案例:集中存取原則

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

檔案的集中存取原則,可讓組織集中部署和管理授權原則,這些原則包含使用使用者群組、使用者宣告、裝置宣告及資源屬性的條件運算式。 (宣告是對其相關聯物件之屬性的判斷提示。) 例如,若要存取高業務衝擊 (HBI) 資料,使用者必須是全職員工、取得受管理裝置的存取權,並使用智慧卡登入。 這些原則是定義和裝載在 Active Directory 網域服務 (AD DS) 中。

組織的存取原則是基於法規遵循性和商業法規要求而制定。 例如,如果組織有一項業務需求是將對於檔案中個人識別資訊 (PII) 的存取限制為只有檔案擁有者和人力資源 (HR) 部門中允許檢視 PII 資訊的成員可以存取,這是套用至 PII 檔案的原則,不論這些檔案位於組織中檔案伺服器上的何處。 在此範例中,您必須能夠:

  • 識別和標記包含 PII 的檔案。

  • 識別可檢視 PII 資訊的 HR 成員群組。

  • 建立集中存取原則,套用至包含 PII 的所有檔案,不論它們位於組織中檔案伺服器上的何處。

計劃部署和強制執行授權原則可能是因為許多原因,而且可以適用於組織中多個層級的要求。 以下是原則類型的一些範例:

  • 整個組織的授權原則。 這個授權原則最常由資訊安全部門提議並基於規範或更高層級的組織需求推動,而且與整個組織有關。 例如,只有全職員工能存取 HBI 檔案。

  • 部門授權原則。 。組織中每個部門各有其規定的特殊資料處理需求。 例如:財務部門可能希望將財務伺服器限制為僅供財務部門員工存取。

  • 特定資料管理原則。 這個原則通常與規範和商業需求有關,目標是保護受管理資訊的正確存取權限。 例如,金融機構中可能會實作資訊牆 (Information Wall),讓分析師不會存取經紀業務資訊,而經紀人則不會存取分析資訊

  • 需要知道的原則。 這個授權原則類型通常與上述原則類型搭配使用。 例如,廠商應該只能夠存取及編輯他們正在處理之專案的相關檔案。

實際環境也告訴我們,每個授權原則都需要有例外狀況,如此一來,當重要的商務需求出現時組織就可以快速反應。 例如,找不到智慧卡但需要快速存取 HBI 資訊的主管,可以打電話給技術支援中心,以獲得存取這些資訊的暫時性例外狀況。

集中存取原則就像是安全性保護傘,組織可以跨伺服器套用這個保護傘。 這些原則會增強 (但不取代) 套用到檔案和資料夾的本機存取原則或判別存取控制清單 (DACL) 。 例如,如果檔案的 DACL 允許特定使用者的存取權限,但套用到此檔案的集中原則限制同一使用者的存取權限,該使用者便無法存取此檔案。 如果集中存取原則允許存取、但 DACL 不允許存取,則使用者無法存取檔案。

集中存取原則規則具有下列邏輯部分:

  • 適用性。 定義原則套用到哪些資料的條件,例如 Resource.BusinessImpact=High。

  • 存取條件。 包含一或多個存取控制項目 (ACE) 的清單,定義誰可以存取資料,例如 Allow | Full Control | User.EmployeeType=FTE。

  • 例外狀況。 包含一或多個 ACE 的額外清單,定義原則的例外狀況,例如 MemberOf(HBIExceptionGroup)。

下列兩張圖顯示集中存取和稽核原則的工作流程。

Diagram that shows the central access and audit policy concepts.

圖 1   集中存取和稽核原則的概念

Diagram that shows the central access policy workflow.

圖 2   集中存取原則的工作流程

集中授權原則結合了下列元件:

  • 一份清單,其中是針對特定資訊類型 (如 HBI 或 PII) 的集中定義存取規則。

  • 集中定義原則,其中包含一份規則清單。

  • 原則識別碼,指派給檔案伺服器上的每個檔案 ,用以指向在存取授權期間應該套用的特定集中存取原則。

下圖示範如何將原則組合成原則清單以集中控制對檔案的存取。

solution guides

圖 3   組合原則

在這個案例中

下列準則供您用在集中存取原則:

這個案例包含的角色與功能

下表列出這個案例中的角色與功能,並說明它們如何支援這個案例。

角色/功能 如何支援本案例
Active Directory 網域服務角色 Windows Server 2012 中的 AD DS 引進了宣告型授權平台,能夠在授權決策中建立使用者宣告和裝置宣告、複合身分識別、(使用者加上裝置宣告)、新的集中存取原則 (CAP) 模型,以及使用檔案分類資訊。
檔案和存放服務角色 檔案和存放服務提供的技術可幫助您設定和管理一或多個檔案伺服器,這些伺服器會在網路上提供儲存檔案以及讓使用者共用檔案的中心位置。 如果您的網路使用者需要存取相同的檔案和應用程式,或集中式的備份與檔案管理對您的組織來說很重要,則應透過新增檔案和存放服務角色與適當的角色服務,將一或多個電腦設成檔案伺服器。
Windows 用戶端電腦 使用者可以透過用戶端電腦存取網路上的檔案和資料夾。