集中授權原則
中央授權原則 (CAP) 會將 (CAPR) 的特定授權規則收集到單一原則中。 若要允許將特定授權規則 (CAPR) 合併為組織的整體授權原則,CAPR 可以一起參考並套用至一組資源。 這是藉由將多個 (依參考) 收集到 CAP 來完成。 定義 CAP 之後,資源管理員就可以將其散發,以將組織授權原則套用至資源。
CAP 具有下列屬性:
- CAPR 集合 – 現有 CAPR 物件的參考清單
- 識別碼 (Sid)
- Description
- 名稱
CAP 會在存取評估期間評估系統管理員啟用的檔案和資料夾。 在 AccessCheck 呼叫期間,CAP 檢查會以邏輯方式結合任意 ACL 檢查;這表示為了取得 CAP 所套用檔案的存取權,使用者必須根據 CAP (其相關聯的 CAPR) 和檔案上的任意 ACL 來存取。
範例 CAP:
CORPORATE-FINANCE-CAP]
CAPID=S-1-5-3-4-56-45-67-123
Policies=HBI-CAPE;RETENTION-CAPR
CAP 定義
使用 ADAC (或 PowerShell) 的新 UX,在 Active Directory 中建立和編輯 CAP,可讓系統管理員建立 CAP 並指定一組組成 CAP 的 CAPR。