進階DAC檔案權限控管 操作設定秘訣Top 7

企業面對龐雜的檔案權限控管需求,目前除了透過傳統的存取控制清單(ACL)方式來配置NTFS權限與共用權限外,還可以進一步結合Windows Server 2012的動態存取控制(DAC)技術,來提供更加彈性與簡化權限的管理方式。

開啟「群組原則管理編輯器」介面後,如圖35所示點選至「電腦設定」→「原則」→「系統管理範本」→「系統」→「KDC」節點,然後開啟「KDC支援宣告、複合驗證以及Kerberos保護」項目。


▲圖35 編輯KDC支援宣告原則。

隨後,如圖36所示將「KDC支援宣告、複合驗證以及Kerberos保護」項目內容先設定為「已啟用」,然後到「選項」方框內的下拉選單選擇【支援】。最後,按一下〔確定〕按鈕完成設定。


▲圖36 修改原則設定。

完成上述設定之後,到每一部檔案伺服器的「Windows PowerShell」介面中,如圖37所示下達命令「gpupdate /force」來更新群組原則設定,以及執行「Update-FsrmClassificationPropertyDefinition」命令以更新檔案伺服器資源管理中的最新全域資源清單內容。


▲圖37 檔案伺服器原則更新。

在登入每一部檔案伺服器後,也可以先透過如圖38所示的命令提示字元,下達「gpresult /v | more」命令來查看目前是否已被套用了前面步驟中所建立的群組原則物件,以便確認相關的動態存取控制設定已經生效。


▲圖38 已套用的群組原則。

接下來,在被套用群組原則的Windows Server 2012檔案伺服器上,透過如圖39所示的「新增角色及功能精靈」介面,來確認目前是否已經在「檔案和存放服務」之下安裝好「檔案伺服器資源管理員」元件。


▲圖39 確認安裝檔案伺服器資源管理員。

圖40所示是從「系統管理工具」中所開啟的「檔案伺服器資源管理員」介面。在此可以隨時在「分類管理」→「分類屬性」節點上按一下滑鼠右鍵,然後點選快速選單中的【重新整理】來取得最新建立的檔案分類屬性。


▲圖40 檔案伺服器資源管理員。

實際上,這個動作與前面所介紹過的Update-FsrmClassificationPropertyDefinition命令用途是一樣的。在本文所實作的範例中,執行重新整理功能後應當會看到「檔案分類等級」和「檔案部門」。

接下來,看看檔案伺服器中資料夾與個別檔案的細部配置。首先,如圖41所示在資料夾項目上按一下滑鼠右鍵,然後點選快速選單中的【內容】,接著在〔安全性〕活頁標籤內按一下〔進階〕按鈕。


▲圖41 開啟資料夾內容。

此刻,在資料夾內容頁面內便會多出一個〔集中原則〕活頁標籤,如圖42所示。


▲圖42 配置集中原則。

先在下拉選單中挑選可用的集中存取原則,挑選後便可以看到其各項存取規則內容,每一項存取規則都會清楚顯示所套用之目標檔案的條件,以及相關權限項目與存取的屬性條件。

待完成全部設定後,按一下〔確定〕按鈕即可。

完成上層資料夾的集中原則選取與套用後,接著配置資料夾內不同檔案的分類屬性,往後這些重要的檔案將會依據其分類屬性,來動態決定所要賦予使用者與電腦的權限。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!