動的アクセス制御 (DAC) シナリオ では、エンタープライズ ファイル サーバー シナリオの一元的なアクセス制御管理が可能になります。 ほとんどの組織には、アクセスを制御する複数の領域があります。
例を次に示します。
- 機密情報へのアクセスを制御する(機密情報としてマークされたファイルに特定のアクセス許可が与えられます)
- 個人を特定できる情報 (PII) を含むファイルへのアクセスの制御
- 組織のアイテム保持ポリシーに基づいてドキュメントへのアクセスを制限する。
管理者がこれらのポリシーを一元的に定義し、これらの各アクセス要件を個別に定義および維持し、1 つのポリシーとして適用できるようにすることで、定義プロセスを簡略化するために、いくつかの新しい承認ポリシーの抽象化が提供されています。
2 つの新しい Active Directory ポリシー オブジェクト (中央承認ポリシー (上限) と 中央承認ポリシー規則 (capr) が Windows 8 で導入され、要求とリソース属性の式に基づいて一元化された承認ポリシーを定義して適用します。 これらのオブジェクトを使用する場合、管理者は、特定の属性を持つリソースまたは特定の適用条件を満たすリソースに適用できる特定の承認ポリシーとして Capr を定義します。 たとえば、"ビジネスへの影響が大きい" というラベルが付いたドキュメントなどです。 capes は、表現できる組織内の必要なアクセス制御ポリシーごとに定義できます。また、Windows 8 dac 式の観点から、適用する必要があるリソースを識別できます。 キャップは、リソースにまとめて適用できる Capr のコレクションです。 次の図は、キャップとケープの関係と、これらのオブジェクトの定義とファイル リソースへの適用に関連する概念的な手順を示しています。 ケープとキャップの関係 