Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O objetivo da Regra de Política de Autorização Central (CAPR) é fornecer uma definição em todo o domínio de um aspeto isolado da política de autorização da organização. O administrador define o CAPR para fazer cumprir um dos requisitos de autorização específicos. Como o CAPR define apenas um requisito específico desejado da política de autorização, ele pode ser definido e compreendido de forma mais simples do que se todos os requisitos da política de autorização da organização forem compilados em uma única definição de política.
O CAPR tem os seguintes atributos:
- Nome – identifica o CAPR para os administradores.
- Descrição – define a finalidade do CAPR e qualquer informação que possa ser necessária para os consumidores do CAPR.
- Expressão de Aplicabilidade – define os recursos ou situações em que a política será aplicada.
- ID – identificador para uso na auditoria de alterações no CAPR.
- Política de Controle de Acesso Eficaz – um descritor de segurança do Windows que contém uma DACL que define a política de autorização efetiva.
- Expressão de exceção – uma ou mais expressões que fornecem um meio para substituir a política e conceder acesso a um principal de acordo com a avaliação da expressão.
- Política de preparo – um descritor de segurança opcional do Windows que contém uma DACL que define uma política de autorização proposta (lista de entradas de controle de acesso) que será testada em relação à política efetiva, mas não imposta. Se houver uma diferença entre os resultados da política efetiva e da política de preparo, a diferença será registrada no log de eventos de auditoria.
- Como o preparo pode ter um efeito imprevisível no desempenho do sistema, um administrador de Diretiva de Grupo deve ser capaz de selecionar máquinas específicas nas quais o preparo estará em vigor. Isso permite que a política existente esteja em vigor na maioria das máquinas em uma UO enquanto o preparo está acontecendo em um subconjunto das máquinas.
- P2 – Um administrador local em uma máquina específica deve ser capaz de desativar o preparo se o preparo nessa máquina estiver causando muita degradação de desempenho.
- Backlink para CAP – Uma lista de backlinks para quaisquer CAPs que possam estar se referindo a este CAPR.
Durante a verificação de acesso, o CAPR é avaliado quanto à aplicabilidade com base na expressão de aplicabilidade. Se um CAPR for aplicável, ele é avaliado para saber se ele fornece ao usuário solicitante o acesso solicitado ao recurso identificado. Os resultados da avaliação do CAPE são então logicamente unidos por E com os resultados da DACL sobre o recurso e quaisquer outros CAPRs aplicáveis em vigor no recurso.
Exemplo de CAPRs:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
Negar ACEs em CAPEs
No Windows 8, negar ACEs não será suportado em um CAPR. A UX de criação do CAPR não permitirá a criação de uma ACE de negação. Além disso, quando o LSA recuperar o CAP do Ative Directory, o LSA verificará se nenhum CAPR negou ACEs. Se uma ACE de negação for encontrada em um CAPR, o CAP será tratado como inválido e não será copiado para o registro ou SRM.
Observação
A verificação de acesso não exigirá a presença de ACEs de negação. Negar ACEs em um CAPR será aplicado. Espera-se que as ferramentas de criação impeçam que isso aconteça.
Definição de CAPE
Os CAPRs são criados por meio de uma nova experiência do usuário fornecida no Centro Administrativo do Ative Directory (ADAC). No ADAC, uma nova opção de tarefa é fornecida para criar um CAPR. Quando essa tarefa for selecionada, o ADAC solicitará ao usuário uma caixa de diálogo solicitando ao usuário um nome CAPR e uma descrição. Quando eles são fornecidos, os controles para definir qualquer um dos elementos CAPR restantes tornam-se habilitados. Para cada um dos elementos CAPR restantes, a UX chamará o ACL-UI para permitir a definição de expressão e/ou ACLs.
Tópicos relacionados