DAC權(quán)限管理技術(shù)入門

DAC應(yīng)用需求

使用Active Directory基礎(chǔ)架構(gòu)，是最有效的管理企業(yè)中大量文件服務(wù)器的做法，通過集中管理特性，可以做好以人員賬戶與用戶組的文件或文件夾的權(quán)限配置。接著，系統(tǒng)管理人員還可以使用組策略（Group Policy）管理工具，來集中管理文件服務(wù)器的各項審核設(shè)置。

除此之外，對于文件的存放規(guī)則，管理人員可以結(jié)合“文件服務(wù)器資源管理員”的使用，來設(shè)置配額管理、文件檢測、分類管理以及查看存放報告信息，這樣便可以更有效率地管理有限的保存空間，并讓用戶更易于找到所需要的文件。

有了妥善進行文件權(quán)限安全管控、審核監(jiān)視以及存放規(guī)則的配置，是否就已經(jīng)滿足了當(dāng)前文件服務(wù)器的管理需求呢？事實上，這與企業(yè)規(guī)模是有密切關(guān)聯(lián)的。

在小型企業(yè)中，由于組織架構(gòu)相對比較簡單，每一天所要面臨的人事變動情況也較少，因此，對于網(wǎng)絡(luò)內(nèi)所有文件服務(wù)器的訪問配置變動也相對較少，網(wǎng)絡(luò)管理人員人員在這方面的工作量并不大。

可是，對于中大型的企業(yè)來說，人事的變動與調(diào)遣往往相當(dāng)頻繁，再加上部署于分支辦公室的文件服務(wù)器數(shù)量通常也很可觀，如果沒有一套更有效率的權(quán)限管理方法，一旦發(fā)生了有同事調(diào)動辦公室位置、調(diào)離現(xiàn)有部門、職稱變動等，這時候，所有與它相關(guān)的文件服務(wù)器權(quán)限配置，肯定都必須進行一番檢查與調(diào)整。

舉例來說，您可能需要先將此人員從某用戶組中移除，然后再加入到某些用戶組之中。接著，還必須將一些原本特別授予他的文件或文件夾權(quán)限進行移除，然后再加入人事變動后的新文件權(quán)限給他。

想一想，如果您是一位系統(tǒng)管理人員，您應(yīng)該不會希望每一天都在忙這一類沒有效率的工作。

把時間花在更有價值的事物上吧。善用Windows Server 2012提供的動態(tài)訪 問 控 制（DAC，Dynamic Access Control） 技 術(shù)，這項功能也是用在最新的Windows Server 2016之中，通過它，將可以隨時讓系統(tǒng)根據(jù)最新的用戶屬性或計算器屬性，來自動識別用戶對于文件服務(wù)器上各類文件與文件夾的訪問權(quán)限。

設(shè)置DAC權(quán)限

這里所謂的屬性，其實就是在Active Directory網(wǎng)域中，用戶與計算器對象屬性中的某一些字段信息。如圖1所示，首先在計算器屬性部分，在“位置”頁面看到可以為不同的計算器設(shè)置位置信息。

關(guān)于這個字段屬性的應(yīng)用，可以讓屬于辦公室內(nèi)的計算機與專用于遠程訪問的計算機，盡管都給同一位用戶來使用，但所取得的權(quán)限卻可以不一樣。其他像是“操作系統(tǒng)”與“管理者”頁面中的相關(guān)字段信息，也都可以用來作為后續(xù)文件服務(wù)器判斷訪問權(quán)限的條件之一。

如圖1所示，在計算機屬性的“屬性編輯器”頁面中，可以讓我們進一步配置其他想要設(shè)置的域值。例如，我們可以找到“department”字 段，并且輸入部門的名稱。這樣，后續(xù)在動態(tài)訪問控制的權(quán)限配置中，便可以根據(jù)連接計算機所屬的部門，來判別所要授予的訪問權(quán)限。

若是針對用戶賬戶屬性，則在“一般”頁面中可以看到我們經(jīng)常會使用到的屬性字段便是“辦公室”，借助辦公室位置來判定用戶對于某些文件或文件夾的訪問權(quán)限。

緊接著，最常見的還有在“組織”頁面中的公司、部門、職稱三個字段，只要該人員調(diào)離所屬的部門或職務(wù)，對于原有文件或文件夾的訪問權(quán)限將可能跟著變動。

使用DAC功能的準備工作

1.關(guān)于整個動態(tài)訪問控制（DAC）的架構(gòu)，從服務(wù)端系統(tǒng)到客戶端系統(tǒng)的相關(guān)要求：

圖1 所有計算器屬性字段

圖2 聲明類型設(shè)置

（1） 現(xiàn) 有 Active Directory網(wǎng)域中必須至少有一部Windows Server 2012的域控制器。

（2）文件服務(wù)器必須是Windows Server 2012操作系統(tǒng)。

（3）如果要結(jié)合計算機屬性的感知來控管動態(tài)訪問控制，客戶端計算機請使用Windows 8。

2.如果用戶與文件服務(wù)器位于不同Active Directory的 林（Forest），則必須特別注意以下事項：

（1）首先必須創(chuàng)建好樹系間的雙向信任關(guān)系（forest trust）。

（2）接著，所有樹系的根域控制器（DC）都必須采用Windows Server 2012操作系統(tǒng)。

創(chuàng)建聲明類型

聲明類型的創(chuàng)建，是DAC架構(gòu)中用以辨別用戶與計算器屬性的基礎(chǔ)。首先，從“系統(tǒng)管理工具”中開啟“Active Directory管理中心”，切換到“動態(tài)訪問控制”的“Claim Types”節(jié)點下。在此，筆者已經(jīng)預(yù)先從“工作”區(qū)中點擊了“添加→聲明類型”，并加入了部 門（department）與職稱（title）兩個字段屬性，以作為后續(xù)訪問權(quán)限條件的識別使用。其中，應(yīng)用的類別您可以考慮對于department聲明類型勾選“計算機”與“用戶”，而title的聲明類型則僅勾選“用戶”即可。

如圖2所示，這是創(chuàng)建聲明類型的設(shè)置頁面，在此，筆者挑選了一個辦公室位 置（physicalDelivery OfficeName）的字段屬性，至于應(yīng)用的類別，則是僅勾選了“用戶”。這樣，在以后將可以根據(jù)用戶屬性中所屬的“辦公室”字段信息，來判定訪問的權(quán)限了。

緊接著，我們可以為每一個不同的屬性聲明類型設(shè)置相關(guān)“建議值”清單，以作為后續(xù)在配置個別文件或文件夾的動態(tài)訪問權(quán)限時的選項。在此，先選取“下列是建議值”，然后再通過點擊“添加”按鈕來一一加入所要供挑選的項。其中，每個項都必須至少設(shè)置“值”與“顯示名稱”，而兩種字段的屬性是可以一樣的，例如，可以添加一筆顯示名稱與值均為“總公司”的項。完成設(shè)置之后，請點擊“確定”。