Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用动态访问控制( DAC )概述确保文件访问安全

贡献者

您可以使用动态访问控制来保护访问安全,也可以在 Active Directory 中创建中央访问策略,并通过已应用的组策略对象( GPO )将这些策略应用于 SVM 上的文件和文件夹。您可以配置审核,以便在应用对中央访问策略所做的更改之前,使用中央访问策略暂存事件查看这些更改的影响。

CIFS 凭据的附加项

在动态访问控制之前, CIFS 凭据包括安全主体(用户)的身份和 Windows 组成员资格。通过动态访问控制,凭据中又添加了三种类型的信息:设备标识,设备声明和用户声明:

  • 设备标识

    模拟用户的身份信息,但用户登录设备的身份和组成员资格除外。

  • 设备声明

    有关设备安全主体的断言。例如,设备声明可能是它是特定 OU 的成员。

  • 用户声明

    有关用户安全主体的断言。例如,用户声明可能是其 AD 帐户是特定 OU 的成员。

中央访问策略

通过文件的中央访问策略,组织可以使用用户组,用户声明,设备声明和资源属性集中部署和管理包括条件表达式在内的授权策略。

例如,要访问对业务影响较高的数据,用户必须是全职员工,并且只能从受管设备访问数据。中央访问策略在 Active Directory 中定义,并通过 GPO 机制分发到文件服务器。

具有高级审核功能的中央访问策略暂存

中央访问策略可以是 " stated " ,在这种情况下,在文件访问检查期间会以 "`what - if` " 的方式对其进行评估。如果策略有效,会发生什么情况以及这与当前配置有何不同,则会将结果记录为审核事件。通过这种方式,管理员可以使用审核事件日志来研究访问策略更改的影响,然后再实际应用该策略。在评估访问策略更改的影响后,可以通过 GPO 将此策略部署到所需的 SVM 。

相关信息

支持的 GPO