DAC結合Group Policy管理

善用組策略管理DAC

接下來我們必須將所有以Windows Server 2012操作系統為主的文件服務器，全部集中在同一個組織容器之中，以利于后續可以應用動態訪問控制的相關策略對象。關于這部分的操作，通過“Active Directory用戶和計算機”或“Active Directory管理中心”都是可以的。在示例中，我們僅放入一部文件服務器。

開啟同樣位于系統管理工具中的“組策略管理”工具，點擊至所創建的文件服務器組織容器之后，先按下鼠標右鍵來添加一個組策略對象，然后再選取該對象并按下鼠標右鍵，點擊“編輯”繼續。

如圖3所示，在“組策略管理編輯器”界面中，請先展開“計算器設置”節點，然后在“Windows設置→安全性設置→文件系統”節點下，找到“集中訪問策略”節點。示例中，可以看到筆者所創建的兩個集中訪問策略。

圖3 管理計算器設置策略

上述示例中，筆者所加入的集中訪問策略方法，只需要在空白處點擊鼠標右鍵，并點擊“管理集中訪問策略”，便可以開啟“集中訪問策略設置”頁面。在此，可以將所要應用的策略項一一添加到右方窗口中。點擊“確定”即可。

在組策略的設置部分，基本上只要完成上述“管理集中訪問策略”的設置即可，但是，如果想進一步對于集中訪問策略的執行與文件系統的訪問情形進行事件審核，則必須展開“進階審核策略設置”節點，然后在“對象訪問”節點頁面中找到“審核文件系統”以及“審核集中訪問策略執行”兩項，然后開啟個別的屬性來設置所要審核的事件類型。

在此，筆者僅以審核失敗為例，未來如果需要查看與這兩類審核策略有關的事件，只要開啟相對的文件服務器中的事件查看器，然后通過“Windows記錄→安全性”類別來進行查詢即可。完成設置后，關閉“組策略管理編輯器”。

回到“組策略管理”界面，在所創建的文件服務器組織容器節點上點擊鼠標右鍵，選擇“更新組策略”。接著，將會出現“強制組策略更新”頁面，點擊“是”即可。

正常情況下，應該會顯示已成功更新組策略的服務器清單，如果在結果頁面有發生失敗的項，則有可能的原因是目標服務器尚未啟動允許遠程管理的服務，這時候便可以改用傳統的做法，也就是在這一些服務器上開啟命令提示字符，然后執行gpupdate /force即可同樣進行更新。

完成了文件服務器組織容器的組策略設置與應用之后，還必須修改與域控制器（DC）有關的組策略設置，才能夠正常應用整體的動態訪問控制策略。在“組策略管理”界面，點擊至“Domain Controllers”節點頁面，在默 認 的“Default Domain Controllers Policy”對象項上點擊鼠標右鍵，選擇“編輯”。在開啟“組策略管理編輯器”界面之后，點擊至“計算器設置→策略→系統管理模板→系統→KDC”節點，開啟“KDC支持聲明、復合驗證以及Kerberos保護”項。

對“KDC支持聲明、復合驗證以及Kerberos保護”項屬性，先設置為“已啟用”，然后再到“選項”的下拉選單中選取“支持”。點擊“確定”完成設置。

完成了上述設置后，到每一部文件服務器的“Windows PowerShell” 界面中分別執行gpupdate /force，來更新組策略設置，以及執行Update-FSRMClass ificationpropertydefinit ion命令，來更新文件服務器資源管理中的最新全局資源列表屬性。

在登錄每一部文件服務器之后，可以先通過執行gpresult /v | more命令，來查看目前是否已被應用了前面步驟中所創建的組策略對象，以確認相關的動態訪問控制設置已被應用。

接下來，在被應用組策略的Windows Server 2012文件服務器上，通過如“添加角色及功能向導”界面，來確認目前已安裝了“文件和存放服務→文件服務器資源管理員”組件。

在開啟“系統管理工具”中所開啟的“文件服務器資源管理”界面，可以隨時在“分類管理→分類屬性”節點點擊鼠標右鍵，選擇“重新整理”，來取得最新創建的文件分類屬性。實際上，這個動作與前面所介紹過的Update-FSRMClassificatio npropertydefinition命令用途是一樣的。而在本文示例中，在執行重新整理之后，應當會看到“文件分類等級”以及“文件部門”。

讓我們來看看關于文件服務器中文件夾與個別文件的細部設置。首先，在文件夾上方點擊鼠標右鍵，選擇“屬性”。然后，在“安全性”頁面中點擊“進階”繼續。接著，便可以看到在文件夾屬性中會多出一個“集中策略”頁面，您可以先在下拉選單中挑選可用的集中訪問策略，挑選后，便可以看到各項訪問規則屬性，其中每一項訪問規則都會清楚地顯示應用到的目標文件的條件，以及相關權限項與訪問的屬性條件。完成設置后，點擊“確定”即可。

完成了上層文件夾的集中策略選取與應用之后，接下來便可以開始配置文件夾中不同文件的分類屬性。這樣，重要的文件將會依據分類屬性，來動態決定所要賦予給用戶與計算機的權限。在任一文件上點擊鼠標右鍵，選擇“屬性”繼續。

在文檔屬性的“分類”頁面中，可以看到筆者已經分別設置好“文件分類等級”以及“文件部門”的兩大屬性。設置的方法只要先選擇上方的屬性名稱，然后再到下方挑選相對的值即可。

針對一般性的文件，如果不想設置其屬性，則只要選取“無”為值即可。

DAC客戶端訪問測試

完成了文件服務器每一個重要文件夾與文件的訪問策略以及分類屬性配置之后，我們便可以嘗試以一般用戶的賬戶，從客戶端的Windows 8.1/Windows 10操作系統，或是直接以遠程桌面方式來登錄文件服務器，試試相關已配置各項設置的文件夾與文件。

由于動態訪問控制的運作機制，基礎是根據用戶與計算機的屬性來動態決定所能夠訪問的文件與權限有哪一些，因此，若發現用戶無法訪問特定的文件夾或文件，可以在命令行執行whoami /claims命令，來查看最基本的用戶屬性是否符合訪問文件的條件。

結論

文件的安全管控，除了可以通過訪問權限（ACL與DAL）的配置來管理之外，還可以集成數字版權管理（DRM），來達到更細微的屬性權限配置。例如，可以讓特定能夠讀取文件的某些部門、職稱、用戶組或是個體，無法對于其文檔屬性進行復制、打印、修改、轉寄等操作。關于這項控管需求，只要集成同樣內置于Windows Server 2012中的Active Directory Rights Management Services服務器角色即可。