CẤU HÌNH DYNAMIC ACCESS CONTROL (DAC) TRÊN WINDOWS
SERVER 2012 - PHẦN 1: PHÂN QUYỀN TRUY CẬP DỮ LIỆU
I- GIỚI THIỆU:
Dynamic Access Control được giới thiệu từ Windows Server 2012 với những
tính năng ưu việt cho phép hỗ trợ hoạt động của hệ thống File Server. Với
Dynamic Access Control bạn có thể:
- Phân quyền truy cập trên các Folder/File với những điều kiện dựa vào User
Claim, Device Claim hay Resoure Claim cho phép điều khiển quyền hạn truy
cập chi tiết hơn nhiều so với cách phân quyền NTFS truyền thống.
- Giám sát, theo dõi việc truy cập dữ liệu một cách tập trung.
- Hỗ trợ File Server Resource Manager phân loại dữ liệu và điều khiển việc
truy cập dựa vào dữ liệu đã phân loại một cách hiệu quả.
- Tích hợp Rights Management Service để tự động hóa việc bảo vệ các dữ
liệu nhạy cảm trong doanh nghiệp.
Trong bài viết này tôi sẽ giới thiệu chi tiết cách cấu hình Dynamic Access
Control để điều khiển việc phân quyền cho dữ liệu trên hệ thống File Server
II. CÁC BƯỚC TRIỂN KHAI:
Mô hình bài lab bao gồm 3 máy
- DC2012: Domain Controller chạy Windows Server 2012 (domain
mcthub.local)
- SERVER1: File Server chạy Windows Server 2012
- CLIENT1: Client chạy Windows 8
SERVER1 và CLIENT1 là 2 máy đã join domain mcthub.local
* Chuẩn bị:
- Trên máy DC2012, bạn vào Active Directory Users and Computers, tạo OU
DAC, move các máy SERVER1 và CLIENT1 vào OU này. Tiếp theo bạn tạo 2
groupMCTHUB và ITAHUB, tạo thêm 4 user: hien, nam, trong, duy.
- Add 2 user nam và trong vào thành viên group MCTHUB.
- Add 2 user duy và hien vào thành viên group ITAHUB.
- Điều chỉnh thuộc tính Department là "Ketoan" cho 2
User nam và hien. Bạn chọn đồng thời 2 user nam và hien, sau đó nhấn

chuột phải chọn Properties.
- Qua tab Organization, bạn đánh dấu chọn vào ô Department, sau đó nhập
vào Ketoan.

- Điều chỉnh thuộc tính Department là "Nhansu" cho 2 User duy và trong.

- Qua tab Organization, bạn đánh dấu chọn vào ô Department, sau đó nhập
vào Nhansu.
- Trên tất cả các máy, nhập lệnh GpUpdate /Force để cập nhật Policy

- Chuẩn bị dữ liệu cho File Server: Trên máy SERVER1, tạo Folder tên
là Baocao, sau đó Share folder này và cấp quyền Read/Write cho Everyone.
Chuột phải vào folder BaoCao, chọn Share with - Specific people

- Bạn cấp quyền Read/Write cho Everyone.

-Tạo vài File tùy ý trong Folder BaoCao.
* Quy trình thực hiện:
1/ Cấu hình policy cho phép chứng thực Kerberos trên tất cả các thành viên
của domain để hỗ trợ Dynamic Access Control
2/ Cấu hình Dynamic Access Control
a. Tạo Claim Types
b. Tạo Central Access Rule
c. Tạo Central Access Policy
d. Link Central Access Policy vào Group Policy
3/ Áp Central Access Policy vào Folder muốn phân quyền
4/ Kiểm tra
III. TRIỂN KHAI CHI TIẾT:
Trong bài LAB này, tôi sẽ trình bày thao tác cấu hình DAC nhằm mục đích
phân quyền chỉ cho phép truy cập vào thư mục BaoCao khi người dùng thỏa

mãn tất cả các điều kiện sau:
- Là thành viên group MCTHUB
- Có thuộc tính Department là Ketoan
- Phải Logon trên các máy Client chỉ định
1/ Cấu hình policy cho phép chứng thực Kerberos trên tất cả các
thành viên của domain để hỗ trợ Dynamic Access Control
- Trên máy DC2012, mở Server Manager, sau đó bạn vào menu Tools,
chọn Group Policy Management.
- Bạn lần lượt bung Domains, sau đó bung MCTHUB.LOCAL. Chuột phải
vào Default Domain Policy, chọn Edit.

- Trong cửa sổ Group Policy Management Editor, bạn mở theo đường dẫn
sau: Computer Configuration\Policies\Administrative
Templates\System\KDC. Sau đó ở khung bên phải, bạn nhấn chuột phải
vào KDC support for claims, compound authentication and Kerberos
armoring, chọn Edit.

- Ở bên trái, bạn chọn Enable để kích hoạt policy này, sau đó bạn nhấn Apply
và OK.

- Trên tất cả các máy, nhập lệnh GpUpdate /Force để cập nhật Policy.

2/ Cấu hình Dynamic Access Control
- Trên máy DC2012, mở Server Manager để chạy công cụ Active
Directory Administrative Center. Hầu hết các thao tác cấu hình DAC đều
dùng công cụ này.
a. Tạo Claim Types
- Đầu tiên bạn cần tạo một Claim Type. Claim Type qui định một đòi hỏi
(ràng buộc hay yêu cầu) về một đối tượng như User hay Computer dựa vào
các thuộc tính trong Active Directory của đối tượng đó.

Ở đây do bạn cần phân quyền cho User dựa vào thuộc tính Department nên
bạn sẽ tạo một Claim Type dựa vào thuộc tính này.
- Ở khung Claim Types nằm ở góc bên phải, bạn chọn New, sau đó
chọn Claim Type.

- Trong khung thuộc tính bạn tìm và chọn thuộc tính department, sau đó đặt
tên tùy ý, tôi đặt tên là DOI HOI VE department. Nhấn OK.

- Kiểm tra Claim Type đã được tạo.

b. Tạo Central Access Rule

- Bước tiếp theo bạn cần tạo một Central Access Rule.
Central Access Rule là thành phần quan trọng nhất của DAC nhằm qui định
các điều kiện để truy cập vào dữ liệu.
- Ở khung Central Access Rules nằm ở góc bên phải, bạn chọn New, sau đó
chọn Central Access Rule.

- Ở khung Name, bạn đặt tên cho Central Access Rule là: Rule-Dieu kien
truy cap BAOCAO. Ở khung Permission, bạn chọn ô Use following permission
as current user để qui định các điều điện và phân quyền truy cập. Sau đó
bạn nhấn nút Edit.

- Nhấn nút Add để thêm đối tượng cần phân quyền

- Chọn Select a principal.

- Chọn Group MCTHUB.

- Bạn phân quyền Modify cho group MCTHUB, sau đó chọn Add a

condition để qui định thêm các điều kiện truy cập.

- Bạn chọn dòng điều kiện theo thứ tự như hình dưới. Điều kiện bên dưới qui
định User phải có thuộc tính Department (đã định nghĩa Claim Type ở bước
trước là Ketoan). Nhấn OK.

- Kiểm tra lại điều kiện của đối tượng được phân quyền là group MCTHUB,
sau đó OK tất cả các hộp thoại đang mở.

- Quay lại màn hình Create Central Access Rule, bạn kiểm tra lại điều kiện và
nhấn OK.

c. Tạo Central Access Policy
- Tiếp theo bạn cần tạo một Central Access Policy.
Central Access Policy là một tập hợp gồm một hay nhiều Central Access Rule
dùng để áp đặt policy cho hệ thống.
Chúng ta sẽ tạo một Central Access Policy chứa Central Access Rule vừa tạo
- Ở khung Central Access Policies nằm ở góc bên phải, bạn chọn New, sau đó
chọn Central Access Policy.

- Màn hình Create Central Access Policy, ở mục Name, bạn đặt tên. Nhấn
nút Add để thêm Central Access Rule vào Central Access Policy.

- Ở khung bên trái bạn chọn Rule, sau đó nhấn vào biểu tượng Add Rule.
Sau đó nhấn OK.

- Quay lại màn hình Create Central Access Policy, bạn kiểm tra lại Member
Central Access Rules, sau đó nhấn OK.

d. Link Central Access Policy vào Group Policy

Tiếp theo bạn cần đưa Central Access Policy vào Group Policy để áp đặt lên
OU chứa File Server (OU DAC theo ví dụ của bài LAB này)
- Bạn sẽ tạo một Group Policy Object tên là DAC Policy và link nó vào OU
DAC. Mở Group Policy Management, Bạn lần lượt bung Domains, sau đó
bungMCTHUB.LOCAL. Chuột phải vào OU DAC, chọn Create a GPO in this
domain, and Link it here…
- Cửa sổ New GPO, ở mục Name, bạn đặt tên là DAC Policy.

- Chuột phải vào DAC Policy vừa tạo, chọn Edit.

- Bạn tìm Policy theo đường dẫn sau: Computer
Configuration\Policies\Windows Settings\Security Settings\File System,
chuột phải vào Central Access Policy, chọn Manage Central Access Policies.

- Bạn chọn Policy vừa tạo và nhấn nút Add. Sau đó nhấn OK.

- Trên máy DC2012 và SERVER1 bạn nhập lệnh GpUpdate /Force để cập
nhật Policy.

3/ Áp Central Access Policy vào Folder muốn phân quyền
- Trên máy SERVER1, chuột phải vào Folder BAOCAO, chọn Properties.

- Bạn nhấn vào nút Advanced.

- Qua tab Central Policy, bạn nhấn vào mục Change để chọn Central Access
Policy đã tạo trước đó là Policy BAOCAO.

- Nhấn OK mọi hộp thoại xuất hiện.