問題：

1. 用戶控制

我們平時(shí)使用資源共享的時(shí)候，可以按照組或者單個(gè)用戶來進(jìn)行權(quán)限控制，那么，當(dāng)某個(gè)文件的訪問者只能是各部門主管的時(shí)候，怎么辦？我們可以給個(gè)部門主管創(chuàng)建一個(gè)組。當(dāng)某個(gè)文件的訪問者只能是各部門助理怎么辦？我們給助理創(chuàng)建一個(gè)組。……這樣下來，會(huì)有許多組，個(gè)別用戶隸屬于許多組，給管理帶來極大的麻煩。

2. 資源控制

服務(wù)器上的共享文件夾只允許被某個(gè)部門的主管訪問，該如何設(shè)置？

3. 設(shè)備控制

用戶帶私人電腦來公司，加入域后是否可以訪問公司的文件？

解決辦法：DAC

1. 配置DC環(huán)境，以支持DAC

打開Group Policy Management Editor -> Computer Configuration -> Policies -> Administrative Templates:... -> System -> KDC -> in the right panel, edit "KDC support for claims, compound authentication and Kerberos armoring" -> Enabled -> OK 

cmd -> gpupdate /force

如果啟用此策略設(shè)置，則支持用于動(dòng)態(tài)訪問控制的聲明和復(fù)合身份驗(yàn)證以及Kerberos Armor感知的客戶端計(jì)算機(jī)將使用此功能接受Kerberos身份驗(yàn)證消息。應(yīng)將此策略應(yīng)用于所有域控制器以確保在域中一致應(yīng)用此策略。

2. 配置用戶和設(shè)備聲明

Administrator身份登錄DC， 打開Active Directory Administrative Center -> Dynamic Access Control (in the left menu) -> New Claim Types -> “Claims of this type can be issued for the following classes” 做用戶控制的話選擇 User，做設(shè)備控制的話選擇 computer  -> OK

3. 配置資源屬性

Administrator身份登錄DC， 打開Active Directory Administrative Center ->  Dynamic Access Control (in the left menu) -> 點(diǎn)開下一級(jí)目錄Resource Properties -> Enable Department and Confidentiality

4. 配置文件分類

（1）Administrator身份登錄文件服務(wù)器，添加File Server Resource Manager這個(gè)角色。

（2）新建兩個(gè)文件夾并共享，授予everyone讀寫的共享權(quán)限。

以上就是對(duì)win2012配置DAC環(huán)境/用戶和設(shè)備聲明/資源屬性及文件分類全部內(nèi)容的二甲雙胍，更多內(nèi)容請(qǐng)繼續(xù)關(guān)注腳本之家網(wǎng)站！

最新評(píng)論