問題:
1. 用戶控制
我們平時使用資源共享的時候��,可以按照組或者單個用戶來進行權(quán)限控制���,那么��,當(dāng)某個文件的訪問者只能是各部門主管的時候�����,怎么辦�����?我們可以給個部門主管創(chuàng)建一個組����。當(dāng)某個文件的訪問者只能是各部門助理怎么辦?我們給助理創(chuàng)建一個組����。……這樣下來,會有許多組����,個別用戶隸屬于許多組,給管理帶來極大的麻煩�。
2. 資源控制
服務(wù)器上的共享文件夾只允許被某個部門的主管訪問,該如何設(shè)置�����?
3. 設(shè)備控制
用戶帶私人電腦來公司�,加入域后是否可以訪問公司的文件?
解決辦法:DAC
1. 配置DC環(huán)境�,以支持DAC
打開Group Policy Management Editor -> Computer Configuration -> Policies -> Administrative Templates:... -> System -> KDC -> in the right panel, edit "KDC support for claims, compound authentication and Kerberos armoring" -> Enabled -> OK
cmd -> gpupdate /force
如果啟用此策略設(shè)置,則支持用于動態(tài)訪問控制的聲明和復(fù)合身份驗證以及Kerberos Armor感知的客戶端計算機將使用此功能接受Kerberos身份驗證消息���。應(yīng)將此策略應(yīng)用于所有域控制器以確保在域中一致應(yīng)用此策略�����。
2. 配置用戶和設(shè)備聲明
Administrator身份登錄DC��, 打開Active Directory Administrative Center -> Dynamic Access Control (in the left menu) -> New Claim Types -> “Claims of this type can be issued for the following classes” 做用戶控制的話選擇 User���,做設(shè)備控制的話選擇 computer -> OK
3. 配置資源屬性
Administrator身份登錄DC��, 打開Active Directory Administrative Center -> Dynamic Access Control (in the left menu) -> 點開下一級目錄Resource Properties -> Enable Department and Confidentiality
4. 配置文件分類
(1)Administrator身份登錄文件服務(wù)器���,添加File Server Resource Manager這個角色����。
(2)新建兩個文件夾并共享,授予everyone讀寫的共享權(quán)限���。
以上就是對win2012配置DAC環(huán)境/用戶和設(shè)備聲明/資源屬性及文件分類全部內(nèi)容的二甲雙胍�����,更多內(nèi)容請繼續(xù)關(guān)注腳本之家網(wǎng)站����!
