Share via

中央授权策略规则

  • 项目

中央授权策略规则 (CAPR) 的目的是提供组织授权策略的隔离方面的域范围定义。 管理员定义 CAPR 以强制实施特定授权要求之一。 由于 CAPR 只定义授权策略的一个特定所需要求,因此可以更简单地定义和理解它,而不是将组织的所有授权策略要求编译为单个策略定义。

CAPR 具有以下属性:

  • 名称 - 向管理员标识 CAPR。
  • 说明 - 定义 CAPR 的用途以及 CAPR 使用者可能需要的任何信息。
  • 适用性表达式 – 定义将应用策略的资源或情况。
  • ID - 用于审核 CAPR 更改的标识符。
  • 有效访问控制策略 - 包含定义有效授权策略的 DACL 的 Windows 安全描述符。
  • 异常表达式 - 一个或多个表达式,这些表达式提供替代策略的方法,并根据表达式的计算授予对主体的访问权限。
  • 暂存策略 – 一个可选的 Windows 安全描述符,其中包含一个 DACL,该描述符定义建议的授权策略 (访问控制项列表) ,这些条目将针对有效策略进行测试,但不强制执行。 如果有效策略的结果与暂存策略之间存在差异,则会在审核事件日志中记录差异。
    • 由于暂存可能会对系统性能产生不可预知的影响,因此组策略管理员必须能够选择将对其生效的特定计算机。 这样,在一部分计算机上发生暂存时,就可以在 OU 中的大多数计算机上部署现有策略。
    • P2 – 如果特定计算机上的暂存导致过多的性能下降,则特定计算机上的本地管理员应该能够禁用暂存。
  • 到 CAP 的反向链接 – 指向可能引用此 CAPR 的任何 CAP 的反向链接列表。

在访问检查期间,将根据适用性表达式评估 CAPR 的适用性。 如果 CAPR 适用,则会评估它是否向请求用户提供对标识资源的请求访问权限。 然后,通过 AND 逻辑将 CAPE 评估的结果与资源上的 DACL 的结果以及对资源生效的任何其他适用 CAPR 的结果相联接。

示例 CAPR:

[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
 
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have 
full control to them to put them out of retention when the time comes"
 
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"

拒绝 CAPE 中的 ACE

在 Windows 8 CAPR 中不支持拒绝 ACE。 CAPR 创作 UX 不允许创建拒绝 ACE。 此外,当 LSA 从 Active Directory 检索 CAP 时,LSA 将验证没有 CAPR 拒绝 ACE。 如果在 CAPR 中找到拒绝 ACE,则 CAP 将被视为无效,并且不会复制到注册表或 SRM。

注意

访问检查不会强制执行不存在任何拒绝 ACE。 将应用 CAPR 中的拒绝 ACE。 预计创作工具将阻止这种情况发生。

 

CAPE 定义

通过 Active Directory 管理中心中提供的新 UX (ADAC.) ADAC 中提供了用于创建 CAPR 的新任务选项,因此会创建 CAPR。 选择此任务后,ADAC 将通过对话框提示用户输入 CAPR 名称和说明。 提供这些元素后,将启用用于定义任何剩余 CAPR 元素的控件。 对于剩余的每个 CAPR 元素,UX 将调用 ACL-UI,以允许定义表达式和/或 ACL。

AccessCheck

动态访问控制 (DAC) 方案