共用方式為

委派在 C++ 中定義許可權

  • 發行項

儲存在 Active Directory 中的授權原則存放區支援委派管理。 系統管理可以委派給存放區、應用程式或範圍層級的使用者和群組。

在每個層級,都有一份系統管理員和讀者清單。 存放區、應用程式或範圍的系統管理員可以在委派層級讀取和修改原則存放區。 讀取器可以在委派層級讀取原則存放區,但無法修改存放區。

身為應用程式系統管理員或讀取者的使用者或群組,也必須新增為包含該應用程式之原則存放區的委派使用者。 同樣地,必須是系統管理員或範圍讀取者的使用者或群組,必須新增為包含該範圍之應用程式的委派使用者。

例如,若要委派範圍的管理,請先呼叫 IAzAuthorizationStore::AddDelegatedPolicyUser 方法,將使用者或群組新增至包含範圍的存放區委派使用者清單。 然後呼叫 IAzApplication::AddDelegatedPolicyUser 方法,將使用者或群組新增至包含範圍之應用程式的委派使用者清單。 最後,呼叫 IAzScope::AddPolicyAdministrator 方法,將使用者或群組新增至範圍的系統管理員清單。

XML 型原則存放區不支援任何層級的委派。

如果範圍包含包含授權規則的工作定義或包含授權規則的角色定義,則無法委派儲存在 Active Directory 中的授權存放區範圍。

下列範例示範如何委派應用程式的管理。 此範例假設指定的位置有現有的 Active Directory 授權原則存放區、此原則存放區包含名為 Expense 的應用程式,而且此應用程式未包含任何商務規則腳本的工作。

#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif

#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>

void main(void)
{
    IAzAuthorizationStore* pStore = NULL;
    IAzApplication* pApp = NULL;
    HRESULT hr;
    void MyHandleError(char *s);
    BSTR storeName = NULL;
    BSTR appName = NULL;
    BSTR userName = NULL;
    VARIANT myVar;
    
    //  Initialize COM.
    hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize COM.");

    //  Create the AzAuthorizationStore object.
    hr = CoCreateInstance(
   /*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
         __uuidof(AzAuthorizationStore),
         NULL,
         CLSCTX_ALL,
   /*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
         __uuidof(IAzAuthorizationStore),
         (void**)&pStore);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not create AzAuthorizationStore object.");
    
    //  Create null VARIANT for parameters.
    myVar.vt = VT_NULL;

    //  Allocate a string for the distinguished name of the
 //  Active Directory store.
    if(!(storeName = SysAllocString
   (L"msldap://CN=MyAzStore,CN=Program Data,DC=authmanager,DC=com")))
        MyHandleError("Could not allocate string.");
    
    //  Initialize the store.
    hr = pStore->Initialize
   (AZ_AZSTORE_FLAG_MANAGE_STORE_ONLY, storeName, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize store.");

    //  Create an application object.
    if (!(appName = SysAllocString(L"Expense")))
        MyHandleError("Could not allocate application name string.");
    hr = pStore->OpenApplication(appName, myVar, &pApp);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not open application.");

    //  Add a delegated policy user to the store.
    if (!(userName = SysAllocString(L"ExampleDomain\\UserName")))
        MyHandleError("Could not allocate username string.");
    hr = pStore->AddDelegatedPolicyUserName(userName, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError
   ("Could not add user to store as delegated policy user.");

    //  Add the user as an administrator of the application.
    hr = pApp->AddPolicyAdministratorName(userName, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError
   ("Could not add user to application as administrator.");

    

    //  Clean up resources.
    pStore->Release();
    pApp->Release();
    SysFreeString(storeName);
    SysFreeString(appName);
    SysFreeString(userName);
    CoUninitialize();
}

void MyHandleError(char *s)
{
    printf("An error occurred in running the program.\n");
    printf("%s\n",s);
    printf("Error number %x\n.",GetLastError());
    printf("Program terminating.\n");
    exit(1);
}