Condividi tramite

Regola dei criteri di autorizzazione centrale

  • Articolo

Lo scopo della regola dei criteri di autorizzazione centrale è fornire una definizione a livello di dominio di un aspetto isolato dei criteri di autorizzazione dell'organizzazione. L'amministratore definisce il CAPR per applicare uno dei requisiti di autorizzazione specifici. Poiché il CAPR definisce un solo requisito desiderato specifico dei criteri di autorizzazione, può essere più semplice e compreso di se tutti i requisiti dei criteri di autorizzazione dell'organizzazione vengono compilati in una singola definizione di criteri.

Il CAPR ha gli attributi seguenti:

  • Nome: identifica il CAPR agli amministratori.
  • Descrizione: definisce lo scopo del CAPR e tutte le informazioni che possono essere necessarie dai consumer del CAPR.
  • Espressione di applicabilità: definisce le risorse o le situazioni in cui verranno applicati i criteri.
  • ID: identificatore per l'uso nel controllo delle modifiche apportate al CAPR.
  • Criteri di Controllo di accesso efficaci: descrittore di sicurezza di Windows contenente un'elenco di controllo livello dati che definisce i criteri di autorizzazione effettivi.
  • Espressione di eccezione: una o più espressioni che forniscono un mezzo per eseguire l'override dei criteri e concedere l'accesso a un'entità in base alla valutazione dell'espressione.
  • Criteri di gestione temporanea: descrittore di sicurezza di Windows facoltativo contenente un elenco di criteri di autorizzazione proposto (elenco di voci di controllo di accesso) che verranno testati rispetto ai criteri effettivi ma non applicati. Se si verifica una differenza tra i risultati dei criteri effettivi e i criteri di gestione temporanea, la differenza verrà registrata nel registro eventi di controllo.
    • Poiché la gestione temporanea può avere un effetto imprevedibile sulle prestazioni del sistema, un amministratore Criteri di gruppo deve essere in grado di selezionare computer specifici in base al quale la gestione temporanea sarà effettiva. In questo modo, i criteri esistenti possono essere inseriti nella maggior parte dei computer in un'unità organizzativa mentre la gestione temporanea avviene in un subset dei computer.
    • P2: un amministratore locale in un determinato computer deve essere in grado di disabilitare la gestione temporanea se la gestione temporanea in tale computer causa un calo eccessivo delle prestazioni.
  • Backlink a CAP: elenco di backlink a qualsiasi CAP che può fare riferimento a questo CAPR.

Durante il controllo di accesso, il CAPR viene valutato per l'applicabilità in base all'espressione di applicabilità. Se è applicabile un CAPR, viene valutato se fornisce all'utente richiesto l'accesso richiesto alla risorsa identificata. I risultati della valutazione cape vengono quindi aggiunti logicamente da AND con i risultati dell'elenco di controllo dati nella risorsa e qualsiasi altro CAPR applicabile in effetti sulla risorsa.

Capr di esempio:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Nega aces nelle capes

In Windows 8 gli ACL di rifiuto non saranno supportati in un CAPR. L'esperienza utente di creazione di CAPR non consente la creazione di un ace negato. Inoltre, quando l'LSA recupera il CAP da Active Directory, LSA verificherà che nessun CAPR abbia a disposizione ACL negati. Se un ace di rifiuto viene trovato in un CAPR, il CAP verrà considerato non valido e non verrà copiato nel Registro di sistema o in SRM.

Nota

Il controllo di accesso non applica che non sono presenti aces negati. Verrà applicato l'aCL nega in un CAPR. Si prevede che gli strumenti di creazione impediscono che ciò si verifichi.

 

Definizione CAPE

Le CAPR vengono create anche se una nuova esperienza utente fornita nel Centro di amministrazione di Active Directory (ADAC). In ADAC viene fornita una nuova opzione di attività per creare un CAPR. Quando questa attività è selezionata, ADAC richiederà all'utente una finestra di dialogo che chiede all'utente di specificare un nome CAPR e una descrizione. Quando vengono forniti, i controlli per definire uno dei rimanenti elementi CAPR diventano abilitati. Per ogni elemento CAPR rimanente, l'esperienza utente chiamerà l'interfaccia utente dell'interfaccia utente per consentire la definizione di espressioni e/o elenchi di controllo di accesso.

AccessCheck

Scenario di Controllo di accesso dinamica (DAC)