Dynamic Access Control – 2

Continuando con el tema Dynamic Access Control, y habiendo visto en la nota anterior “Dynamic Access Control – 1” las configuraciones inciales y cómo asignar acceso a recursos mediante “User Claims”, en esta nota veremos la otra opción disponible, como es asignar el acceso mediante propiedades del recurso

En esta nota veremos la creación y administración de propiedades de los recursos en forma manual, más sencillo pero que permite ver el comportamiento, dejando para una futura nota cómo se pueden clasificar automáticamente los recursos, o inclusive cómo asignar el privilegio de acuerdo al equipo en que se incie sesión

Continuamos con los mismos equipos y configuración que en la nota anterior: un Controlador de Dominio, un servidor miembro, y opcionalmente con un cliente

Como el objetivo de la demostración es asignar los permisos de acceso basados en propiedades de los recursos, evidentemente lo primero que debemos hacer es ver las propiedades que se le pueden asignar a los recursos, o como en este caso la creación de una propiedad de acuerdo a necesidad

Para esto en DC1, abrimos “Active Directory Administrative Center” y nos enfocamos en Dynamic Access Control / Resource Properties

Podemos observar que hay una gran cantidad de propiedades ya definidas que podemos utilizar. Si quisiéramos utilizar alguna alcanzaría con botón derecho sobre la misma y habilitarla, o inclusive podríamos entrar a sus propiedades y modificarla. De todas formas en este caso crearé una nueva llamada “Gerencias”. El objetivo será que todos los usuarios, podría ser un grupo, tengan acceso de lectura a un recurso, pero determinados usuarios (los gerentes por ejemplo) tengan permiso de modificación

Vamos a crear nuestra propiedad de recurso llamada “Gerencias”

Y vamos a asignarle los valores posibles, aunque diga “sugeridos”. Yo crearé dos: Gerencia y Personal

 

Ahora debemos cambiarnos a SRV1, y si no queremos esperar, debemos forzar la detección de la propiedad de recursos. Esto lo podemos hacer con PowerShell usando el comando: “Update-FSRMClassificationPropertyDefinition”

Y, siempre en SRV1, crearé una carpeta compartida que utilizaré para la demostración; en mi caso la llamé “DAC2-Gerencia”, y la compartí con permisos de compartido de todos con control total, para que no interfiriera con los permisos de NTFS o DAC

Ahora vamos a la ficha “Security” para asignar los permisos de seguridad (NTFS) que necesitamos, así que lo primero es cortar la herencia de permisos, copiando los heredados

Removemos la entrada que permite a los usuarios crear archivos, dejando sólo el que le permite leer

Y ahora vamos a agregar el permiso que nos interesa

Para esta demostración, y sin utilizar ni grupos, ni “User Claims” simplemente le asignaré al usuario U2, el permiso de modificar todos los recursos con la propiedad “Gerencia”

Aunque el siguiente proceso se puede hacer en forma totalmente automática, nosotros lo dejaremos para una futura nota, así que a la carpeta en cuestión le asignaremos manualmente la propiedad “Gerencia”

Con botón derecho sobre la carpeta, veremos que apareció una nueva ficha llamada “Classification”. En ésta debemos marcar el valor “Gerencia” y aceptar el cambio

Por las dudas verificamos desde la ficha “Effective Access” cuál será el acceso de U1 (debería ser sólo lectura)

Correcto para U1. Ahora hagamos lo mismo para U2 que como podemos observar es lo deseado: modificación

Como segunda verificación, inicio sesión en CL1 con U1, y compruebo que puede leer el contenido de la carpeta

Y U1, tiene sólo lectura, no puede modificar

En cambio si iniciamos en CL1 sesión con U2, éste no sólo puede leer, sino que además modificar

 

Resumiendo, en esta segunda parte hemos asignado permisos de acceso en base a las propiedades de un recurso a un determinado usuario

 

 

Anuncio publicitario