Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Dynamisk åtkomstkontroll: översikt

Bill Mathers|Senast uppdaterad: 2017-03-10
|
1 Medverkande

Gäller för: Windows Server 2012 R2 eller Windows Server 2012

Den här översiktsavsnittet för IT-proffs beskriver dynamisk åtkomstkontroll och dess tillhörande delar, som introducerades i Windows Server 2012 och Windows 8.

Domänbaserade dynamisk åtkomstkontroll kan administratörer tillämpar-behörigheter och begränsningar utifrån väldefinierade regler som kan inkludera känslighet resurser, jobb eller roll för användaren och konfigurationen av den enhet som används för åtkomst till dessa resurser.

En användare kan ha olika behörigheter när de använder en resurs från sina datorer för office jämfört med när de använder en bärbar dator via ett virtuellt privat nätverk. Eller kanske åtkomst tillåts endast om en enhet uppfyller säkerhetskraven som definieras av nätverksadministratörer. När dynamisk åtkomstkontroll används ändras en användares behörigheter dynamiskt utan att ytterligare administratör tillfrågas om användarens jobb eller roll ändras (vilket ger ändringar till användarens konto attribut i AD DS).

Dynamisk åtkomstkontroll stöds inte i Windows-operativsystem före Windows Server 2012 och Windows 8. När dynamisk åtkomstkontroll är konfigurerad i miljöer med versioner som stöds och inte stöds av Windows, kommer endast versioner implementera ändringarna.

Begrepp som associeras med dynamisk åtkomstkontroll och funktioner är:

Regler för central åtkomst

En regel för central åtkomst är ett uttryck för auktoriseringsregler som kan innehålla ett eller flera villkor som rör användargrupper, användaranspråk, enhetsanspråk och resursegenskaper. Flera regler för central åtkomst kan kombineras till en princip för central åtkomst.

Om en eller flera regler för central åtkomst har definierats för en domän, kan filen dela administratörer matcha specifika regler till specifika resurser och affärsbehov.

Principer för central åtkomst

Principer för central åtkomst är auktoriseringsprinciper som innehåller villkorliga uttryck. Anta exempelvis att en organisation har ett krav för verksamheten vill begränsa åtkomsten till personlig identifierbar information (PII) i filer till filägaren och medlemmar i avdelningen personal (HR) som tillåts att visa information om personligt identifierbar Information. Detta representerar en princip för hela organisationen som gäller för PII filer oavsett var de befinner sig på filservrar hela organisationen. En organisation behöver för att kunna för att implementera den här principen:

  • Identifiera och markera de filer som innehåller de personligt identifierbar Information.

  • Identifiera gruppen av HR-medlemmar som tillåts för att visa information om personligt identifierbar Information.

  • Lägga till en princip för central åtkomst till en regel för central åtkomst och tillämpa regeln för central åtkomst till alla filer som innehåller personligt identifierbar Information, oavsett var de finns bland filservrar hela organisationen.

Principer för central åtkomst fungera som säkerhet paraplyer som en organisation som gäller på sina servrar. Dessa principer är utöver (men Ersätt inte) lokala principer eller discretionary access control list (DACL) som används för filer och mappar.

Anspråk

Ett anspråk är en unik information om en användare, enhet eller resurs som har publicerats av en domänkontrollant. Användarens rubrik, avdelning klassificeringen av en fil eller en dators hälsostatus är giltiga exempel på ett anspråk. En enhet kan omfatta mer än ett anspråk och kombinationer av anspråk som kan användas för att bevilja åtkomst till resurser. Följande typer av anspråk finns i versionerna av Windows som stöds:

  • Användaranspråk Active Directory-attribut som är associerade med en viss användare.

  • Enhetsanspråk Active Directory-attribut som är associerade med en specifik datorobjektet.

  • Resursattribut globala resursegenskaper som markerats för användning vid auktoriseringsbeslut och publiceras i Active Directory.

Anspråk gör det möjligt för administratörer att göra exakta eller enterprise-organisationsomfattande rapporter om användare, enheter och resurser som kan ingå i uttryck, regler och principer.

Uttryck

Villkorlig uttryck är en förbättring av kontroll åtkomsthantering att bevilja eller neka åtkomst till resurser som endast om vissa villkor är uppfyllda, till exempel gruppmedlemskap, plats eller datorns säkerhetsstatus enheten. Uttryck hanteras via dialogrutan Avancerade säkerhetsinställningar i ACL-redigeraren eller redigeraren Central åtkomst regeln i den Active Directory Administrative Center (ADAC).

Uttryck hjälpa administratörer att hantera åtkomst till känsliga resurser med flexibla villkor i allt mer komplexa företagsmiljöer.

Föreslagna behörigheter

Föreslagna behörigheter kan en administratör mer exakt modellering effekten av eventuella ändringar av åtkomstkontrollinställningar utan att ändra dem.

Förutsäga effektiv åtkomst till en resurs som hjälper dig att planera och konfigurera behörigheter för dessa resurser innan du implementerar dessa ändringar.

Ytterligare ändringar

Ytterligare förbättringar i vilka versioner av Windows som har stöd för dynamisk åtkomstkontroll inkluderar:

Stöd för i Kerberos-autentiseringsprotokollet för att ge tillförlitligt användaranspråk, enhetsanspråk och enhetsgrupper.

Som standard är enheter som kör någon av versionerna som stöds av Windows kan bearbeta dynamisk åtkomstkontroll-relaterade Kerberos-biljetter, som innehåller data som behövs för sammansatt autentisering. Domänkontrollanter kan utfärda och svara på Kerberos-biljetter sammansatt autentisering-relaterad information. När en domän är konfigurerad att känna igen dynamisk åtkomstkontroll, enheter får anspråk från domänkontrollanter under den första autentiseringen, och de får biljetter sammansatt autentisering när du skickar begäranden om biljett. Sammansatt autentisering resulterar i en åtkomsttoken som innehåller identiteten för användaren och vilka resurser som dynamisk åtkomstkontroll kan identifiera enheten.

Stöd för Key Distribution Center (KDC) grupprincipinställningen för att aktivera dynamisk åtkomstkontroll för en domän.

Alla domänkontrollanter måste ha samma administrativa mallar principinställning, som finns i dator Datorkonfiguration\Principer\Administrativa Templates\System\KDC\Support dynamisk åtkomstkontroll och Kerberos-skydd.

Stöd för Key Distribution Center (KDC) grupprincipinställningen för att aktivera dynamisk åtkomstkontroll för en domän.

Alla domänkontrollanter måste ha samma administrativa mallar principinställning, som finns i dator Datorkonfiguration\Principer\Administrativa Templates\System\KDC\Support dynamisk åtkomstkontroll och Kerberos-skydd.

Stöd för i Active Directory för att lagra användar- och anspråk och resursegenskaper objekt för central åtkomst.

Stöd för att använda Grupprincip för att distribuera objekt för central åtkomst.

Följande inställning för Grupprincip kan du distribuera objekt för central åtkomst till filservrar i din organisation: Configuration\Policies\ Windows Settings\Security Settings\File System\Central Access datorprincipen.

Stöd för anspråksbaserade filen auktorisering och granskning för filsystem med hjälp av Grupprincip och globala objektåtkomst

Du måste aktivera stegvis central princip åtkomstgranskning för att kunna granska effektiv åtkomst för princip för central åtkomst genom att använda föreslagna behörigheter. Du konfigurerar den här inställningen för datorn under avancerad granskning principkonfiguration i den säkerhetsinställningar av ett grupprincipobjekt (GPO). När du har konfigurerat säkerhetsinställningen i Grupprincipobjektet kan du distribuera Grupprincipobjektet till datorer i nätverket.

Stöd för Omforma eller filtrering av anspråk principobjekt som passerar via Active Directory skogsförtroenden

Du kan filtrera eller omvandla inkommande och utgående anspråk som passerar via ett skogsförtroende. Det finns tre grundläggande scenarierna för filtrering och omforma anspråk:

  • Värde-baserade filtrering filter kan baseras på värdet för ett anspråk. På så sätt kan den betrodda skogen att förhindra anspråk med vissa värden skickas till den betroende skogen. Domänkontrollanter i betrodda skogar kan använda filtrering baserat på värdet för att skydda dig mot angrepp utökade rättigheter genom att filtrera de inkommande anspråken med specifika värden från den betrodda skogen.

  • Anspråk typ-baserade filtrering filter som baseras på typ av anspråk i stället för anspråkets värde. Du kan identifiera Anspråkstypen genom anspråkets namn. Du använder anspråk typ-baserade filtrering i den betrodda skogen och den förhindrar att Windows skickar anspråk som kan komma att lämna ut information till den betroende skogen.

  • Anspråk typ-baserade transformation ändrar ett anspråk innan det skickas till det avsedda målet. Du kan använda anspråk typ-baserade omvandling i den betrodda skogen för att generalisera en känd anspråk som innehåller specifik information. Du kan använda omvandlingar generalisera Anspråkstypen-anspråkets värde eller båda.

Programvarukrav

Eftersom anspråk och sammansatt autentisering för dynamisk åtkomstkontroll kräver Kerberos-autentisering, tillägg, måste alla domäner som har stöd för dynamisk åtkomstkontroll ha tillräckligt många domänkontrollanter som kör versioner av Windows som stöder autentisering från dynamisk åtkomstkontroll medveten om Kerberos-klienter. Som standard använder enheter domänkontrollanter på andra platser. Om det finns inga sådana domänkontrollanter kommer autentiseringen att misslyckas. Därför måste ha du stöd för något av följande villkor:

  • Varje domän som har stöd för dynamisk åtkomstkontroll måste ha tillräckligt många domänkontrollanter som kör versioner av Windows Server för att stödja autentisering från alla enheter som kör versioner av Windows eller Windows Server.

  • Enheter som kör versioner av Windows eller som skyddar inte resurser med hjälp av anspråk eller sammansatta ID, bör inaktivera stöd för Kerberos-protokollet för dynamisk åtkomstkontroll.

Alla domänkontrollanter som kör versioner av Windows server måste konfigureras med lämplig inställning till stöd för anspråk och sammansatt autentisering och ge Kerberos-skydd för domäner som stöder användaranspråk. Konfigurera inställningar i administrativa mallar för KDC-principen på följande sätt:

  • Ge alltid anspråk anger att alla domänkontrollanter kör versioner av Windows Server. Dessutom Ange domänens funktionalitetsnivå till Windows Server 2012 eller senare.

  • Stöd för när du använder den här inställningen kan övervaka domänkontrollanter så att antalet versioner av Windows Server-domänkontrollanter är tillräckliga för antalet klientdatorer som behöver åtkomst till resurser som skyddas av dynamisk åtkomstkontroll.

Om användar- och serverdomänen filen finns i olika skogar, måste alla domänkontrollanter i skogsroten file server anges Windows Server 2012 eller högre funktionalitetsnivå.

Om klienterna inte kan identifiera dynamisk åtkomstkontroll, måste det finnas ett dubbelriktat förtroende mellan två skogar.

Om anspråk omvandlas när de lämnar en skog, måste alla domänkontrollanter i användarens skogsrot anges i Windows Server 2012 eller högre funktionalitetsnivå.

En filserver som kör Windows Server 2012 eller Windows Server 2012 R2 måste ha en grupprincipinställning som anger om den behöver hämta användaranspråk för användarens token som inte kan skicka anspråk. Den här inställningen är som standard till automatiska, vilket resulterar i inställningen Grupprincip ska stängas om det finns en central princip som innehåller användare eller enhet anspråk för som filserver. Om filservern innehåller godtycklig ACL: er som innehåller användaranspråk, måste du ange den här grupprincipen så att servern vet för att begära anspråk för användare som inte tillhandahåller anspråk när de ansluter till servern.

Ytterligare resurser

Information om hur du implementerar lösningar baserade på den här tekniken finns i dynamisk åtkomstkontroll: översikt över Scenario.

© 2017 Microsoft