanie.

W tym przykładzie zapytanie LDAP sprawdza, czy użytkownik jest członkiem jednostki organizacyjnej (OU) „Klienci”.

ldap://serwer:<port>/OU=Klienci,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

W tym przykładzie zapytanie LDAP sprawdza, czy użytkownik bezpośrednio podlega kierownikowi o nazwie „PewienKierownik” i czy „wyszukiwany_atrybut” użytkownika PewienKierownik jest równy konkretnej wartości „wyszukiwana_wartość”.

ldap://serwer:port/Cn=PewienKierownik,OU=Użytkownicy,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(wyszukiwany_atrybut= wyszukiwana_wartość) (directreports = %AZ_CLIENT_DN%))

Więcej informacji o składni zapytań LDAP URL znajduje się w dokumencie RFC 2255 (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=65973).

Ważne

Jeżeli zapytanie LDAP zaczyna się od prefiksu „ldap”, jest traktowane jako zapytanie LDAP URL. Jeżeli zaczyna się inaczej, jest traktowane jako zapytanie wersji 1.

Podstawowe grupy aplikacji

Podstawowe grupy aplikacji są specyficzne dla Menedżera autoryzacji.

Aby zdefiniować członkostwo w podstawowej grupie aplikacji, należy:

  1. Zdefiniować, kto jest członkiem.

  2. Zdefiniować, kto nie jest członkiem.

Oba te kroki wykonuje się w ten sam sposób:

  • Po pierwsze należy określić zero lub więcej użytkowników i grup systemu Windows, zdefiniowane wcześniej podstawowe grupy aplikacji lub grupy zapytań LDAP.

  • Po drugie obliczane jest członkostwo podstawowej grupy aplikacji przez usunięcie z grupy elementów, które nie są jej członkami. Menedżer autoryzacji robi to automatycznie w czasie wykonywania.

Ważne

Brak członkostwa w podstawowej grupie aplikacji ma pierwszeństwo nad członkostwem.

Grupy reguł biznesowych aplikacji

Grupy reguł biznesowych aplikacji są specyficzne dla Menedżera autoryzacji.

Aby zdefiniować członkostwo w grupie reguł biznesowych aplikacji, należy napisać skrypt w języku VBScript lub JScript. Kod źródłowy skryptu jest ładowany z pliku tekstowego na stronie Właściwości grupy reguł biznesowych aplikacji.

Spis treści