В диспетчере авторизации для поиска объектов в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) и других совместимых с LDAP каталогах можно использовать запросы LDAP.

Группу запросов LDAP можно указать путем введения желаемого запроса LDAP на вкладке Запрос диалогового окна Свойства группы приложения.

Диспетчер авторизации поддерживает два типа LDAP-запросов, которые можно использовать для определения группы запросов LDAP: запросы диспетчера авторизации версии 1 и URL-запросы LDAP.

• LDAP-запросы диспетчера авторизации версии 1
  
  LDAP-запросы версии 1 обеспечивают ограниченную поддержку синтаксиса URL-запросов LDAP, описанного в стандарте RFC 2255. Их возможности ограничены запросами к списку атрибутов объекта пользователя, указанного в текущем клиентском контексте.
  
  Например, следующий запрос производит поиск всех имен, за исключением Andy.
  
  (&(objectCategory=person)(objectClass=user)(!cn=andy)).
  
  Этот запрос позволяет узнать, является ли клиент членом псевдонима StatusReports в домене northwindtraders.com:
  
  (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
  
  Диспетчер авторизации поддерживает запросы версии 1 для упрощения обновления решений, разработанных с помощью более ранних версий диспетчера авторизации.
  
  
• LDAP URL-запросы
  
  Для снятия ограничений на поиск объектов и атрибутов диспетчер авторизации поддерживает синтаксис LDAP URL-запросов, основанный на стандарте RFC 2255. Это позволяет создавать группы запросов LDAP, использующие объекты каталогов, отличных от текущего объекта пользователя, в качестве корня поиска.
  
  URL формата LDAP начинается с приставки протокола «ldap» и составляется по следующему формату:
  
  

	Примечание
	Для различающихся имен также используется сокращение DN.

ldap://<сервер:порт>/<DNбазовогоОбъекта>?<атрибуты>?<областьЗапроса>?<фильтр>

Поддерживается следующий синтаксис:

	 ldapurl	= scheme "://" [hostport] ["/"

					[dn ["?" [attributes] ["?" [scope]

					["?" [filter]]]]]]

	 scheme	 = "ldap"

	 attributes = attrdesc *("," attrdesc)

	 scope	= "base" / "one" / "sub"

	 dn		 = distinguishedName 

	 hostport   = hostport 

	 attrdesc   = AttributeDescription 

	 filter	 = filter 

Например, следующий запрос возвращает список пользователей, у которых атрибут компании имеет значение «FabCo», с LDAP-сервера, работающего на узле «fabserver» (порт 389).

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

При создании URL-запроса LDAP можно использовать специальный заполнитель - %AZ_CLIENT_DN%. Значение заполнителя заменяется различающимся именем (DN) клиента, выполняющего проверку доступа. Это позволяет создавать запросы, которые возвращают объекты из каталога, исходя из их отношения к различающемуся имени клиента, выполняющего запрос.

В этом примере LDAP-запрос проверяет, является ли пользователь членом подразделения «Клиенты»:

ldap://сервер:<порт>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

В этом примере LDAP-запрос проверяет, является ли пользователь прямым подчиненным руководителя «SomeManager», а также равно ли значение атрибута «searchattribute» этого руководителя некоторому значению «searchvalue»:

ldap://сервер:порт/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Дополнительные сведения о синтаксисе URL-запросов LDAP см. в документе RFC 2255 (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=65973).

	Важно!
	Если LDAP-запрос начинается с «ldap», то он обрабатывается как URL-запрос LDAP. Если запрос начинается с других символов, то он обрабатывается как запрос версии 1.

Основные группы приложений существуют только в диспетчере авторизации.

Чтобы определить принадлежность к основной группе приложения, необходимо выполнить следующие действия.

1. Определить, кто является членом.
   
   
2. Определить, кто не является членом.
   
   

Оба вышеуказанных действия производятся одинаково:

• Сперва укажите ноль или более пользователей и групп Windows, предварительно заданных групп основных приложений или групп запросов LDAP.
  
  
• Затем определяется принадлежность к основной группе приложения путем удаления из группы всех, кто не является ее членом. Диспетчер авторизации делает это автоматически во время выполнения.
  
  

	Важно!
	Отсутствие членства в основной группе приложения имеет приоритет над наличием такого членства.

Группы приложения бизнес-правил существуют только в диспетчере авторизации.

Для задания членства группы приложения бизнес-правил необходимо создать сценарий на языке VBScript или Jscript. Исходный текст сценария загружается из текстового файла на странице Свойства группы приложения бизнес-правил.