Kontrola dostępu oparta na rolach pozwala przypisywać użytkowników do ról i śledzić, jakie uprawnienia zostały przypisane do każdej z ról. Korzystając ze skryptów nazywanych regułami autoryzacji, można także zastosować bardzo dokładną kontrolę. Reguły autoryzacji pozwalają kontrolować relacje między kontrolą dostępu a strukturą organizacji.
Menedżer autoryzacji pomaga zapewnić wydajną kontrolę nad dostępem do zasobów w wielu sytuacjach. Zazwyczaj z administracji opartej na rolach korzystają często dwie kategorie ról: role autoryzacji użytkowników i role autoryzacji komputerów.
-
Role autoryzacji użytkowników są oparte na funkcji pełnionej w organizacji przez użytkownika. Ról autoryzacji można używać do autoryzowania dostępu, delegowania uprawnień administracyjnych oraz do zarządzania interakcją z zasobami komputera. Można na przykład zdefiniować rolę Skarbnik, która będzie obejmować prawo do autoryzowania wydatków i do wykonywania inspekcji transakcji na kontach.
-
Role konfiguracji komputera są oparte na funkcji komputera. Ról konfiguracji komputera można użyć do wybierania funkcji, które mają zostać zainstalowane, do włączania usług i do wybierania opcji. Na przykład role konfiguracji komputerów dla serwerów mogą być zdefiniowane dla serwerów sieci WEB, kontrolerów domen, serwerów plików i niestandardowych konfiguracji serwerów, odpowiednich do potrzeb organizacji.
Korzystanie z trybu dewelopera i z trybu administratora w Menedżerze autoryzacji
W Menedżerze autoryzacji można używać następujących dwóch trybów:
-
Tryb dewelopera. W trybie dewelopera można tworzyć, wdrażać i konserwować aplikacje. W tym trybie użytkownik ma nieograniczony dostęp do wszystkich funkcji Menedżera autoryzacji.
-
Tryb administratora. Jest to tryb domyślny. W trybie administratora można wdrażać i konserwować aplikacje. Użytkownik ma dostęp do wszystkich funkcji Menedżera autoryzacji, ale nie może tworzyć nowych aplikacji ani definiować operacji.
Często Menedżer autoryzacji jest wykorzystywany przez aplikacje niestandardowe napisane dla określonego celu w środowisku. Te aplikacje zwykle tworzą, zarządzają i wykorzystują magazyn autoryzacji, wywołując interfejs programowania aplikacji (API) Menedżera autoryzacji. W takim przypadku nie trzeba używać trybu dewelopera. Aby uzyskać więcej informacji dotyczących korzystania z Menedżera autoryzacji programowo, zobacz temat Zasoby dla Menedżera autoryzacji.
W przypadku pracy w trybie dewelopera zaleca się uruchamianie Menedżera autoryzacji w tym trybie tylko do momentu utworzenia i skonfigurowania magazynu autoryzacji, aplikacji i innych niezbędnych obiektów. Po początkowym skonfigurowaniu Menedżera autoryzacji należy uruchamiać Menedżera autoryzacji w trybie administratora. Aby uzyskać więcej informacji o korzystaniu z trybu dewelopera lub administratora, zobacz temat Ustawianie opcji Menedżera autoryzacji.
Porównanie Menedżera autoryzacji z innymi narzędziami do zarządzania
Menedżera autoryzacji można użyć do jednoczesnego wdrożenia wielu zmian konfiguracji i uprawnień. Do konfigurowania uprawnień dostępu można również używać innych narzędzi do zarządzania dostępnych w tej wersji systemu Windows, które czasem działają podobnie do Menedżera autoryzacji. Obejmują one:
-
Listy kontroli dostępu. List kontroli dostępu (ACL) na karcie właściwości Zabezpieczenia można używać do zarządzania zasadami kontroli dostępu dla obiektów przechowywanych w usługach domenowych w usłudze Active Directory (AD DS), usługach LDS w usłudze Active Directory (AD LDS) oraz obiektów systemu Windows. Menedżer autoryzacji różni się od karty właściwości Zabezpieczenia tym, że umożliwia ustalenie kontroli dostępu na podstawie ról (zwykle bazujących na określonych zadaniach realizowanych przez użytkowników), a nie na podstawie członkostwa w grupach, oraz tym, że umożliwia śledzenie nadanych uprawnień.
-
Kreator delegowania kontroli. Kreator delegowania kontroli także ustawia wiele uprawnień automatycznie, ale w przeciwieństwie do Menedżera autoryzacji nie udostępnia metody śledzenia lub usuwania nadanych uprawnień.
Dodatkowe informacje