Partager via

Règle de stratégie d’autorisation centrale

  • Article

L’objectif de la règle de stratégie d’autorisation centrale (CAPR) est de fournir une définition à l’échelle du domaine d’un aspect isolé de la stratégie d’autorisation du organization. L’administrateur définit le CAPR pour appliquer l’une des exigences d’autorisation spécifiques. Étant donné que le CAPR ne définit qu’une seule exigence spécifique souhaitée de la stratégie d’autorisation, il peut être défini et compris plus simplement que si toutes les exigences de stratégie d’autorisation du organization sont compilées en une seule définition de stratégie.

Le CAPR a les attributs suivants :

  • Nom : identifie le CAPR pour les administrateurs.
  • Description : définit l’objectif du CAPR et toute information qui peut être nécessaire aux consommateurs de l’ACPR.
  • Expression d’applicabilité : définit les ressources ou les situations dans lesquelles la stratégie sera appliquée.
  • ID : identificateur pour l’audit des modifications apportées au CAPR.
  • Effective Access Control Policy : un descripteur de sécurité Windows contenant une liste de contrôle d’accès dacl qui définit la stratégie d’autorisation effective.
  • Exception Expression : une ou plusieurs expressions qui fournissent un moyen de remplacer la stratégie et d’accorder l’accès à un principal en fonction de l’évaluation de l’expression.
  • Stratégie de préproduction : descripteur de sécurité Windows facultatif contenant une liste de contrôle d’accès (DACL) qui définit une stratégie d’autorisation proposée (liste d’entrées de contrôle d’accès) qui sera testée par rapport à la stratégie effective, mais pas appliquée. S’il existe une différence entre les résultats de la stratégie effective et de la stratégie intermédiaire, la différence est enregistrée dans le journal des événements d’audit.
    • Étant donné que la préproduction peut avoir un effet imprévisible sur les performances du système, un administrateur stratégie de groupe doit être en mesure de sélectionner des machines spécifiques sur lesquelles la préproduction sera appliquée. Cela permet à la stratégie existante d’être en place sur la plupart des machines d’une unité d’organisation pendant que la préproduction se produit sur un sous-ensemble des machines.
    • P2 : un administrateur local sur un ordinateur particulier doit être en mesure de désactiver la préproduction si la préproduction sur cet ordinateur entraîne une dégradation trop importante des performances.
  • De l’ADP à la CAP : liste des acps qui peuvent faire référence à ce CAPR.

Pendant l’case activée d’accès, l’applicabilité du CAPR est évaluée en fonction de l’expression d’applicabilité. Si un CAPR est applicable, il est évalué pour déterminer s’il fournit à l’utilisateur demandeur l’accès demandé à la ressource identifiée. Les résultats de l’évaluation CAPE sont ensuite joints logiquement par ET aux résultats de la LISTE de contrôle d’accès d’accès à la ressource et à tout autre CAPR applicable en vigueur sur la ressource.

Exemples de CAPR :

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Refuser les AE dans les CAPE

Dans Windows 8 refuser les AE ne sera pas pris en charge dans un CAPR. L’expérience utilisateur de création CAPR n’autorise pas la création d’un ACE de refus. En outre, lorsque l’authentification LSA récupère le cap à partir d’Active Directory, LSA vérifie qu’aucun CAPR n’a refusé les AE. Si un ACE de refus est trouvé dans un CAPR, le CAP sera traité comme non valide et ne sera pas copié dans le Registre ou dans SRM.

Notes

Le case activée d’accès n’applique pas qu’aucun AE de refus n’est présent. Refuser les AE dans un CAPR sera appliqué. Il est prévu que les outils de création empêchent cela.

 

Définition CAPE

Les CAPRs sont créés via une nouvelle expérience utilisateur fournie dans le Centre d’administration Active Directory (ADAC). Dans ADAC, une nouvelle option de tâche est fournie pour créer un CAPR. Lorsque cette tâche est sélectionnée, ADAC invite l’utilisateur avec une boîte de dialogue demandant à l’utilisateur un nom CAPR et une description. Lorsque ceux-ci sont fournis, les contrôles permettant de définir l’un des éléments CAPR restants deviennent activés. Pour chacun des éléments CAPR restants, l’expérience utilisateur appelle l’interface utilisateur ACL pour autoriser la définition d’expression et/ou de listes de contrôle d’accès.

AccessCheck

Scénario de Access Control dynamique (DAC)