Mit dem Autorisierungs-Manager können Sie Autorisierungsdienste für Administratoren bereitstellen, die Sie durch Erstellen von Autorisierungs-Manager-Anwendungen unterstützen, die wiederum auf Autorisierungsspeicher zugreifen.
Im Autorisierungs-Manager steht weder ein Standardautorisierungsspeicher noch eine Standardanwendung zur Verfügung. Zum Erstellen eines Autorisierungsspeichers müssen Sie den Autorisierungs-Manager-Entwicklermodus verwenden. Weitere Informationen zur Arbeit im Entwicklermodus finden Sie unter Festlegen von Autorisierungs-Manager-Optionen.
Sie können Autorisierungsspeicher als XML-Dateien, in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), den Active Directory Lightweight Directory Services (AD LDS) oder in Microsoft SQL Server-Datenbanken speichern.
In der folgenden Tabelle werden die verschiedenen Typen von Autorisierungsspeichern miteinander verglichen:
Autorisierungsspeichertyp | Delegierungsunterstützung | Angabe des Autorisierungsspeichers | Anforderungen | ||||
---|---|---|---|---|---|---|---|
AD DS oder AD LDS |
Unterstützung auf den Autorisierungsspeicher-, Anwendungs- und Bereichsebenen |
Ein URL (beginnend mit dem Protokollpräfix MSLDAP://) oder ein definierter LDAP-Name (z.B. CN=EigenerSpeicher,CN=Programmdaten,DN=Nordwest-Händler,DN=com) |
Die Gesamtstrukturfunktionsebene muss Windows Server 2003 oder höher sein.
| ||||
XML |
Nicht unterstützt Die XML-Datei wird als Ganzes durch die zugehörigen NTFS-Dateisystem-Zugriffssteuerungseinträge (Access Control Entries, ACEs) gesichert. |
Eine URL, die mit dem Protokollpräfix MSXML:// oder einem Pfad (z. B. C:\Temp\MeinSpeicher.xml oder \\Servername\Freigabename\MeinSpeicher.xml) beginnt |
Jede NTFS-Partition | ||||
SQL Server |
Unterstützt auf Autorisierungsspeicher-, Anwendungs- und Bereichsebenen |
Eine URL im folgenden Format, die mit dem Protokollpräfix MSSQL:// beginnt, auf das eine Verbindungszeichenfolge, ein Datenbankname und ein Richtlinienspeichername folgen: MSSQL://<Verbindungszeichenfolge</>Datenbankname</>Richtlinienspeichername> |
Mindestens Microsoft SQL Server 2000 |
Eine Anwendung gehört zu einem bestimmten Autorisierungsspeicher, der sich im Autorisierungs-Manager grundsätzlich unterhalb des übergeordneten Autorisierungsspeichers befindet. Weitere Informationen finden Sie unter Erstellen einer Autorisierungs-Manager-Anwendung.
Bereiche, Rollen (oder Funktionen), Aufgaben und Vorgänge sind anwendungsspezifisch. Weitere Informationen finden Sie unter Grundlegendes zu Autorisierungs-Manager-Bereichen und Grundlegendes zu Definitionen von Autorisierungs-Manager-Rollen, -Aufgaben und -Vorgängen.
Verwenden von Anwendungsgruppen
Bei einer Anwendungsgruppe handelt es sich um eine Gruppe von Benutzern einer Autorisierungs-Manager-Anwendung. Sie können auf jeder der drei Ebenen in der Autorisierungs-Manager-Konsole Anwendungsgruppen erstellen. In der folgenden Tabelle werden die unterschiedlichen Autorisierungs-Manager-Ebenen aufgelistet, auf denen Sie Anwendungsgruppen erstellen können.
Ebene | Verwendungsort der Anwendungsgruppe |
---|---|
Autorisierungsspeicher |
Der Autorisierungsspeicher sowie Anwendungen und Bereiche innerhalb des Speichers |
Anwendung |
Die Anwendung und Bereiche innerhalb der Anwendung |
Bereich |
Der Bereich |
Weitere Informationen zu Anwendungsgruppen finden Sie unter Grundlegendes zu Autorisierungs-Manager-Anwendungsgruppen.
Delegieren von Autorisierungsspeichern und Anwendungen
Autorisierungsspeicher, die in der AD DS-, AD LDS- oder Microsoft SQL Server-Unterstützungsdelegation gespeichert sind. Das bedeutet, dass Sie andere Personen autorisieren können, die in diesen Autorisierungsspeichern enthaltenen Autorisierungsspeicher oder Anwendungen zu verwalten.
Weitere Informationen über die Delegierung finden Sie unter Zulassen der Verwaltung von Autorisierungsspeichern durch andere Benutzer.