使用授权管理器,可以通过创建访问授权存储的授权管理器应用程序来为您支持的管理员提供授权服务。
在授权管理器中,既没有默认授权存储,也没有默认应用程序。要创建授权存储,必须在授权管理器开发人员模式下工作。有关在开发人员模式下工作的详细信息,请参阅设置授权管理器选项。
可以将授权存储存储在 XML 文件、Active Directory 域服务 (AD DS)、Active Directory 轻型目录服务 (AD LDS) 或 Microsoft SQL Server 数据库中。
下表比较了不同的授权存储类型。
| 授权存储类型 | 委派支持 | 授权存储被指定的方式 | 要求 | ||||
|---|---|---|---|---|---|---|---|
|
AD DS 或 AD LDS |
受授权存储、应用程序和作用域级别支持 |
以协议前缀 MSLDAP:// 开头的 URL,或 LDAP 可分辨名称(例如,CN=myStore,CN=Program Data,DN=nwtraders,DN=com) |
域功能级别必须是 Windows Server 2003 或更高版本。
| ||||
|
XML |
不支持 XML 文件作为一个整体由它的 NTFS 文件系统访问控制项 (ACE) 保护。 |
以协议前缀 MSXML:// 开头的 URL,或路径(例如,C:\Temp\MyStore.xml 或 \\ServerName\ShareName\MyStore.xml) |
任何 NTFS 分区 | ||||
|
SQL Server |
受授权存储、应用程序和作用域级别支持 |
以协议前缀 MSSQL:// 开头,后跟连接字符串、数据库名称和策略存储名称的 URL,格式为:MSSQL://<连接字符串>/<数据库名称>/<策略存储名称> |
至少是 Microsoft SQL Server 2000 |
应用程序专用于授权存储,而且它始终直接位于授权管理器中的父授权存储下。有关详细信息,请参阅创建授权管理器应用程序。
作用域、角色、任务和操作始终为应用程序专用。有关详细信息,请参阅了解授权管理器作用域 和了解授权管理器角色、任务和操作定义。
使用应用程序组
应用程序组是授权管理器应用程序的用户组。可在授权管理器控制台中的三个级别中任一级别创建应用程序组。下表列出了可创建应用程序组的不同授权管理器级别。
| 级别 | 应用程序组可用于 |
|---|---|
|
授权存储 |
其中的授权存储、应用程序和作用域 |
|
应用程序 |
其中的应用程序和作用域 |
|
作用域 |
作用域 |
有关应用程序组的详细信息,请参阅了解授权管理器应用程序组。
委派授权存储和应用程序
存储在 AD DS、AD LDS 或 SQL Server 中的授权存储支持委派。这意味着可以授权其他人管理这些授权存储或包含在这些授权存储中的应用程序。
有关执行委派的详细信息,请参阅允许其他用户管理授权存储。