Configurando Controle de Acesso Dinâmico - Suporte a declarações (Atributos), autenticação composta, proteção Kerberos e classificação de arquivos



Cenário: No ambiente de produção o escalonamento requer que seja negada ou habilitada a permissão do usuário de forma mais flexível e dinâmica. O usuário terá acesso a sua estação de trabalho, compartilhamento e recursos do domínio utilizando também as regras de classificação através de atributos de Objetos do AD.

Objetivo pretendido e vantagens para provisionamento:
  • Identificar dados usando classificação automática e manual dos arquivos. Marcação dos dados nos servidores de arquivos para todo o domínio.
  • Novo mecanismo de autorização e auditoria que poderá processar expressões condicionais e políticas centrais.
  • Suporte à autenticação Kerberos para declarações de usuário e de dispositivo.
  • Melhorias na FCI (Infraestrutura de Classificação de Arquivos).
  • Suporte à proteção RMS para criptografia não Microsoft.

Acompanhe como implementar o Controle de Acesso Dinâmico (DAC) com Active Directory do Windows Server 2012

Configurando Controle de Acesso Dinâmico -
Configuração de GPO e Gerenciador de Recursos de Servidor de Arquivos

0) Observe os atributos dos usuários do AD que serão utilizados.
  • Alexandre - Cargo: Gerente ; Departamento: Diretoria
  • Fernanda - Cargo: Operador ; Departamento: Contabilidade



1) No Iniciar do Windows Server digite "central" e clique em Central Administrativa do Active Directory. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.


2) Clique em Controle de acesso Dinâmico e selecione a Unidade Organizacional Claim Types. Clique com o botão direito expanda a opção Novo e selecione Tipo de Declaração.


3) Escolha o atributo de objeto department e em "Nome de exibição:" digite Departamento. Selecione quem utilizará este atributo, neste exemplo marque Usuários.


4) Refaça os passos 2 e 3 com o atributo title e Nome de exibição: Cargo.


5) Observe os tipos de declaração criados e selecione a OU Resource Properties.


6) Dentro de Resource Properties dê um duplo clique em Department.


7) Dentro das propriedades de Department em "Nome de exibição:" digite Departamento. Em Valores Sugeridos clique em Adicionar.
 

8) Em valor sugerido digite duas vezes Contabilidade.



9) Clique em Adicionar em Valores Sugeridos e digite duas vezes Diretoria. Nas propriedades de Department clique em Ok.


10) Clique com o botão direito em Departamento e selecione Habilitar.


11) Clique com o botão direito em Resource Properties e expanda a opção Novo, selecione Propriedade de Recurso.


12) Digite Cargo em "Nome de exibição:". Digite title_MS em "Defina a ID como uma propriedade de recuso idêntica semanticamente em uma..." e em Valores Sugeridos clique em Adicionar.


 13) Em valor sugerido digite duas vezes Gerente.
 

 14) Clique em Adicionar em Valores Sugeridos e digite duas vezes Contabilidade.


15) Na janela Criar Propriedades de Recurso: Cargo clique em Ok.


16) Selecione Resource Property Lists. Clique com botão direito em Global Resource Property e selecione Adicionar propriedades do recurso....


17) Selecione as propriedades de recursos Cargo e Departamento e clique no botão "> >" para adicionar cada um dos recursos. Clique em Ok.


18) Selecione Central Acess Rules. Clique com o botão direito e expanda a opção Novo e selecione Regra de Acesso Central.


19) Digite em "Nome:" Regra-Diretores. Selecione em Permissões a opção Usar as seguintes permissões como atuais e clique em Editar....


21) Em Configurações de Segurança Avançada de Permissões clique em Adicionar.


22) Clique em Selecionar uma entidade de segurança e adicione o grupo Usuários autenticados. Em Permissões básicas marque a opção Controle Total. Adicione uma Condição e a defina nesta ordem: Usuário - Cargo - Igual - Valor - Gerente. Clique em Ok nas três últimas janelas e retorne a janela Central Administrativa do Active Directory


Para evitar o crescimento excessivo da postagem não adicionaremos outras condições. Mais vale ressaltar que, a opção de utilizar condições agora poderá ser feita também, com o conteúdo dos atributos Cargo e Departamento do objeto do AD Usuário. Resumidamente quero dizer que as permissões poderão ser acrescidas de condições como o Cargo ou o Departamento para controlar o acesso.

 23) Selecione Central Acess Policies, clique com botão direito e expanda a opção Novo e selecione Política de Acesso Central.


 24) Clique no botão "> >" para adicionar a regra recém criada e clique em OK.


25) Abra o Gerenciador de Política de Grupo no menu Ferramentas do seu Gerenciador do Servidor. Clique com o botão direito no seu domínio e selecione Criar um GPO neste domínio e fornecer um link para ele aqui....


26) Digite o nome da sua nova GPO e clique em OK. Selecione sua nova GPO criada e clique em Editar...


27) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Configurações do Windows/ Configurações de segurança Sistema de arquivos/Política de Acesso Central/Sistema/KDC". Clique com o botão direito e selecione Gerenciar Politicas de Acesso Central....


28) Selecione a política e clique em Adicionar. Clique em OK. Feche o Editor de Gerenciamento de Política de Grupo.


29) Clique na sua GPO recém criada (na imagem DAC). Em Filtros de Segurança selecione Usuários Autenticados e clique em Remover. Clique em Adicionar e acrescente todas as contas de Computadores que terão esta política aplicada.


 30) Clique em Tipos de objeto para sua busca retornar as contas de Computador.


31) Clique em Adicionar para colocar todos os Computadores que terão a política de grupo (neste exemplo DAC) aplicada.


32) Clique e expanda a OU Domain Controllers. Clique com botão direito em Default Domain Controllers Policy e selecione Editar...


33) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Modelos Administrativos:.../Sistema/KDC". Dê um duplo clique em Suporte do KDC a declarações, autenticação composta e proteção Kerberos
 

34) Nesta nova janela clique em "Habilitado", confira se a opção Suportado esta selecionada e clique em OK. Feche o Editor de Políticas de Grupo.


ESTA CONCLUÍDA A CONFIGURAÇÃO DO DAC NESTE SERVIDOR.
Para efetivar no domínio estas configurações continue as próximas etapas

35) No Powershell execute o comando gpupdate /force


36) No Powershell execute o comando Update-FSRMClassificationpropertyDefinition


Instalando o Gerenciador de Recurso do Servidor de Arquivos -
Utilização de Classificação em Pastas, Arquivos, Recursos e Logon

37) Instale no Servidor que será o Servidor de Arquivos a Função Gerenciador de Recurso de Servidor de Arquivos. Na janela Gerenciador do Servidor no menu Gerenciar selecione Adicionar Funções e Recursos. Avance até a opção de Funções do servidor expanda as opções Serviço de Arquivo e Armazenamento/Seviços de Arquivo e iSCSI e marque a opção Gerenciador de Recurso do Servidor de Arquivos.


38) Clique em Adicionar Recursos e adicione os recursos associados, prossiga com a  instalação.



39) Note na imagem abaixo que antes da configuração do DAC não existia a aba Classificação. Clique com o botão direito em qualquer arquivo ou pasta compartilhada e selecione Propriedades, clique na aba Classificação. Na aba Classificação clique no Atributo (Nome) e depois abaixo selecione o Valor para definir essa condição ao acesso. Não definir um valor nesta aba fará que essa condição não seja aplicada ao arquivo/pasta.


40) Na aba Segurança clique em Avançadas. Nesta nova janela selecione a aba Acesso Efetivo e clique em Selecionar um usuário, adicione um usuário. Clique em Exibir acesso efetivo para exibir as permissões efetivas que o usuário terá a esta pasta.


Conclusão: Trabalhar com atributo de objeto do AD exige que os valores contidos em cada atributo não seja idêntico ao valor de outro atributo. Exemplo: não usar Cargo Diretoria e Departamento Diretoria. Você pode trabalhar com apenas um atributo (é mais comum) ou vários atributos.

"Permissões DAC" são aplicadas até para efetuar logon.

Além das permissões NTFS agora podemos usar as "permissões DAC" que utiliza o nome e os valores contidos nos atributos de objetos do AD. Ao configurar Condições poderemos utilizar o nomes dos atributos ou os seus conteúdos.

Aviso: Em produção, consulte antes o Material de referência da Microsoft.


Esse artigo foi submetido por

Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br

Um comentário:

< >