Delegieren der Definition von Berechtigungen im Skript

Sie können die Verwaltung von Autorisierungsrichtlinienspeichern delegieren, die in Active Directory gespeichert sind. Die Verwaltung kann an Benutzer und Gruppen auf Speicher-, Anwendungs- oder Bereichsebene delegiert werden.

Auf jeder Ebene gibt es eine Liste von Administratoren und Lesern. Administratoren eines Speichers, einer Anwendung oder eines Bereichs können den Richtlinienspeicher auf delegierter Ebene lesen und ändern. Leser können den Richtlinienspeicher auf delegierter Ebene lesen, aber den Speicher nicht ändern.

Ein Benutzer oder eine Gruppe, der bzw. die ein Administrator oder Leser einer Anwendung ist, muss auch als delegierter Benutzer des Richtlinienspeichers hinzugefügt werden, der diese Anwendung enthält. Ebenso muss ein Benutzer oder eine Gruppe, der Administrator oder Leser eines Bereichs ist, als delegierter Benutzer der Anwendung hinzugefügt werden, die diesen Bereich enthält.

So delegieren Sie die Verwaltung eines Bereichs

  1. Fügen Sie den Benutzer oder die Gruppe der Liste der delegierten Benutzer des Speichers hinzu, der den Bereich enthält, indem Sie die AddDelegatedPolicyUser-Methode des AzAuthorizationStore-Objekts aufrufen, das den Bereich enthält.
  2. Fügen Sie den Benutzer oder die Gruppe der Liste der delegierten Benutzer der Anwendung hinzu, die den Bereich enthält, indem Sie die AddDelegatedPolicyUser-Methode des IAzApplication-Objekts aufrufen, das den Bereich enthält.
  3. Fügen Sie den Benutzer oder die Gruppe der Liste der Administratoren des Bereichs hinzu, indem Sie die AddPolicyAdministrator-Methode des IAzScope-Objekts aufrufen.

Hinweis

XML-basierte Richtlinienspeicher unterstützen delegierungen auf keiner Ebene.

Wenn ein Bereich in einem Autorisierungsspeicher, der in Active Directory gespeichert ist, Aufgabendefinitionen enthält, die Autorisierungsregeln oder Rollendefinitionen enthalten, die Autorisierungsregeln enthalten, kann der Bereich nicht delegiert werden.

Das folgende Beispiel zeigt, wie die Verwaltung einer Anwendung delegiert wird. Im Beispiel wird davon ausgegangen, dass ein vorhandener Active Directory-Autorisierungsrichtlinienspeicher am angegebenen Speicherort vorhanden ist, dass dieser Richtlinienspeicher eine Anwendung namens Expense enthält und dass diese Anwendung keine Aufgaben mit Geschäftsregelskripts enthält.

'  Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the authorization store.
AzManStore.Initialize 2, _
    "msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"

'  Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")

'  Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")

'  Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")

'  Save changes to the store.
AzManStore.Submit