Dynamic access control в windows server 2016 что это такое

Обновлено: 19.05.2024

В этой обзорной статье для ИТ-специалистов описывается динамический контроль доступа и связанные с ним элементы, появившиеся в Windows Server 2012 и Windows 8.

Динамический контроль доступа на основе доменов позволяет администраторам применять разрешения и ограничения управления доступом, основываясь на четко определенных правилах, которые включают конфиденциальность ресурсов, работу или роль пользователя и конфигурацию устройства, используемого для доступа к этим ресурсам.

Так, пользователям могут выдаваться разные разрешения при доступе к ресурсу с офисного компьютера и портативного компьютера через виртуальную частную сеть. Либо доступ может быть разрешен, только если устройство соответствует требованиям безопасности, определенным администраторами сети. Если используется динамический контроль доступа, разрешения пользователя изменяются динамически без дополнительного вмешательства администратора при изменении его задания или роли (что приводит к изменению атрибутов учетной записи пользователя в AD DS).

Динамический контроль доступа не поддерживается в операционных системах Windows до версий Windows Server 2012 и Windows 8. Если динамический контроль доступа настроен в средах с поддерживаемыми и неподдерживаемыми версиями Windows, изменения будут применяться только в поддерживаемых версиях.

Ниже перечислены компоненты и концепции, связанные с динамическим контролем доступа.

Централизованные правила доступа

Централизованное правило доступа — это выражение правил авторизации, которые могут включать одно или несколько условий, затрагивающих группы пользователей, требования пользователей и устройств, а также свойства ресурсов. Несколько централизованных правил доступа можно объединить в централизованную политику доступа.

Если для домена определены одно или несколько централизованных правил доступа, администраторы файловых ресурсов общего доступа могут сопоставлять определенные правила с определенными ресурсами и бизнес-требованиями.

Централизованные политики доступа

Централизованные политики доступа — это политики авторизации, включающие условные выражения. Например, предположим, что Организация имеет бизнес-требование для ограничения доступа к личной информации (PII) в файлах только владельцу файла и членам отдела кадров, которым разрешено просматривать персональные данные. Эта политика организации применяется к файлам персональных данных, на каком бы из файловых серверов организации они ни располагались. Для реализации этой политики организация должна иметь следующие возможности:

идентифицировать и пометить файлы, содержащие персональные данные;

идентифицировать группу сотрудников отдела кадров, которой разрешен просмотр персональных данных;

добавить централизованную политику доступа к централизованному правилу доступа и затем применить это правило ко всем файлам, содержащим персональные данные, где бы они ни располагались на файловых серверах организации.

Централизованные политики доступа служат "зонтиками" безопасности, прикрывающими все серверы. Эти политики дополняют (но не заменяют) политики локального доступа или списки управления доступом на уровне пользователей (DACL), применяемые к файлам и папкам.

Претензи

Утверждение — это уникальная деталь информации о пользователе, устройстве или ресурсе, опубликованная контроллером домена. В качестве примера утверждения можно привести название пользователя, классификация отдела для файла или состояние работоспособности компьютера. Объект может включать более одного утверждения, и любое сочетание утверждений можно использовать для авторизации доступа к ресурсам. В поддерживаемых версиях Windows доступны следующие типы утверждений:

Утверждения пользователей. Атрибуты Active Directory, связанные с конкретным пользователем.

Утверждения устройств. Атрибуты Active Directory, связанные с конкретным компьютером.

Атрибуты ресурсов. Глобальные свойства ресурсов, отмеченные для использования в решениях авторизации и публикуемые в Active Directory.

Утверждения позволяют администраторам давать точные, охватывающие все предприятие или организацию инструкции, касающиеся пользователей, устройств и ресурсов, которые можно включать в выражения, правила и политики.

Выражения

Условные выражения — это усовершенствование управления доступом, разрешающее или запрещающее доступ к ресурсам при выполнении определенных условий, таких как членство в группе, расположение или состояние безопасности устройства. Этими выражениями можно управлять через диалоговое окно дополнительных параметров безопасности редактора ACL или редактор централизованных правил доступа центра администрирования Active Directory (ADAC).

Выражения помогают администраторам управлять доступом к конфиденциальным ресурсам с помощью гибких условий в бизнес-средах возрастающей сложности.

Предложенные разрешения

Предложенные разрешения позволяют администратору более точно моделировать результаты потенциальных изменений настроек управления доступом до их реального выполнения.

Прогнозирование действительного доступа к ресурсу помогает планировать и настраивать разрешения для него перед их реализацией.

Дополнительный ресурс

Сведения о реализации решений на основе этой технологии см. в разделе динамический контроль доступа: Обзор сценариев.

Дополнительные изменения

Дополнительные улучшения в поддерживаемых версиях Windows динамического управления доступом включают:

Поддержка в протоколе проверки подлинности Kerberos для надежного предоставления утверждений пользователей, утверждений устройств и групп устройств.

По умолчанию устройства с любой из поддерживаемых версий Windows могут обрабатывать связанные с динамическим доступом билеты Kerberos, которые включают данные, необходимые для сложной проверки подлинности. Контроллеры домена могут выдавать и отвечать на билеты Kerberos с помощью сложной информации, связанной с проверкой подлинности. При настройке домена для распознавания динамического управления доступом устройства получают утверждения от контроллеров домена во время начальной проверки подлинности, а при отправке запросов на билеты на обслуживание получают сложные билеты на проверку подлинности. Соединение проверки подлинности приводит к маркеру доступа, который включает удостоверение пользователя и устройство на ресурсах, распознающих динамический контроль доступа.

Поддержка использования параметра групповой политики Центра рассылки ключей (KDC) для обеспечения динамического управления доступом для домена.

Каждый контроллер домена должен иметь один и тот же параметр политики административного шаблона, который расположен на компьютерной конфигурации\Policies\Administrative Templates\\System\KDC\Support Dynamic Access Control and Kerberos armoring.

Поддержка в Active Directory для хранения утверждений пользователей и устройств, свойств ресурсов и объектов политики центрального доступа.

Поддержка использования групповой политики для развертывания объектов политики центрального доступа.

Следующий параметр групповой политики позволяет развертывать объекты политики центрального доступа для файловых серверов в организации: Конфигурация компьютера\Политики\ Windows Параметры\Security Параметры\File System\Central Access Policy.

Поддержка авторизации файлов на основе утверждений и аудита для файловой системы с помощью групповой политики и аудита глобального доступа к объектам

Необходимо включить поэтапное централизованное аудит политики доступа для аудита эффективного доступа к политике центрального доступа с помощью предлагаемых разрешений. Этот параметр настраивается для компьютера в соответствии с конфигурацией политики аудита в области безопасности Параметры объекта групповой политики (GPO). После настройки параметра безопасности в GPO можно развернуть GPO на компьютерах в сети.

Поддержка преобразований или фильтрации объектов политики утверждений, которые пересекают доверия леса Active Directory

Можно фильтровать или преобразовывать входящие и исходяющие утверждения, которые пересекают лесное доверие. Существует три основных сценария фильтрации и преобразования утверждений:

Фильтрация на основе значений Фильтры могут быть основаны на значении утверждения. Это позволяет доверяемой лесу предотвратить отправление утверждений с определенными значениями в доверчивый лес. Контроллеры домена в доверчивых лесах могут использовать фильтрацию на основе значений, чтобы защититься от атаки с преимуществом в высоту, фильтруя входящие утверждения с определенными значениями из доверенного леса.

Фильтрация на основе утверждений Фильтры основаны на типе утверждения, а не на значении утверждения. Вы определяете тип утверждения по имени утверждения. В доверяемом лесу используется фильтрация на основе типов утверждений, которая Windows отправку утверждений, раскрываюющих сведения в доверчивый лес.

Преобразование типа на основе утверждений Манипулирует утверждением перед отправкой в предназначенную цель. Преобразование типа утверждений в надежном лесу используется для обобщения известного утверждения, содержаща определенную информацию. Преобразования можно использовать для обобщения типа утверждения, значения утверждения или обоих.

А что для динамического контроля доступа представляют собой ресурсы?

  • Свойство ресурса представляет собой некую сущность, описывающую какую-либо конкретную характерную особенность ресурса, которым могут выступать такие объекты как, скажем, файлы или папки. По сути, это свойство играет роль при создании централизованных правил доступа, а именно служит для определения самих целевых ресурсов, а также непосредственно разрешений. В таких свойствах ресурса содержатся предполагаемые значения, которые определены для самого объекта, и хранятся они в атрибуте msDS-ClaimPossibleValues объекта. Помимо этого, между прочим, свойство ресурса также используется для классификации самого ресурса;
  • Свойство ссылочного ресурса, или ­– как также принято его называть – ссылочное свойство ресурса, в свою очередь, представляет собой, грубо говоря, свойство ресурса, использующее существующий тип утверждения в качестве своих предложенных значений. Что это означает? По сути, объекты ссылочных свойств ресурса отличаются от объектов свойств ресурса тем, что они не хранят свои значения, а используют их из DN ссылающегося объекта утверждения в атрибуте msDS-ClaimSharesPossibleValuesWith. Получается, что используя ссылочное свойство ресурса, сами свойства ресурса всегда будут допустимы для сравнения с типом утверждения в самих централизованных правилах доступа, на которые они ссылаются, тем самым уменьшая ручную поддержку согласованности данных.

Обзор динамического контроля доступа

В этом разделе обзор для ИТ-специалистов описывается динамическое управление доступом и связанные с ним элементы, которые были представлены в Windows Server 2012 и Windows 8.

Управление динамическим доступом на основе домена позволяет администраторам применять разрешения и ограничения управления доступом на основе четко определенных правил, которые могут включать чувствительность ресурсов, работу или роль пользователя, а также конфигурацию устройства, используемого для доступа к этим ресурсам.

Например, у пользователя могут быть разные разрешения при доступе к ресурсу со своего офисного компьютера по сравнению с использованием портативного компьютера через виртуальную частную сеть. Или доступ может быть разрешен только в том случае, если устройство соответствует требованиям безопасности, которые определяются сетевыми администраторами. При динамическом контроле доступа разрешения пользователя динамически изменяются без дополнительного вмешательства администратора, если его работа или роль изменяются (что приводит к изменениям атрибутов учетной записи пользователя в AD DS). Дополнительные примеры использования динамического управления доступом см. в сценариях, описанных в динамическом контроле доступа: Обзор сценариев.

Динамический контроль доступа не поддерживается Windows операционных системах до Windows Server 2012 и Windows 8. Если динамический контроль доступа настроен в средах с поддерживаемой и не поддерживаемой версией Windows, изменения будут реализованы только в поддерживаемых версиях.

Функции и понятия, связанные с динамическим управлением доступом, включают:

Правила центрального доступа

Правило центрального доступа — это выражение правил авторизации, которые могут включать одно или несколько условий, связанных с группами пользователей, утверждениями пользователей, утверждениями устройств и свойствами ресурсов. Несколько правил центрального доступа можно объединить в политику центрального доступа.

Если для домена определено одно или несколько правил центрального доступа, администраторы файловых акций могут соответствовать определенным правилам с определенными ресурсами и бизнес-требованиями.

Политики центрального доступа

Политики центрального доступа — это политики авторизации, которые включают условные выражения. Например, предположим, что у организации есть бизнес-требование ограничить доступ к лично идентифицируемой информации (PII) в файлах только владельцу файлов и сотрудникам отдела кадров (HR), которым разрешено просматривать сведения о PII. Это представляет политику всей организации, которая применяется к файлам PII, где бы они ни находились на файловом сервере в организации. Чтобы реализовать эту политику, организация должна иметь возможность:

Определите и пометить файлы, содержащие PII.

Определите группу сотрудников отдела кадров, которым разрешено просматривать сведения о PII.

Добавьте политику центрального доступа к правилу центрального доступа и применяйте правило центрального доступа ко всем файлам, содержам PII, где бы они ни находились среди файлового сервера в организации.

Политики центрального доступа выступают в качестве зонтов безопасности, которые организация применяет на своих серверах. Эти политики в дополнение (но не заменяют) локальные политики доступа или списки управления дискреционным доступом (DACLs), которые применяются к файлам и папок.

Утверждения

Утверждение — это уникальный фрагмент сведений о пользователе, устройстве или ресурсе, опубликованных контроллером домена. В качестве допустимого примера утверждения можно привести название пользователя, классификацию файла в отделе или состояние здоровья компьютера. Объект может включать несколько утверждений, и для авторизации доступа к ресурсам можно использовать любое сочетание утверждений. Следующие типы утверждений доступны в поддерживаемых версиях Windows:

Утверждения пользователей Атрибуты Active Directory, связанные с определенным пользователем.

Утверждения о устройстве Атрибуты Active Directory, связанные с определенным объектом компьютера.

Атрибуты ресурса Глобальные свойства ресурсов, помеченные для использования в решениях по авторизации и опубликованные в Active Directory.

Утверждения позволяет администраторам делать точные отчеты о пользователях, устройствах и ресурсах, которые могут быть включены в выражения, правила и политики.

Выражения

Условные выражения — это повышение доступа к управлению управлением доступом, которое позволяет или отказывает в доступе к ресурсам только при определенных условиях, например, членства в группе, расположения или состояния безопасности устройства. Выражения управляются через диалоговое окно Advanced Security Параметры редактора ACL или редактора правил центрального доступа в центре администрирования Active Directory (ADAC).

Выражения помогают администраторам управлять доступом к конфиденциальным ресурсам с гибкими условиями во все более сложных бизнес-средах.

Предлагаемые разрешения

Предлагаемые разрешения позволяют администратору более точно моделировать влияние потенциальных изменений на параметры управления доступом, фактически не меняя их.

Прогнозирование эффективного доступа к ресурсу помогает планировать и настраивать разрешения для этих ресурсов перед реализацией этих изменений.

Динамический контроль доступа: что собой представляют ресурсы


Ты должен увидеть это сам. Не поздно отказаться. Потом пути назад не будет.
Примешь синюю таблетку — и сказке конец.
Ты проснешься в своей постели и поверишь, что это был сон.
Примешь красную таблетку — войдешь в страну чудес.
Я покажу тебе, насколько глубока кроличья нора.
К/ф. «Матрица»
В двух предыдущих статьях настоящего цикла мы с вами начали разбирать богатейшие функциональные возможности технологии динамического контроля доступа, позволяющие перевести на существенно новый уровень всю вашу модель управления ресурсами, расположенными непосредственно на файловых серверах. По большому счету, за две статьи рассмотреть мы с вами успели довольно-таки немного, а именно: я привел базовые сценарии использования этой технологии, а также вы узнали о том, что собой представляют утверждения и как можно управлять уникальными типами утверждений. Но ведь очевидно, что полученных из этих статей знаний недостаточно для того, чтобы иметь четкое представление о данной технологии и начать у себя в организациях разрабатывать свои уникальные сценарии.
В этой статье мы с вами копнем еще глубже и посмотрим на то, что же собой в концепции DAC-а представляют собой ресурсы и списки свойств ресурсов, что также является неотъемлемой частью технологии динамического контроля доступа. То есть, вероятнее всего, это статья будет предпоследней перед тем как мы начнем создавать централизованные политики доступа и переходить к сценариям, о которых я так много говорил в первой статье этого цикла. Ну что же, далее я предлагаю нам проверить, «насколько глубока эта кроличья нора»…

Управление объектами свойств ресурса при использовании Windows PowerShell

Как в случае с типами утверждений, да и практически с любыми функциональными возможностями Windows Server 2012, управлять объектами свойств ресурса вы можете не только средствами центра администрирования Active Directory, но также для написания сценариев и автоматизации ваших действий можно использовать богатейшие возможности Windows PowerShell. Для управления свойствами ресурсов используются командлеты ADResourceProperty, то есть New-ADResourceProperty для их создания, Set-ADResourceProperty для изменения существующих объектов, а также Remove-ADResourceProperty, который отвечает за удаление последних.
Итак, сейчас попробуем создать объект свойство ресурса под названием Depart, где будут указаны различные должности (в этом примере Маркетинг, Бухгалтерия, Финансисты), которые должны фигурировать при изменении условного выражения. Значит, следует использовать такой командлет:

Дополнительные изменения

Ниже перечислены дополнительные изменения в поддерживаемых версиях Windows, обеспечивающие динамический контроль доступа.

Поддержку протокола проверки подлинности Kerberos для надежного предоставления утверждений пользователей, утверждений устройств и групп устройств.

Устройства с поддерживаемыми версиями Windows по умолчанию могут обрабатывать билеты Kerberos, связанные с динамическим контролем доступа, которые включают данные, необходимые для комплексной проверки подлинности. Контроллеры доменов могут выдавать билеты Kerberos, включающие информацию, связанную с комплексной проверкой подлинности, и отвечать на них. Когда домен настраивается для распознавания динамического контроля доступа, устройства получают утверждения от контроллеров домена при начальной проверке подлинности и билеты комплексной проверки подлинности при подаче запросов на билеты службы. Комплексная проверка подлинности ведет к созданию маркера доступа, включающего удостоверение пользователя, и устройства для ресурсов, поддерживающих динамический контроль доступа.

Поддержка использования групповой политики центра распространения ключей (KDC) для обеспечения динамического контроля доступа в домене.

У каждого контроллера домена должна быть та же настройка политики административных шаблонов, которую можно найти в папке Конфигурация компьютера\Политики\Административные шаблоны\Система\KDC\Поддержка динамического контроля доступа и защиты Kerberos.

Поддержка использования групповой политики центра распространения ключей (KDC) для обеспечения динамического контроля доступа в домене.

У каждого контроллера домена должна быть та же настройка политики административных шаблонов, которую можно найти в папке Конфигурация компьютера\Политики\Административные шаблоны\Система\KDC\Поддержка динамического контроля доступа и защиты Kerberos.

Поддержка сохранения утверждений пользователей и устройств, свойств ресурсов и объектов централизованных политик доступа в Active Directory.

Поддержка использования групповых политик для развертывания объектов централизованных политик доступа.

Следующий параметр групповой политики позволяет развертывать объекты централизованной политики доступа на файловых серверах в организации: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Файловая система\Централизованная политика доступа.

Поддержка авторизации файлов на основе утверждений и аудита для файловых систем посредством использования групповой политики и аудита доступа к глобальным объектам

Для аудита реального доступа, предоставляемого централизованной политикой доступа с помощью предложенных разрешений, необходимо включить поэтапный аудит централизованной политики доступа. Эту настройку можно выполнить на компьютере на странице Конфигурация расширенной политики аудита в разделе Параметры безопасности объекта групповой политики. После настройки параметра безопасности в объекте групповой политики этот объект можно развернуть на компьютерах в сети.

Поддержка преобразования или фильтрации объектов политики утверждений, просматривающих отношения доверия лесов Active Directory

Вы можете фильтровать или преобразовывать входящие и исходящие утверждения, просматривающие доверие леса. Существуют три основных сценария фильтрации и преобразования утверждений.

Фильтрация на основе значений. Фильтры могут быть основаны на значении утверждения. Это позволяет доверенному лесу предотвратить отправку утверждений с определенными значениями доверяющему лесу. Контроллеры доменов в доверяющих лесах могут использовать фильтрацию на основе значений для защиты от несанкционированного повышения привилегий, фильтруя входящие утверждения от доверенного леса по их значениям.

Фильтрация на основе типов утверждений. Фильтры, основанные на типе утверждения, а не на его значении. Тип утверждения определяется по его имени. Фильтрация на основе типов утверждений используется в доверенном лесе. Она не позволяет Windows отправлять утверждения, раскрывающие информацию доверяющему лесу.

Преобразование на основе типов утверждений. Изменяет утверждение перед отправкой его намеченной цели. Преобразование на основе типов утверждений используется для обобщения известного утверждения, содержащего конкретную информацию. Преобразования можно использовать для обобщения типа утверждения, значения утверждения или того и другого.

А что для динамического контроля доступа представляют собой ресурсы?

  • Свойство ресурса представляет собой некую сущность, описывающую какую-либо конкретную характерную особенность ресурса, которым могут выступать такие объекты как, скажем, файлы или папки. По сути, это свойство играет роль при создании централизованных правил доступа, а именно служит для определения самих целевых ресурсов, а также непосредственно разрешений. В таких свойствах ресурса содержатся предполагаемые значения, которые определены для самого объекта, и хранятся они в атрибуте msDS-ClaimPossibleValues объекта. Помимо этого, между прочим, свойство ресурса также используется для классификации самого ресурса;
  • Свойство ссылочного ресурса, или ­– как также принято его называть – ссылочное свойство ресурса, в свою очередь, представляет собой, грубо говоря, свойство ресурса, использующее существующий тип утверждения в качестве своих предложенных значений. Что это означает? По сути, объекты ссылочных свойств ресурса отличаются от объектов свойств ресурса тем, что они не хранят свои значения, а используют их из DN ссылающегося объекта утверждения в атрибуте msDS-ClaimSharesPossibleValuesWith. Получается, что используя ссылочное свойство ресурса, сами свойства ресурса всегда будут допустимы для сравнения с типом утверждения в самих централизованных правилах доступа, на которые они ссылаются, тем самым уменьшая ручную поддержку согласованности данных.

Динамический контроль доступа: что собой представляют ресурсы


Ты должен увидеть это сам. Не поздно отказаться. Потом пути назад не будет.
Примешь синюю таблетку — и сказке конец.
Ты проснешься в своей постели и поверишь, что это был сон.
Примешь красную таблетку — войдешь в страну чудес.
Я покажу тебе, насколько глубока кроличья нора.
К/ф. «Матрица»
В двух предыдущих статьях настоящего цикла мы с вами начали разбирать богатейшие функциональные возможности технологии динамического контроля доступа, позволяющие перевести на существенно новый уровень всю вашу модель управления ресурсами, расположенными непосредственно на файловых серверах. По большому счету, за две статьи рассмотреть мы с вами успели довольно-таки немного, а именно: я привел базовые сценарии использования этой технологии, а также вы узнали о том, что собой представляют утверждения и как можно управлять уникальными типами утверждений. Но ведь очевидно, что полученных из этих статей знаний недостаточно для того, чтобы иметь четкое представление о данной технологии и начать у себя в организациях разрабатывать свои уникальные сценарии.
В этой статье мы с вами копнем еще глубже и посмотрим на то, что же собой в концепции DAC-а представляют собой ресурсы и списки свойств ресурсов, что также является неотъемлемой частью технологии динамического контроля доступа. То есть, вероятнее всего, это статья будет предпоследней перед тем как мы начнем создавать централизованные политики доступа и переходить к сценариям, о которых я так много говорил в первой статье этого цикла. Ну что же, далее я предлагаю нам проверить, «насколько глубока эта кроличья нора»…

Создание объекта свойств ресурса

Как и в случае с утверждениями, управлять свойствами ресурса и ссылочными свойствами ресурса можно как средствами «Центра администрирования Active Directory», так и, для реализации автоматизированных сценариев, воспользовавшись богатыми возможностями Windows PowerShell. Ввиду того, что этот цикл статей подразумевает плотное изучение технологии динамического контроля доступа, далее в этой статье будет рассматриваться управление свойствами ресурса при использовании обоих методов. А начинать, опять же, мы сейчас будем с центра администрирования Active Directory. Итак:

Управление объектами свойств ресурса средствами центра администрирования Active Directory

  1. На контроллере домена откройте окно «Центра администрирования Active Directory», где в области списка выделите узел «Динамический контроль доступа», а затем выберите узел «Resource Properties» (Dynamic Access Control >Resource Properties);
  2. В отобразившемся узле нажмите в области сведений правой кнопкой мыши и из контекстного меню выберите последовательно команды «Создать» и «Свойство ресурса» (New >Resource Property), как показано на первой иллюстрации данной пошаговой процедуры, либо на начальной странице центра администрирования Active Directory перейдите к тайлу динамического контроля доступа и в группе действий Active Directory выберите второе действие, позволяющее создавать новые свойства ресурса. Как в первом, так и во втором случае откроется диалоговое окно создания нового свойства ресурса.

  • Отображаемое имя (Display name). В текущем текстовом поле вы должны указать уникальное отображаемое имя для создаваемого вами свойства ресурса. Следовательно, это имя будет фигурировать в узле Resource Properties и в прочих элементах консоли центра администрирования Active Directory. Само собой, называть свои свойства ресурса вы можете в буквенно-цифровом формате. Например, назовем наше свойство ресурса «Region» и перейдем к следующему параметру;
  • Тип значения (Value type). Представляет собой раскрывающийся список, откуда можно выбрать логические типы данных, которые уже операционная система будет использовать для описания данных, и которые, собственно, будут храниться в свойствах ресурсов. При создании свойства ресурса можно выбрать любое из восьми доступных типов значения, а именно:
    • Date time. Позволяет создавать свойства ресурса, основанные на логическом типе значения, представляющем собой дату и время. Тут стоит отметить лишь то, что при использовании такого типа значения вы не сможете использовать такое свойство ресурса непосредственно для авторизации (об этой опции подробнее вы узнаете буквально через несколько абзацев). В качестве предустановленных свойств ресурса с этим типом значения выступает свойство «Retention Start Date», которое определяет дату начала периода удержания. В принципе, это не самый распространенный тип значения свойства ресурса;
    • Multi-Valued Choice. Объекты свойств ресурса, которые основаны на текущем логическом типе значения могут содержать по несколько предложенных значений, позволяющих выбрать из сгенерированного списка один или же несколько допустимых значений. В том случае, если для конкретного объекта в редакторе условных выражений дополнительных параметров безопасности вам нужно будет выбрать несколько таких значений, их следует указывать при помощи оператора равно. Во всех остальных случаях достаточно указывать лишь одно такое значение. В качестве примера можно привести предустановленное свойство ресурса Projects, при помощи которого вы можете выбирать проекты, над которыми работают ваши пользователи;
    • Multi-Valued Text. В свою очередь, объекты свойств ресурса текущего логического типа значений могут включать в себя по несколько текстовых записей. Предустановленных объектов свойства ресурса для данного типа не существует;
    • Number. Текущие логически типы значений для объектов свойств ресурсов всего-навсего позволяют вам создавать такие объекты, которые могут включать в себя лишь одно число. Довольно примитивный тип значений, поэтому он не сильно востребован и по умолчанию не создаются объекты свойств ресурсов, использующие этот тип;
    • Ordered List. Те объекты свойств ресурса, которые основаны на этом логическом типе значений, предоставляют единичный выбор предлагаемых значений, которые можно сравнивать с другими объектами свойств ресурса этого же типа. Примером тому служит предустановленный объект свойства ресурса Confidentiality, отвечающий за уровень конфиденциальности ресурса и последующего взаимодействия с принципалами безопасности;
    • Single-Valued Choice. Очередной логический тип значения, на основании которого могут создаваться объекты свойств ресурса, позволяющий также создавать несколько предлагаемых значений для того, чтобы в будущем можно было выбрать из соответствующего списка только лишь одно такое значение. В качестве примера можно привести предустановленный объект свойства ресурса Department, который включает в себя перечень потенциальных подразделений, к которым может иметь отношение целевой ресурс;
    • Text. Логический тип значения, позволяющий создавать для объекта свойств ресурса единственную запись с текстом. Существенно проще предыдущего типа, поэтому, как и в случае с типом Number, используется очень редко, и среди предустановленных объектов свойств ресурсов объект с таким типом обнаружить невозможно;
    • Yes/No. Последний по счету, но не по значимости логический тип значения, позволяющий создавать объекты свойств ресурса со значениями, представляющими собой булевы true или false. В качестве примера можно привести объект свойств ресурса «Personal Use», отвечающий за то, является ли целевой объект рабочим или же личным документом (положительный ответ означает личное использование последнего).
      В качестве примера, так как у нас в первом примере будет указываться единственный регион, пользователи которого смогут воспользоваться ресурсом, выбирается тип значения Single-Valued Choice;

    Создание ссылочного свойства ресурса


    Сам процесс создания ссылочного свойства ресурса несколько отличается от создания обычного объекта свойства ресурса. Прежде всего, именования таких объектов изначально основываются на наименовании предложенных вами созданных ранее типов утверждений. У таких объектов может быть лишь одно их двух существующих типов значений. Почему именно так? Так как ссылочные свойства ресурса напрямую зависят от выбранных вами в соответствующем управляющем элементе типов утверждений, тип значения зачастую представляет собой обычную строку (как видно на следующей иллюстрации), и, как следствие, в качестве типа значения такого объекта по умолчанию определяется Single-Valued Choice, представляющее собой, как было указано ранее, однозначный выбор. В качестве альтернативы этому типу значению, вы можете еще выбрать тип Multi-Valued Choice.
    Теперь по поводу этих типов утверждений, которые я несколько раз упомянул в предыдущем абзаце. Выбрать в качестве предложенных значений существующие типы утверждений вы можете непосредственно при помощи управляющего элемента «Выберите тип утверждения для общего доступа к его предложенным значениям» (Select a claim type to share its suggested values). Этот элемент содержит список типов утверждений, которые изначально были настроены с предлагаемыми значениями. Выбрав тип утверждения, его различающееся имя записывается в атрибут msDS-ClaimSharePossibleValuesWith объекта ссылочного свойства ресурса. И ввиду того, что такой атрибут является ссылочным, он обновляется, используя связанный атрибут msDS-ClaimSharePossibleValuesWithBL типа утверждения, согласно различающемуся имени объекта ссылочного свойства ресурса, включающего такую ссылку.
    Обо всех остальных опциях, то есть «Описание», «Присвоить идентификатору семантически идентичное свойство ресурса из доверяющего леса, чтобы упростить использование утверждений в лесах, связанных отношениями доверия», «Используется для авторизации» и «Защита от случайного удаления», я писал в предыдущем разделе данной статьи, и они ничем не отличаются от одноименных параметров обычного объекта свойства ресурса.

    Рис. 4. Процесс создания ссылочного свойства ресурса

    Помимо этого, сразу можно обнаружить то, что все предустановленные объекты свойства ресурса отключены. У каждого такого объекта есть два состояния: отключено и включено. Естественно, отрабатывать будут только лишь те объекты, которые были заблаговременно включены, а те объекты, которые у вас облагают статусом «Отключено» никогда не будут отображаться в диалоговом окне дополнительных параметров безопасности. Следовательно, для того, чтобы их включить, вы можете либо из контекстного меню, либо в области «Задачи» выбрать опцию «Включить» (Enable).

    Требования к программному обеспечению

    Так как для утверждений и сложной проверки подлинности для управления динамическим доступом требуются расширения проверки подлинности Kerberos, любой домен, который поддерживает динамический контроль доступа, должен иметь достаточно контроллеров домена, работающих с поддерживаемыми версиями Windows для поддержки проверки подлинности от клиентов Kerberos с динамическим управлением доступом. По умолчанию устройства должны использовать контроллеры домена на других сайтах. Если такие контроллеры домена недоступны, проверка подлинности не будет работать. Поэтому необходимо поддерживать одно из следующих условий:

    Каждый домен, поддерживаючий динамический контроль доступа, должен иметь достаточно контроллеров домена, работающих с поддерживаемой версией Windows Server, чтобы поддерживать проверку подлинности на всех устройствах с поддерживаемой версией Windows или Windows Server.

    Устройства, использующие поддерживаемые версии Windows или не защищающие ресурсы с помощью утверждений или сложных удостоверений, должны отключить поддержку протокола Kerberos для динамического управления доступом.

    Для доменов, поддерживаюющих утверждения пользователей, каждый контроллер домена, запускающий поддерживаемые версии сервера Windows, должен быть настроен с соответствующими настройками для поддержки утверждений и сложной проверки подлинности, а также для обеспечения бронетехники Kerberos. Настройка параметров в политике административного шаблона KDC следующим образом:

    Всегда предоставлять утверждения Используйте этот параметр, если все контроллеры домена запускают поддерживаемые версии Windows Server. Кроме того, установите функциональный уровень домена для Windows Server 2012 или выше.

    Поддерживаемый При использовании этого параметра отслеживайте контроллеры домена, чтобы убедиться, что количество контроллеров домена, работающих в поддерживаемых версиях Windows Server, достаточно для количества клиентских компьютеров, которые должны получать доступ к ресурсам, защищенным динамическим управлением доступом.

    Если домен пользователя и домен файлового сервера находятся в разных лесах, все контроллеры домена в корне леса файлового сервера должны устанавливаться на уровне Windows Server 2012 или более высокой функциональной.

    Если клиенты не распознают динамический контроль доступа, между двумя лесами должна быть двуна пути доверия.

    Если утверждения преобразуются, когда они покидают лес, все контроллеры домена в корне леса пользователя должны быть установлены на уровне Windows Server 2012 или более высокого функционального уровня.

    На файловом сервере с операционной системой сервера, поддерживаючей управление доступом Dyamic, должен быть параметр групповой политики, который указывает, нужно ли получать требования пользователей к маркерам пользователей, которые не имеют утверждений. Этот параметр по умолчанию устанавливается автоматическим, что приводит к **** включению этого параметра групповой политики, если имеется центральная политика, которая содержит утверждения пользователя или устройства для этого файлового сервера. **** Если на файловом сервере содержатся дискреционные acLs, которые **** включают утверждения пользователей, необходимо настроить эту групповую политику для того, чтобы сервер знал, что запрашивает утверждения от имени пользователей, которые не предоставляют утверждений при доступе к серверу.

    Создание объекта свойств ресурса

    Как и в случае с утверждениями, управлять свойствами ресурса и ссылочными свойствами ресурса можно как средствами «Центра администрирования Active Directory», так и, для реализации автоматизированных сценариев, воспользовавшись богатыми возможностями Windows PowerShell. Ввиду того, что этот цикл статей подразумевает плотное изучение технологии динамического контроля доступа, далее в этой статье будет рассматриваться управление свойствами ресурса при использовании обоих методов. А начинать, опять же, мы сейчас будем с центра администрирования Active Directory. Итак:

    Управление объектами свойств ресурса средствами центра администрирования Active Directory

    1. На контроллере домена откройте окно «Центра администрирования Active Directory», где в области списка выделите узел «Динамический контроль доступа», а затем выберите узел «Resource Properties» (Dynamic Access Control >Resource Properties);
    2. В отобразившемся узле нажмите в области сведений правой кнопкой мыши и из контекстного меню выберите последовательно команды «Создать» и «Свойство ресурса» (New >Resource Property), как показано на первой иллюстрации данной пошаговой процедуры, либо на начальной странице центра администрирования Active Directory перейдите к тайлу динамического контроля доступа и в группе действий Active Directory выберите второе действие, позволяющее создавать новые свойства ресурса. Как в первом, так и во втором случае откроется диалоговое окно создания нового свойства ресурса.

    • Отображаемое имя (Display name). В текущем текстовом поле вы должны указать уникальное отображаемое имя для создаваемого вами свойства ресурса. Следовательно, это имя будет фигурировать в узле Resource Properties и в прочих элементах консоли центра администрирования Active Directory. Само собой, называть свои свойства ресурса вы можете в буквенно-цифровом формате. Например, назовем наше свойство ресурса «Region» и перейдем к следующему параметру;
    • Тип значения (Value type). Представляет собой раскрывающийся список, откуда можно выбрать логические типы данных, которые уже операционная система будет использовать для описания данных, и которые, собственно, будут храниться в свойствах ресурсов. При создании свойства ресурса можно выбрать любое из восьми доступных типов значения, а именно:
      • Date time. Позволяет создавать свойства ресурса, основанные на логическом типе значения, представляющем собой дату и время. Тут стоит отметить лишь то, что при использовании такого типа значения вы не сможете использовать такое свойство ресурса непосредственно для авторизации (об этой опции подробнее вы узнаете буквально через несколько абзацев). В качестве предустановленных свойств ресурса с этим типом значения выступает свойство «Retention Start Date», которое определяет дату начала периода удержания. В принципе, это не самый распространенный тип значения свойства ресурса;
      • Multi-Valued Choice. Объекты свойств ресурса, которые основаны на текущем логическом типе значения могут содержать по несколько предложенных значений, позволяющих выбрать из сгенерированного списка один или же несколько допустимых значений. В том случае, если для конкретного объекта в редакторе условных выражений дополнительных параметров безопасности вам нужно будет выбрать несколько таких значений, их следует указывать при помощи оператора равно. Во всех остальных случаях достаточно указывать лишь одно такое значение. В качестве примера можно привести предустановленное свойство ресурса Projects, при помощи которого вы можете выбирать проекты, над которыми работают ваши пользователи;
      • Multi-Valued Text. В свою очередь, объекты свойств ресурса текущего логического типа значений могут включать в себя по несколько текстовых записей. Предустановленных объектов свойства ресурса для данного типа не существует;
      • Number. Текущие логически типы значений для объектов свойств ресурсов всего-навсего позволяют вам создавать такие объекты, которые могут включать в себя лишь одно число. Довольно примитивный тип значений, поэтому он не сильно востребован и по умолчанию не создаются объекты свойств ресурсов, использующие этот тип;
      • Ordered List. Те объекты свойств ресурса, которые основаны на этом логическом типе значений, предоставляют единичный выбор предлагаемых значений, которые можно сравнивать с другими объектами свойств ресурса этого же типа. Примером тому служит предустановленный объект свойства ресурса Confidentiality, отвечающий за уровень конфиденциальности ресурса и последующего взаимодействия с принципалами безопасности;
      • Single-Valued Choice. Очередной логический тип значения, на основании которого могут создаваться объекты свойств ресурса, позволяющий также создавать несколько предлагаемых значений для того, чтобы в будущем можно было выбрать из соответствующего списка только лишь одно такое значение. В качестве примера можно привести предустановленный объект свойства ресурса Department, который включает в себя перечень потенциальных подразделений, к которым может иметь отношение целевой ресурс;
      • Text. Логический тип значения, позволяющий создавать для объекта свойств ресурса единственную запись с текстом. Существенно проще предыдущего типа, поэтому, как и в случае с типом Number, используется очень редко, и среди предустановленных объектов свойств ресурсов объект с таким типом обнаружить невозможно;
      • Yes/No. Последний по счету, но не по значимости логический тип значения, позволяющий создавать объекты свойств ресурса со значениями, представляющими собой булевы true или false. В качестве примера можно привести объект свойств ресурса «Personal Use», отвечающий за то, является ли целевой объект рабочим или же личным документом (положительный ответ означает личное использование последнего).
        В качестве примера, так как у нас в первом примере будет указываться единственный регион, пользователи которого смогут воспользоваться ресурсом, выбирается тип значения Single-Valued Choice;

      Создание ссылочного свойства ресурса


      Сам процесс создания ссылочного свойства ресурса несколько отличается от создания обычного объекта свойства ресурса. Прежде всего, именования таких объектов изначально основываются на наименовании предложенных вами созданных ранее типов утверждений. У таких объектов может быть лишь одно их двух существующих типов значений. Почему именно так? Так как ссылочные свойства ресурса напрямую зависят от выбранных вами в соответствующем управляющем элементе типов утверждений, тип значения зачастую представляет собой обычную строку (как видно на следующей иллюстрации), и, как следствие, в качестве типа значения такого объекта по умолчанию определяется Single-Valued Choice, представляющее собой, как было указано ранее, однозначный выбор. В качестве альтернативы этому типу значению, вы можете еще выбрать тип Multi-Valued Choice.
      Теперь по поводу этих типов утверждений, которые я несколько раз упомянул в предыдущем абзаце. Выбрать в качестве предложенных значений существующие типы утверждений вы можете непосредственно при помощи управляющего элемента «Выберите тип утверждения для общего доступа к его предложенным значениям» (Select a claim type to share its suggested values). Этот элемент содержит список типов утверждений, которые изначально были настроены с предлагаемыми значениями. Выбрав тип утверждения, его различающееся имя записывается в атрибут msDS-ClaimSharePossibleValuesWith объекта ссылочного свойства ресурса. И ввиду того, что такой атрибут является ссылочным, он обновляется, используя связанный атрибут msDS-ClaimSharePossibleValuesWithBL типа утверждения, согласно различающемуся имени объекта ссылочного свойства ресурса, включающего такую ссылку.
      Обо всех остальных опциях, то есть «Описание», «Присвоить идентификатору семантически идентичное свойство ресурса из доверяющего леса, чтобы упростить использование утверждений в лесах, связанных отношениями доверия», «Используется для авторизации» и «Защита от случайного удаления», я писал в предыдущем разделе данной статьи, и они ничем не отличаются от одноименных параметров обычного объекта свойства ресурса.

      Рис. 4. Процесс создания ссылочного свойства ресурса

      Помимо этого, сразу можно обнаружить то, что все предустановленные объекты свойства ресурса отключены. У каждого такого объекта есть два состояния: отключено и включено. Естественно, отрабатывать будут только лишь те объекты, которые были заблаговременно включены, а те объекты, которые у вас облагают статусом «Отключено» никогда не будут отображаться в диалоговом окне дополнительных параметров безопасности. Следовательно, для того, чтобы их включить, вы можете либо из контекстного меню, либо в области «Задачи» выбрать опцию «Включить» (Enable).

      Управление объектами свойств ресурса при использовании Windows PowerShell

      Как в случае с типами утверждений, да и практически с любыми функциональными возможностями Windows Server 2012, управлять объектами свойств ресурса вы можете не только средствами центра администрирования Active Directory, но также для написания сценариев и автоматизации ваших действий можно использовать богатейшие возможности Windows PowerShell. Для управления свойствами ресурсов используются командлеты ADResourceProperty, то есть New-ADResourceProperty для их создания, Set-ADResourceProperty для изменения существующих объектов, а также Remove-ADResourceProperty, который отвечает за удаление последних.
      Итак, сейчас попробуем создать объект свойство ресурса под названием Depart, где будут указаны различные должности (в этом примере Маркетинг, Бухгалтерия, Финансисты), которые должны фигурировать при изменении условного выражения. Значит, следует использовать такой командлет:

      Требования к программному обеспечению

      Так как утверждения и комплексная проверка подлинности для динамического контроля доступа требуют расширений проверки подлинности Kerberos, у домена, поддерживающего динамический контроль доступа, должно быть достаточно контроллеров домена, использующих поддерживаемые версии Windows, для поддержки проверки подлинности клиентов Kerberos, применяющих динамический контроль доступа. По умолчанию устройства должны применять контроллеры доменов на других сайтах. Если такие контроллеры недоступны, проверка подлинности окончится неудачей. Поэтому необходима поддержка одного из следующих условий.

      Во всех доменах, поддерживающих динамический контроль доступа, должно быть достаточно контроллеров доменов с поддерживаемыми версиями Windows Server для поддержки проверки подлинности всех устройств с поддерживаемыми версиями Windows или Windows Server.

      Для устройств с поддерживаемыми версиями Windows, которые не защищают ресурсы с помощью утверждений или составных удостоверений, следует отключить поддержку динамического контроля доступа протоколом Kerberos.

      В доменах, поддерживающих утверждения пользователей, все контроллеры доменов с поддерживаемыми версиями Windows должны быть настроены для поддержки утверждений, комплексной проверки подлинности и защиты Kerberos. Настройте параметры в политике административного шаблона KDC следующим образом.

      Всегда предоставлять утверждения. Используйте этот параметр, если на всех контроллерах доменов используются поддерживаемые версии Windows Server. Кроме того, установите режим работы домена Windows Server 2012 или выше.

      Поддерживается. При использовании этого параметра отслеживайте контроллеры доменов, чтобы убедиться в том, что число контроллеров домена с поддерживаемыми версиями Windows Server достаточно для числа клиентских компьютеров, которым необходим доступ к ресурсам, защищенным динамическим контролем доступа.

      если домен домена пользователя и файлового сервера находятся в разных лесах, все контроллеры домена в корне леса файлового сервера должны быть установлены на Windows Server 2012 или более высоком уровне работы.

      Если клиенты не признают динамический контроль доступа, между двумя лесами должны существовать двусторонние отношения доверия.

      если утверждения преобразуются при выходе из леса, все контроллеры домена в корне леса пользователя должны быть установлены на Windows Server 2012 или более высоком функциональном уровне.

      У файлового сервера с ОС Windows Server 2012 или Windows Server 2012 R2 должен быть параметр групповой политики, указывающий, должен ли сервер получать утверждения пользователей для токенов пользователей, у которых нет утверждений. По умолчанию этот параметр групповой политики установлен в значение Автоматически, что ведет к его включению при наличии централизованной политики, содержащей утверждения пользователей или устройств для данного файлового сервера. Если файловый сервер содержит списки управления доступом на уровне пользователей, включающие утверждения пользователей, эту групповую политику необходимо установить на Включено, чтобы сервер знал о необходимости запрашивать утверждения от имени пользователей, которые не предоставляют утверждений при доступе к серверу.

      Читайте также: