Windows Server 2012 – Dynamic Access Control – Introduzione

Una nuova caratteristica con cui bisognerà fare conoscenza su Windows Server 2012 è Dynamic Access Control. Questa “capacità” consente di effettuare un controllo preciso-centralizzato sui permessi di dati e utenti attraverso vari meccanismi : espressioni di accesso, regole di accesso centralizzate e auditing centralizzato.

Dynamic Access Control è importante perché riduce molti problemi che insorgono quando si cerca di installare e mantenere i permessi in una foresta o un dominio.

Per capire la “necessità” di Dynamic Access Control cerchiamo di immaginare che un utente che non appartiene a un determinato gruppo debba accedere a un file che si trova in una cartella (condivisa) che appartiene ad altri gruppi : Per risolvere questi tipi di “problemi” (col vecchio metodo) si creano gruppi non necessari si va a manipolare i permessi NTFS delle cartelle principali. Molto spesso i permessi ereditati dalle cartelle figlie diventano “disordinati” e diventa impossibile tenerne traccia anche per un amministratore. Ovviamente più un  azienda cresce … più vengono creati gruppi e assegnati permessi ….. quindi questa situazione può portare anche problemi di sicurezza, oltre i quali si verifica anche una lentezza per l’autenticazione degli utenti durante l’accesso.

Dynamic Access Control è una nuova funzionalità in Windows server 2012 e permette di utilizzare dichiarazioni complesse sulle quali creare i criteri di accesso e di controllo. Inoltre introduce una “classificazione” dei dati; vuol dire che certi documenti possono essere classificati in base al loro contenuti e l’amministratore di un server può creare una regola per classificare tutti i file con certi parametri.

In Dynamic Access Control le componenti base sono due : le dichiarazioni e le proprietà delle risorse.

Le seconde sono “etichette” che si possono personalizzare e applicare ai casi per ottenere una classificazione, mentre le dichiarazioni sono integrate nell’autenticazione e si possono configurare i permessi degli utenti in base non solo ai gruppi….ma anche alle dichiarazioni che si configurano.Queste due componenti sono i blocchi base di Dynamic Access Control.

Ad ogni modo, prima di utilizzare Dynamic Access Control, bisogna tenere presente che funziona su Windows server 2012, su Windows 8 e su Windows RT. Per le reti “vecchie” (basate su Windows 2008) il suggerimento è creare un server di dominio Windows 2012 e qualche fileserver (sempre Windows 2012). Inoltre bisognerà fare molta attenzione per quanto riguarda l’utilizzo degli amministratori di rete tra i conflitti di NTFS e Dynamic Access Control.