若要有效地使用授权管理器控制对资源的访问权限,必须首先定义角色、任务和操作。

  • 角色是用户执行作业所必须拥有的一组权限。适当设计的角色应该与作业类别或职责(例如,接待员、人事经理或档案保管员)相对应,并进行相应命名。使用授权管理器可以将用户添加到角色以授权其执行作业。

  • 任务是操作的集合,有时也是其他任务的集合。适当设计的任务具有足够的包容性,可显示能识别的工作项目(例如,“更改密码”或“提交开支”)。

  • 操作是一组权限,可将其与系统级别或 API 级别的安全过程(如 WriteAttributes 或 ReadAttributes)相关联。可进行的操作包括建立任务块等。

只能采用开发人员模式而非管理员模式来定义角色、任务和操作。要设置开发人员模式,请参阅设置授权管理器选项

角色定义

创建适当的角色定义取决于组织的结构和目标。角色支持从其他角色进行继承。

若要定义角色,请指定名称、友好描述以及某些作为该角色一部分的特定任务、角色和操作。这可提供角色继承的机制。例如,“支持人员”角色可能包含“产品支持”角色。

可指定授权规则,可以是 VBScript,也可以是 JScript。有关详细信息,请参阅 VBScript (https://go.microsoft.com/fwlink/?linkid=65964)(可能为英文网页)和 JScript (https://go.microsoft.com/fwlink/?LinkId=65963)(可能为英文网页)。

如果有多个授权规则与角色定义关联(例如,角色定义有多个子角色和任务),则这些授权规则同步运行。在授权管理器中,顺序对授权没有影响。

任务定义

任务定义比角色定义小,可用来定义角色和其他任务。

使用授权管理器,便可直观地将任务与角色相关联。例如,“招聘人员”角色可能包含“面试”任务。

与定义角色一样,任务的定义方式也应适合组织。若要定义任务,请指定名称、描述以及某些作为该任务一部分的特定任务和操作。也可以指定 VBScript 或 JScript 授权规则。

操作定义

操作是计算机级别的小型操作,用于定义任务,通常与管理员无关。只能在开发人员模式下定义操作。

可以在应用程序级别设置操作定义,但在授权存储级别或作用域级别不能设置。

操作定义包含名称、描述和操作号码。操作号码 X 必须是从 1 到 2,147,483,647(即 1 ≤ X ≤ 2^31 - 1)之间的整数。应用程序使用操作号码来标识操作,因此如果输入的操作号码有误,则会导致错误地授予或拒绝访问应用程序。这样,进而又会导致客户端应用程序出现安全冲突或不希望发生的行为。


目录