win2012配置DAC环境/用户和设备声明/资源属性及文件分类

问题：

1. 用户控制

我们平时使用资源共享的时候，可以按照组或者单个用户来进行权限控制，那么，当某个文件的访问者只能是各部门主管的时候，怎么办？我们可以给个部门主管创建一个组。当某个文件的访问者只能是各部门助理怎么办？我们给助理创建一个组。……这样下来，会有许多组，个别用户隶属于许多组，给管理带来极大的麻烦。

2. 资源控制

服务器上的共享文件夹只允许被某个部门的主管访问，该如何设置？

3. 设备控制

用户带私人电脑来公司，加入域后是否可以访问公司的文件？

解决办法：dac

1. 配置dc环境，以支持dac

打开group policy management editor -> computer configuration -> policies -> administrative templates:... -> system -> kdc -> in the right panel, edit "kdc support for claims, compound authentication and kerberos armoring" -> enabled -> ok 

cmd -> gpupdate /force

如果启用此策略设置，则支持用于动态访问控制的声明和复合身份验证以及kerberos armor感知的客户端计算机将使用此功能接受kerberos身份验证消息。应将此策略应用于所有域控制器以确保在域中一致应用此策略。

2. 配置用户和设备声明

administrator身份登录dc， 打开active directory administrative center -> dynamic access control (in the left menu) -> new claim types -> “claims of this type can be issued for the following classes” 做用户控制的话选择 user，做设备控制的话选择 computer  -> ok

3. 配置资源属性

administrator身份登录dc， 打开active directory administrative center ->  dynamic access control (in the left menu) -> 点开下一级目录resource properties -> enable department and confidentiality

4. 配置文件分类

（1）administrator身份登录文件服务器，添加file server resource manager这个角色。

（2）新建两个文件夹并共享，授予everyone读写的共享权限。

以上就是对win2012配置dac环境/用户和设备声明/资源属性及文件分类全部内容的二甲双胍，更多内容请继续关注网站！