WindowsServer2012⾼级⽂件服务器管理-动态访问控制
【引⼦】
领导说:公司的⽂档对公司的发展⾄关重要,⼀定要保障公司⽂档的安全性和可⽤性,绝不可以泄密。
作者说:我的⽂档放在公司的服务器上安全吗?权限是如何控制的呢?
⽤户说:我想访问XX⽂档,为什么没有权限呢?我要申请权限。
安全,就像给IT穿⼀件棉袄,虽然⾏动不便,但是很暖和。⾯对着这种“领导要求‘暖和’,⽤户要求‘⽅便’“的局⾯,我们的IT管理员常常处于尴尬的地位,在各⽅⼒量的较量中,做着⽆聊的事情。
随着Windows Server 2012的发布,⼀项⾮常强⼤的⽂件服务器管理⼯具⾛进了我们的视野,那就是动态访问控制(DAC),本⽂,将为您展⽰DAC的强⼤所在……
【正⽂】
1.
1.功能概述
⼤多数企业,会将⾃⼰的数据存储在⽂件服务器,因此,IT管理员必须提供适当的安全和访问控制,在以前的Windows 服务器版本中,IT管理员主要的控制⼿段为NTFS的安全权限。但是在⽐较复杂的环境中,NTFS权限的管理,很不⽅便。我有⼀个客户,员⼯数千⼈,但是权限管理⾮常细致,以⾄于,出现个别⽤户⾪属于上千个组的情况。不仅仅是管理员的管理⼯作⾮常⿇烦,早期的Windows 版本还有每⽤户最多⾪属于1015个组的限制。
Windows Server 2012的发布,为我们带来了⼀种新的访问控制机制,即动态访问控制——DAC。动态访问控制提供了⼀种灵活的⽅式来运⽤和管理访问和审计。
DAC提供如下功能:
1、⽂件分类:可以与FSRM结合,实现对服务器上的⽂件进⾏动态的分类,例如:通过关键字过滤,来定义⽂档的保密级别等。
2、访问控制:基于中央访问策略定议⽤户的访问控制,可以实现更加丰富的权限控制,例如:要求⽤户⾪属于管理员组,并且⽤户
所使⽤的计算机也⾪属于管理员组,才拥有访问权限;或⽤户的部门属性等于⽂档的部门属性时,才拥有访问权限,以便限制跨部门的访问。
3、访问审计:可以使⽤中央审计策略定义⽂件访问审计,并⽣成审计报告。例如:审计有哪些⽤户访问过保密级别为⾼的⽂档。
4、RMS集成:与RMS集成,实现⽂档权限的进⼀步细化。例如:只允许⽤户查看⽂档,⽽不可以复制内容或者打印、转发等。
5、拒绝访问援助:可以⾃定义拒绝访问的提⽰信息,以减少服务台的⼯作量以及减少排错的时间。
2.实验环境概述
2.
本⽂实验环境如下:
Contoso公司有⼀个域名为contoso的活动⽬录,其中域控制器的主机名为DC1,并有⼀台名为SRV1的⽂件服务
器,Win7和Win8是两台客户端。所有⽤户和计算机位于组织单位DAC下。
公司的管理员对内部⽂档拥有较⾼权限,⾪属于安全组Manager;有⼀个名称为Trainer的部门,利⽤⽤户属性的部门属性进⾏标识。本实验主要实现如下两个⽬标:
1、对公司⽂档进⾏关键字过滤,进⽽实现保密级别的划分。只有当管理员组的⽤户,使⽤属于管理员组的计算机时,才可以访问⽂
档。
2、为Trainer部门建⽴共享⽂件夹,并赋予Trainer属性,只有当⽤户的部门属性为Trainer时才可以访问。
⽤户的环境如下表:
Manager
Tom⽤户/
Domain users Jerry⽤户Trainer Domain users
Win7计算机/Domain Computers Manager-WKS
Win8计算机/Domain Computers Manager-WKS
3.
3.配置AD
AD环境,以⽀持DAC
DAC
1、编辑默认域控制器策略,展开如下级别:默认域控制器策略-计算机配置-策略-管理模板-系统-KDC。
2、配置并启⽤“KDC⽀持声明、复合⾝份验证和KerberosArmoring”,选择”⽀持“。
3、以Administrator登录DC1,并刷新组策略:gpupdate/force。
4.
4.配置⽤户和设备声明
1、以Administrator⾝份登录DC1,打开AD管理中⼼。在列表视图中,点击动态访问控制。然后双击Claim Types。
2、在Claim Types容器中,新建声明类型;
3、在创建声明类型窗⼝,在源属性选项中,选择Department,在Display name框中填写Company Department,并勾选计算机
和⽤户复选框,如下图。
4、在Claim Types容器中再次新建声明类型,在源属性中选择Description;清除⽤户复框,并选择计算机复选框,如下图。
5.
5.配置资源属性
1、以管理员⾝份登录DC1,打开AD管理中⼼,点击动态访问控制,打开Resource Properties容器。
2、右键点击,并启⽤Department和Confidentiality资源属性。
3、打开Department的属性,在建议值中添加Trainer。
6.
6.配置⽂件分类
1、以管理员⾝份登录SRV1,并添加⽂件服务资源管理器(FSRM)这个⾓⾊。
2、在C盘新建两个⽂件夹,分别命名为docs和Trainer,并共享,授予everyone读写的共享权限。在c:\docs⽂件夹下新两个⽂本
⽂档和,其中⼀个⽂档包含后⾯要⽤到的关键字“保密”。
3、打开⽂件服务器资源管理器(FSRM),展开分类管理,右键点击分类属性,并选择刷新,即可获取到前⾯配置的两条分类属
性Department和Confidentiality。
4、点击分类规则,利⽤如下配置信息新建⼀条分类规则:
规则名称:⽂档保密级别
作⽤域:c:\docs
如何设置文件夹权限分类⽅法:内容分类器
分类属性:Confidentiality
指定值:High
配置参数:正则表达式,保密。(如下图)
评估类型:勾选重新评估现有的属性值,并选择覆盖现有值。
5、⽴即运⾏分类规则,也可以按需要配置分类计划。
6、打开资源浏览器,打开C:\docs,查看doc1的属性,分类标签中,Confidentiality属性为空,⽽doc2的Confidentiality属性
为High。
7、打开资源浏览器,打开C:\,并打开Trainer⽂件夹的属性,在分类标签中,将Department的值设为Trainer。
7.配置中央访问规则和中央访问策略
7.
1、以管理员⾝份登录DC1,打开AD管理中⼼,在动态访问控制中,打开Central Access Rules容器。
2、利⽤如下配置信息创建访问规则:
规则名称:Department match
⽬标资源:资源-Department-等于-值-Trainer
当前权限:
n移除Administrator
n添加Authenticate Users,完全控制权限(可按需要调整)
n添加条件:⽤户-companydepartment-等于-资源-department
3、利⽤如下资源新建另⼀条访问规则:
规则名称:访问⾼保密⽂档
⽬标资源:资源-Confidentiality-等-值-High
当前权限:
n移除Administrator
n添加Authenticate Users,完全控制权限(可按需要调整)
n添加条件:⽤户-组-⾪属于每项-值-Manager
n添加第⼆条件:设备-组-⾪属于每项-值-Manager-WKS
n设置两个条件间的关系为and
4、在AD管理中⼼,打开CentralAccess Policy容器,⽤如下配置参数创建中央访问策略:
策略名称:匹配部门
成员中⼼访问规则:department match
5、⽤如下配置参数新建另⼀条访问策略:
策略名称:保护⽂档
成员中⼼访问规则:访问⾼保密⽂档
8.发布中⼼访问策略
8.
1、在DC1服务器管理器中,打开组策略管理控制台。
2、新建组策略对象,命名为DAC,并链接⾄OU:DAC。
3、编辑组策略对象DAC,展开:计算机配置-策略-Windows设置-安全设置-⽂件系统-中⼼访问策略
4、右键点击中⼼访问策略,并选择管理中⼼访问策略,将上⾯创建的两条策略“匹配部门”和“保护⽂档”,添加到组策略中。
5、以管理员⾝份登录SRV1,刷新组策略:gpupdate/force。
6、打开资源浏览器,浏览到c:\docs,打开⽂件夹的属性,在“安全”标签中,点击⾼级,在中央策略标签中,选择“保护⽂档”这条
策略。
7、同上⾯的操作,将“匹配部门”这条策略,分配给c:\Trainer这个⽂件夹。
9.验证动态访问控制
9.
1、以tom⾝份登录Win8客户端,访问。
2、由于tom的部门属性不等于Trainer,所以⽆法访问trainer的共享;
3、由于tom⾪属于组manager,并且Win8客户端⾪属于组manager-WKS,所以tom可以访问docs1和doc2。
4、切换⽤户,以jerry⾝份登录Win8,由于jerry的部门等于Trainer,所以可以打开Trainer共享⽂件夹
5、但是jerry不属于manager组,不符合策略要求,所以⽆法查看doc2⽂档(默认开启基于访问权限的枚举):
【总结】
DAC的魅⼒我们已经窥得⼀⼆,步骤⽐较多,您可以全⾯的再看⼀下上⾯的步骤,其实⾮常容易理解。与传统的权限控制NTFS相对⽐,NTFS权限,要求我们到特定的⽂件或⽂件夹,并指定特定的
⽤户或组拥有相应的权限。⽽DAC,则是结合FSRM的⽂件分类功能,实现被授权对象的动态控制,并且使⽤中⼼访问规则,实现对⽤户的动态判断。
DAC的真正实⼒远⾮如此实验般简单,只要设计得当,权限可以控制的⾮常细致,并且可以和RMS集成,实现⽂档的防泄密。有
关DAC的更丰富的应⽤,欢迎各位开动脑筋,共同思考……
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论