Tag Archives: Mimbolovedsac
Dynamic Access Control в Windows Server 2012 (часть 2)
В первой части статьи рассмотрены теоретические аспекты технологии Dynamic Access Control. Во второй части рассматривается настройка динамического контроля доступа для ограничения доступа к файловому ресурсу.
Перед развертыванием Dynamic Access Control в организации необходимо учесть некоторые требования.
Доменные службы Active Directory
Для Dynamic Access Control обязательно наличие домена Active Directory. Функциональный уровень домена не влияет на возможность использования Dynamic Access Control, хотя от него и зависят некоторые нюансы, о них пойдет речь в статье.
Контроллеры домена
Если в домене включена поддержка утверждений, то при аутентификации клиент, их поддерживающий, ищет домен-контроллер, который ему эти утверждения предоставит. Поэтому необходимо наличие в домене хотя бы одного доступного домен-контроллера Windows Server 2012.
Также стоит иметь в виду, что клиент осуществляет поиск «правильного» контроллера домена путем последовательного перебора имеющихся в наличии контроллеров, до тех пор пока не найдет нужный. Если в организации недостаточное количество контроллеров Windows Server 2012, то поиск может занять определенное время, из за чего неизбежно увеличится задержка при входе пользователя в систему. Этот момент надо учитывать при планировании DAC в организации.
И отдельно стоит упомянуть о домен-контроллерах только для чтения (RODC). Хотя RODC Windows Server 2012 и поддерживают утверждения, однако все запросы на аутентификацию с их использованием пересылают на полноценный контроллер домена Windows Server 2012. (далее…)
0