내 파일 공유에 있는 파일에 대한 사용자 액세스를 제한하는 방법으로 동적 액세스 제어를 조사하고 있지만 이것이 내가 하려는 작업을 수행할 수 있는지 여부는 알 수 없습니다.
내 공유에 있는 모든 파일에는 파일이 속하는 범주(재무, 프로젝트 1, 프로젝트 2, 인사 등)를 설명하는 사용자 정의 메타데이터가 있습니다. 또한 Username -> Category키 값 쌍을 보유하는 SQL 테이블도 있습니다.
다음과 같은 기준으로 액세스를 결정하는 정책을 구축하는 방법이 있습니까?
File.Category ANY_OF SQL_Table[Username]
SQL_Table[Username]SQL 테이블에 기록된 대로 사용자가 액세스할 수 있는 모든 범주 목록은 어디에 있습니까?
누가 어떤 프로젝트에 있는지 모든 사람이 알기를 원하지 않으며 보안 그룹을 생성하면 멤버십이 노출되므로 보안 그룹을 사용하고 싶지 않습니다.
답변1
DAC(동적 액세스 제어)에는 설명하는 것처럼 SQL Server를 인증 정보의 소스로 사용하는 기능이 없습니다. 현재 버전의 제품은 그렇게 하지 않습니다.
Active Directory 특성과 파일 분류 속성은 DAC가 권한 부여 결정을 내릴 때 고려할 수 있는 유일한 요소입니다. 기존 AD 특성을 사용하거나 스키마를 확장하여 원하는 작업을 수행하는 새 특성을 만드는 데 어려움을 겪고 있습니다.
보안 그룹 멤버십을 숨기는 것이 완전히 원인을 잃은 것은 아니지만 제품의 기본 동작을 확실히 변경하는 것입니다. 미국 가족 교육 권리 및 개인 정보 보호법(FERPA)으로 인해 고등 교육 커뮤니티에는 숨겨진 구성원이 있는 AD 그룹이 필요하게 되었습니다. 에 관해 몇 가지 논의가 있었습니다.ActiveDir.org과거에 이에 대한 메일링 리스트를 확인했습니다. University of Washington Windows 인프라 관련 기사코스 그룹 개인정보 보호 구성그것도 볼만한 일이겠죠.