Windows Server 2012高级文件服务器管理-动态访问控制

Windows Server 2012高级文件服务器管理

——动态访问控制

做者：兰晓宇

【引子】

领导说：公司的文档对公司的发展相当重要，必定要保障公司文档的安全性和可用性，毫不能够泄密。

做者说：个人文档放在公司的服务器上安全吗？权限是如何控制的呢？

用户说：我想访问XX文档，为何没有权限呢？我要申请权限。

安全，就像给IT穿一件棉袄，虽然行动不便，可是很暖和。面对着这种“领导要求‘暖和’，用户要求‘方便’“的局面，咱们的IT管理员经常处于尴尬的地位，在各方力量的较量中，作着无聊的事情。

随着Windows Server 2012的发布，一项很是强大的文件服务器管理工具走进了咱们的视野，那就是动态访问控制（DAC），本文，将为您展现DAC的强大所在……

【正文】

1.功能概述

大多数企业，会将本身的数据存储在文件服务器，所以，IT管理员必须提供适当的安全和访问控制，在之前的Windows 服务器版本中，IT管理员主要的控制手段为NTFS的安全权限。可是在比较复杂的环境中，NTFS权限的管理，很不方便。我有一个客户，员工数千人，可是权限管理很是细致，以致于，出现个别用户隶属于上千个组的状况。不只仅是管理员的管理工做很是麻烦，早期的Windows 版本还有每用户最多隶属于1015个组的限制。

Windows Server 2012的发布，为咱们带来了一种新的访问控制机制，即动态访问控制——DAC。动态访问控制提供了一种灵活的方式来运用和管理访问和审计。

DAC提供以下功能：

一、文件分类：能够与FSRM结合，实现对服务器上的文件进行动态的分类，例如：经过关键字过滤，来定义文档的保密级别等。

二、访问控制：基于中央访问策略定议用户的访问控制，能够实现更加丰富的权限控制，例如：要求用户隶属于管理员组，而且用户所使用的计算机也隶属于管理员组，才拥有访问权限；或用户的部门属性等于文档的部门属性时，才拥有访问权限，以便限制跨部门的访问。

三、访问审计：可使用中央审计策略定义文件访问审计，并生成审计报告。例如：审计有哪些用户访问过保密级别为高的文档。

四、RMS集成：与RMS集成，实现文档权限的进一步细化。例如：只容许用户查看文档，而不能够复制内容或者打印、转发等。

五、拒绝访问援助：能够自定义拒绝访问的提示信息，以减小服务台的工做量以及减小排错的时间。

2.实验环境概述

本文实验环境以下：

Contoso公司有一个域名为contoso.com的活动目录，其中域控制器的主机名为DC1，并有一台名为SRV1的文件服务器，Win7和Win8是两台客户端。全部用户和计算机位于组织单位DAC下。

公司的管理员对内部文档拥有较高权限，隶属于安全组Manager；有一个名称为Trainer的部门，利用用户属性的部门属性进行标识。本实验主要实现以下两个目标：

一、对公司文档进行关键字过滤，进而实现保密级别的划分。只有当管理员组的用户，使用属于管理员组的计算机时，才能够访问文档。

二、为Trainer部门创建共享文件夹，并赋予Trainer属性，只有当用户的部门属性为Trainer时才能够访问。

用户的环境以下表：

对象名称	对象类型	部门属性	隶属于
Tom	用户	/	Manager Domain users
Jerry	用户	Trainer	Domain users
Win7	计算机	/	Domain Computers Manager-WKS
Win8	计算机	/	Domain Computers Manager-WKS

3.配置AD环境，以支持DAC

一、编辑默认域控制器策略，展开以下级别：默认域控制器策略-计算机配置-策略-管理模板-系统-KDC。

二、配置并启用“KDC支持声明、复合身份验证和KerberosArmoring”，选择”支持“。

三、以Administrator登陆DC1，并刷新组策略：gpupdate/force。

4.配置用户和设备声明

一、以Administrator身份登陆DC1，打开AD管理中心。在列表视图中，点击动态访问控制。而后双击Claim Types。

二、在Claim Types容器中，新建声明类型；

三、在建立声明类型窗口，在源属性选项中，选择Department，在Display name框中填写Company Department，并勾选计算机和用户复选框，以下图。

四、在Claim Types容器中再次新建声明类型，在源属性中选择Description；清除用户复框，并选择计算机复选框，以下图。

5.配置资源属性

一、以管理员身份登陆DC1，打开AD管理中心，点击动态访问控制，打开Resource Properties容器。

二、右键点击，并启用Department和Confidentiality资源属性。

三、打开Department的属性，在建议值中添加Trainer。

6.配置文件分类

一、以管理员身份登陆SRV1，并添加文件服务资源管理器（FSRM）这个角色。

二、在C盘新建两个文件夹，分别命名为docs和Trainer，并共享，授予everyone读写的共享权限。在c:\docs文件夹下新两个文本文档doc1.txt和doc2.txt，其中一个文档包含后面要用到的关键字“保密”。

三、打开文件服务器资源管理器（FSRM），展开分类管理，右键点击分类属性，并选择刷新，便可获取到前面配置的两条分类属性Department和Confidentiality。

四、点击分类规则，利用以下配置信息新建一条分类规则：

规则名称：文档保密级别

做用域：c:\docs

分类方法：内容分类器

分类属性：Confidentiality

指定值：High

配置参数：正则表达式，保密。（以下图）

评估类型：勾选从新评估现有的属性值，并选择覆盖现有值。

五、当即运行分类规则，也能够按须要配置分类计划。

六、打开资源浏览器，打开C:\docs，查看doc1的属性，分类标签中，Confidentiality属性为空，而doc2的Confidentiality属性为High。

七、打开资源浏览器，打开C:\，并打开Trainer文件夹的属性，在分类标签中，将Department的值设为Trainer。

7.配置中央访问规则和中央访问策略

一、以管理员身份登陆DC1，打开AD管理中心，在动态访问控制中，打开Central Access Rules容器。

二、利用以下配置信息建立访问规则：

规则名称：Department match

目标资源：资源-Department-等于-值-Trainer

当前权限：

n移除Administrator

n添加Authenticate Users，彻底控制权限（可按须要调整）

n添加条件：用户-companydepartment-等于-资源-department

三、利用以下资源新建另外一条访问规则：

规则名称：访问高保密文档

目标资源：资源-Confidentiality-等-值-High

当前权限：

n移除Administrator

n添加Authenticate Users，彻底控制权限（可按须要调整）

n添加条件：用户-组-隶属于每项-值-Manager

n添加第二条件：设备-组-隶属于每项-值-Manager-WKS

n设置两个条件间的关系为and

四、在AD管理中心，打开CentralAccess Policy容器，用以下配置参数建立中央访问策略：

策略名称：匹配部门

成员中心访问规则：department match

五、用以下配置参数新建另外一条访问策略：

策略名称：保护文档

成员中心访问规则：访问高保密文档

8.发布中心访问策略

一、在DC1服务器管理器中，打开组策略管理控制台。

二、新建组策略对象，命名为DAC，并连接至OU：DAC。

三、编辑组策略对象DAC，展开：计算机配置-策略-Windows设置-安全设置-文件系统-中心访问策略

四、右键点击中心访问策略，并选择管理中心访问策略，将上面建立的两条策略“匹配部门”和“保护文档”，添加到组策略中。

五、以管理员身份登陆SRV1，刷新组策略：gpupdate/force。

六、打开资源浏览器，浏览到c:\docs，打开文件夹的属性，在“安全”标签中，点击高级，在中央策略标签中，选择“保护文档”这条策略。

七、同上面的操做，将“匹配部门”这条策略，分配给c:\Trainer这个文件夹。

9.验证动态访问控制

一、以tom身份登陆Win8客户端，访问\\srv1。

二、因为tom的部门属性不等于Trainer，因此没法访问trainer的共享；

三、因为tom隶属于组manager，而且Win8客户端隶属于组manager-WKS，因此tom能够访问docs1和doc2。

四、切换用户，以jerry身份登陆Win8，因为jerry的部门等于Trainer，因此能够打开Trainer共享文件夹

五、可是jerry不属于manager组，不符合策略要求，因此没法查看doc2文档（默认开启基于访问权限的枚举）：

【总结】

DAC的魅力咱们已经窥得一二，步骤比较多，您能够全面的再看一下上面的步骤，其实很是容易理解。与传统的权限控制NTFS相对比，NTFS权限，要求咱们找到特定的文件或文件夹，并指定特定的用户或组拥有相应的权限。而DAC，则是结合FSRM的文件分类功能，实现被受权对象的动态控制，而且使用中心访问规则，实现对用户的动态判断。

DAC的真正实力远非如此实验般简单，只要设计得当，权限能够控制的很是细致，而且能够和RMS集成，实现文档的防泄密。有关DAC的更丰富的应用，欢迎各位开动脑筋，共同思考……