动态访问控制根据文件元数据和 SQL Server 表限制用户对文件的访问

tag-icon tag-icon windows-server-2012 file-permissions windows
动态访问控制根据文件元数据和 SQL Server 表限制用户对文件的访问

我正在研究动态访问控制以限制用户对文件共享中的文件的访问,但我不知道它是否能完成我想要做的事情。

我共享的所有文件都有自定义元数据,描述文件所属的类别(财务、项目 1、项目 2、人力资源等)。我还有一个包含Username -> Category键值对的 SQL 表。

有没有办法建立一个基于以下内容确定访问权限的策略:

File.Category ANY_OF SQL_Table[Username]

SQL_Table[Username]SQL 表中记录的用户可以访问的所有类别的列表在哪里?

我不想使用安全组,因为我不想让每个人都知道谁在哪个项目中,而创建安全组会暴露成员身份

答案1

动态访问控制 (DAC) 不具备使用 SQL Server 作为授权信息来源的功能(如您所述)。该产品的当前版本不具备此功能。

Active Directory 属性和文件分类属性是 DAC 在做出授权决策时可以考虑的唯一因素。您只能使用现有的 AD 属性,或者扩展架构来创建新属性来执行所需的操作。

隐藏安全组成员身份并非完全无用,尽管您肯定会改变产品的默认行为。美国家庭教育权利和隐私法案 (FERPA) 已引起高等教育界对隐藏成员身份的 AD 组的一些需求。关于活动目录过去曾有邮件列表讨论过这个问题。华盛顿大学 Windows 基础设施文章课程组隐私配置也值得一看。

相关内容