Users Guide
图 2: Active Directory 对象的典型设置
您可以根据需要创建任意数量的关联对象。但是,您必须创建至少一个关联对象,并且网络上要与 Active Directory 集成以通过
iDRAC 验证和授权的每个 iDRAC 设备必须有一个 iDRAC 设备对象。
关联对象允许有任意数量的用户和/或组以及 iDRAC 设备对象。然而,每个关联对象只包括一个权限对象。关联对象可连接在 iDRAC
设备上拥有权限的用户。
针对 ADUC MMC 管理单元的 Dell 扩展只允许将来自相同域的权限对象和 iDRAC 对象与关联对象进行关联。Dell 扩展不允许将来自其
他域的组或 iDRAC 对象添加为关联对象的产品成员。
添加来自不同域的通用组时,请创建一个具有通用范围的关联对象。Dell Schema Extender 公用程序创建的默认关联对象是域本地
组,不能与来自其他域的通用组一起使用。
来自任何域的用户、用户组或嵌套的用户组都可以添加到关联对象中。扩展架构解决方案支持嵌套在 Microsoft Active Directory 允许
的多个域之间的任何用户组类型和任何用户组。
累积使用扩展架构的权限
扩展架构验证机制支持通过不同关联对象与同一用户相关的不同权限对象进行权限累积。换言之,扩展架构验证可以累积权限,以
允许用户拥有与同一用户关联的不同权限对象对应的所有已分配权限的超级集合。
下图提供了一个使用扩展架构累积权限的示例。
图 3: 用户权限累积
该图显示两个关联对象 — A01 和 A02。User1 通过两个关联对象与 iDRAC2 关联。
扩展架构验证利用相同用户关联的不同权限对象的已分配权限,将权限加以累积,从而使用户拥有最大的权限集合。
在本示例中,User1 拥有 iDRAC2 上的 Priv1 和 Priv2 权限。User1 仅拥有 iDRAC1 上的 Priv1 权限。User2 拥有 iDRAC1 和 iDRAC2 上的
Priv1 权限。另外,此图显示 User1 可在其他域中,而且可以是组成员。
配置用户帐户和权限
123