Dynamic Access Control

Server 2012 ile beraber gelen yeni bir özelliktir. Server 2012 den önce file server üzerindeki yetkilendirmeleri belirli kurallara göre yapabiliyorduk.

 

Aslında bu kuralların temelinde de grup üyelikleri vardı. Yani bir kaynak için hangi grubun yetkisi olduğuna karar veriyor sonra kullanıcıları ilgili gruplara üye yapıyorduk. Yani aslında static bir Access Control söz konusu idi. AND ve OR gibi değişkenlerin kullanımı söz konusu değildi. DAC ise bize tamda adından da anlaşılacağı gibi dinamik içerik erişimi sağlamaktadır. Yani bir kullanıcı hem muhasebe grubuna üye hem de finans grubuna üye ise erişsin veya bir kullanıcı muhasebe veya finans gruplarından birine üye bile olsa erişsin gibi AND – OR döngüleri bazlı erişim kuralı yazabiliyoruz. Tabiki bu temel bir tanım olup örneklere geçtikçe daha iyi anlaşılacaktır. Ancak özetle DAC yetkilendirme konusunda bize çok büyük bir esneklik sağlamaktadır.

 

Daha teknik anlatmak gerekir ise, eskiden bizim dosyalara erişim için kullanabildiğimiz tek bir element vardı o da “Securityp Principal” dı.

 

Security principal, kimlik doğrulamak ve bunun sonunda yetkisi dahilinde kaynaklara erişmek için kullanılan bilgisayar hesabı, güvenlik grubu veya kullanıcı hesaplarına security principal denir. Yani bunları bir element olarak düşünebilirsiniz. Hepsinin kendine özgü bir SID numarası olan ve yetkilendirme - kaynak erişimi için kullandığımız elementlerdir. Örneğin bir klasöre yetki vermek istiyorsanız bir security principal kullanmanız gereklidir. Nedir bu derseniz bu bir kullanıcı, group veya makine hesabı olabilir.

 

DAC ile beraber ise artık kullanıcıların ad üzerindeki departman, Office, country, manager ve benzeri attiribute lerinide ACL için kullanabiliyoruz.

 

Daha net anlaşılması için aşağıdaki gibi bir örnek vermek istiyorum.

 

Allow Write if User.MemberOf(Muhasebe) and User.EmployeeType=Outsource and Device.Managed=True

 

DAC ile yukarıdaki gibi bir Access Control kuralı yazmamız mümkün. Bu kurala göre eğer kullanıcı muhasebe grubu üyesi ve AD içerisindeki “EmployeeType” öz niteliği Outsource ise, ayrıca bu dosyaya erişmek istediği cihaz yönetilebilen bir cihaz ise bu durumda bu kullanıcının yazmak hakkı vardır.

 

Gördüğünüz gibi tamamen dinamik bir kontrol kuralı yazabiliyoruz.

 

Yine yukarıda da bahsettiğim gibi artık sadece group üyelikleri değil attribute diye nitelendirdiğimiz öznitelikleri de kullanabiliyoruz.

 

Daha fazla bilgi için aşağıdaki videoyu izleyebilirsiniz

http://www.cozumpark.com/blogs/videolar/archive/2012/07/21/webcast-windows-server-2012-dynamic-access-control-dac.aspx