Управление доступом на основе ролей позволяет назначить пользователям роли и контролировать разрешения, предоставленные каждой роли. Кроме того, можно создать детализированную схему контроля с помощью сценариев, которые называются правилами авторизации. Правила авторизации позволяют контролировать взаимосвязь между контролем доступа и структурой организации.
Диспетчер авторизации предоставляет эффективный контроль доступа к ресурсам во многих ситуациях. Обычно две категории ролей часто получают преимущество от администрирования, основанного на ролях: роли авторизации пользователей и роли конфигурации компьютера.
- Роли авторизации пользователей
основаны на выполняемых пользователем функциях. Роли авторизации
можно использовать для разрешения доступа, делегирования
административных прав или управления взаимодействием с ресурсами на
компьютере. Например, можно определить роль «Казначей», которая
включает в себя права для авторизации расходов и аудита транзакций
счета.
- Роли конфигурации компьютера основаны
на функциях компьютера. Эти роли можно использовать для выбора
компонентов, которые требуется установить, включения служб и выбора
параметров. Например, можно определить роли конфигурации компьютера
для веб-серверов, контроллеров домена, файловых серверов, а также
для особых конфигураций серверов, соответствующих потребностям
организации.
Использование режима разработчика и режима администратора в диспетчере авторизации
В диспетчере авторизации можно использовать следующие два режима.
- Режим разработчика. Используется для
создания, разворачивания и поддержки приложений. Доступ к функциям
диспетчера авторизации не ограничен.
- Режим администратора. Этот режим
включен по умолчанию. Используется для разворачивания и поддержки
приложений. Открыт доступ ко всем возможностям диспетчера
авторизации, за исключением создания новых приложений или
определения операций.
Обычно диспетчер авторизации используется специальными приложениями, написанными для определенных целей в конкретной среде. Эти приложения обычно создают, управляют и используют хранилище данных авторизации с помощью интерфейса прикладного программирования (API) диспетчера авторизации. В этом случае нет необходимости в использовании режима разработчика. Дополнительные сведения о программном использовании диспетчера авторизации см. в разделе Ресурсы для диспетчера авторизации.
Режим разработчика рекомендуется использовать только для создания и настройки хранилищ данных авторизации, приложений и других необходимых объектов. После настройки диспетчера авторизации его следует переключить в режим администратора. Дополнительные сведения об использовании режима разработчика или администратора см. в разделе Установка параметров диспетчера авторизации.
Сравнение диспетчера авторизации с другими средствами управления
С помощью диспетчера авторизации можно одновременно изменить несколько параметров конфигурации или разрешений. В этой версии Windows существуют и другие инструменты управления, которые также можно использовать для настройки разрешений доступа способами, в ряде случаев сопоставимыми с использованием диспетчера авторизации. К таким инструментам относятся:
- Списки управления доступом. Списки
управления доступом (ACL) на вкладке Безопасность можно
использовать для управления политикой контроля доступа для
объектов, хранящихся в доменных службах Active Directory
(AD DS), службах Active Directory облегченного доступа к
каталогам (AD LDS) и для объектов Windows. Диспетчер
авторизации отличается от вкладки свойств «Безопасность» тем, что в
основе управления доступом в первом случае лежат роли (обычно
основанные на конкретных задачах), а не только членство в группах,
а также тем, что диспетчер авторизации отслеживает выданные
разрешения.
- Мастер делегирования управления.
Мастер делегирования управления также автоматически настраивает
несколько разрешений, но, в отличие от диспетчера авторизации, не
предоставляет способа отслеживания и удаления выданных
разрешений.
Дополнительные ссылки