Sommaire
Dans ce tutoriel, je vous propose de découvrir le contrôle d’accès dynamique disponible sur Windows Serveur dans un environnement Active Directory.
Avant de rentrer dans le vif du sujet, je vais vous présenter le contrôle d’accès dynamique également appelé DAC (Dynamic Access Control).
DAC ajoute un contrôle supplémentaire sur les droits d’accès NTFS ce qui permet d’étendre les droits. Voici quelques exemples :
- Droit en fonction d’une classification (objet du tutoriel)
- Droit en fonction de l’ordinateur
- Droit en fonction d’un attribut Active Directory
- …
Pour configurer le contrôle d’accès dynamique, il faut que sur le serveur de fichiers le rôle Gestionnaire de ressource du serveur de fichiers (FSRM) soient installé et « maitriser » la classification des fichiers.
La création des règles se fait par la console ADAC.
Déroulement du tutoriel : pour illustrer le contrôle d’accès dynamique, nous allons ajouter une classification (Oui/Non) au fichier qui contienne le mot « DSI », dans le contrôle d’accès dynamique c’est une propriété de ressource. Ensuite nous allons créer une règle d’accès centrale où nous allons configurer les droits d’accès en autorisant seulement les utilisateurs du groupe GRP_USERS_IT à pouvoir accéder aux fichiers qui ont la classification File Tag DSI à oui, pour terminer nous allons créer une Stratégie d’accès central que l’on va publier par GPO afin de pouvoir l’appliquer.
Il est possible également d’utiliser des revendications (claims) basé sur attributs AD des ordinateurs et utilisateurs. Afin de facilité la compréhension du contrôle d’accès dynamique, ce sujet sera abordé dans un autre tutoriel.