【引子】
上司說:公司的文檔對公司的發展至關重要,一定要保障公司文檔的安全性和可用性,絕不可以洩密。
作者說:我的檔案放在公司的伺服器上安全嗎?權限是如何控制的呢?
使用者說:我想通路XX文檔,為什麼沒有權限呢?我要申請權限。
安全,就像給IT穿一件棉襖,雖然行動不便,但是很暖和。面對着這種“上司要求‘暖和’,使用者要求‘友善’“的局面,我們的IT管理者常常處于尴尬的地位,在各方力量的較量中,做着無聊的事情。
随着Windows Server 2012的釋出,一項非常強大的檔案伺服器管理工具走進了我們的視野,那就是動态通路控制(DAC),本文,将為您展示DAC的強大所在……
【正文】
大多數企業,會将自己的資料存儲在檔案伺服器,是以,IT管理者必須提供适當的安全和通路控制,在以前的Windows 伺服器版本中,IT管理者主要的控制手段為NTFS的安全權限。但是在比較複雜的環境中,NTFS權限的管理,很不友善。我有一個客戶,員工數千人,但是權限管理非常細緻,以至于,出現個别使用者隸屬于上千個組的情況。不僅僅是管理者的管理工作非常麻煩,早期的Windows 版本還有每使用者最多隸屬于1015個組的限制。
Windows Server 2012的釋出,為我們帶來了一種新的通路控制機制,即動态通路控制——DAC。動态通路控制提供了一種靈活的方式來運用和管理通路和審計。
DAC提供如下功能:
1、檔案分類:可以與FSRM結合,實作對伺服器上的檔案進行動态的分類,例如:通過關鍵字過濾,來定義文檔的保密級别等。
2、通路控制:基于中央通路政策定議使用者的通路控制,可以實作更加豐富的權限控制,例如:要求使用者隸屬于管理者組,并且使用者所使用的計算機也隸屬于管理者組,才擁有通路權限;或使用者的部門屬性等于文檔的部門屬性時,才擁有通路權限,以便限制跨部門的通路。
3、通路審計:可以使用中央審計政策定義檔案通路審計,并生成審計報告。例如:審計有哪些使用者通路過保密級别為高的文檔。
4、RMS內建:與RMS內建,實作文檔權限的進一步細化。例如:隻允許使用者檢視文檔,而不可以複制内容或者列印、轉發等。
5、拒絕通路援助:可以自定義拒絕通路的提示資訊,以減少服務台的工作量以及減少排錯的時間。
本文實驗環境如下:
Contoso公司有一個域名為contoso.com的活動目錄,其中域控制器的主機名為DC1,并有一台名為SRV1的檔案伺服器,Win7和Win8是兩台用戶端。所有使用者和計算機位于組織機關DAC下。
公司的管理者對内部文檔擁有較高權限,隸屬于安全組Manager;有一個名稱為Trainer的部門,利用使用者屬性的部門屬性進行辨別。本實驗主要實作如下兩個目标:
1、對公司文檔進行關鍵字過濾,進而實作保密級别的劃分。隻有當管理者組的使用者,使用屬于管理者組的計算機時,才可以通路文檔。
2、為Trainer部門建立共享檔案夾,并賦予Trainer屬性,隻有當使用者的部門屬性為Trainer時才可以通路。
使用者的環境如下表:
對象名稱
對象類型
部門屬性
隸屬于
Tom
使用者
/
Manager
Domain users
Jerry
Trainer
Win7
計算機
Domain Computers
Manager-WKS
Win8
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKiom1NIGdKS4gDcAAGBdiztOoQ738.jpg" target="_blank"></a>
1、編輯預設域控制器政策,展開如下級别:預設域控制器政策-計算機配置-政策-管理模闆-系統-KDC。
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKioL1NIGbaAQzKNAAHh3NLe6fs972.jpg" target="_blank"></a>
2、配置并啟用“KDC支援聲明、複合身份驗證和KerberosArmoring”,選擇”支援“。
<a href="http://s3.51cto.com/wyfs02/M02/23/F7/wKiom1NIGezAai_uAAJNVFsfbP4484.jpg" target="_blank"></a>
3、以Administrator登入DC1,并重新整理組政策:gpupdate/force。
1、以Administrator身份登入DC1,打開AD管理中心。在清單視圖中,點選動态通路控制。然後輕按兩下Claim Types。
2、在Claim Types容器中,建立聲明類型;
3、在建立聲明類型視窗,在源屬性選項中,選擇Department,在Display name框中填寫Company Department,并勾選計算機和使用者複選框,如下圖。
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKioL1NIGeGAjW8yAAHqZv_oQnw895.jpg" target="_blank"></a>
4、在Claim Types容器中再次建立聲明類型,在源屬性中選擇Description;清除使用者複框,并選擇計算機複選框,如下圖。
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKiom1NIGjGQY1jJAAHjXR7TDrM508.jpg" target="_blank"></a>
1、以管理者身份登入DC1,打開AD管理中心,點選動态通路控制,打開Resource Properties容器。
2、右鍵點選,并啟用Department和Confidentiality資源屬性。
<a href="http://s3.51cto.com/wyfs02/M02/23/F7/wKioL1NIGhaiN6vhAAOjxNlEC8Q290.jpg" target="_blank"></a>
3、打開Department的屬性,在建議值中添加Trainer。
1、以管理者身份登入SRV1,并添加檔案服務資料總管(FSRM)這個角色。
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKiom1NIGrjyYAT8AAJpBv0LAx0458.jpg" target="_blank"></a>
2、在C槽建立兩個檔案夾,分别命名為docs和Trainer,并共享,授予everyone讀寫的共享權限。在c:\docs檔案夾下新兩個文本文檔doc1.txt和doc2.txt,其中一個文檔包含後面要用到的關鍵字“保密”。
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKioL1NIGqGwHjN5AACZZEo4j4U601.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKioL1NIGqrDfgNAAACgZvQN1lE155.jpg" target="_blank"></a>
3、打開檔案伺服器資料總管(FSRM),展開分類管理,右鍵點選分類屬性,并選擇重新整理,即可擷取到前面配置的兩條分類屬性Department和Confidentiality。
<a href="http://s3.51cto.com/wyfs02/M02/23/F7/wKiom1NIGt7ChvmfAAJGSDGyUSY513.jpg" target="_blank"></a>
4、點選分類規則,利用如下配置資訊建立一條分類規則:
規則名稱:文檔保密級别
作用域:c:\docs
分類方法:内容分類器
分類屬性:Confidentiality
指定值:High
配置參數:正規表達式,保密。(如下圖)
評估類型:勾選重新評估現有的屬性值,并選擇覆寫現有值。
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKioL1NIGsCRgJqLAAFUQ3k_4AQ863.jpg" target="_blank"></a>
5、立即運作分類規則,也可以按需要配置分類計劃。
6、打開資源浏覽器,打開C:\docs,檢視doc1的屬性,分類标簽中,Confidentiality屬性為空,而doc2的Confidentiality屬性為High。
7、打開資源浏覽器,打開C:\,并打開Trainer檔案夾的屬性,在分類标簽中,将Department的值設為Trainer。
1、以管理者身份登入DC1,打開AD管理中心,在動态通路控制中,打開Central Access Rules容器。
2、利用如下配置資訊建立通路規則:
規則名稱:Department match
目标資源:資源-Department-等于-值-Trainer
<a href="http://s3.51cto.com/wyfs02/M02/23/F7/wKiom1NIGvnhAIDNAADmXqGmPGk454.jpg" target="_blank"></a>
目前權限:
n移除Administrator
n添加Authenticate Users,完全控制權限(可按需要調整)
n添加條件:使用者-companydepartment-等于-資源-department
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKiom1NIGwXDc8XgAAFIxTy2NLY579.jpg" target="_blank"></a>
3、利用如下資源建立另一條通路規則:
規則名稱:通路高保密文檔
目标資源:資源-Confidentiality-等-值-High
<a href="http://s3.51cto.com/wyfs02/M02/23/F7/wKioL1NIGuqCFirfAAGQ_9wTGKE071.jpg" target="_blank"></a>
n添加條件:使用者-組-隸屬于每項-值-Manager
n添加第二條件:裝置-組-隸屬于每項-值-Manager-WKS
n設定兩個條件間的關系為and
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKioL1NIGv3StwsvAAD68ARs-cY680.jpg" target="_blank"></a>
4、在AD管理中心,打開CentralAccess Policy容器,用如下配置參數建立中央通路政策:
政策名稱:比對部門
成員中心通路規則:department match
5、用如下配置參數建立另一條通路政策:
政策名稱:保護文檔
成員中心通路規則:通路高保密文檔
1、在DC1伺服器管理器中,打開組政策管理控制台。
2、建立組政策對象,命名為DAC,并連結至OU:DAC。
3、編輯組政策對象DAC,展開:計算機配置-政策-Windows設定-安全設定-檔案系統-中心通路政策
4、右鍵點選中心通路政策,并選擇管理中心通路政策,将上面建立的兩條政策“比對部門”和“保護文檔”,添加到組政策中。
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKiom1NIG3iDZMsrAAD68ARs-cY925.jpg" target="_blank"></a>
5、以管理者身份登入SRV1,重新整理組政策:gpupdate/force。
6、打開資源浏覽器,浏覽到c:\docs,打開檔案夾的屬性,在“安全”标簽中,點選進階,在中央政策标簽中,選擇“保護文檔”這條政策。
7、同上面的操作,将“比對部門”這條政策,配置設定給c:\Trainer這個檔案夾。
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKioL1NIG2WDsq_WAAEmfMBvQb0592.jpg" target="_blank"></a>
2、由于tom的部門屬性不等于Trainer,是以無法通路trainer的共享;
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKiom1NIG5qgN7cnAAGPBqFNc3o751.jpg" target="_blank"></a>
3、由于tom隸屬于組manager,并且Win8用戶端隸屬于組manager-WKS,是以tom可以通路docs1和doc2。
<a href="http://s3.51cto.com/wyfs02/M00/23/F7/wKioL1NIG3zAZvx6AAD-oq1c5do787.jpg" target="_blank"></a>
4、切換使用者,以jerry身份登入Win8,由于jerry的部門等于Trainer,是以可以打開Trainer共享檔案夾
<a href="http://s3.51cto.com/wyfs02/M02/23/F7/wKiom1NIG6-CcOvxAAE_1uZ7TN8627.jpg" target="_blank"></a>
5、但是jerry不屬于manager組,不符合政策要求,是以無法檢視doc2文檔(預設開啟基于通路權限的枚舉):
<a href="http://s3.51cto.com/wyfs02/M01/23/F7/wKioL1NIG5LwU2iKAAEMYCbl3wE292.jpg" target="_blank"></a>
【總結】
DAC的魅力我們已經窺得一二,步驟比較多,您可以全面的再看一下上面的步驟,其實非常容易了解。與傳統的權限控制NTFS相對比,NTFS權限,要求我們找到特定的檔案或檔案夾,并指定特定的使用者或組擁有相應的權限。而DAC,則是結合FSRM的檔案分類功能,實作被授權對象的動态控制,并且使用中心通路規則,實作對使用者的動态判斷。
DAC的真正實力遠非如此實驗般簡單,隻要設計得當,權限可以控制的非常細緻,并且可以和RMS內建,實作文檔的防洩密。有關DAC的更豐富的應用,歡迎各位開動腦筋,共同思考……
本文轉自天鬼皇 51CTO部落格,原文連結:http://blog.51cto.com/ghostlan/1394504,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)