Compartir a través de

Regla de directiva de autorización central

  • Artículo

El propósito de la regla de directiva de autorización central (CAPR) es proporcionar una definición en todo el dominio de un aspecto aislado de la directiva de autorización de la organización. El administrador define el CAPR para aplicar uno de los requisitos de autorización específicos. Dado que el CAPR define solo un requisito deseado específico de la directiva de autorización, puede definirse y entenderse más que si todos los requisitos de la directiva de autorización de la organización se compilan en una única definición de directiva.

El CAPR tiene los siguientes atributos:

  • Nombre: identifica el CAPR a los administradores.
  • Descripción: define el propósito del CAPR y cualquier información que puedan ser necesarias para los consumidores del CAPR.
  • Expresión de aplicabilidad: define los recursos o situaciones en las que se aplicará la directiva.
  • Id. : identificador para su uso en la auditoría de los cambios realizados en capr.
  • Directiva de Access Control efectiva: descriptor de seguridad de Windows que contiene una DACL que define la directiva de autorización efectiva.
  • Expresión de excepción: una o varias expresiones que proporcionan un medio para invalidar la directiva y conceder acceso a una entidad de seguridad según la evaluación de la expresión.
  • Directiva de almacenamiento provisional: un descriptor de seguridad opcional de Windows que contiene una DACL que define una directiva de autorización propuesta (lista de entradas de control de acceso) que se probará con la directiva efectiva, pero que no se aplicará. Si hay una diferencia entre los resultados de la directiva efectiva y la directiva de almacenamiento provisional, la diferencia se registrará en el registro de eventos de auditoría.
    • Dado que el almacenamiento provisional puede tener un efecto imprevisible en el rendimiento del sistema, un administrador de directiva de grupo debe poder seleccionar máquinas específicas en las que el almacenamiento provisional estará en vigor. Esto permite que la directiva existente esté en vigor en la mayoría de las máquinas de una unidad organizativa mientras el almacenamiento provisional se produce en un subconjunto de las máquinas.
    • P2: un administrador local en una máquina determinada debe poder deshabilitar el almacenamiento provisional si el almacenamiento provisional en esa máquina está causando demasiada degradación del rendimiento.
  • Vínculo de retroceso a CAP: una lista de vínculos de retroceso a cualquier CAP que pueda estar haciendo referencia a este CAPR.

Durante la comprobación de acceso, el CAPR se evalúa para la aplicabilidad en función de la expresión de aplicabilidad. Si se aplica un CAPR, se evalúa si proporciona al usuario solicitante el acceso solicitado al recurso identificado. Los resultados de la evaluación de CAPE se unen lógicamente por AND con los resultados de la DACL en el recurso y cualquier otro CAPR aplicable en vigor en el recurso.

CAPR de ejemplo:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Denegar ACE en CAPE

En Windows 8 las ACE de denegación no se admitirán en un CAPR. La experiencia de usuario de creación de CAPR no permitirá la creación de una ACE de denegación. Además, cuando el LSA recupera el CAP de Active Directory, LSA comprobará que ningún CAPR tiene ACE de denegación. Si se encuentra una ACE de denegación en un CAPR, el CAP se tratará como no válido y no se copiará en el Registro o SRM.

Nota

La comprobación de acceso no aplicará que no haya ACE de denegación presentes. Se aplicarán las ACE de denegación en una CAPR. Se espera que las herramientas de creación impidan que esto suceda.

 

Definición de CAPE

Los CAPR se crean a través de una nueva experiencia de usuario proporcionada en el Centro de administración de Active Directory (ADAC). En ADAC se proporciona una nueva opción de tarea para crear un CAPR. Cuando se selecciona esta tarea, ADAC pedirá al usuario un cuadro de diálogo que le pida al usuario un nombre CAPR y una descripción. Cuando se proporcionan, los controles para definir cualquiera de los elementos CAPR restantes se habilitan. Para cada uno de los elementos CAPR restantes, la experiencia de usuario llamará a la interfaz de usuario de ACL para permitir la definición de expresión o ACL.

AccessCheck

Escenario de Access Control dinámica (DAC)