使用者和群組

在 Authorization Manager 中，授權原則的收件者會以下列群組表示：

• Windows 使用者和群組

  這些群組包括安全性主體的用戶、計算機和內建群組。

• LDAP 查詢群組

  這些群組中的成員資格會視需要從羽量型目錄存取通訊協定 （LDAP） 查詢動態計算。 LDAP 查詢群組是應用程式群組的類型。

• 基本應用程式群組

  這些群組包含LDAP查詢群組、Windows 使用者和群組，以及其他基本應用程式群組。

Windows 使用者和群組

這些與整個 Windows作系統中使用的使用者和群組相同。

LDAP 查詢群組

在 Authorization Manager 中，您可以使用 LDAP 查詢來比對使用者的屬性與 Active Directory 中使用者物件的屬性。

例如，下列查詢會尋找 Andy 以外的所有人。

(&(objectCategory=person)(objectClass=user)(!cn=andy))

下列查詢會在 www.fabrikam.com尋找某人別名的所有成員。

(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)

基本應用程式群組

在 Authorization Manager API 中，應用程式群組是由 IAzApplicationGroup 物件表示。 基本應用程式群組是應用程式群組的類型。

若要定義基本應用程式群組成員資格，請定義誰是成員，並定義不是成員的成員。 這兩個步驟都是以相同的方式執行。 指定零或多個 Windows 使用者和群組、先前定義的基本應用程式群組或 LDAP 查詢群組。 從群組中移除任何非成員，以計算基本應用程式群組的成員資格。 授權管理員會在運行時間自動執行這項作業。

基本應用程式群組中的非成員資格優先於成員資格。

不允許循環成員資格定義;它們會產生下列錯誤訊息：「無法新增 GroupName。 發生下列問題：偵測到迴圈。」

相關主題

在 C++ 中定義使用者群組