Dynamic Access Control DAC – Reference Resource Properties

Windows Server 2012 ile hayatımıza giren Dynamic Access Control – DAC özelliğinin temelinde claim dediğimiz değişkenler yatmaktadır. Örneğin bir kullanıcı için geçerli olan kimlik bilgisi – SID yanında onun çalıştığı departman, yaşadığı ülke, dahil olduğu projeler, unvan ve benzeri seçeceğiniz attiribute – öznitelik bazında erişim kuralı yazabiliyoruz. Ancak bunu dosya sisteminde karşılık bulması için dosyalarında sınıflandırılması gereklidir. Sınıflandırma için ise tabiki öncelikle bir takım değişkenler tanımlamamız gerekli.

Resource properties ismini verdiğimiz bu değişkenler aslında Windows Server 2012 ile beraber gelmektedir. Varsayılan olarak in aktif olan bu özellikleri aktif hale getirdikten sonra dosya veya klasörlerin özelliklerinde değişiklik yapabiliyoruz. Bu özellikler için Company, Compliancy, Department, Impact, Personel Use, Project, Confidentiality gibi pek çok seçenek mevcut olup bunlardan birini korumak veya sınıflandırmak istediğimizi dosya – klasör için seçebileceğimiz gibi yenilerini de oluşturabiliriz.

Yeni oluşturacağımız içerik özellikleri, claim’ ler de olduğu gibi mevcut attiribute tablosunu referans almadığı için bazen claim ile beraber kullanılmasında sorunlar olabilir.

Örneğin kullanıcı tarafında “Country” isminde bir claim oluşturdunuz, yani kullanıcıların AD üzerinde country bilgisine göre erişim kuralı yazmak gibi bir amacınız var. Daha sonra dosya sistemindeki dosyaları da sınıflandırırken ülke detayını kullanmak isterseniz eğer resource properties menüsünde yeni bir RP oluşturmak yerine bir tane Reference Resource Properties oluştururuz. Bu tam olarak aslında mevcut olan bir Claim’ in dosya sistemi için kullanılmasını sağlayan bir linkleme işlemidir. Yani elle yeni bir RP oluşturup klasörlerin bunu kullanması yerine, hali hazırda claim olan bir bilgiyi RP olarak tanımlamış oluyoruz.

Peki, bunu neden yaptık? Aslında Country bilgisini de ayrıca RP olarak tanımlayıp bunları klasörlere atayabilirdik, ancak bu durumda caim altında, TR, US, JP, UK gibi tanımları yaparken birde RP altında bu tanımları yapmak ve bunların sürekli eşleşmesini bekliyor olacaktır. Bu tür alt kırılımlardaki hatalar ise pek çok kez dosya erişim sorunları olarak karşımıza çıkmaktadır. Bu nedenle böyle durumlarda RRP oluşturmak daha mantıklıdır.