付録 A: ダイナミック アクセス制御の用語集
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
次に、動的 Access Control シナリオに含まれる用語と定義の一覧を示します。
項目 | 定義 |
---|---|
自動分類 | 管理者によって構成された分類規則によって決定される分類プロパティに基づいて発生する分類。 |
CAPID | 集約型アクセス ポリシー。 この ID は、特定の集約型アクセスポリシーを参照し、ファイルやフォルダーのセキュリティ記述子からポリシーを参照するために使用されます。 |
集約型アクセス規則 | 条件とアクセス式を含むルール。 |
集約型アクセス ポリシー | Active Directory で作成およびホストされるポリシー。 |
要求ベースのアクセス制御 | 要求を利用してリソースに対するアクセス制御の決定を行うパラダイム。 |
分類 | リソースの分類プロパティを決定し、リソースに関連付けられているメタデータにこれらのプロパティを割り当てるプロセス。 「REF 自動分類 \h \ * MERGEFORMAT Automatic 分類」、「REF InheritedClassification \h」、「MERGEFORMAT 継承された分類」、および「REF ManualClassification \h \ * MERGEFORMAT Manual 分類」も参照してください。 |
デバイスの信頼性情報 | システムに関連付けられているクレーム。 ユーザーの信頼性情報は、リソースにアクセスしようとしているユーザーのトークンに含まれています。 |
随意アクセス制御リスト (DACL) | セキュリティ保護可能なリソースへのアクセスを許可または拒否するトラスティを識別するアクセス制御リスト。 リソース所有者の判断で変更できます。 |
リソース プロパティ | ファイルを記述するプロパティ (ラベルなど)。自動分類または手動分類を使用してファイルに割り当てられます。 例としては、秘密度、Project、リテンション期間などがあります。 |
File Server Resource Manager | ファイルサーバー上のフォルダークォータ、ファイルスクリーニング、記憶域レポート、ファイル分類、およびファイル管理ジョブの管理を提供する、Windows サーバーオペレーティングシステムの機能。 |
フォルダーのプロパティとラベル | フォルダーを説明するプロパティとラベルは管理者とフォルダーの所有者によって手動で割り当てられます。 これらのプロパティは、これらのフォルダー内のファイルに対して既定のプロパティ値を割り当てます。たとえば、機密性や Department などです。 |
グループ ポリシー | Active Directory 環境におけるユーザーとコンピューターの作業環境を制御する一連の規則とポリシー。 |
ほぼリアルタイムの分類 | ファイルが作成または変更された直後に実行される自動分類。 |
ほぼリアルタイムのファイル管理タスク | ファイルが作成または変更された直後に実行されるファイル管理タスク。 これらのタスクは、ほぼリアルタイムの分類によってトリガーされます。 |
組織単位 (OU) | 組織内の階層構造の論理構造を表す Active Directory コンテナー。 グループポリシー設定が適用される最小のスコープです。 |
セキュリティで保護されたプロパティ | 特定の時点でのリソースに関する有効なアサーションとして承認ランタイムが信頼できる分類プロパティ。 要求ベースのアクセス制御では、リソースに割り当てられているセキュリティで保護されたプロパティはリソース要求として扱われます。 |
セキュリティ記述子 | アクセス制御リストなど、セキュリティ保護可能なリソースに関連付けられているセキュリティ情報を格納するデータ構造。 |
セキュリティ記述子定義言語 | セキュリティ記述子の情報をテキスト文字列として記述する仕様。 |
ステージングポリシー | まだ有効ではない集約型アクセスポリシー。 |
システム アクセス制御リスト (SACL) | 監査レコードを生成する必要がある特定のトラスティによるアクセス試行の種類を指定するアクセス制御リスト。 |
ユーザー要求 | ユーザーセキュリティトークン内で提供されるユーザーの属性。 例、Department、Company、Project、Security クリアランスなどがあります。 ユーザーが属しているセキュリティグループなど、Windows Server 2012 前のシステムからのユーザートークン内の情報は、ユーザーの信頼性情報と見なすこともできます。 一部のユーザー要求は Active Directory を通じて提供され、ユーザーがスマートカードを使用してログインしたかどうかなど、動的に計算されます。 |
ユーザー トークン | ユーザーと、そのユーザーに関連付けられているユーザー要求とデバイスの信頼性情報を識別するデータオブジェクト。 リソースへのユーザーのアクセスを承認するために使用されます。 |