中央授权策略规则
中央授权策略规则(CAPR)的目的是提供组织授权策略独立方面的域范围定义。 管理员定义 CAPR 以强制实施特定授权要求之一。 由于 CAPR 仅定义了授权策略的一个特定所需要求,因此可以更简单地定义和理解,而不是将组织的所有授权策略要求编译为单个策略定义。
CAPR 具有以下属性:
- 名称 – 向管理员标识 CAPR。
- 说明 – 定义 CAPR 的用途以及 CAPR 使用者可能需要的任何信息。
- 适用性表达式 – 定义将应用策略的资源或情况。
- ID – 用于审核 CAPR 更改的标识符。
- 有效的访问控制策略 – 包含定义有效授权策略的 DACL 的 Windows 安全描述符。
- 异常表达式 – 提供替代策略的方法的一个或多个表达式,并根据表达式的计算授予对主体的访问权限。
- 暂存策略 – 一个可选的 Windows 安全描述符,其中包含定义建议的授权策略(访问控制条目列表)的 DACL,该策略将针对有效策略进行测试,但不强制实施。 如果有效策略的结果与暂存策略的结果之间存在差异,则会在审核事件日志中记录差异。
- 由于暂存可能会对系统性能产生不可预知的影响,因此组策略管理员必须能够选择将生效暂存的特定计算机。 这样,现有策略就可以在 OU 中的大多数计算机上就位,而暂存发生在计算机的子集上。
- P2 – 特定计算机上的本地管理员应该能够在该计算机上的暂存导致性能下降过多时禁用暂存。
- 反向链接到 CAP – 指向可能引用此 CAPR 的任何 CAP 的回退链接列表。
在访问检查期间,将根据适用性表达式评估 CAPR 的适用性。 如果 CAPR 适用,则会评估它是否向请求用户提供对标识资源的请求访问权限。 然后,CAPE 评估的结果由 AND 与资源上的 DACL 的结果以及对资源生效的任何其他适用 CAPR 的结果进行逻辑联接。
示例 CAPR:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
拒绝 CAPE 中的 ACE
在 Windows 8 中,CAPR 不支持拒绝 ACE。 CAPR 创作 UX 不允许创建拒绝 ACE。 此外,当 LSA 从 Active Directory 检索 CAP 时,LSA 将验证没有 CAPR 拒绝 ACE。 如果在 CAPR 中找到拒绝 ACE,则 CAP 将被视为无效,不会复制到注册表或 SRM。
注意
访问检查不会强制实施任何拒绝 ACE。 将应用 CAPR 中的拒绝 ACE。 预计创作工具将阻止这种情况发生。
CAPE 定义
CAPR 是在 Active Directory 管理中心(ADAC)中提供的新 UX 创建的。在 ADAC 中,提供了用于创建 CAPR 的新任务选项。 选择此任务后,ADAC 会提示用户输入一个对话框,询问用户输入 CAPR 名称和说明。 提供这些元素后,将启用用于定义任何剩余 CAPR 元素的控件。 对于每个剩余的 CAPR 元素,UX 将调用 ACL-UI,以允许定义表达式和/或 ACL。
相关主题