用動態訪問優化權限管理

動態訪問控制技術，是Windows Server 2012中提供的新功能，可以幫助管理員更好地設置文件訪問權限。例如，在文件服務器中，存在大量的共享文件夾，使用NTFS權限管理機制，雖然可以控制不同用戶對這些文件夾的訪問權限，但使用傳統的方法配置權限時，往往會面臨一些比難以實現的情況。依靠動態訪問控制（簡稱 DAC，即 Dynamic Access Control）功能，和NTFS管理機制巧妙結合，可以更加靈活地設置訪問權限。

完善用戶屬性信息

用戶的屬性信息有很多，僅僅通過域賬戶管理窗口，只能看到中文名稱（例如“部門”），在實際配置各種DAC規則時，使用的是英文名稱。查看的方法是運行ADSI編輯器，在左側的“ADSI編輯器”項右鍵菜單上點擊“連接到”，在連接設置窗口中選擇“選擇一個已知命名上下文”項，在列表中選中“默認命名上下文”項，點擊“確定”，在左側可以顯示所有的OU項目。選擇對應的OU，在右側顯示其中包含的相關賬戶名。選擇目標賬戶名，在屬性窗口“屬性編輯器”面板中的“值”列中，可以查看所有的屬性值，就會看到與之對應的英文名稱了。

圖1 開啟KDC控制選項

激活KDC控制功能

啟用動態訪問控制時，需要執行帶有屬性信息的身份驗證。為此，需要在DC上打開組策略管理器，在左側選擇“林→域→某域名”項，在右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”項，輸入名稱（例如“opendac”），點擊“確定”創建該GPO。在該GPO的右鍵菜單上點擊“編輯”項，在組策略編輯窗口打開“計算機配置→策略→管理模板→系統→KDC”項，在右側雙擊“KDC支持聲明，符合身份驗證 和Kerberos Armoring”項，在打開窗口（如圖1）中選擇“已啟用”項，在其下的選項列表中選擇“支持”項，表示支持用于動態訪問控制的聲明和符合身份驗證以及Kerberos Armor感知的客戶端計算機，將使用該功能接收Kerberos身份驗證消息。

創建聲明窗口

在DC上打開Active Directory管理中心窗口，在左側選擇“動態訪問控制”項，其中的“Central Access Policies”項主要功能是創建策略，策略中包含多個規則，通過組策略進行發布，來對客戶端進行控制。“Central Access Rules”項的主要作用是創建規則，“Claim Types”項的作用是配置聲明，主要針對用戶的屬性信息進行操作。在DAC中，需要使用到的用戶屬性，必須先進行聲明。例如，選擇“Claim Types”項，在右側列表的右鍵菜單上點擊“新建→聲明類型”項，在創建聲明窗口中的“選擇此聲明類型所基于的AD屬性”欄中輸入所需的屬性名（例如“deparment”），支持模糊查詢功能。

在搜索列表中選擇該屬性值后，在“可以為以下類發出此類型的聲明”欄中選擇“用戶”項，表示該聲明針對的是用戶。在“當用戶向此聲明類型分配值”欄中選擇“已建議以下值”項，點擊“添加”，輸入與該屬性有關的值，例如針對部門聲明，可以添加“市場部”、“開發部”、“財務部”等。點擊“確定”，創建該聲明項目。按照同樣的方法，針對“Title”屬性創建聲明項目，該屬性對應的是用戶的職位信息，并設置一些建議值，例如“主任”、“專員”、“經理”等。

圖2 設置具體的規則條目

配置DAC控制規則

在左側選擇“Central Access Rules”項，在右側的“任務”欄中點擊“新建→中心訪問規則”項，在創建中心訪問規則窗口中的“名稱”欄中輸入規則名（例如“rules1”），在“權限”欄中選擇“將以下權限作為當前權限”項，表示授予目標資源真實的訪問權限。點擊“編輯”來定義具體的訪問規則。在打開窗口中點擊“添加”，在權限的高級安全設置窗口（如圖2）中點擊“選擇主題”鏈接，在選擇窗口中輸入“Domain users”并將其導入，表示該規則針對域中所有的用戶。在“基本權限”欄中可以設置合適的權限，包括完全控制、修改、讀取和執行、讀取、寫入、特殊權限等，默認選擇讀取，讀取和執行。這里選擇“完全控制”，點擊“添加條件”鏈接，來設置條件限制訪問，只有當滿足預設的條件后，才授予主體指定的權限。

在條件欄中第一個列表中選擇“用戶”，第二個列表中選擇“deparment”，即上述定義的聲明項，在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中顯示上述預設的屬性值，例如選擇“開發部”等。這樣，只有部門屬性為開發部的用戶可以擁有以上權限。根據需要可添加更多的條件項目，不同的條件之間連接符包括And和Or。默認情況下，使用的是AND連接符，表示必須滿足所有的條件。例如再建立一個條件，在條件欄中第一個列表中選擇“用戶”，第二個列表中選擇“title”，即上述定義的聲明項，在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中顯示上述預設的屬性值（例“經理”）。點擊確定持配置信息。

創建中心訪問策略

僅僅創建規則是不夠的，還需要將其封裝在策略中。在左側選擇“Central Access Policies” 項，在右側點擊“新建→中心訪問策略”項，在打開窗口中輸入該策略的名稱（例如“policy1”），在“成員中心訪問規則”欄中點擊添加按鈕，將上述規則添加進來。在DC上打開組策略管理器，在左側選擇“林→域→某域名”項，在右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”，輸入名稱（例如“Deploy”），點擊確定創建該GPO。在該GPO的右鍵菜單上點擊“編輯”項，在組策略編輯窗口打開“計算機配置→策略→Windows設置→安全設置→文件系統→中心訪問策略”項，在右鍵菜單上點擊“管理中心訪問策略”項，在打開窗口左側找到上述策略項，點擊添加將其導入到“適用的中央訪問策略”列表中，點擊確定按鈕即可。

管理中央策略項目

接下來為不同的部門分配所需的訪問權限，例如在域中的某臺文件服務器（例如名稱為“fileserver1”）上打開CMD窗口，執行“gpupdate /force”命令，來刷新組策略。選擇某個共享文件夾，在其屬性窗口中的“安全”面板中點擊高級按鈕，在打開窗口中會出現“中央策略”面板，在“中央策略”列表中顯示上述創建的策略項目（例如“policy1”），在“應用于”列表中選擇應用對象，可以根據實際需要進行選擇。例如選擇“此文件夾和文件”項，表示針對本文件夾和其中的文件使用預設的策略，對子文件夾則無效。

在“此策略包含以下規則”欄中顯示該策略包含的所有規則，在擴展面板中顯示具體的權限條目。點擊應用按鈕，保存配置信息。對于用戶來說，訪問共享文件夾的權限會受到共享權限和NTFS安全權限雙重控制的，對于使用DAC實現動態控制來說，應該將共享權限設置為針對Everyone開啟完全控制，才能使其受到DAC的有效管控。這樣，對于該共享文件夾來說，只有合乎條件的部門以及職位的用戶，才可以按照預定的權限對其進行操作，其余的用戶是沒有這些權限的。

對中央策略進行測試

在該共享目錄的屬性窗口中打開“有效訪問”面板，點擊“選擇用戶”鏈接，輸入目標域賬戶。點擊“查看有效訪問”按鈕，在列表中就會顯示該賬戶對該目錄擁有的權限。具體使用時，可以在客戶端以域用戶身份登錄，對該文件服務器進行訪問，如果該用戶屬性值中的部門屬于財務部，而且職位為經理的話，就可以對目標共享文件夾擁有完全控制的權限。當然，按照以上配置，其權限范圍僅包括該共享文件夾和其中的文件，對其中的子文件夾是沒有完全控制權的。

激活對應資源屬性項目

除了使用DAC控制用戶的屬性外，還可以對資源屬性進行控制。例如共享目錄是最常用的資源，其屬性同樣可以進行設定，例如屬于哪個部門，重要性級別等。在DC上的Active Directory管理中心窗口左側選擇“動態訪問控制→Resource Properties”項，在右側右側列表顯示資源的所有屬性（如圖3），例如選擇“Deparment”項，點擊“任務”欄中的“啟用”項，就可以啟動部門這一資源屬性。選擇“Confidentiality”項，點擊“啟用”項，可以啟用重要性級別這一屬性。選定好了資源屬性項目后，之后需要將其分發到所有的文件服務器上。在左側選擇“Resource Property Lists”項，在“任務”欄中點擊“添加資源屬性”項，在打開窗口中選擇“Deparment”和“Confidentiality”項，點擊“>>”按鈕，將其添加進來。

配置資源屬性信息

在文件服務器上必須預先安裝特定的組件，在服務器管理器中點擊“添加角色和功能”項，在角色列表中打開“文件和存儲服務→文件和iSCSI服務”分支，選中“文件服務器資源管理器”項來安裝組件。執行“gpupdate /force”命令刷新組策略。打開文件服務器資源管理器窗口，在左側選擇“分類管理→分類屬性”項，在右側可以顯示上述兩個資源屬性項目。選中某個共享目錄，在其屬性窗口中的“分類”面板中也會顯示上述兩個資源屬性項目。選擇“Confidentiality”項，在底部列表中選擇“High”項，將其重要性設置為高。選擇“Deparment”項，在底部列表選擇具體的部門類別，例如“Finance”等。

圖3 激活所需的資源屬性項目

創建動態訪問控制規則

在DC上 的Active Directory管理中心左側選擇“動態訪問控制→Central Access Rules”項，在右側選擇上述名為“rules1”的規則，點擊“屬性→編輯”，顯示已經存在的條目，選擇上述創建的規則條件項目，點擊“編輯→添加條件”鏈接，繼續添加控制項目，在新增條件欄中第一個列表中選擇“資源”，第二個列表中顯示設定好的資源項目，例如選擇“Confidentiality”。

在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中顯示上述預設的屬性值，例如選 擇“High”。 點 擊“添 加條件”鏈接，在新增條件欄中第一個列表中選擇“資源”，第二個列表中顯示設定好的資源項目，例如選擇“Department”。在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中選擇“財務部”。點擊確定按鈕，保持配置信息。

在文件服務器上配置策略項目

在文件服務器上執行“gpupdate /force”命令，來刷新組策略。選擇某個共享文件夾，在屬性窗口中的“安全”面板中點擊高級按鈕，在打開窗口中會出現“中央策略”面板，在其中的“中央策略”列表中顯示上述創建的策略項目（例如“policy1”），在“應用于”列表中選擇應用對象，在“此策略包含以下規則”欄中顯示該策略包含的所有規則，在其擴展面板中顯示具體的權限條目。點擊應用按鈕，保存配置信息。這樣，只有滿足以上條件的域賬戶，才能訪問屬性符合條件的共享目錄。當然，還可以針對設備屬性，來配置DAC控制規則，具體的方法并不復雜。