Диспетчер авторизации и администрирование на основе ролей в Windows Server 2003 (часть 2)

Опубликовано: 13 Апреля, 2023



Определение ролей, задач и операций


В контексте диспетчера авторизации роль определяется разрешениями, которые требуются пользователю для выполнения задач, связанных с его/ее работой. Как правило, в организации есть несколько человек, которые выполняют одни и те же задачи и, следовательно, нуждаются в одинаковых разрешениях (например, администраторы). Задачи — это определенные операции или группы операций, выполняемые на компьютере или в сети (например, изменение пароля). Роли, задачи и операции определяются в режиме разработчика Authorization Manager.


ПРИМЕЧАНИЕ. Чтобы перевести консоль управления авторизацией MMC в режим разработчика, сначала откройте инструмент, введя azman.msc в поле «Выполнить». Затем щелкните правой кнопкой мыши Диспетчер авторизации на левой панели консоли, щелкните Параметры и выберите в диалоговом окне Режим разработчика. По умолчанию диспетчер авторизации открывается в режиме администратора.


Чтобы определить роль, задачу или операцию, на левой панели консоли MMC разверните хранилище авторизации, а затем разверните приложение, для которого вы хотите сделать определения. Наконец, разверните папку «Определения», и вы увидите три папки для каждого из следующих:



  • Определения ролей
  • Определения задач
  • Определения операций

Щелкните правой кнопкой мыши тот, для которого вы хотите определить новое определение, и выберите соответствующий параметр «Новое определение» в контекстном меню. Например, как показано на рисунке A, выберите «Новое определение роли», чтобы создать новое определение роли.



Изображение 26123
РИСУНОК А


Появится диалоговое окно «Определение роли», и вам нужно будет определить имя роли, описание (при желании) и задачи, роли и операции более низкого уровня, которые определяют роль.


Очевидно, вам нужно будет определить задачи и операции, прежде чем вы сможете включить их в роль, и вы должны определить операции, прежде чем вы сможете включить их в задачу. Итак, несмотря на то, что в консоли они появляются в обратном порядке, вы должны делать свои определения в следующем порядке:



  1. Определить операции
  2. Определить задачи
  3. Определить роли

Диалоговое окно «Определение роли» показано на рисунке B.



Изображение 26124
РИСУНОК Б


Вы можете редактировать определения, щелкнув правой кнопкой мыши имя определения в правой панели консоли MMC и выбрав Свойства.


Создание назначений ролей


После того как вы определили роли, вы можете создать назначения ролей. Это способ связывания групп приложений (которые мы обсуждали в первой части статьи) или пользователей или групп Windows с определенными вами ролями.


Чтобы создать назначения ролей, необходимо сначала добавить определения ролей, созданные ранее. Щелкните правой кнопкой мыши «Назначения ролей» на левой панели MMC и выберите «Назначить роли». В диалоговом окне «Добавить роль», показанном на рисунке C, установите флажки для ролей, которые вы хотите добавить.



Изображение 26125
РИСУНОК C


Нажмите «ОК», когда вы закончите устанавливать флажки, и теперь имена ролей появятся в папке «Назначения ролей» на левой панели. Чтобы назначить эту роль группе приложений, пользователю или группе Windows, щелкните правой кнопкой мыши имя роли и выберите соответствующий пункт «Назначить» в правом контекстном меню, как показано на рисунке D.



Изображение 26126
РИСУНОК D


После того как вы добавите нужные группы в диалоговом окне «Добавить группы», члены этой группы будут связаны с определенной вами ролью и будут иметь право выполнять задачи, являющиеся частью этой роли.


Использование областей


Области — это необязательный компонент диспетчера авторизации; они создаются в приложениях, чтобы предотвратить нежелательное совместное использование различных ресурсов, используемых этим приложением, а также для поддержки аудита и делегирования.


Чтобы создать область внутри приложения, щелкните правой кнопкой мыши имя приложения на левой панели консоли и выберите «Новая область». Вам будет предложено ввести имя и описание. Имя должно быть таким, чтобы приложение могло его распознать и обработать. Например, если приложение основано на файле, имя области основывается на пути к файлу.


Правила авторизации


Чтобы автоматизировать процесс определения того, разрешены ли определенные роли или задачи, вы можете использовать сценарии в определениях ролей и задач. Эти сценарии могут быть написаны на VBScript или JScript и называются правилами авторизации. Это дает вам огромный контроль над определением условий, которые должны быть выполнены для авторизации. Например, вы можете ограничить авторизацию определенным временем дня или основывать ее на том, был ли соблюден лимит расходов, или на сумме на указанном балансе счета.


Вы можете добавить сценарий авторизации в определение роли или задачи в процессе создания или добавить его в существующее правило или определение, щелкнув его правой кнопкой мыши, выбрав « Свойства», выбрав вкладку «Определение » и кнопку « Сценарий авторизации». Вам потребуется ввести исходный код сценария и путь, а также указать тип сценария (VBScript или Jscript).


С ролью может быть связано несколько правил. Если это так, сценарии будут выполняться синхронно (каждый должен завершить выполнение до запуска следующего).


ПРИМЕЧАНИЕ. Диспетчер авторизации не используется для написания сценариев. Вы можете создавать сценарии в текстовом редакторе, таком как Блокнот, или в другом приложении. Разработка сценариев — это скорее функция программирования, чем административная, поэтому вам потребуются навыки программирования и понимание API-интерфейсов, связанных с авторизацией.


Резюме


В этой статье, состоящей из двух частей, представлен базовый обзор того, как использовать средство диспетчера авторизации для реализации безопасности на основе ролей в сети Windows Server 2003. Ролевая безопасность. Безопасность на основе ролей позволяет предоставить пользователям возможность выполнять задачи, которые связаны с их ролями (должностями) внутри организации. Диспетчер авторизации дает вам возможность очень детально определять задачи и роли и назначать пользователей на основе их учетных записей пользователей или групп Windows или их членства в определенных вами группах приложений.


Дополнительные сведения об использовании диспетчера авторизации см. на веб-сайте Microsoft Server 2003 по адресу:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/authm_RoleBasedMgmt.asp

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023