Condividi tramite

Delegare la definizione delle autorizzazioni nello script

  • Articolo

È possibile delegare l'amministrazione degli archivi dei criteri di autorizzazione archiviati in Active Directory. L'amministrazione può essere delegata a utenti e gruppi a livello di archivio, applicazione o ambito.

A ogni livello è presente un elenco di amministratori e lettori. Gli amministratori di un archivio, un'applicazione o un ambito possono leggere e modificare l'archivio criteri a livello delegato. I lettori possono leggere l'archivio criteri a livello delegato, ma non possono modificare l'archivio.

Un utente o un gruppo che è un amministratore o un lettore di un'applicazione deve essere aggiunto anche come utente delegato dell'archivio criteri che contiene tale applicazione. Analogamente, un utente o un gruppo che è un amministratore o un lettore di un ambito deve essere aggiunto come utente delegato dell'applicazione che contiene tale ambito.

Per delegare l'amministrazione di un ambito

  1. Aggiungere l'utente o il gruppo all'elenco di utenti delegati dell'archivio che contiene l'ambito chiamando il metodo AddDelegatedPolicyUser dell'oggetto AzAuthorizationStore che contiene l'ambito.
  2. Aggiungere l'utente o il gruppo all'elenco di utenti delegati dell'applicazione che contiene l'ambito chiamando il metodo AddDelegatedPolicyUser dell'oggetto IAzApplication che contiene l'ambito.
  3. Aggiungere l'utente o il gruppo all'elenco di amministratori dell'ambito chiamando il metodo AddPolicyAdministrator dell'oggetto IAzScope .

Nota

Gli archivi criteri basati su XML non supportano la delega a qualsiasi livello.

 

Se un ambito all'interno di un archivio di autorizzazioni archiviato in Active Directory contiene definizioni di attività che includono regole di autorizzazione o definizioni di ruolo che includono le regole di autorizzazione, l'ambito non può essere delegato.

Nell'esempio seguente viene illustrato come delegare l'amministrazione di un'applicazione. L'esempio presuppone che nel percorso specificato sia presente un archivio criteri di autorizzazione di Active Directory esistente, che l'archivio criteri contenga un'applicazione denominata Expense e che questa applicazione non contenga attività con script di regola business.

'  Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the authorization store.
AzManStore.Initialize 2, _
    "msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"

'  Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")

'  Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")

'  Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")

'  Save changes to the store.
AzManStore.Submit