Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Autorisierungsrichtlinienspeicher, Anwendungen und Bereiche stellen unterschiedliche Ebenen der Organisation der Autorisierungs-Manager-Richtlinie dar. Ein Richtlinienspeicher kann eine oder mehrere Anwendungen enthalten, und eine Anwendung kann einen oder mehrere Bereiche enthalten.
Autorisierungsrichtlinienspeicher
In der Autorisierungs-Manager-API wird ein Autorisierungsrichtlinienspeicher durch ein IAzAuthorizationStore--Objekt dargestellt. Der Autorisierungsrichtlinienspeicher enthält Definitionen und Zuweisungen von Anwendungen, Bereichen, Vorgängen, Aufgaben, Rollen und Benutzergruppen.
Ein Autorisierungsrichtlinienspeicher kann entweder als XML-Datei oder in Active Directory gespeichert werden.
Eine Anwendung muss einen Autorisierungsrichtlinienspeicher initialisieren, bevor Informationen im Speicher geändert oder die Speicherrichtlinie verwendet wird, um den Clientzugriff auf Ressourcen zu überprüfen.
Ein Autorisierungsrichtlinienspeicher kann ein oder mehrere IAzApplication- Objekte enthalten, die jeweils eine Autorisierungsrichtlinie für eine bestimmte Anwendung darstellen.
Anträge
In der Autorisierungs-Manager-API wird eine Anwendung durch ein IAzApplication-Objekt dargestellt. Ein Autorisierungsrichtlinienspeicher kann Autorisierungsrichtlinieninformationen für viele Anwendungen enthalten. Mit IAzApplication--Objekten können Sie unterschiedliche Autorisierungsrichtlinien für verschiedene Anwendungen in einem einzigen Richtlinienspeicher speichern.
Ein Autorisierungsrichtlinienspeicher muss mindestens eine Anwendung enthalten.
Bereiche
In der Autorisierungs-Manager-API wird ein Bereich durch ein IAzScope-Objekt dargestellt. Bereiche bieten eine zusätzliche, optionale Organisationsebene für eine Autorisierungsrichtlinie. Eine Anwendung kann einen oder mehrere Bereiche enthalten, muss jedoch keines enthalten (Autorisierungs-Manager stellt einen standardmäßigen anwendungsweiten Bereich bereit).
Ein Bereich ist eine Unterteilung innerhalb einer Anwendung, die Ressourcen von anderen Ressourcen trennt, die von dieser Anwendung verwendet werden. Wenn Sie über Autorisierungs-Manager-Gruppen, Rollenzuweisungen, Rollendefinitionen oder Aufgabendefinitionen verfügen, die Sie nicht auf eine gesamte Anwendung anwenden möchten, können Sie sie auf Der Bereichsebene erstellen.
Delegation
Autorisierungsrichtlinienspeicher, die in Active Directory gespeichert sind, unterstützen die Delegierung der Verwaltung. Die Verwaltung kann an Benutzer und Gruppen auf Speicher-, Anwendungs- oder Bereichsebene delegiert werden. Jede Ebene definiert administrative Rollen für die Richtlinie auf dieser Ebene. Um die Kontrolle an einen Benutzer oder eine Gruppe zu delegieren, weisen Sie sie der Administratorrolle zu; damit ein Benutzer oder eine Gruppe die Richtlinie lesen kann, weisen Sie sie der Leserrolle zu.
Administratoren eines Speichers, einer Anwendung oder eines Bereichs können den Richtlinienspeicher auf delegierter Ebene lesen und ändern. Leser können den Richtlinienspeicher auf delegierter Ebene lesen, aber den Speicher nicht ändern.
Verwandte Themen