Richtlinienspeicher, Anwendungen und Bereiche
Autorisierungsrichtlinienspeicher, Anwendungen und Bereiche stellen unterschiedliche Ebenen von organization der Autorisierungs-Manager-Richtlinie dar. Ein Richtlinienspeicher kann mindestens eine Anwendung und eine Anwendung einen oder mehrere Bereiche enthalten.
Autorisierungsrichtlinienspeicher
In der Autorisierungs-Manager-API wird ein Autorisierungsrichtlinienspeicher durch ein IAzAuthorizationStore-Objekt dargestellt. Der Autorisierungsrichtlinienspeicher enthält Definitionen und Zuweisungen von Anwendungen, Bereichen, Vorgängen, Aufgaben, Rollen und Benutzergruppen.
Ein Autorisierungsrichtlinienspeicher kann entweder als XML-Datei oder in Active Directory gespeichert werden.
Eine Anwendung muss einen Autorisierungsrichtlinienspeicher initialisieren, bevor sie Informationen im Speicher ändert oder die Speicherrichtlinie zum Überprüfen des Clientzugriffs auf Ressourcen verwendet.
Ein Autorisierungsrichtlinienspeicher kann mindestens ein IAzApplication-Objekt enthalten, das jeweils eine Autorisierungsrichtlinie für eine bestimmte Anwendung darstellt.
Anwendungen
In der Autorisierungs-Manager-API wird eine Anwendung durch ein IAzApplication-Objekt dargestellt. Ein Autorisierungsrichtlinienspeicher kann Autorisierungsrichtlinieninformationen für viele Anwendungen enthalten. Mithilfe von IAzApplication-Objekten können Sie unterschiedliche Autorisierungsrichtlinien für verschiedene Anwendungen in einem einzigen Richtlinienspeicher speichern.
Ein Autorisierungsrichtlinienspeicher muss mindestens eine Anwendung enthalten.
Bereiche
In der Autorisierungs-Manager-API wird ein Bereich durch ein IAzScope-Objekt dargestellt. Bereiche bieten eine zusätzliche, optionale Ebene von organization für eine Autorisierungsrichtlinie. Eine Anwendung kann einen oder mehrere Bereiche enthalten, muss aber keinen enthalten (Der Autorisierungs-Manager bietet einen standardmäßigen, anwendungsweiten Bereich).
Ein Bereich ist eine Unterteilung innerhalb einer Anwendung, die Ressourcen von anderen Ressourcen trennt, die von dieser Anwendung verwendet werden. Wenn Sie über Autorisierungs-Manager-Gruppen, Rollenzuweisungen, Rollendefinitionen oder Aufgabendefinitionen verfügen, die Sie nicht auf eine gesamte Anwendung anwenden möchten, können Sie diese auf Bereichsebene erstellen.
Delegierung
Autorisierungsrichtlinienspeicher, die in Active Directory gespeichert sind, unterstützen die Delegierung der Verwaltung. Die Verwaltung kann auf Speicher-, Anwendungs- oder Bereichsebene an Benutzer und Gruppen delegiert werden. Jede Ebene definiert Administratorrollen für die Richtlinie auf dieser Ebene. Um die Steuerung an einen Benutzer oder eine Gruppe zu delegieren, weisen Sie sie der Administratorrolle zu. Damit ein Benutzer oder eine Gruppe die Richtlinie lesen kann, weisen Sie sie der Leserrolle zu.
Administratoren eines Speichers, einer Anwendung oder eines Bereichs können den Richtlinienspeicher auf delegierter Ebene lesen und ändern. Leser können den Richtlinienspeicher auf delegierter Ebene lesen, den Speicher jedoch nicht ändern.
Zugehörige Themen