Роли
Роли в диспетчере авторизации выполняют две разные задачи. Роль — это набор задач или операций, доступ к которым требуется определенной категории пользователей, а также набор пользователей и групп, которые вписываются в эту категорию.
Политика авторизации назначает объекты IAzTask объекту IAzRole для создания наборов задач. Все пользователи и группы, назначенные данному объекту IAzRole , получают разрешение на доступ ко всем операциям, содержащимся в этих объектах IAzTask .
Так как объект IAzRole представляет как набор задач, так и набор пользователей и групп, имеющих доступ к этим задачам, диспетчер авторизации предоставляет способ создания определений ролей, которые могут быть назначены нескольким объектам IAzRole . Объект IAzTask может содержать другие объекты IAzTask . Затем этот объект IAzTask можно использовать в качестве определения роли, назначив его одному или нескольким объектам IAzRole . Присвойте свойству IsRoleDefinition объекта IAzTaskзначение TRUE , чтобы в пользовательском интерфейсе оснастки MMC диспетчера авторизации отображал объект IAzTask в качестве роли.
Назначьте пользователей и группы объекту IAzRole , чтобы предоставить этим пользователям и группам доступ к задачам, назначенным этому объекту IAzRole , путем вызова метода AddMember или AddMemberName . Назначьте существующие группы приложений, представленные объектами IAzApplicationGroup , объекту IAzRole , вызвав метод AddAppMember . Все пользователи и группы, назначенные объекту IAzRole , имеют доступ к задачам и операциям, назначенным этой роли. Дополнительные сведения о группах приложений см. в разделе Пользователи и группы.