Windows-Server-2012

動態訪問控制根據文件元數據和 SQL Server 表限制使用者對文件的訪問

  • January 1, 2014

我正在研究動態訪問控制,以限制使用者訪問我的文件共享中的文件,但我不知道它是否可以做我想做的事情。

我共享的所有文件都有自定義元數據,描述文件所屬的類別(財務、項目 1、項目 2、人力資源等)。我還有一個包含Username -> Category鍵值對的 SQL 表。

有沒有辦法建立一個策略來確定基於這樣的訪問:

File.Category ANY_OF SQL_Table[Username]

SQL_Table[Username]SQL 表中記錄的使用者有權訪問的所有類別的列表在哪裡?

我不想使用安全組,因為我不希望每個人都知道誰在哪些項目中,並且創建安全組會暴露成員身份

動態訪問控制 (DAC) 沒有任何功能可將 SQL Server 用作您所描述的授權資訊源。該產品的目前版本只是不這樣做。

Active Directory 屬性和文件分類屬性是 DAC 在做出授權決定時可以考慮的唯一因素。您要麼使用現有的 AD 屬性,要麼擴展架構以創建新屬性來執行您正在尋找的操作。

隱藏安全組成員身份並不是一個完全失敗的原因,儘管您肯定會更改產品的預設行為。美國家庭教育權利和隱私法案 (FERPA) 在高等教育界引起了對具有隱藏成員資格的 AD 團體的一些需求。過去在ActiveDir.org郵件列表上對此進行了一些討論。華盛頓大學關於課程組隱私配置的 Windows 基礎結構文章也值得一看。

引用自:https://serverfault.com/questions/564375