我正在研究動態存取控製作為限制用戶訪問我的文件共享中的文件的方法,但我不知道它是否可以實現我想要做的事情。
我共享中的所有文件都有自訂元數據,用於描述文件所屬的類別(財務、項目 1、項目 2、人力資源等)Username -> Category。
有沒有辦法建立一個策略來根據以下內容確定存取權限:
File.Category ANY_OF SQL_Table[Username]
SQL_Table[Username]SQL 表中記錄的使用者有權存取的所有類別的清單在哪裡?
我不想使用安全群組,因為我不想讓每個人都知道誰在哪些專案中,並且建立安全群組會暴露成員身份
答案1
動態存取控制 (DAC) 沒有任何功能可以使用 SQL Server 作為授權資訊來源,就像您所描述的那樣。該產品的當前版本並沒有做到這一點。
Active Directory 屬性和檔案分類屬性是 DAC 在做出授權決策時可以考慮的唯一因素。您要么使用現有的 AD 屬性,要么擴展架構以建立新屬性來執行您正在尋找的操作。
隱藏安全性群組成員資格並不是完全失敗的原因,儘管您肯定會更改產品的預設行為。美國《家庭教育權利和隱私法案》(FERPA) 引起了高等教育界對隱性成員資格的 AD 團體的一些需求。已經有一些討論ActiveDir.org過去有關此的郵件清單。華盛頓大學 Windows 基礎設施文章課程組隱私權配置也值得一看。