Windows Server 2012 R2: Introduzione a Dynamic Access Control

Windows Server
Nuovo appuntamento con le novità di Windows Server 2012 R2. Oggi si parlerà di Dynamic Access Control, una feature già presente nella versione 2012 RTM, che permette la gestione degli accessi ai documenti in modo molto più flessibile e funzionale rispetto al vecchio modello basato sui gruppi.
Fino all’arrivo di Windows Server 2012 per dare i permessi all’interno delle cartelle condivise, si utilizzavano i vari gruppi di Active Directory che però obbligavano gli amministratori IT ad avere tantissimi gruppi e fare nidificazioni di vario genere per consentire l’accesso ad una determinata cartella; inoltre quando un utente cambiava reparto, si era obbligati a cambiare le varie associazioni ai gruppi per evitare che potesse ancora accedere a materiale a lui non più consentito.
Dynamic Access Control rende tutto molto più semplice e si appoggia al concetto degli attributi di AD, che sono standard e che hanno la peculiarità di essere flessibili. Come prima cosa, create due utenti in Active Directory: il primo dovrà appartenere al dipartimento Finance ed alla country Italy, mentre il secondo farà parte solo del dipartimento Finance. La gestione di DAC si fa tramite la nuova Active Directory Administrative Center; per prima cosa è necessario creare un nuovo Claim, all’interno della sezioneDynamic Access Control -> Claim Types, come mostra la figura 1.
2013_08_05_dac_01
Figura 1 – Creazione Claim
Durante questa dimostrazione si useranno i Claim Country-Name e Department, ma ognuno è libero di personalizzarlo come meglio crede. Il Claim Country-Name – figura 2 – è chiamato in AD semplicemente c, quindi è consigliato modificare il display name in modo che sia più comprensibile. Un’altra cosa che è possibile inserire, sono i valori suggeriti di default all’interno delle regole.
2013_08_05_dac_02
Figura 2 – Inserimento Claim Country-Name
Dopo aver inserito entrambi i Claim, è necessario attivarli e per fare questo bisogna spostarsi nella sezione Resource Properties, come mostra la figura 3.
2013_08_05_dac_03
Figura 3 – Attivazione Claim
A questo punto è necessario creare una regola centralizzata, attraverso la sezione Central Access Rules, come mostra la figura 4.
2013_08_05_dac_04
Figura 4 – Central Access Rules
Creare una nuova regola, con un nome a piacere, e modificare i permessi, aggiungendo nuovi elementi come mostra la figura 5. In questa demo si farà in modo che tutti gli utenti presenti nel gruppo Finance Admins, avranno permessi di scrittura se appartenenti al dipartimento Finance ed alla country Italy. Inserite un altro permesso in cui gli appartenenti allo stesso gruppo avranno permessi di sola lettura se appartenenti al dipartimento Finance, senza quindi specificare la country.
2013_08_05_dac_05
Figura 5 – Creazione Permessi
Dopo aver creato le varie Rules sarà possibile inserirle all’interno della policy, all’interno della sezione Central Access Policy, come mostra la figura 6.
2013_08_05_dac_06
Figura 6 – Central Access Policy
L’ultimo passo riguarda la creazione di una Group Policy che consenta l’applicazione delle CAP a tutti i File Server aziendali. Per fare questo è necessario creare una nuova GPO e modificare la voce Computer Configuration -> Windows Settings -> Security Settings -> File System cliccare il tasto destro su Central Access Policy e selezionare Manage Central Access Policies, inserendo le varie policy create figura 7.
2013_08_05_dac_07
Figura 7 – Inserimento CAP
Adesso bisogna abilitare i Domain Controller a rilasciare i Claims agli utenti e per farlo bisogna attivare la policy KDC Support for claims, compound authentication and Kerberos armoring, presente nella GPO Default Domain Controllers Policy, nel percorso Computer Configuration ->  Policies -> Administrative Templates -> System -> KDC – figura 8. La policy dovrà essere portata su Supported.
2013_08_05_dac_08
Figura 8 – Modifica KDC
A questo punto è necessario passare sul File Server, aggiornare le policy termine gpupdate /force, e creare una nuova cartella condivisa; dato che la gestione degli accessi avverrà tramite DAC, bisognerà assegnare i permessi di NTFS/Share a livello everyone, sia in lettura che scrittura. Create la sottocartella Finance ed aprire le proprietà avanzate; andate in Central Policy ed assegnate la regola CAP, figura 9, quindi spostatevi su un client per effettuare le prove.
2013_08_05_dac_09
Figura 9 – Applicazione Central Policy
Se avete fatto tutto in modo corretto, dovreste poter creare documenti con gli utenti che appartengono al dipartimento Finance ed alla country Italy, mentre coloro che appartengono solo al dipartimento Finance potranno solo leggere il contenuto.