Dynamic Access Control cho phép quản trị viên cấp quyền và hạn chế truy cập dựa trên các quy tắc được xác định. Qui tắc có thể dựa vào mức độ nhạy cảm của tài nguyên, công việc hoặc vai trò của người dùng và cấu hình của thiết bị được sử dụng để truy cập những tài nguyên đó.
Khi triển khai Dynamic Access Control người dùng có thể có các quyền khác nhau khi họ truy cập tài nguyên từ máy tính tại văn phòng của họ so với khi họ đang sử dụng máy tính cá nhân kết nối qua VPN. Hay quyền truy cập chỉ có thể được cấp phép nếu thiết bị đáp ứng các yêu cầu bảo mật do quản trị viên xác định.
Khi sử dụng Dynamic Access Control, quyền của người dùng sẽ thay đổi linh hoạt mà không cần sự can thiệp bổ sung của quản trị viên, nếu công việc hoặc vai trò của người dùng thay đổi (dẫn đến thay đổi thuộc tính tài khoản của người dùng trong AD DS).
Sau khi hoàn tất bài lab bạn sẽ biết cách triển khai Dynamic Access Control để kiểm soát quyền truy cập vào file server.
Các bước Dynamic Access Control (DAC) :
1. Share Folder
2. Gán thuộc tính cho User
3. Tạo Claim Type
4. Tạo Central Access Rules
5. Tạo Central Access Policies
6. Thiết Lập Policy Dynamic Access Control
7. Thiết lập Dynamic Access Control cho Data Folder
8. Kiểm Tra Dynamic Access Control trên Data Folder
A- CHUẨN BỊ
- Mô hình bài lab bao gồm 2 máy Windows Server 2019/2022 Data Center (DC01 là Domain Control, PC02 là file Server)
- Trên máy DC01 Tạo OU HCM, trong OU HCM tạo 4 user u1, u2, A1 A2 Password: 123, Tạo 2 Global Security Group là Group 1 và Group 2.
- Add u1 và u2 vào Group 1, A1,A2 vào Group 2.
- Move PC02 vào OU HCM
- Trên File Server (PC02) tạo folder C:\DATA. Trong folder DATA, tạo 2 file t1.txt và t2.txt
B. Thực Hiện Triển khai Dynamic Access Control (DAC)
1. Share folder Data (thực hiện trên File Server)
- Tại File Server, vào File Explorer, chuột phải folder DATA, chọn Properties. Qua tab Sharing, chọn Advanced Sharing
- Check ô Share this folder 🡪 nhấn nút Permissions.
- Check chọn Everyone cấp quyền Full Control, ấn Ok và OK
4. Cũng tại cửa sổ Data Properties, chọn tab Security, Ấn Edit.
5. Cửa sổ Permissions for Data, ấn Add, nhập vào Group 1 và Group 2, ấn check name, ấn OK.
6. Cấp quyền cho Group 1 và Group 2 quyền Modify, ấn Ok, ân Close.
2. Gán thuộc tính cho User
Bạn muốn chỉ có các user có department là IT mới được phép truy cập vào folder Data, ở bước này bạn sẽ gán thuộc tính department là IT cho U1 và A1, và gán thuộc tính department là HR cho U2 và A2.
- Tại máy Domain conroller, vào run gõ lệnh DSA.MSC
- Giữ control chọn U1 và A1, phải chuột chọn Properties, chọn tab Organization.
- Check chọn Department và nhập vào IT
- Ấn OK
5. Tương tự giữ control chọn U2 và A2, phải chuột chọn Properties, chọn tab Organization.
6. Check chọn Department và nhập vào HR
7. Ấn OK
3. Tạo Claim Type
Bạn muốn dùng Dynamic Access Control để phân quyền chỉ cho phép truy các user thuộc group 1 và Group 2 có department là IT và mới cập vào thư mục folder Data, Trước tiên bạn phải tạo Claim type có thuộc tính Department tương ứng.
- Tại máy Domain controller, vào Server Manager, chọn Tools,và chọn Active Directory Administrative Center
- Tại cửa sổ Active Directory Administrative Center, chọn Dynamic Access Control, và chọn Claim types,
- Cửa sồ bên phải chọn New, chọn Claim type
4. Cửa sổ Create Claim Type, tìm và chọn Department.
5. Bên tay phải, trong phần Display Name nhập vào Kiem Tra Department, ấn OK
4. Tạo Central Access Rules
Central Access Rules dùng để qui định các điều kiện truy cập vào folder Data
- Tại cửa Dynamic Access Control, và chọn Central Access Rules.
- Cửa sồ bên phải chọn New, chọn Central Access Rule
3. Cửa sổ Create Central Access Rule, trong phần Name nhập vào Rule truy cap vao Data folder,
4. Chọn option Use following permission as current user và chọn Edit.
5. Cửa số Advanced security settings for permissions, ấn Add.
6. Cửa số Permission entry for Permissions, ấn select a principal, nhập vào Group 1, ấn Check name, OK.
7. Trong phần Basic Permission check chọn Modify.
8. Ấn Add a Condition, chọn User, chọn Kiem Tra Department, chọn Equals, chọn Value và nhập vào IT, ấn OK
8. Cửa số Advanced security settings for permissions, tiếp tục ấn Add.
9. Cửa số Permission entry for Permissions, ấn select a principal, nhập vào Group 2, ấn Check name, OK.
10. Trong phần Basic Permission check chọn Modify.
11. Ấn Add a Condition, chọn User, chọn Kiem Tra Department, chọn Equals, chọn Value và nhập vào IT, ấn OK
12. Tiếp tục ấn Ok và Ok ( bạn đã tạo xong Central Access Rule)
5. Tạo Central Access Policies
Phần này Ban sẽ tạo Central Access Policies dùng để áp đặt chính sách cho File server sử dụng DAC.
- Tại cửa Dynamic Access Control, và chọn Central Access Policies.
- Cửa sồ bên phải chọn New, chọn Central Access Policy
3. Cửa sổ Create Central Access Policy, trong phần Name nhập vào Policy truy cập Data Folder. ấn Add.
4. Chọn Rule Truy cap vao Data Folder (bạn đã tạo ở phần trước) ấn Add sang tay phải, ấn Ok và OK.
6. Thiết Lập Policy Dynamic Access Control
Phần này Bạn sẽ thiết lập policy yên cầu chứng thực Kerberos cho tất cả domain User sử dụng Dynamic Access Control và một policy áp đặt Policy truy cập Data Folder ( đã tạo ở phần trước) cho File Server.
a. Edit Default Domain Policy:
- Tại máy Domain controller vào run gõ lệnh GPMC.MSC ấn Enter.
- Cửa sổ Group Policy Management, phải chuột vào Default Domain Policy, chọn Edit
- Vào Computer Configuration\Policies\Administrative Templates\System\KDC double click vào KDC support for claims, compound authentication and Kerberos armoring, chọn option Enable, ấn OK
b. Áp đặt policy cho File Server (đảm bảo rằng bạn đã move PC02 (file server) vào OU HCM)
4. Tại cửa sổ Group Policy Management, phải chuột vào OU HCM chọn Create a GPO in this domain, and link it here.
5. Cửa sổ New GPO nhập vào File Server Policy, ấn OK
6. Phải chuột vào File Server Policy vừa tạo chọn Edit.
7. Vào Computer Configuration\Policies\Windows Settings\Security Settings\File System, chuột phải vào Central Access Policy, chọn Manage Central Access Policies.
8. Chọn Policy truy cap Data Folder ấn add sang tay phải, ấn Ok
9. Vào Run gõ lệnh GPupdate /force
7. Thiết lập Dynamic Access Control cho Data Folder
- Reboot máy PC02 (File Server).
- Tại máy PC02, phải chuột vào folder Data chọn Properties.
- Cửa sổ Data Properties, chọn tab Security, và ấn Advanced
4. Chọn tab Central Policy, ấn Change, và chọn Policy truy cap data folder, ấn Ok và Ok
8. Kiểm Tra Dynamic Access Control trên Data Folder
- Tại máy PC02, phải chuột vào folder Data chọn Properties.
- Cửa sổ Data Properties, chọn tab Security, và ấn Advanced
- Chọn tab Effective Access, chọn Select a User.
- Nhập U1, ấn check name, ấn Ok
- Ấn View effective access, quan sát thấy U1 có quyền Modify
6. Tiếp tục Chọn Select a User.
7. Nhập U2, ấn check name, ấn Ok
8. Ấn View effective access, quan sát thấy U2 không có quyền truy cập.
9. Tiếp tục bạn kiểm tra quyền của A1 và A2.
Hoàn Tất Bài Lab