Область - это виртуальный компонент приложения, отделяющий некоторые из ресурсов от других ресурсов, используемых приложением. Области используются для защиты от случайного общего доступа к ресурсу и для поддержки аудита и делегирования. Использовать области необязательно.
Областью может быть папка, контейнер в доменных службах Active Directory (AD DS) или службах Active Directory облегченного доступа к каталогам (AD LDS), совокупность файлов, определяемых маской (например, *.doc), URL-адрес или любой другой элемент, к которому имеет доступ приложение и его хранилище данных авторизации. Между тем, область - это абстракция; это определение, созданное в диспетчере авторизации, но не физическая папка файловой системы или, например, фактический контейнер AD DS.
Если в диспетчере авторизации имеются группы, назначения ролей, определения ролей или определения задач, которые нежелательно располагать непосредственно в приложении, их можно разместить на уровне области. Необходимо, чтобы имя области распознавалось содержащим ее приложением. Например, имена областей приложения на основе файлов должны содержать имена файлов или пути. Имя области в приложении на базе WEB должно содержать URL-адрес. В приложениях реестра имена областей содержат имена кустов реестра, а имена областей в Active Directory - имена подразделений. На уровне областей нельзя создавать определения операций.
Аудит областей
Контроль аудита времени выполнения на уровне областей в диспетчере авторизации отсутствует. Можно контролировать аудит изменения хранилища данных авторизации для областей, содержащихся в хранилище данных авторизации, расположенном в доменных службах Active Directory (AD DS). Дополнительные сведения см. в разделе Общее представление об аудите диспетчера авторизации.
Делегирование областей
Администрирование областей можно делегировать другим пользователям, если соблюдены оба следующих условия:
- Хранилище данных авторизации должно
размещаться в AD DS, AD LDS или Microsoft SQL Server.
- Правила авторизации не используются в
каких-либо определениях задач или ролей в пределах области,
предназначенной для делегирования.