Windows Server 2012高級文件服務器管理-動態訪問控制

Windows Server 2012高級文件服務器管理

——動態訪問控制

做者：蘭曉宇

【引子】

領導說：公司的文檔對公司的發展相當重要，必定要保障公司文檔的安全性和可用性，毫不能夠泄密。

做者說：個人文檔放在公司的服務器上安全嗎？權限是如何控制的呢？

用戶說：我想訪問XX文檔，爲何沒有權限呢？我要申請權限。

安全，就像給IT穿一件棉襖，雖然行動不便，可是很暖和。面對着這種「領導要求‘暖和’，用戶要求‘方便’「的局面，咱們的IT管理員經常處於尷尬的地位，在各方力量的較量中，作着無聊的事情。

隨着Windows Server 2012的發佈，一項很是強大的文件服務器管理工具走進了咱們的視野，那就是動態訪問控制（DAC），本文，將爲您展現DAC的強大所在……

【正文】

1.功能概述

大多數企業，會將本身的數據存儲在文件服務器，所以，IT管理員必須提供適當的安全和訪問控制，在之前的Windows 服務器版本中，IT管理員主要的控制手段爲NTFS的安全權限。可是在比較複雜的環境中，NTFS權限的管理，很不方便。我有一個客戶，員工數千人，可是權限管理很是細緻，以致於，出現個別用戶隸屬於上千個組的狀況。不只僅是管理員的管理工做很是麻煩，早期的Windows 版本還有每用戶最多隸屬於1015個組的限制。

Windows Server 2012的發佈，爲咱們帶來了一種新的訪問控制機制，即動態訪問控制——DAC。動態訪問控制提供了一種靈活的方式來運用和管理訪問和審計。

DAC提供以下功能：

一、文件分類：能夠與FSRM結合，實現對服務器上的文件進行動態的分類，例如：經過關鍵字過濾，來定義文檔的保密級別等。

二、訪問控制：基於中央訪問策略定議用戶的訪問控制，能夠實現更加豐富的權限控制，例如：要求用戶隸屬於管理員組，而且用戶所使用的計算機也隸屬於管理員組，才擁有訪問權限；或用戶的部門屬性等於文檔的部門屬性時，才擁有訪問權限，以便限制跨部門的訪問。

三、訪問審計：可使用中央審計策略定義文件訪問審計，並生成審計報告。例如：審計有哪些用戶訪問過保密級別爲高的文檔。

四、RMS集成：與RMS集成，實現文檔權限的進一步細化。例如：只容許用戶查看文檔，而不能夠複製內容或者打印、轉發等。

五、拒絕訪問援助：能夠自定義拒絕訪問的提示信息，以減小服務檯的工做量以及減小排錯的時間。

2.實驗環境概述

本文實驗環境以下：

Contoso公司有一個域名爲contoso.com的活動目錄，其中域控制器的主機名爲DC1，並有一臺名爲SRV1的文件服務器，Win7和Win8是兩臺客戶端。全部用戶和計算機位於組織單位DAC下。

公司的管理員對內部文檔擁有較高權限，隸屬於安全組Manager；有一個名稱爲Trainer的部門，利用用戶屬性的部門屬性進行標識。本實驗主要實現以下兩個目標：

一、對公司文檔進行關鍵字過濾，進而實現保密級別的劃分。只有當管理員組的用戶，使用屬於管理員組的計算機時，才能夠訪問文檔。

二、爲Trainer部門創建共享文件夾，並賦予Trainer屬性，只有當用戶的部門屬性爲Trainer時才能夠訪問。

用戶的環境以下表：

對象名稱	對象類型	部門屬性	隸屬於
Tom	用戶	/	Manager Domain users
Jerry	用戶	Trainer	Domain users
Win7	計算機	/	Domain Computers Manager-WKS
Win8	計算機	/	Domain Computers Manager-WKS

3.配置AD環境，以支持DAC

一、編輯默認域控制器策略，展開以下級別：默認域控制器策略-計算機配置-策略-管理模板-系統-KDC。

二、配置並啓用「KDC支持聲明、複合身份驗證和KerberosArmoring」，選擇」支持「。

三、以Administrator登陸DC1，並刷新組策略：gpupdate/force。

4.配置用戶和設備聲明

一、以Administrator身份登陸DC1，打開AD管理中心。在列表視圖中，點擊動態訪問控制。而後雙擊Claim Types。

二、在Claim Types容器中，新建聲明類型；

三、在建立聲明類型窗口，在源屬性選項中，選擇Department，在Display name框中填寫Company Department，並勾選計算機和用戶複選框，以下圖。

四、在Claim Types容器中再次新建聲明類型，在源屬性中選擇Description；清除用戶復框，並選擇計算機複選框，以下圖。

5.配置資源屬性

一、以管理員身份登陸DC1，打開AD管理中心，點擊動態訪問控制，打開Resource Properties容器。

二、右鍵點擊，並啓用Department和Confidentiality資源屬性。

三、打開Department的屬性，在建議值中添加Trainer。

6.配置文件分類

一、以管理員身份登陸SRV1，並添加文件服務資源管理器（FSRM）這個角色。

二、在C盤新建兩個文件夾，分別命名爲docs和Trainer，並共享，授予everyone讀寫的共享權限。在c:\docs文件夾下新兩個文本文檔doc1.txt和doc2.txt，其中一個文檔包含後面要用到的關鍵字「保密」。

三、打開文件服務器資源管理器（FSRM），展開分類管理，右鍵點擊分類屬性，並選擇刷新，便可獲取到前面配置的兩條分類屬性Department和Confidentiality。

四、點擊分類規則，利用以下配置信息新建一條分類規則：

規則名稱：文檔保密級別

做用域：c:\docs

分類方法：內容分類器

分類屬性：Confidentiality

指定值：High

配置參數：正則表達式，保密。（以下圖）

評估類型：勾選從新評估現有的屬性值，並選擇覆蓋現有值。

五、當即運行分類規則，也能夠按須要配置分類計劃。

六、打開資源瀏覽器，打開C:\docs，查看doc1的屬性，分類標籤中，Confidentiality屬性爲空，而doc2的Confidentiality屬性爲High。

七、打開資源瀏覽器，打開C:\，並打開Trainer文件夾的屬性，在分類標籤中，將Department的值設爲Trainer。

7.配置中央訪問規則和中央訪問策略

一、以管理員身份登陸DC1，打開AD管理中心，在動態訪問控制中，打開Central Access Rules容器。

二、利用以下配置信息建立訪問規則：

規則名稱：Department match

目標資源：資源-Department-等於-值-Trainer

當前權限：

n移除Administrator

n添加Authenticate Users，徹底控制權限（可按須要調整）

n添加條件：用戶-companydepartment-等於-資源-department

三、利用以下資源新建另外一條訪問規則：

規則名稱：訪問高保密文檔

目標資源：資源-Confidentiality-等-值-High

當前權限：

n移除Administrator

n添加Authenticate Users，徹底控制權限（可按須要調整）

n添加條件：用戶-組-隸屬於每項-值-Manager

n添加第二條件：設備-組-隸屬於每項-值-Manager-WKS

n設置兩個條件間的關係爲and

四、在AD管理中心，打開CentralAccess Policy容器，用以下配置參數建立中央訪問策略：

策略名稱：匹配部門

成員中心訪問規則：department match

五、用以下配置參數新建另外一條訪問策略：

策略名稱：保護文檔

成員中心訪問規則：訪問高保密文檔

8.發佈中心訪問策略

一、在DC1服務器管理器中，打開組策略管理控制檯。

二、新建組策略對象，命名爲DAC，並連接至OU：DAC。

三、編輯組策略對象DAC，展開：計算機配置-策略-Windows設置-安全設置-文件系統-中心訪問策略

四、右鍵點擊中心訪問策略，並選擇管理中心訪問策略，將上面建立的兩條策略「匹配部門」和「保護文檔」，添加到組策略中。

五、以管理員身份登陸SRV1，刷新組策略：gpupdate/force。

六、打開資源瀏覽器，瀏覽到c:\docs，打開文件夾的屬性，在「安全」標籤中，點擊高級，在中央策略標籤中，選擇「保護文檔」這條策略。

七、同上面的操做，將「匹配部門」這條策略，分配給c:\Trainer這個文件夾。

9.驗證動態訪問控制

一、以tom身份登陸Win8客戶端，訪問\\srv1。

二、因爲tom的部門屬性不等於Trainer，因此沒法訪問trainer的共享；

三、因爲tom隸屬於組manager，而且Win8客戶端隸屬於組manager-WKS，因此tom能夠訪問docs1和doc2。

四、切換用戶，以jerry身份登陸Win8，因爲jerry的部門等於Trainer，因此能夠打開Trainer共享文件夾

五、可是jerry不屬於manager組，不符合策略要求，因此沒法查看doc2文檔（默認開啓基於訪問權限的枚舉）：

【總結】

DAC的魅力咱們已經窺得一二，步驟比較多，您能夠全面的再看一下上面的步驟，其實很是容易理解。與傳統的權限控制NTFS相對比，NTFS權限，要求咱們找到特定的文件或文件夾，並指定特定的用戶或組擁有相應的權限。而DAC，則是結合FSRM的文件分類功能，實現被受權對象的動態控制，而且使用中心訪問規則，實現對用戶的動態判斷。

DAC的真正實力遠非如此實驗般簡單，只要設計得當，權限能夠控制的很是細緻，而且能夠和RMS集成，實現文檔的防泄密。有關DAC的更豐富的應用，歡迎各位開動腦筋，共同思考……