Konfiguracja Direct Access Control - Systemy serwerowe  Udostępnij na: Facebook

  • Artykuł

Autor: Krzysztof Zdrojewski

Opublikowano: 2012-10-10

Przed przeczytaniem tego artykułu, powinieneś posiadać wiedzę na temat:

  • Microsoft Active Directory,
  • MMC,
  • Konfiguracji GPO,
  • Zarządzaniu Microsoft Windows 2008/2008 R2.

Implementacja

W poprzednim artykule zostały skonfigurowane elementy logiczne Active Directory, odpowiedzialne za działanie mechanizmu DAC. W tym, przedstawione zostaną procedury i mechanizmy konfiguracyjne DAC od strony fizycznej infrastruktury. System Microsoft Windows przynosi wiele nowości i ulepszeń: dodanie do obiektów GPO możliwości konfiguracji polityk DAC, czy też dodanie nowego typu obsługi autentykacji, tzw. żądań.  

Do pełnej konfiguracji mechanizmów DAC pozostały trzy zadania do zrealizowania:

  • utworzenie i konfiguracja obiektu GPO, odpowiedzialnego za implementację polityki DAC,
  • konfiguracja kontrolerów domeny do obsługi wysyłanych żądań,
  • ustawienie parametrów folderów tak, aby polityka była implementowana prawidłowo,

Zadania te zostaną wykonane na kontrolerze domeny W2k12-DC01 i serwerze plików W2K12-SRV.

Utworzenie i konfiguracja obiektu GPO, odpowiedzialnego za implementację polityki DAC

  1. Zaloguj się na kontroler domeny W2K12-DC01 i uruchom narzędzie GroupPolicyManagement.
  2. Przejdź do jednostki organizacyjnej, zawierającej serwery plików:
  • kliknij prawym klawiszem myszy na obiekcie OU i wybierz opcję Create a GPO in this domain i Link it here,
  • w oknie NewGPO wpisz nazwę GPO_DAC_PolitykaFinansowa i kliknij OK. Powinien zostać utworzony obiekt, tak  jak przedstawiono na Rys. 1.

Struktura GPO

Rys. 1. Struktura GPO.

  1. Ustawienie opcji zarządzania politykami dostępu:
  • kliknij prawym klawiszem myszy na obiekcie GPO_DAC_PolitykaFinansowa i wybierz opcję Edit,
  • w oknie GroupPolicyManagementEditor przejdź do ComputerConfiguration, rozwiń Policies, następnie WindowsSettings i SecuritySettings,
  • rozwiń FileSystem, kliknij prawym klawiszem na CentralAccessPolicy i wybierz ManageCentralaccessPolicies,
  • w oknie Central Access Policies Configuration kliknij dwukrotnie politykę PolitykaDepartamentuFinansowego, a następnie OK (Rys. 2.),

Konfiguracja obiektu GPO pod DAC

Rys. 2. Konfiguracja obiektu GPO pod DAC.

  • przewiń do Advanced Audit Policy Configuration i rozwiń ją,
  • rozwiń Audit Policies i wybierz Object Access,
  • klinij dwukrotnie na Audit Central Access Policy Staging i zaznacz opcję Configure the following audit events, a następnie zaznacz Success i Failure. Wciśnij OK,
  • powyższy krok powtórz dla opcji Audit File System.
  1. Zamknij edytor GPO. Polisa dostępowa została dodana do obiektu GPO.

Konfiguracja kontrolerów domeny do obsługi wysyłanych żądań

Aby kontroler domeny był w stanie odpowiadać na wysyłane do niego żądania, musi najpierw zostać do tego skonfigurowany.

  1. Na kontrolerze domeny W2K12-DC01 otwórz GroupPolicyManagement, a następnie kontroler DomainControllers.
  2. Kliknij prawym klawiszem myszy na DefaultDomainControllersPolicy i wybierz Edit.
  3. W edytorze GPO rozwiń Computer Configuration, Policies, AdministrativeTemplates, SystemKDC.
  4. Dwukrotnie kliknij na KDC support for claims, compound authentication and Kerberos armoring. W otwartym oknie kliknij Enabled i wybierz Supported z rozwijalnej listy Options.
  5. Zamknij narzędzie Group Policy Editor.
  6. Uruchom linię poleceń i wpisz gpupdate/force.

 

Konfiguracja serwerów plików

Ostatnią czynnością, jaką należy wykonać, aby w pełni skonfigurować Direct Access Control, jest odświeżenie ustawień na serwerze i konfiguracja folderów.

  1. Zaloguj się na serwerze plików WIN-SRV01 z uprawnieniami lokalnego administratora.
  2. W uprzywilejowanym trybie linii poleceń wpisz gpupdate/force.
  3. Ponadto, należy również odświeżyć ustawienia Global Resource Properties z Active Directory. W tym celu:
  • uruchom konsolę File Server Resource Manager,
  • wybierz pozycję FileClassificationManagement, kliknij prawym klawiszem ClassificationProperties i wybierz Refresh.
Wskazówka

Podobnie można skorzystać z PowerShella:

  • uruchom uprzywilejowany tryb konsoli PowerShell,
  • wpisz polecenie Update-FSRMClassificationpropertyDefinition.
  1. Otwórz Windows Explorator i przejdź do folderu C:\SharedDoc.
  2. Kliknij prawym klawiszem myszy folder DepartamentFinansowy i wybierz Properties, a następnie wybierz zakładkę Classification:
  • kliknij Kraj i w polu Value ustaw PL,
  • kliknij Departament i w polu Value ustaw Finansowy,
  • zatwierdź zmiany.
  1. Na zakładce Security kliknij Advanced. W otwartym oknie kliknij zakładkę Central Policy.
  2. Kliknij Change i wybierz z rozwijalnego menu PolitykaDepartamentuFinansowego, a następnie Apply.

Podsumowanie

W tym artykule zostały przedstawione procedury odnoszące się do konfiguracji fizycznych komponentów dostępu do danych. Zaimplementowano obsługę żądań na kontrolerze domeny oraz skonfigurowano serwer plików do obsługi żądań. Ponadto, skonfigurowano zasoby dyskowe, poprzez ustawienie parametrów klasyfikacji, oraz skonfigurowano politykę dostępową.