了解主要安全概念 通常,安全角色概念很难理解,因此很好地理解 Project Server 和 Active Directory 中中固有的安全概念非常重要。 下面的图解和信息定义并讨论了安全概念之间的关系。 安全主体包括用户和组,而安全对象包括类别和单位。 下面提供了所讨论的概念的定义。 域 共享公用数据库和安全策略的计算机集合。每个域都有一个唯一名称。 目录对象 不同的指定属性集,表示具体的内容(如用户、打印机或应用程序)。用户的属性可能包括用户的名称或电子邮件地址。这些属性含有描述目录对象所标识的主题的数据。 安全主体 可验证并授予其对安全对象的权限的对象。Active Directory 和 Project Server 共享“安全主体可以是用户或组”这一理念。 Active Directory 安全主体被自动分配一个用于访问安全对象的安全标识符 (SID),以及具有唯一标识性的全局唯一标识符 (GUID)。 可将 Active Directory 用户添加到组中,还可以映射 Project Server 中的安全组,并将其与 Active Directory 中的组同步。 用户主管名称 (UPN) 安全主体(用户和组)具有的“友好名称”非常容易记忆,如 FirstName LastName。UPN 由用户的缩写名称和用户对象所在的域树的域名服务 (DNS) 名称组成。例如,microsoft.com 树中的用户 FirstName LastName 的 UPN 可以是 name@microsoft.com。 组 可将用户组合为一个安全主体,让每个人获取对某个对象的相同权利和权限。每个组通常表示具有一组相同访问需求的用户的集合。通过定义少量组,为这些组授予对对象的权限,然后将用户分配到各个组,可以管理少量组而不是大量用户。 安全规则 通过这些规则,可以基于工作组成员、项目经理或资源细分结构 (RBS) 关系授予数据访问权限。 安全标识符 (SID) 一种长度可变的数据结构,可标识用户、组和计算机帐户。第一次创建 Active Directory 域中的每个帐户时,都会为其指定唯一的 SID 和 GUID。Microsoft Windows 将引用帐户的 SID,而不是帐户的用户名或组名。 全局唯一标识符 (GUID) GUID 是创建对象时分配给对象的 128 位的数字。此标识符永远不会更改,即使移动或重命名对象也是如此。应用程序可以存储和使用对象的 GUID,以确保能够找到该对象(无论对象当前的可分辨名称 DN 是什么)。Project Server 将对象的 GUID 作为 Project Server 数据库中的一系列 AD_GUID 域进行跟踪。安全主体的 UPN 与该对象的全局唯一标识符相关。 对象只具有一个名称 - DN,该名称可唯一标识对象,并且包含客户端用于从目录中检索对象的信息。因为 DN 会改变,并且可能难以记住(因为很长),所以 Active Directory 支持根据对象的 UPN 查找它们,UPN 比对象的 DN 短,比较容易记忆。 组安全标识符 像用户和计算机帐户一样,组是 Windows 2000 Server 或 Windows Server 2003 的安全主体,它们是创建时被指定了 SID 的目录对象。可以嵌套组,即可以将组作为另一组的成员添加,方式与在组中添加用户一样。规划组策略是部署 Active Directory 并将其用于 Project Server 的基本部分。 Project Server 中的安全组 Project Server 提供了许多可供您使用的默认用户组。用户和组是 Project Server 中的安全主体。 您应该先根据 Project Server 安全策略定义组,然后确定将 Project Server 中的用户组织成这些组的最佳方式。可以使用 Project Server 中提供的默认组,也可以创建自定义组来表示单位中用户的安全和访问需要。 创建组以后,请为这些组指定对各个类别和视图的权限。在 Project Server 中,之后会将用户添加到组,并且用户将继承组对指定类别和视图的权限。 Project Server 的预定义组有: 工作组成员 默认情况下,服务器会将所有新资源添加到工作组成员组。工作组成员组通常能够查看数据但不能编辑数据。工作组成员帐户将被自动授予许多全局权限,通过这些权限,可以使用 Microsoft Office Project Web Access 2003 时间表、状态报告和待办事项列表功能。 项目经理 当 Project Professional 2003 用户将项目发布到 Project Server 或者通过单击“选项”对话框中的“协作”选项卡创建项目经理帐户时,会自动将工作组成员添加到项目经理组中。项目经理组将自动获得对项目经理保存或发布到服务器的所有项目的权限,以及这些项目中的所有工作分配。 主管人员 对于单位中要求项目和资源具有高级而广泛的可见性的用户,可将其添加到执行经理组。此组可以查看保存或发布到服务器的任何项目和任何资源。管理员必须手动为主管人员创建用户帐户,或者允许 Active Directory 同步创建主管人员帐户,如本章后面部分所述。 工作组领导和资源经理 对于需要具有有限权限(可以查看和编辑项目信息而不能管理项目)的用户,可使用这些组。 项目组合经理 对于单位中管理企业全局模板和企业资源的用户,可将其添加到项目组合经理组。这些用户具有创建和编辑数据的广泛权限,但是不能执行服务器管理任务(例如,他们无法添加用户或组)。 管理员 管理员组可自动获得对 Project Server 的所有可用权限。 此外,上述组可以具有对以下两个安全对象的权限: 类别 类别是对象、资源、视图和模型的集合。对象权限是根据类别定义的。不能直接授予对项目、资源、视图或模型的权限,而是要先将对象添加到某个类别,然后为用户或组授予对该类别所定义的信息的访问权限。当授予用户对某个类别的权限时,会授予该用户对该类别中所有适用对象的权限。例如,如果某个类别包含两个项目,则被授予了对该类别的“打开项目”权限和“保存项目”权限的用户可以打开和保存这两个项目。 视图 视图是域、组、筛选器和图表的集合。要为用户或组提供对视图的访问权限,可将该视图定义为类别,然后授予用户或组对该类别的权限。您可以为“项目中心”、“资源中心”和“项目组合分析器”页定义视图,以及为视图指定任务视图和筛选器。
|