Compartilhar via


Regra de política de autorização central

A finalidade da CAPR (Regra de Política de Autorização Central) é fornecer uma definição em todo o domínio de um aspecto isolado da política de autorização da organização. O administrador define o CAPR para impor um dos requisitos de autorização específicos. Como o CAPR define apenas um requisito desejado específico da política de autorização, ele pode ser mais simplesmente definido e compreendido do que se todos os requisitos de política de autorização da organização forem compilados em uma única definição de política.

O CAPR tem os seguintes atributos:

  • Nome – identifica o CAPR para os administradores.
  • Descrição – define a finalidade do CAPR e todas as informações que podem ser necessárias para os consumidores do CAPR.
  • Expressão de Aplicabilidade – define os recursos ou situações em que a política será aplicada.
  • ID – identificador para uso na auditoria de alterações no CAPR.
  • Política de Controle de Acesso em vigor – um descritor de segurança do Windows que contém uma DACL que define a política de autorização efetiva.
  • Expressão de exceção – uma ou mais expressões que fornecem um meio de substituir a política e conceder acesso a uma entidade de segurança de acordo com a avaliação da expressão.
  • Política de preparo – um descritor de segurança opcional do Windows que contém uma DACL que define uma política de autorização proposta (lista de entradas de controle de acesso) que será testada em relação à política efetiva, mas não imposta. Se houver uma diferença entre os resultados da política efetiva e a política de preparo, a diferença será registrada no log de eventos de auditoria.
    • Como o preparo pode ter um efeito imprevisível no desempenho do sistema, um administrador Política de Grupo deve ser capaz de selecionar computadores específicos nos quais o preparo estará em vigor. Isso permite que a política existente esteja em vigor na maioria dos computadores em uma UO enquanto o preparo está acontecendo em um subconjunto dos computadores.
    • P2 – Um administrador local em um computador específico deve ser capaz de desabilitar o preparo se o preparo nesse computador estiver causando muita degradação de desempenho.
  • Backlink para CAP – uma lista de backlinks para quaisquer CAPs que possam estar se referindo a esse CAPR.

Durante a marcar de acesso, o CAPR é avaliado quanto à aplicabilidade com base na expressão de aplicabilidade. Se um CAPR for aplicável, ele será avaliado se ele fornece ao usuário solicitante o acesso solicitado ao recurso identificado. Os resultados da avaliação cape são então logicamente unidos por AND com os resultados da DACL no recurso e quaisquer outros CAPRs aplicáveis em vigor no recurso.

CapRs de exemplo:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

Negar ACEs em CAPEs

Em Windows 8 não haverá suporte para ACEs de negação em um CAPR. A UX de criação do CAPR não permitirá a criação de uma ACE de negação. Além disso, quando o LSA recuperar o CAP do Active Directory, a LSA verificará se nenhum CAPR tem ACEs de negação. Se um ACE de negação for encontrado em um CAPR, o CAP será tratado como inválido e não será copiado para o registro ou SRM.

Observação

A marcar de acesso não imporá que não haja ACEs de negação presentes. Negar ACEs em um CAPR será aplicado. Espera-se que as ferramentas de criação impeçam que isso aconteça.

 

Definição de CAPE

Os CAPRs são criados por meio de uma nova experiência de usuário fornecida no ADAC (Centro Administrativo do Active Directory). No ADAC, uma nova opção de tarefa é fornecida para criar um CAPR. Quando essa tarefa for selecionada, o ADAC solicitará ao usuário uma caixa de diálogo solicitando ao usuário um nome CAPR e uma descrição. Quando eles são fornecidos, os controles para definir qualquer um dos elementos CAPR restantes são habilitados. Para cada um dos elementos CAPR restantes, a UX chamará a ACL-UI para permitir a definição de expressão e/ou ACLs.

AccessCheck

Cenário de DAC (Controle de Acesso dinâmico)