Estou analisando os controles de acesso dinâmico como uma forma de limitar o acesso do usuário aos arquivos em meu compartilhamento de arquivos, mas não sei se ele pode fazer o que estou tentando fazer.
Todos os arquivos em meu compartilhamento possuem metadados personalizados que descrevem a categoria em que o arquivo se enquadra (Finanças, Projeto 1, Projeto 2, Recursos Humanos, etc.). Também tenho uma tabela SQL que contém Username -> Categorypares de valores-chave.
Existe uma maneira de construir uma política que determine o acesso com base em algo assim:
File.Category ANY_OF SQL_Table[Username]
Onde SQL_Table[Username]está uma lista de todas as categorias às quais o usuário tem acesso, conforme registradas na tabela SQL?
Não quero usar grupos de segurança porque não quero que todos saibam quem está em quais projetos, e a criação de um grupo de segurança exporia os membros
Responder1
O Controle de Acesso Dinâmico (DAC) não possui nenhuma funcionalidade para usar o SQL Server como fonte de informações de autorização como você está descrevendo. As versões atuais do produto simplesmente não fazem isso.
Os atributos do Active Directory e as propriedades de classificação de arquivos são os únicos fatores que o DAC pode levar em consideração ao tomar uma decisão de autorização. Você está preso ao usar um atributo AD existente ou estender o esquema para criar um novo atributo para fazer o que procura.
Ocultar a associação ao grupo de segurança não é uma causa completamente perdida, embora você esteja definitivamente alterando o comportamento padrão do produto. A Lei dos Direitos Educacionais e Privacidade da Família dos EUA (FERPA) causou alguma necessidade na comunidade de ensino superior de grupos AD com membros ocultos. Tem havido algumas discussões sobreActiveDir.orgmailing list sobre isso no passado. O artigo sobre infraestrutura do Windows da Universidade de Washington sobreConfiguração de privacidade do grupo de cursosseria algo para se olhar também.