中央授權原則規則
中央授權原則規則 (CAPR) 的目的是提供組織授權原則隔離層面的全領域定義。 系統管理員會定義 CAPR,以強制執行其中一個特定的授權需求。 由於 CAPR 只會定義授權原則的一個特定所需需求,因此可以比組織的所有授權原則需求編譯成單一原則定義更簡單且瞭解。
CAPR 具有下列屬性:
- 名稱 – 向系統管理員識別 CAPR。
- 描述 – 定義 CAPR 的用途,以及 CAPR 取用者可能需要的任何資訊。
- 適用性運算式 – 定義將套用原則的資源或情況。
- 識別碼 – 用於稽核 CAPR 變更的識別碼。
- 有效存取控制原則 – 包含定義有效授權原則之 DACL 的 Windows 安全性描述項。
- 例外狀況運算式 – 一或多個運算式,提供覆寫原則的方法,並根據運算式的評估授與主體的存取權。
- 預備原則 – 選擇性的 Windows 安全描述元,其中包含定義建議授權原則的 DACL, (存取控制專案清單) ,這些專案將會針對有效原則進行測試,但不會強制執行。 如果有效原則的結果與暫存原則之間有差異,則會在稽核事件記錄檔中記錄差異。
- 由於暫存可能會對系統效能造成無法預期的影響,因此群組原則系統管理員必須能夠選取預備環境生效的特定電腦。 這可讓現有原則在 OU 中大部分的電腦上就地進行,而預備是在機器子集上發生時。
- P2 – 特定電腦上的本機系統管理員應該能夠在該電腦上的預備環境造成太多效能降低時停用預備。
- 回溯連結至 CAP – 指向任何可能參考此 CAPR 之 CAP 的回溯連結清單。
在存取檢查期間,會根據適用性運算式評估 CAPR 是否適用性。 如果 CAPR 適用,則會評估它是否為要求使用者提供所識別資源的要求存取權。 然後, AND 會以邏輯方式聯結到資源上 DACL 的結果,以及對資源生效的任何其他適用 CAPR 的結果。
範例 CAPR:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
拒絕 CAPE 中的 ACE
在 Windows 8 CAPR 中不支援拒絕 ACE。 CAPR 撰寫 UX 不允許建立拒絕 ACE。 此外,當 LSA 從 Active Directory 擷取 CAP 時,LSA 會確認沒有 CAPR 有拒絕 ACE。 如果在 CAPR 中找到拒絕 ACE,則 CAP 會被視為無效,且不會複製到登錄或 SRM。
注意
存取檢查不會強制沒有拒絕 ACE 存在。 將會套用 CAPR 中的拒絕 ACE。 撰寫工具預期會防止這種情況發生。
CAPE 定義
在 ADAC 中,會透過 Active Directory 管理中心 (ADAC.) 中提供的新 UX 建立 CAPR,但會提供 CAPR 的新工作選項。 選取此工作時,ADAC 會提示使用者輸入對話方塊,要求使用者輸入 CAPR 名稱和描述。 提供這些專案時,會啟用用來定義任何剩餘 CAPR 元素的控制項。 針對每個剩餘的 CAPR 元素,UX 會呼叫 ACL-UI,以允許定義運算式和/或 ACL。
相關主題