Архив рубрики: Dynamic Access Control

#MCPClub: 4 апреля

4 апреля в офисе Microsoft на крылатском состоится мой очередной доклад. Тема: Dynamic Access Control.

Более подробный анонс тут: http://ineta.ru/moscowmcp/Meeting/2013-04-04-19-00

Регистрация там же.

Так как я тут немного болел, то презентация будет предельно короткая, зато я повторю несколько проагрейженную версию лабы с #RutechEd. А если у кого-то есть конкретные пожалания к показу, то высказывайте: постараюсь исполнить.

Реклама

#RutechEd: Отвечаю на вопросы, часть II

imageНу и последние два заданные мне вопроса.

1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:

i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)

ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.

2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?

Я задал вопрос Васе Гусеву. Слегка купированный ответ:

“1. Оркестратором можно всё (что можно как то еще ;)). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.

——-

лирика

———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”

Так что ответ: “да, но нафиг нужно” =)

З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit Winking smile

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

— Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile