DAC權限管理技術入門

DAC應用需求

使用Active Directory基礎架構，是最有效的管理企業中大量文件服務器的做法，通過集中管理特性，可以做好以人員賬戶與用戶組的文件或文件夾的權限配置。接著，系統管理人員還可以使用組策略（Group Policy）管理工具，來集中管理文件服務器的各項審核設置。

除此之外，對于文件的存放規則，管理人員可以結合“文件服務器資源管理員”的使用，來設置配額管理、文件檢測、分類管理以及查看存放報告信息，這樣便可以更有效率地管理有限的保存空間，并讓用戶更易于找到所需要的文件。

有了妥善進行文件權限安全管控、審核監視以及存放規則的配置，是否就已經滿足了當前文件服務器的管理需求呢？事實上，這與企業規模是有密切關聯的。

在小型企業中，由于組織架構相對比較簡單，每一天所要面臨的人事變動情況也較少，因此，對于網絡內所有文件服務器的訪問配置變動也相對較少，網絡管理人員人員在這方面的工作量并不大。

可是，對于中大型的企業來說，人事的變動與調遣往往相當頻繁，再加上部署于分支辦公室的文件服務器數量通常也很可觀，如果沒有一套更有效率的權限管理方法，一旦發生了有同事調動辦公室位置、調離現有部門、職稱變動等，這時候，所有與它相關的文件服務器權限配置，肯定都必須進行一番檢查與調整。

舉例來說，您可能需要先將此人員從某用戶組中移除，然后再加入到某些用戶組之中。接著，還必須將一些原本特別授予他的文件或文件夾權限進行移除，然后再加入人事變動后的新文件權限給他。

想一想，如果您是一位系統管理人員，您應該不會希望每一天都在忙這一類沒有效率的工作。

把時間花在更有價值的事物上吧。善用Windows Server 2012提供的動態訪 問 控 制（DAC，Dynamic Access Control） 技 術，這項功能也是用在最新的Windows Server 2016之中，通過它，將可以隨時讓系統根據最新的用戶屬性或計算器屬性，來自動識別用戶對于文件服務器上各類文件與文件夾的訪問權限。

設置DAC權限

這里所謂的屬性，其實就是在Active Directory網域中，用戶與計算器對象屬性中的某一些字段信息。如圖1所示，首先在計算器屬性部分，在“位置”頁面看到可以為不同的計算器設置位置信息。

關于這個字段屬性的應用，可以讓屬于辦公室內的計算機與專用于遠程訪問的計算機，盡管都給同一位用戶來使用，但所取得的權限卻可以不一樣。其他像是“操作系統”與“管理者”頁面中的相關字段信息，也都可以用來作為后續文件服務器判斷訪問權限的條件之一。

如圖1所示，在計算機屬性的“屬性編輯器”頁面中，可以讓我們進一步配置其他想要設置的域值。例如，我們可以找到“department”字 段，并且輸入部門的名稱。這樣，后續在動態訪問控制的權限配置中，便可以根據連接計算機所屬的部門，來判別所要授予的訪問權限。

若是針對用戶賬戶屬性，則在“一般”頁面中可以看到我們經常會使用到的屬性字段便是“辦公室”，借助辦公室位置來判定用戶對于某些文件或文件夾的訪問權限。

緊接著，最常見的還有在“組織”頁面中的公司、部門、職稱三個字段，只要該人員調離所屬的部門或職務，對于原有文件或文件夾的訪問權限將可能跟著變動。

使用DAC功能的準備工作

1.關于整個動態訪問控制（DAC）的架構，從服務端系統到客戶端系統的相關要求：

圖1 所有計算器屬性字段

圖2 聲明類型設置

（1） 現 有 Active Directory網域中必須至少有一部Windows Server 2012的域控制器。

（2）文件服務器必須是Windows Server 2012操作系統。

（3）如果要結合計算機屬性的感知來控管動態訪問控制，客戶端計算機請使用Windows 8。

2.如果用戶與文件服務器位于不同Active Directory的 林（Forest），則必須特別注意以下事項：

（1）首先必須創建好樹系間的雙向信任關系（forest trust）。

（2）接著，所有樹系的根域控制器（DC）都必須采用Windows Server 2012操作系統。

創建聲明類型

聲明類型的創建，是DAC架構中用以辨別用戶與計算器屬性的基礎。首先，從“系統管理工具”中開啟“Active Directory管理中心”，切換到“動態訪問控制”的“Claim Types”節點下。在此，筆者已經預先從“工作”區中點擊了“添加→聲明類型”，并加入了部 門（department）與職稱（title）兩個字段屬性，以作為后續訪問權限條件的識別使用。其中，應用的類別您可以考慮對于department聲明類型勾選“計算機”與“用戶”，而title的聲明類型則僅勾選“用戶”即可。

如圖2所示，這是創建聲明類型的設置頁面，在此，筆者挑選了一個辦公室位 置（physicalDelivery OfficeName）的字段屬性，至于應用的類別，則是僅勾選了“用戶”。這樣，在以后將可以根據用戶屬性中所屬的“辦公室”字段信息，來判定訪問的權限了。

緊接著，我們可以為每一個不同的屬性聲明類型設置相關“建議值”清單，以作為后續在配置個別文件或文件夾的動態訪問權限時的選項。在此，先選取“下列是建議值”，然后再通過點擊“添加”按鈕來一一加入所要供挑選的項。其中，每個項都必須至少設置“值”與“顯示名稱”，而兩種字段的屬性是可以一樣的，例如，可以添加一筆顯示名稱與值均為“總公司”的項。完成設置之后，請點擊“確定”。