Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Merkezi Yetkilendirme İlkesi Kuralı'nın (CAPR) amacı, kuruluşun yetkilendirme ilkesinin yalıtılmış bir yönünün etki alanı genelinde bir tanımını sağlamaktır. Yönetici, belirli yetkilendirme gereksinimlerinden birini zorunlu kılmak için CAPR'yi tanımlar. CAPR yetkilendirme ilkesinin yalnızca belirli bir istenen gereksinimini tanımladığından, kuruluşun tüm yetkilendirme ilkesi gereksinimlerinin tek bir ilke tanımında derlenmesinden daha basit bir şekilde tanımlanabilir ve anlaşılabilir.
CAPR aşağıdaki özniteliklere sahiptir:
- Ad– CAPR'yi yöneticilere tanımlar.
- Açıklama – CAPR'nin amacını ve CAPR tüketicilerinin ihtiyaç duyduğu tüm bilgileri tanımlar.
- Uygulanabilirlik İfadesi – ilkenin uygulanacağı kaynakları veya durumları tanımlar.
- Id – CAPR'de yapılan değişikliklerin denetiminde kullanılacak tanımlayıcı.
- Etkin Erişim Denetimi İlkesi: Etkin yetkilendirme ilkesini tanımlayan bir DACL içeren bir Windows güvenlik tanımlayıcısı.
- Özel Durum İfadesi: İlkeyi geçersiz kılmak ve ifadenin değerlendirmesine göre sorumluya erişim vermek için bir araç sağlayan bir veya daha fazla ifade.
- Hazırlama İlkesi– Geçerli ilkeye göre test edilecek ancak uygulanmayan önerilen yetkilendirme ilkesini (erişim denetimi girdilerinin listesi) tanımlayan bir DACL içeren isteğe bağlı bir Windows güvenlik tanımlayıcısı. Etkin ilkenin sonuçları ile hazırlama ilkesi arasında bir fark varsa, fark denetim olay günlüğüne kaydedilir.
- Hazırlamanın sistem performansı üzerinde öngörülemeyen bir etkisi olabileceğinden, Grup İlkesi yöneticisinin hazırlamanın geçerli olacağı belirli makineleri seçebilmesi gerekir. Bu, hazırlama makinelerin bir alt kümesinde gerçekleşirken, mevcut ilkenin OU'daki çoğu makinede geçerli olmasını sağlar.
- P2 – Belirli bir makinedeki yerel yönetici, o makinedeki hazırlama çok fazla performans düşüşüne neden oluyorsa hazırlamayı devre dışı bırakabilmelidir.
- CAP'ye geri bağlantı – Bu CAPR'ye başvuran tüm CAP'lere geri bağlantıların listesi.
Erişim denetimi sırasında CAPR, uygulanabilirlik ifadesi temelinde uygulanabilirlik için değerlendirilir. Bir CAPR geçerliyse, istekte bulunan kullanıcıya tanımlanan kaynağa istenen erişimi sağlayıp sağlamadığı değerlendirilir. DAHA sonra CAPE değerlendirmesinin sonuçları, kaynaktaki DACL'nin sonuçları ve kaynak üzerinde geçerli olan diğer geçerli CAPR'ler ile VE mantıksal olarak birleştirilir.
Örnek CAPR'ler:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
CAPE'lerdeki ACL'leri reddetme
Windows 8'de ACL'ler CAPR'de desteklenmeyecektir. CAPR yazma UX'i reddetme ACE'si oluşturulmasına izin vermez. Ayrıca, LSA CAP'yi Active Directory'den aldığında, LSA hiçbir CAPR'nin ACL'leri reddetmediğini doğrular. CAPR'de reddetme ACE'i bulunursa, CAP geçersiz olarak kabul edilir ve kayıt defterine veya SRM'ye kopyalanmaz.
Not
Erişim denetimi, reddetme ACL'lerinin mevcut olmamasını zorunlu kılmaz. CAPR'deki REDDETME ACL'leri uygulanır. Yazma araçlarının bunun olmasını engellemesi beklenir.
CAPE Tanımı
CAPR'ler, Active Directory Yönetim Merkezi'nde (ADAC) sağlanan yeni bir UX olsa da oluşturulur. ADAC'de CAPR oluşturmak için yeni bir görev seçeneği sağlanır. Bu görev seçildiğinde ADAC, kullanıcıdan CAPR adı ve açıklama isteyen bir iletişim kutusu ister. Bunlar sağlandığında, kalan CAPR öğelerinden herhangi birini tanımlamak için denetimler etkinleştirilir. Kalan CAPR öğelerinin her biri için UX, ifade ve/veya ACL'lerin tanımına izin vermek için ACL-UI çağırır.
İlgili konular