Шлюз Microsoft Forefront Threat Management осуществляет управление доступом ко всем компонентам конфигурации и сведениям наблюдения посредством дескрипторов безопасности Windows Server 2008 для соответствующих объектов. Дескриптор безопасности каждого объекта содержит список управления доступом на уровне пользователей (DACL), который определяет типы доступа или разрешения, назначаемые пользователям и группам. В этом списке также указаны пользователи и группы, которым было предоставлено каждое из определенных разрешений.
Чтобы упростить управление предоставлением разрешений пользователям, на сервере Forefront TMG предусмотрены административные роли. Роль описывает набор прав, которые разрешают пользователям и группам выполнять определенные действия. При назначении какой-либо роли пользователю или группе Forefront TMG выполняет настройку списков DACL, находящихся в дескрипторах безопасности соответствующих объектов, для того чтобы предоставить пользователю или группе необходимые для выполнения действий разрешения, которые определены в данной роли. Forefront TMG также изменяет настройку списков DACL, находящихся в соответствующих дескрипторах безопасности, при каждом изменении назначений административных ролей или перезапуске службы управления Microsoft Forefront TMG (isactrl).
Например, если пользователю или группе назначается роль, дающая право просмотра или изменения данных локальной конфигурации, сервер Forefront TMG выполняет настройку соответствующих разрешений для доступа к параметрам конфигурации, сохраненным в локальном экземпляре ADAM (Active Directory Application Mode).
Дополнительные сведения об административных ролях Forefront TMG см. в разделе Планирование разрешений и ролей.