Partager via

Règle de stratégie d’autorisation centrale

  • Article

L’objectif de la règle de stratégie d’autorisation centrale (CAPR) est de fournir une définition à l’échelle du domaine d’un aspect isolé de la stratégie d’autorisation de l’organisation. L’administrateur définit le CAPR pour appliquer l’une des exigences d’autorisation spécifiques. Étant donné que le CAPR ne définit qu’une seule exigence souhaitée spécifique de la stratégie d’autorisation, elle peut être plus simplement définie et comprise que si toutes les exigences de stratégie d’autorisation de l’organisation sont compilées en une seule définition de stratégie.

Le CAPR a les attributs suivants :

  • Nom : identifie le CAPR aux administrateurs.
  • Description : définit l’objectif du CAPR et toute information qui peut être nécessaire aux consommateurs du CAPR.
  • Expression d’applicabilité : définit les ressources ou les situations dans lesquelles la stratégie sera appliquée.
  • ID : identificateur à utiliser lors de l’audit des modifications apportées au CAPR.
  • Stratégie de contrôle d’accès effective : descripteur de sécurité Windows contenant une liste de contrôle d’accès effective qui définit la stratégie d’autorisation effective.
  • Expression d’exception : une ou plusieurs expressions qui fournissent un moyen de remplacer la stratégie et d’accorder l’accès à un principal en fonction de l’évaluation de l’expression.
  • Stratégie de préproduction : descripteur de sécurité Windows facultatif contenant une liste de contrôle d’accès qui définit une stratégie d’autorisation proposée (liste des entrées de contrôle d’accès) qui sera testée par rapport à la stratégie effective, mais qui n’est pas appliquée. S’il existe une différence entre les résultats de la stratégie effective et la stratégie de préproduction, la différence est enregistrée dans le journal des événements d’audit.
    • Étant donné que la préproduction peut avoir un effet imprévisible sur les performances du système, un administrateur de stratégie de groupe doit être en mesure de sélectionner des ordinateurs spécifiques sur lesquels la préproduction sera en vigueur. Cela permet à la stratégie existante d’être en place sur la plupart des machines d’une unité d’organisation pendant que la mise en lots se produit sur un sous-ensemble des machines.
    • P2 : un administrateur local sur un ordinateur particulier doit être en mesure de désactiver la mise en lots si la mise en lots sur cet ordinateur provoque une dégradation trop importante des performances.
  • Instance de l’ACP – Liste des octets à toute autorité de certification qui peut faire référence à ce CAPR.

Lors de la vérification d’accès, le CAPR est évalué pour l’applicabilité en fonction de l’expression d’applicabilité. Si un CAPR est applicable, il est évalué pour déterminer s’il fournit à l’utilisateur demandeur l’accès demandé à la ressource identifiée. Les résultats de l’évaluation cape sont ensuite joints logiquement par AND avec les résultats du DACL sur la ressource et tous les autres CAPR applicables en vigueur sur la ressource.

Exemple de CAPR :

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Refuser les AE dans les capes

Dans Windows 8, les AE de refus ne sont pas prises en charge dans un CAPR. L’expérience utilisateur de création CAPR n’autorise pas la création d’un ACE de refus. En outre, lorsque l’ACL récupère le cap à partir d’Active Directory, LSA vérifie qu’aucun CAPR n’a d’acEs de refus. Si un ACE de refus est trouvé dans un CAPR, le cap sera traité comme non valide et ne sera pas copié dans le Registre ou le SRM.

Note

La vérification d’accès n’applique pas qu’aucune acEs de refus n’est présente. Refuser les AE dans un CAPR est appliqué. On s’attend à ce que les outils de création empêchent cela.

 

Définition cape

Les CAPR sont créés bien qu’une nouvelle expérience utilisateur fournie dans le Centre d’administration Active Directory (ADAC.) Dans ADAC, une nouvelle option de tâche est fournie pour créer un CAPR. Lorsque cette tâche est sélectionnée, ADAC invite l’utilisateur à entrer une boîte de dialogue demandant à l’utilisateur d’entrer un nom CAPR et une description. Lorsqu’ils sont fournis, les contrôles permettant de définir l’un des éléments CAPR restants deviennent activés. Pour chacun des éléments CAPR restants, l’expérience utilisateur appelle l'ACL-UI pour autoriser la définition d’expression et/ou des ACL.

AccessCheck

scénario de contrôle d’accès dynamique (DAC)