我正在研究dynamic访问控制作为限制用户访问我的文件共享中的文件的方式,但我不知道它是否可以做我想做的事情。
我共享中的所有文件都有自定义元数据,用于描述文件所属的类别(财务,项目1,项目2,人力资源等)。我也有一个SQL表,它包含Username -> Category键值对。
有没有一种方法来build立一个基于这样的决定访问的策略:
File.Category ANY_OF SQL_Table[Username]
其中SQL_Table[Username]是用户有权访问的所有类别的列表,如SQL表中logging的那样?
我不想使用安全组,因为我不希望每个人都知道谁在哪个项目中,并且创build一个安全组将会公开成员
dynamic访问控制(DAC)没有任何function将SQL Server用作授权信息的来源,就像您所描述的那样。 该产品的当前版本不这样做。
活动目录属性和文件分类属性是DAC在作出授权决定时可以考虑的唯一因素。 你被困在使用现有的AD属性或扩展模式来创build一个新的属性来做你正在寻找。
隐藏安全组成员资格并不是完全失败的原因,尽pipe您肯定会更改产品的默认行为。 美国家庭教育权利和隐私法案(FERPA)已经引起高等教育界对隐藏成员的AD组织的需求。 过去在ActiveDir.org邮件列表上讨论过这个问题。 华盛顿大学Windows基础结构课程组隐私configuration文章也是值得关注的。