部署中央访问策略(示范步骤)
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在此方案中,将结合使用财务部门安全操作与中心信息安全性来指定对中心访问策略的需求,以便保护存储在文件服务器上的已存档财务信息。 每个国家/地区的已存档的财务信息可以只读形式由来自同一国家/地区的财务人员访问。 中心财务管理员组可以访问来自所有国家/地区的财务信息。
中心访问策略的部署包括以下阶段:
| 阶段 | 说明 |
|---|---|
| 计划:确定对策略的需求和部署所需的配置 | 标识所需的策略和部署所需的配置。 |
| 实现:配置组件和策略 | 配置组件和策略。 |
| 部署中央访问策略 | 部署策略。 |
| 维护:更改和暂存策略 | 策略更改和暂存。 |
设置测试环境
在开始之前,需要设置实验室以测试该方案。 附录 B:设置测试环境中详细介绍了用于设置实验室的步骤。
计划:确定对策略的需求和部署所需的配置
本部分提供了一系列高级步骤,可帮助你规划部署。
| 步骤编号 | 步骤 | 示例 |
|---|---|---|
| 1.1 | 业务确定需要采用中心访问策略 | 为了保护存储在文件服务器的财务信息,将结合使用财务部门安全操作与中心信息安全性来指定对中心访问策略的需求。 |
| 1.2 | 表示访问策略 | 只有财务部门的成员才可以读取财务文档。 财务部门的成员只应访问自己国家/地区的文档。 应当只有财务管理员才具有写入访问的权限。 允许为 FinanceException 组的成员设置例外。 该组具有读取访问权限。 |
| 1.3 | 在 Windows Server 2012 构造中表示访问策略 | 目标: - Resource.Department 包含 Finance 访问规则: - 允许读取 User.Country=Resource.Country AND User.department = Resource.Department 异常: 允许读取 memberOf(FinanceException) |
| 1.4 | 确定策略所需的文件属性 | 使用以下属性标记文件: - Department |
| 1.5 | 确定策略所需的声明类型和组 | 声明类型: - 国家/地区 用户组: - FinanceAdmin |
| 1.6 | 确定应用此策略的服务器 | 将此策略应用于所有财务文件服务器。 |
实现:配置组件和策略
本部分提供了有关为财务文档部署中心访问策略的示例。
| 步骤编号 | 步骤 | 示例 |
|---|---|---|
| 2.1 | 创建声明类型 | 创建以下声明类型: - Department |
| 2.2 | 创建资源属性 | 创建并启用下列资源属性: - Department |
| 2.3 | 配置中心访问规则 | 创建财务文档规则,该规则包含前一部分中所确定的策略。 |
| 2.4 | 配置中心访问策略 (CAP) | 创建一个称为“财务策略”的 CAP,并向该 CAP 添加财务文档规则。 |
| 2.5 | 将文件服务器作为中心访问策略的目标 | 将财务策略 CAP 发布到文件服务器。 |
| 2.6 | 为声明、复合身份验证和 Kerberos 保护启用 KDC 支持。 | 针对 contoso.com 的声明、复合身份验证和 Kerberos 保护启用 KDC 支持。 |
在以下步骤中,你创建两个声明类型:Country 和 Department。
创建声明类型
在 Hyper-V 管理器中打开服务器 DC1,并以 contoso\administrator 的身份使用密码pass@word1进行登录。
打开“Active Directory 管理中心”。
单击“树视图图标”,展开“动态访问控制”,然后选择“声明类型”。
右击“声明类型”,单击“新建”,然后单击“声明类型”。
提示
还可以从“任务”窗格中打开“创建声明类型:”窗口。 在“任务”窗格中,单击“新建”,然后单击“声明类型”。
在“源属性”列表中,向下滚动属性列表,然后单击“部门”。 这应使用“部门”填充“显示名称”字段。 单击“确定” 。
在“任务”窗格中,单击“新建 ”,然后单击“声明类型”。
在“源属性“列表中,向下滚动属性列表,然后单击“c”属性(国家/地区名称)。 在“显示名称”字段中,键入“国家/地区”。
在“建议值”部分,选择“建议使用以下值:”,然后单击“添加”。
在“值”和“显示名称”字段中,键入“美国”,然后单击“确定”。
重复上述步骤。 在“添加建议值”对话框中,在“值”和“显示名称”字段中键入“JP”,然后单击“确定”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department
提示
可以使用 Active Directory 管理中心中的 Windows PowerShell 历史记录查看器,来查找 Windows PowerShell cmdlet,其可用于 Active Directory 管理中心中执行的每个过程。 有关详细信息,请参阅 Windows PowerShell 历史记录查看器
下一步是创建资源属性。 在下列过程中,将创建资源属性,该属性会自动添加到域控制器上的“全局资源属性”列表,以便其可用于文件服务器。
创建并启用预创建的资源属性
在 Active Directory 管理中心的左窗格中,单击“树视图”。 展开“动态访问控制”,然后选择“资源属性”。
右击“资源属性”,单击“新建”,然后单击“引用资源属性”。
提示
还可以从“任务”窗格中选择资源属性。 单击“新建”,然后单击“引用资源属性”。
在“选择要共享其建议值的声明类型列表”中,单击“国家/地区”。
在“显示名称”字段中,键入“国家/地区”,然后单击“确定”。
双击“资源属性”列表,向下滚动到“Department”资源属性。 右击,然后单击“启用”。 这将启用内置部门资源属性。
在 Active Directory 管理中心导航窗格上的“资源属性”列表中,现在将存在两个已启用的资源属性:
国家/地区
Department
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS
下一步是创建中心访问规则,该规则定义了哪些用户可以访问资源。 在此方案中,业务规则是:
只有财务部门的成员才可以读取财务文档。
财务部门的成员只能在自己的国家/地区访问文档。
仅财务主管才具有写入访问权限。
将允许 FinanceException 组的成员的例外。 该组具有读取访问权限。
管理员和文档所有者仍具有完全访问权限。
或使用 Windows Server 2012 构造表示规则:
目标:Resource.Department 包含 Finance
访问规则:
允许读取 User.Country=Resource.Country AND User.department = Resource.Department
允许完全控制 User.MemberOf(FinanceAdmin)
允许读取 User.MemberOf(FinanceException)
创建中心访问规则
在 Active Directory 管理中心的左窗格中,单击“树视图”,选择“动态访问控制”,然后单击“中央访问规则”。
右击“中央访问规则”,单击“新建”,然后单击“中央访问规则”。
在“名称”字段中,键入“财务文档规则”。
在“目标资源”部分,单击“编辑”,然后在“中央访问规则”对话框中,单击“添加条件”。 添加以下条件:[资源] [部门] [等于] [值] [财务],然后单击“确定”。
在“权限”部分,选择“使用以下权限作为当前权限”,单击“编辑”, 然后在“权限的高级安全设置”对话框中,单击“添加”。
注意
在暂存期间,可使用“使用下列权限作为建议的权限”选项来创建策略。 有关如何执行此操作的详细信息,请参阅本主题中的“维护:更改和暂存策略”部分。
在“权限的权限条目”对话框中,单击“选择主体”,键入“经过身份验证的用户”,然后单击“确定”。
在“权限的权限条目”对话框中,单击“添加条件”,然后添加以下条件:[用户] [国家/地区] [任何] [资源] [国家/地区] 单击“添加条件”。 [“”和“”]单击[“用户”] [“部门”] [“任何”] [“资源”] [“部门”]。 将“权限”设置为“读取”。
单击“确定”,然后单击“添加”。 单击“选择主体”,键入“FinanceAdmin”,然后单击“确定”。
选择“修改、读取并执行、读取、写入”权限,然后单击“确定”。
单击“添加”,单击“选择主体”,键入“financeException”,然后单击“确定”。 选择要读取和读取并执行的权限。
单击“确定”三次完成操作,然后返回到 Active Directory 管理中心。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition
重要
在上述 cmdlet 示例中,将在创建时确定 FinanceAdmin 组和用户组的安全标识符 (SID),并且它们在示例中会有所不同。 例如,需要将所提供的 FinanceAdmins 组的 SID 值 (S-1-5-21-1787166779-1215870801-2157059049-1113) 替换为要在部署中创建的 FinanceAdmin 组的实际 SID 值。 可以使用 Windows PowerShell 来查找此组的 SID 值,并将该值分配给某个变量,然后在此处使用该变量。 有关详细信息,请参阅 Windows PowerShell 提示:使用 SID。
现在应具有中心访问规则,该规则允许用户在同一国家/地区及同一部门中访问文档。 该规则允许 FinanceAdmin 组编辑文档,并且它还允许 FinanceException 组读取文档。 该规则仅适用于被归类为“财务”的文档。
向中心访问策略添加中心访问规则
在 Active Directory 管理中心的左窗格中,单击“动态访问控制”,然后单击“中心访问策略”。
在“任务”窗格中,单击“新建”,然后单击“中央访问策略”。
在“创建中央访问策略:”中,在“名称”框中键入“财务策略”。
在“成员中央访问规则”中,单击“添加”。
双击“财务文档规则”以将其添加到“添加以下中央访问规则”列表,然后单击“确定”。
单击“确定”完成。 现在应具有名为“财务策略”的中心访问策略。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"
通过使用组策略跨文件服务器应用中心访问策略
在“开始”屏幕的“搜索”框中,键入“组策略管理”。 双击“组策略管理”。
提示
如果显示管理工具设置处于禁用状态,管理工具文件夹及其内容不会显示在设置结果中。
提示
在生产环境中,应创建要在其中应用此策略的文件服务器组织单位 (OU),并将所有文件服务器都添加到该 OU。 然后可以创建组策略,并将此 OU 添加到此策略。
在此步骤中,你会编辑已在测试环境中的生成域控制器部分创建的组策略对象,以包含创建的中心访问策略。 在“组策略管理编辑器”中,导航到并选择域(在此示例中为 contoso.com)中的组织单位:组策略管理、林:contoso.com、域、contoso.com、Contoso、FileServerOU。
右击“FlexibleAccessGPO”,然后单击“编辑”。
在组策略管理编辑器窗口中,导航到“计算机配置”,依次展开“策略”、“Windows 设置”,然后单击“安全设置”。
展开“文件系统”,右键单击“中心访问策略”,然后单击“管理中心访问策略”。
在“中央访问策略配置”对话框中,添加“财务策略”,然后单击“确定”。
向下滚动到“高级审核策略配置”,并将其展开。
展开“审核策略”,然后选择“对象访问”。
双击“审核中心访问策略暂存”。 选中所有三个复选框,然后单击“确定”。 该步骤允许系统收到与中心访问暂存策略相关的审核事件。
双击“审核文件系统属性”。 选中所有三个复选框,然后单击“确定”。
关闭“组策略管理编辑器”。 现在,你已经将中心访问策略添加到组策略。
若要使域的域控制器提供声明或设备授权数据,需要将其配置为支持动态访问控制。
针对 contoso.com 启用对声明和复合身份验证的支持
打开“组策略管理”,单击“contoso.com”,然后单击“域控制器”。
右键单击“默认域控制器策略”,然后单击“编辑”。
在“组策略管理编辑器”窗口中,依次双击“计算机配置”、“策略”、“管理模板”、“系统”和“KDC”。
双击“KDC 支持声明、复合身份验证和 Kerberos 保护”。 在“KDC 支持声明、复合身份验证和 Kerberos 保护”对话框中,单击“已启用”,然后从“选项”下拉列表中选择“受支持”。 (需要启用此设置以使用中心访问策略中的用户声明。)
关闭“组策略管理” 。
打开命令提示符并键入
gpupdate /force。
部署中心访问策略
| 步骤编号 | 步骤 | 示例 |
|---|---|---|
| 3.1 | 将 CAP 分配给文件服务器上相应的共享文件夹。 | 将中心访问策略分配给文件服务器上相应的共享文件夹。 |
| 3.2 | 验证是否已正确配置访问。 | 检查来自不同国家/地区和部门的用户的访问权限。 |
在此步骤中,你会将中心访问策略分配给文件服务器。 你将登录到接收之前步骤中创建的中心访问策略的文件服务器,并将该策略分配给某个共享文件夹。
向文件服务器分配中心访问策略
在 Hyper-V 管理器中,连接到服务器 FILE1。 通过使用 contoso\administrator 和密码 pass@word1 登录到服务器。
打开提升的命令提示符并键入:gpupdate /force。 这样可以确保组策略的更改将在你的服务器上生效。
还需要通过 Active Directory 刷新全局资源属性。 打开提升的 Windows PowerShell 窗口并键入
Update-FSRMClassificationpropertyDefinition。 单击“ENTER”,然后关闭 Windows PowerShell。提示
还可以通过登录到文件服务器来刷新全局资源属性。 若要通过文件服务器刷新全局资源属性,请执行以下操作
- 以 contoso\administrator 的身份使用密码pass@word1登录到文件服务器 FILE1。
- 打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“开始”,然后键入“文件服务器资源管理器”,最后单击“文件服务器资源管理器”。
- 在文件服务器资源管理器中,单击“文件分类管理”,右击“分类属性”,然后单击“刷新”。
打开 Windows 资源管理器,然后在左窗格中单击“驱动器 D”。右击“财务文档”文件夹,然后单击“属性”。
单击“分类”选项卡,单击“国家/地区”,然后在“值”字段中选择“美国”。
单击“部门”,然后在“值”字段中选择 “财务”,然后单击“应用”。
注意
请记住,已将中心访问策略配置为针对财务部门的文件。 在前面步骤中,已通过国家/地区和部门属性标记文件夹中的所有文档。
单击“安全”选项卡,然后单击“高级”。 单击“中央策略”选项卡。
单击“更改”,从下拉菜单中选择“财务策略”,然后单击“应用”。 可以在此策略中查看列出的“财务文档规则”。 通过展开项,来查看在 Active Directory 中创建规则时所设置的所有权限。
单击“确定”返回到 Windows 资源管理器。
在下一步骤中,请确保访问权限已正确配置。 用户帐户需要设置相应的“部门”属性(使用 Active Directory 管理中心来设置该属性)。 查看新策略有效结果的最简单方法是使用 Windows 资源管理器中的“有效访问”选项卡。 “有效访问”选项卡将显示给定用户帐户的访问权限。
检查各类用户的访问权限
在 Hyper-V 管理器中,连接到服务器 FILE1。 使用 contoso\administrator 登录到服务器。 导航至 Windows 资源管理器中的 D:\。 右击“财务文档”文件夹,然后单击“属性”。
依次单击“安全”选项卡、“高级”、“有效访问”选项卡。
若要检查用户的权限,请单击“选择用户”,键入用户的名称,然后单击“查看有效访问”以查看有效访问权限。 例如:
Myriam Delesalle (MDelesalle) 是财务部门的成员,因此应具有文件夹的读取访问权限。
Miles Reid (MReid) 是 FinanceAdmin 组的成员,因此应具有对文件夹的修改访问权限。
Esther Valle (EValle) 不是财务部门的成员;但是,她是 FinanceException 组的成员,因此应具有读取访问权限。
Maira Wenzel (MWenzel) 不是财务部门的成员,并且也不是 FinanceAdmin 或 FinanceException 组的成员。 她不应具有对文件夹的任何访问权限。
请注意“有效访问”窗口中名为“访问限制”的最后一列。 该列会告诉你哪些入口会影响到用户的权限。 在此案例中,共享和 NTFS 权限将允许所有用户进行完全控制。 但是,中心访问策略将根据之前配置的规则来限制访问权限。
维护:更改和暂存策略
| 步骤编号 | 步骤 | 示例 |
|---|---|---|
| 4.1 | 为客户端配置设备声明 | 设置组策略设置以启用设备声明 |
| 4.2 | 启用设备的声明。 | 启用设备的国家/地区声明类型。 |
| 4.3 | 将暂存策略添加到要修改的现有中心访问规则。 | 修改财务文档规则改以添加暂存策略。 |
| 4.4 | 查看暂存策略的结果。 | 检查 Ester Velle 的权限。 |
设置组策略设置以启用设备的声明
登录到 DC1,打开组策略管理,单击“contoso.com”,单击“默认域策略”,右击并选择“编辑”。
在“组策略管理编辑器”窗口中,依次导航到“计算机配置”、“策略”、“管理模板”、“系统”、“Kerberos”。
选择“对声明、复合身份验证和 Kerberos 保护的 KDC 客户端支持”,并单击“启用”。
启用设备的声明
在 Hyper-V 管理器中打开服务器 DC1,并以 contoso\Administrator 的身份使用密码pass@word1进行登录。
通过“工具”菜单,打开 Active Directory 管理中心。
单击“树视图”,展开“动态访问控制”,双击“声明类型”,然后双击“国家/地区”声明。
在“可为以下类发出此类声明”中,选中“计算机”复选框。 单击“确定”。 现在应同时选中“用户”和“计算机”复选框。 现在,除了可以与用户一起使用外,国家/地区声明还可以与设备一起使用。
下一步是创建暂存策略规则。 通过使用暂存策略,可在启用新策略项之前监视它的效果。 在以下步骤中,将创建一个暂存策略项,并监视在共享文件夹上的效果。
创建暂存策略规则并将其添加到中心访问策略
在 Hyper-V 管理器中打开服务器 DC1,并以 contoso\Administrator 的身份使用密码pass@word1进行登录。
打开“Active Directory 管理中心”。
单击“树视图”,展开“动态访问控制”,并选择“中心访问规则”。
右击“财务文档规则”,然后单击“属性”。
在“建议的权限”部分,选中“启用权限暂存配置”复选框,单击“编辑”,然后单击“添加”。 在“建议权限的权限条目”窗口中,单击“选择主体 ”链接,键入“经过身份验证的用户”,然后单击“确定”。
单击“添加条件”链接并添加以下条件:[用户] [国家/地区] [任何] [资源] [国家/地区]。
再次单击“添加条件”链接并添加以下条件:[并且] [设备] [国家/地区] [任何] [资源] [国家/地区]
再次单击“添加条件”,并添加以下条件。 [并且] [用户] [组] [隶属于任何项] [值](FinanceException)
要设置 FinanceException、组,请单击“添加项”,然后在“选择用户、计算机、服务帐户或组 ”窗口中,键入“FinanceException”。
单击“权限”,选择“完全控制”,然后单击“确定”。
在“建议权限的高级安全设置”的窗口中,选择“FinanceException”,并单击“删除”。
单击“确定”两次以完成操作。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"
注意
在上述 cmdlet 示例中,服务器值反映了测试实验室环境中的服务器。 可以使用 Windows PowerShell 历史记录查看器,来查找用于 Active Directory 管理中心中执行的每个过程的 Windows PowerShell cmdlet。 有关详细信息,请参阅 Windows PowerShell 历史记录查看器
在此建议的权限集中,当 FinanceException 组成员通过自己国家/地区内的设备进行访问时,该组成员对来自同一国家/地区的文件具有完全访问权限。 当财务部门的人员尝试访问文件时,审核项将在文件服务器安全日志中可用。 但是,在策略从暂存推广之前,不会强制执行安全设置。
在下一过程中,你将验证暂存策略的结果。 通过使用基于当前规则具有权限的用户名,来访问共享文件夹。 Esther Valle (EValle) 是 FinanceException 组的成员,她当前拥有读取权限。 根据暂存策略,EValle 不应具有任何权限。
验证暂存策略结果
连接到 Hyper-V 管理器中的文件服务器 FILE1,并以 contoso\administrator 的身份使用密码pass@word1进行登录。
打开“命令提示符”窗口并键入“gpupdate /force”。 这样可以确保组策略的更改将在该服务器上生效。
在 Hyper-V 管理器中,连接到服务器 CLIENT1。 注销当前登录的用户。 重新启动虚拟机 CLIENT1。 然后,以 contoso\EValle 的身份使用 pass@word1 登录到计算机。
双击 \\FILE1\Finance Documents 的桌面快捷方式。 EValle 应仍有权访问文件。 重新切换到 FILE1。
通过桌面上的快捷方式打开“事件查看器”。 展开“Windows 日志”,然后选择“安全”。 打开“中心访问策略暂存”任务类别下事件 ID 为 4818 的条目。 你将看到 EValle 已具有访问权限;但是,根据暂存策略,将拒绝授予用户访问权限。
后续步骤
如果存在中心服务器管理系统(如 System Center Operations Manager),则你还可以配置监视事件。 这使管理员能够在强制执行中心访问策略之前监视这些策略的效果。