活动目录实现Windows Server 2012访问控制功能

ZDNet至顶网服务器频道 04月27日 评论分析： Windows Server 2012活动目录域服务（AD DS）是动态访问控制(Dynamic Access Control)的一项功能。动态访问控制是Windows Server 2012中的一组功能，用于管理在活动目录组(Active Directory Groups)之上的身份验证与授权。动态访问控制功能是一项非常复杂的技术，它可以帮助你运用Server 2012文件服务器的集中管理、分级、信息保护等功能。可能，这些你听起来会比较夸张，但是确实可以从这些文件服务器中感受到非常灵活的性能，而不必等待动态访问控制执行。

使用安全组控制访问文件和文件夹方法和Windows NT Server文件系统一样有比较长的历史。在ACL上添加一个组，然后控制组成员，这种形式的群体控制能够实现管理员的动态管理，进入内部环境，省去不断手动操作ACL的麻烦。增加这个功能来嵌套这些组（例如，为了实现全球范围内的文件访问，你需要增加NA_Sales, SA_Sales, EUR_Sales, and APAC_Sales全局组到Sales本地域组中），这样可以协助用户有一个简捷、灵活的访问控制模式。

虽然安全组有一定的优势，但是它也同样存在它的问题。首先，security group的生命周期管理在活动目录中是最容易被忽略的。在创建组的时候，人们都希望能迅速创建成功，很少有人（除了AD管理员）关心删除这些组。所以，就有一个问题，大多数AD域有成千上万个security groups，并且大多数都是空的，还没有清楚这些空数据的想法。

其次，你创建一个普通的、全球的或者本地域组进入控制架构的时候很容易运行两次，这还不算兼并的可能性，这都有可能造成多层访问。

最后，组嵌套过程。和简单的组生命循环管理结合的时候可能导致非常复杂的访问控制架构。所有的管理员此时都会惊讶于环境中竟然有这么多的循环组引用。

其实，这些复杂性是用户访问令牌的体现。AD访问令牌存储在特权属性证书（PAC）中，是用户的Kerberos ticket-granting tick（TGT）中的一部分，包含有用户的SID，SID的安全组，用户也是其中的一员。由于复杂的嵌套组，如果用户是许多组的一员，用户也有大量的令牌有可能导致访问问题。

在模型中使用嵌套组中最主要的原因是，嵌套组是提供AND操作的唯一架构。拿一个美国项目举例子，这个项目秘密分类，在一个跨国公司间实行。一个需求就是只有项目的HR人员能够访问包含项目员工薪水信息的文件。此外，由于是秘密分类，只有在满足了工作时间、美国、HR员工等条件后才能访问。只有使用安全组，访问控制配置才能和图一似的实行。这个场景需要在AND上创建12个组，三个条件都满足了才能进入。这种国际性的合作有成百上千个解决方案，需要提前预想到。

图一的访问控制模型使用的是唯一的安全组，但是忽略了最重要的up-to-date合作信息：Active Directory本身。



大多是公司，AD会直接接受来自HR数据库的用户属性信息，所以，你知道数据会是最新的。但是当你使用的是一种类似于超目录服务的外部引擎时，这些数据的变化在安全组成员间不能很好的体现，可能就会导致数据不会及时更新。

Server 2012 AD DS支持向文件服务公开用户和设备属性。这个功能确认后，用户可以在文件或者文件的ACL中增加属性值以控制进入。但是也不会为了访问控制代替安全组——AD属性经过严格的定义不容易修改。接下来，看看上面的例子中怎样使用混合模型。

例子中的两个属性： Full Time Employees_US and HR Department_US,可以通过不同要求被替换。 Full Time Employees_US可以分成AD属性的两部分。首先，职工的籍贯可以通过两位数属性代替即，countryCode。其次，最能表现职工位置的属性就是employeeType。后者属性是string型，意味着你可以任意定义。考虑到要简明扼要，最好还能表示一定的含义，F或FIE代表全职员工，T代表暂时，C代表合同，V代表供应商。例如以下中方式定义：

user.countryCode=00 AND user.employeeType=FTE

对于HR Department_US如果这个表达式为真，就意味着员工是美国HR部门的员工。如果使用AD表示，可以用以下属性：

user.department=HR

这也就表示混合访问控制结构就像图二表达的一样。



你甚至可以说本地组的Bonusesdomain美国项目员工是多余的。使用额外的表达式，能够减少三分之二的访问判断条件。