这个问题听起来可能有点模糊,但我不知道该怎么说。我对AD没有什么经验,但人们总是把它解释为类似于如何应用文件夹权限,但这仍然不能回答我的问题,我将如何限制某个组在SCCM中部署工作站,而另一个组仅部署应用程序。或者另一个例子是使用Microsoft Visio时仅具有读取权限的组和具有读取和写入权限的另一个组
•每个需要Active Directory服务的应用程序都必须与AD集成,即打开所需的LDAP和Kerberos协议端口,以便与该应用程序的AD进行入站和出站通信。完成后,请确保应用程序使用LDAP身份验证从公钥基础结构(PKI(服务器(在本例中为Active Directory server(检索授权和验证响应所需的详细信息。
•然后,当您为该应用程序的API配置访问权限时,请确保选择了访问该应用程序所需的组和用户。例如,如果您希望AD环境中的某些组能够访问您的防病毒软件服务器,则必须在该应用程序的主服务器或EPO服务器中进行配置。因此,正如您所说,在SCCM的情况下,如果只允许某一组用户在SCCM中部署工作站,而另一组用户通过SCCM部署应用程序,那么您将在security中创建一个自定义安全角色SCCM控制台的管理工作区,其中将创建所需的角色,并相应地为这些ID设置有关其需要执行的角色的权限。
•因此,SCCM具有内置功能,可根据创建的角色授予与其支持的各种任务相关的特定权限。因此,Active Directory中不同组的权限取决于那些希望与AD及其身份验证机制集成的应用程序。