企業面對龐雜的檔案權限控管需求,目前除了透過傳統的存取控制清單(ACL)方式來配置NTFS權限與共用權限外,還可以進一步結合Windows Server 2012的動態存取控制(DAC)技術,來提供更加彈性與簡化權限的管理方式。
如圖19所示,開啟「權限的權限項目」頁面後,點選「選取一個主體」連結。這裡以選取「Authenticated Users」為例,表示將針對所有通過驗證的對象。
|
▲圖19 權限配置。 |
然後勾選基本權限,包括「完全控制」、「讀取」、「讀取和執行」、「修改」、「寫入」以及「特殊存取權限」。最後,設定配置此權限的條件。
在此範例中,設定使用者必須隸屬於資訊部門,以及所連線使用的電腦也必須是資訊部,而使用者所屬的辦公室則必須是高雄總公司,由於以上三者的條件皆是設定為「且」的關係,因此後續被套用此規則的檔案資料夾,便需要滿足這三個條件才能獲得相對的存取權限。
完成以上全部的設定後,按一下〔確定〕按鈕。
完成進階安全性權限的設定之後,再回到如圖20所示的〔權限〕活頁標籤內,便能夠看到前面所加入的權限設定項目,經確認無誤後,按下〔確定〕按鈕即可。
|
▲圖20 完成權限配置。 |
如圖21所示,再回到「Central Access Rules」節點頁面內,將發現範例中所自訂的兩個集中存取規則的項目,可以隨時在此刪除或修改內容。
|
▲圖21 完成存取規則建立。 |
各種所需要的集中存取規則項目都完成建立後,接著來到如圖22所示的最上層的「Central Access Policies」節點頁面,開始建立所需要的集中存取原則,如此一來,後續在群組原則管理編輯器中才能夠挑選所需要套用的集中存取原則項目。
|
▲圖22 集中存取原則管理。 |
隨後,到「工作」區域內依序點選「新增」→「集中存取原則」。
如圖23所示,這裡建立了一個名為「行政部門檔案存取原則」的範例,它目前所挑選的集中存取規則是「行政部門重要檔案存取規則」,如果需要加入更多先前所建立的規則,按下〔新增〕按鈕即可。
|
▲圖23 設定檔案存取原則。 |
如圖24所示,在「新增集中存取規則」頁面內可以看到目前僅挑選其中一個規則,另一個則是處於閒置狀態。
|
▲圖24 加入集中存取規則。 |
值得注意的是,當規則項目數量很多時,還可以藉由在「搜尋」欄位內輸入關鍵字來快速篩選。最後按下〔確定〕按鈕,即完成新增。
切換至「Central Access Policies」節點頁面內,便可以看到剛剛所建立的兩個集中存取原則項目(圖25),後續還可以隨時回頭進行內容修改或刪除。
|
▲圖25 完成集中存取原則建立。 |
Q6:如何整合群組原則設定來管理DAC?
接下來必須將所有以Windows Server 2012作業系統為主的檔案伺服器,全部集中在同一個組織容器內,以利於後續可以套用動態存取控制的相關原則物件。
如圖26所示,關於這部分的操作,可以透過「Active Directory使用者和電腦」或「Active Directory管理中心」來進行。以下的範例將僅放入一部檔案伺服器。
|
▲圖26 檢視檔案伺服器。 |