与Active Directory权限管理服务(AD RMS)详解)
动态访问控制(DAC)与Active Directory权限管理服务(AD RMS)详解
1. 动态访问控制(DAC)简介
传统的NTFS权限配置往往难以正确实施。虽然理论上创建代表用户或计算机在组织中位置的组,并使用这些组来应用权限以限制对文件和文件夹的访问是合理的,但这需要安全组保持最新,并且权限本身要准确配置。在许多组织中,确保安全组成员身份准确的过程是不稳定和零散的,用户通常只有在提交服务台工单后才会被添加到组中。
动态访问控制(DAC)允许使用用户账户或计算机账户的属性以及文件的属性来配置安全性。例如,可以配置DAC,使只有经理为Don Funk的人员才能打开包含“Cake”一词的文件。具体做法是设置分类规则和声明,检查每个文件是否包含“Cake”一词,如果包含,则配置自定义属性以反映该状态。另一个规则用于设置文件的权限,使Active Directory用户账户的“Managed By”属性设置为Don Funk的任何人都可以打开该文件。访问仍然由NTFS权限介导,只是这些NTFS权限是根据文件和访问用户的属性配置的,而不是通过传统的右键单击文件或父文件夹并手动设置的方法。
DAC有以下要求:
- 安装了文件服务器资源管理器(FSRM)角色服务的Windows Server 2012文件服务器,用于托管通过DAC保护的文件。DAC不支持Windows Server 2008 R2及更早版本的文件服务器。
- 支持设备声明的Windows 8或更高版本的客户端计算机。使用Windows 7访问通过DAC应用了安全性的文件的客户端仍然可以访问文件,但设备声明将被忽略。
- 域中需要有Windows Server 2012域控制器,或者如果没有
