Динамический контроль доступа ограничивает доступ пользователя к файлу на основе метаданных файла и таблицы SQL Server.
Я смотрю на Dynamic Access Controls как на способ ограничения доступа пользователей к файлам в моей общей папке, но я не знаю, может ли он делать то, что я пытаюсь сделать.
Все файлы в моей общей папке имеют собственные метаданные, которые описывают категорию, к которой относится этот файл (Финансы, Проект 1, Проект 2, Управление персоналом и т. Д.). У меня также есть таблица SQL, которая содержит Username -> Category пары ключ-значение.
Есть ли способ построить политику, которая определяет доступ на основе чего-то вроде этого:
File.Category ANY_OF SQL_Table[Username]
куда SQL_Table[Username] список всех категорий, к которым пользователь имеет доступ, как записано в таблице SQL?
Я не хочу использовать группы безопасности, потому что я не хочу, чтобы все знали, кто в каких проектах, а создание группы безопасности раскрыло бы членство
1 ответ
Динамический контроль доступа (DAC) не имеет никаких функций для использования SQL Server в качестве источника информации для авторизации, которую вы описываете. Текущие версии продукта просто не делают этого.
Атрибуты Active Directory и свойства классификации файлов - это единственные факторы, которые DAC может учитывать при принятии решения об авторизации. Вы застряли либо используя существующий атрибут AD, либо расширяете схему, чтобы создать новый атрибут, чтобы делать то, что вы ищете.
Сокрытие членства в группах безопасности не является полностью потерянным делом, хотя вы определенно изменяете поведение продукта по умолчанию. Закон США о правах на образование и конфиденциальность в семье (FERPA) вызвал определенную потребность в сообществе высшего образования для групп AD со скрытым членством. В прошлом в списке рассылки ActiveDir.org были некоторые обсуждения. Также можно посмотреть статью по инфраструктуре Windows Вашингтонского университета, посвященную настройке конфиденциальности группы курсов.