Estoy estudiando los controles de acceso dinámico como una forma de limitar el acceso de los usuarios a los archivos de mi recurso compartido de archivos, pero no sé si pueden hacer lo que estoy intentando hacer.
Todos los archivos de mi recurso compartido tienen metadatos personalizados que describen la categoría a la que pertenece el archivo (Finanzas, Proyecto 1, Proyecto 2, Recursos Humanos, etc.). También tengo una tabla SQL que contiene Username -> Categorypares clave-valor.
¿Hay alguna manera de crear una política que determine el acceso en función de algo como esto?
File.Category ANY_OF SQL_Table[Username]
¿Dónde SQL_Table[Username]está una lista de todas las categorías a las que tiene acceso el usuario, según lo registrado en la tabla SQL?
No quiero usar grupos de seguridad porque no quiero que todos sepan quién está en qué proyectos, y crear un grupo de seguridad expondría a los miembros.
Respuesta1
El control de acceso dinámico (DAC) no tiene ninguna funcionalidad para usar SQL Server como fuente de información de autorización como la que usted describe. Las versiones actuales del producto simplemente no hacen eso.
Los atributos de Active Directory y las propiedades de clasificación de archivos son los únicos factores que DAC puede tener en cuenta al tomar una decisión de autorización. Estás atascado usando un atributo AD existente o extendiendo el esquema para crear un nuevo atributo para hacer lo que estás buscando.
Ocultar la membresía del grupo de seguridad no es una causa completamente perdida, aunque definitivamente está cambiando el comportamiento predeterminado del producto. La Ley de Privacidad y Derechos Educativos de la Familia de EE. UU. (FERPA) ha provocado cierta necesidad en la comunidad de educación superior de grupos AD con membresía oculta. Ha habido algunas discusiones sobre laActiveDir.orglista de correo sobre esto en el pasado. El artículo sobre infraestructura de Windows de la Universidad de Washington sobreConfiguración de privacidad del grupo del cursoTambién sería algo que mirar.