Access Control Overview

Applies to

• Windows 10
• Windows Server 2016

This topic for the IT professional describes access control in Windows, which is the process of authorizing users, groups, and computers to access objects on the network or computer. Key concepts that make up access control are permissions, ownership of objects, inheritance of permissions, user rights, and object auditing.

Feature description

Computers that are running a supported version of Windows can control the use of system and network resources through the interrelated mechanisms of authentication and authorization. After a user is authenticated, the Windows operating system uses built-in authorization and access control technologies to implement the second phase of protecting resources: determining if an authenticated user has the correct permissions to access a resource.

Shared resources are available to users and groups other than the resource’s owner, and they need to be protected from unauthorized use. In the access control model, users and groups (also referred to as security principals) are represented by unique security identifiers (SIDs). They are assigned rights and permissions that inform the operating system what each user and group can do. Each resource has an owner who grants permissions to security principals. During the access control check, these permissions are examined to determine which security principals can access the resource and how they can access it.

Security principals perform actions (which include Read, Write, Modify, or Full control) on objects. Objects include files, folders, printers, registry keys, and Active Directory Domain Services (AD DS) objects. Shared resources use access control lists (ACLs) to assign permissions. This enables resource managers to enforce access control in the following ways:

Deny access to unauthorized users and groups

Set well-defined limits on the access that is provided to authorized users and groups

Object owners generally grant permissions to security groups rather than to individual users. Users and computers that are added to existing groups assume the permissions of that group. If an object (such as a folder) can hold other objects (such as subfolders and files), it is called a container. In a hierarchy of objects, the relationship between a container and its content is expressed by referring to the container as the parent. An object in the container is referred to as the child, and the child inherits the access control settings of the parent. Object owners often define permissions for container objects, rather than individual child objects, to ease access control management.

Windows internet access control

Internet Access Control Utility

Control internet access with Windows Firewall

This script is based on code by Peter Löfgren, check out his website here.

For full instructions and documentation, visit my site.

Please consider supporting my work:

Internet Access Control Utility can also be downloaded from:

Tweet me if you have questions: @mikegalvin_

Features and Requirements

• It requires Windows Firewall to be active.

This utility has been tested on Windows 10.

Here’s a list of all the command line switches and example configurations.

Command Line Switch	Description	Example
-Disable	Block the internet. Create the firewall rule to block ports 80 and 443	N/A
-Enable	Allow the internet. Removes the firewall rule created, allowing the ports 80 and 443	N/A
-NoBanner	Use this option to hide the ASCII art title in the console.	N/A
-L	The path to output the log file to. The file name will be Inet-Access-Control_YYYY-MM-dd_HH-mm-ss.log. Do not add a trailing \ backslash.	C:\scripts\logs

The above command will disable the internet access using Windows Firewall and the log file will be output to C:\scripts\logs.

About

Control internet access with Windows Firewall

6 способов контроля доступа устройств к ресурсам сети

С контролем доступа к ресурсам сети (например, файловым) все просто — есть пользователи, есть ресурсы, устанавливаем права доступа на уровне ресурса и готово. Но как обстоят дела с контролем доступа на уровне устройств? Как сделать так, чтобы доступ определялся и на уровне пользователя, и на уровне устройства, с которого осуществляется подключение? Далее опишу подходы, позволяющие снизить вероятность подключения к ресурсам организации с не доверенных узлов.

name=»‘more'»>
Прежде конкретизируем задачу: внутри локальной сети сервера с ресурсами и рабочие места пользователей. Важно, чтобы доступ к ресурсам пользователи получали только с доменных компьютеров (части компьютеров), на которые установлены средства защиты и контроля. Речь о внутренней инфраструктуре и средства межсетевого экранирования уровня сети не рассматриваем.

Хорошо если контролируешь инфраструктуру на физическом уровне, это позволяет частично снизить вероятность появления не доверенных устройств организационными мерами. Но доверять только физическим и организационным мерам не стоит, да и бывают ситуации, когда инфраструктура полностью или в какой-то части находится вне физического и сетевого контроля. Например, совместное использование кабельной сети и коммутационного оборудования с другими организациями в рамках инфраструктуры бизнес-центра или использование беспроводной сети.

Итак, как контролировать доступ c устройств техническими мерами:

Взаимодействие только с сетевой инфраструктурой:

1. Port security

Базовая защитная мера уровня коммутационного оборудования, заключающаяся в ограничении доступа в сеть в зависимости от MAC адреса устройства. Входит в Топ 30 мер по защите коммутационного оборудования .
Недостатки: мера малоэффективна и является скорее защитой от дурака случайных нарушений, т.к. подделка MAC адреса задача тривиальная.
Условия внедрения: наличие контроля над коммутационным оборудованием, наличие требуемых функций на оборудовании.

Взаимодействие с серверной и сетевой инфраструктурой:

2. 802.1x / NAC

Если все коммутационное оборудование под контролем, то возможно развертывание инфраструктуры 802.1x на базе RADIUS сервера или технологии Network Access Control (у Microsoft это роль Network Policy Server c компонентом Network Access Protection (NAP).

Решение позволяет осуществлять предварительную авторизацию устройств и назначение им IP/VLAN в зависимости от результатов проверки. В случае успешного внедрения получаем возможность динамически размещать узлы по VLAN и проводить разноплановые проверки подключаемых узлов, например — наличие и актуальность антивирусного ПО или межсетевого экрана.

Недостатки: относительная сложность настройки, необходимость развертывания отдельного сервера авторизации, отсутствие возможности настройки специфичных проверок штатными средствами.

Взаимодействие только с серверной инфраструктурой:

3. Microsoft Dynamic Access control

Решение, полностью решающее задачу контроля доступа с устройств к файловым ресурсам. Начиная с MS Windows Server 2012 для управления доступом к ресурсам могут использоваться реквизиты ( clames ) и пользователя, и компьютера, с которого осуществляется подключение. Достаточно определить политику, устанавливающую одним из требований на доступ к файловым ресурсам наличие компьютера, с которого осуществляется доступ, в нужной группе службы каталогов. Доступ на основе клэйма компьютера это не главное преимущество технологии динамического контроля доступа, но для решения нашей задачи оно ключевое. Для погружения в вопрос рекомендую это видео .

Главное ограничение, которое ставит крест на внедрении этого решения в большинстве инфраструктур в том, что клэймы устройств работают только если клиентом выступает ОС Windows 10 и выше.

Если исходными данными является инфраструктура, полностью построенная на Windows 10, то это решение однозначно не стоит обходить стороной.

Так же к недостаткам можно отнести возможность настройки доступа только к файловым ресурсам, защитить таким образом доступ к ресурсам на других протоколах не удастся. (Хотя тут могу и ошибаться, т.к. до промышленного внедрения по причине первого ограничения не дошел)

4. IPSec

Есть достаточно элегантное решение, заключающееся в настройке доступа к ключевым серверам организации по IPSec. В данном случае мы используем IPSec не по прямому назначению для создания VPN подключений, а применяем его для ограничения доступа между узлами одной сети.

Схема контроля доступа на базе IPSec

Настройка осуществляется через групповые политики, которые применяются на сервера и рабочие станции, с которых нужен доступ. В результате только компьютеры, на которых политика была применена (а это могут быть не все доменные компьютеры, а только группа компьютеров) будут иметь доступ к ключевым серверам, остальные же узлы просто не смогут установить соединение с сервером.

Если мы защищаем конкретный сервис (например, файловую шару, БД, Web-сервис) то и переводить на IPSec будем только порты защищаемого протокола, а не все соединения с сервером, что снизит нагрузку на сеть и оборудование.

Так же, если защита от перехвата трафика в задачах не стоит, то IPSec достаточно настроить в режиме контроля целостности по MD5, а шифрование отключить, что еще больше снизит нагрузку.

Применение групповой политики должно осуществляться одномоментно на сервер и все компьютеры, которым необходимо подключение. Если политика на компьютер не применена, доступа к серверу не будет.

Без взаимодействия с инфраструктурой:

5. Скрипты

Если вносить изменения в сетевую или северную инфраструктуру нет возможности, то можно решить задачу путем анализа успешных подключений к серверам скриптом со следующим алгоритмом:

• Проверка логов контроллера домена (или файлового сервера) на предмет событий авторизации пользователя;
• Выделение из событий авторизации имени компьютера, с которого подключился пользователь;
• Попытка подключиться к этому компьютеру по протоколам SMB (CIFS) или WMI. Если подключение не удалось — значит узел не входит в домен (или у него проблемы с доступом, что тоже не порядок).
• Реагирование на нарушение: занесение информации о проблемных узлах в лог скрипта, уведомление администратора безопасности, отключение учетной записи

Подобное решение удобно с точки зрения кастомизации и объединения с другими скриптами, например с автоматизированной матрицей доступа или автоматическими поэтажными планами . При этом, как и любое собственное решение оно требует значительного времени на разработку и наладку.

6 Сканирование

Наиболее распространенное и простое решение, заключающееся в использовании любого сетевого сканера. В случае использования наиболее продвинутых вариантов возможно максимально автоматизировать процесс выявления новых или не соответствующих требованиям устройств и снизить временные затраты. Отсутствие необходимости интеграции с серверной и сетевой инфраструктурой упрощает внедрение данного решения.

В качестве недостатка следует отметить время, так как любой анализ будет ретроспективен, а также невозможность активного противодействия доступу с не доверенных устройств.

Резюме

Выбор подходящего решения на прямую зависит от архитектуры защищаемой инфраструктуры, от компетенции персонала, а также соотношения затрат на внедрение к критичности защищаемых ресурсов.

Решений много, надеюсь варианты, описанные выше, будет полезны. В свою очередь, если сталкивались с иным решением, прошу написать в комментариях.

Обзор динамического контроля доступа Dynamic Access Control Overview

Область применения: Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2012 R2, Windows Server 2012

В этой обзорной статье для ИТ-специалистов описывается динамический контроль доступа и связанные с ним элементы, появившиеся в Windows Server 2012 и Windows 8. This overview topic for the IT professional describes Dynamic Access Control and its associated elements, which were introduced in Windows Server 2012 and Windows 8.

Динамический контроль доступа на основе доменов позволяет администраторам применять разрешения и ограничения управления доступом, основываясь на четко определенных правилах, которые включают конфиденциальность ресурсов, работу или роль пользователя и конфигурацию устройства, используемого для доступа к этим ресурсам. Domain-based Dynamic Access Control enables administrators to apply access-control permissions and restrictions based on well-defined rules that can include the sensitivity of the resources, the job or role of the user, and the configuration of the device that is used to access these resources.

Так, пользователям могут выдаваться разные разрешения при доступе к ресурсу с офисного компьютера и портативного компьютера через виртуальную частную сеть. For example, a user might have different permissions when they access a resource from their office computer versus when they are using a portable computer over a virtual private network. Либо доступ может быть разрешен, только если устройство соответствует требованиям безопасности, определенным администраторами сети. Or access may be allowed only if a device meets the security requirements that are defined by the network administrators. Если используется динамический контроль доступа, разрешения пользователя изменяются динамически без дополнительного вмешательства администратора при изменении его задания или роли (что приводит к изменению атрибутов учетной записи пользователя в AD DS). When Dynamic Access Control is used, a user’s permissions change dynamically without additional administrator intervention if the user’s job or role changes (resulting in changes to the user’s account attributes in AD DS).

Динамический контроль доступа не поддерживается в операционных системах Windows до версий Windows Server 2012 и Windows 8. Dynamic Access Control is not supported in Windows operating systems prior to Windows Server 2012 and Windows 8. Если динамический контроль доступа настроен в средах с поддерживаемыми и неподдерживаемыми версиями Windows, изменения будут применяться только в поддерживаемых версиях. When Dynamic Access Control is configured in environments with supported and non-supported versions of Windows, only the supported versions will implement the changes.

Ниже перечислены компоненты и концепции, связанные с динамическим контролем доступа. Features and concepts associated with Dynamic Access Control include:

Централизованные правила доступа Central access rules

Централизованное правило доступа — это выражение правил авторизации, которые могут включать одно или несколько условий, затрагивающих группы пользователей, требования пользователей и устройств, а также свойства ресурсов. A central access rule is an expression of authorization rules that can include one or more conditions involving user groups, user claims, device claims, and resource properties. Несколько централизованных правил доступа можно объединить в централизованную политику доступа. Multiple central access rules can be combined into a central access policy.

Если для домена определены одно или несколько централизованных правил доступа, администраторы файловых ресурсов общего доступа могут сопоставлять определенные правила с определенными ресурсами и бизнес-требованиями. If one or more central access rules have been defined for a domain, file share administrators can match specific rules to specific resources and business requirements.

Централизованные политики доступа Central access policies

Централизованные политики доступа — это политики авторизации, включающие условные выражения. Central access policies are authorization policies that include conditional expressions. Например, предположим, что Организация имеет бизнес-требование для ограничения доступа к личной информации (PII) в файлах только владельцу файла и членам отдела кадров, которым разрешено просматривать персональные данные. For example, let’s say an organization has a business requirement to restrict access to personally identifiable information (PII) in files to only the file owner and members of the human resources (HR) department who are allowed to view PII information. Эта политика организации применяется к файлам персональных данных, на каком бы из файловых серверов организации они ни располагались. This represents an organization-wide policy that applies to PII files wherever they are located on file servers across the organization. Для реализации этой политики организация должна иметь следующие возможности: To implement this policy, an organization needs to be able to:

идентифицировать и пометить файлы, содержащие персональные данные; Identify and mark the files that contain the PII.

идентифицировать группу сотрудников отдела кадров, которой разрешен просмотр персональных данных; Identify the group of HR members who are allowed to view the PII information.

добавить централизованную политику доступа к централизованному правилу доступа и затем применить это правило ко всем файлам, содержащим персональные данные, где бы они ни располагались на файловых серверах организации. Add the central access policy to a central access rule, and apply the central access rule to all files that contain the PII, wherever they are located amongst the file servers across the organization.

Централизованные политики доступа служат «зонтиками» безопасности, прикрывающими все серверы. Central access policies act as security umbrellas that an organization applies across its servers. Эти политики дополняют (но не заменяют) политики локального доступа или списки управления доступом на уровне пользователей (DACL), применяемые к файлам и папкам. These policies are in addition to (but do not replace) the local access policies or discretionary access control lists (DACLs) that are applied to files and folders.

Утверждения Claims

Утверждение — это уникальная деталь информации о пользователе, устройстве или ресурсе, опубликованная контроллером домена. A claim is a unique piece of information about a user, device, or resource that has been published by a domain controller. В качестве примера утверждения можно привести название пользователя, классификация отдела для файла или состояние работоспособности компьютера. The user’s title, the department classification of a file, or the health state of a computer are valid examples of a claim. Объект может включать более одного утверждения, и любое сочетание утверждений можно использовать для авторизации доступа к ресурсам. An entity can involve more than one claim, and any combination of claims can be used to authorize access to resources. В поддерживаемых версиях Windows доступны следующие типы утверждений: The following types of claims are available in the supported versions of Windows:

Утверждения пользователей. Атрибуты Active Directory, связанные с конкретным пользователем. User claims Active Directory attributes that are associated with a specific user.

Утверждения устройств. Атрибуты Active Directory, связанные с конкретным компьютером. Device claims Active Directory attributes that are associated with a specific computer object.

Атрибуты ресурсов. Глобальные свойства ресурсов, отмеченные для использования в решениях авторизации и публикуемые в Active Directory. Resource attributes Global resource properties that are marked for use in authorization decisions and published in Active Directory.

Утверждения позволяют администраторам давать точные, охватывающие все предприятие или организацию инструкции, касающиеся пользователей, устройств и ресурсов, которые можно включать в выражения, правила и политики. Claims make it possible for administrators to make precise organization- or enterprise-wide statements about users, devices, and resources that can be incorporated in expressions, rules, and policies.

Выражения Expressions

Условные выражения — это усовершенствование управления доступом, разрешающее или запрещающее доступ к ресурсам при выполнении определенных условий, таких как членство в группе, расположение или состояние безопасности устройства. Conditional expressions are an enhancement to access control management that allow or deny access to resources only when certain conditions are met, for example, group membership, location, or the security state of the device. Этими выражениями можно управлять через диалоговое окно дополнительных параметров безопасности редактора ACL или редактор централизованных правил доступа центра администрирования Active Directory (ADAC). Expressions are managed through the Advanced Security Settings dialog box of the ACL Editor or the Central Access Rule Editor in the Active Directory Administrative Center (ADAC).

Выражения помогают администраторам управлять доступом к конфиденциальным ресурсам с помощью гибких условий в бизнес-средах возрастающей сложности. Expressions help administrators manage access to sensitive resources with flexible conditions in increasingly complex business environments.

Предложенные разрешения Proposed permissions

Предложенные разрешения позволяют администратору более точно моделировать результаты потенциальных изменений настроек управления доступом до их реального выполнения. Proposed permissions enable an administrator to more accurately model the impact of potential changes to access control settings without actually changing them.

Прогнозирование действительного доступа к ресурсу помогает планировать и настраивать разрешения для него перед их реализацией. Predicting the effective access to a resource helps you plan and configure permissions for those resources before implementing those changes.

Дополнительные изменения Additional changes

Ниже перечислены дополнительные изменения в поддерживаемых версиях Windows, обеспечивающие динамический контроль доступа. Additional enhancements in the supported versions of Windows that support Dynamic Access Control include:

Поддержку протокола проверки подлинности Kerberos для надежного предоставления утверждений пользователей, утверждений устройств и групп устройств. Support in the Kerberos authentication protocol to reliably provide user claims, device claims, and device groups.

Устройства с поддерживаемыми версиями Windows по умолчанию могут обрабатывать билеты Kerberos, связанные с динамическим контролем доступа, которые включают данные, необходимые для комплексной проверки подлинности. By default, devices running any of the supported versions of Windows are able to process Dynamic Access Control-related Kerberos tickets, which include data needed for compound authentication. Контроллеры доменов могут выдавать билеты Kerberos, включающие информацию, связанную с комплексной проверкой подлинности, и отвечать на них. Domain controllers are able to issue and respond to Kerberos tickets with compound authentication-related information. Когда домен настраивается для распознавания динамического контроля доступа, устройства получают утверждения от контроллеров домена при начальной проверке подлинности и билеты комплексной проверки подлинности при подаче запросов на билеты службы. When a domain is configured to recognize Dynamic Access Control, devices receive claims from domain controllers during initial authentication, and they receive compound authentication tickets when submitting service ticket requests. Комплексная проверка подлинности ведет к созданию маркера доступа, включающего удостоверение пользователя, и устройства для ресурсов, поддерживающих динамический контроль доступа. Compound authentication results in an access token that includes the identity of the user and the device on the resources that recognize Dynamic Access Control.

Поддержка использования групповой политики центра распространения ключей (KDC) для обеспечения динамического контроля доступа в домене. Support for using the Key Distribution Center (KDC) Group Policy setting to enable Dynamic Access Control for a domain.

У каждого контроллера домена должна быть та же настройка политики административных шаблонов, которую можно найти в папке Конфигурация компьютера\Политики\Административные шаблоны\Система\KDC\Поддержка динамического контроля доступа и защиты Kerberos. Every domain controller needs to have the same Administrative Template policy setting, which is located at Computer Configuration\Policies\Administrative Templates\System\KDC\Support Dynamic Access Control and Kerberos armoring.

Поддержка использования групповой политики центра распространения ключей (KDC) для обеспечения динамического контроля доступа в домене. Support for using the Key Distribution Center (KDC) Group Policy setting to enable Dynamic Access Control for a domain.

У каждого контроллера домена должна быть та же настройка политики административных шаблонов, которую можно найти в папке Конфигурация компьютера\Политики\Административные шаблоны\Система\KDC\Поддержка динамического контроля доступа и защиты Kerberos. Every domain controller needs to have the same Administrative Template policy setting, which is located at Computer Configuration\Policies\Administrative Templates\System\KDC\Support Dynamic Access Control and Kerberos armoring.

Поддержка сохранения утверждений пользователей и устройств, свойств ресурсов и объектов централизованных политик доступа в Active Directory. Support in Active Directory to store user and device claims, resource properties, and central access policy objects.

Поддержка использования групповых политик для развертывания объектов централизованных политик доступа. Support for using Group Policy to deploy central access policy objects.

Следующий параметр групповой политики позволяет развертывать объекты централизованной политики доступа на файловых серверах в организации: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Файловая система\Централизованная политика доступа. The following Group Policy setting enables you to deploy central access policy objects to file servers in your organization: Computer Configuration\Policies\ Windows Settings\Security Settings\File System\Central Access Policy.

Поддержка авторизации файлов на основе утверждений и аудита для файловых систем посредством использования групповой политики и аудита доступа к глобальным объектам Support for claims-based file authorization and auditing for file systems by using Group Policy and Global Object Access Auditing

Для аудита реального доступа, предоставляемого централизованной политикой доступа с помощью предложенных разрешений, необходимо включить поэтапный аудит централизованной политики доступа. You must enable staged central access policy auditing to audit the effective access of central access policy by using proposed permissions. Эту настройку можно выполнить на компьютере на странице Конфигурация расширенной политики аудита в разделе Параметры безопасности объекта групповой политики. You configure this setting for the computer under Advanced Audit Policy Configuration in the Security Settings of a Group Policy Object (GPO). После настройки параметра безопасности в объекте групповой политики этот объект можно развернуть на компьютерах в сети. After you configure the security setting in the GPO, you can deploy the GPO to computers in your network.

Поддержка преобразования или фильтрации объектов политики утверждений, просматривающих отношения доверия лесов Active Directory Support for transforming or filtering claim policy objects that traverse Active Directory forest trusts

Вы можете фильтровать или преобразовывать входящие и исходящие утверждения, просматривающие доверие леса. You can filter or transform incoming and outgoing claims that traverse a forest trust. Существуют три основных сценария фильтрации и преобразования утверждений. There are three basic scenarios for filtering and transforming claims:

Фильтрация на основе значений. Фильтры могут быть основаны на значении утверждения. Value-based filtering Filters can be based on the value of a claim. Это позволяет доверенному лесу предотвратить отправку утверждений с определенными значениями доверяющему лесу. This allows the trusted forest to prevent claims with certain values from being sent to the trusting forest. Контроллеры доменов в доверяющих лесах могут использовать фильтрацию на основе значений для защиты от несанкционированного повышения привилегий, фильтруя входящие утверждения от доверенного леса по их значениям. Domain controllers in trusting forests can use value-based filtering to guard against an elevation-of-privilege attack by filtering the incoming claims with specific values from the trusted forest.

Фильтрация на основе типов утверждений. Фильтры, основанные на типе утверждения, а не на его значении. Claim type-based filtering Filters are based on the type of claim, rather than the value of the claim. Тип утверждения определяется по его имени. You identify the claim type by the name of the claim. Фильтрация на основе типов утверждений используется в доверенном лесе. Она не позволяет Windows отправлять утверждения, раскрывающие информацию доверяющему лесу. You use claim type-based filtering in the trusted forest, and it prevents Windows from sending claims that disclose information to the trusting forest.

Преобразование на основе типов утверждений. Изменяет утверждение перед отправкой его намеченной цели. Claim type-based transformation Manipulates a claim before sending it to the intended target. Преобразование на основе типов утверждений используется для обобщения известного утверждения, содержащего конкретную информацию. You use claim type-based transformation in the trusted forest to generalize a known claim that contains specific information. Преобразования можно использовать для обобщения типа утверждения, значения утверждения или того и другого. You can use transformations to generalize the claim-type, the claim value, or both.

Требования к программному обеспечению Software requirements

Так как утверждения и комплексная проверка подлинности для динамического контроля доступа требуют расширений проверки подлинности Kerberos, у домена, поддерживающего динамический контроль доступа, должно быть достаточно контроллеров домена, использующих поддерживаемые версии Windows, для поддержки проверки подлинности клиентов Kerberos, применяющих динамический контроль доступа. Because claims and compound authentication for Dynamic Access Control require Kerberos authentication extensions, any domain that supports Dynamic Access Control must have enough domain controllers running the supported versions of Windows to support authentication from Dynamic Access Control-aware Kerberos clients. По умолчанию устройства должны применять контроллеры доменов на других сайтах. By default, devices must use domain controllers in other sites. Если такие контроллеры недоступны, проверка подлинности окончится неудачей. If no such domain controllers are available, authentication will fail. Поэтому необходима поддержка одного из следующих условий. Therefore, you must support one of the following conditions:

Во всех доменах, поддерживающих динамический контроль доступа, должно быть достаточно контроллеров доменов с поддерживаемыми версиями Windows Server для поддержки проверки подлинности всех устройств с поддерживаемыми версиями Windows или Windows Server. Every domain that supports Dynamic Access Control must have enough domain controllers running the supported versions of Windows Server to support authentication from all devices running the supported versions of Windows or Windows Server.

Для устройств с поддерживаемыми версиями Windows, которые не защищают ресурсы с помощью утверждений или составных удостоверений, следует отключить поддержку динамического контроля доступа протоколом Kerberos. Devices running the supported versions of Windows or that do not protect resources by using claims or compound identity, should disable Kerberos protocol support for Dynamic Access Control.

В доменах, поддерживающих утверждения пользователей, все контроллеры доменов с поддерживаемыми версиями Windows должны быть настроены для поддержки утверждений, комплексной проверки подлинности и защиты Kerberos. For domains that support user claims, every domain controller running the supported versions of Windows server must be configured with the appropriate setting to support claims and compound authentication, and to provide Kerberos armoring. Настройте параметры в политике административного шаблона KDC следующим образом. Configure settings in the KDC Administrative Template policy as follows:

Всегда предоставлять утверждения. Используйте этот параметр, если на всех контроллерах доменов используются поддерживаемые версии Windows Server. Always provide claims Use this setting if all domain controllers are running the supported versions of Windows Server. Кроме того, установите режим работы домена Windows Server 2012 или выше. In addition, set the domain functional level to Windows Server 2012 or higher.

Поддерживается. При использовании этого параметра отслеживайте контроллеры доменов, чтобы убедиться в том, что число контроллеров домена с поддерживаемыми версиями Windows Server достаточно для числа клиентских компьютеров, которым необходим доступ к ресурсам, защищенным динамическим контролем доступа. Supported When you use this setting, monitor domain controllers to ensure that the number of domain controllers running the supported versions of Windows Server is sufficient for the number of client computers that need to access resources protected by Dynamic Access Control.

Если домен пользователя и домен файлового сервера находятся в разных лесах, все контроллеры домена в корне леса файлового сервера должны быть установлены на уровне Windows Server 2012 или выше. If the user domain and file server domain are in different forests, all domain controllers in the file server’s forest root must be set at the Windows Server 2012 or higher functional level.

Если клиенты не признают динамический контроль доступа, между двумя лесами должны существовать двусторонние отношения доверия. If clients do not recognize Dynamic Access Control, there must be a two-way trust relationship between the two forests.

Если утверждения преобразуются при выходе из леса, все контроллеры домена в корне леса пользователя должны быть установлены на уровне Windows Server 2012 или выше. If claims are transformed when they leave a forest, all domain controllers in the user’s forest root must be set at the Windows Server 2012 or higher functional level.

У файлового сервера с ОС Windows Server 2012 или Windows Server 2012 R2 должен быть параметр групповой политики, указывающий, должен ли сервер получать утверждения пользователей для токенов пользователей, у которых нет утверждений. A file server running Windows Server 2012 or Windows Server 2012 R2 must have a Group Policy setting that specifies whether it needs to get user claims for user tokens that do not carry claims. По умолчанию этот параметр групповой политики установлен в значение Автоматически, что ведет к его включению при наличии централизованной политики, содержащей утверждения пользователей или устройств для данного файлового сервера. This setting is set by default to Automatic, which results in this Group Policy setting to be turned On if there is a central policy that contains user or device claims for that file server. Если файловый сервер содержит списки управления доступом на уровне пользователей, включающие утверждения пользователей, эту групповую политику необходимо установить на Включено, чтобы сервер знал о необходимости запрашивать утверждения от имени пользователей, которые не предоставляют утверждений при доступе к серверу. If the file server contains discretionary ACLs that include user claims, you need to set this Group Policy to On so that the server knows to request claims on behalf of users that do not provide claims when they access the server.

Дополнительный ресурс Additional resource

Сведения о реализации решений на основе этой технологии см. в разделе динамический контроль доступа: Обзор сценариев. For information about implementing solutions based on this technology, see Dynamic Access Control: Scenario Overview.