ユーザーとグループ
承認マネージャーでは、承認ポリシーの受信者は次のグループによって表されます。
Windows ユーザーとグループ
これらのグループには、ユーザー、コンピューター、セキュリティ プリンシパル用の組み込みグループが含まれます。
LDAP クエリ グループ
これらのグループのメンバーシップは、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリから必要に応じて動的に計算されます。 LDAP クエリ グループは、アプリケーション グループの一種です。
基本的なアプリケーション グループ
これらのグループは、LDAP クエリ グループ、Windows ユーザーとグループ、およびその他の基本的なアプリケーション グループで構成されます。
Windows ユーザーとグループ
これらは、Windows オペレーティング システム全体で使用されるユーザーとグループと同じです。
LDAP クエリ グループ
Authorization Manager では、LDAP クエリを使用して、ユーザーの属性と Active Directory 内のユーザーのオブジェクトの属性を照合できます。
たとえば、次のクエリは Andy 以外のすべてのユーザーを検索します。
(&(objectCategory=person)(objectClass=user)(!cn=andy))
次のクエリでは、www.fabrikam.com
でユーザー エイリアスのすべてのメンバーを検索します。
(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)
基本的なアプリケーション グループ
Authorization Manager API では、アプリケーション グループは IAzApplicationGroup オブジェクトによって表されます。 基本的なアプリケーション グループは、アプリケーション グループの一種です。
基本的なアプリケーション グループ メンバーシップを定義するには、メンバーであるユーザーを定義し、メンバーではないユーザーを定義します。 これらの両方の手順は、同じ方法で行われます。 0 個以上の Windows ユーザーとグループ、以前に定義した基本アプリケーション グループ、または LDAP クエリ グループを指定します。 基本アプリケーション グループのメンバーシップは、グループから非メンバーを削除することによって計算されます。 承認マネージャーは、実行時に自動的にこれを行います。
基本アプリケーション グループのメンバー以外は、メンバーシップよりも優先されます。
循環メンバーシップ定義は許可されません。"GroupName を追加できません。" というエラー メッセージが表示されます。 次の問題が発生しました:ループが検出されました。
関連トピック
-
C++ でユーザーのグループを定義する