本文只爲本人自己記錄經驗,故不會寫得太詳細。
1. 配置默認域策略,Computer Configuration--Policies--Administrative Templates--System--KDC--KDC support for claims and Kerberos armoring. (Enabled, Supported)
2. 在ADAC中選DAC--Claim Types,新建名爲Department(anything you need)的一項,完成後點OK,編輯Department在Suggested Value中添加對應的部門值,如HR, Marketing.
3. 在DAC--Resource Properties中,找到Confidentiality和Department兩項點Enable.這兩個值會傳遞到FSRM中的Classification Properties.需刷新。
4. 在File Server中新建一文件夾設置共享,everyone--Full Control. 並在該文件夾下新建包含部門(HR,Marketing)等值的文件以供FSRM進行Classification
5. 在File Server中安裝FSRM並新建以部門或其他相關的關鍵字的Classification Rules.並設置Scope爲該文件夾,設置Classification中的Property爲Department(或者其他任何項),在Parameters下點Configure,在Regular Expression中的Expression項填上步驟4新建文件中的相應字符。在Evaluation Type下可選re-evaluate exisiting property values和Aggregate the values.建完Classification Rules後可立即運行該rule.
6. 在DAC--Central Access Rules中新建以部門(或其他值)爲名稱的Rule設置允許哪些帳戶及其權限。
7. 在DAC--Central Access Polices中新建一條策略,可包含各種Policies
8. 新建一個組策略,在Computer Configuration--Policies--Windows Settings--File System--Central Access Policies下添加在步驟7中新建的策略。刷新組策略
9. 修改步驟4中新建的文件夾的security--advanced--cap添加對應的策略
10. 編輯步驟8中的組策略,Computer Configuration--Policies--Administrative Templates--System--Access -Denied-Assistant,啓用文件權限助手。當然前提是要在FSRM中配置好郵件相關設置