DAC (DynamicAccessControl)
의 동적 액세스 제어를 구성하는 다른 부분을 살펴 보자. 첫 번째는 클레임 유형이 될 것입니다. 당신이 청구 유형을 작성했습니다 자, 일단, 당신은 그 자원의 특성에 그것을 넣어. 자원 속성은 자원 목록으로 이동합니다. 그리고 우리는 몇 가지 더 조각, 중앙 액세스 규칙 및 중앙 액세스 정책을 가지고있다. 우리는 Active Directory의 서로 다른 조각 하나 하나를 단계별로 것입니다.
그래서, 우리는이 액세스하는 방법을 살펴 보자. 우리는 우리의 도메인 컨트롤러에 있고 우리는 서버 관리자에있어. 자, 도구 메뉴까지 가자와의이 Active Directory 관리 센터라는 작은 알려진 거의 사용, Active Directory의 도구로 가자. 당신은 미래의 윈도우 서버의 새로운 버전이의 더 많이 보게 될 것입니다. 그래서, 왼쪽에, 당신은 동적 액세스 제어이라는 것을 보게 될 것입니다. 이제 가서 그 클릭하자. 이제, 우리는 우리가 이야기하는 다섯 개 조각을 볼 수 있지만, 그들은 우리가 논의 위해 아니에요.
이제, 우리는이 다섯 가지 중 하나를 사용하여 구성 할 수 있습니다 전에, 우리는 Kerberos를 무장화를 켜있어. Kerberos는 윈도우 서버가 사용하는 우리가 동적 액세스 제어 작업을하기 위해 필요한 거라고 오픈 소스 인증 도구입니다. 그래서 우리는 그룹 정책 변경을 포함한 것들 하나 하나를 통해 단계 것입니다.
이제 우리는 클레임 유형으로 시작하여이를 설정하는 방법에 대해 살펴 보겠습니다. 우리가이 일을 시작하기 전에, 우리는 그룹 정책 관리자로 이동 및 Kerberos 인식에 설정해야합니다. 그리고 지금 우리는 도구 및 그룹 정책 관리에 들어갈 것입니다.
그래서 여기에서 우리는 도메인 컨트롤러를 변경 한 도메인 컨트롤러 정책 기본 할 필요가있다. 그래서 우리는 그냥 가서 해당 정책을 마우스 오른쪽 버튼으로 클릭하고 편집을 선택할 수 있습니다.
의 컴퓨터 섹션에서 시작하고 여기에서 우리가 정책에 갈거야 보자. 그리고 정책 이후 우리는 관리 템플릿에 갈 것입니다.
템플릿 후, 우리는 시스템에 갈거야 물론 시스템의 많은 여기에있다. 당신은 ... KDC에 바로 가서 그것을 확장 ... 그리고 우리는 클레임, 복합 인증 및 Kerberos 철갑에 대한 KDC 지원을위한 살펴 보겠습니다 수 있습니다. 그래서 두 번 클릭하고 우리는 사용을 선택하는 것입니다. 그리고 지원 말한다 있는지 확인합니다. 그리고 적용을 클릭합니다. 그리고 우리가 확인을 클릭 할 수 있습니다.
그 후 우리는 우리의 그룹 정책 관리 편집기와 우리의 그룹 정책 관리를 닫 것입니다. 이제 우리는 그룹 정책을 변경 한 것으로, 이제 다시 서버 관리자로 가자, 우리의 도구 메뉴로 돌아가서 Active Directory 관리 센터를 선택합니다. 우리가 우리의 관리 센터에 들어가면, 이제 다시 한 번 동적 액세스 제어를 클릭하자 다음 클레임 유형을 클릭합니다. 이제 우리는 부서 청구 유형을 만들 것입니다.
단지 마우스 오른쪽 단추로 클릭하고 새 클레임 유형을 선택합니다.
그리고 여기에서 당신은 당신이 선택하고 편집 할 수있는 사전 클레임 유형의 목록이 표시됩니다.
그리고 우리는 마우스 오른쪽 버튼을 클릭에 가서 "부서"사용을 선택하고 있습니다. 그리고 우리는 속성에 갈 것입니다. 아래쪽에, 우리는 다음과 같은 값을 제안하고 있다고 말했습니다 확인란을 선택하는 것입니다. 그냥 가서는 제안 된 값을 말한다 곳 무시합니다.
여기에서 우리는 임원에 넣어 것입니다. 그건 왜냐하면 우리의 기밀 파일에 액세스 할거야 사람. 우리는 가치에 넣어거야 : 임원을. 그리고 표시 이름 : 임원. 아주 좋은.
지금 당신은 화면, 사용자의 우리의 중간 부분에서 볼 수 및 컴퓨터가 선택됩니다. 이 주장에 의해 영향을받을 선택할 수있는 당신이 원하는 선택해야합니다. 우리는 단지 그것을 부서에 관해서 감각을 만드는 일이 있기 때문에 사용자를 선택하는 것입니다.
이제 가서 확인을 클릭하자. 좋아, 우리의 주장 유형 준비
우리는 다시 서버 관리자에서 우리의 도메인 컨트롤러이며, 여기에서 우리는 우리의 도구 메뉴로 가서 Active Directory 관리 센터를 열 것입니다. 왼쪽에 당신은 동적 액세스 제어를 볼 수 있습니다 때 우리는 우리가 동적 액세스 제어 우리의 다섯 개 가지 역할을 볼 수 있음을 클릭합니다. 앞서 우리는 지금 우리가 자원 속성 볼거야, 클레임 유형을 처리했다. 그럼 자원 속성을 더블 클릭하자, 당신은 미리 정해진 자원 등록 정보의 전체 무리를 볼 수 있습니다.
이러한 리소스 속성 당신은 새로 만들 수 있습니다, 편집 할 수 있습니다. 이 비밀의 우리의 특정 데모에 관해서 특히 나는 이미 여기에있는 것을 사용하고 싶다. 그래서 우리는 무슨 일을하는지 우리가 그렇게 기밀이라는 단어가있는 모든 문서 만 임원 그룹에 의해 열 수 있습니다 만들려고하고 있습니다. 그래서, 그것을 두 번 클릭하여 비밀을 살펴 보겠습니다. 그리고 우리는이 특별한 비밀 자원에 이미 모든 다른 설정을 볼 수 있습니다.
그래서 우리는 우리가 할 일은 단지 활성화되어 우리를 위해 너무 완벽 설정 있기 때문에, 그것이이 단지 길을 떠날 것입니다. 그럼 취소 가서 클릭하자, 마우스 오른쪽 단추로 클릭하고 사용을 선택합니다. 우리가 사용할 수 있는지 알 수 있도록, 작은 도트, 있던 검은 점은 지금이 사라진 것을 볼 수 있습니다. 우리가 새로 이동 및 자원 속성에 가서, 우리는 우리의 기준에 맞는 것입니다 우리가 넣고 싶은 특정 일에 넣어 처음부터까지 하나를 설정할 수 수에 우리가 원한다면.
당신은 또한 날짜 및 시간 등의 모든 다른 옵션으로 단일 값 선택에서 변경할 수 있습니다, 번호가, 멀티가 값, 예 또는 아니오, 모든 다른 것들은 사람이 파일이나하지에 액세스 할 수 있는지 여부를 확인하는 데 도움이 될 수 있습니다. 우리는 또한 추가를 클릭하고 추가 값을 선택하고 확인을 클릭 할 수 있습니다. 그러나 우리는 우리가 갈 우리의 비밀 자원 속성이 준비가 가지고 있기 때문에, 가서이 취소 될 것입니다.
우리는 또한 파일 서버 리소스 관리자를 설치하는 것입니다. 이것은 우리가 우리의 중앙 액세스 규칙과 정책을 만들 때 우리가 파일을 분류 할 수 있습니다.
우리는 우리 도메인 컨트롤러에 대한 우리의 서버 관리자입니다, 그래서 가서 역할 및 기능을 추가 할 수 있습니다. 우리는 다음, 다음, 다음을 클릭합니다. 이제 파일 및 저장소 서비스를 확장 할 수 있습니다. 여기에서 우리는 파일 서버 리소스 관리자를 찾고 있습니다. 그것을 클릭하고 관련 기능을 추가 할 수 있습니다. 다음, 다음, 및 설치합니다.
그래서 파일 서버 리소스 관리자는 우리가 파일을 분류 할 수있는 기능입니다 줄 것이다, 그래서 우리는 그래서 우리의 경영진은 이러한 파일에 액세스 할 수있는 유일한 사람이 될 수 기밀있는 파일을 말할 수있다.
우리는 우리의 설치를 성공했다, 그래서 우리는 그것을 닫을 것 같은데. 그리고 우리는 가서 파일 서버 리소스 관리자를 열 수 있습니다. 이제 우리는 분류 관리를 선택하는이 거 사용이야. 하지만 지금의 앞서 닫습니다 FSRM 가자와의 우리의 도구, Active Directory 사용자 및 컴퓨터를 살펴 보자. 그래서 우리는 임원을 작성해야합니다. 이제 우리는 임원 그룹을 만들 거 아닙니다. 우리는 경영진에있는 것으로 조직 아래에있는 속성을 가진 사용자를 만들 것입니다.
그럼 가서 새로운, 사용자를 선택할 수 있도록, 우리는이 사람의 보스를 호출 할 수 있습니다. 그리고 로그온 보스가 될 것입니다, 우리는 다음을 클릭합니다. 그리고 우리는 우리의 보스에 대한 우리의 비밀번호에 넣어 것입니다. 그리고 다음, 마침을 선택합니다. 이제 보스를 클릭하고 조직으로 이동 배가 할 수 있습니다.
우리가 이전 비디오에서 청구 유형으로 생성 부서에서, 우리는 가서 임원에 넣어하고 적용을거야. 이제 가서 최소화하고, 지금 우리가 우리의 도구 및 Active Directory 관리 센터에 갈거야, 우리는 우리의 재산 목록을 완료 할 수 있습니다.
새로운, 자원 속성 목록을 선택의 부동산 목록을 더블 클릭하자. 이제 우리는 우리의 목록에있는 걸, 이제 가서이 특정 목록 기밀를 호출 할 수 있습니다. 그리고 이전에, 우리는 적극적으로 나서서 비밀 자원 속성을 활성화. 그래서 거기입니다. 이제 가서 오른쪽에있는 추가를 클릭하자 확인을 클릭하고 확인을 클릭 한 지금 우리는 우리의 모든 자원 속성 목록으로 설정하고 있습니다.
이제 다시 우리의 서버에 가서 우리의 액세스 규칙을 만들 수 있습니다. 우리는 Active Directory 관리 센터에서 다시 우리의 서버에 있습니다. 그리고 우리는 중앙 액세스 규칙을 만들 것입니다. 그럼 가서하자 규칙을 두 번 클릭합니다. 그리고 여기에서, 우리는 가서 중앙 액세스 규칙이라는 새 규칙을 만들 것입니다.
그리고 우리는 기밀 규칙을 호출하는 것입니다.
이제, 우리는 아래로는 대상 자원을 말한다 곳으로 이동하고 편집을 클릭하는 것입니다. 여기에서, 우리는 조건을 추가 할 것입니다. 조건은 우리가 우리의 재산 목록에서 이전에 만든 우리의 비밀에서 우리의 자원은, 고의 가치를 동일하게가는 것을 주장 할 것이다. 의 확인을 클릭하자.
이제 우리는 권한에 가서 것입니다. 그리고 당신은 이미 관리자에 대한 권한을 거기에 볼 수 있습니다.
당신은 당신이 관리자 그룹이있는 관리자를 유지하거나 제거 할 것인지 여부를 선택할 수 있습니다. 그러나 이제 가서 교장을 선택하여 우리의 임원을 추가 할 수 있습니다. 확인을 클릭합니다. 그리고 우리는 우리의 임원 모든 권한을 줄 것이다. 이제 우리는 클릭 조건을 추가합니다. 우리는 사용자를 가지고, 우리는 그룹이있다. 그리고 우리는 부서에 값 임원이 같 변경하는 것입니다.
이제 우리는 확인을 클릭합니다. 그리고 우리는 적용을 클릭합니다. 그리고 다시 확인. 그리고 확인을 클릭합니다. 이제 우리는 우리의 중앙 액세스 규칙을 만들었습니다. 그리고 우리는 Polic에이 규칙을 적용하는 것입니다. 그리고 우리는 우리의 임원들이 문서의 단어 "기밀"가 어떤 문서에 필요한 액세스 권한이 있는지 확인하는 것입니다.
우리는 우리가 단지 경영진 텍스트 어딘가에 비밀 이름을 가진 파일을 액세스 할 수 있도록하는 새로운 정책을 만드는 동적 액세스 제어에 있습니다. 이것은 우리가 사용하는 데 사용되는 이전의 공유 및 보안 탭이 아닌 다른 뭔가를 사용할 수 있습니다 보안의 새로운 유형입니다.
지금 우리는 그 규칙을 가지고 중앙 액세스 정책에 넣어 것입니다.
그런 다음 우리는 모든 작업 있는지 확인하는 그룹 정책을 업데이트 할 것입니다. 그래서, 우리의 서버로 돌아 가자. 우리는 서버 관리자에서 우리의 서버에 있습니다. 의는 도구에 가서 Active Directory 관리 센터로 돌아 가자. 이제 왼쪽에 동적 액세스 Contol 클릭하자,이 때 우리는 가서 중앙 액세스 정책을 두 번 클릭하는 것입니다. 그래서, 어떤 정책이 없습니다. 우리는 가서 우리가 이전에 갔다 이전의 모든 단계를 사용하여 만들 것입니다.
그럼 가서 새로운 중앙 액세스 정책을 클릭하자 우리는 기밀 정책을 호출 할 수 있습니다. 이제 우리는 가서 추가를 클릭하고 우리는 우리가 이전에 추가 한 규칙을 추가 할 것입니다 수 있습니다. 그리고 지금 우리가 가서 확인을 클릭합니다.
그래서 우리는 그룹 정책에 가서 우리가 방금 만든이 새로운 기밀 정책을 적용하기 위해 그룹 정책을 편집해야이 규칙의 작업을 확인합니다. 그럼 가서 우리의 관리 센터를 닫고, 서버 관리자의 도구로 이동하여 그룹 정책 관리에 가자.
이제, 이전에 우리가 적극적으로 나서서 우리의 도메인 컨트롤러 정책을 편집했다. 우리는이 시간이 그렇게하지 않을거야. 우리는이 반드시하지 도메인 컨트롤러에 사용자에게 영향을 원하기 때문에이 시간 우리는 우리의 기본 도메인 정책을 편집하는 것입니다. 그럼 바로 우리의 기본 도메인 정책을 클릭하자,하고 편집을 클릭합니다.
그리고 여기에서 우리는 정상에서 우리의 컴퓨터 구성에 갈 것입니다. Windows 설정, 보안 설정, 파일 시스템, 중앙 액세스 정책으로 이동, 정책을 확장합니다.
그리고 우리가 이전에 만든 우리의 정책이있다. 이제 가서 그것을 적용 할 수 있습니다. 확인을 클릭합니다.
그리고 지금 우리는 우리의 그룹 정책 편집기 및 관리를 닫을 수 있습니다. 이제 가서 다시 우리의 PowerShell을하거나 명령 프롬프트에 가자. 유형에서 gpupdate / force를 실행합니다. 이것은 우리가 방금 만든 변경 사항을 적용합니다. 이 작업이 완료되면 이제, 우리는 단계의 마지막 몇 걸릴 수 있습니다.
의미가의가 가서 폴더를 만들고 우리가 그 폴더 그래서, 그것은 공유 부르 자 공유 할거야 보자. 그리고 대신에 마우스 오른쪽 버튼으로 클릭 그것을 일반적인 방법을 공유하고 속성으로가는,의는 우리의 서버 관리자로 돌아가서 파일 및 저장소 서비스를 통해이 작업을 수행 할 수 있습니다. 그리고 공유를 클릭 한 후 우리는 작업을 클릭하고 새 공유를 만들 것입니다. 이제 가서 우리의 SMB 공유를 선택할 수 있습니다 - 빨리, 물론 우리가 로컬 서버를 선택하고 있습니다.
우리는 사용자 지정 경로로 이동하는 것입니다. 찾아보기를 클릭하고 우리가 만든 공유 폴더를 찾습니다. 다음을 클릭하고 정보가 인 정확한지 확인,
다음을 클릭합니다. 액세스 기반 열거를 사용하기위한의이 상자를 선택하자.
이것은 우리가 달리 볼 것이 우리 폴더의 추가 속성을 볼 수 있습니다. 의 다음을 클릭하자. 이제 권한을 사용자 정의 할 수 있습니다, 당신은 단순히 가서 사용자의 더블 클릭하고 그들에게 모든 권한을 줄 수 있지만, 우리의 동적 액세스 제어 어쨌든 여기에있어 무엇을 재정의 할 것입니다 때문에 정말 중요하지 않습니다 수 있습니다.
이제 가서 다음을 클릭하자. 그리고 작성, 지금 공유 우리의 폴더가 공유됩니다. 다음으로 우리는 우리의 파일 서버 리소스 관리자로 이동 및 변경의 몇 가지를 만들 것입니다. 우리는 우리의 파일을 분류 할 필요가있다. 그래서 우리는 분류 속성에 가서, 우리는 클릭하고 새로 고침을 선택를 잘해야합니다. 이제 우리는 우리의 기밀 파일 분류를 참조하십시오.
의 우리가 이전에 만든 우리의 공유 폴더에 다시 우리의 폴더를 마우스 오른쪽 버튼으로 클릭에 가서 속성을 선택할 수 있습니다.
여기에서 우리는 지금 분류 탭을 참조하십시오. 가서 그 클릭합니다. 그리고 우리는 비밀이 큰 인 적용되었는지를 참조하십시오. 가서 기밀 높은이 적용되어 있는지 확인한 다음 확인을 클릭합니다.
기본적으로 값은 아무도 없을 것입니다.
아주 좋은. 이제 우리의 기밀 분류에서 우리는이 높음으로 설정되어 있음을 볼 수 있습니다. 그래서 우리의 동적 액세스 제어 기능 설치를 마칩니다.
우리 모두는 서로 다른 단계를 통해 갔다. 우리는 클레임 유형, 자원 속성, 속성 목록뿐만 아니라 액세스 규칙을 통해 가고, 우리는 그 규칙을했고 우리는 우리가 다음 폴더 자체에 적용되는 정책에 적용. 우리가 그들에 기밀이라는 단어가 해당 공유 폴더에있는 모든 문서가 있는지 그래서 궁극적으로는 무엇을, 다음 유일한 사람은 그 파일이 경영진과 관리자입니다 액세스 할 수있을 것입니다. 그래서 이것은 모두를 위해 반드시 아니라 복잡한 설정이지만, 전통적인 보안 그룹, 공유 및 NTFS 보안 탭 외에 다른 방법입니다.