使用基于角色的访问控制,可以向角色分配用户,并且可以查看已经授予每个角色的权限。也可以使用名为授权规则的脚本来实现非常具体的控制。授权规则能够让您控制访问控制和组织结构之间的关系。
在许多情况下,授权管理器都有助于提供对资源的有效控制的访问权限。一般情况下,以下两种类别的角色经常从基于角色的管理中获益:用户授权角色和计算机配置角色。
-
用户授权角色基于用户的工作职能。您可以使用授权角色授予访问权,以委派管理权限或管理与基于计算机的资源之间的交互。例如,可定义有权授权支出和审核帐户事务的“出纳员”角色。
-
计算机配置角色基于计算机的功能。可使用计算机配置角色来选择要安装的功能,并可启用服务和选择选项。例如,可以为 Web 服务器、域控制器、文件服务器和适合于组织的自定义服务器配置来定义服务器的计算机配置角色。
使用授权管理器中的开发人员模式和管理员模式
对于授权管理器,可使用下面两种模式:
-
开发人员模式。在开发人员模式下,可以创建、部署和维护应用程序。您可对所有授权管理器功能进行不受限制的访问。
-
管理员模式。这是默认模式。在管理员模式下,用户可以部署和维护应用程序。可访问所有授权管理器功能,不过无法创建新的应用程序或定义操作。
通常,授权管理器在您的环境中由为特定目的编写的自定义应用程序使用。这些应用程序通常通过调用授权管理器应用程序编程接口 (API) 来创建、管理和使用授权存储。在这种情况下,不需要使用开发人员模式。有关以编程方式使用授权管理器的详细信息,请参阅用于授权管理器的资源。
使用开发人员模式时,建议仅在开发人员模式下运行授权管理器,直到创建并配置授权存储、应用程序和其他必要的对象为止。在最初设置授权管理器后,以管理员模式来运行授权管理器。有关使用开发人员模式或管理员模式的详细信息,请参阅设置授权管理器选项。
将授权管理器与其他管理工具相比较
使用授权管理器,可以一次实现多个配置和权限更改。也可以使用此版本 Windows 中提供的其他管理工具来配置访问权限,有时其操作方式与授权管理器类似。它们包括:
-
访问控制列表。访问控制列表 (ACL) 位于“安全”属性选项卡上,它可用于对存储在 Active Directory 域服务 (AD DS)、Active Directory 轻型目录服务 (AD LDS) 中的对象和 Windows 对象管理访问控制策略。授权管理器不同于“安全”属性选项卡的是,使访问控制基于角色(通常基于特定工作任务),而不只是基于组成员身份,还有就是它跟踪已授予的权限。
-
控制委派向导。控制委派向导也会自动设置多种权限,但与授权管理器不同的是,它不提供跟踪或删除已授予权限的方法。
其他参考