DAC結(jié)合Group Policy管理

善用組策略管理DAC

接下來我們必須將所有以Windows Server 2012操作系統(tǒng)為主的文件服務(wù)器，全部集中在同一個(gè)組織容器之中，以利于后續(xù)可以應(yīng)用動(dòng)態(tài)訪問控制的相關(guān)策略對(duì)象。關(guān)于這部分的操作，通過“Active Directory用戶和計(jì)算機(jī)”或“Active Directory管理中心”都是可以的。在示例中，我們僅放入一部文件服務(wù)器。

開啟同樣位于系統(tǒng)管理工具中的“組策略管理”工具，點(diǎn)擊至所創(chuàng)建的文件服務(wù)器組織容器之后，先按下鼠標(biāo)右鍵來添加一個(gè)組策略對(duì)象，然后再選取該對(duì)象并按下鼠標(biāo)右鍵，點(diǎn)擊“編輯”繼續(xù)。

如圖3所示，在“組策略管理編輯器”界面中，請先展開“計(jì)算器設(shè)置”節(jié)點(diǎn)，然后在“Windows設(shè)置→安全性設(shè)置→文件系統(tǒng)”節(jié)點(diǎn)下，找到“集中訪問策略”節(jié)點(diǎn)。示例中，可以看到筆者所創(chuàng)建的兩個(gè)集中訪問策略。

圖3 管理計(jì)算器設(shè)置策略

上述示例中，筆者所加入的集中訪問策略方法，只需要在空白處點(diǎn)擊鼠標(biāo)右鍵，并點(diǎn)擊“管理集中訪問策略”，便可以開啟“集中訪問策略設(shè)置”頁面。在此，可以將所要應(yīng)用的策略項(xiàng)一一添加到右方窗口中。點(diǎn)擊“確定”即可。

在組策略的設(shè)置部分，基本上只要完成上述“管理集中訪問策略”的設(shè)置即可，但是，如果想進(jìn)一步對(duì)于集中訪問策略的執(zhí)行與文件系統(tǒng)的訪問情形進(jìn)行事件審核，則必須展開“進(jìn)階審核策略設(shè)置”節(jié)點(diǎn)，然后在“對(duì)象訪問”節(jié)點(diǎn)頁面中找到“審核文件系統(tǒng)”以及“審核集中訪問策略執(zhí)行”兩項(xiàng)，然后開啟個(gè)別的屬性來設(shè)置所要審核的事件類型。

在此，筆者僅以審核失敗為例，未來如果需要查看與這兩類審核策略有關(guān)的事件，只要開啟相對(duì)的文件服務(wù)器中的事件查看器，然后通過“Windows記錄→安全性”類別來進(jìn)行查詢即可。完成設(shè)置后，關(guān)閉“組策略管理編輯器”。

回到“組策略管理”界面，在所創(chuàng)建的文件服務(wù)器組織容器節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，選擇“更新組策略”。接著，將會(huì)出現(xiàn)“強(qiáng)制組策略更新”頁面，點(diǎn)擊“是”即可。

正常情況下，應(yīng)該會(huì)顯示已成功更新組策略的服務(wù)器清單，如果在結(jié)果頁面有發(fā)生失敗的項(xiàng)，則有可能的原因是目標(biāo)服務(wù)器尚未啟動(dòng)允許遠(yuǎn)程管理的服務(wù)，這時(shí)候便可以改用傳統(tǒng)的做法，也就是在這一些服務(wù)器上開啟命令提示字符，然后執(zhí)行g(shù)pupdate /force即可同樣進(jìn)行更新。

完成了文件服務(wù)器組織容器的組策略設(shè)置與應(yīng)用之后，還必須修改與域控制器（DC）有關(guān)的組策略設(shè)置，才能夠正常應(yīng)用整體的動(dòng)態(tài)訪問控制策略。在“組策略管理”界面，點(diǎn)擊至“Domain Controllers”節(jié)點(diǎn)頁面，在默 認(rèn) 的“Default Domain Controllers Policy”對(duì)象項(xiàng)上點(diǎn)擊鼠標(biāo)右鍵，選擇“編輯”。在開啟“組策略管理編輯器”界面之后，點(diǎn)擊至“計(jì)算器設(shè)置→策略→系統(tǒng)管理模板→系統(tǒng)→KDC”節(jié)點(diǎn)，開啟“KDC支持聲明、復(fù)合驗(yàn)證以及Kerberos保護(hù)”項(xiàng)。

對(duì)“KDC支持聲明、復(fù)合驗(yàn)證以及Kerberos保護(hù)”項(xiàng)屬性，先設(shè)置為“已啟用”，然后再到“選項(xiàng)”的下拉選單中選取“支持”。點(diǎn)擊“確定”完成設(shè)置。

完成了上述設(shè)置后，到每一部文件服務(wù)器的“Windows PowerShell” 界面中分別執(zhí)行g(shù)pupdate /force，來更新組策略設(shè)置，以及執(zhí)行Update-FSRMClass ificationpropertydefinit ion命令，來更新文件服務(wù)器資源管理中的最新全局資源列表屬性。

在登錄每一部文件服務(wù)器之后，可以先通過執(zhí)行g(shù)presult /v | more命令，來查看目前是否已被應(yīng)用了前面步驟中所創(chuàng)建的組策略對(duì)象，以確認(rèn)相關(guān)的動(dòng)態(tài)訪問控制設(shè)置已被應(yīng)用。

接下來，在被應(yīng)用組策略的Windows Server 2012文件服務(wù)器上，通過如“添加角色及功能向?qū)А苯缑妫瑏泶_認(rèn)目前已安裝了“文件和存放服務(wù)→文件服務(wù)器資源管理員”組件。

在開啟“系統(tǒng)管理工具”中所開啟的“文件服務(wù)器資源管理”界面，可以隨時(shí)在“分類管理→分類屬性”節(jié)點(diǎn)點(diǎn)擊鼠標(biāo)右鍵，選擇“重新整理”，來取得最新創(chuàng)建的文件分類屬性。實(shí)際上，這個(gè)動(dòng)作與前面所介紹過的Update-FSRMClassificatio npropertydefinition命令用途是一樣的。而在本文示例中，在執(zhí)行重新整理之后，應(yīng)當(dāng)會(huì)看到“文件分類等級(jí)”以及“文件部門”。

讓我們來看看關(guān)于文件服務(wù)器中文件夾與個(gè)別文件的細(xì)部設(shè)置。首先，在文件夾上方點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”。然后，在“安全性”頁面中點(diǎn)擊“進(jìn)階”繼續(xù)。接著，便可以看到在文件夾屬性中會(huì)多出一個(gè)“集中策略”頁面，您可以先在下拉選單中挑選可用的集中訪問策略，挑選后，便可以看到各項(xiàng)訪問規(guī)則屬性，其中每一項(xiàng)訪問規(guī)則都會(huì)清楚地顯示應(yīng)用到的目標(biāo)文件的條件，以及相關(guān)權(quán)限項(xiàng)與訪問的屬性條件。完成設(shè)置后，點(diǎn)擊“確定”即可。

完成了上層文件夾的集中策略選取與應(yīng)用之后，接下來便可以開始配置文件夾中不同文件的分類屬性。這樣，重要的文件將會(huì)依據(jù)分類屬性，來動(dòng)態(tài)決定所要賦予給用戶與計(jì)算機(jī)的權(quán)限。在任一文件上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”繼續(xù)。

在文檔屬性的“分類”頁面中，可以看到筆者已經(jīng)分別設(shè)置好“文件分類等級(jí)”以及“文件部門”的兩大屬性。設(shè)置的方法只要先選擇上方的屬性名稱，然后再到下方挑選相對(duì)的值即可。

針對(duì)一般性的文件，如果不想設(shè)置其屬性，則只要選取“無”為值即可。

DAC客戶端訪問測試

完成了文件服務(wù)器每一個(gè)重要文件夾與文件的訪問策略以及分類屬性配置之后，我們便可以嘗試以一般用戶的賬戶，從客戶端的Windows 8.1/Windows 10操作系統(tǒng)，或是直接以遠(yuǎn)程桌面方式來登錄文件服務(wù)器，試試相關(guān)已配置各項(xiàng)設(shè)置的文件夾與文件。

由于動(dòng)態(tài)訪問控制的運(yùn)作機(jī)制，基礎(chǔ)是根據(jù)用戶與計(jì)算機(jī)的屬性來動(dòng)態(tài)決定所能夠訪問的文件與權(quán)限有哪一些，因此，若發(fā)現(xiàn)用戶無法訪問特定的文件夾或文件，可以在命令行執(zhí)行whoami /claims命令，來查看最基本的用戶屬性是否符合訪問文件的條件。

結(jié)論

文件的安全管控，除了可以通過訪問權(quán)限（ACL與DAL）的配置來管理之外，還可以集成數(shù)字版權(quán)管理（DRM），來達(dá)到更細(xì)微的屬性權(quán)限配置。例如，可以讓特定能夠讀取文件的某些部門、職稱、用戶組或是個(gè)體，無法對(duì)于其文檔屬性進(jìn)行復(fù)制、打印、修改、轉(zhuǎn)寄等操作。關(guān)于這項(xiàng)控管需求，只要集成同樣內(nèi)置于Windows Server 2012中的Active Directory Rights Management Services服務(wù)器角色即可。