Los conjuntos y los grupos son diferentes tipos de objetos en FIM, pero a menudo la gente quiere tener conjuntos basados en la pertenencia a un grupo. Hemos encontrado una manera de hacerlo con algunos atributos personalizados.
- Creamos un nuevo atributo multivaluado de referencia llamado SecurityGroups.
2. A continuación, añadimos un enlace al objeto Usuario para ese atributo.
3. Añadimos este atributo a los Permisos de Filtrado.
4. Añadido el atributo a la regla de política de gestión "Administración: Los administradores pueden leer y actualizar usuarios".
5. Cuando creamos o editamos una persona y queremos que esa persona esté en un grupo, introducimos el nombre del grupo en este campo.
6. También podemos editar los criterios para la pertenencia al grupo de forma que cuando un usuario tenga este atributo añadido, el usuario se convierta en miembro de ese grupo.
7. Del mismo modo, podemos crear un Conjunto basado en este atributo.
8. Ahora, podemos utilizar ese conjunto en nuestras reglas de política de gestión para gestionar los permisos y el grupo de seguridad se puede utilizar para sincronizar con Active Directory.
Es un método un poco indirecto, pero nos funcionó bien. Pudimos crear algunas otras características que el cliente quería utilizando este método. Por ejemplo, una cosa que querían era que los usuarios sólo pudieran asignar a otro usuario a un grupo de seguridad del que fuera miembro el asignador. Creamos un flujo de trabajo que crearía automáticamente conjuntos y reglas de políticas de gestión para gestionar esto cuando se creara un grupo.
En primer lugar, el flujo de trabajo creó un conjunto para el nuevo objeto Grupo:
Y el conjunto para los usuarios como se describe en el paso 7 anterior.
A continuación crea una regla de política de gestión para conceder permisos sobre el grupo de seguridad. Si un usuario no estuviera en el conjunto para ese grupo, no tendría permisos de vista sobre el objeto de grupo de seguridad y, por lo tanto, no podría asignarlo a un usuario a través del atributo de grupo de seguridad (no permitimos en absoluto el acceso al menú de grupo de seguridad para estos usuarios).
