文件服务器的动态访问控制 - 第 1 部分

动态访问控制 (DAC) 是 Windows Server 2012 和 Windows 8 中引入的一项新功能。它允许应用基于条件规则的访问控制和受限权限来动态访问文件和文件夹。例如，如果新用户加入某个部门，或者员工从一个部门调动到另一个部门或者其角色发生变化，则文件和文件夹权限更改将动态添加和删除，无需管理员干预。但是，它不支持 Windows Server 2012 和 Windows 8 之前的任何操作系统。与提供动态权限的动态控制相关的一些实体包括：

声明类型：它可以是域控制器已发布的用户、设备（计算机等）或资源。更具体地说，它可以是用户头衔、部门、位置、其他属性或这些属性的组合，可以被视为提供对资源的访问的有效声明。

资源属性：创建可应用于共享文件资源的分类或标签。分类可能就像用部门名称标记文件夹一样。将此值与用户声明 AD 属性进行比较以获得有效权限。

资源属性列表(RPL)：每个资源属性都会添加到资源属性列表中，并将其下载到文件服务器。可以在文件服务器上部署任意数量的 RPL，并且可以在组织中的所有文件服务器上部署全局资源属性列表。

中央访问规则：这些规则是涉及提供访问或拒绝权限的声明的条件集。

中央访问策略：它可以是一个或多个中央访问规则，用于提供必要的权限。这些是对文件和文件夹提供的本地 NTFS 权限的补充。

现在，我们来了解一下如何通过DAC模型为文件和文件夹提供必要的权限。

在环境中配置动态访问控制之前，我们需要配置域以支持它。以下是执行相同操作的步骤：

1. 连接到blue.com 域控制 -> 访问组策略管理控制台 -> 域控制器 -> 右键单击默认域控制器策略并选择编辑。



2. 在组策略管理编辑器中，双击计算机配置 -> 策略 -> 管理模板 -> 系统 -> KDC
3. 右键单击“KDC 支持声明、复合身份验证和 Kerberos 防护”并启用它。

配置声明类型：

在此步骤中，我们将通过定义用于提供对资源的访问的 Active Directory 属性来配置声明。

1. 登录 Windows Server 2012，单击“开始”->“运行”，然后输入“DSAC”启动“Active Directory 管理中心”。
2. 在左侧窗格中，单击“动态访问控制” -> 选择声明类型 -> 右键单击选择“新建”，然后选择声明类型。
3. 搜索“C”以创建国家/地区的声明类型，然后向下滚动以添加建议值“印度”和显示名称“印度”



4. 重复相同的步骤，在索赔类型中搜索“部门”并添加“IT”，然后单击“确定”

资源属性

动态访问控制允许创建资源属性，可以将其下载到文件服务器并标记它们以进行分类。以下是执行相同操作的步骤：

1. 连接到 Active Directory 管理员中心 -> 选择“动态访问控制”
2. 双击资源属性 -> 右键单击“部门”并选择“启用”



3. 从右下部分，选择新建 -> 资源属性 -> 输入显示名称“国家/地区” -> 单击“添加”将建议值添加为“印度”作为显示名称。



4. 右键单击资源属性中的“部门”，然后选择“启用”。

资源属性列表

将上面创建的资源属性添加到资源属性列表中，并将该配置列表下载到文件服务器。

1. 连接到 Windows Server 2012 并访问 Active Directory 管理中心。
2. 双击动态访问控制 -> 从左侧窗格中选择资源属性列表。
3. 双击中心窗格中的全局资源属性列表。
4. 单击“添加”，然后在“全球资源属性列表”中选择国家和部门，然后单击“确定”。



5. 最后，关闭全局资源属性列表窗口。

因此，到本部分结束时，我们几乎已经为文件服务器配置了 DAC。我们已经配置了声明类型、资源属性和资源属性列表。在下一部分中，我们将配置中央访问规则、中央访问策略并管理共享文件夹，以确保仅将必要的权限应用于正确的用户。