Home Artigos Windows Server League Dynamic Access Control passo a passo

Dynamic Access Control passo a passo

logo-MSFTserver-100x100


O Windows Server 2012 oferece uma alternativa para o controle de acesso atual para arquivos em nível de diretório ou grupo com uma nova abordagem complementar: Vamos conhecer e implementar o controle de acesso dinâmico (DAC).

Para  implementar de maneira eficaz o DAC no Windows Server 2012 é necessário ter em mente um cenário de aplicação.
Neste ambiente no meu domínio contoso.com vamos definir que arquivos classificados como “Confidenciais” serão acessados somente por “Gerentes” desde que as estações façam parte do grupo de segurança “ITManageComputers

Vamos também definir que as pastas de Projeto serão acessadas somente pela equipe de projetos.

 



 

Criar um GPO para configurar o KDC e Preparar o ambiente do Active Directory

 

Habilite a politica KDC Support for Claims, compund authentication and KerberosArmoring

image

 

Esta configuração de política permite que você configure um controlador de domínio para suportar as reivindicações e autenticação para o DAC e também o Kerberos armoring usando a autenticação Kerberos.

 

+ No PowerShell do controlador de dominio do Active Directory crie um grupo chamado ITManageComputers

New-ADGrgereoup -Name ITManageComputers -GroupCategory Security -GroupScope Global  -DisplayName ITManageComputers

 

Crie um grupo chamado Gerentes

New-ADGroup -Name Gerentes -GroupCategory Security -GroupScope Global  -DisplayName Gerentes

 

+ Crie uma OU chamada DAC – Adicione nessa OU os computadores que farão parte do Dynamic Access Control

New-ADOrganizationalUnit -Name DAC

 

+ Crie uma OU chamada Gerentes de TI – Adicione aos menos dois usuários que serão serão gerentes de TI nesse cenário e note que o atributo Department deve ser atribuído corretamente.

 

New-ADOrganizationalUnit –Name “Gerentes de TI“

New-ADUser "BillGates" -Path "OU=Gerentes de TI,DC=Contoso,DC=com" -Department "Gerente"

New-ADUser "SteveBallmer" -Path "OU=Gerentes de TI,DC=Contoso,DC=com" -Department "Gerente"

 

+ Adicione os gerentes ao grupo de gerentes

Get-ADUser -Filter * -SearchBase "ou=gerentes de ti, dc=contoso,dc=com" | Add-ADPrincipalGroupMembership -MemberOf Gerentes

 

+ Crie uma OU chamada Projetos

New-ADOrganizationalUnit -Name Projetos

New-ADUser "SteveWoz" -Path "OU=Projetos,DC=Contoso,DC=com" -Department "Projetos"

 

+ Coloque os computadores que estão na OU DAC como membro do grupo ITManageComputers

image

 

 

CONFIGURANDO O DAC

 

+ Abra o Administrative Center no Active Directory e selecione o modo de visualização em “Arvore” para facilitar as configurações..

image

 

 

CLAIM TYPES

No Painel da esquerda em “Dynamic Access Control” selecione Claim Types.

Clique com o lado direito, New > Claim Types

Selecione Department, forneça um nome e descrição e clique em OK

Não se esqueça de marcar a caixa para usuários e computadores.

image

 

 

Repita a operação agora com o tributo description, selecionando apenas o “Computador”.

image

 

RESOURCE PROPERTIES

No Painel da esquerda em “Dynamic Access Control” selecione Resource Properties

Selecione “Department” e Habilite

Habilite também Confidentiality

image

 

Abra “Department” e adicione “Projetos” em “Valores Sugeridos”

image

 

 

RESOURCE PROPERTIES LISTS

Para esse tipo de configuração, devemos apenas nos certificar que essas duas propriedades estão presentes em Global Resource Property Lists, mas quando você criar alguma propriedade especifica, você deve adicionar manualmente na lista de propriedades.

 

CENTRAL ACCESS RULES

 

Neste ponto será criada uma regra de acesso com base nas seguintes configurações:

  • Nome da Regra : Regra Projetos
  • Target Resource : (Resource.Department Equals "Projetos")
  • Permissão: Permitir modificar para (User.Departamentos Equals Resource Department)

No Painel da esquerda em “Dynamic Access Control” selecione Central Access Rules.

Clique com o lado direito, New > Central Access Rules

Em Target Resources clique em Edit.

 

image

 

 

image

Em Permissions clique em Editar remova o administração e adicione o grupo Authenticated Users.

 

image

 

Neste ponto será criada uma regra de acesso com base nas seguintes configurações:

Como implantar classificação de arquivos. http://technet.microsoft.com/pt-br/library/hh831672.aspx

  • Nome da Regra : Documentos Confidenciais
  • Target Resource : (Resource.Confidentiality Equals High)
  • Permissão: Permitir modificar para  (User.Grupo Equals Gerente e Device.Grupo Equals ITManagerComputer)

No Painel da esquerda em “Dynamic Access Control” selecione Central Access Rules.

Clique com o lado direito, New > Central Access Rules

Em Target Resources clique em Edit.

 

image

 

Em Permissions clique em Editar remova o administração e adicione o grupo Authenticated Users.

image

 

 

CENTRAL ACCESS POLICIES

 

Neste ponto será criada uma regra de acesso com base nas configurações criadas

 

Clique em Central Access Policies e crie um politica chamada “Documentos confidenciais” e adicione a regra “Documentos Confidenciais”.

 

image

image

 

Repita a operação criando uma nova politica chamada “Controle de Acesso a projetos” e adicione a regra “Regra Projetos”.

 

Publicando a politica de Dynamic Access via GPO

 

Crie uma GPO e configure e politica em
Computer Configuration \ Windows Settings \ Security Settings \ File System \ Central Access Policy

image

 

Ainda editando a GPO defina um controle de acesso negado onde os usuários possam solicitar acesso aos arquivos no qual ele receber acesso negado.

 

image

 

 

Nas propriedades da pasta ou arquivo acesse “Propriedades > Security > Advanced > Central Access Policy e selecione a politica de DAC desejada.

 

 

image

 

Teste com as contas criadas anteriormente neste artigo

 

 

Este post é oferecido por Microsoft Windows

Para mais informações sobre o Windows Server 2012, acesse: http://clk.atdmt.com/MBL/go/425208471/direct/01/






Última atualização (Sex, 14 de Junho de 2013 14:35)

 


Artigos relacionados:

Powered By relatedArticle

World's Top Web Hosting providers awarded and reviewed. Find a reliable green hosting service, read greengeeks review