Arkadaşlar en son classification konfigürasyonu yapmıştım ve policy haline getireceğimi söylemiştim.
İlk önce Administrative Center ı açıyorum.
Soldan Dynamic Access Control altından Central Access Rule a geliyorum.İlk önce rule yaratmam gerekiyor.
Adını Rule1 yapıyorum.
Alttan Current permission’ı seçiyorum.
Editten authenticated users ı ekleyeceğim ve condition yazacağım.
Add e geliyorum ve Authenticated Users ı seçip full control veriyorum.
Arkadaşlar Alt kısımda yine add a condition kısmı var.Verdiğimiz şartları buradan policy halinde basabiliriz. İki kural yazdım “Kaynak üzerindeki property’ler ile userın attributelerini karşılaştırıp buna göre izin verecek yarattığım rule.
OK
Tekrar Ok diyorum ve Administrative Centera geliyorum.
Şimdi Sıra Central Access Policy yaratmaya geldi.New central access policy diyorum.
Member a Central access Rules kısmından member rule ekleyeceğim.Ben birtane rule yarattım bunu ekleyeceğim siz başka rule’larda ekleyebilirsiniz.Adını Policy1 yaptım
Add diyorum. Ve sağ tarafa geçiriyorum Rule’u
ok a tıklıyorum. Tekrar ok a tıklıyorum.
Bu ayarları File Server kim ise o makinaya group policyden bir ayar gerçekleştireceğim.Bu ayar yarattığımız policy1 adlı ayarı file serverla ilişkilendirmekle alakalı olacak.Benim file serverım DC olduğu için domain contollers a bir GPO link edeceğim.
FSPOL diye bir policy yarattım
Yarattığım policy yi editliyorum.Central access policy yi bulana kadar ilerledim.
Central access policinin üstüne sağ tuş ve manage central access policy diyorum
Policy1 i biz yaratmıştık.Sağ tarafa geçiriyorum ve OK diyorum.
Gpupdate /force komutunu giriyorum.
Şimdi Tekrar share paylaşımına gidiyorum.Advanced security bölümüne girdiğim zaman en sağ tarafta central access policy yi görüyorum.change ye basıp Policy1 i seçiyorum. 
Sağdaki ok a basınca ayarları gösteriyor. 
Apply a basıyorum.Departman country gibi özelliklerine bakarak paylaşıma erişip erişemeyeceğini sistem karar verecek.
Sistem,
İlk önce sharing izinlerine
Daha sonra file izinlerine
En sonunda Cnetral Access Policy izinlerine bakıp en kısıtlı olanı verecek bize.
Ben kural yazarken File properties ile user attribute’lerini kıyaslatmıştım.File classification propertisinde ne var bir bakalım.
Country TR
Department IT
Bu durumda bir user’ın hem standart file permission ve sharing yetkisi olacak, hemde country ve department kısmı uyuşacak.
User 1 kullanıcıma geliyorum.Country kısmını italya(veya amerika) department kısmını Engineer yapıyorum.
Kerberosun ticketları tekrar doldurması için logoff logon işlemi yapıyorum.
Paylaşıma gitmeye çalıştığımda hata aldım.
Hatayı inceleyelim.
DC den paylaşıma gelip advanced ten effective access kısmına geliyorum.
User1 i giriyorum ve Include user claim diyorum countrysi TR olmayan başka birşey diyebiliriz.
Department i Engineer dı. Bu şekilde girdiğimizde neden hata aldığımızı görüyoruz.
Policiden gelen rule1 isimli kural herşeyi engellemiş.Aşağıdaki resimde görünüyor
Şimdi user1 in country sini türkiye
Department ını da IT yapıyorum.
Bir kere logoff ve logon oluyorum test makinasından.
Tekrar bağlanmaya çalıştığım zaman sonuç aldığımı görüyorum.
Effective access ten bakarsakta izin verildiğini görürüz.
Paylaşımın özelliklerine gidip bu kez de Folder Classification property lerini değiştirelim.
Normalde aşağıdaki gibi yapılandırmıştım
Alt kısımdan ayarları seçtim ve uygulaya bastım.
User1 kullanıcısı ile tekrar girmeye çalışacağım fakat bu sefer logoff logon olmaya gerek yok çünkü user’ın attribute’lerinden birşey değiştirmedik.Folder ile ilgili işlemler yaptık.
Klasöre girmeye çalışıyorum ve hata aldım.
Hata aldım çünkü kural açık.
Folderdaki classificationlar USA ve engineer şeklinde
User’ın attribute leri ise TR ve IT şeklinde
bilgisayar bunları karşılaştırdı ve bu bilgilerle user’ı authenticate etmedi ve hata verdi.
Verdiğim condition ile birçok attribute’ü kıyaslatabilir buna göre karar verdirtebiliriz.
Policy ise Her klasöre tek tek kural yazmadan Policy ile istediğimiz klasöre bu kuralları getirmeye yarıyor.
Arkadaşlar bu makalemde Dynamic Access Control yapısını ele aldım.
Umarım faydalı olmuştur.
Dynamic Access Control Nedir Bölüm 1
Merhaba Mehmet Bey,
Son derece sade ve açıklayıcı olmuş. Sanal ortamda testini yaptım ve sorunsuz çalıştı. Çok teşekkür ederim.