企業面對龐雜的檔案權限控管需求,目前除了透過傳統的存取控制清單(ACL)方式來配置NTFS權限與共用權限外,還可以進一步結合Windows Server 2012的動態存取控制(DAC)技術,來提供更加彈性與簡化權限的管理方式。
最常見的還有如圖4所示位於〔組織〕活頁標籤內的「公司」、「部門」、「職稱」三個欄位,如此一來只要該人員調離所屬的部門或職務,對於原有檔案資料夾的存取權限將可能跟著異動。
|
▲圖4 組織資訊。 |
Q2:若要實作DAC功能,在架構上需要做何準備?
關於整個動態存取控制(DAC)的架構,從伺服端系統到用戶端系統的相關要求包括以下幾項:
- 現有Active Directory網域中必須至少有一部Windows Server 2012的網域控制站。
- 檔案伺服器必須是Windows Server 2012作業系統。
- 如果要結合電腦屬性的感知來控管動態存取控制,用戶端電腦必須使用Windows 8。
Q3:什麼是宣告類型?該如何建立呢?
宣告類型的建立,是DAC架構內用以辨別使用者與電腦屬性的基礎。首先從「系統管理工具」開啟「Active Directory管理中心」。接著,如圖5所示切換到「動態存取控制」的「Claim Types」節點下。
在此,筆者已經預先從「工作」區中點選了「新增」→「宣告類型」,並加入部門(department)與職稱(title)兩個欄位屬性,以作為後續存取權限條件的判別使用。
其中套用的類別可以考慮針對department宣告類型勾選「電腦」與「使用者」,而title的宣告類型則僅勾選「使用者」即可。
|
▲圖5 宣告類型管理。 |
圖6所示則是建立宣告類型的設定頁面,在此挑選了一個辦公室位置(physicalDeliveryOfficeName)的欄位屬性。至於套用的類別,則僅勾選「使用者」,這樣後續就可以根據使用者屬性中所屬的「辦公室」欄位資訊來判定存取的權限。
|
▲圖6 宣告類型設定。 |
緊接著,為每一個不同的屬性宣告類型設定相關「建議值」清單,以作為後續在配置個別檔案或資料夾之動態存取權限時的選項。
如圖7所示,先選取「下列是建議值」,然後按下〔新增〕按鈕一一加入想要提供挑選的項目,每個項目至少都必須設定「值」與「顯示名稱」,而兩種欄位的內容可以相同,例如新增一筆顯示名稱與值皆為「高雄總公司」的項目。完成設定後,按一下〔確定〕按鈕。
|
▲圖7 建議值設定。 |
Q4:自訂的資源內容用途為何?該如何建立?
在DAC運作架構中,可以透過建立自訂的檔案資源內容來當作後續不同檔案進行分類時的類別選項,而這些選項便能夠作為辨別存取的使用者或電腦是否有權限存取的條件設定。
例如,可以先替一些較敏感的檔案設定好所屬的部門與等級的分類等等,讓一些不同部門以及職等較低的人員無法存取。接著,說明建立方式。
如圖8所示,先點選至「Resource Properties」節點,然後依序點選「工作」區域內的「新增」→「資源內容」選項。
|
▲圖8 資源內容管理。 |