Freigeben über

Delegieren der Definition von Berechtigungen in Skript

  • Artikel

Sie können die Verwaltung von Autorisierungsrichtlinienspeichern delegieren, die in Active Directory gespeichert sind. Die Verwaltung kann auf Speicher-, Anwendungs- oder Bereichsebene an Benutzer und Gruppen delegiert werden.

Auf jeder Ebene gibt es eine Liste von Administratoren und Lesern. Administratoren eines Speichers, einer Anwendung oder eines Bereichs können den Richtlinienspeicher auf delegierter Ebene lesen und ändern. Leser können den Richtlinienspeicher auf delegierter Ebene lesen, den Speicher jedoch nicht ändern.

Ein Benutzer oder eine Gruppe, die entweder Administrator oder Leser einer Anwendung ist, muss auch als delegierter Benutzer des Richtlinienspeichers hinzugefügt werden, der diese Anwendung enthält. Ebenso muss ein Benutzer oder eine Gruppe, die ein Administrator oder leser eines Bereichs ist, als delegierter Benutzer der Anwendung hinzugefügt werden, die diesen Bereich enthält.

So delegieren Sie die Verwaltung eines Bereichs

  1. Fügen Sie den Benutzer oder die Gruppe der Liste der delegierten Benutzer des Speichers hinzu, der den Bereich enthält, indem Sie die AddDelegatedPolicyUser-Methode des AzAuthorizationStore-Objekts aufrufen, das den Bereich enthält.
  2. Fügen Sie den Benutzer oder die Gruppe der Liste der delegierten Benutzer der Anwendung hinzu, die den Bereich enthält, indem Sie die AddDelegatedPolicyUser-Methode des IAzApplication-Objekts aufrufen, das den Bereich enthält.
  3. Fügen Sie den Benutzer oder die Gruppe der Liste der Administratoren des Bereichs hinzu, indem Sie die AddPolicyAdministrator-Methode des IAzScope-Objekts aufrufen.

Hinweis

XML-basierte Richtlinienspeicher unterstützen die Delegierung auf keiner Ebene.

 

Wenn ein Bereich in einem Autorisierungsspeicher, der in Active Directory gespeichert ist, Aufgabendefinitionen enthält, die Autorisierungsregeln oder Rollendefinitionen enthalten, die Autorisierungsregeln enthalten, kann der Bereich nicht delegiert werden.

Im folgenden Beispiel wird gezeigt, wie die Verwaltung einer Anwendung delegieren wird. Im Beispiel wird davon ausgegangen, dass am angegebenen Speicherort ein Active Directory-Autorisierungsrichtlinienspeicher vorhanden ist, dass dieser Richtlinienspeicher eine Anwendung mit dem Namen Expense enthält und dass diese Anwendung keine Aufgaben mit Geschäftsregelskripts enthält.

'  Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the authorization store.
AzManStore.Initialize 2, _
    "msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"

'  Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")

'  Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")

'  Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")

'  Save changes to the store.
AzManStore.Submit