当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] 文件服务器的动态访问控制 - 第 2 部分

作者:精品下载站 日期:2024-12-14 08:14:39 浏览:13 分类:玩电脑

文件服务器的动态访问控制 - 第 2 部分


[玩转系统] 文件服务器的动态访问控制 - 第 2 部分

在本文的第一部分中,我们创建并启用了动态访问控制、配置的声明类型以及配置的资源属性列表。在这一部分中,我们将继续配置中央访问规则并配置中央访问策略。配置中央访问策略后,我们需要创建一个新的组策略来发布中央访问规则并使用必要的分类配置共享文件夹。然后,最后验证共享文件夹的有效权限,以确保只有合适的人才能访问共享文件夹。

中央访问规则:这些规则是涉及上述定义的提供访问或拒绝权限的声明的条件集。

  1. 连接Widows Server 2012并连接Active Directory管理中心->动态访问控制
  2. 右键单击“中央访问规则”->新建->中央访问规则
  3. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  4. 在“创建访问规则”弹出窗口中输入适当的名称 -> 编辑目标资源 -> 单击“添加条件”。
  5. 选择目标资源 -> 编辑并更新资源条件,如下定义。
  6. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  7. 在“创建中央访问规则”窗口中的“权限”下,确保选中“使用以下权限作为当前权限”,然后单击“编辑”。
  8. 在“权限输入”窗口 -> 点击“选择主体” -> 搜索
    “经过身份验证的用户”-> 单击“确定”。
  9. 在基本权限处,选择修改权限并保留其他预先存在的默认权限
  10. 单击“添加条件”两次并按如下定义修改条件。
  11. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  12. 在“权限”条目中单击“确定”以获取权限,然后在“高级安全设置”中单击“确定”以获取权限,并在中央访问规则窗口中单击“确定”以创建新的中央访问规则

中央访问策略:它可以是一个或多个中央访问规则,用于提供必要的权限。在将其分发到文件服务器之前,我们需要添加中央访问规则。

  1. 连接到 Active Directory 管理中心并选择动态访问控制。
  2. 右键单击“中心”窗格并选择“新建”->“中央访问策略”。
  3. 提供适当的名称,然后单击“添加”按钮添加刚刚创建的中央访问规则。
  4. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

配置组策略发布中心访问规则:配置组策略将中心访问规则发布到文件服务器。

  1. 连接到服务器管理器 -> 启动“组策略管理”控制台。
  2. 展开域并右键单击“组策略对象”-> 单击“新建”-> 提供名称“GPO FileServer DAC”,然后单击“确定”。
  3. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  4. 编辑新创建的GPO“GPO FileServer DAC”
  5. 展开计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 文件系统 -> 右键单击中央访问策略 -> 单击管理中央访问策略以进行相同操作。
  6. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  7. 从列表中选择中央访问策略,然后单击“添加”按钮。
  8. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  9. 在中央访问策略中单击“确定”,然后在组策略管理器编辑器窗口中单击“确定”
  10. 最后将 GPO 链接到域。要执行相同的操作,请从组策略管理控制台右键单击域名“blue.com”,然后选择新创建的组策略对象 - “GPO Fileserver DAC”。
  11. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  12. 单击“确定”应用 GPO 并关闭组策略管理控制台。

这样,动态访问控制和 GPO 配置就差不多完成了。现在我们需要在文件服务器上配置“共享文件夹”。请参阅以下步骤:

  1. 连接到已安装文件服务器资源管理器功能的文件服务器。
  2. 右键单击共享文件夹 -> 选择属性 -> 单击“分类”选项卡。
  3. 在窗口顶部选择“国家/地区”资源属性,然后从下面选择“印度”。
  4. 同样,对部门执行相同的操作。选择“部门”,然后从下面的值中选择“IT”。
  5. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

  6. 选择“安全”选项卡,单击“高级”,然后选择“中央策略”选项卡。
  7. 单击“更改”并选择我们从下拉菜单中创建的“中央访问策略”,然后单击“确定”应用相同的策略。
  8. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

有效访问:有效访问有助于确定谁有权访问共享文件夹以及谁被拒绝访问共享文件夹。仅当条件与国家/地区为印度、部门为 IT 的用户属性匹配时,才会提供访问权限。如果不满足条件,则不授予访问权限。以下是验证相同内容的步骤:

  1. 右键单击共享文件夹,然后单击“安全”选项卡,然后单击“高级”
  2. 选择“有效访问”选项卡,然后单击“选择用户”并搜索所需的用户。
  3. 单击“查看有效访问权限”。如果用户属性与规则匹配(国家/地区=印度,部门=IT),则它将显示提供给用户的权限列表。同样,如果用户属性与条件不匹配,则用户访问将被拒绝。下面给出的快照是不满足访问共享文件夹条件的用户 Krishna kumar 被拒绝访问的示例。
  4. [玩转系统] 文件服务器的动态访问控制 - 第 2 部分

至此,我们就完成了文件服务器上动态访问控制的配置。管理文件服务器权限非常复杂,保护某些关键信息也具有挑战性。当新员工加入或他在组织内的角色发生变化时,需要花费大量的管理工作来提供和删除文件服务器上的必要权限。动态访问控制简化了管理模型并确定将资源访问权限授予正确的人员。

要审核 Windows 文件服务器上的更改,您可以使用 Lepide File Server Auditor 软件。此文件服务器审核工具跟踪对 Windows 文件服务器上的文件/文件夹、权限和共享资源所做的所有更改。

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯