若要有效地使用授權管理員來控制對資源的存取,您必須先定義角色、工作及操作。

  • 角色指的是使用者工作時必要的一組權限。設計良好的角色應與工作類別或責任相對應 (例如,接待員、招募主管或檔案保管員) 且適切命名。使用授權管理員,您可為角色新增使用者以授權他們工作。

  • 工作是操作或其他工作的集合。設計良好的工作包容性強,可以代表辨識的工作項目 (例如,[變更密碼] 或 [提交費用])。

  • 操作是一組權限,可用來連結系統層級或 API 層級的安全性程序,例如 WriteAttributes 或 ReadAttributes。可使用操作建立工作區塊。

您只能在程式開發人員模式下定義角色、工作及操作,不能在系統管理員模式下定義。若要設定程式開發人員模式,請參閱設定授權管理員選項

角色定義

建立適當的角色定義取決於您組織的結構與目標。角色可支援其他角色的繼承。

若要定義角色,請指定名稱、好記的描述,及屬於該角色的部分特定工作、角色及操作。這為角色繼承提供機制。例如,一個 Helpdesk 角色可能包括產品支援角色。

您可指定授權規則,其可以為 VBScript 或 JScript。如需相關資訊,請參閱 VBScript (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=65964) 及 JScript (可能為英文網頁) (https://go.microsoft.com/fwlink/?LinkId=65963)。

如果有多種授權規則與角色定義相關聯 (例如,角色定義具有多種次角色及工作),則授權規則會同步執行。在授權管理員中,順序對授權沒有影響。

工作定義

工作定義較角色定義為小,且可用來定義角色及其他工作。

使用授權管理員,您可以將工作與角色以直覺方式連結。例如,招聘人員角色可能包括面試工作。

工作,就如角色,是以適合組織的方式來定義。若要定義工作,請指定名稱、描述,以及屬於該工作的部分特定工作及操作。您也可以指定 VBScript 或 JScript 授權規則。

操作定義

操作是小型的電腦等級的動作,用來定義工作且經常與系統管理員無關。只能在程式開發人員模式下定義操作。

您可在應用程式層級設定操作定義,而不可在授權存放層級或領域層級設定。

操作定義包括名稱、描述及操作編號。操作編號 X 必須是一個整數,從 1 到 2,147,483,647 (也就是 1 ≤ X ≤ 2^31 - 1)。應用程式用操作編號來辨識操作,因此若輸入錯誤的操作編號,將會發生錯誤的授與存取或拒絕存取。接著便可能導致安全性衝突或用戶端應用程式的意外行為。


目錄