[an error occurred while processing this directive]

С помощью диспетчера авторизации можно предоставить администраторам службы авторизации, поддерживаемые путем создания приложений диспетчера авторизации, имеющих доступ к хранилищам данных авторизации.

В диспетчере авторизации нет ни хранилища данных авторизации по умолчанию, ни приложения по умолчанию. Чтобы создать хранилище данных авторизации, необходимо переключить диспетчер авторизации в режим разработчика. Дополнительные сведения о работе в режиме разработчика см. в разделе Установка параметров диспетчера авторизации.

Хранилища данных авторизации можно размещать в файлах XML, в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) или в базах данных Microsoft SQL Server.

Сравнение различных типов хранилищ приведено в следующей таблице.

Тип хранилища данных авторизации Поддержка делегирования Как указывается хранилище данных авторизации Требования

AD DS или AD LDS

Поддерживается на уровнях хранилищ данных авторизации, приложений и областей

URL-адрес, начинающийся с префикса протокола MSLDAP:// или составное имя LDAP (например, CN=myStore,CN=Program Data,DN=nwtraders,DN=com)

Домен должен иметь режим работы Windows Server 2003 или выше.

Примечание

Следует отметить, что Active Directory не поддерживает хранилища данных авторизации в Windows 2000.

XML

Не поддерживается

Безопасность XML-файла в целом обеспечивается записями управления доступом (ACE) файловой системы NTFS.

URL-адрес, начинающийся с префикса протокола MSXML://, или путь (например, C:\Temp\MyStore.xml или \\ServerName\ShareName\MyStore.xml)

Любой раздел NTFS

SQL Server

Поддерживается на уровнях хранилищ данных авторизации, приложений и областей

URL-адрес, начинающийся с префикса протокола MSSQL://, после которого следует строка подключения, имя базы данных и имя хранилища политик в следующем формате: MSSQL://<строка подключения>/<имя базы данных>/<имя хранилища политик>

Не ниже Microsoft SQL Server 2000

Приложение относится к конкретному хранилищу данных авторизации и всегда расположено непосредственно под родительским хранилищем данных авторизации в диспетчере авторизации. Дополнительные сведения см. в разделе Создание приложения диспетчера авторизации.

Области, роли, задачи и операции всегда связаны с конкретным приложением. Дополнительные сведения см. в разделе Общее представление об областях диспетчера авторизации и Общее представление об определениях ролей, задач и операций диспетчера авторизации.

Использование групп приложений

Группой приложения называется группа, в которую входят пользователи приложения диспетчера авторизации. Группы приложений можно создавать на любом из трех уровней консоли диспетчера авторизации. Уровни диспетчера авторизации, на которых можно создавать группы приложений, перечислены в следующей таблице.

Уровень Место применения группы приложения

Хранилище данных авторизации

Хранилище данных авторизации, а также относящиеся к нему приложения и области

Применение

Относящееся к нему приложение и области

Область

Область

Дополнительные сведения о группах приложений см. в разделе Общее представление о группах приложения диспетчера авторизации.

Делегирование хранилищ данных авторизации и приложений

Хранилища данных авторизации в AD DS, AD LDS и SQL Server поддерживают делегирование. Это означает, что права на администрирование этих хранилищ данных авторизации или содержащихся в них приложений можно передавать другим пользователям.

Дополнительные сведения о делегировании см. в разделе Разрешение другим пользователям администрировать хранилище данных авторизации.


[an error occurred while processing this directive]