部署集中存取原則 (示範步驟)

在此案例中，財務部門安全性作業使用中央資訊安全性，以指定集中存取原則的需求，讓它們可以保護儲存在檔案伺服器上的封存財務資訊。 每個國家/地區的已封存財經資訊可以由來自相同的國家/地區的財務員工以唯讀方式存取。 中央財務管理群組可以存取所有國家/地區的財務資訊。

部署集中存取原則包含下列階段：

設定測試環境

在開始之前，您需要設定測試此案例的實驗室。 設定實驗室的步驟詳述於 附錄 B：設定測試環境。

規劃：識別原則的需求及部署所需的設定

本節提供一系列高階步驟，協助部署的規劃階段。

實作：設定元件與原則

本節說明部署財務文件集中存取原則的範例。

在下列程序中，您會建立兩個宣告類型：Country 和 Department。

建立宣告類型

1. 在 Hyper-V 管理員中開啟伺服器 DC1，並以 contoso\administrator 身分登入，密碼 pass@word1。

2. 開啟 Active Directory 管理中心。

3. 按一下 [樹狀檢視圖示]，展開 [動態存取控制]，然後選取 [宣告類型]。

   以滑鼠右鍵按一下 [宣告類型]，按一下 [新增]，然後按一下 [宣告類型]。

   Tip

   您也可以從 [工作] 窗格開啟 [建立宣告類型:] 視窗。 在 [工作] 窗格上，按一下 [ 新增]，然後按一下 [宣告類型]。

4. 在 「來源屬性 」清單中，向下捲動屬性清單，然後按一下「 部門」。 這應該會填入 [顯示名稱] 欄位中的 部門。 按一下 [確定]。

5. 在 [工作] 窗格中，按一下 [ 新增]，然後按一下 [宣告類型]。

6. 在「 來源屬性 」清單中，向下捲動屬性清單，然後按一下 c 屬性 （Country-Name）。 在 [顯示名稱] 欄位中，輸入 country。

7. 在 [建議的值 ] 區段中，選取 [ 建議的值：]，然後按一下 [新增]。

8. 在 [值 ] 和 [顯示名稱] 欄位中，輸入 US，然後按一下 [確定]。

9. 重複上述步驟。 在 [新增建議值] 對話框中，於 [值] 和 [顯示名稱] 字段中輸入 JP，然後按兩下 [確定]。

Windows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中，輸入各個 Cmdlet (即使因為格式限制，它們可能會在這裡出現自動換行成數行)。

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

下一個步驟是建立資源內容。 您會在下列程序中建立資源內容，它會被自動新增到網域控制站上的全域資源內容清單，以供檔案伺服器使用。

建立並啟用預先建立的資源內容

1. 在 Active Directory 管理中心的左窗格中，按兩下 [樹檢視]。 展開 [動態存取控制]，然後選取 [資源屬性]。

2. 以滑鼠右鍵按一下 [資源屬性]，按一下 [新增]，然後按一下 [參考資源屬性]。

   Tip

   您也可以從 [工作] 窗格中選擇資源屬性。 按一下 新增 ，然後按一下 參考資源屬性。

3. 在 [選取要共用其建議值清單的宣告類型] 中，按一下 [國家/地區]。

4. 在 [顯示名稱] 欄位中，輸入 國家/地區，然後按一下 [確定]。

5. 按兩下 [資源屬性] 清單，向下捲動至 [部門 ] 資源屬性。 按一下滑鼠右鍵，然後按一下 [ 啟用]。 這將啟用內建的 Department 資源屬性。

6. 在 Active Directory 系統管理中心導覽窗格的 [資源屬性 ] 清單中，您現在會有兩個已啟用的資源屬性：

   • Country

   • Department

Windows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中，輸入各個 Cmdlet (即使因為格式限制，它們可能會在這裡出現自動換行成數行)。

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

下一步是建立集中存取規則，定義可以存取資源的人員。 在此案例中的商務規則如下：

• 只有財務部門的成員可以讀取財務文件。

• 財務部門的成員只能存取他們自己國家/地區的文件。

• 只有財務系統管理員具有寫入存取權。

• 我們將會允許 FinanceException 群組成員的例外狀況。 此群組將具有讀取存取權。

• 系統管理員和文件擁有者仍然擁有完整存取權。

或者，使用 Windows Server 2012 建構表達規則：

目標：Resource.Department Contains Finance

訪問規則：

• 允許讀取 "User.Country=Resource.Country" 且 "User.department=Resource.Department"

• 允許管理權限 User.MemberOf（FinanceAdmin）

• 允許使用者讀取 User.MemberOf(財務例外)

建立集中存取規則

1. 在 Active Directory 系統管理中心的左窗格中，按一下 [樹狀檢視]，選取 [動態存取控制]，然後按一下 [中央存取規則]。

2. 以滑鼠右鍵按一下 [集中存取規則]，按一下 [新增]，再按 [集中存取規則]。

3. 在 名稱 欄位中，輸入 財務文件規則。

4. 在 「目標資源 」區段中，按一下 「編輯」，然後在 「中央存取規則 」對話方塊中，按一下 「新增條件」。 新增下列條件：[資源] [部門] [等於] [值] [財務]，然後按一下 確定。

5. 在 [許可權] 區段中，選取 [使用下列許可權作為目前許可權]，按一下 [編輯]，然後在 [ 許可權的進階安全性設定 ] 對話方塊中按一下 [新增]。

   Note

   [使用下列權限做為建議權限] 選項可以讓您建立暫存原則。 如需如何執行這項操作的詳細資訊，請參閱本主題中的「維護：變更和暫存原則」一節。

6. 在 [許可權] 對話框中的 [許可權專案] 欄位中，按一下 [選取主體]，輸入 [已驗證的使用者]，然後按一下 [確定]。

7. 在 許可權專案 對話框中，點擊 新增條件，然後新增以下條件：[使用者] [國家] [任一] [資源] [國家] 點擊 新增條件。 [和]按一下 [使用者] [部門] [任一] [資源] [部門]。 將 權限 設定為 讀取。

8. 按一下 確定，然後按一下 新增。 按兩下 [選取主體]，輸入 FinanceAdmin，然後按兩下 [ 確定]。

9. 選取 [修改]、[讀取和執行]、[讀取]、[寫入] 權限，然後按一下 [確定]。

10. 按一下 [新增]，按一下 [選取主體]，輸入 FinanceException，然後按一下 [確定]。 選取要 讀取 的權限和 讀取和執行權限。

11. 按兩下 [確定 ] 三次以完成並返回Active Directory 管理中心。

Windows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中，輸入各個 Cmdlet (即使因為格式限制，它們可能會在這裡出現自動換行成數行)。

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

您現在應該會有集中存取規則，允許人員存取相同國家和相同部門的文件。 這個規則允許 FinanceAdmin 群組編輯文件，也允許 FinanceException 群組讀取文件。 這個規則只針對分類為「財務」的文件。

將集中存取規則新增到集中存取原則

1. 在 Active Directory 管理中心的左窗格中，按一下 [動態存取控制]，然後按一下 [集中存取原則]。

2. 在 [工作] 窗格中，按一下 [ 新增]，然後按一下 [中央存取原則]。

3. 在 [建立中央存取原則]：中，於 [名稱] 方塊中輸入 Finance Policy。

4. 在 [成員集中存取規則] 中，按一下 [新增]。

5. 按兩下 [財務文件規則]，將它新增至 [新增下列集中存取規則] 清單，然後按一下 [確定]。

6. 按一下 「確定 」完成。 您現在應該有一個稱為「財務原則」的集中存取原則。

Windows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中，輸入各個 Cmdlet (即使因為格式限制，它們可能會在這裡出現自動換行成數行)。

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

使用群組原則在檔案伺服器之間套用集中存取原則

1. 在 [ 開始] 畫面的 [ 搜尋 ] 方塊中，輸入 [群組原則管理]。 按兩下 [群組原則管理]。

   Tip

   如果停用 [顯示系統管理工具] 設定，[系統管理工具] 資料夾及其內容就不會出現在 [設定] 結果中。

   Tip

   在生產環境中，您應該建立檔案伺服器組織單位 (OU)，並將所有的檔案伺服器新增至要套用此原則的這個 OU 中。 接著您可以建立群組原則，然後將這個 OU 新增到該原則。

2. 在此步驟中，您會編輯您在測試環境中建置域控制器一節中建立 的組策略 物件，以包含您建立的中央存取原則。 在群組原則管理編輯器中，瀏覽至網域 (在此範例中為 contoso.com) 中的組織單位，然後選取：群組原則管理、樹系：contoso.com、網域、contoso.com、Contoso、FileServerOU。

3. 以滑鼠右鍵按一下 FlexibleAccessGPO，然後按一下 [編輯]。

4. 在「群組原則管理編輯器」視窗中，導覽至「電腦設定」，展開「策略」，展開「Windows 設定」，然後按一下「安全性設定」。

5. 展開 [文件系統]，以滑鼠右鍵按兩下 [ 集中存取原則]，然後按兩下 [ 管理集中存取原則]。

6. 在 [集中存取原則設定] 對話方塊方塊中，新增 [財務原則]，然後按一下 [確定]。

7. 向下捲動到 [進階稽核原則設定]，並展開它。

8. 展開稽 核原則，然後選取物件 存取。

9. 按兩下 [稽核集中存取原則暫存]。 選取所有三個核取方塊 ，然後按一下確定。 這個步驟可讓系統接收與「集中存取暫存原則」相關的稽核事件。

10. 按兩下 [稽核檔案系統屬性]。 選取所有三個核取方塊，然後按一下 確定。

11. 關閉 [群組原則管理編輯器]。 您現在已將集中存取原則包含在群組原則中。

為了讓網域的網域控制站提供宣告或裝置授權資料，網域控制站必須設定為支援動態存取控制。

為 contoso.com 啟用宣告和複合驗證的支援

1. 開啟 [群組原則管理]，按一下 [contoso.com]，然後按一下 [網域控制站]。

2. 以滑鼠右鍵按兩下 [預設域控制器原則]，然後按兩下 [ 編輯]。

3. 在 [組策略管理編輯器] 視窗中，按兩下 [計算機設定]，按兩下 [原則]，按兩下 [系統管理範本]，按兩下 [系統]，然後按兩下 [KDC]。

4. 按兩下 [宣告、複合驗證和 Kerberos 防護的 KDC 支援]。 在 [宣告、複合驗證和 Kerberos 防護的 KDC 支援] 對話方塊中，按一下 [啟用]，從 [選項] 下拉式清單選取 [支援]。 (您需要啟用此設定，才能在集中存取原則中使用使用者宣告)。

5. 關閉 [群組原則管理] 。

6. 開啟命令提示字元，然後輸入 gpupdate /force：

部署集中存取規則

在此步驟中，您會將集中存取原則指派給檔案伺服器。 您將登入到接收前面步驟中建立的集中存取原則的檔案伺服器，然後將原則指派給共用資料夾。

將集中存取原則指派給檔案伺服器

1. 在 [HYPER-V 管理員] 中，連線至伺服器 FILE1。 使用 contoso\administrator 登入伺服器，密碼為 ：pass@word1。

2. 開啟具有管理員許可權的命令提示字元窗口，然後輸入 gpupdate /force。 這可確保您的群組原則變更能在伺服器上生效。

3. 您也需要重新整理 Active Directory 的全域資源內容。 開啟提升權限的 Windows PowerShell 視窗並輸入 Update-FSRMClassificationpropertyDefinition。 按一下 Enter 鍵，然後關閉 Windows PowerShell。

   Tip

   您也可以藉由登入檔案伺服器，以重新整理全域資源內容。 若要從檔案伺服器重新整理全域資源內容，請執行下列動作

   1. 使用密碼 pass@word1以 contoso\administrator 身分登入檔案伺服器 FILE1。
   2. 開啟檔案伺服器資源管理員。 若要開啟檔伺服器資源管理員，請按兩下 [ 開始]，輸入 檔案伺服器資源管理員，然後按兩下 [ 檔案伺服器資源管理員]。
   3. 在 [檔案伺服器資源管理員] 中按一下 [檔案分類管理]，以滑鼠右鍵按一下 [分類屬性]，然後按一下 [重新整理]。

4. 開啟 Windows 檔案總管，然後在左窗格中按一下磁碟機 D。以滑鼠右鍵按一下 Finance Documents 資料夾，然後按一下 屬性。

5. 按一下 分類 索引標籤，按一下 國家/地區，然後在 值 欄位中選取 美國。

6. 按一下 [部門]，然後在 [值] 欄位中選取 [財務]，然後按一下 [套用]。

   Note

   請記住，集中存取原則已設定為針對財務部門的檔案。 上述步驟會以 [國家/地區] 和 [部門] 屬性標記資料夾中所有文件。

7. 按一下 [安全性] 索引標籤，然後按一下 [進階]。 按一下 [中央原則 ] 索引標籤。

8. 按一下 [變更]，從下拉式功能表中選取 [財務原則 ]，然後按一下 [套用]。 您可以看到原則中列出了 [財務文件規則]。 您可以展開項目以檢視在 Active Directory 中建立規則時設定的所有權限。

9. 按兩下 [確定 ] 傳回 Windows 檔案總管。

在下一個步驟中，您將確認已適當地設定存取權。 使用者帳戶必須設定擁有適當的 [部門] 屬性 (使用 Active Directory 管理中心來設定)。 檢視新原則有效結果的最簡單方式是使用 Windows 檔案總管中的 [有效存取 ] 索引標籤。 有效 存取 標籤顯示指定使用者帳戶的存取權限。

檢查各種使用者的存取權

1. 在 [HYPER-V 管理員] 中，連線至伺服器 FILE1。 使用 contoso\administrator 的身分登入伺服器。 在 [Windows 檔案總管] 中瀏覽至 D:\。 以滑鼠右鍵按一下 [財務文件] 資料夾，然後按一下 [屬性]。

2. 按一下 [ 安全性 ] 索引標籤，按一下 [進階]，然後按一下 [有效存取 ] 索引標籤。

3. 若要檢查使用者的權限，請按一下 [選取使用者]，輸入使用者名稱，然後按一下 [檢視有效存取權] 來查看有效存取權限。 例如：

   • Myriam Delesalle (MDelesalle) 在財務部門中工作，應該具有資料夾的讀取存取權。

   • Miles Reid (MReid) 是 FinanceAdmin 群組的成員，應該具有資料夾的修改存取權。

   • Esther Valle (EValle) 不在財務部門工作，不過，她是 FinanceException 群組的成員，所以應該具有讀取存取權。

   • Maira Wenzel (MWenzel) 不在財務部門工作，而且也不是 FinanceAdmin 或 FinanceException 群組的成員。 她不應該具有資料夾的任何存取權。

   請注意有效存取權視窗中名為 [存取限制依據] 的最後一欄。 此欄會顯示影響人員權限的閘道。 在此例中，共用和 NTFS 權限允許所有使用者具有完全控制的權限。 不過，集中存取原則會根據您先前設定的規則限制存取權。

維護：變更和暫存原則

設定群組原則設定以啟用裝置宣告

1. 登入 DC1，開啟群組原則管理，按一下 contoso.com，按一下 預設網域原則，按一下滑鼠右鍵，選取 編輯。

2. 在 [群組原則管理編輯器] 視窗中，導覽至 [電腦設定]、[ 原則]、[ 系統管理範本]、[ 系統]、[ Kerberos]。

3. 選取 [宣告、複合驗證和 Kerberos 防護的 Kerberos 用戶端支援]，按一下 [啟用]。

啟用裝置宣告

1. 在 Hyper-V 管理員中開啟伺服器 DC1，然後以 contoso\Administrator 身分登入，密碼 pass@word1。

2. 從 [工具] 功能表中，開啟 Active Directory 系統管理中心。

3. 按一下 「樹狀檢視」，展開 「動態存取控制」，按兩下「 宣告類型」，然後按兩下 國家/地區 宣告。

4. 在 [可以針對下列類別發行此類型的宣告] 中，選取 [電腦] 核取方塊。 按一下 [確定]。 現在應該選取 使用者 和 電腦 核取方塊。 國家/地區宣告現在除了可以搭配使用者以外，還可以搭配裝置。

下一個步驟是建立暫存原則規則。 暫存原則可以用來在啟用新的原則項目之前先監視它的效果。 在下列步驟中，您將建立暫存原則項目，並監視它在共用資料夾上的效果。

建立暫存原則規則並將它新增到集中存取原則

1. 在 Hyper-V 管理員中開啟伺服器 DC1，然後以 contoso\Administrator 身分登入，密碼 pass@word1。

2. 開啟 Active Directory 管理中心。

3. 按一下樹狀結構檢視，展開動態存取控制，然後選取中央存取規則。

4. 用滑鼠右鍵按一下 [財務文件規則]，然後按一下 [屬性]。

5. 在 [建議的權限 ] 區段中，選取 [ 啟用權限預備組態 ] 核取方塊，按一下 [編輯]，然後按一下 [新增]。 在 建議權限的權限輸入 視窗中，按一下 選取主體 連結，輸入 已驗證的使用者，然後按一下 確定。

6. 按兩下 [ 新增條件 ] 連結並新增下列條件：[使用者] [國家/地區] [任何] [資源] [國家/地區]。

7. 再次單擊 [新增條件 ]，然後新增下列條件：[And] [Device] [country] [Any of] [Resource] [Country]

8. 再次按一下 [新增條件] 並新增下列條件。 [和][用戶][團體][任何成員][價值]（財務例外）

9. 若要設定 FinanceException，請群組，按一下 [新增專案 ]，然後在 [選取使用者、電腦、服務帳戶或群組 ] 視窗中，輸入 FinanceException。

10. 按一下 [權限]，選取 [完全控制]，然後按一下 [確定]。

11. 在 [建議許可權的進階安全性設定] 視窗中，選取 [FinanceException ]，然後按一下 [移除]。

12. 按一下「 確定 」兩次以完成。

Windows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中，輸入各個 Cmdlet (即使因為格式限制，它們可能會在這裡出現自動換行成數行)。

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

在這個建議的權限集中，當 FinanceException 群組的成員存取自己國家/地區的檔案時，如果使用的裝置與文件屬於相同國家/地區，他們對這些檔案具有完整存取權。 當財務部門中某個人嘗試存取檔案時，檔案伺服器安全性記錄檔中便會有稽核項目。 不過，直到原則從暫存狀態升級之後，才會強制執行安全性設定。

在下一個程序中，您要檢查暫存原則的結果。 您將會使用在目前規則中具有權限的使用者名稱來存取共用資料夾。 Esther Valle (EValle) 是 FinanceException 的成員，她目前具有讀取權限。 根據我們的暫存原則，EValle 不應有任何權限。

確認暫存原則的結果

1. 連線到 Hyper-V 管理員中的檔案伺服器 FILE1，並以 contoso\administrator 身分登入，密碼 pass@word1。

2. 打開命令提示字元視窗並鍵入 gpupdate /force。 這可確保您的群組原則變更能在伺服器上生效。

3. 在 [HYPER-V 管理員] 中，連線至 CLIENT1。 登出目前已登入的使用者。 重新啟動虛擬機器 CLIENT1。 然後使用 contoso\EValle pass@word1 登入電腦。

4. 按兩下到 \\FILE1\Finance Documents 的桌面捷徑。 EValle 應該還是可以存取檔案。 切換回 FILE1。

5. 從桌面上的捷徑開啟 事件檢視器 。 展開 [Windows 記錄]，然後選取 [安全性]。 在 [中央存取原則預備] 工作類別目錄下，開啟事件標識符為 4818的專案。 您會看到 EValle 被允許存取。不過，根據暫存原則，使用者會被拒絕存取。

後續步驟

如果您有中央伺服器管理系統 (如 System Center Operations Manager)，則也可以設定監視事件。 這可讓系統管理員強制執行集中存取原則之前先監視它們的效果。