Windows 2012相對于前幾個版本而已，做出了大量的改進(jìn)，尤其體現(xiàn)在安全性和虛擬化方面。Dynamic Access Control ( 動態(tài)訪問控制）是微軟在文件服務(wù)器的訪問控制上的新功能，極大的提高了安全性和靈活性。經(jīng)過一天的研究學(xué)習(xí)，豆子發(fā)現(xiàn)這個功能給我?guī)砹藰O大的驚喜。

（一）簡單概述

Windows，傳統(tǒng)的文件訪問控制是通過share和NTFS 來實現(xiàn)的，這種方式已經(jīng)運行了10幾年了。這種訪問控制的方式可以實現(xiàn)日常的工作需求，但是有很多問題沒有能夠解決。這種傳統(tǒng)的方式一個很大的弊端就是不夠靈活和非常冗余。尤其是在大企業(yè)里面，一個部門里面可能還分個三六九等，每一個訪問權(quán)限都必須創(chuàng)建一個對應(yīng)的組，這樣一來，一個文件夾上面的組可能層層嵌套，數(shù)量隨著時間迅速增加，在豆子的公司AD里面，文件服務(wù)器上創(chuàng)建的組至少有上千個~；另外一個問題是，僅僅通過NTFS和Share控制訪問權(quán)限，很難控制用戶是從哪里訪問的。用戶可能從網(wǎng)吧，家里，公司，旅館任何地方訪問，而這些遠(yuǎn)程訪問的機器的安全性是很難得到保障的。還有一個問題是，如果有人無意中將高度機密的文件拖到了公共的文件夾中，那么所有能夠訪問這個文件夾的用戶都有可能造成泄密。最后，訪問的審計也并不那么簡單直觀，比如說，對于管理員來說，有的時候需要了解過去12個小時，到底誰訪問了這些文件等等。

以上的這些不足，在Dynamic Access Control里面都得到了解決。DAC的訪問控制不是通過組，而是通過attribute來實現(xiàn)的。所有的AD對象，包括用戶，組，計算機創(chuàng)建的時候都有大量的attribute設(shè)置，比如deparment, country,location 等等。這些屬性都是在AD schema里面定義的，如果需要更多的attribute，用戶可以進(jìn)行擴展。通過定義這些屬性，我可以設(shè)定比如 位于悉尼的IT部門的用戶可以從成都分公司的計算機上訪問高度機密的文件。這個例子里面，悉尼，IT就是用戶的屬性，成都分公司 就是計算機的屬性，高度機密，則可以視作文件的屬性。

值得一提的是，DAC并不是用來替代傳統(tǒng)的Share+NTFS, 他是一套并行的安全訪問機制。換句話說，如果配置了DAC，那么用戶的訪問權(quán)限必須同時滿足DAC和Share/NTFS才算通過。

下面來看看豆子的配置實例

我的實驗環(huán)境很簡單，就是一個windows 2012 的DC和windows 2012 的文件服務(wù)器。我設(shè)定只有來自澳洲的用戶可以訪問中等機密程度的文檔。

（二）實驗步驟

簡單的說，我需要配置一條Central Access Policy的組策略，推送到文件服務(wù)器上。我需要做到以下幾個分支操作：

• Claim types（定義一些用戶和計算機的屬性）

• Resource Properties ( 定義文件夾的屬性）

• Resource Properties list (把定義的文件夾屬性放在一個集合里面）

• 文件服務(wù)器更新以上定義，就可以在文件的classification里面查看自己的標(biāo)簽（例如訪問等級等等）了

• Central Access Rule 利用前面定義的屬性來定義一條或者多條規(guī)則

• Central Access Policy 把上一步定義的1條或者多條規(guī)則放入一個Policy集合里面

• 配置GPO，發(fā)布Central Access Policy

• 文件服務(wù)器上在對應(yīng)的共享文件夾上選擇對應(yīng)的Central Access Policy

登陸DC，打開Active Directory Administrative Center。值得一提的是ADAC在windows 2008 就有了，不過因為大部分功能和ADUC重復(fù)了，相當(dāng)雞肋。 2012里面他的功能大幅度加強了。

首先我們來 claim types

這里我選中c，他代表的是國家名字的簡寫。如果你不確定你想找的屬性名字，可以去這里查詢

http://msdn.microsoft.com/en-us/library/windows/desktop/ms675090(v=vs.85).aspx

然后OK即可

下一步我們需要定義新的resource properties，這個相當(dāng)于一個標(biāo)簽，你可以把這個標(biāo)簽貼在對應(yīng)的文件上從而和其他的文件進(jìn)行區(qū)別

我取了個名字叫做 Importance (重要性），然后給他定義了3個等級 high, meidum, low

保存之后返回 resource properties, 就可以看見剛才自定義的Importance了。可以看見，默認(rèn)預(yù)定義的標(biāo)簽已經(jīng)有很多了。為了使用對應(yīng)的標(biāo)簽，需要右擊然后選擇enable，這里豆子enable了Department和Importance兩個標(biāo)簽

為了讓文件服務(wù)器使用這個標(biāo)簽，我們需要在文件服務(wù)器上用管理權(quán)限執(zhí)行以下更新命令

然后你就可以在文件服務(wù)器的文件上Classificaion上看見自定義的標(biāo)簽了

Classification是windows 2012里面才出現(xiàn)的新玩意，你也可以在File Server Resource Manager上配置本地的標(biāo)簽。注意Scope，global代表的是我在DC上配置的，會同步到所有的文件服務(wù)器，而local只是局限于該文件服務(wù)器本身。

下一步，我們需要配置實際的Central Access Rule了

我取了個名字叫做 Country rule, 并定義了Target resource 和 Current Permission

這個rule的基本含義就是 來自AU （澳洲）的用戶，對重要等級為中等的文件，具有Modify的權(quán)限。

最后，創(chuàng)建一個Central Access Policy，把自定義的rule添加即可

下一步我們需要配置GPO來推送這個Central Access Rule

我在文件服務(wù)器所在的OU創(chuàng)建了一個新的GPO，

Computer Configuration/Policies/Windows Settings/Security Settings/File System/Central Access Policy?上添加前面創(chuàng)建的Central Access Rule

Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access. 上配置audit file share 和audit central access policy staging

然后在Default Domain Controllers GPO的Computer Configuration/Policies/Administrative Templates/System/KDC?enable KDC

最后，去文件服務(wù)器的共享文件上，激活對應(yīng)的Rule

大功告成。現(xiàn)在可以創(chuàng)建幾個用戶測試一下了。

我創(chuàng)建了兩個用戶，唯一的屬性區(qū)別是國家不一樣

然后共享文件夾的Share/NTFS 權(quán)限設(shè)置如下

最后我們來看看訪問權(quán)限如何，先看看kevin，他所在的組允許他有讀和運行的權(quán)利，然后CAG允許他modify的權(quán)利，兩者的交集，他只有讀和運行的權(quán)利。

然后看看Mac，盡管他所在的組有讀取和運行的權(quán)利，但是CAG限制了他的國家，所以他沒有任何讀寫權(quán)利。

由此可見，實驗成功！

限于水平和經(jīng)驗，歡迎指出不足之處！

本文轉(zhuǎn)自 beanxyz 51CTO博客，原文鏈接：http://blog.51cto.com/beanxyz/1329850，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的Windows 2012 - Dynamic Access Control 浅析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。