ファイル共有内のファイルへのユーザー アクセスを制限する方法として、ダイナミック アクセス コントロールを検討していますが、私がやろうとしていることが実現できるかどうかはわかりません。
共有内のすべてのファイルには、ファイルが属するカテゴリ (財務、プロジェクト 1、プロジェクト 2、人事など) を説明するカスタム メタデータがあります。また、Username -> Categoryキーと値のペアを保持する SQL テーブルもあります。
次のような基準でアクセスを決定するポリシーを構築する方法はありますか?
File.Category ANY_OF SQL_Table[Username]
SQL_Table[Username]SQL テーブルに記録されている、ユーザーがアクセスできるすべてのカテゴリのリストはどこにありますか?
セキュリティグループを使いたくないのは、誰がどのプロジェクトに参加しているかを全員に知られたくないからです。セキュリティグループを作成すると、メンバーが明らかになります。
答え1
ダイナミック アクセス制御 (DAC) には、説明されているような認証情報のソースとして SQL Server を使用する機能はありません。製品の現在のバージョンでは、それが実行されません。
Active Directory 属性とファイル分類プロパティは、DAC が承認の決定を行う際に考慮できる唯一の要素です。既存の AD 属性を使用するか、スキーマを拡張して新しい属性を作成して目的の処理を行うしかありません。
セキュリティグループのメンバーシップを非表示にすることは、完全に無駄なことではありませんが、製品のデフォルトの動作が確実に変更されます。米国の家族教育の権利とプライバシー法(FERPA)により、高等教育コミュニティでは、非表示のメンバーシップを持つADグループに対するニーズが生じています。アクティブディル過去にこの件についてメーリングリストで議論した。ワシントン大学のWindowsインフラストラクチャに関する記事コースグループのプライバシー設定これも注目すべき点でしょう。