Richtlinienspeicher, Anwendungen und Bereiche

Autorisierungsrichtlinienspeicher, -anwendungen und -bereiche stellen verschiedene Organisationsebenen der Autorisierungs-Manager-Richtlinie dar. Ein Richtlinienspeicher kann eine oder mehrere Anwendungen enthalten, und eine Anwendung kann einen oder mehrere Bereiche enthalten.

Autorisierungsrichtlinienspeicher

In der Autorisierungs-Manager-API wird ein Autorisierungsrichtlinienspeicher durch ein IAzAuthorizationStore-Objekt dargestellt. Der Autorisierungsrichtlinienspeicher enthält Definitionen und Zuweisungen von Anwendungen, Bereichen, Vorgängen, Aufgaben, Rollen und Benutzergruppen.

Ein Autorisierungsrichtlinienspeicher kann entweder als XML-Datei oder in Active Directory gespeichert werden.

Eine Anwendung muss einen Autorisierungsrichtlinienspeicher initialisieren, bevor Informationen im Speicher geändert oder die Speicherrichtlinie verwendet wird, um den Clientzugriff auf Ressourcen zu überprüfen.

Ein Autorisierungsrichtlinienspeicher kann mindestens ein IAzApplication-Objekt enthalten, das jeweils eine Autorisierungsrichtlinie für eine bestimmte Anwendung darstellt.

Anwendungen

In der Autorisierungs-Manager-API wird eine Anwendung durch ein IAzApplication-Objekt dargestellt. Ein Autorisierungsrichtlinienspeicher kann Autorisierungsrichtlinieninformationen für viele Anwendungen enthalten. Mithilfe von IAzApplication-Objekten können Sie verschiedene Autorisierungsrichtlinien für verschiedene Anwendungen in einem einzigen Richtlinienspeicher speichern.

Ein Autorisierungsrichtlinienspeicher muss mindestens eine Anwendung enthalten.

Bereiche

In der Autorisierungs-Manager-API wird ein Bereich durch ein IAzScope-Objekt dargestellt. Bereiche bieten eine zusätzliche, optionale Organisationsebene für eine Autorisierungsrichtlinie. Eine Anwendung kann einen oder mehrere Bereiche enthalten, muss aber keine enthalten (Der Autorisierungs-Manager stellt einen anwendungsweiten Standardbereich bereit).

Ein Bereich ist eine Untereinheit innerhalb einer Anwendung, die Ressourcen von anderen Ressourcen trennt, die von dieser Anwendung verwendet werden. Wenn Sie über Autorisierungs-Manager-Gruppen, Rollenzuweisungen, Rollendefinitionen oder Aufgabendefinitionen verfügen, die Sie nicht auf eine gesamte Anwendung anwenden möchten, können Sie sie auf Bereichsebene erstellen.

Delegierung

Autorisierungsrichtlinienspeicher, die in Active Directory gespeichert sind, unterstützen die Delegierung der Verwaltung. Die Verwaltung kann an Benutzer und Gruppen auf Speicher-, Anwendungs- oder Bereichsebene delegiert werden. Jede Ebene definiert Administratorrollen für die Richtlinie auf dieser Ebene. Um die Steuerung an einen Benutzer oder eine Gruppe zu delegieren, weisen Sie sie der Administratorrolle zu. Damit ein Benutzer oder eine Gruppe die Richtlinie lesen kann, weisen Sie sie der Rolle Leser zu.

Administratoren eines Speichers, einer Anwendung oder eines Bereichs können den Richtlinienspeicher auf delegierter Ebene lesen und ändern. Leser können den Richtlinienspeicher auf delegierter Ebene lesen, aber den Speicher nicht ändern.

Erstellen einer Autorisierungsrichtlinie Store-Objekts in C++

Erstellen eines Anwendungsobjekts in C++

Delegieren der Definition von Berechtigungen in C++