用户和组
在授权管理器中,授权策略的接收者由以下组表示:
Windows 用户和组
这些组包括安全主体的用户、计算机和内置组。
LDAP 查询组
这些组中的成员身份是根据需要从轻型目录访问协议 (LDAP) 查询动态计算的。 LDAP 查询组是一种应用程序组。
基本应用程序组
这些组由 LDAP 查询组、Windows 用户和组以及其他基本应用程序组组成。
Windows 用户和组
这些与整个 Windows 操作系统中使用的用户和组相同。
LDAP 查询组
在授权管理器中,可以使用 LDAP 查询将用户的属性与 Active Directory 中用户对象的属性匹配。
例如,以下查询查找除 Andy 以外的所有人。
(&(objectCategory=person)(objectClass=user)(!cn=andy))
以下查询在 中查找某人别名 www.fabrikam.com的所有成员。
(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)
基本应用程序组
在授权管理器 API 中,应用程序组由 IAzApplicationGroup 对象表示。 基本的应用程序组是一种应用程序组。
若要定义基本应用程序组成员身份,请定义谁是成员,并定义谁不是成员。 这两个步骤都以相同的方式执行。 指定零个或多个 Windows 用户和组、以前定义的基本应用程序组或 LDAP 查询组。 通过从组中删除任何非成员来计算基本应用程序组的成员身份。 授权管理器在运行时自动执行此操作。
基本应用程序组中的非成员身份优先于成员身份。
不允许使用循环成员身份定义;它们会导致以下错误消息:“无法添加 GroupName。 出现以下问题:检测到循环。”
相关主题