中央授權原則規則 (CAPR) 的目的是提供組織授權原則隔離層面的全領域定義。 系統管理員會定義 CAPR,以強制執行其中一個特定的授權需求。 由於 CAPR 只會定義授權原則的一個特定需求,因此可以比組織的所有授權原則需求編譯成單一原則定義更簡單地定義和理解。
CAPR 具有下列屬性:
- 名稱 – 向系統管理員識別 CAPR。
- 描述 – 定義 CAPR 的用途,以及 CAPR 取用者可能需要的任何資訊。
- 適用性表達式 – 定義將套用原則的資源或情況。
- 識別碼 – 用於稽核 CAPR 變更的識別碼。
- 有效的訪問控制原則 – 包含定義有效授權原則之 DACL 的 Windows 安全性描述元。
- 例外狀況表達式 – 一或多個表達式,提供覆寫原則的方法,並根據表達式的評估授與主體的存取權。
- 預備原則 – 選擇性的 Windows 安全性描述元,其中包含定義建議的授權原則(存取控制專案清單)的 DACL,該原則會針對有效原則進行測試,但不會強制執行。 如果有效原則的結果與預備原則的結果之間有差異,則會在稽核事件記錄檔中記錄差異。
- 由於暫存可能會對系統效能造成無法預期的影響,因此組策略系統管理員必須能夠選取將生效預備的特定計算機。 這可讓現有原則在 OU 中的大部分電腦上就位,而預備是在機器子集上發生。
- P2 – 特定電腦上的本機系統管理員應該能夠在該計算機上暫存造成太多效能降低時停用預備。
- 回到 CAP – 指向任何可能參考此 CAPR 之 CAP 的回溯連結清單。
在存取檢查期間,CAPR 會根據適用性運算式評估適用性。 如果 CAPR 適用,則會評估它是否為要求使用者提供所識別資源的要求存取權。 接著,CAPE 評估的結果會由 AND 與資源上的 DACL 結果,以及對資源生效的任何其他適用的 CAPR,以邏輯方式聯結。
範例 CAPR:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
拒絕 CAPE 中的 ACE
在 Windows 8 中,CAPR 不支援拒絕 ACE。 CAPR 撰寫 UX 不允許建立拒絕的 ACE。 此外,當 LSA 從 Active Directory 擷取 CAP 時,LSA 會確認沒有 CAPR 拒絕 ACE。 如果在 CAPR 中找到拒絕 ACE,則 CAP 會被視為無效,且不會複製到登錄或 SRM。
注意
存取檢查不會強制沒有拒絕 ACE 存在。 將會套用 CAPR 中的拒絕 ACE。 預計撰寫工具會防止這種情況發生。
CAPE 定義
CAPR 是透過 Active Directory 管理中心 (ADAC) 中提供的新 UX 所建立。在ADAC中,會提供新的工作選項來建立CAPR。 選取此工作時,ADAC 會提示使用者輸入對話方塊,要求使用者輸入CAPR名稱和描述。 提供這些專案時,會啟用定義任何剩餘 CAPR 元素的控件。 對於每個剩餘的 CAPR 元素,UX 會呼叫 ACL-UI,以允許表達式和/或 ACL 的定義。
相關主題