.png "Windows Server 2012"){kind=icon}
.png "Windows Server 2012")
.png "Windows Server 2012 - IPAM (IP Address Management) - Wprowadzenie"){kind=icon}
Windows Server 2012 - Autoryzacja dostępu na podstawie atrybutów (Claim Based) .png "Udostępnij na: Facebook")
Autor: Michał Ledwoch
Opublikowano: 2012-11-15
Autoryzacja dostępu na podstawie atrybutów Claim Based, dostępna już w usłudze Active Directory Federation Services w systemie Windows Server 2003 R2, umożliwia w Windows Server 2012 wykorzystanie mechanizmu wewnątrz lasu czy domeny do autoryzacji dostępu, np. do zasobów serwera plików, poprzez tzw. uzgodnienia wykorzystujące atrybuty obiektu, pobrane bądź definiowane na poziomie Active Directory. Niniejszy artykuł również wskaże nowe funkcje tego mechanizmu, które zostały wprowadzone w systemie Windows Server 2012.
Autoryzacja dostępu na podstawie atrybutów
Aby utworzyć regułę autoryzacji Claim Based należy kliknąć prawym przyciskiem myszy i wybrać opcję Properties (właściwości) z menu podręcznego. W tym oknie należy przejść do zakładki Security (zabezpieczenia) i wybrać opcję Advanced (zaawansowane). Po wybraniu tej opcji pojawi się na ekranie okno, które zostało zaprezentowane na Rys. 1.
.jpg "Okno z ustawieniami uprawnień zaawansowanych dla folderu")
Rys. 1. Okno z ustawieniami uprawnień zaawansowanych dla folderu.
Na powyższym rysunku zostało zaprezentowane okno z ustawieniami zaawansowanymi dla folderu w systemie Windows Server 2012. W stosunku do poprzedniej wersji nastąpiły poniższe zmiany:
- zmiany kosmetyczne,
- dodanie nowych opcji autoryzacji metodą Claim,
- dodanie opisu przycisków podczas dodawania nowej pozycji do listy DACL.
Tworzenie reguł autoryzacji
Aby nadać uprawnienia dla danego użytkownika należy wybrać przycisk Add, po wybraniu którego pojawi się poniższe okno.
.jpg "Okno nadawania uprawnień zaawansowanych do obiektu")
Rys. 2. Okno nadawania uprawnień zaawansowanych do obiektu.
Po przejściu do tego okna należy wybrać w pierwszej kolejności opcję Select a principal, za pomocą której wskażemy obiekt, do którego chcemy przypisać – w naszym przypadku – użytkownika, będzie to użytkownik pkowalski@test.com. W kolejnym oknie Type należy wybrać jedną z dwóch opcji Allow bądź Deny. W trzeciej opcji określamy, jakiego poziomu ma dotyczyć uprawnienie. Poniżej powyższej opcji znajduje się sekcja Permission, w której możemy przypisać uprawnienia. W sekcji Basic Permission znajdują się tylko podstawowe uprawnienia. Klikając na Advanced Permissions, możemy wyświetlić listę uprawnień zaawansowanych, które zilustrowane są na Rys. 3.
.jpg "Okno uprawnień zaawansowanych")
Rys. 3. Okno uprawnień zaawansowanych.
Po nadaniu uprawnień trzeba przejść do tworzenie reguły autoryzacyjnej. W tym celu należy przejść do sekcji umieszczonej na Rys. 4.
.jpg "Tworzenie autoryzacji Claim")
Rys. 4. Tworzenie autoryzacji Claim.
Aby stworzyć regułę należy:
- Określić identyfikowany obiekt. Mamy możliwość wyboru identyfikacji User, czyli konta użytkownika, bądź Device, czyli konta komputera.
- Następnie, w trzeciej kolumnie należy określić warunek, który ma zostać sprawdzony, aby reguła zadziała.
- Natomiast w ostatnim oknie możemy wybrać grupę, dla której ma zostać spełniona dana reguła.
Po ustaleniu warunku reguł należy zatwierdzić ją za pomocą przycisku OK. Na Rys. 5 został zaprezentowany wygląd okna ustawień zaawansowanych dla folderu Dane.
.jpg "Wygląd okna ustawień zaawansowanych dla folderu Dane po nadaniu uprawnień dla użytkownika Piotr Kowalski")
Rys. 5. Wygląd okna ustawień zaawansowanych dla folderu Dane po nadaniu uprawnień dla użytkownika Piotr Kowalski.
W powyższym oknie widzimy, iż użytkownik Piotr Kowalski posiada przypisane uprawnienia Read i Execute ( czytania i wykonywania) dla tego katalogu.