企業面對龐雜的檔案權限控管需求,目前除了透過傳統的存取控制清單(ACL)方式來配置NTFS權限與共用權限外,還可以進一步結合Windows Server 2012的動態存取控制(DAC)技術,來提供更加彈性與簡化權限的管理方式。
緊接著,開啟同樣位於系統管理工具中的「群組原則管理」工具。
如圖27所示,先點選至所建立的「檔案伺服器」組織容器,然後按一下滑鼠右鍵來新增一個群組原則物件。接著,再選取該物件並按一下滑鼠右鍵,並點選快速選單中的【編輯】。
|
▲圖27 群組原則管理。 |
接著,在「群組原則管理編輯器」介面內先展開至「電腦設定」節點,然後在「Windows設定」→「安全性設定」→「檔案系統」節點下找到「集中存取原則」節點。如圖28所示,在此範例中可以看到筆者所建立的兩個集中存取原則。
|
▲圖28 管理電腦設定原則。 |
上述範例中,筆者所加入的集中存取原則的方法,只需要在空白處按一下滑鼠右鍵,然後點選快速選單中的【管理集中存取原則】,便可以開啟如圖29所示的「集中存取原則設定」頁面。
|
▲圖29 集中存取原則設定。 |
在此,可以將所要套用的原則項目一一新增到右方窗格內。完成新增步驟之後,按一下〔確定〕按鈕即可。
在群組原則的設定部分,基本上只要完成上述的「管理集中存取原則」設定即可,但如果想進一步針對集中存取原則的執行與檔案系統的存取情形進行事件稽核,則必須如圖30所示展開「進階稽核原則設定」節點。
|
▲圖30 稽核原則管理。 |
然後在「物件存取」節點頁面中找到「稽核檔案系統」和「稽核集中存取原則執行」兩個項目,然後開啟個別的內容來設定所要稽核的事件類型,範例中僅以稽核失敗事件為例。
未來如果需要查看與這兩類稽核原則有關的事件,只要開啟相對應的檔案伺服器中的事件檢視器,然後透過「Windows記錄」→「安全性」類別來進行查詢即可。完成設定後,關閉「群組原則管理編輯器」。
再回到如圖31所示的「群組原則管理」介面,在所建立的「檔案伺服器」組織容器節點上按一下滑鼠右鍵,然後點選快速選單中的【更新群組原則】。
|
▲圖31 更新群組原則。 |
接著將會出現如圖32所示的「強制群組原則更新」頁面,直接按下〔是〕按鈕即可。
|
▲圖32 強制更新群組原則。 |
如圖33所示,隨後便會顯示已成功更新群組原則的伺服器清單,如果在結果頁面內出現了發生失敗的項目,則極有可能是目標伺服器尚未啟動允許遠端管理的服務。
|
▲圖33 原則更新結果。 |
此時便可以改用傳統的做法,也就是在這些伺服器上開啟命令提示字元,然後下達命令「gpupdate /force」,即可進行更新。
完成檔案伺服器組織容器的群組原則設定與套用之後,接下來還必須修改與網域控制站(DC)有關的群組原則設定,才能夠讓整體動態存取控制原則的套用與運作正常。
如圖34所示,在「群組原則管理」介面中,先點選至「Domain Controllers」節點頁面,然後在預設的「Default Domain Controllers Policy」物件項目上按一下滑鼠右鍵,然後點選快速選單中的【編輯】。
|
▲圖34 編輯預設網域控制站群組原則。 |