DAC权限管理技术入门
2017-11-08
DAC应用需求
使用Active Directory基础架构,是最有效的管理企业中大量文件服务器的做法,通过集中管理特性,可以做好以人员账户与用户组的文件或文件夹的权限配置。接着,系统管理人员还可以使用组策略(Group Policy)管理工具,来集中管理文件服务器的各项审核设置。
除此之外,对于文件的存放规则,管理人员可以结合“文件服务器资源管理员”的使用,来设置配额管理、文件检测、分类管理以及查看存放报告信息,这样便可以更有效率地管理有限的保存空间,并让用户更易于找到所需要的文件。
有了妥善进行文件权限安全管控、审核监视以及存放规则的配置,是否就已经满足了当前文件服务器的管理需求呢?事实上,这与企业规模是有密切关联的。
在小型企业中,由于组织架构相对比较简单,每一天所要面临的人事变动情况也较少,因此,对于网络内所有文件服务器的访问配置变动也相对较少,网络管理人员人员在这方面的工作量并不大。
可是,对于中大型的企业来说,人事的变动与调遣往往相当频繁,再加上部署于分支办公室的文件服务器数量通常也很可观,如果没有一套更有效率的权限管理方法,一旦发生了有同事调动办公室位置、调离现有部门、职称变动等,这时候,所有与它相关的文件服务器权限配置,肯定都必须进行一番检查与调整。
举例来说,您可能需要先将此人员从某用户组中移除,然后再加入到某些用户组之中。接着,还必须将一些原本特别授予他的文件或文件夹权限进行移除,然后再加入人事变动后的新文件权限给他。
想一想,如果您是一位系统管理人员,您应该不会希望每一天都在忙这一类没有效率的工作。
把时间花在更有价值的事物上吧。善用Windows Server 2012提供的动态访 问 控 制(DAC,Dynamic Access Control) 技 术,这项功能也是用在最新的Windows Server 2016之中,通过它,将可以随时让系统根据最新的用户属性或计算器属性,来自动识别用户对于文件服务器上各类文件与文件夹的访问权限。
设置DAC权限
这里所谓的属性,其实就是在Active Directory网域中,用户与计算器对象属性中的某一些字段信息。如图1所示,首先在计算器属性部分,在“位置”页面看到可以为不同的计算器设置位置信息。
关于这个字段属性的应用,可以让属于办公室内的计算机与专用于远程访问的计算机,尽管都给同一位用户来使用,但所取得的权限却可以不一样。其他像是“操作系统”与“管理者”页面中的相关字段信息,也都可以用来作为后续文件服务器判断访问权限的条件之一。
如图1所示,在计算机属性的“属性编辑器”页面中,可以让我们进一步配置其他想要设置的域值。例如,我们可以找到“department”字 段,并且输入部门的名称。这样,后续在动态访问控制的权限配置中,便可以根据连接计算机所属的部门,来判别所要授予的访问权限。
若是针对用户账户属性,则在“一般”页面中可以看到我们经常会使用到的属性字段便是“办公室”,借助办公室位置来判定用户对于某些文件或文件夹的访问权限。
紧接着,最常见的还有在“组织”页面中的公司、部门、职称三个字段,只要该人员调离所属的部门或职务,对于原有文件或文件夹的访问权限将可能跟着变动。
使用DAC功能的准备工作
1.关于整个动态访问控制(DAC)的架构,从服务端系统到客户端系统的相关要求:
图1 所有计算器属性字段
图2 声明类型设置
(1) 现 有 Active Directory网域中必须至少有一部Windows Server 2012的域控制器。
(2)文件服务器必须是Windows Server 2012操作系统。
(3)如果要结合计算机属性的感知来控管动态访问控制,客户端计算机请使用Windows 8。
2.如果用户与文件服务器位于不同Active Directory的 林(Forest),则必须特别注意以下事项:
(1)首先必须创建好树系间的双向信任关系(forest trust)。
(2)接着,所有树系的根域控制器(DC)都必须采用Windows Server 2012操作系统。
创建声明类型
声明类型的创建,是DAC架构中用以辨别用户与计算器属性的基础。首先,从“系统管理工具”中开启“Active Directory管理中心”,切换到“动态访问控制”的“Claim Types”节点下。在此,笔者已经预先从“工作”区中点击了“添加→声明类型”,并加入了部 门(department)与职称(title)两个字段属性,以作为后续访问权限条件的识别使用。其中,应用的类别您可以考虑对于department声明类型勾选“计算机”与“用户”,而title的声明类型则仅勾选“用户”即可。
如图2所示,这是创建声明类型的设置页面,在此,笔者挑选了一个办公室位 置(physicalDelivery OfficeName)的字段属性,至于应用的类别,则是仅勾选了“用户”。这样,在以后将可以根据用户属性中所属的“办公室”字段信息,来判定访问的权限了。
紧接着,我们可以为每一个不同的属性声明类型设置相关“建议值”清单,以作为后续在配置个别文件或文件夹的动态访问权限时的选项。在此,先选取“下列是建议值”,然后再通过点击“添加”按钮来一一加入所要供挑选的项。其中,每个项都必须至少设置“值”与“显示名称”,而两种字段的属性是可以一样的,例如,可以添加一笔显示名称与值均为“总公司”的项。完成设置之后,请点击“确定”。