Пользователи и группы

В диспетчере авторизации получатели политики авторизации представлены следующими группами:

• Пользователи и группы Windows

  Эти группы включают пользователей, компьютеры и встроенные группы для субъектов безопасности.

• Группы запросов LDAP

  Членство в этих группах динамически вычисляется по мере необходимости из запросов протокола LDAP. Группа запросов LDAP — это тип группы приложений.

• Базовые группы приложений

  Эти группы состоят из групп запросов LDAP, пользователей и групп Windows и других основных групп приложений.

Пользователи и группы Windows

Они совпадают с пользователями и группами, используемыми в операционной системе Windows.

Группы запросов LDAP

В диспетчере авторизации можно использовать запросы LDAP для сопоставления атрибутов пользователя с объектами пользователя в Active Directory.

Например, следующий запрос находит всех, кроме Энди.

(&(objectCategory=person)(objectClass=user)(!cn=andy))

Следующий запрос находит всех членов псевдонима пользователя в www.fabrikam.com.

(memberOf=CN=someone,OU=litwareinc,DC=Fabrikam,DC=com)

Базовые группы приложений

В API диспетчера авторизации группа приложений представлена объектом IAzApplicationGroup. Базовая группа приложений — это тип группы приложений.

Чтобы определить базовое членство в группе приложений, определите, кто является членом и определяет, кто не является членом. Оба этих шага выполняются одинаково. Укажите ноль или больше пользователей и групп Windows, ранее определенных базовых групп приложений или групп запросов LDAP. Членство в базовой группе приложений вычисляется путем удаления всех немемберов из группы. Диспетчер авторизации выполняет это автоматически во время выполнения.

Nonmembership в базовой группе приложений имеет приоритет над членством.

Определения кругового членства не допускаются; Это приведет к следующему сообщению об ошибке: "Не удается добавить имя группы. Возникла следующая проблема: обнаружен цикл".

Связанные разделы

определение групп пользователей в C++