企業面對龐雜的檔案權限控管需求,目前除了透過傳統的存取控制清單(ACL)方式來配置NTFS權限與共用權限外,還可以進一步結合Windows Server 2012的動態存取控制(DAC)技術,來提供更加彈性與簡化權限的管理方式。
如圖43所示,先在任一檔案上按下滑鼠右鍵,然後點選快速選單中的【內容】。
 |
| ▲圖43 開啟檔案內容。 |
如圖44所示,在檔案「內容」視窗的〔分類〕活頁標籤內,可以看到筆者已經分別設定好的「檔案分類等級」和「檔案部門」兩大屬性,其設定的方法是,先選擇上方的屬性名稱,再到下方挑選相對的值。針對一般性的檔案,如果不想設定其屬性,則只要選取「無」為值即可。
 |
| ▲圖44 配置檔案分類。 |
Q7:怎樣進行DAC用戶端連線存取測試?
在完成所有檔案伺服器中每一個重要資料夾與檔案的存取原則以及分類屬性配置之後,便可以嘗試以一般使用者的帳戶,從用戶端的Windows 8或是直接以遠端桌面方式來登入檔案伺服器,開始嘗試相關已配置各項設定的資料夾與檔案,如圖45所示。
 |
| ▲圖45 使用者登入。 |
由於動態存取控制之運作機制的基礎,是根據使用者與電腦的屬性來動態決定所能存取的檔案與權限,因此若發現使用者無法存取特定的資料夾或檔案時,不妨如圖46所示先在命令提示列中執行命令「whoami /claims」,查看最基本的使用者屬性是否符合存取檔案的條件。
 |
| ▲圖46 使用者宣告資訊。 |
結語
檔案文件的安全控管,除了可以透過存取權限(ACL與DAL)的配置來管理外,還可以整合數位版權的控管機制來達到更細微的內容權限配置,例如讓能夠讀取檔案的某些部門、職稱、群組或個體,無法對於其檔案內容進行複製、列印、修改、轉寄等動作,關於這一項進階控管需求,只要整合同樣內建於Windows Server 2012中的Active Directory Rights Management Services伺服器角色即可。
<本文作者:顧武雄,Microsoft MVP、MCITP與MCTS認證專家、台灣微軟Technet、TechEd、Webcast特約資深顧問講師,讀者可以透過他的技術Facebook(http://www.facebook.com/profile.php?id=100000322352169)與他聯絡。>