Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Plano: Uma implantação política acesso Central

A necessidade de controlar a informação em organizações de nível corporativo para regulamentos de conformidade e negócios é um dos pilotos a tendência de consolidação onde grandes quantidades de informações de usuários desktops e compartilhamentos de arquivos departamentais são movidas em servidores de arquivo gerenciado centralmente.
A iniciativa de implantar e aplicar uma diretiva de autorização pode vir por razões diferentes e de vários níveis da organização:

  • Diretiva de autorização de toda a organização: mais comumente iniciadas a partir do escritório de segurança da informação, essa política de autorização é conduzida de conformidade ou exigência de muito alto nível de organização e seria relevante em toda a organização. Por exemplo: Arquivos de alto impacto nos negócios devem ser acessíveis por funcionários de tempo integral somente

  • Diretiva de autorização departamental: cada departamento em uma organização tem alguns requisitos que eles gostariam de impor de tratamento de dados especiais. Isso é muito comum na organização distribuída. Por exemplo: o departamento de Finanças talvez queira limitar todo o acesso aos servidores de Finanças para os funcionários de Finanças

  • Política de gestão de dados específico: esta política geralmente refere-se aos requisitos de conformidade e negócios e destina-se a proteger o acesso direito à informação que está sendo gerenciado. Por exemplo: impedindo a alteração ou exclusão de arquivos que estão sob retenção ou arquivos que estão sob a descoberta eletrônica

  • Precisa saber política: isto é uma pegadinha de todos os tipo de diretiva de autorização e provavelmente usados em conjunto com os tipos de política acima mencionados. Exemplos: fornecedores devem ser capazes de acessar e editar apenas os arquivos que pertencem a um projeto que eles estão trabalhando.
    Em instituições financeiras, paredes de informações são importantes para que os analistas não acessem à informação de corretagem e corretoras não acessem informações de análise

  1. Compreender e traduzir as intenções de negócios

  2. Expressar a política de acesso no Windows Server 2012 construções

  3. Determinar os grupos de usuário, propriedades de recursos e tipos de declaração

  4. Determinar os servidores onde esta política deve ser aplicada ao

Hh831366.collapse(pt-br,WS.11).gif Compreender e traduzir as intenções de negócios

Negócio determina que é necessária uma política de acesso central. O próximo passo é decidir sobre o conteúdo (recursos) que você deseja aplicar políticas. Em seguida, crie uma lista de todas as diretivas que você deseja aplicar ao seu conteúdo. Por exemplo, algumas das políticas comuns que se aplicam para o departamento financeiro de uma organização seria:

  • Documentos arquivados de Finanças devem ser lido somente por membros do departamento de Finanças.

  • Membros do departamento de Finanças só devem ser capazes de acessar os documentos no seu próprio país.

  • Apenas administradores de Finanças deve ter acesso de gravação. Uma exceção será permitida para os membros do grupo FinanceException. Este grupo terá acesso de leitura.

Hh831366.collapse(pt-br,WS.11).gif Expressar a política de acesso no Windows Server 2012 construções

O próximo passo no processo de planejamento é traduzir as políticas que você exige em expressões. Uma política de acesso central destina-se a proporcionar uma fácil interpretação de uma língua de requisito do negócio para um idioma de autorização.
Uma política central no Windows Server 2012has as seguintes partes distintas:

  • Aplicabilidade: Uma condição que define quais os dados a diretiva se aplica a
    (Exemplo: Resource.BusinessImpact=High)

  • Condições de acesso: uma lista de um ou mais controle de acesso entradas (ACE) que define quem pode acessar os dados
    (Exemplo: permitir | Controle total | User.EmployeeType=FTE)

  • Exceção: Uma lista adicional de uma ou mais entradas de controle de acesso que definem uma exceção para a política
    (Exemplo: MemberOf(HBIExceptionGroup)

Hh831366.collapse(pt-br,WS.11).gif Determinar os grupos de usuário, propriedades de recursos e tipos de declaração

Nesta etapa, as expressões que foram criadas para as políticas são discriminadas e analisadas para descobrir quais propriedades de recursos, grupos de segurança como usuário potencial reivindicações precisam ser criados para implantar as políticas específicas. Note-se que antes de usar declarações de usuário, você deve revisar a seção relevante em reivindicações de usuário neste tópico. Lembre-se de que você sempre pode usar grupos de segurança no caso que você não tem o atributo de reclamação de usuário apropriado disponível no seu ambiente.

Hh831366.collapse(pt-br,WS.11).gif Determinar os servidores onde esta política deve ser aplicada ao

O próximo passo é determinar quais servidores de arquivo deseja implantar as políticas de acesso que tiver decidido sobre. Por exemplo, você pode ter uma política de acesso de Finanças que você deseja estender apenas para os servidores de arquivo de Finanças.

Existem várias maneiras de implantar políticas de acesso central, com base nas diferentes configurações no seu ambiente. Você pode escolher ter uma implantação simples, com grupos de segurança ou ter mais avançadas políticas de acesso central usando créditos do usuário e dispositivo. As seções a seguir neste tópico discutem as opções de implantação diferentes disponíveis para você base a configuração que você escolher. A orientação de projeto e implantação para cada um deles é discutida em mais detalhes:

Para obter uma lista de todas as opções de configuração e orientação sobre qual configuração escolher, consulte a seção Configurando diretivas de acesso central com diferentes opções

Para uma visão geral das opções de implantação diferentes, configurações e requisitos, consulte o Apêndice: configurações de implantação para diretivas de acesso Central

Você não tem que usar declarações do usuário a fim de implementar o controle de acesso dinâmico em sua organização. Na verdade, você pode usar grupos de segurança com os requisitos de atualização muito escasso ambiente atual. Você pode usar grupos de segurança em conjunto com políticas de acesso central e expressões condicionais em Windows Server 2012. Desta forma, que você pode usar o controle de acesso dinâmico para limitar o acesso a dados específicos usando o mecanismo de grupo de segurança existentes.

Para usar o controle de acesso dinâmico com os grupos de segurança, você precisa o seguinte em seu ambiente:

  • Um servidor de arquivo servidor 2012 Windows

  • Um domínio com um esquema do Windows Server 2012 (de modo que você pode definir diretivas de acesso central)

Hh831366.collapse(pt-br,WS.11).gif Usando grupos de segurança para limitar o acesso a dados

Controle de acesso dinâmico pode ajudá-lo a limitar o acesso aos dados para os grupos específicos de pessoas. Os passos para conseguir isso são:

  1. Os dados de marcação, marcando as pastas que contêm dados confidenciais

  2. Configurando uma regra de acesso Central que especifica que a grupos de segurança específicos só podem acessar dados que estão marcados de forma específica

  3. Aplicação de uma política de acesso Central para o apropriado servidor 2012 servidores de arquivos Windows em sua organização

Para uma explicação detalhada de usar grupos de segurança, consulte o Blog de controle de acesso dinâmico.

Hh831366.collapse(pt-br,WS.11).gif Usando expressões condicionais para reduzir a complexidade de grupos de segurança

Você pode usar o controle de acesso dinâmico para reduzir consideravelmente a complexidade de uma combinatória número de grupos de segurança (por exemplo, a partir de 2.000 a menos do que um 100) para que você pode ter uma compreensão clara de quem pode acessar quais dados e você pode facilmente ajustar o acesso quando as pessoas se deslocam entre diferentes funções na empresa.

Em um ambiente empresarial típico há um grande número de usuários, departamentos, grupos de segurança, e assim, um grande número de controlo de acesso listas (ACLs). Além disso, se uma pessoa se move de um departamento para outro, que envolve atualizar um grande número de grupos de segurança. Isso resulta em um monte de sobrecarga e controle de acesso dinâmico pode ajudar a reduzir a carga de trabalho dos administradores IT para gerenciar o grupo de segurança. Os passos necessários para isso são:

  1. Marca todas as pastas com os valores apropriados, por exemplo, departamento, país e sensível.

  2. Decida sobre as combinações de expressões utilizadas no ACL do Windows. Por exemplo, você usaria MemberOf (Spain_Security_Group)eMemberOf (Finance_Security_Group)eMemberOf(Sensitive_Security_Group) para limitar o acesso a informações confidenciais de Espanha Finanças departamento.

  3. Crie regras de acesso central específico com essas expressões que se destinam a determinados grupos de segurança e pastas específicas sobre os servidores de arquivos.

Para uma explicação detalhada do uso de controle de acesso dinâmico para reduzir a complexidade de grupos de segurança, consulte o Blog de controle de acesso dinâmico.

Hh831366.collapse(pt-br,WS.11).gif Usando declarações do usuário

Como regra, você deve usar declarações do usuário (vs. Grupo de segurança) quando:

  • Você quer ser capaz de usar condições como User.Project = File.Project em sua política de modo que você pode compactar milhares de condições para uma expressão simples (evitando condições tais como File.Project=Cosmos e User.Memberof(Cosmos_security_group)).

  • O atributo de usuário no Active Directory que são a fonte a reclamação de usuário de tem a configuração de segurança apropriadas sobre quem ou o que pode definir esse atributo.

  • Alta integridade do valor do atributo no Active Directory e do sistema que define esse valor tem procedimentos operacionais que levam em consideração a utilização desse valor para as decisões de autorização.

  • Nenhuma alteração previsível para os valores no atributo. Por exemplo, se o atributo é um nome de departamento e estas mudam frequentemente devido a re-organização, então é não apto para ser usado como uma declaração de usuário.

Quando usando direitos de usuário, você deve se certificar de que você tem o ambiente de controlador de domínio Windows Server 2012 adequado para apoiar estas alegações de usuário. Os dois principais domínios de interesse são o domínio do usuário e o domínio do servidor de arquivos.

  • Ambos os domínios não podem incluir o Windows Server 2003 (ou versão anterior) controladores de domínio.

  • Ter o número adequado de controladores de domínio Windows Server 2012 no domínio de usuário para suportar o número de clientes de Windows 8 implantado nesse domínio ou como alternativa, definir os clientes de Windows 8 não exigir declarações neste caso ter pelo menos um controlador de domínio do Windows Server 2012 no domínio de usuário será suficiente (Ver mais detalhes abaixo

  • Se o domínio do usuário e o domínio do servidor de arquivos estão em uma floresta diferente, você precisará:

    • Têm relações de confiança bidirecionais entre as duas florestas.

    • Tenho todos os controladores de domínio de raiz de floresta para ser de ambos os domínios Windows Server 2012

Hh831366.collapse(pt-br,WS.11).gif Operações para permitir pedidos de usuário

Hh831366.collapse(pt-br,WS.11).gif Habilitar os controladores de domínio fornecer créditos e autenticação composta a pedido

Hh831366.collapse(pt-br,WS.11).gif Para habilitar os controladores de domínio fornecer créditos e autenticação composta a pedido

  1. Abra o gerenciamento de diretiva de grupo e navegue para Controladores de domínio OU no domínio.

  2. Botão direito do mouse a Diretiva padrão de controladores de domínio e selecione Editar.

  3. Na janela Editor de gerenciamento de diretiva de grupo, navegue até Configuração do computador, > Modelos administrativos, sistemae KDC.

  4. Selecione KDC suporte para reclamações, autenticação composta e blindagem de Kerberos.

  5. Em declarações, composta autenticação para controle de acesso dinâmico e Kerberos armoring opções selecione suportados.

  6. Clique em OK. Gerenciamento de diretiva de grupo de fechar.

Hh831366.Important(pt-br,WS.11).gif Importante
Até que a diretiva de grupo do Kerberos, cliente Kerberos suporte para reclamações, autenticação composta e Kerberos blindagem é habilitado em todos os dispositivos do Windows 8, reivindicações e autenticação composta não são solicitados e acesso baseado em declarações e baseada em dispositivo irá falhar.

Hh831366.Warning(pt-br,WS.11).gif Aviso
Windows 8 dispositivos habilitados para apoiar as reivindicações do solicitante e composta autenticação falhará a autenticação quando um Windows Server 2012 DC não pode ser encontrado em domínios configurados para oferecer suporte a autenticação composta e reivindicações.

Hh831366.collapse(pt-br,WS.11).gif Considerações sobre o uso de créditos do usuário no servidor de arquivos ACLs discricionárias sem usar diretivas de acesso Central

Servidores de arquivo do Windows Server 2012 tem uma configuração de diretiva de grupo (On/Off/automático) que especifica se ele precisa obter usuário pedidos de tokens de usuário que não faça declarações. Essa configuração é o padrão definido como "automático" que conduz a esta política de grupo configuração para ser ativada se houver uma política central que contém o usuário e/ou dispositivo pedidos para esse servidor de arquivos . Se o servidor de arquivo contém a política de acesso local (Discretionary ACLs) que usa os créditos do usuário, você precisará definir essa diretiva de grupo para "On" para que o servidor sabe a solicitação de créditos em nome dos usuários que não fornecem declarações ao acessar o servidor (por exemplo, clientes não - Windows 8.

Hh831366.collapse(pt-br,WS.11).gif Usando o dispositivo reivindicações e grupos de segurança do dispositivo

Windows 8 introduz o conceito de identidade composto que permite o token de usuário incluir ambos os detalhes de usuário (ID, grupos de segurança e reclamações) bem como os detalhes do dispositivo (ID, grupos de segurança e créditos), para que você possa usar esses detalhes na decisão de autorização como: somente usuários específicos, usando um dispositivo específico podem acessar dados altamente confidenciais.

Muito parecido com usuário alega, reivindicações de dispositivo são provenientes de atributo de objeto de dispositivo no Active Directory (fonte de reclamação) que contém o valor do crédito.

Hh831366.Important(pt-br,WS.11).gif Importante
Reivindicações de dispositivo são suportadas no Windows 8clients apenas.

Hh831366.collapse(pt-br,WS.11).gif Considerações sobre o uso de alegações de dispositivo estático

Para configurar o estático dispositivo afirma que o administrador precisa:

  • Aplicar a segurança apropriada sobre o atributo de dispositivo

  • Permitem a definição de reivindicação – esta operação resultará na alegação para estar disponível o tíquete do Kerberos com o valor proveniente do atributo do dispositivo.

  • Habilitar o suporte de controlador de domínio para controle de acesso dinâmico – esta operação resultará no serviço de diretório retornando reivindicações para o KDC e o KDC criando TGTs contendo reivindicações

  • Aplica os mecanismos adequados para preencher o dispositivo atributo no Active Directory.

  • Conjunto de clientes de Windows 8 e Windows Server 2012 solicitar tokens de composto.

Hh831366.collapse(pt-br,WS.11).gif Operações para permitir reivindicações de dispositivo

Hh831366.collapse(pt-br,WS.11).gif Habilitar os dispositivos do Windows 8 no domínio para solicitar autenticação composta e reivindicações

Hh831366.collapse(pt-br,WS.11).gif Para permitir que os dispositivos do Windows 8 para solicitação de créditos e autenticação composta

  1. Hh831366.note(pt-br,WS.11).gif Nota
    Aplica a diretiva de grupo no domínio.

    Abra o gerenciamento de diretiva de grupo e navegar para o domínio.

  2. Botão direito do mouse a Diretiva padrão de controladores de domínio e selecione Editar.

  3. Na janela Editor de gerenciamento de diretiva de grupo, navegue até Configuração do computador, > Modelos administrativos, sistemae Kerberos.

  4. Selecione o KDC suporte para reclamações, autenticação composta e blindagem de Kerberos.

  5. Clique em OK. Gerenciamento de diretiva de grupo de fechar.

Hh831366.collapse(pt-br,WS.11).gif Ativar os Windows 8 dispositivos para solicitação de créditos e autenticação composta usando diretiva personalizada

Hh831366.collapse(pt-br,WS.11).gif Para habilitar Windows 8 dispositivos para solicitação de créditos e autenticação composta usando diretiva personalizada

  1. Hh831366.note(pt-br,WS.11).gif Nota
    Aplica a diretiva de grupo no domínio, site, UO ou objeto de escopo.

    Abra o gerenciamento de diretiva de grupo e navegar a diretiva apropriada.

  2. Botão direito do mouse a Diretiva padrão de controladores de domínio e selecione Editar.

  3. Na janela Editor de gerenciamento de diretiva de grupo, navegue até Configuração do computador, > Modelos administrativos, sistemae Kerberos.

  4. Selecione o KDC suporte para reclamações, autenticação composta e blindagem de Kerberos.

  5. Clique em OK. Gerenciamento de diretiva de grupo de fechar.

Hh831366.collapse(pt-br,WS.11).gif Ativar o dispositivo de Windows 8 receber autenticação composta

Essa configuração de diretiva de grupo deve ser aplicada a diretiva de grupo local.

Hh831366.collapse(pt-br,WS.11).gif Para habilitar o dispositivo do Windows 8 receber autenticação composta

  1. Abra o Editor de diretiva de Grupo Local.

  2. Na janela diretiva de Grupo Local, expanda configuração do computador, expanda Modelos administrativos, expanda sistema e clique em Kerberos. Selecione Ativar e autenticação composta de suporte.

  3. Clique em OK e feche o Editor de gerenciamento de diretiva de grupo.

Como mencionado anteriormente, se você estiver usando grupos de segurança, você não tem qualquer consideração de domínio específico que não seja a necessidade de atualizar para o Windows Server 2012 seu esquema.

Se você decidir usar créditos do usuário ou você gostaria de usar o composto identidade de usuário/dispositivo, seu projeto de implantação para o Windows Server 2012 pode ser qualquer uma das três configurações a seguir:

  • Configuração 1: domínios, fornecendo créditos e autenticação composta têm todos os controladores de 2012domain do Windows Server.

  • Configuração 2: somente baseada em reivindicação de acesso controle de usuário, para servidores de arquivo recuperar créditos do usuário e domínios fornecendo declarações têm Windows Server 2012 DCs em todos os locais do servidor de arquivo.

  • Configuração 3: controle de acesso baseado em dispositivo necessários, mas não posso esperar até que todos os controladores de domínio podem ser atualizados.

Hh831366.collapse(pt-br,WS.11).gif Configuração 1: Domínios, fornecendo autenticação composta e reivindicações tem todos os Windows Server 2012 DCs

Essa configuração fornece a infra-estrutura completa para reivindicações e composta autenticação para controle de acesso dinâmico e é o mais fácil de suportar. Ele requer que:

  • Se existirem uma relações de confiança entre florestas, então o domínio de raiz tem todos os controladores de domínio do Windows Server 2012.

  • Domínios que fornecem autenticação composta e reivindicações têm todos os controladores de domínio do Windows Server 2012

  • Todos os dispositivos do Windows 8 devem ser habilitados para suportar reivindicações solicitante e autenticação composta

Hh831366.collapse(pt-br,WS.11).gif Como configurar a raiz de floresta DCs

Simplesmente atualize todos os controladores de domínio raiz da floresta para Windows Server 2012 e configurar a transformação de declarações de saída e entrada.

Hh831366.note(pt-br,WS.11).gif Nota
Isso ajudará a garantir que as afirmações não são perdidas de florestas confiáveis. Se existirem controladores de domínio anterior ao Windows Server 2012, os controladores de domínio irão descartar reivindicações que irão resultar em falhas de controle de acesso intermitente. Adicionalmente, anteriores ao Windows Server 2012 controladores de domínio não transformar declarações para que os dados de pedidos serão divulgados para todas as florestas confiantes

Hh831366.collapse(pt-br,WS.11).gif Configurando domínios que fornecem autenticação composta e reivindicações

Primeiro identifica quais domínios estará fornecendo autenticação composta e reivindicações. Estes serão os domínios de conta e de recurso. Se tem todos os domínios no ambiente Windows Server 2012DCs, em seguida, configurar todos.Se for necessário o acesso baseado em declarações reivindicações precisará ser configurado.

Configurar cada domínio que fornece autenticação composta e reivindicações para DFL e ativar os DCs suportar autenticação composta e sempre prestar declarações.

Hh831366.collapse(pt-br,WS.11).gif Configurando dispositivos para solicitar autenticação composta e reivindicações

Atualize a diretiva de domínio padrão para habilitar os dispositivos do Windows 8 no domínio para solicitar declarações e autenticação composta ou ativar os Windows 8 dispositivos solicitar declarações e composta autenticação usando diretiva personalizada que se aplica a todos os objetos de computador de Windows 8.

Hh831366.note(pt-br,WS.11).gif Nota
Afirma que esta configuração que você configurar para habilitar Windows 8 dispositivos solicitar e autenticação composta é ignorada por versões do Windows que não oferecem suporte a ele.

Hh831366.collapse(pt-br,WS.11).gif Configurando recursos para receber autenticação composta

Se os recursos estão usando a tampa, então basta aplica o CAP. Caso contrário, ativar o dispositivo de Windows 8 receber autenticação composta.

Hh831366.collapse(pt-br,WS.11).gif Configuração 2: Única baseada em reivindicação de acesso controle de usuário, para servidores de arquivo recuperar créditos do usuário e domínios fornecendo declarações têm controladores de domínio do Windows Server 2012 em todos os locais do servidor de arquivo

Essa configuração fornece infra-estrutura limitada para apenas usuário alegações de controle de acesso dinâmico. Requer:

  • Se existirem uma relações de confiança entre florestas, então o domínio raiz tem todos os Windows Server 2012 DCs

  • Para cada domínio que fornece declarações de usuário a pedido tem Windows Server 2012 DCs em sites com servidores de arquivos e nenhum controlador de domínio do Windows Server 2003.

  • Habilite todos os servidores de arquivos do Windows 8 apoiar as reivindicações requerentes em nome dos usuários.

Hh831366.Important(pt-br,WS.11).gif Importante
Autenticação mecanismo garantia universais grupos e controle de acesso baseado em dispositivo são incompatíveis com o processo de recuperação de servidor de direitos de usuário.

Hh831366.collapse(pt-br,WS.11).gif Como configurar a raiz de floresta DCs

Simplesmente atualize todos os controladores de domínio raiz da floresta para Windows Server 2012 e configurar a transformação de declarações de saída e entrada.

Hh831366.note(pt-br,WS.11).gif Nota
Isso ajudará a garantir que as afirmações não são perdidas de florestas confiáveis. Se existirem controladores de domínio anterior ao Windows Server 2012, os controladores de domínio irão descartar reivindicações que irão resultar em falhas de controle de acesso intermitente. Adicionalmente, anteriores ao Windows Server 2012 controladores de domínio não transformar declarações para que os dados de pedidos serão divulgados para todas as florestas confiantes

Hh831366.collapse(pt-br,WS.11).gif Configurando domínios que fornece autenticação composta e reivindicações

  1. Primeiro identifica quais domínios estará fornecendo autenticação composta e reivindicações. Estes serão os domínios de conta e de recurso.

  2. Configurar e provisionar créditos conforme explicado em Implantar uma política de acesso Central (etapas de demonstração)

  3. Configure cada domínio para permitir que os controladores de domínio fornecer autenticação composta a pedido e reivindicações.

Hh831366.collapse(pt-br,WS.11).gif Configurando servidores de arquivos para solicitação de créditos em nome dos usuários

Se os recursos estão usando uma diretiva de acesso central, em seguida, basta aplica a política. Caso contrário, ativar os Windows 8 dispositivos solicitar declarações e composta autenticação usando diretiva personalizada que se aplica a objetos de computador de servidor de arquivos Windows 8.

Hh831366.note(pt-br,WS.11).gif Nota
Essa configuração é ignorada por versões do Windows que não oferecem suporte a ele.

Hh831366.collapse(pt-br,WS.11).gif Configuração 3: Controle de acesso baseado em dispositivo necessários, mas não posso esperar até que todos os controladores de domínio podem ser atualizados

Essa configuração será exclusiva para o seu ambiente e pode ser difíceis de suportar quando dispositivos Windows 8 tem configurações diferentes.

Requisitos gerais para todos os ambientes:

  • Se existem relações de confiança entre florestas, domínio raiz deve ter todos os controladores de 2012domain do Windows Server

  • Para cada domínio que fornece declarações e autenticação composta a pedido, não pode haver controladores de domínio do Windows Server 2003

  • Para recursos usando controle de acesso baseado em dispositivo, receber autenticação composta deve ser habilitada a menos que uma política de acesso central está sendo usada.

Em clientes Windows 7 e Windows 8, logon de cartão inteligente é mapeado por meio de grupos de segurança. Para criar esse mapeamento, o administrador de domínio precisa:

  • Crie um grupo de segurança que irá representar o logon de cartão inteligente.

  • Criar um mapeamento de smart card certificado OID para e do grupo de segurança do cartão inteligente.

  • Controladores de domínio precisam ter o Windows Server 2008 R2 nível funcional do domínio

Hh831366.note(pt-br,WS.11).gif Nota
Esta associação de grupo serão perdida se o servidor executa S4U2Self em nome do usuário

As seções a seguir fornecem orientação adicional para as práticas recomendadas para delegação de administração, criação de mecanismos de exceção e assim por diante.

Hh831366.collapse(pt-br,WS.11).gif Delegação da administração para controle de acesso dinâmico

Idealmente, você deve delegar permissões para todos os recipientes de controle de acesso dinâmico na raiz da floresta do seu controlador de domínio. Você precisa conceder permissões de leitura e escrita para grupos de segurança específicos que têm acesso a certos objetos. Por exemplo, você pode criar grupos universais como:

  • Administradores de reivindicação DAC

  • Administradores de propriedade de recurso DAC

  • DAC Admins de regra de acesso Central

  • Administradores de diretiva de acesso Central DAC

Então, você pode delegar direitos correspondentes a esses grupos.

A seguir estão os recipientes de controle de acesso dinâmico embutidos no Windows Server 2012. Para acessar estes recipientes, navegue até a partição de configuração ->sistema -> Serviços -> configuração de reivindicações.

  • Tipos de declaração

  • Propriedades de recurso

  • Regras de acesso central

  • Condições de acesso central

Você pode configurar a delegação das políticas da centro administrativo de Active Directory (ADAC).

Hh831366.collapse(pt-br,WS.11).gif Para configurar a delegação de permissões da ADAC

  1. Gerenciador de servidor, no menu ferramentas , selecione a Central administrativa do Active Directory.

  2. Selecione o controle de acesso dinâmico no painel esquerdo e selecione o contêiner tem o objeto que você deseja delegar permissões para. Por exemplo, selecione Central de políticas de acesso e selecione uma política na lista.

  3. Botão direito do mouse e selecione Propriedades. Na janela Propriedades de diretiva, selecione a guia de extensões .

  4. Selecione a guia segurança . Clique em avançado. Na caixa de diálogo Configurações de segurança avançadas, clique em Adicionar. Na caixa de diálogo entrada de permissão, clique em Selecione um objeto e digite o nome do grupo de segurança ao qual você deseja conceder acesso a. Clique em OK.

  5. Na caixa de diálogo entrada de permissão, selecione as permissões que você deseja conceder para o grupo. Clique em OK três vezes.

Hh831366.collapse(pt-br,WS.11).gif Mecanismos de exceção para o planejamento de políticas de acesso Central

Exceções para as regras comuns de acesso são um componente-chave de cada diretiva de acesso e em particular uma central acesso política. Por exemplo, se uma política central para a organização protege o acesso aos dados de negócio de alto impacto (HBI) para que os funcionários de tempo integral só podem acessar esses dados, o que acontece se um vendedor, no departamento de Finanças requer acesso a informação financeira que é considerado HBI para que ele possa fazer o seu trabalho?

Existem várias respostas válidas, que vão desde usar um grupo de segurança na diretiva de acesso central para conceder acesso aos dados HBI (que permitem, em seguida, o vendedor neste exemplo para acessar dados financeiros da HBI e outros dados, HBI como HR ou engenharia) para ter vários grupos de segurança para exceções para ter por mecanismos de exceção específicas do arquivo ou do usuário.

Mecanismo de exceção Cenário central da política de acesso Descrição Profissionais de TI Contras

Grupo de segurança

Qualquer regra de acesso onde estamos OK com acesso a todas as informações abrangidas pela política central de acesso ao conceder a exceção

Exemplo é uma regra de acesso central para dados de departamento que implementa uma rede de segurança sobre todos os dados de serviços (por exemplo: Resource.Department=Finance)

Um grupo de segurança geridos pelo departamento ele ou segurança da informação pessoal com uma delegação para permitir sênior do departamento pessoal para adicionar / remover (gerenciar) os usuários do grupo.

Os proprietários do conteúdo do departamento será capazes de gerenciar o grupo de exceção, para que eles controlam quem pode acessar informações para os dados do departamento

Simples de implementar

Fornece um modelo de delegação bom com ferramentas existentes para gerenciar grupos

Exceção é ampla e concede acesso a informações que podem não ser relevantes para esse usuário específico

Vários grupos de segurança

Regra de acesso central para acesso a uma gama de países com um finito (por exemplo: < 20) número de permutações onde nós gostaríamos de ter cada um controlado por um proprietário diferente do conteúdo

Exemplo é uma regra de acesso central para acesso a dados de país Resource.Country = User.Country

Um grupo de segurança para cada um dos países. Cada grupo de segurança é gerenciado pelos proprietários conteúdos desse país

Simples de implementar

Fornece um modelo de delegação bom com ferramentas existentes para gerenciar grupos

São os grupos mais lá, as condições de acesso se torna mais complexo.

Cada vez que uma nova instância é adicionada (por exemplo, um novo país), o administrador precisa criar um novo grupo para gerenciar a exceção para ele

Toolkit de classificação de dados : Toolkit classificação os dados para o Windows Server 2012 é projetado para ajudar as organizações a identificar, classificar e proteger dados em seus servidores de arquivos. Os exemplos de classificação e a regra do fora-de-caixa ajudam as organizações a criar e implantar suas políticas para proteger informações críticas de forma econômica.O toolkit oferece suporte a servidores de arquivos Windows Server 2012 e servidores de arquivos Windows Server 2008 R2. Além de configurar a infra-estrutura de classificação do arquivo, a versão mais recente do toolkit permite que você gerenciar uma diretiva de acesso Central entre os servidores de arquivo em sua organização. Ele fornece ferramentas para provisionamento de usuário e dispositivo afirmam valores e gerenciar a política de acesso Central em toda a floresta para ajudar a simplificar o processo de configuração de controles de acesso dinâmicos no Windows Server 2012. O toolkit também fornece um novo modelo de relatório que você pode usar para rever a política de acesso Central existente em compartilhamentos de arquivos.

Opção de implantação Opções de configuração e requisitos Orientação

Usando grupos de segurança

  • Servidor de arquivos do servidor 2012 Windows

  • Um domínio com um esquema do Windows Server 2012

Usando grupos de segurança para controle de acesso dinâmico

Usando declarações do usuário

Usando declarações do usuário

Usando o dispositivo reivindicações

Usando o dispositivo reivindicações e grupos de segurança do dispositivo

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft