善用組策略管理DAC

接下來我們必須將所有以Windows Server 2012操作系統(tǒng)為主的文件服務(wù)器，全部集中在同一個組織容器之中，以利于后續(xù)可以應(yīng)用動態(tài)訪問控制的相關(guān)策略對象。關(guān)于這部分的操作，通過“Active Directory用戶和計算機”或“Active Directory管理中心”都是可以的。在示例中，我們僅放入一部文件服務(wù)器。

開啟同樣位于系統(tǒng)管理工具中的“組策略管理”工具，點擊至所創(chuàng)建的文件服務(wù)器組織容器之后，先按下鼠標(biāo)右鍵來添加一個組策略對象，然后再選取該對象并按下鼠標(biāo)右鍵，點擊“編輯”繼續(xù)。

如圖3所示，在“組策略管理編輯器”界面中，請先展開“計算器設(shè)置”節(jié)點，然后在“Windows設(shè)置→安全性設(shè)置→文件系統(tǒng)”節(jié)點下，找到“集中訪問策略”節(jié)點。示例中，可以看到筆者所創(chuàng)建的兩個集中訪問策略。

圖3 管理計算器設(shè)置策略

上述示例中，筆者所加入的集中訪問策略方法，只需要在空白處點擊鼠標(biāo)右鍵，并點擊“管理集中訪問策略”，便可以開啟“集中訪問策略設(shè)置”頁面。在此，可以將所要應(yīng)用的策略項一一添加到右方窗口中。點擊“確定”即可。

在組策略的設(shè)置部分，基本上只要完成上述“管理集中訪問策略”的設(shè)置即可，但是，如果想進一步對于集中訪問策略的執(zhí)行與文件系統(tǒng)的訪問情形進行事件審核，則必須展開“進階審核策略設(shè)置”節(jié)點，然后在“對象訪問”節(jié)點頁面中找到“審核文件系統(tǒng)”以及“審核集中訪問策略執(zhí)行”兩項，然后開啟個別的屬性來設(shè)置所要審核的事件類型。

在此，筆者僅以審核失敗為例，未來如果需要查看與這兩類審核策略有關(guān)的事件，只要開啟相對的文件服務(wù)器中的事件查看器，然后通過“Windows記錄→安全性”類別來進行查詢即可。完成設(shè)置后，關(guān)閉“組策略管理編輯器”。

回到“組策略管理”界面，在所創(chuàng)建的文件服務(wù)器組織容器節(jié)點上點擊鼠標(biāo)右鍵，選擇“更新組策略”。接著，將會出現(xiàn)“強制組策略更新”頁面，點擊“是”即可。

正常情況下，應(yīng)該會顯示已成功更新組策略的服務(wù)器清單，如果在結(jié)果頁面有發(fā)生失敗的項，則有可能的原因是目標(biāo)服務(wù)器尚未啟動允許遠程管理的服務(wù)，這時候便可以改用傳統(tǒng)的做法，也就是在這一些服務(wù)器上開啟命令提示字符，然后執(zhí)行g(shù)pupdate /force即可同樣進行更新。

完成了文件服務(wù)器組織容器的組策略設(shè)置與應(yīng)用之后，還必須修改與域控制器（DC）有關(guān)的組策略設(shè)置，才能夠正常應(yīng)用整體的動態(tài)訪問控制策略。在“組策略管理”界面，點擊至“Domain Controllers”節(jié)點頁面，在默 認(rèn) 的“Default Domain Controllers Policy”對象項上點擊鼠標(biāo)右鍵，選擇“編輯”。在開啟“組策略管理編輯器”界面之后，點擊至“計算器設(shè)置→策略→系統(tǒng)管理模板→系統(tǒng)→KDC”節(jié)點，開啟“KDC支持聲明、復(fù)合驗證以及Kerberos保護”項。

對“KDC支持聲明、復(fù)合驗證以及Kerberos保護”項屬性，先設(shè)置為“已啟用”，然后再到“選項”的下拉選單中選取“支持”。點擊“確定”完成設(shè)置。

完成了上述設(shè)置后，到每一部文件服務(wù)器的“Windows PowerShell” 界面中分別執(zhí)行g(shù)pupdate /force，來更新組策略設(shè)置，以及執(zhí)行Update-FSRMClass ificationpropertydefinit ion命令，來更新文件服務(wù)器資源管理中的最新全局資源列表屬性。

在登錄每一部文件服務(wù)器之后，可以先通過執(zhí)行g(shù)presult /v | more命令，來查看目前是否已被應(yīng)用了前面步驟中所創(chuàng)建的組策略對象，以確認(rèn)相關(guān)的動態(tài)訪問控制設(shè)置已被應(yīng)用。

接下來，在被應(yīng)用組策略的Windows Server 2012文件服務(wù)器上，通過如“添加角色及功能向?qū)А苯缑?，來確認(rèn)目前已安裝了“文件和存放服務(wù)→文件服務(wù)器資源管理員”組件。

在開啟“系統(tǒng)管理工具”中所開啟的“文件服務(wù)器資源管理”界面，可以隨時在“分類管理→分類屬性”節(jié)點點擊鼠標(biāo)右鍵，選擇“重新整理”，來取得最新創(chuàng)建的文件分類屬性。實際上，這個動作與前面所介紹過的Update-FSRMClassificatio npropertydefinition命令用途是一樣的。而在本文示例中，在執(zhí)行重新整理之后，應(yīng)當(dāng)會看到“文件分類等級”以及“文件部門”。

讓我們來看看關(guān)于文件服務(wù)器中文件夾與個別文件的細部設(shè)置。首先，在文件夾上方點擊鼠標(biāo)右鍵，選擇“屬性”。然后，在“安全性”頁面中點擊“進階”繼續(xù)。接著，便可以看到在文件夾屬性中會多出一個“集中策略”頁面，您可以先在下拉選單中挑選可用的集中訪問策略，挑選后，便可以看到各項訪問規(guī)則屬性，其中每一項訪問規(guī)則都會清楚地顯示應(yīng)用到的目標(biāo)文件的條件，以及相關(guān)權(quán)限項與訪問的屬性條件。完成設(shè)置后，點擊“確定”即可。

完成了上層文件夾的集中策略選取與應(yīng)用之后，接下來便可以開始配置文件夾中不同文件的分類屬性。這樣，重要的文件將會依據(jù)分類屬性，來動態(tài)決定所要賦予給用戶與計算機的權(quán)限。在任一文件上點擊鼠標(biāo)右鍵，選擇“屬性”繼續(xù)。

在文檔屬性的“分類”頁面中，可以看到筆者已經(jīng)分別設(shè)置好“文件分類等級”以及“文件部門”的兩大屬性。設(shè)置的方法只要先選擇上方的屬性名稱，然后再到下方挑選相對的值即可。

針對一般性的文件，如果不想設(shè)置其屬性，則只要選取“無”為值即可。

DAC客戶端訪問測試

完成了文件服務(wù)器每一個重要文件夾與文件的訪問策略以及分類屬性配置之后，我們便可以嘗試以一般用戶的賬戶，從客戶端的Windows 8.1/Windows 10操作系統(tǒng)，或是直接以遠程桌面方式來登錄文件服務(wù)器，試試相關(guān)已配置各項設(shè)置的文件夾與文件。

由于動態(tài)訪問控制的運作機制，基礎(chǔ)是根據(jù)用戶與計算機的屬性來動態(tài)決定所能夠訪問的文件與權(quán)限有哪一些，因此，若發(fā)現(xiàn)用戶無法訪問特定的文件夾或文件，可以在命令行執(zhí)行whoami /claims命令，來查看最基本的用戶屬性是否符合訪問文件的條件。

結(jié)論

文件的安全管控，除了可以通過訪問權(quán)限（ACL與DAL）的配置來管理之外，還可以集成數(shù)字版權(quán)管理（DRM），來達到更細微的屬性權(quán)限配置。例如，可以讓特定能夠讀取文件的某些部門、職稱、用戶組或是個體，無法對于其文檔屬性進行復(fù)制、打印、修改、轉(zhuǎn)寄等操作。關(guān)于這項控管需求，只要集成同樣內(nèi)置于Windows Server 2012中的Active Directory Rights Management Services服務(wù)器角色即可。