首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7/8 |
广西十一选五开奖视台 > 操作系统 > Windows Server > Windows Server 2012高级文件服务器管理——动态访问控制 > 正文

广东11选5爱乐彩:Windows Server 2012高级文件服务器管理——动态访问控制

出处:www.canway.net 作者:兰晓宇 时间:2014-5-15 12:12:20

广西十一选五开奖视台 www.qj2k.cn 【引子】

领导说:公司的文档对公司的发展至关重要,一定要保障公司文档的安全性和可用性,绝不可以泄密。

作者说:我的文档放在公司的服务器上安全吗?权限是如何控制的呢?

用户说:我想访问XX文档,为什么没有权限呢?我要申请权限。

安全,就像给IT穿一件棉袄,虽然行动不便,但是很暖和。面对着这种“领导要求‘暖和’,用户要求‘方便’“的局面,我们的IT管理员常常处于尴尬的地位,在各方力量的较量中,做着无聊的事情。

随着Windows Server 2012的发布,一项非常强大的文件服务器管理工具走进了我们的视野,那就是动态访问控制(DAC),本文,将为您展示DAC的强大所在……

【正文】

一、 功能概述

大多数企业,会将自己的数据存储在文件服务器,因此,IT管理员必须提供适当的安全和访问控制,在以前的Windows 服务器版本中,IT管理员主要的控制手段为NTFS的安全权限。但是在比较复杂的环境中,NTFS权限的管理,很不方便。我有一个客户,员工数千人,但是权限管理非常细致,以至于,出现个别用户隶属于上千个组的情况。不仅仅是管理员的管理工作非常麻烦,早期的Windows 版本还有每用户最多隶属于1015个组的限制。

Windows Server 2012的发布,为我们带来了一种新的访问控制机制,即动态访问控制——DAC。动态访问控制提供了一种灵活的方式来运用和管理访问和审计。

DAC提供如下功能:

1、 文件分类:可以与FSRM结合,实现对服务器上的文件进行动态的分类,例如:通过关键字过滤,来定义文档的保密级别等。

2、 访问控制:基于中央访问策略定议用户的访问控制,可以实现更加丰富的权限控制,例如:要求用户隶属于管理员组,并且用户所使用的计算机也隶属于管理员组,才拥有访问权限;或用户的部门属性等于文档的部门属性时,才拥有访问权限,以便限制跨部门的访问。

3、 访问审计:可以使用中央审计策略定义文件访问审计,并生成审计报告。例如:审计有哪些用户访问过保密级别为高的文档。

4、 RMS集成:与RMS集成,实现文档权限的进一步细化。例如:只允许用户查看文档,而不可以复制内容或者打印、转发等。

5、 拒绝访问援助:可以自定义拒绝访问的提示信息,以减少服务台的工作量以及减少排错的时间。

二、 实验环境概述

本文实验环境如下:

Contoso公司有一个域名为contoso.com的活动目录,其中域控制器的主机名为DC1,并有一台名为SRV1的文件服务器,Win7和Win8是两台客户端。所有用户和计算机位于组织单位DAC下。

公司的管理员对内部文档拥有较高权限,隶属于安全组Manager;有一个名称为Trainer的部门,利用用户属性的部门属性进行标识。本实验主要实现如下两个目标:

1、 对公司文档进行关键字过滤,进而实现保密级别的划分。只有当管理员组的用户,使用属于管理员组的计算机时,才可以访问文档。

2、 为Trainer部门建立共享文件夹,并赋予Trainer属性,只有当用户的部门属性为Trainer时才可以访问。

用户的环境如下表:

 

三、 配置AD环境,以支持DAC

1、 编辑默认域控制器策略,展开如下级别:默认域控制器策略-计算机配置-策略-管理模板-系统-KDC。

2、 配置并启用“KDC支持声明、复合身份验证和Kerberos Armoring”,选择”支持“。

3、 以Administrator登录DC1,并刷新组策略:gpupdate /force。

四、 配置用户和设备声明

1、 以Administrator身份登录DC1,打开AD管理中心。在列表视图中,点击动态访问控制。然后双击Claim Types。

2、 在Claim Types容器中,新建声明类型;

3、 在创建声明类型窗口,在源属性选项中,选择Department,在Display name框中填写Company Department,并勾选计算机和用户复选框,如下图。

4、 在Claim Types容器中再次新建声明类型,在源属性中选择Description;清除用户复框,并选择计算机复选框,如下图。

五、 配置资源属性

1、 以管理员身份登录DC1,打开AD管理中心,点击动态访问控制,打开Resource Properties容器。

2、 右键点击,并启用Department和Confidentiality资源属性。

3、 打开Department的属性,在建议值中添加Trainer。

六、 配置文件分类

1、 以管理员身份登录SRV1,并添加文件服务资源管理器(FSRM)这个角色。

2、 在C盘新建两个文件夹,分别命名为docs和Trainer,并共享,授予everyone读写的共享权限。在c:\docs文件夹下新两个文本文档doc1.txt和doc2.txt,其中一个文档包含后面要用到的关键字“保密”。

3、 打开文件服务器资源管理器(FSRM),展开分类管理,右键点击分类属性,并选择刷新,即可获取到前面配置的两条分类属性Department和Confidentiality。

4、 点击分类规则,利用如下配置信息新建一条分类规则:

1) 规则名称:文档保密级别

2) 作用域:c:\docs

3) 分类方法:内容分类器

4) 分类属性:Confidentiality

5) 指定值:High

6) 配置参数:正则表达式,保密。(如下图)

7) 评估类型:勾选重新评估现有的属性值,并选择覆盖现有值。

5、 立即运行分类规则,也可以按需要配置分类计划。

6、 打开资源浏览器,打开C:\docs,查看doc1的属性,分类标签中,Confidentiality属性为空,而doc2的Confidentiality属性为High。

7、 打开资源浏览器,打开C:\,并打开Trainer文件夹的属性,在分类标签中,将Department的值设为Trainer。

七、 配置中央访问规则和中央访问策略

1、 以管理员身份登录DC1,打开AD管理中心,在动态访问控制中,打开Central Access Rules容器。

2、 利用如下配置信息创建访问规则:

1) 规则名称:Department match

2) 目标资源:资源-Department-等于-值-Trainer

3) 当前权限:

a) 移除Administrator

b) 添加Authenticate Users,完全控制权限(可按需要调整)

c) 添加条件:用户-company department-等于-资源-department

3、 利用如下资源新建另一条访问规则:

1) 规则名称:访问高保密文档

5) 目标资源:资源-Confidentiality-等-值-High

2) 当前权限:

a) 移除Administrator

b) 添加Authenticate Users,完全控制权限(可按需要调整)

c) 添加条件:用户-组-隶属于每项-值-Manager

d) 添加第二条件:设备-组-隶属于每项-值-Manager-WKS

e) 设置两个条件间的关系为and

4、 在AD管理中心,打开Central Access Policy容器,用如下配置参数创建中央访问策略:

1) 策略名称:匹配部门

2) 成员中心访问规则:department match

5、 用如下配置参数新建另一条访问策略:

1) 策略名称:?;の牡?/P>

2) 成员中心访问规则:访问高保密文档

八、 发布中心访问策略

1、 在DC1服务器管理器中,打开组策略管理控制台。

2、 新建组策略对象,命名为DAC,并链接至OU:DAC。

3、 编辑组策略对象DAC,展开:计算机配置-策略-Windows设置-安全设置-文件系统-中心访问策略

4、 右键点击中心访问策略,并选择管理中心访问策略,将上面创建的两条策略“匹配部门”和“?;の牡怠?,添加到组策略中。

5、 以管理员身份登录SRV1,刷新组策略:gpupdate /force。

6、 打开资源浏览器,浏览到c:\docs,打开文件夹的属性,在“安全”标签中,点击高级,在中央策略标签中,选择“?;の牡怠闭馓醪呗?。

7、 同上面的操作,将“匹配部门”这条策略,分配给c:\Trainer这个文件夹。

九、 验证动态访问控制

1、 以tom身份登录Win8客户端,访问\\srv1。

2、 由于tom的部门属性不等于Trainer,所以无法访问trainer的共享;

3、 由于tom隶属于组manager,并且Win8客户端隶属于组manager-WKS,所以tom可以访问docs1和doc2。

4、 切换用户,以jerry身份登录Win8,由于jerry的部门等于Trainer,所以可以打开Trainer共享文件夹

5、 但是jerry不属于manager组,不符合策略要求,所以无法查看doc2文档(默认开启基于访问权限的枚举):

【总结】

DAC的魅力我们已经窥得一二,步骤比较多,您可以全面的再看一下上面的步骤,其实非常容易理解。与传统的权限控制NTFS相对比,NTFS权限,要求我们找到特定的文件或文件夹,并指定特定的用户或组拥有相应的权限。而DAC,则是结合FSRM的文件分类功能,实现被授权对象的动态控制,并且使用中心访问规则,实现对用户的动态判断。

DAC的真正实力远非如此实验般简单,只要设计得当,权限可以控制的非常细致,并且可以和RMS集成,实现文档的防泄密。有关DAC的更丰富的应用,欢迎各位开动脑筋,共同思考…

相关文章 热门文章
  • Exchange Server 2010 FolderSync 失败解决办法
  • 降级Windows 2008 R2域控时报错的解决方法
  • Windows 2008 R2域控制器管理员密码破解
  • Exchange Server数据文件移植
  • Windows Server 2012命令工具實戰TOP 8-(2)
  • Windows Server 2012命令工具實戰TOP 8-(1)
  • Exchange Server 2013 訊息安全防護火力全開-(2)
  • Exchange Server 2013 訊息安全防護火力全開-(1)
  • Exchange Server 2010 SP1 MSExchange ADAccess 错误日志2102
  • Exchange Server 2010 SP3 Update Rollup 1 发布
  • Exchange Server 2010資料庫高可用性部署TOP 7
  • Exchange Server 2010 訊息法規管理秘訣TOP8
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • Exchange Server 2013 Service Pack 1...
  • Exchange 2013 Pocket Consultant Dat...
  • Exchange 2013 Connectivity Clients ...
  • Exchange Server 2013 Pocket Consult...
  • Exchange Server 2013 Unleashed
  • Exchange Server 2013 Powershell Coo...
  • Exchange 2013 Mailbox and High Avai...
  • Learn Windows PowerShell 3 in a Mon...
  • Windows Powershell 3.0 First Steps
  • Windows PowerShell 3.0 Step by Step...
  • Foxmail 7.1 正式版
  • Exchange Serer 2013 安装指南
  • 今日邮件技术文章
  • Windows Server 2012高级文件服务器管...
  • Exchange 2007 CCR 群集数据迁移
  • EXCHANGE修改邮箱大小,并使其立即生效
  • TurboMail邮件服务器为成长型企业提供...
  • Exchange Server 2010 FolderSync 失败..
  • 卡巴斯基揭示2014年第一季度垃圾邮件新..
  • 专家解读:如何防止外贸企业邮箱“被劫”
  • Coremail邮件系统获“中国软件行业金牛..
  • Exchange 2013部署过程中碰到问题之一
  • Exchange 2010 DAG部署过程中碰到的问题
  • Exchange 2010 OWA部分用户不能访问
  • 修改Exchange 2013邮件发送频率
  • 最新专题
  • Windows Server 2012技术专题
  • Windows 8 技术专题
  • Exchange Server 2013技术专题
  • Exchange 2003升级到Exchange 2010
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 广西十一选五开奖视台 | 联系我们
    版权所有:邮件技术资讯网©2003-2016 广西十一选五开奖视台 www.qj2k.cn, All Rights Reserved
    广西十一选五开奖视台 www.qj2k.cn Web Team   粤ICP备09060656号
  • 脸每天都洗 但你真的洗对了吗? 2018-08-22
  • 看球还得大屏!外媒:俄罗斯世界杯推动电视机销量增长 2018-08-22
  • 愿赌不服输 何解万科“劫” ——凤凰网房产北京 2018-08-18
  • 【专题】高质量发展江西行动 2018-08-07
  • 法兰克福投“中国人所好”改造老城区 吸引游客来此“怀旧” 2018-08-07
  • 山西打造“互联网+”科技扶贫模式 2018-08-03
  • 《茶馆》不仅仅是传奇 2018-08-03
  • 经济运行韧性十足 关键领域改革加力——国际机构鼓劲中国经济好势头 2018-07-05
  • 别做梦了,醒醒吧。一个国家强大,教育是重要的。没有你说的那样美国妒忌心态。美国害怕的是中国不改革不开放,因为中国一旦做自己的企业,走自己的道路,对美国来说意味美 2018-07-05
  • 运城网友:采石烧灰双污染 居民生存实艰难 2018-07-04
  • 有理讲理,不要诬蔑。 2018-07-04
  • 议会“争夺”决定权 英政府“脱欧”方案再受阻 2018-07-03
  • 西安秦陵博物院牵手新浪动漫 让文物更好"玩" 2018-07-03
  • 中国瓦文化文章中国国家地理网 2018-07-02
  • 557| 802| 963| 961| 51| 915| 283| 484| 922| 240|