使用者和群組
在授權管理員中,授權原則的收件者會以下列群組表示:
Windows 使用者和群組
這些群組包括安全性主體的使用者、電腦和內建群組。
LDAP 查詢群組
這些群組的成員資格會視需要從輕量型目錄存取通訊協定 (LDAP) 查詢進行動態計算。 LDAP 查詢群組是一種應用程式群組。
基本應用程式群組
這些群組包含 LDAP 查詢群組、Windows 使用者和群組,以及其他基本應用程式群組。
Windows 使用者和群組
這些與在整個 Windows 作業系統中使用的使用者和群組相同。
LDAP 查詢群組
在授權管理員中,您可以使用 LDAP 查詢來比對使用者的屬性與 Active Directory 中使用者物件的屬性。
例如,下列查詢會尋找 Andy 以外的所有人。
(&(objectCategory=person)(objectClass=user)(!cn=andy))
下列查詢會在 找到某人別名 www.fabrikam.com 的所有成員。
(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)
基本應用程式群組
在 Authorization Manager API 中,應用程式群組是由 IAzApplicationGroup 物件表示。 基本應用程式群組是一種應用程式群組。
若要定義基本應用程式群組成員資格,請定義誰是成員,並定義誰不是成員。 這兩個步驟都是以相同的方式執行。 指定零或多個 Windows 使用者和群組、先前定義的基本應用程式群組或 LDAP 查詢群組。 從群組中移除任何非成員資格,可計算基本應用程式群組的成員資格。 授權管理員會在執行時間自動執行這項作業。
基本應用程式群組中的非成員資格優先于成員資格。
不允許迴圈成員資格定義;它們會產生下列錯誤訊息:「無法新增 GroupName。 發生下列問題:偵測到迴圈。」
相關主題