動態(tài)訪問控制技術(shù)，是Windows Server 2012中提供的新功能，可以幫助管理員更好地設(shè)置文件訪問權(quán)限。例如，在文件服務(wù)器中，存在大量的共享文件夾，使用NTFS權(quán)限管理機(jī)制，雖然可以控制不同用戶對這些文件夾的訪問權(quán)限，但使用傳統(tǒng)的方法配置權(quán)限時，往往會面臨一些比難以實(shí)現(xiàn)的情況。依靠動態(tài)訪問控制（簡稱 DAC，即 Dynamic Access Control）功能，和NTFS管理機(jī)制巧妙結(jié)合，可以更加靈活地設(shè)置訪問權(quán)限。

完善用戶屬性信息

用戶的屬性信息有很多，僅僅通過域賬戶管理窗口，只能看到中文名稱（例如“部門”），在實(shí)際配置各種DAC規(guī)則時，使用的是英文名稱。查看的方法是運(yùn)行ADSI編輯器，在左側(cè)的“ADSI編輯器”項(xiàng)右鍵菜單上點(diǎn)擊“連接到”，在連接設(shè)置窗口中選擇“選擇一個已知命名上下文”項(xiàng)，在列表中選中“默認(rèn)命名上下文”項(xiàng)，點(diǎn)擊“確定”，在左側(cè)可以顯示所有的OU項(xiàng)目。選擇對應(yīng)的OU，在右側(cè)顯示其中包含的相關(guān)賬戶名。選擇目標(biāo)賬戶名，在屬性窗口“屬性編輯器”面板中的“值”列中，可以查看所有的屬性值，就會看到與之對應(yīng)的英文名稱了。

圖1 開啟KDC控制選項(xiàng)

激活KDC控制功能

啟用動態(tài)訪問控制時，需要執(zhí)行帶有屬性信息的身份驗(yàn)證。為此，需要在DC上打開組策略管理器，在左側(cè)選擇“林→域→某域名”項(xiàng)，在右鍵菜單上點(diǎn)擊“在這個域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，輸入名稱（例如“opendac”），點(diǎn)擊“確定”創(chuàng)建該GPO。在該GPO的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略編輯窗口打開“計算機(jī)配置→策略→管理模板→系統(tǒng)→KDC”項(xiàng)，在右側(cè)雙擊“KDC支持聲明，符合身份驗(yàn)證 和Kerberos Armoring”項(xiàng)，在打開窗口（如圖1）中選擇“已啟用”項(xiàng)，在其下的選項(xiàng)列表中選擇“支持”項(xiàng)，表示支持用于動態(tài)訪問控制的聲明和符合身份驗(yàn)證以及Kerberos Armor感知的客戶端計算機(jī)，將使用該功能接收Kerberos身份驗(yàn)證消息。

創(chuàng)建聲明窗口

在DC上打開Active Directory管理中心窗口，在左側(cè)選擇“動態(tài)訪問控制”項(xiàng)，其中的“Central Access Policies”項(xiàng)主要功能是創(chuàng)建策略，策略中包含多個規(guī)則，通過組策略進(jìn)行發(fā)布，來對客戶端進(jìn)行控制?！癈entral Access Rules”項(xiàng)的主要作用是創(chuàng)建規(guī)則，“Claim Types”項(xiàng)的作用是配置聲明，主要針對用戶的屬性信息進(jìn)行操作。在DAC中，需要使用到的用戶屬性，必須先進(jìn)行聲明。例如，選擇“Claim Types”項(xiàng)，在右側(cè)列表的右鍵菜單上點(diǎn)擊“新建→聲明類型”項(xiàng)，在創(chuàng)建聲明窗口中的“選擇此聲明類型所基于的AD屬性”欄中輸入所需的屬性名（例如“deparment”），支持模糊查詢功能。

在搜索列表中選擇該屬性值后，在“可以為以下類發(fā)出此類型的聲明”欄中選擇“用戶”項(xiàng)，表示該聲明針對的是用戶。在“當(dāng)用戶向此聲明類型分配值”欄中選擇“已建議以下值”項(xiàng)，點(diǎn)擊“添加”，輸入與該屬性有關(guān)的值，例如針對部門聲明，可以添加“市場部”、“開發(fā)部”、“財務(wù)部”等。點(diǎn)擊“確定”，創(chuàng)建該聲明項(xiàng)目。按照同樣的方法，針對“Title”屬性創(chuàng)建聲明項(xiàng)目，該屬性對應(yīng)的是用戶的職位信息，并設(shè)置一些建議值，例如“主任”、“專員”、“經(jīng)理”等。

圖2 設(shè)置具體的規(guī)則條目

配置DAC控制規(guī)則

在左側(cè)選擇“Central Access Rules”項(xiàng)，在右側(cè)的“任務(wù)”欄中點(diǎn)擊“新建→中心訪問規(guī)則”項(xiàng)，在創(chuàng)建中心訪問規(guī)則窗口中的“名稱”欄中輸入規(guī)則名（例如“rules1”），在“權(quán)限”欄中選擇“將以下權(quán)限作為當(dāng)前權(quán)限”項(xiàng)，表示授予目標(biāo)資源真實(shí)的訪問權(quán)限。點(diǎn)擊“編輯”來定義具體的訪問規(guī)則。在打開窗口中點(diǎn)擊“添加”，在權(quán)限的高級安全設(shè)置窗口（如圖2）中點(diǎn)擊“選擇主題”鏈接，在選擇窗口中輸入“Domain users”并將其導(dǎo)入，表示該規(guī)則針對域中所有的用戶。在“基本權(quán)限”欄中可以設(shè)置合適的權(quán)限，包括完全控制、修改、讀取和執(zhí)行、讀取、寫入、特殊權(quán)限等，默認(rèn)選擇讀取，讀取和執(zhí)行。這里選擇“完全控制”，點(diǎn)擊“添加條件”鏈接，來設(shè)置條件限制訪問，只有當(dāng)滿足預(yù)設(shè)的條件后，才授予主體指定的權(quán)限。

在條件欄中第一個列表中選擇“用戶”，第二個列表中選擇“deparment”，即上述定義的聲明項(xiàng)，在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中顯示上述預(yù)設(shè)的屬性值，例如選擇“開發(fā)部”等。這樣，只有部門屬性為開發(fā)部的用戶可以擁有以上權(quán)限。根據(jù)需要可添加更多的條件項(xiàng)目，不同的條件之間連接符包括And和Or。默認(rèn)情況下，使用的是AND連接符，表示必須滿足所有的條件。例如再建立一個條件，在條件欄中第一個列表中選擇“用戶”，第二個列表中選擇“title”，即上述定義的聲明項(xiàng)，在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中顯示上述預(yù)設(shè)的屬性值（例“經(jīng)理”）。點(diǎn)擊確定持配置信息。

創(chuàng)建中心訪問策略

僅僅創(chuàng)建規(guī)則是不夠的，還需要將其封裝在策略中。在左側(cè)選擇“Central Access Policies” 項(xiàng)，在右側(cè)點(diǎn)擊“新建→中心訪問策略”項(xiàng)，在打開窗口中輸入該策略的名稱（例如“policy1”），在“成員中心訪問規(guī)則”欄中點(diǎn)擊添加按鈕，將上述規(guī)則添加進(jìn)來。在DC上打開組策略管理器，在左側(cè)選擇“林→域→某域名”項(xiàng)，在右鍵菜單上點(diǎn)擊“在這個域中創(chuàng)建GPO并在此處鏈接”，輸入名稱（例如“Deploy”），點(diǎn)擊確定創(chuàng)建該GPO。在該GPO的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略編輯窗口打開“計算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→文件系統(tǒng)→中心訪問策略”項(xiàng)，在右鍵菜單上點(diǎn)擊“管理中心訪問策略”項(xiàng)，在打開窗口左側(cè)找到上述策略項(xiàng)，點(diǎn)擊添加將其導(dǎo)入到“適用的中央訪問策略”列表中，點(diǎn)擊確定按鈕即可。

管理中央策略項(xiàng)目

接下來為不同的部門分配所需的訪問權(quán)限，例如在域中的某臺文件服務(wù)器（例如名稱為“fileserver1”）上打開CMD窗口，執(zhí)行“gpupdate /force”命令，來刷新組策略。選擇某個共享文件夾，在其屬性窗口中的“安全”面板中點(diǎn)擊高級按鈕，在打開窗口中會出現(xiàn)“中央策略”面板，在“中央策略”列表中顯示上述創(chuàng)建的策略項(xiàng)目（例如“policy1”），在“應(yīng)用于”列表中選擇應(yīng)用對象，可以根據(jù)實(shí)際需要進(jìn)行選擇。例如選擇“此文件夾和文件”項(xiàng)，表示針對本文件夾和其中的文件使用預(yù)設(shè)的策略，對子文件夾則無效。

在“此策略包含以下規(guī)則”欄中顯示該策略包含的所有規(guī)則，在擴(kuò)展面板中顯示具體的權(quán)限條目。點(diǎn)擊應(yīng)用按鈕，保存配置信息。對于用戶來說，訪問共享文件夾的權(quán)限會受到共享權(quán)限和NTFS安全權(quán)限雙重控制的，對于使用DAC實(shí)現(xiàn)動態(tài)控制來說，應(yīng)該將共享權(quán)限設(shè)置為針對Everyone開啟完全控制，才能使其受到DAC的有效管控。這樣，對于該共享文件夾來說，只有合乎條件的部門以及職位的用戶，才可以按照預(yù)定的權(quán)限對其進(jìn)行操作，其余的用戶是沒有這些權(quán)限的。

對中央策略進(jìn)行測試

在該共享目錄的屬性窗口中打開“有效訪問”面板，點(diǎn)擊“選擇用戶”鏈接，輸入目標(biāo)域賬戶。點(diǎn)擊“查看有效訪問”按鈕，在列表中就會顯示該賬戶對該目錄擁有的權(quán)限。具體使用時，可以在客戶端以域用戶身份登錄，對該文件服務(wù)器進(jìn)行訪問，如果該用戶屬性值中的部門屬于財務(wù)部，而且職位為經(jīng)理的話，就可以對目標(biāo)共享文件夾擁有完全控制的權(quán)限。當(dāng)然，按照以上配置，其權(quán)限范圍僅包括該共享文件夾和其中的文件，對其中的子文件夾是沒有完全控制權(quán)的。

激活對應(yīng)資源屬性項(xiàng)目

除了使用DAC控制用戶的屬性外，還可以對資源屬性進(jìn)行控制。例如共享目錄是最常用的資源，其屬性同樣可以進(jìn)行設(shè)定，例如屬于哪個部門，重要性級別等。在DC上的Active Directory管理中心窗口左側(cè)選擇“動態(tài)訪問控制→Resource Properties”項(xiàng)，在右側(cè)右側(cè)列表顯示資源的所有屬性（如圖3），例如選擇“Deparment”項(xiàng)，點(diǎn)擊“任務(wù)”欄中的“啟用”項(xiàng)，就可以啟動部門這一資源屬性。選擇“Confidentiality”項(xiàng)，點(diǎn)擊“啟用”項(xiàng)，可以啟用重要性級別這一屬性。選定好了資源屬性項(xiàng)目后，之后需要將其分發(fā)到所有的文件服務(wù)器上。在左側(cè)選擇“Resource Property Lists”項(xiàng)，在“任務(wù)”欄中點(diǎn)擊“添加資源屬性”項(xiàng)，在打開窗口中選擇“Deparment”和“Confidentiality”項(xiàng)，點(diǎn)擊“>>”按鈕，將其添加進(jìn)來。

配置資源屬性信息

在文件服務(wù)器上必須預(yù)先安裝特定的組件，在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在角色列表中打開“文件和存儲服務(wù)→文件和iSCSI服務(wù)”分支，選中“文件服務(wù)器資源管理器”項(xiàng)來安裝組件。執(zhí)行“gpupdate /force”命令刷新組策略。打開文件服務(wù)器資源管理器窗口，在左側(cè)選擇“分類管理→分類屬性”項(xiàng)，在右側(cè)可以顯示上述兩個資源屬性項(xiàng)目。選中某個共享目錄，在其屬性窗口中的“分類”面板中也會顯示上述兩個資源屬性項(xiàng)目。選擇“Confidentiality”項(xiàng)，在底部列表中選擇“High”項(xiàng)，將其重要性設(shè)置為高。選擇“Deparment”項(xiàng)，在底部列表選擇具體的部門類別，例如“Finance”等。

圖3 激活所需的資源屬性項(xiàng)目

創(chuàng)建動態(tài)訪問控制規(guī)則

在DC上 的Active Directory管理中心左側(cè)選擇“動態(tài)訪問控制→Central Access Rules”項(xiàng)，在右側(cè)選擇上述名為“rules1”的規(guī)則，點(diǎn)擊“屬性→編輯”，顯示已經(jīng)存在的條目，選擇上述創(chuàng)建的規(guī)則條件項(xiàng)目，點(diǎn)擊“編輯→添加條件”鏈接，繼續(xù)添加控制項(xiàng)目，在新增條件欄中第一個列表中選擇“資源”，第二個列表中顯示設(shè)定好的資源項(xiàng)目，例如選擇“Confidentiality”。

在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中顯示上述預(yù)設(shè)的屬性值，例如選 擇“High”。 點(diǎn) 擊“添 加條件”鏈接，在新增條件欄中第一個列表中選擇“資源”，第二個列表中顯示設(shè)定好的資源項(xiàng)目，例如選擇“Department”。在第三個列表中選擇“等于”，在第四個列表中選擇“值”，在第五個列表中選擇“財務(wù)部”。點(diǎn)擊確定按鈕，保持配置信息。

在文件服務(wù)器上配置策略項(xiàng)目

在文件服務(wù)器上執(zhí)行“gpupdate /force”命令，來刷新組策略。選擇某個共享文件夾，在屬性窗口中的“安全”面板中點(diǎn)擊高級按鈕，在打開窗口中會出現(xiàn)“中央策略”面板，在其中的“中央策略”列表中顯示上述創(chuàng)建的策略項(xiàng)目（例如“policy1”），在“應(yīng)用于”列表中選擇應(yīng)用對象，在“此策略包含以下規(guī)則”欄中顯示該策略包含的所有規(guī)則，在其擴(kuò)展面板中顯示具體的權(quán)限條目。點(diǎn)擊應(yīng)用按鈕，保存配置信息。這樣，只有滿足以上條件的域賬戶，才能訪問屬性符合條件的共享目錄。當(dāng)然，還可以針對設(shè)備屬性，來配置DAC控制規(guī)則，具體的方法并不復(fù)雜。