安徽快三开奖结果今天开奖号
首頁 | 郵件資訊 | 技術教程 | 解決方案 | 產品評測 | 郵件人才 | 郵件博客 | 郵件系統論壇 | 軟件下載 | 郵件周刊 | 熱點專題 | 工具
網絡技術 | 操作系統 | 郵件系統 | 客戶端 | 電子郵箱 | 反垃圾郵件 | 郵件安全 | 郵件營銷 | 移動電郵 | 郵件軟件下載 | 電子書下載

操作系統

Windows 9X | Linux&Uinx | Windows Server | 其它操作系統 | Vista | FreeBSD | Windows 7/8 |
首頁 > 操作系統 > Windows Server > Windows Server 2012高級文件服務器管理——動態訪問控制 > 正文

Windows Server 2012高級文件服務器管理——動態訪問控制

出處:www.canway.net 作者:蘭曉宇 時間:2014-5-15 12:12:20

【引子】

領導說:公司的文檔對公司的發展至關重要,一定要保障公司文檔的安全性和可用性,絕不可以泄密。

作者說:我的文檔放在公司的服務器上安全嗎?權限是如何控制的呢?

用戶說:我想訪問XX文檔,為什么沒有權限呢?我要申請權限。

安全,就像給IT穿一件棉襖,雖然行動不便,但是很暖和。面對著這種“領導要求‘暖和’,用戶要求‘方便’“的局面,我們的IT管理員常常處于尷尬的地位,在各方力量的較量中,做著無聊的事情。

隨著Windows Server 2012的發布,一項非常強大的文件服務器管理工具走進了我們的視野,那就是動態訪問控制(DAC),本文,將為您展示DAC的強大所在……

【正文】

一、 功能概述

大多數企業,會將自己的數據存儲在文件服務器,因此,IT管理員必須提供適當的安全和訪問控制,在以前的Windows 服務器版本中,IT管理員主要的控制手段為NTFS的安全權限。但是在比較復雜的環境中,NTFS權限的管理,很不方便。我有一個客戶,員工數千人,但是權限管理非常細致,以至于,出現個別用戶隸屬于上千個組的情況。不僅僅是管理員的管理工作非常麻煩,早期的Windows 版本還有每用戶最多隸屬于1015個組的限制。

Windows Server 2012的發布,為我們帶來了一種新的訪問控制機制,即動態訪問控制——DAC。動態訪問控制提供了一種靈活的方式來運用和管理訪問和審計。

DAC提供如下功能:

1、 文件分類:可以與FSRM結合,實現對服務器上的文件進行動態的分類,例如:通過關鍵字過濾,來定義文檔的保密級別等。

2、 訪問控制:基于中央訪問策略定議用戶的訪問控制,可以實現更加豐富的權限控制,例如:要求用戶隸屬于管理員組,并且用戶所使用的計算機也隸屬于管理員組,才擁有訪問權限;或用戶的部門屬性等于文檔的部門屬性時,才擁有訪問權限,以便限制跨部門的訪問。

3、 訪問審計:可以使用中央審計策略定義文件訪問審計,并生成審計報告。例如:審計有哪些用戶訪問過保密級別為高的文檔。

4、 RMS集成:與RMS集成,實現文檔權限的進一步細化。例如:只允許用戶查看文檔,而不可以復制內容或者打印、轉發等。

5、 拒絕訪問援助:可以自定義拒絕訪問的提示信息,以減少服務臺的工作量以及減少排錯的時間。

二、 實驗環境概述

本文實驗環境如下:

Contoso公司有一個域名為contoso.com的活動目錄,其中域控制器的主機名為DC1,并有一臺名為SRV1的文件服務器,Win7和Win8是兩臺客戶端。所有用戶和計算機位于組織單位DAC下。

公司的管理員對內部文檔擁有較高權限,隸屬于安全組Manager;有一個名稱為Trainer的部門,利用用戶屬性的部門屬性進行標識。本實驗主要實現如下兩個目標:

1、 對公司文檔進行關鍵字過濾,進而實現保密級別的劃分。只有當管理員組的用戶,使用屬于管理員組的計算機時,才可以訪問文檔。

2、 為Trainer部門建立共享文件夾,并賦予Trainer屬性,只有當用戶的部門屬性為Trainer時才可以訪問。

用戶的環境如下表:

 

三、 配置AD環境,以支持DAC

1、 編輯默認域控制器策略,展開如下級別:默認域控制器策略-計算機配置-策略-管理模板-系統-KDC。

2、 配置并啟用“KDC支持聲明、復合身份驗證和Kerberos Armoring”,選擇”支持“。

3、 以Administrator登錄DC1,并刷新組策略:gpupdate /force。

四、 配置用戶和設備聲明

1、 以Administrator身份登錄DC1,打開AD管理中心。在列表視圖中,點擊動態訪問控制。然后雙擊Claim Types。

2、 在Claim Types容器中,新建聲明類型;

3、 在創建聲明類型窗口,在源屬性選項中,選擇Department,在Display name框中填寫Company Department,并勾選計算機和用戶復選框,如下圖。

4、 在Claim Types容器中再次新建聲明類型,在源屬性中選擇Description;清除用戶復框,并選擇計算機復選框,如下圖。

五、 配置資源屬性

1、 以管理員身份登錄DC1,打開AD管理中心,點擊動態訪問控制,打開Resource Properties容器。

2、 右鍵點擊,并啟用Department和Confidentiality資源屬性。

3、 打開Department的屬性,在建議值中添加Trainer。

六、 配置文件分類

1、 以管理員身份登錄SRV1,并添加文件服務資源管理器(FSRM)這個角色。

2、 在C盤新建兩個文件夾,分別命名為docs和Trainer,并共享,授予everyone讀寫的共享權限。在c:\docs文件夾下新兩個文本文檔doc1.txt和doc2.txt,其中一個文檔包含后面要用到的關鍵字“保密”。

3、 打開文件服務器資源管理器(FSRM),展開分類管理,右鍵點擊分類屬性,并選擇刷新,即可獲取到前面配置的兩條分類屬性Department和Confidentiality。

4、 點擊分類規則,利用如下配置信息新建一條分類規則:

1) 規則名稱:文檔保密級別

2) 作用域:c:\docs

3) 分類方法:內容分類器

4) 分類屬性:Confidentiality

5) 指定值:High

6) 配置參數:正則表達式,保密。(如下圖)

7) 評估類型:勾選重新評估現有的屬性值,并選擇覆蓋現有值。

5、 立即運行分類規則,也可以按需要配置分類計劃。

6、 打開資源瀏覽器,打開C:\docs,查看doc1的屬性,分類標簽中,Confidentiality屬性為空,而doc2的Confidentiality屬性為High。

7、 打開資源瀏覽器,打開C:\,并打開Trainer文件夾的屬性,在分類標簽中,將Department的值設為Trainer。

七、 配置中央訪問規則和中央訪問策略

1、 以管理員身份登錄DC1,打開AD管理中心,在動態訪問控制中,打開Central Access Rules容器。

2、 利用如下配置信息創建訪問規則:

1) 規則名稱:Department match

2) 目標資源:資源-Department-等于-值-Trainer

3) 當前權限:

a) 移除Administrator

b) 添加Authenticate Users,完全控制權限(可按需要調整)

c) 添加條件:用戶-company department-等于-資源-department

3、 利用如下資源新建另一條訪問規則:

1) 規則名稱:訪問高保密文檔

5) 目標資源:資源-Confidentiality-等-值-High

2) 當前權限:

a) 移除Administrator

b) 添加Authenticate Users,完全控制權限(可按需要調整)

c) 添加條件:用戶-組-隸屬于每項-值-Manager

d) 添加第二條件:設備-組-隸屬于每項-值-Manager-WKS

e) 設置兩個條件間的關系為and

4、 在AD管理中心,打開Central Access Policy容器,用如下配置參數創建中央訪問策略:

1) 策略名稱:匹配部門

2) 成員中心訪問規則:department match

5、 用如下配置參數新建另一條訪問策略:

1) 策略名稱:保護文檔

2) 成員中心訪問規則:訪問高保密文檔

八、 發布中心訪問策略

1、 在DC1服務器管理器中,打開組策略管理控制臺。

2、 新建組策略對象,命名為DAC,并鏈接至OU:DAC。

3、 編輯組策略對象DAC,展開:計算機配置-策略-Windows設置-安全設置-文件系統-中心訪問策略

4、 右鍵點擊中心訪問策略,并選擇管理中心訪問策略,將上面創建的兩條策略“匹配部門”和“保護文檔”,添加到組策略中。

5、 以管理員身份登錄SRV1,刷新組策略:gpupdate /force。

6、 打開資源瀏覽器,瀏覽到c:\docs,打開文件夾的屬性,在“安全”標簽中,點擊高級,在中央策略標簽中,選擇“保護文檔”這條策略。

7、 同上面的操作,將“匹配部門”這條策略,分配給c:\Trainer這個文件夾。

九、 驗證動態訪問控制

1、 以tom身份登錄Win8客戶端,訪問\\srv1。

2、 由于tom的部門屬性不等于Trainer,所以無法訪問trainer的共享;

3、 由于tom隸屬于組manager,并且Win8客戶端隸屬于組manager-WKS,所以tom可以訪問docs1和doc2。

4、 切換用戶,以jerry身份登錄Win8,由于jerry的部門等于Trainer,所以可以打開Trainer共享文件夾

5、 但是jerry不屬于manager組,不符合策略要求,所以無法查看doc2文檔(默認開啟基于訪問權限的枚舉):

【總結】

DAC的魅力我們已經窺得一二,步驟比較多,您可以全面的再看一下上面的步驟,其實非常容易理解。與傳統的權限控制NTFS相對比,NTFS權限,要求我們找到特定的文件或文件夾,并指定特定的用戶或組擁有相應的權限。而DAC,則是結合FSRM的文件分類功能,實現被授權對象的動態控制,并且使用中心訪問規則,實現對用戶的動態判斷。

DAC的真正實力遠非如此實驗般簡單,只要設計得當,權限可以控制的非常細致,并且可以和RMS集成,實現文檔的防泄密。有關DAC的更豐富的應用,歡迎各位開動腦筋,共同思考…

相關文章 熱門文章
  • Exchange Server 2010 FolderSync 失敗解決辦法
  • 降級Windows 2008 R2域控時報錯的解決方法
  • Windows 2008 R2域控制器管理員密碼破解
  • Exchange Server數據文件移植
  • Windows Server 2012命令工具實戰TOP 8-(2)
  • Windows Server 2012命令工具實戰TOP 8-(1)
  • Exchange Server 2013 訊息安全防護火力全開-(2)
  • Exchange Server 2013 訊息安全防護火力全開-(1)
  • Exchange Server 2010 SP1 MSExchange ADAccess 錯誤日志2102
  • Exchange Server 2010 SP3 Update Rollup 1 發布
  • Exchange Server 2010資料庫高可用性部署TOP 7
  • Exchange Server 2010 訊息法規管理秘訣TOP8
  • “http 500內部服務器錯誤”的解決方法
  • 利用Windows 2000 Server的RRAS實現VPN服務器
  • 用鳳凰萬能啟動盤解決本地/域管理員密碼丟失
  • Win2003 Server企業版安裝配置
  • Active directory 災難恢復
  • Windows 2000/03域和活動目錄
  • 如何在vmware4上創建windows 2003群集
  • MSI文件制作全過程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系統的本地策略不允許您采用交互式登錄解決方法
  • Win2000路由的安裝與設置實現不同網段互通
  • 自由廣告區
     
    最新軟件下載
  • Exchange Server 2013 Service Pack 1...
  • Exchange 2013 Pocket Consultant Dat...
  • Exchange 2013 Connectivity Clients ...
  • Exchange Server 2013 Pocket Consult...
  • Exchange Server 2013 Unleashed
  • Exchange Server 2013 Powershell Coo...
  • Exchange 2013 Mailbox and High Avai...
  • Learn Windows PowerShell 3 in a Mon...
  • Windows Powershell 3.0 First Steps
  • Windows PowerShell 3.0 Step by Step...
  • Foxmail 7.1 正式版
  • Exchange Serer 2013 安裝指南
  • 今日郵件技術文章
  • Windows Server 2012高級文件服務器管...
  • Exchange 2007 CCR 群集數據遷移
  • EXCHANGE修改郵箱大小,并使其立即生效
  • TurboMail郵件服務器為成長型企業提供...
  • Exchange Server 2010 FolderSync 失敗..
  • 卡巴斯基揭示2014年第一季度垃圾郵件新..
  • 專家解讀:如何防止外貿企業郵箱“被劫”
  • Coremail郵件系統獲“中國軟件行業金牛..
  • Exchange 2013部署過程中碰到問題之一
  • Exchange 2010 DAG部署過程中碰到的問題
  • Exchange 2010 OWA部分用戶不能訪問
  • 修改Exchange 2013郵件發送頻率
  • 最新專題
  • Windows Server 2012技術專題
  • Windows 8 技術專題
  • Exchange Server 2013技術專題
  • Exchange 2003升級到Exchange 2010
  • 鳥哥的Linux私房菜之Mail服務器
  • Exchange Server 2010技術專題
  • Windows 7 技術專題
  • Sendmail 郵件系統配置
  • 組建Exchange 2003郵件系統
  • Windows Server 2008 專題
  • ORF 反垃圾郵件系統
  • Exchange Server 2007 專題
  • 分類導航
    郵件新聞資訊:
    IT業界 | 郵件服務器 | 郵件趣聞 | 移動電郵
    電子郵箱 | 反垃圾郵件|郵件客戶端|網絡安全
    行業數據 | 郵件人物 | 網站公告 | 行業法規
    網絡技術:
    郵件原理 | 網絡協議 | 網絡管理 | 傳輸介質
    線路接入 | 路由接口 | 郵件存儲 | 華為3Com
    CISCO技術 | 網絡與服務器硬件
    操作系統:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系統
    郵件服務器:
    程序與開發 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛郵件系統 | 其它 |
    反垃圾郵件:
    綜述| 客戶端反垃圾郵件|服務器端反垃圾郵件
    郵件客戶端軟件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鳥 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    電子郵箱: 個人郵箱 | 企業郵箱 |Gmail
    移動電子郵件:服務器 | 客戶端 | 技術前沿
    郵件網絡安全:
    軟件漏洞 | 安全知識 | 病毒公告 |防火墻
    攻防技術 | 病毒查殺| ISA | 數字簽名
    郵件營銷:
    Email營銷 | 網絡營銷 | 營銷技巧 |營銷案例
    郵件人才:招聘 | 職場 | 培訓 | 指南 | 職場
    解決方案:
    郵件系統|反垃圾郵件 |安全 |移動電郵 |招標
    產品評測:
    郵件系統 |反垃圾郵件 |郵箱 |安全 |客戶端
    廣告聯系 | 合作聯系 | 關于我們 | 聯系我們
    版權所有:郵件技術資訊網©2003-2016 www.mpmgk.icu, All Rights Reserved
    www.mpmgk.icu Web Team   粵ICP備09060656號
    安徽快三开奖结果今天开奖号