Централизованные политики авторизации

Центральная политика авторизации (CAP) собирает определенные правила авторизации (CAPR) в одну политику. Чтобы разрешить объединение определенных правил авторизации (CAPR) в целостную политику авторизации организации, capRs можно ссылаться вместе и применять к набору ресурсов. Это делается путем сбора нескольких (по ссылке) в CAP. После определения CAP он может быть распределен диспетчерами ресурсов для применения политики авторизации организации к ресурсам.

Cap имеет следующие атрибуты:

• Коллекция CAPR — список ссылок на существующие объекты CAPR
• Идентификатор (sid)
• Описание
• Имя

Cap вычисляется во время оценки доступа для файлов и папок, в которых администратор включает его. При вызове AccessCheck проверка CAP логически сочетается с проверкой ACL по усмотрению; Это означает, что для получения доступа к файлу, к которому применяется CAP, пользователю требуется доступ как в соответствии с CAP (связанными capRs), так и дискреционным ACL в файле.

Пример CAP:

CORPORATE-FINANCE-CAP]
CAPID=S-1-5-3-4-56-45-67-123
Policies=HBI-CAPE;RETENTION-CAPR

Определение CAP

Cap создается и редактируется в Active Directory с помощью нового пользовательского интерфейса в ADAC (или PowerShell), который позволяет администратору создать CAP и указать набор CAPR, составляющих CAP.