Erstellen eines Autorisierungsrichtlinienspeicherobjekts in Skript
Ein Autorisierungsrichtlinienspeicher enthält Informationen zur Sicherheitsrichtlinie einer Anwendung oder Anwendungsgruppe. Die Informationen umfassen die Anwendungen, Vorgänge, Aufgaben, Benutzer und Benutzergruppen, die dem Speicher zugeordnet sind. Wenn eine Anwendung, die den Autorisierungs-Manager verwendet, initialisiert, lädt sie diese Informationen aus dem Speicher. Der Autorisierungsrichtlinienspeicher muss sich auf einem vertrauenswürdigen System befinden, da Administratoren auf diesem System über einen hohen Grad an Zugriff auf den Speicher verfügen.
Der Autorisierungs-Manager unterstützt das Speichern einer Autorisierungsrichtlinie im Active Directory-Verzeichnisdienst oder in einer XML-Datei, wie in den folgenden Beispielen gezeigt. In der Autorisierungs-Manager-API wird ein Autorisierungsrichtlinienspeicher durch ein AzAuthorizationStore-Objekt dargestellt. Die Beispiele zeigen, wie Sie ein AzAuthorizationStore-Objekt für einen Active Directory-Speicher und einen XML-Speicher erstellen.
- Erstellen eines Active Directory-Speichers
- Erstellen eines SQL Server Store
- Erstellen eines XML-Speichers
Erstellen eines Active Directory-Speichers
Um Active Directory zum Speichern der Autorisierungsrichtlinie zu verwenden, muss sich die Domäne in der Windows Server 2003-Domänenfunktionsebene befinden. Der Autorisierungsrichtlinienspeicher kann nicht in einem Nicht-Domänennamenskontext (auch als Anwendungspartition bezeichnet) gefunden werden. Es wird empfohlen, den Speicher im Container Programmdaten unter einer neuen Organisationseinheit zu befinden, die speziell für den Autorisierungsrichtlinienspeicher erstellt wurde. Es wird auch empfohlen, sich im selben lokalen Netzwerk wie Anwendungsserver zu befinden, auf denen Anwendungen ausgeführt werden, die den Speicher verwenden.
Das folgende Beispiel zeigt, wie Sie ein AzAuthorizationStore-Objekt erstellen, das einen Autorisierungsrichtlinienspeicher in Active Directory darstellt. Im Beispiel wird davon ausgegangen, dass eine Active Directory-Organisationseinheit mit dem Namen Programmdaten in einer Domäne mit dem Namen authmanager.com vorhanden ist.
' Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the store object.
authStore.Initialize 1, _
"msldap://CN=MyStore, CN=Program Data,DC=authmanager,DC=com"
' Save the information to the store.
authStore.Submit
Erstellen eines SQL Server Store
Der Autorisierungs-Manager unterstützt das Erstellen eines Microsoft SQL Server-basierten Autorisierungsrichtlinienspeichers. Verwenden Sie zum Erstellen eines SQL Server-basierten Autorisierungsspeichers eine URL, die mit dem Präfix MSSQL:// beginnt. Die URL muss eine gültige SQL-Verbindungszeichenfolge, einen Datenbanknamen und den Namen des Autorisierungsrichtlinienspeichers enthalten: **MSSQL:// ConnectionString/DatabaseName/**PolicyStoreName.
Wenn der instance von SQL Server nicht die angegebene Autorisierungs-Manager-Datenbank enthält, erstellt der Autorisierungs-Manager eine neue Datenbank mit diesem Namen.
Hinweis
Verbindungen mit einem SQL Server Speicher werden nur verschlüsselt, wenn Sie die SQL-Verschlüsselung für die Verbindung explizit eingerichtet oder die Verschlüsselung des Netzwerkdatenverkehrs eingerichtet haben, der IPsec (Internet Protocol Security) verwendet.
Das folgende Beispiel zeigt, wie Sie ein AzAuthorizationStore-Objekt erstellen, das einen Autorisierungsrichtlinienspeicher in einer SQL Server Datenbank darstellt.
' Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the store object.
authStore.Initialize 1, _
"MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore"
' Save information to the store.
authStore.Submit
Erstellen eines XML-Speichers
Der Autorisierungs-Manager unterstützt das Erstellen eines Autorisierungsrichtlinienspeichers im XML-Format. Der XML-Speicher kann sich auf demselben Computer befinden, auf dem die Anwendung ausgeführt wird, oder er kann remote gespeichert werden. Das direkte Bearbeiten der XML-Datei wird nicht unterstützt. Verwenden Sie das MMC-Snap-In Autorisierungs-Manager oder die Autorisierungs-Manager-API, um den Richtlinienspeicher zu bearbeiten.
Der Autorisierungs-Manager unterstützt das Delegieren der Verwaltung eines XML-Richtlinienspeichers nicht. Informationen zur Delegierung finden Sie unter Delegieren der Definition von Berechtigungen in Skript.
Das folgende Beispiel zeigt, wie Sie ein AzAuthorizationStore-Objekt erstellen, das einen Autorisierungsrichtlinienspeicher in einer XML-Datei darstellt.
' Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the store object.
authStore.Initialize 1, "msxml://C:\MyStore.xml"
' Save information to the store.
authStore.Submit
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für