Секции и Active Directory
Помимо секций, содержащих одно или несколько приложений, COM+ также включает наборы секций, которые содержат одну или несколько секций. Созданные в Active Directory наборы секций позволяют пользователям в домене получать доступ к приложениям COM+ по всему домену. Во время создания каждый конкретный пользователь или подразделение (OU) назначается или сопоставляется с набором секций.
Один пользователь или подразделение могут получить доступ к нескольким секциям и приложениям, так как существует корреляция между удостоверением пользователя или подразделением и набором секций. Без набора секций пользователю или подразделению потребуется несколько удостоверений пользователей для доступа к приложениям в разных секциях.
Чтобы сделать приложения COM+ доступными для пользователей домена, администратор должен выполнять задачи как на контроллере домена, где находится Active Directory, так и на сервере, на котором установлено приложение COM+.
На контроллере домена
Администратор сначала создает секцию в Active Directory. Создание секции COM+ выполняется с помощью средства администрирования Пользователи и компьютеры Active Directory или программно с помощью интерфейса служб Active Directory (ADSI).
После создания раздела в Active Directory администратор создает набор секций. При создании набора секций администратор определяет разделы, включенные в этот набор. Создание набора секций COM+ выполняется с помощью средства администрирования Пользователи и компьютеры Active Directory или программно с помощью интерфейса служб Active Directory (ADSI).
Наконец, администратор сопоставляет пользователей домена или подразделения (OUS) с созданным набором секций. Это делается путем отображения страницы свойств пользователя, доступа к вкладке наборов секций COM+ и выбора набора секций из списка.
На сервере приложений COM+
Администратор создает новую секцию, указывая то же имя секции и идентификатор раздела (GUID), что и для секции, созданной в Active Directory на контроллере домена. Это делается с помощью папки COM+ Partitions в средстве администрирования служб компонентов. Чтобы упростить эту задачу, средство служб компонентов позволяет администратору просматривать Active Directory, чтобы выбрать нужную секцию и его GUID.
При создании секции домена на сервере приложений секция по умолчанию становится секцией по умолчанию набора секций в Active Directory. Наконец, администратор может установить приложение COM+ в только что созданную секцию на сервере приложений.
Дополнительные сведения об администрировании секций для доступа пользователей домена см. в справке, связанной с средством администрирования Пользователи и компьютеры Active Directory.
Сопоставление удостоверений пользователей и подразделений с наборами секционирования
Пользователи и подразделения можно сопоставить с наборами секций. Сопоставляя подразделения с наборами секционирования, администратор может связать нескольких пользователей с набором секций одновременно, а не сопоставлять несколько удостоверений пользователей. Одно удостоверение пользователя или подразделение можно сопоставить только с одним набором секций. Как правило, сопоставление удостоверений пользователей или подразделений с наборами разделов выполняет следующие действия.
- Гарантирует, что приложения доступны соответствующим пользователям в домене
- Помогает COM+ определить секцию, в которой находится приложение.
- Устанавливает право пользователя на доступ к конкретному приложению
Чтобы связать секции с наборами секций в Active Directory и сопоставить пользователей и подразделения с этими наборами секций, администраторы используют средства администрирования служб Пользователи и компьютеры Active Directory и компонентов. При создании секции в Active Directory администратору необходимо локально настроить этот раздел на компьютере, где необходимо установить соответствующее приложение COM+. Эта локальная конфигурация секций, созданных в Active Directory, выполняется с помощью средства администрирования служб компонентов.
Если удостоверение пользователя домена не сопоставлено с набором секций, пользователь получает доступ к подразделению пользователя, который сопоставляется с секцией. Если подразделение пользователя не сопоставлено с набором секций, но следующий самый высокий подразделение в иерархии сопоставляется с этим набором секций, пользователь может получить доступ к секции.
См. также