Пользователи и группы

  • Статья

В диспетчере авторизации получатели политики авторизации представлены следующими группами:

  • Пользователи и группы Windows

    К этим группам относятся пользователи, компьютеры и встроенные группы для субъектов безопасности.

  • Группы запросов LDAP

    Членство в этих группах динамически вычисляется по мере необходимости на основе запросов LDAP. Группа запросов LDAP — это тип группы приложений.

  • Базовые группы приложений

    Эти группы состоят из групп запросов LDAP, пользователей и групп Windows и других базовых групп приложений.

Пользователи и группы Windows

Это те же пользователи и группы, которые используются в операционной системе Windows.

Группы запросов LDAP

В диспетчере авторизации можно использовать запросы LDAP для сопоставления атрибутов пользователя с атрибутами объекта пользователя в Active Directory.

Например, следующий запрос находит всех, кроме Энди.

(&(objectCategory=person)(objectClass=user)(!cn=andy))

Следующий запрос находит все члены псевдонима пользователя по адресу www.fabrikam.com.

(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)

Базовые группы приложений

В API диспетчера авторизации группа приложений представлена объектом IAzApplicationGroup . Базовая группа приложений — это тип группы приложений.

Чтобы определить базовое членство в группе приложений, определите, кто является участником, а кто не является участником. Оба этих шага выполняются одинаково. Укажите ноль или несколько пользователей и групп Windows, ранее определенные базовые группы приложений или группы запросов LDAP. Членство в основной группе приложений вычисляется путем удаления из нее всех членов группы. Диспетчер авторизации выполняет это автоматически во время выполнения.

Невмешательство в базовой группе приложений имеет приоритет над членством.

Циклические определения членства не допускаются; Они приводят к следующему сообщению об ошибке: "Не удается добавить GroupName. Возникла следующая проблема: обнаружен цикл".

Определение групп пользователей в C++