Ich interessiere mich für dynamische Zugriffskontrollen, um den Benutzerzugriff auf Dateien in meiner Dateifreigabe einzuschränken, weiß aber nicht, ob ich damit mein Ziel erreichen kann.
Alle Dateien in meiner Freigabe haben benutzerdefinierte Metadaten, die die Kategorie beschreiben, in die die Datei fällt (Finanzen, Projekt 1, Projekt 2, Personalwesen usw.). Ich habe auch eine SQL-Tabelle, die Username -> CategorySchlüssel-Wert-Paare enthält.
Gibt es eine Möglichkeit, eine Richtlinie zu erstellen, die den Zugriff auf etwa folgende Weise bestimmt:
File.Category ANY_OF SQL_Table[Username]
Wo SQL_Table[Username]ist eine Liste aller Kategorien, auf die der Benutzer gemäß der SQL-Tabelle Zugriff hat?
Ich möchte keine Sicherheitsgruppen verwenden, da ich nicht möchte, dass jeder weiß, wer an welchen Projekten beteiligt ist. Außerdem würde die Erstellung einer Sicherheitsgruppe die Mitgliedschaft offenlegen.
Antwort1
Dynamic Access Control (DAC) verfügt nicht über die Funktion, SQL Server als Quelle für Autorisierungsinformationen zu verwenden, wie Sie es beschreiben. Die aktuellen Versionen des Produkts tun das einfach nicht.
Active Directory-Attribute und Dateiklassifizierungseigenschaften sind die einzigen Faktoren, die DAC bei einer Autorisierungsentscheidung berücksichtigen kann. Sie müssen entweder ein vorhandenes AD-Attribut verwenden oder das Schema erweitern, um ein neues Attribut zu erstellen, das Ihren Anforderungen entspricht.
Das Verbergen der Mitgliedschaft in Sicherheitsgruppen ist kein völlig hoffnungsloser Fall, obwohl Sie damit definitiv das Standardverhalten des Produkts ändern. Der US Family Educational Rights and Privacy Act (FERPA) hat in der Hochschulgemeinschaft einen Bedarf an AD-Gruppen mit versteckter Mitgliedschaft geschaffen. Es gab einige Diskussionen über dieActiveDir.orgMailingliste darüber in der Vergangenheit. Der Windows Infrastructure-Artikel der University of Washington überDatenschutzkonfiguration für Kursgruppenwäre auch mal was zum Anschauen.