一元化された承認ポリシー
動的Access Control (DAC) シナリオでは、エンタープライズ ファイル サーバー のシナリオに対する一元的なアクセス制御管理が可能になります。 ほとんどの組織には、アクセスを制御する複数の領域があります。
次に例をいくつか示します。
- 機密情報へのアクセスを制御する(機密情報としてマークされたファイルに特定のアクセス許可がある)
- 個人を特定できる情報 (PII) を含むファイルへのアクセスの制御
- 組織のアイテム保持ポリシーに基づいてドキュメントへのアクセスを制限する。
管理者がこれらのポリシーを一元的に定義し、これらの各アクセス要件を個別に定義して維持し、1 つのポリシーとして適用できるようにすることで、定義プロセスを簡略化するために、いくつかの新しい承認ポリシー抽象化が提供されます。
Windows 8 では、要求とリソース属性の式に基づいて一元化された承認ポリシーを定義して適用するために、2 つの新しい Active Directory ポリシー オブジェクト (中央承認ポリシー (上限) と中央承認ポリシー規則 (capr) が導入されています。 これらのオブジェクトを使用する場合、管理者は、特定の属性を持つリソースまたは特定の適用条件を満たすリソースに適用できる特定の承認ポリシーとしてキャッパーを定義します。 たとえば、"ビジネスへの影響が大きい" というラベルが付いたドキュメントなどです。 capes は、表すことができるorganization内の必要なアクセス制御ポリシーごとに定義できます。また、windows 8 dac 式の観点から、適用する必要があるリソースを識別できます。 キャップは、リソースにまとめて適用できるキャッパーのコレクションです。 次の図は、キャップとケープの関係と、これらのオブジェクトの定義とファイル リソースへの適用に関する概念的な手順を示しています。