以角色為基礎的存取控制可讓您為使用者指派角色,以及持續追蹤已給與每個角色哪些權限。您也可以使用稱為授權規則的指令碼來套用非常明確的控制。授權規則可讓您控制存取控制和組織結構之間的關係。

授權管理員可在許多情況下,協助提供存取資訊的有效控制。一般而言,以角色為基礎的系統管理對兩種角色類別有利:使用者授權角色和電腦設定角色。

  • 使用者授權角色以使用者的工作功能為基礎。您可使用授權角色執行授權存取、委派系統管理特權,或管理和電腦型態資源間的互動。例如,您可定義 Treasurer 角色,包括授權費用及稽核帳戶異動。

  • 電腦設定角色是以電腦的功能為主。您可使用電腦設定角色來選取想要安裝的功能,以啟用服務,並選取選項。例如,伺服器的電腦設定角色可以是針對網頁伺服器、網域控制站、檔案伺服器,以及適合您組織的自訂伺服器設定所定義。

在授權管理員中使用程式開發人員模式和系統管理員模式

使用授權管理員,您可使用下列兩種模式:

  • 程式開發人員模式。在程式開發人員模式下,您可以建立、部署及維護應用程式。您可以不受限制地存取所有 [授權管理員] 功能。

  • 系統管理員模式。這是預設模式。在系統管理員模式中,您可以部署及維護應用程式。您可存取所有授權管理員功能,但不可建立新應用程式或定義操作。

授權管理員通常是由您環境中,針對特定目的所撰寫之自訂應用程式所使用。這些應用程式通常是以呼叫授權管理員應用程式開發介面 (API),來建立、管理及使用授權存放。在這種情況下,您不需要使用開發人員模式。如需以程式的方式使用授權管理員的相關資訊,請參閱授權管理員的資源

使用程式開發人員模式時,建議只在程式開發人員模式中執行授權管理員,直到建立並設定授權存放、應用程式及其他所需物件為止。在初步設定授權管理員後,在系統管理員模式下執行授權管理員。如需使用程式開發人員或系統管理員模式的相關資訊,請參閱設定授權管理員選項

比較授權管理員和其他管理工具

您可以使用 [授權管理員] 來同時進行多個設定及權限變更。此 Windows 版本所提供的其他管理工具也可用來設定存取權限,有時候某些方法可以媲美 [授權管理員]。這些包括:

  • 存取控制清單。[安全性] 內容索引標籤上的存取控制清單 (ACL) 可用來管理存取控制原則,該原則適用於儲存在 Active Directory 網域服務 (AD DS)、Active Directory 輕量型目錄服務 (AD LDS) 以及 Windows 物件中的物件。[授權管理員] 與 [安全性] 內容的不同之處在於,它可讓您根據角色 (通常是根據特定的工作任務) 來設定存取控制,而不是只根據群組成員資格來設定,並可追蹤所授與的權限。

  • 委派控制精靈。[委派控制精靈] 也會自動設定多個權限,但是與 [授權管理員] 不同,它並未提供可追蹤或移除所授與權限的方法。

其他參考資料


目錄