用户和组

在授权管理器中,授权策略的收件人由以下组表示:

  • Windows 用户和组

    这些组包括安全主体的用户、计算机和内置组。

  • LDAP 查询组

    这些组中的成员身份根据轻型目录访问协议 (LDAP) 查询进行动态计算。 LDAP 查询组是一种应用程序组。

  • 基本应用程序组

    这些组由 LDAP 查询组、Windows 用户和组以及其他基本应用程序组组成。

Windows 用户和组

它们与在整个 Windows作系统中使用的用户和组相同。

LDAP 查询组

在授权管理器中,可以使用 LDAP 查询将用户的属性与 Active Directory 中用户对象的属性匹配。

例如,以下查询查找除 Andy 以外的所有人。

(&(objectCategory=person)(objectClass=user)(!cn=andy))

以下查询在 www.fabrikam.com查找某人别名的所有成员。

(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)

基本应用程序组

在授权管理器 API 中,应用程序组由 IAzApplicationGroup 对象表示。 基本应用程序组是一种应用程序组。

若要定义基本应用程序组成员身份,请定义谁是成员,并定义谁不是成员。 这两个步骤都是以相同的方式执行的。 指定零个或多个 Windows 用户和组、以前定义的基本应用程序组或 LDAP 查询组。 通过从组中删除任何非成员来计算基本应用程序组的成员身份。 授权管理器在运行时自动执行此作。

基本应用程序组中的非成员身份优先于成员身份。

不允许循环成员身份定义;它们导致以下错误消息:“无法添加 GroupName。 发生以下问题:检测到循环。

定义C++ 中的用户组