O Windows Server 2012 oferece uma alternativa para o controle de acesso atual para arquivos em nível de diretório ou grupo com uma nova abordagem complementar: Vamos conhecer e implementar o controle de acesso dinâmico (DAC).
Para implementar de maneira eficaz o DAC no Windows Server 2012 é necessário ter em mente um cenário de aplicação.
Neste ambiente no meu domínio contoso.com vamos definir que arquivos classificados como “Confidenciais” serão acessados somente por “Gerentes” desde que as estações façam parte do grupo de segurança “ITManageComputers”
Vamos também definir que as pastas de Projeto serão acessadas somente pela equipe de projetos.
Criar um GPO para configurar o KDC e Preparar o ambiente do Active Directory
+ Habilite a politica KDC Support for Claims, compund authentication and KerberosArmoring
Esta configuração de política permite que você configure um controlador de domínio para suportar as reivindicações e autenticação para o DAC e também o Kerberos armoringusando a autenticação Kerberos.
+ No PowerShell do controlador de dominio do Active Directory crie um grupo chamado ITManageComputers
New-ADGrgereoup -Name ITManageComputers -GroupCategory Security -GroupScope Global -DisplayName ITManageComputers
+ Crie um grupo chamado Gerentes
New-ADGroup -Name Gerentes -GroupCategory Security -GroupScope Global -DisplayName Gerentes
+ Crie uma OU chamada DAC – Adicione nessa OU os computadores que farão parte do Dynamic Access Control
New-ADOrganizationalUnit -Name DAC
+ Crie uma OU chamada Gerentes de TI – Adicione aos menos dois usuários que serão serão gerentes de TI nesse cenário e note que o atributo Department deve ser atribuído corretamente.
New-ADOrganizationalUnit –Name “Gerentes de TI“
New-ADUser “BillGates” -Path “OU=Gerentes de TI,DC=Contoso,DC=com” -Department “Gerente”
New-ADUser “SteveBallmer” -Path “OU=Gerentes de TI,DC=Contoso,DC=com” -Department “Gerente”
+ Adicione os gerentes ao grupo de gerentes
Get-ADUser -Filter * -SearchBase “ou=gerentes de ti, dc=contoso,dc=com” | Add-ADPrincipalGroupMembership -MemberOf Gerentes
+ Crie uma OU chamada Projetos
New-ADOrganizationalUnit -Name Projetos
New-ADUser “SteveWoz” -Path “OU=Projetos,DC=Contoso,DC=com” -Department “Projetos”
+ Coloque os computadores que estão na OU DAC como membro do grupo ITManageComputers
CONFIGURANDO O DAC
+ Abra o Administrative Center no Active Directory e selecione o modo de visualização em “Arvore” para facilitar as configurações..
CLAIM TYPES
No Painel da esquerda em “Dynamic Access Control” selecione Claim Types.
Clique com o lado direito, New > Claim Types
Selecione Department, forneça um nome e descrição e clique em OK
Não se esqueça de marcar a caixa para usuários e computadores.
Repita a operação agora com o tributo description, selecionando apenas o “Computador”.
RESOURCE PROPERTIES
No Painel da esquerda em “Dynamic Access Control” selecione Resource Properties
Selecione “Department” e Habilite
Habilite também Confidentiality
Abra “Department” e adicione “Projetos” em “Valores Sugeridos”
RESOURCE PROPERTIES LISTS
Para esse tipo de configuração, devemos apenas nos certificar que essas duas propriedades estão presentes em Global Resource Property Lists, mas quando você criar alguma propriedade especifica, você deve adicionar manualmente na lista de propriedades.
CENTRAL ACCESS RULES
Neste ponto será criada uma regra de acesso com base nas seguintes configurações:
- Nome da Regra : Regra Projetos
- Target Resource : (Resource.Department Equals “Projetos”)
- Permissão: Permitir modificar para (User.Departamentos Equals Resource Department)
No Painel da esquerda em “Dynamic Access Control” selecione Central Access Rules.
Clique com o lado direito, New > Central Access Rules
Em Target Resources clique em Edit.
Em Permissions clique em Editar remova o administração e adicione o grupo Authenticated Users.
Neste ponto será criada uma regra de acesso com base nas seguintes configurações:
Como implantar classificação de arquivos. http://technet.microsoft.com/pt-br/library/hh831672.aspx
- Nome da Regra : Documentos Confidenciais
- Target Resource : (Resource.Confidentiality Equals High)
- Permissão: Permitir modificar para (User.Grupo Equals Gerente e Device.Grupo Equals ITManagerComputer)
No Painel da esquerda em “Dynamic Access Control” selecione Central Access Rules.
Clique com o lado direito, New > Central Access Rules
Em Target Resources clique em Edit.
Em Permissions clique em Editar remova o administração e adicione o grupo Authenticated Users.
CENTRAL ACCESS POLICIES
Neste ponto será criada uma regra de acesso com base nas configurações criadas
Clique em Central Access Policies e crie um politica chamada “Documentos confidenciais” e adicione a regra “Documentos Confidenciais”.
Repita a operação criando uma nova politica chamada “Controle de Acesso a projetos” e adicione a regra “Regra Projetos”.
Publicando a politica de Dynamic Access via GPO
Crie uma GPO e configure e politica em
Computer Configuration \ Windows Settings \ Security Settings \ File System \ Central Access Policy
Ainda editando a GPO defina um controle de acesso negado onde os usuários possam solicitar acesso aos arquivos no qual ele receber acesso negado.
Nas propriedades da pasta ou arquivo acesse “Propriedades > Security > Advanced > Central Access Policy e selecione a politica de DAC desejada.
Teste com as contas criadas anteriormente neste artigo
- Artigo migrado – 1903 acessos até a data 01/10/2015
Seja o primeiro a comentar