Windows Server Server 2012 Server 伺服器 微軟 AD 權限

進階DAC檔案權限控管 操作設定秘訣Top 7

2013-08-19
企業面對龐雜的檔案權限控管需求,目前除了透過傳統的存取控制清單(ACL)方式來配置NTFS權限與共用權限外,還可以進一步結合Windows Server 2012的動態存取控制(DAC)技術,來提供更加彈性與簡化權限的管理方式。
善用Active Directory的基礎架構,可以有效管理組織內大量的檔案伺服器,因為它具備集中管理的特性,所以能夠簡單做好以人員與群組之檔案資料夾的權限配置。另外,系統管理人員還可以善用群組原則(Group Policy)的管理工具,來集中管理檔案伺服器的各項稽核設定。

對於檔案的存放規則,管理人員也可以結合使用「檔案伺服器資源管理員」,來設定配額管理、檔案檢測、分類管理以及檢視存放報告資訊,如此便能夠更有效地管理好有限的儲存空間,並且讓使用者更易於找到所需要的檔案。

有了妥善的檔案權限安全管控、稽核監視以及存放規則的配置,是否就已經滿足當前檔案伺服器的管理需求呢?事實上,這與組織規模是有密切的關聯。

在小型企業中,由於組織架構簡單,相對於每一天所要面臨的人事異動情況較少,因此網路內所有檔案伺服器的存取配置異動也相對較少,IT人員在這方面的負擔並不大。

但對於中大型以上的組織來說,人事的異動與調遣往往相當頻繁,再加上部署於分支辦公室的檔案伺服器數量通常也相當可觀,如果沒有一套更有效率的權限管理方法,一旦發生有同仁調動辦公室位置、調離現有部門、職稱異動等情形時,所有與他相關的檔案伺服器權限配置,肯定都必須進行一番檢查與調整。

把時間花在更有價值的事物上吧!善用Windows Server 2012所全新提供的動態存取控制(Dynamic Access Control,DAC)技術,系統就能夠根據最新的使用者屬性或電腦屬性,來自動判定異動同仁對於檔案伺服器上各類檔案與資料夾的存取權限。

Q1:DAC可透過使用者或電腦的屬性來決定存取權限,而其所謂的屬性指的是什麼?

這裡所謂的屬性,其實就是在Active Directory網域中使用者與電腦物件內容中的某些欄位資訊。如圖1所示,就電腦屬性而言,在〔位置〕活頁標籤內可以為不同的電腦設定其位置資訊。

應用這個欄位屬性,在實務上便能夠讓屬於辦公室內的電腦與專用於遠端存取的電腦,儘管都是提供給同一位使用者來使用,但所取得的權限卻可以不一樣。

此外,在〔作業系統〕與〔管理者〕活頁標籤內的相關欄位資訊,也都可以作為後續檔案伺服器判斷存取權限的條件之一。


▲圖1 電腦屬性。

如圖2所示,在電腦「內容」視窗的〔屬性編輯器〕活頁標籤內,則可以進一步配置其他想要設定的欄位值,例如可以找到「department」欄位並輸入部門的名稱。這樣一來,後續在動態存取控制的權限配置中,便可以根據連線電腦所屬的部門來判別所要授予的存取權限。


▲圖2 所有電腦屬性欄位。

接著,如圖3所示則是一位使用者屬性的內容,在〔一般〕活頁標籤內可以發現經常會使用到的屬性欄位是「辦公室」,藉由辦公室位置來判定使用者對於某些檔案資料夾的存取權限。


▲圖3 使用者的一般資訊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!