与IP地址管理(IPAM)配置指南)
动态访问控制(DAC)与IP地址管理(IPAM)配置指南
1. 动态访问控制(DAC)概述
动态访问控制(DAC)为管理员提供了一种比基于简单组成员身份的文件和文件夹权限更强大的文件访问安全保障方法。借助DAC,管理员能够运用包含文件分类和用户属性等复杂标准来控制文件访问。
例如,有一个名为“Marketing”的文件共享,其中包含不同保密级别的文件。希望营销部门的所有人员对低保密级别的文件具有读取权限,而营销部门的高管对所有文件(包括高保密级别的文件)具有修改权限。虽然可以通过创建一些组、仔细分配用户到这些组以及评估文件的保密级别来实现这一访问设置,但结合文件分类基础结构(FCI)使用DAC,从长远来看会使工作更轻松、更准确,并且有助于降低安全组管理的复杂性。
DAC与共享和NTFS权限协同工作,而不是替代它们。以下是一个文件夹应用文件分类和DAC条件的示例:
| 用户 | 条件 | 权限 |
| — | — | — |
| 经过身份验证的用户 | 资源的保密级别为低,且用户的部门与资源的部门相同 | 读取和执行 |
| 经过身份验证的用户 | 用户的部门与资源的部门相同,且用户是高管 | 修改 |
这意味着部门属性设置为“Marketing”的用户对属于营销部门的低保密级别文件具有读取权限;部门属性设置为“Marketing”且职位属性设置为“Executive”的用户对营销部门的所有文件(无论保密级别如何)具有修改权限;不属于营销部门的用户则无法访问该文件夹中的任何文件。
2. 构建DAC基础架构
DAC基础架构由以下几个部分组成:
-资源属
