Приложение А. Глоссарий по динамическому контролю доступа

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Ниже приведен список терминов и определений, которые включены в сценарий динамического управления доступом.

Термин Определение
Автоматическая классификация Классификация, которая выполняется на основе свойств классификации, которые определяются правилами классификации, настроенными администратором.
капид Идентификатор централизованной политики доступа. Этот идентификатор ссылается на определенную централизованную политику доступа и используется для ссылки на политику из дескриптора безопасности файлов и папок.
Централизованное правило доступа Правило, включающее условие и выражение доступа.
Централизованная политика доступа Политики, созданные и размещенные в Active Directory.
Управление доступом на основе утверждений Парадигма, использующая утверждения для принятия решений по контролю доступа к ресурсам.
Классификация Процесс определения свойств классификации ресурсов и присвоения этих свойств метаданным, связанным с ресурсами. См. также раздел REF Аутоматикклассификатион \h \ * МЕРЖЕФОРМАТ автоматическая классификация, REF Инхеритедклассификатион \h \ * МЕРЖЕФОРМАТ унаследованная классификация и ссылка Мануалклассификатион \h \ * MERGEFORMAT классификация вручную.
Утверждение устройства Утверждение, связанное с системой. С утверждениями пользователя оно включается в маркер пользователя, пытающегося получить доступ к ресурсу.
Список управления доступом на уровне пользователей (DACL) Список управления доступом, определяющий доверенные лица, которым разрешен или запрещен доступ к защищаемому ресурсу. Его можно изменить по собственному владельцу ресурса.
Свойство ресурса Свойства (например, метки), которые описывают файл и назначаются файлам с помощью автоматической классификации или классификации вручную. к примерам относятся: чувствительность, Project и срок хранения.
File Server Resource Manager компонент операционной системы Windows Server, обеспечивающий управление квотами папок, блокировкой файлов, отчетами хранилища, классификацией файлов и заданиями управления файлами на файловом сервере.
Свойства и метки папки Свойства и метки, описывающие папку и назначенные администраторами и владельцами папок вручную. Эти свойства назначают значения свойств по умолчанию файлам в этих папках, например, безопасной или подразделении.
Групповая политика Набор правил и политик, управляющих рабочей средой пользователей и компьютеров в среде Active Directory.
Классификация почти в реальном времени Автоматическая классификация, которая выполняется вскоре после создания или изменения файла.
Задачи управления файлами практически в реальном времени Задачи управления файлами, которые выполняются вскоре после (создание или изменение файла). Эти задачи инициируются классификацией практически в реальном времени.
Подразделение Контейнер Active Directory, представляющий иерархические логические структуры в Организации. Это самая маленькая область, к которой применяются параметры групповая политика.
Безопасное свойство Свойство классификации, которому может доверять среда выполнения авторизации, является действительным утверждением ресурса в определенный момент времени. В управлении доступом на основе утверждений защищенное свойство, назначенное ресурсу, рассматривается как утверждение ресурса.
Дескриптор безопасности Структура данных, содержащая сведения о безопасности, связанные с защищаемым ресурсом, например списки управления доступом.
Язык определения дескрипторов безопасности Спецификация, описывающая сведения в дескрипторе безопасности в виде текстовой строки.
Промежуточная политика Централизованная политика доступа, которая еще не действует.
Системный список управления доступом (SACL) Список управления доступом, указывающий типы попыток доступа, определяемые определенными доверенными лицами, для которых необходимо создавать записи аудита.
Утверждение пользователя Атрибуты пользователя, предоставленные в маркере безопасности пользователя. к примерам относятся: отдел, компания, Project и пространство безопасности. сведения в токене пользователя из систем до Windows Server 2012, таких как группы безопасности, в которые входит пользователь, также могут считаться утверждениями пользователя. Некоторые утверждения пользователей предоставляются с помощью Active Directory и другие вычисляются динамически, например, зарегистрирован ли пользователь с помощью смарт-карты.
Токен пользователя Объект данных, определяющий пользователя, а также утверждений пользователей и устройств, связанных с этим пользователем. Он используется для авторизации доступа пользователя к ресурсам.

См. также:

Динамический контроль доступа. Обзор сценария