次の方法で共有


ユーザーとグループ

承認マネージャーでは、承認ポリシーの受信者は次のグループによって表されます。

  • Windows ユーザーとグループ

    これらのグループには、ユーザー、コンピューター、セキュリティ プリンシパル用の組み込みグループが含まれます。

  • LDAP クエリ グループ

    これらのグループのメンバーシップは、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリから必要に応じて動的に計算されます。 LDAP クエリ グループは、アプリケーション グループの一種です。

  • 基本的なアプリケーション グループ

    これらのグループは、LDAP クエリ グループ、Windows ユーザーとグループ、およびその他の基本的なアプリケーション グループで構成されます。

Windows ユーザーとグループ

これらは、Windows オペレーティング システム全体で使用されるユーザーとグループと同じです。

LDAP クエリ グループ

Authorization Manager では、LDAP クエリを使用して、ユーザーの属性と Active Directory 内のユーザーのオブジェクトの属性を照合できます。

たとえば、次のクエリは Andy 以外のすべてのユーザーを検索します。

(&(objectCategory=person)(objectClass=user)(!cn=andy))

次のクエリでは、www.fabrikam.comでユーザー エイリアスのすべてのメンバーを検索します。

(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)

基本的なアプリケーション グループ

Authorization Manager API では、アプリケーション グループは IAzApplicationGroup オブジェクトによって表されます。 基本的なアプリケーション グループは、アプリケーション グループの一種です。

基本的なアプリケーション グループ メンバーシップを定義するには、メンバーであるユーザーを定義し、メンバーではないユーザーを定義します。 これらの両方の手順は、同じ方法で行われます。 0 個以上の Windows ユーザーとグループ、以前に定義した基本アプリケーション グループ、または LDAP クエリ グループを指定します。 基本アプリケーション グループのメンバーシップは、グループから非メンバーを削除することによって計算されます。 承認マネージャーは、実行時に自動的にこれを行います。

基本アプリケーション グループのメンバー以外は、メンバーシップよりも優先されます。

循環メンバーシップ定義は許可されません。"GroupName を追加できません。" というエラー メッセージが表示されます。 次の問題が発生しました:ループが検出されました。

C++ でユーザーのグループを定義する