[an error occurred while processing this directive] Общее представление об областях диспетчера авторизации

[an error occurred while processing this directive]

Область - это виртуальный компонент приложения, отделяющий некоторые из ресурсов от других ресурсов, используемых приложением. Области используются для защиты от случайного общего доступа к ресурсу и для поддержки аудита и делегирования. Использовать области необязательно.

Областью может быть папка, контейнер в доменных службах Active Directory (AD DS) или службах Active Directory облегченного доступа к каталогам (AD LDS), совокупность файлов, определяемых маской (например, *.doc), URL-адрес или любой другой элемент, к которому имеет доступ приложение и его хранилище данных авторизации. Между тем, область - это абстракция; это определение, созданное в диспетчере авторизации, но не физическая папка файловой системы или, например, фактический контейнер AD DS.

Если в диспетчере авторизации имеются группы, назначения ролей, определения ролей или определения задач, которые нежелательно располагать непосредственно в приложении, их можно разместить на уровне области. Необходимо, чтобы имя области распознавалось содержащим ее приложением. Например, имена областей приложения на основе файлов должны содержать имена файлов или пути. Имя области в приложении на базе WEB должно содержать URL-адрес. В приложениях реестра имена областей содержат имена кустов реестра, а имена областей в Active Directory - имена подразделений. На уровне областей нельзя создавать определения операций.

Аудит областей

Контроль аудита времени выполнения на уровне областей в диспетчере авторизации отсутствует. Можно контролировать аудит изменения хранилища данных авторизации для областей, содержащихся в хранилище данных авторизации, расположенном в доменных службах Active Directory (AD DS). Дополнительные сведения см. в разделе Общее представление об аудите диспетчера авторизации.

Делегирование областей

Администрирование областей можно делегировать другим пользователям, если соблюдены оба следующих условия:

  • Хранилище данных авторизации должно размещаться в AD DS, AD LDS или Microsoft SQL Server.

  • Правила авторизации не используются в каких-либо определениях задач или ролей в пределах области, предназначенной для делегирования.


[an error occurred while processing this directive]