MCSA 2012 DYNAMIC ACCESS CONTROL

Trong bài viết này tôi sẽ giới thiệu chi tiết cách cấu hình Dynamic Access Control để điều khiển việc phân quyền cho dữ liệu trên hệ thống File Server II.. - Trên tất cả các máy, nhập lệ

CẤU HÌNH DYNAMIC ACCESS CONTROL (DAC) TRÊN WINDOWS SERVER 2012 - PHẦN 1: PHÂN QUYỀN TRUY CẬP DỮ LIỆU

I- GIỚI THIỆU:

Dynamic Access Control được giới thiệu từ Windows Server 2012 với những tính năng ưu việt cho phép hỗ trợ hoạt động của hệ thống File Server Với Dynamic Access Control bạn có thể:

- Phân quyền truy cập trên các Folder/File với những điều kiện dựa vào User Claim, Device Claim hay Resoure Claim cho phép điều khiển quyền hạn truy cập chi tiết hơn nhiều so với cách phân quyền NTFS truyền thống

- Giám sát, theo dõi việc truy cập dữ liệu một cách tập trung

- Hỗ trợ File Server Resource Manager phân loại dữ liệu và điều khiển việc truy cập dựa vào dữ liệu đã phân loại một cách hiệu quả

- Tích hợp Rights Management Service để tự động hóa việc bảo vệ các dữ liệu nhạy cảm trong doanh nghiệp

Trong bài viết này tôi sẽ giới thiệu chi tiết cách cấu hình Dynamic Access Control để điều khiển việc phân quyền cho dữ liệu trên hệ thống File Server

II CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy

- DC2012: Domain Controller chạy Windows Server 2012 (domain

mcthub.local)

- SERVER1: File Server chạy Windows Server 2012

- CLIENT1: Client chạy Windows 8

SERVER1 và CLIENT1 là 2 máy đã join domain mcthub.local

* Chuẩn bị:

- Trên máy DC2012, bạn vào Active Directory Users and Computers, tạo OU DAC, move các máy SERVER1 và CLIENT1 vào OU này Tiếp theo bạn tạo 2 groupMCTHUB và ITAHUB, tạo thêm 4 user: hien, nam, trong, duy.

- Add 2 user nam và trong vào thành viên group MCTHUB.

- Add 2 user duy và hien vào thành viên group ITAHUB.

- Điều chỉnh thuộc tính Department là "Ketoan" cho 2

User nam và hien Bạn chọn đồng thời 2 user nam và hien, sau đó nhấn chuột phải chọn Properties.

- Qua tab Organization, bạn đánh dấu chọn vào ô Department, sau đó nhập vào Ketoan.

- Điều chỉnh thuộc tính Department là "Nhansu" cho 2 User duy và trong.

- Qua tab Organization, bạn đánh dấu chọn vào ô Department, sau đó nhập vào Nhansu.

- Trên tất cả các máy, nhập lệnh GpUpdate /Force để cập nhật Policy

- Chuẩn bị dữ liệu cho File Server: Trên máy SERVER1, tạo Folder tên

là Baocao, sau đó Share folder này và cấp quyền Read/Write cho Everyone Chuột phải vào folder BaoCao, chọn Share with - Specific people

- Bạn cấp quyền Read/Write cho Everyone.

-Tạo vài File tùy ý trong Folder BaoCao

* Quy trình thực hiện:

1/ Cấu hình policy cho phép chứng thực Kerberos trên tất cả các thành viên của domain để hỗ trợ Dynamic Access Control

2/ Cấu hình Dynamic Access Control

a Tạo Claim Types

b Tạo Central Access Rule

c Tạo Central Access Policy

d Link Central Access Policy vào Group Policy

3/ Áp Central Access Policy vào Folder muốn phân quyền

4/ Kiểm tra

III TRIỂN KHAI CHI TIẾT:

Trong bài LAB này, tôi sẽ trình bày thao tác cấu hình DAC nhằm mục đích phân quyền chỉ cho phép truy cập vào thư mục BaoCao khi người dùng thỏa mãn tất cả các điều kiện sau:

- Là thành viên group MCTHUB

- Có thuộc tính Department là Ketoan

- Phải Logon trên các máy Client chỉ định

1/ Cấu hình policy cho phép chứng thực Kerberos trên tất cả các thành viên của domain để hỗ trợ Dynamic Access Control

- Trên máy DC2012, mở Server Manager, sau đó bạn vào menu Tools,

chọn Group Policy Management.

- Bạn lần lượt bung Domains, sau đó bung MCTHUB.LOCAL Chuột phải vào Default Domain Policy, chọn Edit.

- Trong cửa sổ Group Policy Management Editor, bạn mở theo đường dẫn sau: Computer Configuration\Policies\Administrative

Templates\System\KDC Sau đó ở khung bên phải, bạn nhấn chuột phải vào KDC support for claims, compound authentication and Kerberos armoring, chọn Edit.

- Ở bên trái, bạn chọn Enable để kích hoạt policy này, sau đó bạn nhấn Apply

và OK

- Trên tất cả các máy, nhập lệnh GpUpdate /Force để cập nhật Policy.

2/ Cấu hình Dynamic Access Control

- Trên máy DC2012, mở Server Manager để chạy công cụ Active

Directory Administrative Center Hầu hết các thao tác cấu hình DAC đều

dùng công cụ này

a Tạo Claim Types

- Đầu tiên bạn cần tạo một Claim Type Claim Type qui định một đòi hỏi (ràng buộc hay yêu cầu) về một đối tượng như User hay Computer dựa vào các thuộc tính trong Active Directory của đối tượng đó.

Ở đây do bạn cần phân quyền cho User dựa vào thuộc tính Department nên bạn sẽ tạo một Claim Type dựa vào thuộc tính này

- Ở khung Claim Types nằm ở góc bên phải, bạn chọn New, sau đó

chọn Claim Type.

- Trong khung thuộc tính bạn tìm và chọn thuộc tính department, sau đó đặt tên tùy ý, tôi đặt tên là DOI HOI VE department Nhấn OK.

- Kiểm tra Claim Type đã được tạo

b Tạo Central Access Rule

- Bước tiếp theo bạn cần tạo một Central Access Rule.

Central Access Rule là thành phần quan trọng nhất của DAC nhằm qui định các điều kiện để truy cập vào dữ liệu.

- Ở khung Central Access Rules nằm ở góc bên phải, bạn chọn New, sau đó chọn Central Access Rule.

- Ở khung Name, bạn đặt tên cho Central Access Rule là: Rule-Dieu kien truy cap BAOCAO Ở khung Permission, bạn chọn ô Use following permission

as current user để qui định các điều điện và phân quyền truy cập Sau đó bạn nhấn nút Edit.

- Nhấn nút Add để thêm đối tượng cần phân quyền

- Chọn Select a principal.

- Chọn Group MCTHUB.

- Bạn phân quyền Modify cho group MCTHUB, sau đó chọn Add a condition để qui định thêm các điều kiện truy cập.

- Bạn chọn dòng điều kiện theo thứ tự như hình dưới Điều kiện bên dưới qui

định User phải có thuộc tính Department (đã định nghĩa Claim Type ở bước trước là Ketoan) Nhấn OK.

- Kiểm tra lại điều kiện của đối tượng được phân quyền là group MCTHUB, sau đó OK tất cả các hộp thoại đang mở.

- Quay lại màn hình Create Central Access Rule, bạn kiểm tra lại điều kiện và nhấn OK.

c Tạo Central Access Policy

- Tiếp theo bạn cần tạo một Central Access Policy.

Central Access Policy là một tập hợp gồm một hay nhiều Central Access Rule dùng để áp đặt policy cho hệ thống.

Chúng ta sẽ tạo một Central Access Policy chứa Central Access Rule vừa tạo

- Ở khung Central Access Policies nằm ở góc bên phải, bạn chọn New, sau đó chọn Central Access Policy.

- Màn hình Create Central Access Policy, ở mục Name, bạn đặt tên Nhấn nút Add để thêm Central Access Rule vào Central Access Policy.

- Ở khung bên trái bạn chọn Rule, sau đó nhấn vào biểu tượng Add Rule Sau đó nhấn OK.

- Quay lại màn hình Create Central Access Policy, bạn kiểm tra lại Member Central Access Rules, sau đó nhấn OK.

d Link Central Access Policy vào Group Policy

Tiếp theo bạn cần đưa Central Access Policy vào Group Policy để áp đặt lên

OU chứa File Server (OU DAC theo ví dụ của bài LAB này)

- Bạn sẽ tạo một Group Policy Object tên là DAC Policy và link nó vào OU DAC Mở Group Policy Management, Bạn lần lượt bung Domains, sau đó

bungMCTHUB.LOCAL Chuột phải vào OU DAC, chọn Create a GPO in this domain, and Link it here…

- Cửa sổ New GPO, ở mục Name, bạn đặt tên là DAC Policy.

- Chuột phải vào DAC Policy vừa tạo, chọn Edit.

- Bạn tìm Policy theo đường dẫn sau: Computer

Configuration\Policies\Windows Settings\Security Settings\File System, chuột phải vào Central Access Policy, chọn Manage Central Access Policies.

- Bạn chọn Policy vừa tạo và nhấn nút Add Sau đó nhấn OK.

- Trên máy DC2012 và SERVER1 bạn nhập lệnh GpUpdate /Force để cập

nhật Policy

3/ Áp Central Access Policy vào Folder muốn phân quyền

- Trên máy SERVER1, chuột phải vào Folder BAOCAO, chọn Properties.

- Bạn nhấn vào nút Advanced.

- Qua tab Central Policy, bạn nhấn vào mục Change để chọn Central Access Policy đã tạo trước đó là Policy BAOCAO.

- Nhấn OK mọi hộp thoại xuất hiện.

4/ Kiểm tra

- Kiểm tra kết quả truy cập của từng User bằng chưc năng Effective Access Trên máy SERVER1, chuột phải vào thư mục BAOCAO, chọn Propreties Qua tabSecurity, nhấn nút Advanced rồi sang tab Effective Access Nhấn Select a user để chọn user cần kiểm tra.

- Chọn User nam để kiểm tra quyền truy cập của user này trên Folder

BaoCao

- Nhấn nút View effective access.

- Quan sát thấy User này có quyền truy cập vì thỏa mãn các điều kiện đã đưa ra trước đó (là thành viên của group MCTHUB và có thuộc

tính Department làKetoan)

- Tương tự bạn kiểm tra quyền của User khác, ví dụ user duy.

- Bạn sẽ thấy user này không có quyền truy cập vì không thỏa mãn điều kiện.

- Bây giờ bạn có thể kiểm tra kết quả ban đầu trên máy client Bật

máy CLIENT1 (nếu máy này đang bật sẵn thì bạn nên restart để bảo đảm máy này đã được áp đặt Policy Logon vào một trong các user trong, duy , hien truy cập vào folder BaoCao trên SERVER1.

- Việc truy cập sẽ thất bại.

- Trên máy CLIENT1, Logon user nam.

- Kiểm tra truy cập sẽ thành công

- Tiếp theo, tôi sẽ bổ sung điều kiện cuối cùng là bắt buộc các User thoả mãn điều kiện phải Logon trên các Client chỉ định (ví dụ CLIENT1) mới được phép truy cập.

- Trên máy DC2012, bạn tạo một group mới tên là PCsBaoMat, sau đó đưa máy CLIENT1 vào danh sách thành viên group này.

- Chỉnh sửa Central Access Rule để bổ sung điều kiện mới Chuột phải

vào Acces Rules, chọn Properties.

- Bạn nhấn vào nút Edit.

- Trong cửa sổ Advanced Security Settings for Current Permissions, bạn nhấn vào nút Edit.

- Chọn Add a condition để thêm điều kiện mới

- Qui định điều kiện mới như hình dưới Điều kiện mới bổ sung yêu cầu

về Device (máy tính) phải thuộc group PcsBaoMat Bạn nhấn vào nút Add Items.

- Ở mục Select this object type, chọn Computer or Group Sau đó bạn thêm PcsBaoMat vào.

- Nhấn OK tại tất cả các hộp thoại để xác nhận thay đổi.

- Trên máy DC2012 và SERVER1 cập nhật Policy.

- Bây giờ bạn restart máy SERVER1 và CLIENT1 để kiểm tra kết quả rằng

user nam chỉ có thể truy cập folder BaoCao nếu Logon trên máy CLIENT1

Trong các bài viết tới, tôi sẽ trình bày thao tác cấu hình DAC để phân loại dữ

liệu và phân quyền trên các dữ liệu đã phân loại, tích hợp DAC với AD RMS

để bảo vệ các tài liệu nhạy cảm trong doanh nghiệp

ẤU HÌNH DYNAMIC ACCESS CONTROL (DAC) TRÊN WINDOWS SERVER 2012 - PHẦN 2: PHÂN LOẠI DỮ LIỆU

•

•

купить ламинат

компьютерные игры купить онлайн

Category: WINDOWS SERVER

Written by Đồng Phương Nam

I- GIỚI THIỆU:

Trong phần này tôi sẽ trình bày thao tác tích hợp DAC với File Server Resource Manager để phân loại dữ liệu và phân quyền dựa theo dữ liệu đã được phân loại

Để thực hiện bài LAB này bạn phải thực hiện xong phần 1

II CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy:

- DC2012: Domain Controller chạy Windows Server 2012 (domain

mcthub.local)

- SERVER1: File Server chạy Windows Server 2012

- CLIENT1: Client chạy Windows 8

SERVER1 và CLIENT1 là 2 máy đã join domain mcthub.local

* Chuẩn bị:

- Trên máy SERVER1, tạo folder C:\DuLieu Chuột phải vào folder DuLieu, chọn Specific people.

- Bạn gán quyền Read/Write cho Everyone.

- Tạo 2 File TaiLieu1.txt và TaiLieu2.txt trong folder DuLieu.

- Bạn nhập vào nội dung giống như hình bên dưới cho cả 2 file

* Quy trình thực hiện:

1/ Cài đặt File Server Resource Manager

2/ Phân loại dữ liệu trên File Server Resource Manager

a Tạo Classification Rule

b Phân quyền cho group truy cập vào dữ liệu

c Tạo Central Access Policy

3/ Kiểm tra

III TRIỂN KHAI CHI TIẾT:

Mục đích của bài LAB là phân loại dữ liệu theo công ty dựa vào nội dung dữ

liệu Dữ liệu nào nội dung có từ "MCTHUB" sẽ là dữ liệu của công ty MCTHUB

và chỉ được truy cập bởi thành viên của công ty này

1/ Cài đặt File Server Resource Manager

- Trên máy SERVER1, cài đặt File Server Resource Manager để hỗ trợ phân

loại dữ liệu

- Màn hình Select installation type, bạn chọn Role-based or feature-based installation.

- Màn hình Select destination server, bạn chọn Select a server from the server pool.

- Màn hình Select server roles, bạn đánh dấu chọn vào ô File Server Resource Manager.

- Các bước còn lại, bạn nhấn Next và cài đặt theo mặc định Màn hình Confirmation installation selections, bạn nhấn Install để cài đặt.

- Sau khi cài đặt xong, bạn vào menu Tools, chọn File Server Resource Manager và khảo sát mục Classification Properties (các thuộc tính để phân

loại)

- Trong cửa sổ File Server Resource Manager, ở khung bên trái, bạn bung mục Classification Management, chọn Classification Properties.

- Qua máy DC2012, mở Active Directory Administrative Center

Chọn Dynamic Access Control - Resource Properties Bạn sẽ thấy DAC hỗ trợ

các thuộc tính bổ sung cho dữ liệu Ở đây do tôi muốn phân loại dữ liệu theo công ty nên tôi sẽ chọn thuộc tính Company để phân loại Muốn sử dụng

thuộc tính nào bạn cầnEnable thuộc tính đó lên, tuy nhiên muốn Enable bạn cần gán các giá trị đề nghị (Suggested Value) cho thuộc tính đó Trong ví dụ này tôi sẽ gán 2 Suggested Value là "MCTHUB" và "ITAHUB" cho thuộc

tính Company.

- Chuột phải vào Company, chọn Properties.

- Kéo xuống khung Suggested Values và nhấn nút Add.

- Bạn lần lượt thêm 2 giá trị MCTHUB và ITAHUB.

- Nhấn OK để xác nhận thay đổi.

- Bây giờ bạn có thể Enable thuộc tính Company.

- Qua máy SERVER1 cập nhật policy.

- Mở File Server Resource Manager cập nhật thuộc tính, chuột phải vào Classification Properties, chọn Refresh.

- Bạn sẽ thấy xuất hiện thuộc tính mới để phân loại là Company.

2/ Phân loại dữ liệu trên File Server Resource Manager

a Tạo Classification Rule

- Trên SERVER1, chuột phải vào Classification Rules, chọn Create Classification Rule.

- Trong Tab General bạn đặt tên tùy ý cho Classification Rule.

- Trong tab Scope bạn Add thư mục cần phân loại vào là thư mục C:\DuLieu.

- Trong tab Classification, tiến hành phân loại dữ liệu bằng cách đặt thuộc tính Company là MCTHUB dựa vào nội dung dữ liệu Nhấn nút Configure để

qui định nội dung

- Ở đây tôi qui định những dữ liệu nào có từ MCTHUB trong nội dung để được

phân loại

- Trong tab Evaluation Type, bạn đánh dấu chọn vào ô Re-evaluate existing property value, sau đó chọn ô Overwrite the existing value Nhấn OK để tạoClassification Rule.

- Bạn có thể lập lịch cho Classification Rule này chạy vào thời điểm mà bạn muốn bằng cách cấu hình Schedule cho Classification Rule Chuột phải vàoClassification Rules, chọn Configure Classification Schedule.

- Bạn có thể thiết lập cho Classification Rule tự động chạy vào 7:40 tối vào

tất cả các ngày trong tuần

- Tuy nhiên, bạn cũng có thể chạy Classification Rule ngay lập tức để tiến

hành kiểm tra kết quả ngay mà không cần đợi đến thời điểm xác định

- Trong cửa sổ Run Classification, bạn chọn ô Wait for classification to

complete.

- Chờ đợi quá trình phân loại trong giây lát

- File Server Resource Manager sẽ mở một Report thống kê quá trình phân

loại Khảo sát report này bạn sẽ thấy File Server Resource Manager đã phân

loại được 1 file là TaiLieu1.txt do nội dung file này có chuỗi "MCTHUB" Sau

khi khảo sát xong bạn đóng report này lại để tiếp tục

- Kiểm tra kết quả phân loại bằng cách vào trang Properties của từng File

(TaiLieu1.txt và TaiLieu2.txt), sau đó qua tab Classification Bạn sẽ thấy fileTaiLieu1.txt có thuộc tính Company là MCTHUB, file TaiLieu2.txt có thuộc tính Company là None.

b Phân quyền cho group truy cập vào dữ liệu

- Tiếp theo tôi sẽ phân quyền cho group MCTHUB truy cập vào dữ liệu có thuộc tính Company là MCTHUB Sang máy DC2012 tạo một Central Access Rule để chỉ định điều kiện