[an error occurred while processing this directive]

Управление доступом на основе ролей позволяет назначить пользователям роли и контролировать разрешения, предоставленные каждой роли. Кроме того, можно создать детализированную схему контроля с помощью сценариев, которые называются правилами авторизации. Правила авторизации позволяют контролировать взаимосвязь между контролем доступа и структурой организации.

Диспетчер авторизации предоставляет эффективный контроль доступа к ресурсам во многих ситуациях. Обычно две категории ролей часто получают преимущество от администрирования, основанного на ролях: роли авторизации пользователей и роли конфигурации компьютера.

Использование режима разработчика и режима администратора в диспетчере авторизации

В диспетчере авторизации можно использовать следующие два режима.

  • Режим разработчика. Используется для создания, разворачивания и поддержки приложений. Доступ к функциям диспетчера авторизации не ограничен.

  • Режим администратора. Этот режим включен по умолчанию. Используется для разворачивания и поддержки приложений. Открыт доступ ко всем возможностям диспетчера авторизации, за исключением создания новых приложений или определения операций.

Обычно диспетчер авторизации используется специальными приложениями, написанными для определенных целей в конкретной среде. Эти приложения обычно создают, управляют и используют хранилище данных авторизации с помощью интерфейса прикладного программирования (API) диспетчера авторизации. В этом случае нет необходимости в использовании режима разработчика. Дополнительные сведения о программном использовании диспетчера авторизации см. в разделе Ресурсы для диспетчера авторизации.

Режим разработчика рекомендуется использовать только для создания и настройки хранилищ данных авторизации, приложений и других необходимых объектов. После настройки диспетчера авторизации его следует переключить в режим администратора. Дополнительные сведения об использовании режима разработчика или администратора см. в разделе Установка параметров диспетчера авторизации.

Сравнение диспетчера авторизации с другими средствами управления

С помощью диспетчера авторизации можно одновременно изменить несколько параметров конфигурации или разрешений. В этой версии Windows существуют и другие инструменты управления, которые также можно использовать для настройки разрешений доступа способами, в ряде случаев сопоставимыми с использованием диспетчера авторизации. К таким инструментам относятся:

  • Списки управления доступом. Списки управления доступом (ACL) на вкладке Безопасность можно использовать для управления политикой контроля доступа для объектов, хранящихся в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) и для объектов Windows. Диспетчер авторизации отличается от вкладки свойств «Безопасность» тем, что в основе управления доступом в первом случае лежат роли (обычно основанные на конкретных задачах), а не только членство в группах, а также тем, что диспетчер авторизации отслеживает выданные разрешения.

  • Мастер делегирования управления. Мастер делегирования управления также автоматически настраивает несколько разрешений, но, в отличие от диспетчера авторизации, не предоставляет способа отслеживания и удаления выданных разрешений.

Дополнительные ссылки


[an error occurred while processing this directive]