Yetkilendirme Yöneticisi'nde, yetkilendirme ilkesinin alıcıları aşağıda yer alan farklı türlerdeki gruplarla gösterilir:
-
Windows kullanıcıları ve grupları. Bu gruplar kullanıcıları, bilgisayarları ve güvenlik sorumlularının yerleşik gruplarını içerir. Windows kullanıcıları ve grupları yalnızca Yetkilendirme Yöneticisi'nde değil, Windows genelinde de kullanılır.
-
Uygulama grupları. Bu gruplar temel uygulama gruplarını ve Basit Dizin Erişim Protokolü (LDAP) sorgu gruplarını içerir. Uygulama grupları Yetkilendirme Yöneticisi'nin rol tabanlı yönetimine özgüdür.
Önemli | |
Uygulama grubu kullanıcılar, bilgisayarlar veya diğer güvenlik sorumlularından oluşan bir gruptur. Uygulama grubu, uygulamalardan oluşan bir grup değildir. |
-
LDAP sorgu grupları. Bu grupların üyeleri, gerektiğinde LDAP sorgularından dinamik olarak hesaplanır. LDAP sorgusu grubu bir tür uygulama grubudur.
-
Temel uygulama grupları. Bu gruplar LDAP sorgu grupları, Windows kullanıcıları ve grupları ile diğer temel uygulama grupları türünden tanımlanır. Temel uygulama grubu bir tür uygulama grubudur.
-
İş kuralı uygulama grubu. Bu gruplar, VBScript veya Jscript ile yazılan komut dosyasıyla tanımlanır ve grup üyeliğinin tanımladığınız ölçütlere göre çalışma zamanında dinamik olarak belirlenmesiyle sonuçlanır.
Windows kullanıcıları ve grupları
Active Directory Etki Alanı Hizmetleri (AD DS) hakkında daha fazla bilgi için, bkz.
Uygulama grupları
Yeni bir uygulama grubu oluştururken, bunun bir LDAP sorgusu grubu veya bir temel uygulama grubu olmasını istediğinizi belirtmeniz gerekir. Yetkilendirme Yöneticisi'nin rol tabanlı uygulamaları için, Windows kullanıcıları ve grupları ile yapabileceğiniz tüm yetkilendirmeler uygulama gruplarıyla da yapılabilir.
Döngüsel üyelik tanımlarına izin verilmez ve şu hata iletisi verilir: "<Grup Adı> eklenemiyor". Aşağıdaki sorun oluştu: Bir döngü algılandı."
LDAP sorgusu grupları
Yetkilendirme Yöneticisi'nde, LDAP sorgularını kullanarak AD DS'de, Active Directory Basit Dizin Hizmetleri'nde (AD LDS) ve diğer LDAP uyumlu dizinlerdeki nesneleri bulabilirsiniz.
Bir LDAP sorgusu kullanıp, uygulama grubunun Özellikler iletişim kutusunda Sorgu sekmesinde sağlanan alana istenen LDAP sorgusunu yazarak bir LDAP sorgu grubu belirtebilirsiniz.
Yetkilendirme Yöneticisi, bir LDAP sorgu grubu tanımlamak için kullanılabilecek iki tür LDAP sorgusunu destekler: Yetkilendirme Yöneticisi sürüm 1 sorguları ve LDAP URL sorguları.
-
Yetkilendirme Yöneticisi sürüm 1 LDAP sorguları
Sürüm 1 LDAP sorguları, RFC 2255'de tanımlanan LDAP URL sorgu sözdizimi için sınırlı destek sağlar. Bu sorgular, geçerli istemci bağlamında belirtilen kullanıcı nesnesi öznitelik listesini sorgulamakla sınırlıdır.
Örneğin, aşağıdaki sorgu Gamze dışında herkesi bulur:
(&(objectCategory=person)(objectClass=user)(!cn=gamze)).
Bu sorgu, istemcinin northwindtraders.com'da StatusReports diğer adının üyesi olup olmadığını değerlendirir:
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
Yetkilendirme Yöneticisi sürüm 1 sorguları desteklemeye devam eder; böylece Yetkilendirme Yöneticisi'nin önceki sürümleri kullanılarak geliştirilen çözümler daha az çabayla yükseltilebilir.
-
LDAP URL sorguları
Aranabilecek nesne ve özniteliklerdeki sınırlamaları ortadan kaldırmak için Yetkilendirme Yöneticisi RFC 2255'i temel alan LDAP URL sorgu sözdizimini destekler. Bu, arama kökü olarak geçerli kullanıcı nesnesinden farklı dizin nesnelerini kullanan LDAP sorgu gruplarını oluşturmanızı sağlar.
LDAP URL, "ldap" protokol önekiyle başlar ve aşağıdaki biçimde devam eder:
Not | |
Ayırt edici ad, DN olarak da bilinir. |
ldap://<sunucu:bağlantınoktası>/<anaNesneDN>?<öznitelikler>?<sorguKapsamı>?<Filtre>
Özel olarak, aşağıdaki dil kuralları desteklenir:
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
Örneğin, aşağıdaki sorgu, "fabserver" adlı anabilgisayarın 389 numaralı bağlantı noktasında çalışan LDAP sunucusundan şirket özniteliği "FabCo" olan kullanıcıları döndürür.
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
LDAP URL sorgusu kullanırken, özel %AZ_CLIENT_DN% yer tutucu değerini kullanabilirsiniz. Bu yer tutucunun yerine erişim denetimini yapan istemcinin ayırt edici adı (DN) konur. Bu işlem, istekte bulunan istemcinin ayırt edici adıyla olan ilişkilerine dayanarak dizinden nesneler döndüren sorgular oluşturmanızı sağlar.
Bu örnekte LDAP sorgusu, kullanıcının "Customers" OU'sunun bir üyesi olup olmadığını sınamaktadır:
ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
Bu örnekte, LDAP sorgusu, kullanıcının "SomeManager" adlı yöneticiye doğrudan bağlı çalışan olup olmadığını ve SomeManager'ın "searchattribute" değerinin "searchvalue" değerine eşit olup olmadığını sınamaktadır:
ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
LDAP URL sorgusu sözdizimi hakkında daha fazla bilgi için,
Önemli | |
LDAP sorgusu "ldap" ile başlıyorsa, LDAP URL sorgusu olarak işlenir. Farklı bir başlangıcı varsa, sürüm 1 sorgu olarak işlenir. |
Temel uygulama grupları
Temel uygulama grupları Yetkilendirme Yöneticisi'ne özgüdür.
Temel uygulama grubu üyeliği tanımlamak için, şunları yapmanız gerekir:
-
Kimin üye olduğunu tanımlama.
-
Kimin üye olmadığını tanımlama.
Bu adımların her ikisi de aynı şekilde gerçekleştirilir:
-
Önce sıfır veya daha fazla sayıda Windows kullanıcıları ve gruplarını, önceden tanımlanmış temel uygulama grupları veya LDAP sorgusu gruplarını belirtirsiniz.
-
İkinci olarak, üye olmayanlar gruptan çıkarılarak, temel uygulama grubunun üyeliği hesaplanır. Yetkilendirme Yöneticisi çalışma zamanında bunu otomatik olarak yapar.
Önemli | |
Temel uygulama grubunda üye olmama, üyelikten önceliklidir. |
İş kuralı uygulama grupları
İş kuralı uygulama grupları Yetkilendirme Yöneticisi'ne özgüdür.
İş kuralı uygulama grupları üyeliği tanımlamak için VBScript veya JScript programında bir komut dosyası yazmalısınız. Komut dosyasının kaynak kodu, iş kuralı uygulama grubunun Özellikler sayfasındaki metin dosyasından yüklenir.