В Windows Server 2012 з'явилася технологія динамічного контролю доступу (Dynamic Access Control), призначена для розмежування доступу до файлових ресурсів. Технологія перспективна і заслуговує на увагу, тому я пропоную вам посвітити її вивчення некториє кількість часу.У першій частині ми розберемо теоретичні основи роботи Dynamic Access Control.

Dynamic Access Control - технологія складна, що складається з декількох компонентів. У свою чергу, кожен компонент представляє собою окрему, цілком самостійну технологію. Розглянемо їх по порядку.

Твердження

Робота Dinamic Access Control грунтується на твердженнях, чи Клайм (claims). Для тверджень існує безліч визначень, наведу найбільш короткий. Затвердження - це інформація про об'єкт, отримана з достовірного джерела. У нашому випадку об'єктом служить обліковий запис користувача або комп'ютера в Active Directory, а в якості достовірного джерела виступає служба KDC (Key Distribution Service), розташована на контролері домену.

До твердженнями можна віднести будь-яке з властивостей користувача або комп'ютера, наприклад приналежність до певного підрозділу (OU) або членство в групі безпеки, посаду користувача і відділ, в якому він працює, країну і місто проживання, поштовий індекс, номер телефону і багато іншого.

В Windows Server 2012 використовуються затвердження трьох типів:

1. Твердження для користувачів (user claim) - в якості тверджень використовується атрибути облікового запису користувача в Active Directory, наприклад департамент або посаду;
2. Твердження для пристроїв (device claim) - тут як тверджень використовується атрибути облікового запису комп'ютера, такі як операційна система або стан здоров'я;
3.Твердження перетворення (transformation claim) - цей тип використовується для трансформації тверджень при проходженні через довірчі відносини між лісами. Твердження цього типу не базуються на атрибутах AD.

З урахуванням того, що твердження можна об'єднувати з використанням умовних виразів, при складань правил доступу є де проявити фантазію