Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Celem centralnej reguły zasad autoryzacji (CAPR) jest zapewnienie definicji całego domeny izolowanego aspektu zasad autoryzacji organizacji. Administrator definiuje capR w celu wymuszenia jednego z określonych wymagań dotyczących autoryzacji. Ponieważ capR definiuje tylko jedno specyficzne wymaganie zasad autoryzacji, można je po prostu zdefiniować i zrozumieć, niż jeśli wszystkie wymagania zasad autoryzacji organizacji są kompilowane w jednej definicji zasad.
CapR ma następujące atrybuty:
- Nazwa — identyfikuje capR administratorom.
- Opis — definiuje cel CAPR i wszelkie informacje, które mogą być potrzebne przez konsumentów CAPR.
- Wyrażenie stosowania — definiuje zasoby lub sytuacje, w których zostaną zastosowane zasady.
- ID — identyfikator do użycia w inspekcji zmian w CAPR.
- Obowiązujące zasady kontroli dostępu — deskryptor zabezpieczeń systemu Windows zawierający listę DACL definiującą obowiązujące zasady autoryzacji.
- Wyrażenie wyjątku — co najmniej jedno wyrażenie, które zapewnia metodę zastąpienia zasad i udzielanie dostępu do podmiotu zabezpieczeń zgodnie z oceną wyrażenia.
- Zasady przejściowe — opcjonalny deskryptor zabezpieczeń systemu Windows zawierający listę DACL definiującą proponowane zasady autoryzacji (listę wpisów kontroli dostępu), które będą testowane względem obowiązujących zasad, ale nie są wymuszane. Jeśli istnieje różnica między wynikami obowiązujących zasad a zasadami przejściowymi, różnica zostanie zarejestrowana w dzienniku zdarzeń inspekcji.
- Ponieważ przemieszczanie może mieć nieprzewidywalny wpływ na wydajność systemu, administrator zasad grupy musi mieć możliwość wyboru określonych maszyn, na których będzie obowiązywać przemieszczanie. Dzięki temu istniejące zasady mogą znajdować się na większości maszyn w jednostki organizacyjnej podczas przemieszczania w podzestawie maszyn.
- P2 — administrator lokalny na określonej maszynie powinien mieć możliwość wyłączenia przemieszczania, jeśli przemieszczanie na tym komputerze powoduje zbyt duże obniżenie wydajności.
- Backlink to CAP — lista linków zwrotnych do wszystkich adresów CAPs, które mogą odnosić się do tego CAPR.
Podczas sprawdzania dostępu funkcja CAPR jest oceniana pod kątem stosowania na podstawie wyrażenia stosowania. Jeśli klucz CAPR ma zastosowanie, jest obliczany pod kątem tego, czy udostępnia użytkownikowi żądającemu żądany dostęp do zidentyfikowanego zasobu. Wyniki oceny CAPE są następnie logicznie łączone przez AND z wynikami daCL w zasobie i wszelkich innych odpowiednich capRs w wpływie na zasób.
Przykładowe ściągnięcia:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
Odmowa kontroli dostępu w capes
W systemie Windows 8 odmowa kontroli dostępu nie będzie obsługiwana w capR. Środowisko użytkownika tworzenia capR nie pozwoli na utworzenie odmowy ACE. Ponadto, gdy LSA pobiera cap z usługi Active Directory, LSA sprawdzi, czy żadne reguły CAPR nie mają odmowy ACL. Jeśli w capR zostanie znaleziona odmowa ACE, cap będzie traktowany jako nieprawidłowy i nie zostanie skopiowany do rejestru lub SRM.
Nuta
Sprawdzanie dostępu nie będzie wymuszać, że nie ma żadnych odmów acEs. Zostaną zastosowane odmowy kontroli dostępu w capR. Oczekuje się, że narzędzia do tworzenia zapobiegną temu.
Definicja przylądka
W Centrum administracyjnym usługi Active Directory (ADAC) są tworzone nowe środowisko użytkownika. W usłudze ADAC udostępniono nową opcję zadania w celu utworzenia capR. Po wybraniu tego zadania usługa ADAC wyświetli monit o wyświetlenie monitu użytkownika z prośbą o podanie nazwy capr i opisu. Po ich udostępnieniu kontrolki definiujące dowolny z pozostałych elementów CAPR stają się włączone. Dla każdego z pozostałych elementów CAPR w środowisku użytkownika zostanie wywołane ACL-UI, aby zezwolić na definicję wyrażeń i/lub list ACL.
Tematy pokrewne