Condividi tramite

Regola dei criteri di autorizzazione centrale

  • Articolo

Lo scopo della regola dei criteri di autorizzazione centrale è fornire una definizione a livello di dominio di un aspetto isolato dei criteri di autorizzazione dell'organizzazione. L'amministratore definisce il CAPR per applicare uno dei requisiti di autorizzazione specifici. Poiché il capR definisce un solo requisito desiderato specifico dei criteri di autorizzazione, può essere più semplice e comprensibile rispetto a se tutti i requisiti dei criteri di autorizzazione dell'organizzazione vengono compilati in una singola definizione di criteri.

Il CAPR ha gli attributi seguenti:

  • Nome: identifica il CAPR agli amministratori.
  • Descrizione: definisce lo scopo del CAPR e tutte le informazioni che possono essere necessarie ai consumer del CAPR.
  • Espressione di applicabilità: definisce le risorse o le situazioni in cui verranno applicati i criteri.
  • ID: identificatore da usare per il controllo delle modifiche apportate al CAPR.
  • Criteri di controllo di accesso effettivi: descrittore di sicurezza di Windows contenente un DACL che definisce i criteri di autorizzazione effettivi.
  • Espressione di eccezione: una o più espressioni che forniscono un mezzo per eseguire l'override dei criteri e concedere l'accesso a un'entità in base alla valutazione dell'espressione.
  • Criteri di gestione temporanea: descrittore di sicurezza di Windows facoltativo contenente un DACL che definisce un criterio di autorizzazione proposto (elenco di voci di controllo di accesso) che verrà testato in base ai criteri effettivi ma non applicati. Se esiste una differenza tra i risultati dei criteri effettivi e i criteri di gestione temporanea, la differenza verrà registrata nel registro eventi di controllo.
    • Poiché la gestione temporanea può avere un effetto imprevedibile sulle prestazioni del sistema, un amministratore di Criteri di gruppo deve essere in grado di selezionare computer specifici in cui verrà applicata la gestione temporanea. In questo modo i criteri esistenti possono essere applicati nella maggior parte dei computer in un'unità organizzativa mentre viene eseguita la gestione temporanea in un subset dei computer.
    • P2: un amministratore locale in un determinato computer deve essere in grado di disabilitare la gestione temporanea se la gestione temporanea in tale computer causa una riduzione eccessiva delle prestazioni.
  • Backlink a CAP: elenco di backlink a qualsiasi CAP che può fare riferimento a questo CAPR.

Durante il controllo di accesso, il capR viene valutato per l'applicabilità in base all'espressione di applicabilità. Se è applicabile un CAPR, viene valutato se fornisce all'utente richiedente l'accesso richiesto alla risorsa identificata. I risultati della valutazione CAPE vengono quindi aggiunti logicamente da AND con i risultati dell'elenco di controllo di accesso alla risorsa e di qualsiasi altro CAPR applicabile in vigore sulla risorsa.

CapR di esempio:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Rifiutare gli ACL nei capes

In Windows 8 deny ACEs non sarà supportato in un CAPR. L'esperienza utente di creazione CAPR non consentirà la creazione di un ace negato. Inoltre, quando LSA recupera il cap da Active Directory, LSA verificherà che nessun capR disponga di ACL negati. Se un ace di rifiuto viene trovato in un CAPR, il CAP verrà considerato non valido e non verrà copiato nel Registro di sistema o in SRM.

Nota

Il controllo di accesso non impone che siano presenti ACL non negati. Gli ACL negati in un CAPR verranno applicati. È previsto che gli strumenti di creazione impediscano che ciò accada.

 

Definizione CAPE

I capR vengono creati tramite una nuova esperienza utente fornita nel Centro di amministrazione di Active Directory (ADAC). In ADAC viene fornita una nuova opzione di attività per creare un capR. Quando questa attività è selezionata, ADAC richiederà all'utente una finestra di dialogo che chiede all'utente un nome CAPR e una descrizione. Quando questi vengono forniti, i controlli per definire uno degli elementi CAPR rimanenti diventano abilitati. Per ogni elemento CAPR rimanente, l'esperienza utente chiamerà il ACL-UI per consentire la definizione di espressioni e/o ACL.

AccessCheck

scenario di controllo degli accessi dinamici (DAC)