善用组策略管理DAC

接下来我们必须将所有以Windows Server 2012操作系统为主的文件服务器，全部集中在同一个组织容器之中，以利于后续可以应用动态访问控制的相关策略对象。关于这部分的操作，通过“Active Directory用户和计算机”或“Active Directory管理中心”都是可以的。在示例中，我们仅放入一部文件服务器。

开启同样位于系统管理工具中的“组策略管理”工具，点击至所创建的文件服务器组织容器之后，先按下鼠标右键来添加一个组策略对象，然后再选取该对象并按下鼠标右键，点击“编辑”继续。

如图3所示，在“组策略管理编辑器”界面中，请先展开“计算器设置”节点，然后在“Windows设置→安全性设置→文件系统”节点下，找到“集中访问策略”节点。示例中，可以看到笔者所创建的两个集中访问策略。

图3 管理计算器设置策略

上述示例中，笔者所加入的集中访问策略方法，只需要在空白处点击鼠标右键，并点击“管理集中访问策略”，便可以开启“集中访问策略设置”页面。在此，可以将所要应用的策略项一一添加到右方窗口中。点击“确定”即可。

在组策略的设置部分，基本上只要完成上述“管理集中访问策略”的设置即可，但是，如果想进一步对于集中访问策略的执行与文件系统的访问情形进行事件审核，则必须展开“进阶审核策略设置”节点，然后在“对象访问”节点页面中找到“审核文件系统”以及“审核集中访问策略执行”两项，然后开启个别的属性来设置所要审核的事件类型。

在此，笔者仅以审核失败为例，未来如果需要查看与这两类审核策略有关的事件，只要开启相对的文件服务器中的事件查看器，然后通过“Windows记录→安全性”类别来进行查询即可。完成设置后，关闭“组策略管理编辑器”。

回到“组策略管理”界面，在所创建的文件服务器组织容器节点上点击鼠标右键，选择“更新组策略”。接着，将会出现“强制组策略更新”页面，点击“是”即可。

正常情况下，应该会显示已成功更新组策略的服务器清单，如果在结果页面有发生失败的项，则有可能的原因是目标服务器尚未启动允许远程管理的服务，这时候便可以改用传统的做法，也就是在这一些服务器上开启命令提示字符，然后执行gpupdate /force即可同样进行更新。

完成了文件服务器组织容器的组策略设置与应用之后，还必须修改与域控制器（DC）有关的组策略设置，才能够正常应用整体的动态访问控制策略。在“组策略管理”界面，点击至“Domain Controllers”节点页面，在默 认 的“Default Domain Controllers Policy”对象项上点击鼠标右键，选择“编辑”。在开启“组策略管理编辑器”界面之后，点击至“计算器设置→策略→系统管理模板→系统→KDC”节点，开启“KDC支持声明、复合验证以及Kerberos保护”项。

对“KDC支持声明、复合验证以及Kerberos保护”项属性，先设置为“已启用”，然后再到“选项”的下拉选单中选取“支持”。点击“确定”完成设置。

完成了上述设置后，到每一部文件服务器的“Windows PowerShell” 界面中分别执行gpupdate /force，来更新组策略设置，以及执行Update-FSRMClass ificationpropertydefinit ion命令，来更新文件服务器资源管理中的最新全局资源列表属性。

在登录每一部文件服务器之后，可以先通过执行gpresult /v | more命令，来查看目前是否已被应用了前面步骤中所创建的组策略对象，以确认相关的动态访问控制设置已被应用。

接下来，在被应用组策略的Windows Server 2012文件服务器上，通过如“添加角色及功能向导”界面，来确认目前已安装了“文件和存放服务→文件服务器资源管理员”组件。

在开启“系统管理工具”中所开启的“文件服务器资源管理”界面，可以随时在“分类管理→分类属性”节点点击鼠标右键，选择“重新整理”，来取得最新创建的文件分类属性。实际上，这个动作与前面所介绍过的Update-FSRMClassificatio npropertydefinition命令用途是一样的。而在本文示例中，在执行重新整理之后，应当会看到“文件分类等级”以及“文件部门”。

让我们来看看关于文件服务器中文件夹与个别文件的细部设置。首先，在文件夹上方点击鼠标右键，选择“属性”。然后，在“安全性”页面中点击“进阶”继续。接着，便可以看到在文件夹属性中会多出一个“集中策略”页面，您可以先在下拉选单中挑选可用的集中访问策略，挑选后，便可以看到各项访问规则属性，其中每一项访问规则都会清楚地显示应用到的目标文件的条件，以及相关权限项与访问的属性条件。完成设置后，点击“确定”即可。

完成了上层文件夹的集中策略选取与应用之后，接下来便可以开始配置文件夹中不同文件的分类属性。这样，重要的文件将会依据分类属性，来动态决定所要赋予给用户与计算机的权限。在任一文件上点击鼠标右键，选择“属性”继续。

在文档属性的“分类”页面中，可以看到笔者已经分别设置好“文件分类等级”以及“文件部门”的两大属性。设置的方法只要先选择上方的属性名称，然后再到下方挑选相对的值即可。

针对一般性的文件，如果不想设置其属性，则只要选取“无”为值即可。

DAC客户端访问测试

完成了文件服务器每一个重要文件夹与文件的访问策略以及分类属性配置之后，我们便可以尝试以一般用户的账户，从客户端的Windows 8.1/Windows 10操作系统，或是直接以远程桌面方式来登录文件服务器，试试相关已配置各项设置的文件夹与文件。

由于动态访问控制的运作机制，基础是根据用户与计算机的属性来动态决定所能够访问的文件与权限有哪一些，因此，若发现用户无法访问特定的文件夹或文件，可以在命令行执行whoami /claims命令，来查看最基本的用户属性是否符合访问文件的条件。

结论

文件的安全管控，除了可以通过访问权限（ACL与DAL）的配置来管理之外，还可以集成数字版权管理（DRM），来达到更细微的属性权限配置。例如，可以让特定能够读取文件的某些部门、职称、用户组或是个体，无法对于其文档属性进行复制、打印、修改、转寄等操作。关于这项控管需求，只要集成同样内置于Windows Server 2012中的Active Directory Rights Management Services服务器角色即可。