集中式授权策略
动态访问控制(DAC)方案 为企业文件服务器方案启用集中式访问控制管理。 大多数组织都有多个区域,他们希望控制访问权限。
示例包括:
- 控制对敏感信息的访问,其中标记为敏感的文件具有特定权限
- 控制对包含个人身份信息的文件的访问 (PII.)
- 根据组织保留策略限制对文档的访问。
提供了几个新的授权策略抽象,允许管理员集中定义这些策略,并通过允许单独定义和维护这些访问要求来简化定义过程,但应用为一个策略。
Windows 8 中引入了两个新的 Active Directory 策略对象:中央授权策略(capr)和 中央授权策略规则(capr),以基于声明和资源属性的表达式定义和应用集中式授权策略。 在使用这些对象时,管理员将 capr 定义为特定的授权策略,该策略可应用于具有特定属性或满足特定适用性条件的资源。 例如标记为“高业务影响”的文档。 可以在组织内为每个可表达的所需访问控制策略定义斗篷,并且可以根据 windows 8 dac 表达式来标识应用该策略的资源。 上限是可同时应用于资源的 capr 的集合。 下图显示了上限和斗篷的关系,以及定义和将这些对象应用于文件资源所涉及的概念步骤。 斗篷和帽关系