Dynamic Access Control: Schritt-für-Schritt-Anleitung

    Zugriffsrechte über Dynamic Access Control regeln.Dynamic Access Control (dynamische Zugriffs­kontrolle) wurde mit Windows Server 2012 einge­führt und soll die starre Zu­ordnung von Datei­rechten zu Benutzern durch ein flexi­bleres Ver­fahren ergänzen. Es beruht auf dem Einsatz mehrerer Techno­logien, so dass mehr zu tun ist, als bloß ein Feature zu aktivieren.

    Das Konzept von Dynamic Access Control (siehe dazu: Dynamic Access Control: zentrale Zugriffsregeln für Windows Server 2012 R2) besteht im Wesentlichen aus drei Komponenten:

    • Es zieht nicht bloß die Mitgliedschaft in bestimmten Gruppen, sondern alle möglichen Eigenschaften eines User- oder Computer-Objekts ("Claims") heran, um Zugriffrechte zu berechnen.
    • Privilegien sind nicht starr an Verzeichnisse und Dateien gebunden, sondern hängen davon ab, wie Ressourcen auf einem File-Server klassifiziert wurden. Dazu müssen diese mit Hilfe von beliebigen Tags wie vertraulich, Rechnung oder externes Projekt beschrieben werden ("Resource Properties").
    • Regeln verknüpfen Claims mit den Resource Properties und legen fest, welche Rechte die Benutzer erhalten, wenn sie bestimmte Eigenschaften aufweisen und auf Dateien zugreifen möchten, die mit bestimmten Etiketten versehen wurden.

    Die Einrichtung von Dynamic Access Control ist mithin durch diese drei Aspekte im Großen und Ganzen vorgegeben. Sie erfordert, dass man das Active Directory für Claims vorbereitet und Claims-Typen definiert, File-Server-Ressourcen mit Hilfe von Tags beschreibt und schließlich Regeln definiert und verteilt, die Claims mit den Resource Properties in Verbindung setzen. Da es sich dabei großteils um separate Aufgaben handelt, ist die Reihenfolge der nachfolgend beschriebenen Schritte nicht zwingend.

    Claims über GPO aktivieren

    Claims sind ein zentraler Bestandteil von Dynamic Access Control und setzen Schema-Erweiterungen des AD voraus. Diese könnte man zwar mit Hilfe von adprep auch unter Windows Server 2008 (R2) nachrüsten, aber Microsoft empfiehlt die Installation eines DC unter Windows Server 2012 (R2).

    Auch nach der Erweiterung des AD-Schemas sind Claims noch nicht automatisch verfügbar. Vielmehr müssen sie erst über Gruppenrichtlinien aktiviert werden. Dafür ist die Einstellung Computerkonfigurationen => Richtlinien => Administrative Vorlagen => System => KDC => Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz zuständig.

    Auch wenn das AD-Schema die Erweiterungen für Claims enthält, müssen diese erst über GPOs aktiviert werden.

    Diese muss man aktivieren und anschließend wahlweise die Option Unterstützt oder Immer Ansprüche liefern auswählen. Das GPO mit dieser Einstellung wendet man auf die Domänen-Controller an. Anschließend ist in der Regel ein GPO-Refresh auf den DCs mittels gpupdate erforderlich.

    Claim-Typen definieren

    Für diese Aufgabe ist das AD-Verwaltungscenter (ADAC) vorgesehen, es enthält in der linken Menüleiste einen entsprechenden Eintrag unter Dynamische Zugriffkontrolle. Führt man den Befehl Neuer Anspruchstyp aus, dann zeigt das Tool eine Liste von User- und Computer-Attributen, die man für den Claim-Type verwenden kann. Nach Eingabe eines Namens und einer optionalen Beschreibung kann man den Anspruchstyp speichern und beliebig viele weitere anlegen.

    Beim Anlegen eines neuen Claim-Types kann man Eigenschaften aus einer vorgegebenen Liste von AD-Attributen wählen.

    Resource Properties erstellen

    Das Gegenstück zu den Eigenschaften von Benutzern und Computer sind jene von Dateien und Verzeichnissen. Während Erstere sich in der Regel aus AD-Attributen speisen, sollte man die Tags abhängig von den damit beschriebenen Daten benennen.

    Auch diese Metadaten für die File-Server-Ressourcen verwaltet das ADAC. Öffnet man den Link Resource Properties, dann findet man dort eine ganze Liste vordefinierter Labels. Sie sind per Voreinstellung deaktiviert und müssen bei Bedarf freigeschaltet werden. Diese vorgegeben Werte sind auch in der lokalisierten Version des Admin-Tools auf Englisch, so dass man deshalb häufig eigene Tags erstellen wird.

    Microsoft gibt eine Reihe von Labels vor, die Dateien und Verzeichnisse beschreiben, allerdings auf Englisch.

    Der Befehl Neu bietet die Auswahl zwischen Ressourceneigenschaft und Referenz­ressourcen­eigenschaft. Gewöhnlich entscheidet man sich für die erste Option, Zweitere ist für den Spezialfall gedacht, wo man eine Resource Property direkt mit einem Claim Type verknüpft und von dort die Vorgeschlagenen Werte übernimmt. Resource Properties können verschiedene Datentypen haben, die man im zuständigen Dialog auswählen und mit Vorgabewerten versehen kann.

    Resource Properties in Listen zusammenfassen

    Hat man alle benötigten Tags zur Klassifizierung von Dateien und Verzeichnissen angelegt, dann bündelt man sie anschließend in Resource Property Lists. Die Ressourceneigenschaften lassen sich nur in einem solchen Paket auf die File-Server übertragen.

    Der Vorgang selbst ist unkompliziert und besteht darin, dass man nach der Auswahl von Resource Property Lists in der linken Menüleiste den Befehl Neu => Ressourceneigenschaftenliste ausführt. Der folgende Dialog ist selbsterklärend und erlaubt das Hinzufügen von Resource Properties zur Liste.

    Resource Properties müssen für die Veröffentlichung per GPO in Listen zusammengefasst werden.

    Die vorgegebenen Eigenschaften sind von Haus aus in der ebenfalls vordefinierten Global Resource Property List. Legt man eigene Listen an, dann muss man sie über Gruppenrichtlinien verteilen. Dafür ist die Einstellung Computerkonfigurationen => Richtlinien => Administrative Vorlagen => System => Dateiklassifizierungsinfrastruktur => Dateiklassi­fizierungs­infrastruktur: Liste der Klassifizierungseigenschaften angeben zuständig.

    Central Access Rules erstellen

    Im nächsten Schritt definiert man im Active Directory jene Regeln, die für die Zugriffsrechte auf Dateien anhand der Claims und Resource Properties maßgeblich sind. Hier verknüpft man beispielsweise die Eigenschaften nach dem Muster "Wenn ein User in der Geschäftsleitung ist, dann darf er Dokumente bearbeiten, die mit Streng vertraulich klassifiziert sind".

    Central Access Rules schränken Ressourcen und Benutzerrechte auf Basis von Claims und Resource Properties ein.

    Der für das Formulieren von Regeln zuständige Dialog findet sich unter Central Access Rules. Dort kann man erstens auswählen, welche Zielressourcen von der Regel betroffen sein sollen. Standardmäßig steht in diesem Feld Alle Ressourcen, diese Vorgabe kann man durch Bedingungen einschränken, wobei auch komplexere Ausdrücke erlaubt sind (der entsprechende Editor versteckt sich hinter Bearbeiten => Bedingung hinzufügen).

    Zweitens legt man hier die Zugriffsrechte fest und schränkt sie anhand von Bedingungen auf jene User oder Computer ein, die bestimmte Claims besitzen. Auch hier versteckt sich der Editor zur Formulierung von Ausdrücken hinter Bearbeiten => Bedingung hinzufügen.

    Central Access Rules in Policies aufnehmen

    Wie bei den Resource Properties ist bei den Central Access Rules nicht vorgesehen, dass sie einzeln auf den Datei-Servern veröffentlicht werden. Vielmehr muss man sie ebenfalls im Paket verteilen, hier heißt ein solches Central Access Policy. Der Vorgang funktioniert ähnlich unkompliziert wie bei den Resource Property Lists.

    Central Access Rules muss man in Central Access Policies zusammenfassen, bevor man sie per GPO verteilen kann.

    Auch hier erfolgt die Distribution über Gruppenrichtlinien. Zuständig ist dafür die Einstellung Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Dateisystem => Zentrale Zugriffsrichtlinie. Dort legt man über den Befehl Neu eine Richtlinie an und wählt die gewünschten Policies aus, die man zuvor zusammengestellt hat.

    Die definierten Policies gelangen per GPO an die File-Server.

    Klassifizierung der Ressourcen

    Die zentral definierten Regeln kann man nun auf Ressourcen eines File-Servers anwenden. Dies erfordert zum einen, dass Verzeichnisse oder Dateien mit den Resource Properties beschrieben werden, die man zuvor im AD Verwaltungscenter angelegt, in Listen zusammengefasst und per GPO verteilt hat. Dies kann man in den Eigenschaften eines Ordners unter der Registerkarte Klassifizierung tun.

    Nach der Klassifizierung von Dateien und Verzeichnissen muss man noch zentrale Zugriffsregeln explizit zuordnen.

    Die Zuordnung von Metadaten alleine reicht aber nicht aus, um die zentralen Zugriffsregeln zu aktivieren. Vielmehr muss man zusätzlich die Erweiterten Sicherheitseinstellungen des betreffenden Objekts öffnen und dort unter dem Reiter Zentrale Sicherheitsrichtlinie eine solche erst auswählen und mit dem Verzeichnis, einem Verzeichnisbaum oder einzelnen Dateien verknüpfen.

    2 Kommentare

    Bild von Jürgen Pomberger
    Jürgen Pomberger sagt:
    28. März 2019 - 12:44

    Kann man eigentlich Dynamic Access Control ausschließlich auf Windows Files Servern verwenden oder auch zb. auf Synology NAS? (Synology unterstützt ja ACL)

    Danke

    Bild von Wolfgang Sommergut
    28. März 2019 - 23:00

    Für DAC ist ein Windows-File-Server erforderlich.