O controlo de acesso baseado em funções permite a atribuição de utilizadores a funções e mantém um registo de que permissões foram atribuídas a cada função. Também pode aplicar um controlo muito específico utilizando scripts denominados regras de autorização. As regras de autorização permitem controlar a relação entre o controlo de acesso e a estrutura da organização.

O Gestor de Autorizações pode ajudar a proporcionar um controlo de acesso eficaz a recursos em muitas situações. Normalmente, duas categorias de funções beneficiam com a administração baseada em funções: funções de autorização de utilizador e funções de configuração de computador.

  • As Funções de autorização de utilizador são baseadas na função de cargo de utilizador. Pode utilizar funções de autorização para autorizar o acesso, para delegar privilégios administrativos ou para gerir a interacção com recursos baseados em computador. Por exemplo, poderá definir uma função "Tesoureiro" que inclua o direito a autorizar despesas e a auditar transacções de contas.

  • As Funções de configuração de computador são baseadas na função de um computador. Pode utilizar funções de configuração de computador para seleccionar funcionalidades que pretenda instalar, para activar serviços e para seleccionar opções. Por exemplo, as funções de configuração de computador para servidores podem ser definidas para servidores Web, controladores de domínio, servidores de ficheiros e configurações de servidor personalizadas apropriadas para a organização.

Utilizar o modo de programação e o modo de administração no Gestor de Autorizações

Com o Gestor de Autorizações pode utilizar os dois modos que se seguem:

  • Modo de programação. No modo de programação, pode criar, implementar e manter aplicações. Tem acesso ilimitado a todas as funcionalidades do Gestor de Autorizações.

  • Modo de administração. Este é o modo predefinido. No modo de administração, pode implementar e manter aplicações. Tem acesso a todas as funcionalidades do Gestor de Autorizações, mas não pode criar novas aplicações nem definir operações.

Normalmente, o Gestor de Autorizações é utilizado por aplicações personalizadas escritas para um fim específico no ambiente. Estas aplicações normalmente criam, gerem e utilizam um arquivo de autorização chamando as APIs (application programming interfaces) do Gestor de Autorizações. Neste caso, não é necessário utilizar o modo de programação. Para obter mais informações sobre como utilizar o Gestor de Autorizações a nível programático, consulte Recursos para o Gestor de Autorizações.

Quando utiliza o modo de programação, recomenda-se que execute o Gestor de Autorizações no modo de programação apenas até o arquivo de autorização, a aplicação e outros objectos necessários serem criados e configurados. Depois de configurar inicialmente o Gestor de Autorizações, execute-o no modo de administração. Para obter mais informações sobre como utilizar o modo de programação ou o modo de administração, consulte Definir Opções do Gestor de Autorizações.

Comparar o Gestor de Autorizações a outras ferramentas de gestão

Pode utilizar o Gestor de Autorizações para implementar uma configuração múltipla e alterações de permissão de uma só vez. Com esta versão do Windows, são disponibilizadas outras ferramentas de gestão que também podem ser utilizadas para configurar permissões de acesso, por vezes de formas comparáveis ao Gestor de Autorizações. Estas incluem:

  • Listas de controlo de acesso. As listas de controlo de acesso (ACLs) no separador de propriedades de Segurança podem ser utilizadas para gerir a política de controlo de acesso para objectos armazenados nos Serviços de Domínio do Active Directory (AD DS), Serviços LDS do Active Directory (AD LDS) e objectos do Windows. O Gestor de Autorizações difere do separador de propriedades de Segurança ao permitir que o controlo de acesso se baseie em funções (normalmente baseia-se em tarefas específicas) e não apenas na associação a grupos e ao controlar as permissões que foram concedidas.

  • Assistente de Delegação de Controlo. O Assistente de Delegação de Controlo também define automaticamente múltiplas permissões. No entanto, ao contrário do Gestor de Autorizações, não fornece um método para controlar ou remover as permissões que foram concedidas.

Referências adicionais

Sumário