다음을 통해 공유

중앙 권한 부여 정책 규칙

  • 아티클

CAPR(중앙 권한 부여 정책 규칙)의 목적은 organization 권한 부여 정책의 격리된 측면에 대한 도메인 전체 정의를 제공하는 것입니다. 관리자는 CAPR을 정의하여 특정 권한 부여 요구 사항 중 하나를 적용합니다. CAPR은 권한 부여 정책의 원하는 특정 요구 사항을 하나만 정의하므로 organization 모든 권한 부여 정책 요구 사항이 단일 정책 정의로 컴파일되는 경우보다 더 간단하게 정의하고 이해할 수 있습니다.

CAPR에는 다음과 같은 특성이 있습니다.

  • 이름 – 관리자에게 CAPR을 식별합니다.
  • 설명 – CAPR의 목적과 CAPR 소비자가 필요로 할 수 있는 모든 정보를 정의합니다.
  • 적용 가능성 식 – 정책이 적용될 리소스 또는 상황을 정의합니다.
  • ID – CAPR의 변경 내용을 감사하는 데 사용할 식별자입니다.
  • 유효 Access Control 정책 – 유효 권한 부여 정책을 정의하는 DACL을 포함하는 Windows 보안 설명자입니다.
  • 예외 식 – 식 평가에 따라 정책을 재정의하고 보안 주체에 대한 액세스 권한을 부여하는 수단을 제공하는 하나 이상의 식입니다.
  • 스테이징 정책 – 유효한 정책에 대해 테스트되지만 적용되지 않는 제안된 권한 부여 정책(액세스 제어 항목 목록)을 정의하는 DACL을 포함하는 선택적 Windows 보안 설명자입니다. 유효 정책의 결과와 준비 정책 간에 차이가 있는 경우 차이는 감사 이벤트 로그에 기록됩니다.
    • 스테이징은 시스템 성능에 예측할 수 없는 영향을 미칠 수 있으므로 그룹 정책 관리자는 스테이징이 적용되는 특정 컴퓨터를 선택할 수 있어야 합니다. 이렇게 하면 컴퓨터의 하위 집합에서 스테이징이 진행되는 동안 OU의 대부분의 컴퓨터에 기존 정책을 적용할 수 있습니다.
    • P2 – 특정 컴퓨터의 로컬 관리자는 해당 컴퓨터의 스테이징으로 인해 성능이 너무 저하되는 경우 스테이징을 사용하지 않도록 설정할 수 있어야 합니다.
  • CAP에 대한 백링크 – 이 CAPR을 참조할 수 있는 모든 CAP에 대한 백링크 목록입니다.

액세스 검사 동안 CAPR은 적용 가능성 식을 기반으로 적용 가능성에 대해 평가됩니다. CAPR을 적용할 수 있는 경우 요청된 사용자에게 식별된 리소스에 대한 요청된 액세스를 제공하는지 여부를 평가합니다. 그런 다음 CAPE 평가의 결과는 AND 에 의해 논리적으로 조인되고 리소스에 대한 DACL의 결과와 리소스에 적용되는 기타 적용 가능한 CAPR이 포함됩니다.

CAPR 예제:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

CAPE에서 ACE 거부

Windows 8 거부 ACL은 CAPR에서 지원되지 않습니다. CAPR 작성 UX는 거부 ACE 만들기를 허용하지 않습니다. 또한 LSA가 Active Directory에서 CAP를 검색하면 LSA는 ACL을 거부하는 CAPR이 없는지 확인합니다. CAPR에서 거부 ACE가 발견되면 CAP가 잘못된 것으로 처리되고 레지스트리 또는 SRM에 복사되지 않습니다.

참고

액세스 검사 거부 ACE가 없음을 적용하지 않습니다. CAPR의 거부 ACE가 적용됩니다. 제작 도구로 인해 이러한 일이 발생하지 않을 것으로 예상됩니다.

 

CAPE 정의

ADAC(Active Directory 관리 센터)에 제공되는 새 UX를 통해 CAPR이 만들어집니다. ADAC에서는 CAPR을 만들기 위한 새 작업 옵션이 제공됩니다. 이 작업을 선택하면 ADAC는 사용자에게 CAPR 이름 및 설명을 요청하는 대화 상자를 사용자에게 표시합니다. 이러한 요소가 제공되면 나머지 CAPR 요소를 정의하는 컨트롤이 사용하도록 설정됩니다. 나머지 CAPR 요소 각각에 대해 UX는 ACL-UI를 호출하여 식 및/또는 ACL의 정의를 허용합니다.

AccessCheck

DAC(동적 Access Control) 시나리오