在腳本中委派定義許可權
您可以委派儲存在 Active Directory 中的授權原則存放區管理。 系統管理可以委派給存放區、應用程式或範圍層級的使用者和群組。
在每個層級,都有一份系統管理員和讀者清單。 存放區、應用程式或範圍的系統管理員可以在委派層級讀取和修改原則存放區。 讀取器可以在委派層級讀取原則存放區,但無法修改存放區。
身為應用程式系統管理員或讀取者的使用者或群組,也必須新增為包含該應用程式之原則存放區的委派使用者。 同樣地,身為範圍的系統管理員或讀者的使用者或群組,必須新增為包含該範圍之應用程式的委派使用者。
委派範圍管理
- 藉由呼叫AzAuthorizationStore 物件之 AzAuthorizationStore物件的AddDelegatedPolicyUser方法,將使用者或群組新增至包含範圍之市集的委派使用者清單。
- 呼叫包含範圍之IAzApplication物件的AddDelegatedPolicyUser方法,將使用者或群組新增至包含範圍之應用程式的委派使用者清單。
- 藉由呼叫IAzScope物件的AddPolicyAdministrator方法,將使用者或群組新增至範圍的系統管理員清單。
注意
XML 型原則存放區不支援任何層級的委派。
如果儲存在 Active Directory 的授權存放區內的範圍包含包含授權規則的工作定義或包含授權規則的角色定義,則無法委派範圍。
下列範例示範如何委派應用程式的管理。 此範例假設指定的位置有現有的 Active Directory 授權原則存放區、此原則存放區包含名為 Expense 的應用程式,而且此應用程式不包含任何具有商務規則腳本的工作。
' Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the authorization store.
AzManStore.Initialize 2, _
"msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"
' Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")
' Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")
' Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")
' Save changes to the store.
AzManStore.Submit