[an error occurred while processing this directive] Партнер по учетным записям - Учетные записи ресурсов

[an error occurred while processing this directive]

В службах федерации Active Directory учетная запись ресурса - это учетная запись пользователя, хранящаяся в одном лесу (лесу партнера по ресурсам) Active Directory с единственной целью имитации пользовательской учетной записи, которая активно используется (например, сотрудниками организации) и хранится в другом лесу (лесу партнера по учетным записям) Active Directory.

Учетные записи ресурсов должны создаваться в лесу партнера по ресурсам, чтобы сотрудник, чья учетная запись находится в лесу партнера по учетным записям, мог получить доступ через службы федерации Active Directory к веб-приложениям и приложениям, использующим токены Windows NT. Учетные записи ресурсов и группы ресурсов также необходимы для приложений, поддерживающих утверждения.

Веб-ресурс на стороне ресурсов защищается с помощью списков управления доступом, относящихся к учетным записям или группам пользователей в лесу партнера по ресурсам. Администратор должен создать учетные записи ресурсов и добавить в ресурс списки управления доступом для всех учетных записей ресурсов.

Чтобы уменьшить расходы на управление, администратор на стороне ресурсов может настроить одну или несколько групп безопасности, создаваемых в доменных службах Active Directory, которые будут использоваться для сопоставления с входящими утверждениями о группах, поступающими от партнеров по учетным записям. Группа безопасности, сопоставляемая с входящим утверждением о группе, которое используется службами федерации Active Directory, называется группой ресурсов.

Группы ресурсов могут настраиваться с помощью описываемой ниже процедуры.

Настройка группы ресурсов
  1. В оснастке «Active Directory - пользователи и компьютеры» на контроллере домена в лесу партнера по ресурсам создайте новую группу безопасности.

  2. Назначьте соответствующий доступ к этой группе безопасности из веб-ресурса, который защищен службами федерации Active Directory.

  3. В оснастке «Службы федерации Active Directory» создайте новое утверждение о группе и на странице свойств вновь созданного утверждения откройте вкладку Группа ресурсов. Нажмите кнопку , чтобы сопоставить новую группу безопасности в доменных службах Active Directory с новым утверждением о группе. На этом этапе новая группа безопасности упоминается как «группа ресурсов».

  4. В папке Служба федерации\Политика доверия\Партнерские организации\Партнеры по учетным записям\<имя партнера>\ создайте сопоставление нового входящего утверждения о группе для сопоставления нового утверждения о группе и связанной с ним группы ресурсов со всеми входящими утверждениями о группах, поступающими из леса партнера по учетным записям.

При сопоставлении входящего утверждения о группе с группой ресурсов для администратора в лесу партнера по ресурсам больше не требуется создавать учетные записи ресурсов для каждого пользователя в лесу партнера по учетным записям, которому необходим доступ к защищенному службами федерации Active Directory приложению, использующему токены Windows NT.

По умолчанию службы федерации Active Directory настраивают свойства партнера по учетным записям так, чтобы администратор партнера по ресурсам мог сопоставить входящие утверждения о группах с одной или несколькими группами ресурсов. Однако это стандартное поведение системы можно изменить, выбрав один из указанных ниже параметров учетных записей ресурса.


[an error occurred while processing this directive]