Server 2012: Dynamische Zugriffskontrolle einrichten

Hallo Leser,

heute komme ich endlich dazu einen neuen Eintrag zu schreiben. Ich möchte heute die neue Funktion in Windows Server 2012 & Windows 8 Vorstellen: DAC – Dynamic Access Control. Weiter Informationen zu DAC: http://technet.microsoft.com/de-de/library/jj134043.aspx

In Unserem Unternehmensnetzwerk gibt es vier Abteilungen: Geschäftsführung (GF); Marketing; Verkauf & Arbeitsvorbereitung (AV).  Zudem gibt es Entsprechende Freigaben:

Ziel ist es, die Abteilungslaufwerke nur für die entsprechenden Abteilungen freizugeben und zwar nur dann wenn die Mitarbeiter auch einem Windows 8 Client aus dieser Abteilung benutzen.

Insgesamt haben wir 3 Virtuelle Computer: DC, FS & Client1. Die Active Directory Domänendienste auf dem DC sind bereits installiert und Konfiguriert. Der DC wird unter Server 2012 ausgeführt, ebenso der FS auf dem die Freigaben liegen.

Schritt 1 – Client installieren

1. Windows 8 Enterprise installieren
2. Den Client in die Domäne aufnhemen
3. In OU verschieben
4. Active Directory Benutzer & Computer –> Erweiterte Ansicht einschalten
5. Im Attribut-Editor das Attribut „Department“ auf GF setzen

Schritt 2 – AD DS vorbereiten

1. Am DC2 anmelden
2. Gruppenrichtlinienverwaltung öffnen
3. Neue GPO erstellen: C_DynamicAccess –> Bearbeiten
4. Computerkonfiguration –> Richtlinien –> Administrative Vorlagen –> System –> KDC
   • Unterstützung des Kerberos…
   • Aktivieren
   • Immer Ansprüche liefern
5. Mit der Domäne verknüpfen
6. Gpupdate /force am DC ausführen

Schritt 3 – Dynamische Zugriffssteuerung konfigurieren

1. Am DC anmelden
2. AD Verwaltungscenter öffnen
3. In der Übersicht auf Dynamische Zugriffskontrolle –> Den Schritten folgen

Schritt 1: Anspruchstyp erstellen

1. Unter „Quellattribut“ Department suchen
2. Anzeigename: Abteilung
3. Beschreibung ändern: Basiert auf den Eigenschaftswert „Abteilung“ des Active Directory Objektes
4. Ansprüche für folgende Klassen: Benutzer & Computer
5. OK

Schritt 2: Ressourceneigenschaft erstellen

1. Anzeigename: Abteilungen
2. Beschreibung: Klassifiziert Ordner und Dateien anhand der Abteilungszugehörigkeit. Die unten angegebenen Werte müssen den Eigenschaftswerten der Active Directory Objekten gleichgestellt sein.
3. Vorgeschlagene Werte à Hinzufügen
   • Wert: GF
   • Anzeigename: GF
   • Beschreibung: Abteilung Geschäftsführung
   • OK
4. Vorgeschlagene Werte à Hinzufügen
   • Wert: Marketing
   • Anzeigename: Marketing
   • Beschreibung: Abteilung Marketing
   • OK
5. Vorgeschlagene Werte à Hinzufügen
   • Wert: Verkauf
   • Anzeigename: Verkauf
   • Beschreibung: Abteilung Verkauf
   • OK
6. Vorgeschlagene Werte à Hinzufügen
   • Wert: AV
   • Anzeigename: AV
   • Beschreibung: Abteilung Arbeitsvorbereitung
   • OK
7. OK

Schritt 3: Zentrale Zugriffsregel erstellen

1. Name: Zugriff auf Abteilungsdaten
2. Beschreibung: Schützt den sicheren Zugriff auf  Abteilungslaufwerke
3. Zielressourcen à Bearbeiten à Bedingung hinzufügen
   • Ressource; Abteilung; Beliebiges Element; Wert; AV:GF:Marketing:Verkauf
4. Berechtigungen auf Folgende Berechtigungen als aktuelle Berechtigungen verwenden
   • Bearbeiten –> Administratoren entfernen
   • Hinzufügen: Wie im Bild
   • 
5. Regel mit OK bestätigen

Schritt 4: Zentrale Zugriffsrichtlinie erstellen

1. Name: Abteilungslaufwerke
2. Beschreibung: Enthält die Regel „Zugriff auf Abteilungslaufwerke“
3. Zentrale Zugriffsregeln des Mitglieds: Hinzufügen –> Zugriff auf Abteilungslaufwerke
4. OK

Schritt 5: Zentrale Zugriffsrichtlinie auf Dateiserver veröffentlichen

1. Gruppenrichtlinienverwaltung öffnen
2. Neue Gruppenrichtlinie –> C_DAC Richtlinien
3. Computerkonfiguration –> Richtlinien –> Windows-Einstellungen –> Sicherheitseinstellungen –> Dateisystem
4. Rechtsklick à Zentrale Zugriffsrichtlinien verwalten à
5. Abteilungslaufwerke auswählen und Hinzufügen à OK
6. Richtlinien mit Member-Server verknüpfen
7. An FS2 anmelden
8. Gpupdate /force

Schritt 6: Dateien/Ordner klassifizieren

1. Am FS2 anmelden
2. Server Manager starten à Rollen und Features hinzufügen à Dateidienste à Ressourcen-Manger für Dateiserver à Features hinzufügen
3. 2x Weiter à Installieren
4. FSRM öffnen
5. Klassifizierungsverwaltung à Klassifizierungseigenschaften à Aktualisieren
6. Die „Abteilung“ Klassifizierung sollte aufgeführt werden
7. Die Eigenschaften der Abteilungslaufwerke öffnen –> Registerkarte Klassifizierung
   • Mit entsprechenden Werten klassifizieren: Bild
   • 
8. Fertig

Schritt 7: Überwachungseinstellungen konfigurieren

1. Am DC2 anmelden
2. Gruppenrichtlinienverwaltung starten
3. Die GPO C_DAC Richtlinien bearbeiten
4. Computerkonfiguration à Richtlinien à Windows Einstellungen à Sicherheitseinstellungen à Erweiterte Überwachungskonfiguration à Anmelden/ Abmelden
5. Anmelden Überwachen: Aktiviert à Erfolgreich & Fehler
6. Benutzer-/Geräteansprüche überwachen: Aktiviert à Erfolgreich & Fehler
7. Am FS2 anmelden à gpupdate /force
8. Am CL2 anmelden mit Leonard Bott à Zugriff auf GF versuchen à Scheitert
9. Ereignisanzeige am FS öffnen à Sicherheitsprotokoll à Fehler 4626
10. Das Gerät hat keinen Anspruch erhalten!!!

Schritt 8: Zentrale Zugriffsrichtlinie auf Dateien/Ordner anwenden

1. Sicherheitseigenschaften der Ordner öffnen
2. Erweitert –> Zentrale Richtlinie –>Ändern
3. Pull Down-Menü –> Abteilungslaufwerke auswählen
4. Übernehmen –> Okay –> OK
5. Am DC2 anmelden –> Gruppenrichtlinienverwaltung starten
6. Die GPO C_DynamicAccess bearbeiten –>
7. Computerkonfiguration –> Richtlinien –> Administrative Vorlagen –> System –> Kerberos
   • Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz: Aktiviert
   • Verbundauthentifizierung unterstützen: Aktiviert; immer
8. Fertig
9. Client und DC Neustarten –> Zugriff versuchen –> Geht :)