有一些机密数据,我们希望确保这些数据不会被用户复制并最终泄露出组织。
为了实现这一目标,我们定义了一个受限制的 Windows 计算机,用户可以访问该计算机,但不能输入或输出任何数据。该计算机上的用户应该可以访问那些不应复制的敏感项目。
我正在寻找的是定义网络共享的子路径,以便仅从某些计算机访问。例如,如果用户 A 从工作站 1 访问共享中的文件夹 A,他应该被拒绝访问,但如果他从工作站 2 访问,他应该可以访问。
我正在使用 AD 控制环境,带有 Windows Server 2016。已经查看了动态访问控制,但不知道是否可以使用它。
--------更新---------
DAC(动态访问控制)似乎是正确的方法。
我尝试过,我能够根据用户属性/特性构建条件访问。但同样,我无法根据设备属性(设备声明)构建条件访问。
比如,如果我想构建对资源路径的条件访问,根据设备(计算机)的描述,我能够对其提出声明,但我访问它的机器无法处理该声明,只能拒绝应该允许的访问。
-------更新--------
最后,放弃 DAC,因为大多数可用资源告诉您如何处理用户索赔,但几乎找不到设备索赔的成功案例。
为了实现为不同机器维护不同用户权限的目标,我创建了共享克隆,这些共享通过 robocopy 实用程序保持同步。必须为每台机器单独分配权限。
目前运行良好。我喜欢 DAC 的用途,但无法实现它。