Zentrale Autorisierungsrichtlinien

Eine zentrale Autorisierungsrichtlinie (Central Authorization Policy, CAP) erfasst die spezifischen Autorisierungsregeln (CAPRs) in einer einzigen Richtlinie. Damit die spezifischen Autorisierungsregeln (CAPRs) in der ganzheitlichen Autorisierungsrichtlinie des organization kombiniert werden können, können CAPRs zusammen referenziert und auf eine Reihe von Ressourcen angewendet werden. Dies geschieht, indem mehrere (nach Verweis) in eine CAP gesammelt werden. Nachdem eine CAP definiert wurde, kann sie von Ressourcenmanagern verteilt werden, um die Organisationsautorisierungsrichtlinie auf Ressourcen anzuwenden.

Eine CAP weist die folgenden Attribute auf:

  • Auflistung von CAPRs – eine Liste von Verweisen auf vorhandene CAPR-Objekte
  • Ein Bezeichner (Sid)
  • BESCHREIBUNG
  • Name

Eine CAP wird während der Zugriffsauswertung für Dateien und Ordner ausgewertet, für die ein Administrator sie aktiviert. Während eines AccessCheck-Aufrufs wird die CAP-Überprüfung logisch mit der diskretionären ACL-Überprüfung kombiniert. Dies bedeutet, dass ein Benutzer, um Zugriff auf eine Datei zu erhalten, auf die die CAP gilt, sowohl gemäß der CAP (den zugehörigen CAPRs) als auch nach der ermessensbedingten ACL auf die Datei zugreifen muss.

CAP-Beispiel:

CORPORATE-FINANCE-CAP]
CAPID=S-1-5-3-4-56-45-67-123
Policies=HBI-CAPE;RETENTION-CAPR

CAP-Definition

Eine CAP wird in Active Directory mithilfe einer neuen UX in ADAC (oder PowerShell) erstellt und bearbeitet, die es dem Administrator ermöglicht, eine CAP zu erstellen und eine Gruppe von CAPRs anzugeben, aus denen die CAP besteht.