用动态访问优化权限管理
2018-11-07
动态访问控制技术,是Windows Server 2012中提供的新功能,可以帮助管理员更好地设置文件访问权限。例如,在文件服务器中,存在大量的共享文件夹,使用NTFS权限管理机制,虽然可以控制不同用户对这些文件夹的访问权限,但使用传统的方法配置权限时,往往会面临一些比难以实现的情况。依靠动态访问控制(简称 DAC,即 Dynamic Access Control)功能,和NTFS管理机制巧妙结合,可以更加灵活地设置访问权限。
完善用户属性信息
用户的属性信息有很多,仅仅通过域账户管理窗口,只能看到中文名称(例如“部门”),在实际配置各种DAC规则时,使用的是英文名称。查看的方法是运行ADSI编辑器,在左侧的“ADSI编辑器”项右键菜单上点击“连接到”,在连接设置窗口中选择“选择一个已知命名上下文”项,在列表中选中“默认命名上下文”项,点击“确定”,在左侧可以显示所有的OU项目。选择对应的OU,在右侧显示其中包含的相关账户名。选择目标账户名,在属性窗口“属性编辑器”面板中的“值”列中,可以查看所有的属性值,就会看到与之对应的英文名称了。
图1 开启KDC控制选项
激活KDC控制功能
启用动态访问控制时,需要执行带有属性信息的身份验证。为此,需要在DC上打开组策略管理器,在左侧选择“林→域→某域名”项,在右键菜单上点击“在这个域中创建GPO并在此处链接”项,输入名称(例如“opendac”),点击“确定”创建该GPO。在该GPO的右键菜单上点击“编辑”项,在组策略编辑窗口打开“计算机配置→策略→管理模板→系统→KDC”项,在右侧双击“KDC支持声明,符合身份验证 和Kerberos Armoring”项,在打开窗口(如图1)中选择“已启用”项,在其下的选项列表中选择“支持”项,表示支持用于动态访问控制的声明和符合身份验证以及Kerberos Armor感知的客户端计算机,将使用该功能接收Kerberos身份验证消息。
创建声明窗口
在DC上打开Active Directory管理中心窗口,在左侧选择“动态访问控制”项,其中的“Central Access Policies”项主要功能是创建策略,策略中包含多个规则,通过组策略进行发布,来对客户端进行控制。“Central Access Rules”项的主要作用是创建规则,“Claim Types”项的作用是配置声明,主要针对用户的属性信息进行操作。在DAC中,需要使用到的用户属性,必须先进行声明。例如,选择“Claim Types”项,在右侧列表的右键菜单上点击“新建→声明类型”项,在创建声明窗口中的“选择此声明类型所基于的AD属性”栏中输入所需的属性名(例如“deparment”),支持模糊查询功能。
在搜索列表中选择该属性值后,在“可以为以下类发出此类型的声明”栏中选择“用户”项,表示该声明针对的是用户。在“当用户向此声明类型分配值”栏中选择“已建议以下值”项,点击“添加”,输入与该属性有关的值,例如针对部门声明,可以添加“市场部”、“开发部”、“财务部”等。点击“确定”,创建该声明项目。按照同样的方法,针对“Title”属性创建声明项目,该属性对应的是用户的职位信息,并设置一些建议值,例如“主任”、“专员”、“经理”等。
图2 设置具体的规则条目
配置DAC控制规则
在左侧选择“Central Access Rules”项,在右侧的“任务”栏中点击“新建→中心访问规则”项,在创建中心访问规则窗口中的“名称”栏中输入规则名(例如“rules1”),在“权限”栏中选择“将以下权限作为当前权限”项,表示授予目标资源真实的访问权限。点击“编辑”来定义具体的访问规则。在打开窗口中点击“添加”,在权限的高级安全设置窗口(如图2)中点击“选择主题”链接,在选择窗口中输入“Domain users”并将其导入,表示该规则针对域中所有的用户。在“基本权限”栏中可以设置合适的权限,包括完全控制、修改、读取和执行、读取、写入、特殊权限等,默认选择读取,读取和执行。这里选择“完全控制”,点击“添加条件”链接,来设置条件限制访问,只有当满足预设的条件后,才授予主体指定的权限。
在条件栏中第一个列表中选择“用户”,第二个列表中选择“deparment”,即上述定义的声明项,在第三个列表中选择“等于”,在第四个列表中选择“值”,在第五个列表中显示上述预设的属性值,例如选择“开发部”等。这样,只有部门属性为开发部的用户可以拥有以上权限。根据需要可添加更多的条件项目,不同的条件之间连接符包括And和Or。默认情况下,使用的是AND连接符,表示必须满足所有的条件。例如再建立一个条件,在条件栏中第一个列表中选择“用户”,第二个列表中选择“title”,即上述定义的声明项,在第三个列表中选择“等于”,在第四个列表中选择“值”,在第五个列表中显示上述预设的属性值(例“经理”)。点击确定持配置信息。
创建中心访问策略
仅仅创建规则是不够的,还需要将其封装在策略中。在左侧选择“Central Access Policies” 项,在右侧点击“新建→中心访问策略”项,在打开窗口中输入该策略的名称(例如“policy1”),在“成员中心访问规则”栏中点击添加按钮,将上述规则添加进来。在DC上打开组策略管理器,在左侧选择“林→域→某域名”项,在右键菜单上点击“在这个域中创建GPO并在此处链接”,输入名称(例如“Deploy”),点击确定创建该GPO。在该GPO的右键菜单上点击“编辑”项,在组策略编辑窗口打开“计算机配置→策略→Windows设置→安全设置→文件系统→中心访问策略”项,在右键菜单上点击“管理中心访问策略”项,在打开窗口左侧找到上述策略项,点击添加将其导入到“适用的中央访问策略”列表中,点击确定按钮即可。
管理中央策略项目
接下来为不同的部门分配所需的访问权限,例如在域中的某台文件服务器(例如名称为“fileserver1”)上打开CMD窗口,执行“gpupdate /force”命令,来刷新组策略。选择某个共享文件夹,在其属性窗口中的“安全”面板中点击高级按钮,在打开窗口中会出现“中央策略”面板,在“中央策略”列表中显示上述创建的策略项目(例如“policy1”),在“应用于”列表中选择应用对象,可以根据实际需要进行选择。例如选择“此文件夹和文件”项,表示针对本文件夹和其中的文件使用预设的策略,对子文件夹则无效。
在“此策略包含以下规则”栏中显示该策略包含的所有规则,在扩展面板中显示具体的权限条目。点击应用按钮,保存配置信息。对于用户来说,访问共享文件夹的权限会受到共享权限和NTFS安全权限双重控制的,对于使用DAC实现动态控制来说,应该将共享权限设置为针对Everyone开启完全控制,才能使其受到DAC的有效管控。这样,对于该共享文件夹来说,只有合乎条件的部门以及职位的用户,才可以按照预定的权限对其进行操作,其余的用户是没有这些权限的。
对中央策略进行测试
在该共享目录的属性窗口中打开“有效访问”面板,点击“选择用户”链接,输入目标域账户。点击“查看有效访问”按钮,在列表中就会显示该账户对该目录拥有的权限。具体使用时,可以在客户端以域用户身份登录,对该文件服务器进行访问,如果该用户属性值中的部门属于财务部,而且职位为经理的话,就可以对目标共享文件夹拥有完全控制的权限。当然,按照以上配置,其权限范围仅包括该共享文件夹和其中的文件,对其中的子文件夹是没有完全控制权的。
激活对应资源属性项目
除了使用DAC控制用户的属性外,还可以对资源属性进行控制。例如共享目录是最常用的资源,其属性同样可以进行设定,例如属于哪个部门,重要性级别等。在DC上的Active Directory管理中心窗口左侧选择“动态访问控制→Resource Properties”项,在右侧右侧列表显示资源的所有属性(如图3),例如选择“Deparment”项,点击“任务”栏中的“启用”项,就可以启动部门这一资源属性。选择“Confidentiality”项,点击“启用”项,可以启用重要性级别这一属性。选定好了资源属性项目后,之后需要将其分发到所有的文件服务器上。在左侧选择“Resource Property Lists”项,在“任务”栏中点击“添加资源属性”项,在打开窗口中选择“Deparment”和“Confidentiality”项,点击“>>”按钮,将其添加进来。
配置资源属性信息
在文件服务器上必须预先安装特定的组件,在服务器管理器中点击“添加角色和功能”项,在角色列表中打开“文件和存储服务→文件和iSCSI服务”分支,选中“文件服务器资源管理器”项来安装组件。执行“gpupdate /force”命令刷新组策略。打开文件服务器资源管理器窗口,在左侧选择“分类管理→分类属性”项,在右侧可以显示上述两个资源属性项目。选中某个共享目录,在其属性窗口中的“分类”面板中也会显示上述两个资源属性项目。选择“Confidentiality”项,在底部列表中选择“High”项,将其重要性设置为高。选择“Deparment”项,在底部列表选择具体的部门类别,例如“Finance”等。
图3 激活所需的资源属性项目
创建动态访问控制规则
在DC上 的Active Directory管理中心左侧选择“动态访问控制→Central Access Rules”项,在右侧选择上述名为“rules1”的规则,点击“属性→编辑”,显示已经存在的条目,选择上述创建的规则条件项目,点击“编辑→添加条件”链接,继续添加控制项目,在新增条件栏中第一个列表中选择“资源”,第二个列表中显示设定好的资源项目,例如选择“Confidentiality”。
在第三个列表中选择“等于”,在第四个列表中选择“值”,在第五个列表中显示上述预设的属性值,例如选 择“High”。 点 击“添 加条件”链接,在新增条件栏中第一个列表中选择“资源”,第二个列表中显示设定好的资源项目,例如选择“Department”。在第三个列表中选择“等于”,在第四个列表中选择“值”,在第五个列表中选择“财务部”。点击确定按钮,保持配置信息。
在文件服务器上配置策略项目
在文件服务器上执行“gpupdate /force”命令,来刷新组策略。选择某个共享文件夹,在属性窗口中的“安全”面板中点击高级按钮,在打开窗口中会出现“中央策略”面板,在其中的“中央策略”列表中显示上述创建的策略项目(例如“policy1”),在“应用于”列表中选择应用对象,在“此策略包含以下规则”栏中显示该策略包含的所有规则,在其扩展面板中显示具体的权限条目。点击应用按钮,保存配置信息。这样,只有满足以上条件的域账户,才能访问属性符合条件的共享目录。当然,还可以针对设备属性,来配置DAC控制规则,具体的方法并不复杂。