Cisco Cisco Identity Services Engine 1.3

policy. When you use a scope in authentication policy, it is possible that a user is authenticated via one join point, but attributes and/or
groups are retrieved via another join point that has a trust path to the user's account domain. You can use authentication domains to
ensure that no two join points in one scope have any overlap in authentication domains.

See Microsoft-imposed limits on the maximum number of usable Active Directory groups:

An authorization policy fails if the rule contains an Active Directory group name with special characters such as /, !, @, \, #, $, %,
^, &, *, (, ), _, +, or ~.

Authorization policy is determined by conditions based on dictionary attributes. Each Active Directory join point has an associated
dictionary that includes attributes and groups.

This attribute indicates which join point
was used for the user authentication.

AD-User-Join-Point

Network Access

This attribute indicates which join point
was used for the machine authentication.

AD-Host-Join-Point

Network Access

This attribute indicates which domain
DNS qualified name was used for the
user authentication.

AD-User-DNS-Domain

Network Access

This attribute indicates which domain
DNS qualified name was used for the
machine authentication.

AD-Host-DNS-Domain

Network Access

This attribute indicates which identity
store was used for machine
authentication.

MachineAuthenticationIdentityStore

Network Access

This attribute indicates whether the user's
machine was authenticated or not.

WasMachineAuthenticated

Network Access

This attribute indicates the Active
Directory group to which the user belongs
to.

ExternalGroups

Join point

This attribute indicates that the user
account is disabled or is outside of logon
hours and so is prevented from granting
access.

IdentityAccessRestricted

Join point

This attribute indicates the Active
Directory attribute for the user.

<ATTR name>

Join point