Windows 2012 - Dynamic Access Control 浅析

Windows 2012相对于前几个版本而已,做出了大量的改进,尤其体现在安全性和虚拟化方面。Dynamic Access Control ( 动态访问控制)是微软在文件服务器的访问控制上的新功能,极大的提高了安全性和灵活性。经过一天的研究学习,豆子发现这个功能给我带来了极大的惊喜。


(一)简单概述

Windows,传统的文件访问控制是通过share和NTFS 来实现的,这种方式已经运行了10几年了。这种访问控制的方式可以实现日常的工作需求,但是有很多问题没有能够解决。这种传统的方式一个很大的弊端就是不够灵活和非常冗余。尤其是在大企业里面,一个部门里面可能还分个三六九等,每一个访问权限都必须创建一个对应的组,这样一来,一个文件夹上面的组可能层层嵌套,数量随着时间迅速增加,在豆子的公司AD里面,文件服务器上创建的组至少有上千个~;另外一个问题是,仅仅通过NTFS和Share控制访问权限,很难控制用户是从哪里访问的。用户可能从网吧,家里,公司,旅馆任何地方访问,而这些远程访问的机器的安全性是很难得到保障的。还有一个问题是,如果有人无意中将高度机密的文件拖到了公共的文件夹中,那么所有能够访问这个文件夹的用户都有可能造成泄密。最后,访问的审计也并不那么简单直观,比如说,对于管理员来说,有的时候需要了解过去12个小时,到底谁访问了这些文件等等。


以上的这些不足,在Dynamic Access Control里面都得到了解决。DAC的访问控制不是通过组,而是通过attribute来实现的。所有的AD对象,包括用户,组,计算机创建的时候都有大量的attribute设置,比如deparment, country,location 等等。这些属性都是在AD schema里面定义的,如果需要更多的attribute,用户可以进行扩展。通过定义这些属性,我可以设定比如 位于悉尼的IT部门的用户可以从成都分公司的计算机上访问高度机密的文件。这个例子里面,悉尼,IT就是用户的属性,成都分公司 就是计算机的属性,高度机密,则可以视作文件的属性。


值得一提的是,DAC并不是用来替代传统的Share+NTFS, 他是一套并行的安全访问机制。换句话说,如果配置了DAC,那么用户的访问权限必须同时满足DAC和Share/NTFS才算通过。


下面来看看豆子的配置实例


我的实验环境很简单,就是一个windows 2012 的DC和windows 2012 的文件服务器。我设定只有来自澳洲的用户可以访问中等机密程度的文档。



(二)实验步骤


简单的说,我需要配置一条Central Access Policy的组策略,推送到文件服务器上。我需要做到以下几个分支操作:


  • Claim types(定义一些用户和计算机的属性)

  • Resource Properties ( 定义文件夹的属性)

  • Resource Properties list (把定义的文件夹属性放在一个集合里面)

  • 文件服务器更新以上定义,就可以在文件的classification里面查看自己的标签(例如访问等级等等)了

  • Central Access Rule 利用前面定义的属性来定义一条或者多条规则

  • Central Access Policy 把上一步定义的1条或者多条规则放入一个Policy集合里面

  • 配置GPO,发布Central Access Policy

  • 文件服务器上在对应的共享文件夹上选择对应的Central Access Policy


登陆DC,打开Active Directory Administrative Center。值得一提的是ADAC在windows 2008 就有了,不过因为大部分功能和ADUC重复了,相当鸡肋。 2012里面他的功能大幅度加强了。


首先我们来 claim types

072110214.png

这里我选中c,他代表的是国家名字的简写。如果你不确定你想找的属性名字,可以去这里查询

http://msdn.microsoft.com/en-us/library/windows/desktop/ms675090(v=vs.85).aspx


然后OK即可

072114755.png

下一步我们需要定义新的resource properties,这个相当于一个标签,你可以把这个标签贴在对应的文件上从而和其他的文件进行区别


072118976.png

我取了个名字叫做 Importance (重要性),然后给他定义了3个等级 high, meidum, low


072122746.png

保存之后返回 resource properties, 就可以看见刚才自定义的Importance了。可以看见,默认预定义的标签已经有很多了。为了使用对应的标签,需要右击然后选择enable,这里豆子enable了Department和Importance两个标签

072127494.png

为了让文件服务器使用这个标签,我们需要在文件服务器上用管理权限执行以下更新命令

072128937.png

然后你就可以在文件服务器的文件上Classificaion上看见自定义的标签了


072130239.png


Classification是windows 2012里面才出现的新玩意,你也可以在File Server Resource Manager上配置本地的标签。注意Scope,global代表的是我在DC上配置的,会同步到所有的文件服务器,而local只是局限于该文件服务器本身。

072135105.png

下一步,我们需要配置实际的Central Access Rule了

072139875.png

我取了个名字叫做 Country rule, 并定义了Target resource 和 Current Permission

这个rule的基本含义就是 来自AU (澳洲)的用户,对重要等级为中等的文件,具有Modify的权限。

072143535.png

072145632.png

072148930.png


最后,创建一个Central Access Policy,把自定义的rule添加即可

072149605.png

072152660.png


下一步我们需要配置GPO来推送这个Central Access Rule


我在文件服务器所在的OU创建了一个新的GPO,

Computer Configuration/Policies/Windows Settings/Security Settings/File System/Central Access Policy 上添加前面创建的Central Access Rule

074455258.png

Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access. 上配置audit file share 和audit central access policy staging

074458906.png

然后在Default Domain Controllers GPOComputer Configuration/Policies/Administrative Templates/System/KDC enable KDC

074502610.png


最后,去文件服务器的共享文件上,激活对应的Rule

074504450.png

大功告成。现在可以创建几个用户测试一下了。


我创建了两个用户,唯一的属性区别是国家不一样

083658639.png

083704894.png


然后共享文件夹的Share/NTFS 权限设置如下


083916232.png

083922708.png


最后我们来看看访问权限如何,先看看kevin,他所在的组允许他有读和运行的权利,然后CAG允许他modify的权利,两者的交集,他只有读和运行的权利。

084011194.png

084014752.png


然后看看Mac,尽管他所在的组有读取和运行的权利,但是CAG限制了他的国家,所以他没有任何读写权利。

084106729.png


由此可见,实验成功!


限于水平和经验,欢迎指出不足之处!










本文转自 beanxyz 51CTO博客,原文链接:http://blog.51cto.com/beanxyz/1329850,如需转载请自行联系原作者

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/279593.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

windows rt_如何在Windows RT上轻松将网站添加到Flash白名单

windows rtMicrosoft’s Surface RT and other Windows RT-based machines include the Flash browser plugin, but it only runs on websites Microsoft has whitelisted. We have covered how you can add any website to the Flash whitelist, but now there’s an easier w…

powershell实现设置程序相关性脚本

公司一直有台服务器cpu占用很高,分析出是恒生监控程序java占用很高,且三个java程序,仅其中一个很高,要恒生解决,一直未解决,导致每周重启,我司运维都要手动进行程序相关性设置,给运维…

解决npm 的 shasum check failed for错误

使用npm安装一些包失败,类似如下报错情况: C:\Program Files\nodejs>npm update npm npm ERR! Windows_NT 10.0.14393 npm ERR! argv "C:\\Program Files\\nodejs\\node.exe" "C:\\Program Files\\nodejs\\node_modules\\npm\\bin\\np…

chromebook刷机_您可以购买的最好的Chromebook,2017年版

chromebook刷机While once considered a novelty item by many tech enthusiasts, Chromebooks have broken out of the “just a browser” mold and become legitimate laptops. They’re full-featured, lightweight machines that can do everything most users need them …

Jmeter JDBC请求-----数据库读取数据进行参数化 通过SSH跳板机连接数据库

前期准备: jdbc驱动:mysql-connector-java-5.1.7-bin.jar Jmeter 要链接MySQL数据库,首选需要下载mysql jdbc驱动包(注:驱动包的版本一定要与你数据库的版本匹配,驱动版本低于mysql版本有可能会导致连接失败…

Exchange server 2010 beta安装部署流程

本文使用了微软公开发布的exchange server 2010 beta进行部署测试。这篇文档将用到下列产品 windows server 2008 64bit enterprise AD function at windows server 2008 exchange server 2010 beta ----------该exchange server 2010 beta版本属于早期版本,目前最新…

08.15《CEP职业发展规划课》

在12,13号的放假后,14,15号安排了CEP职业发展规划课,为期两天的课,内容也是很丰富。 在14号的早上,学习了职场中的基本礼仪、和基本素养的培训,同时对未来的职业规划做出了大致的分析。 在14号的下午开始了简历写作的课…

usb 驱动修复_您可以修复物理损坏的USB驱动器吗?

usb 驱动修复Sometimes accidents happen to a USB drive, and you find yourself in a very bad position when your only copy of an important document is on there. When something like this happens, is it possible to fix a physically broken USB drive? Today’s S…

大白话5分钟带你走进人工智能-第二十节逻辑回归和Softmax多分类问题(5)

大白话5分钟带你走进人工智能-第二十节逻辑回归和Softmax多分类问题(5) 上一节中,我们讲解了逻辑回归的优化,本节的话我们讲解逻辑回归做多分类问题以及传统的多分类问题,我们用什么手段解决。 先看一个场景,假如我们现在的数据集…

Exchange 2016部署实施案例篇-01.架构设计篇(上)

年前就答应大家要给大家写一个关于Exchange规划部署的文章,一直忙到现在也没有倒出时间来写这个东西。特别是节后,更是开工不利啊,各种奇葩问题,真心无语了。废话就不多说了,开始今天的议题。 相信各位对Microsoft Exc…

bzoj 4598: [Sdoi2016]模式字符串

题目描述 给出n个结点的树结构T&#xff0c;其中每一个结点上有一个字符&#xff0c;这里我们所说的字符只考虑大写字母A到Z&#xff0c;再给出长度为m的模式串s&#xff0c;其中每一位仍然是A到z的大写字母。 Alice希望知道&#xff0c;有多少对结点<u&#xff0c;v>满足…

[译] 机器学习可以建模简单的数学函数吗?

原文地址&#xff1a;Can Machine Learning model simple Math functions?原文作者&#xff1a;Harsh Sahu译文出自&#xff1a;掘金翻译计划本文永久链接&#xff1a;github.com/xitu/gold-m…译者&#xff1a;Minghao23校对者&#xff1a;lsvih&#xff0c;zoomdong机器学习…

下载spotify音乐_如何在Spotify上播放更高质量的音乐

下载spotify音乐With Spotify Premium, you get access to higher quality music streaming. By default (and if you’re on the free plan), Spotify streams at 96kbps on mobile and 160kbps on your computer. At these sort of bitrates, you’ll hear a small but notic…

ubuntu scp命令或者用root连接ssh提示:Permission denied, please try again.错误

1、su -            #&#xff01;&#xff01;&#xff01; 2、vi /etc/ssh/sshd_config 3、PermitRootLogin yes    # 找到此字段&#xff0c;改为此行所示 4、/etc/init.d/ssh restart    # 重启ssh服务 转载于:https://www.cnblogs.com/weiyiming007/p…

Windows下压缩包安装Mysql

1. 下载mysql压缩包 2. 解压到指定目录&#xff0c;例如D:\Program Files\mysql-5.7.25-winx64 3. 在目录下创建配置文件my.ini [mysqld] port 3306 basedirD:/Program Files/mysql-5.7.25-winx64 datadirD:/Program Files/mysql-5.7.25-winx64/data max_connections200 char…

如何从终端打开Ubuntu Nautilus文件浏览器

Recently, we showed you how to open a directory in Terminal from within Nautilus. However, what if you’re working on the command line in Terminal and need to access the same directory in Nautilus? There’s an easy solution for that. 最近&#xff0c;我们向…

mysql 面试知识点笔记(七)RR如何避免幻读及非阻塞读、范式

2019独角兽企业重金招聘Python工程师标准>>> 表象&#xff1a;快照读&#xff08;非阻塞读&#xff09;--伪MVCC &#xff08;Multi-Version Concurrent Controll多版本并发控制&#xff09; 内在&#xff1a;next-key锁(record锁gap锁) rr serializabel 都支持gap锁…

pdf 奇数页插入页码_如何在Word 2013中的奇数页码上启动新部分

pdf 奇数页插入页码When working on a long document or a book in Word, it’s common to divide the document into sections or chapters. A common practice is to start each new section or chapter on an odd page. This is easily accomplished using sections in Word…

彻底攻克C语言指针

前面我们讲解了指针数组、二维数组指针、函数指针等几种较为复杂的指针&#xff0c;它们的定义形式分别是&#xff1a; int *p1[6]; //指针数组int *(p2[6]); //指针数组&#xff0c;和上面的形式等价int (*p3)[6]; //二维数组指针int (*p4)(int, int); //函数指针我相信大部分…

流水线上的思考——异步程序开发模型(2)

上一期我们讲了一个简单的流水线处理流程&#xff0c;正如我们在上期最后所说那样&#xff0c;这个简单的流水线处理流程对于后续有慢设备操作的业务来说&#xff0c;性能有可能偏低。今天我们来讨论一下如何提高性能的方法。首先让我们来大致区分一下一般业务的处理方式。目前…