Exportar (0) Imprimir
Expandir Tudo

Planejar a implantação de uma política de acesso central

Publicado: fevereiro de 2012

Atualizado: março de 2012

Aplica-se a: Windows Server 2012



A necessidade de controlar as informações nas organizações em nível corporativo para obter conformidade e os regulamentos de negócios são alguns dos motivadores da tendência de consolidação na qual grandes quantidades de informações dos computadores de usuários e compartilhamento de arquivos departamentais são movidos para servidores de arquivos gerenciados centralmente.
A iniciativa de implantar e reforçar uma política de autorização pode surgir por diversas razões e em diversos níveis da organização:

  • Política de autorização em toda a organização: geralmente iniciada pelo departamento de Segurança da informação, esta política de autorização é motivada pela conformidade ou um requisito de organização de altíssimo nível, sendo relevante para toda a organização. Por exemplo: Arquivos de alto impacto nos negócios deverão ser acessados somente por funcionários de tempo integral

  • Política de autorização de departamento: cada departamento em uma organização possui certos requisitos de tratamento de dados especiais que devem ser impostos. Isso é muito comum em organizações distribuídas. O departamento financeiro, por exemplo, pode limitar todo acesso aos servidores financeiros a somente funcionários deste departamento

  • Política específica de gerenciamento de dados: esta política geralmente está relacionada a requisitos de conformidade e de negócios, com o objetivo de proteger o acesso devido às informações gerenciadas. Por exemplo: evitar a modificação ou exclusão de arquivos sob retenção ou em eDiscovery

  • Política de divulgação restrita àqueles diretamente interessados: este é um tipo de política de autorização abrangente mais usada em conjunto com os tipos de política mencionados acima. Alguns exemplos: fornecedores somente deverão acessar e editar arquivos pertencentes aos projetos nos quais trabalham.
    Em instituições financeiras, os bloqueios de informações são importantes para que os analistas não acessam informações de ações e os corretores de acões não acessem informações de análise

  1. Compreender e traduzir as intenções comerciais

  2. Expressar a política de acesso em construções do Windows Server 2012

  3. Determinar os grupos de acesso, propriedades de recursos e tipos de declarações

  4. Determinar a quais servidores esta política deve ser aplicada

O negócio determina a necessidade de uma política de acesso central. A próxima etapa é decidir sobre o conteúdo (recursos) aos quais deseja aplicar as políticas. Em seguida, criar uma lista de todas as políticas que devem ser aplicadas ao conteúdo. Por exemplo, algumas das políticas comuns aplicáveis ao departamento financeiro de uma organização seriam:

  • Os documentos financeiros arquivados somente devem ser lidos por membros do departamento financeiro.

  • Os membros do departamento financeiro somente deverão acessar os documentos referentes aos seu próprio país/região.

  • Somente administradores financeiros deverão possuir acesso de gravação. Uma exceção será permitida para os membros do grupo FinanceException. Esse grupo terá acesso de leitura.

A próxima etapa do processo de planejamento é traduzir as políticas requeridas em expressões. Uma política de acesso central visa oferecer uma fácil interpretação da linguagem dos requisitos de negócio para a linguagem de autorização.
Uma política central em Windows Server 2012 possui as seguintes partes distintas:

  • Aplicabilidade: uma condição que define a quais dados as políticas devem ser aplicadas
    (por exemplo: Resource.BusinessImpact=High)

  • Condições de acesso: uma lista de uma ou mais ACE (Entradas de Controle de Acesso) que define quem pode acessar os dados
    (Por exemplo: Allow | Full Control | User.EmployeeType=FTE)

  • Exceção: uma lista adicional contendo uma ou mais entradas de controle de acesso que define uma exceção para a política
    (Por exemplo: MemberOf(HBIExceptionGroup)

Nesta configuração, as expressões criadas para as políticas são divididas e analisadas para identificar quais propriedades de recurso, grupos de segurança e declarações potenciais do usuário precisam ser criadas para implantar as políticas específicas. Observe que, antes de usar declarações de usuário, recomendamos ler a seção sobre declarações de usuário neste tópico. Lembre-se que sempre é possível usar grupos de segurança caso você não possua o atributo de declaração de usuário adequado disponível no ambiente.

A próxima etapa é determinar em quais servidores de arquivo você deseja implantar as políticas de acesso escolhidas. Por exemplo, imagine uma política de acesso de finanças que você deseja expandir somente para os servidores de arquivos financeiros.

Existem várias maneiras de implantar políticas de acesso central com base em diversas configurações no ambiente. Você pode escolher entre uma implantação simples com grupos de segurança ou várias políticas de acesso central mais avançadas usando declarações de usuário e de dispositivo. As seções seguintes neste tópico abordam as diferentes opções de implantação disponíveis dependendo da configuração escolhida. O design e as diretrizes de implantação para cada uma delas são discutidos em maiores detalhes a seguir:

Para ver uma lista com todas as opções de configuração e orientações sobre qual configuração escolher, consulte a seção Configurando políticas de acesso central com opções diferentes

Para ter uma visão de alto nível das diferentes opções de implantação, requisitos e configurações, consulte o Apêndice: configurações de implantação para políticas de acesso central

Você não precisa usar declarações de usuário para implementar controle de acesso dinâmico na sua organização. Você pode usar grupos de segurança com baixíssimos requisitos de atualização no ambiente atual. Os grupos de segurança podem ser usados em conjunto com políticas de acesso central e expressões condicionais no Windows Server 2012. Desta maneira, você pode usar o Controle de acesso dinâmico para limitar o acesso a dados específicos usando o mecanismo de grupo de segurança existente.

Para usar o Controle de acesso dinâmico com grupos de segurança, seu ambiente deverá possuir o seguinte:

  • Um servidor de arquivos Windows Server 2012

  • Um domínio com um esquema Windows Server 2012 (para definir políticas de acesso central)

O controle de acesso dinâmico pode ajudar a limitar o acesso aos dados a grupos de pessoas específicos. As etapas necessárias para isso são:

  1. Marcar os dados identificando as pastas que contêm dados confidenciais

  2. Configurar uma Regra de Acesso Central que especifica que somente grupos de segurança podem acessar os dados marcados de uma maneira específica

  3. Aplicar uma política de acesso central aos servidores de arquivo Windows Server 2012 apropriados da sua organização

Para uma análise detalhada de como usar grupos de segurança, consulte o Blog de controle de acesso dinâmico.

Você pode usar o Controle de acesso dinâmico para reduzir consideravelmente a complexidade de números combináveis de grupos de segurança (por exemplo, de 2 mil para menos de 100) para obter uma compreensão clara de quem pode acessar os dados e para que você possa ajustar facilmente o acesso quando as pessoas mudam entre as diversas funções da empresa.

Em um ambiente corporativo típico, existe um grande número de usuários, departamentos, grupos de segurança e, por isso, um grande número de ACLs (listas de controle de acesso). Além disso, se uma pessoa mudar de um departamento para outro, isso requer atualizar um grande número de grupos de segurança. Isso resulta em uma grande carga de trabalho de TI, e o Controle de acesso dinâmico pode ajudar a reduzir esta carga de trabalho para os administradores de TI que gerenciam grupos de segurança. As etapas necessárias para isso são:

  1. Marcar todas as pastas com os valores adequados como, por exemplo, o departamento, país/região ou confidencial.

  2. Decidir as combinações de expressões que deverão ser usadas no Windows ACL. Por exemplo, usar o MemberOf (Spain_Security_Group)ANDMemberOf (Finance_Security_Group)ANDMemberOf(Sensitive_Security_Group) para limitar o acesso às informações confidenciais do departamento financeiro da Espanha.

  3. Criar regras de acesso central específicas com essas expressões destinadas a certos grupos de segurança e pastas específicas nos servidores de arquivos.

Para uma análise detalhada de como usar o Controle de Acesso Dinâmico para reduzir a complexidade dos grupos de segurança, consulte o Blog de controle de acesso dinâmico.

Como regra geral, use declarações de usuário (em vez de grupo de segurança) quando:

  • Desejar poder usar combinações como User.Project = File.Project na sua política para poder comprimir milhares de condições em uma simples expressão (evitando condições como File.Project=Cosmos AND User.Memberof(Cosmos_security_group)).

  • O atributo de usuário no Active Directory de onde a declaração de usuário está sendo obtida possuir as configurações de segurança adequadas sobre quem ou o que pode definir este atributo.

  • Alta integridade do valor do atributo no Active Directory e o sistema que define que este valor possuir procedimentos operacionais que consideram o uso deste valor para decisões de autorização.

  • Não houver expectativa de alterações nos valores do atributo. Por exemplo, se o atributo for um nome de departamento e este for alterado com frequência devido a reorganizações, não é adequado usá-lo como declaração de usuário.

Ao usar declarações de usuário, você deverá garantir que possui o ambiente de controlador de domínio Windows Server 2012 adequado para dar suporte tais declarações de usuário. Os dois principais domínios de interesse são do domínio Usuário e do domínio de Servidor de Arquivos.

  • Ambos os domínios não podem incluir os controladores de domínio do Windows Server 2003 (ou versões anteriores).

  • Possua um número adequado de controladores de domínio Windows Server 2012 no domínio do usuário para dar suporte ao número de clientes do Windows 8 implantados neste domínio ou, então, defina os clientes do Windows 8 para não exigirem declarações, quando, então, possuir apenas um controlador de domínio do Windows Server 2012 no domínio do usuário será suficiente (veja mais detalhes abaixo)

  • Se os domínios Usuário e Servidor de arquivos estiverem em florestas diferentes, será necessário:

    • Possuir relações de confiança bidirecional entre ambas as florestas.

    • Todos os controladores de domínio raiz da floresta de ambos os domínios deverão ser do Windows Server 2012

  1. Abra o Gerenciador de política de grupo e navegue para Controladores de domínio UO no domínio.

  2. Clique com o botão direito do mouse em Política de controladores de domínio padrão e selecione Editar.

  3. Na janela Editor de Gerenciamento de Política de Grupo, navegue para Configuração do computador, > Modelos Administrativos, Sistema e KDC.

  4. Selecione Suporte KCD para declarações, autenticação composta e proteção Kerberos.

  5. Nas opções Declarações, autenticação composta para controle de acesso dinâmico e proteção Kerberos, selecione Com suporte.

  6. Clique em OK. Feche o Gerenciamento de Política de Grupo.

ImportantImportante
Até a política de grupo do Kerberos Suporte do cliente Kerberos para declarações, autenticação composta e proteção Kerberos ser habilitada em todos os dispositivos Windows 8, as declarações e autenticação composta não serão solicitadas e o acesso baseado em declaração e dispositivo falhará.

WarningAviso
Os dispositivos com Windows 8 habilitados para oferecerem suporte à solicitação de declaração e autenticação composta falharão ao se autenticarem quando um DC Windows Server 2012 não for encontrado nos domínios configurados para da suporte a declarações e autenticação composta.

Os servidores de arquivo Windows Server 2012 possuem uma configuração de política de grupo (Ativado/Desativado/Automático) que especifica se é preciso obter declarações de usuário para tokens de usuário que não carregam declarações. Esta configuração é definida por padrão como "Automático", o que resulta na Ativação da configuração da Política de Grupo quando há uma política central que contém as declarações de usuário e/ou dispositivo para esse servidor de arquivos. Se o servidor de arquivos tiver políticas de acesso local (ACLs discricionárias) que usam declarações de usuário, você precisará definir essa política de grupo como "Ativada" para que o servidor saiba solicitar declarações em nome dos usuários que não as fornecem quando acessam o servidor (por exemplo, clientes que não são do Windows 8).

O Windows 8 apresenta o conceito de identidade composta que permite ao token do usuário inclui os detalhes do usuário e do dispositivo (ID, grupos de segurança e declarações) para que tais detalhes sejam mostrados em decisões de autorização, como: Somente usuários específicos usando um dispositivo específico podem acessar dados altamente confidenciais.

Assim como as declarações de usuário, as declarações de dispositivo são obtidas no atributo do objeto do dispositivo no Active Directory (origem da declaração) que contém o valor da declaração.

ImportantImportante
As declarações de dispositivo têm suporte somente nos clientes Windows 8.

Para configurar as declarações de dispositivo estático, o administrador precisará:

  • Aplicar a segurança apropriada ao atributo do dispositivo

  • Habilitar a definição de declaração: esta operação resultará na declaração estando disponível no tíquete do Kerberos com o valor obtido do atributo do dispositivo.

  • Habilitar o suporte ao controlador de domínio para o controle de acesso dinâmico: esta operação resultará no serviço de diretório devolvendo declarações para o KDC e o KDC criando declarações contendo TGTs

  • Aplique os mecanismos adequados para preencher o atributo do dispositivo no Active Directory.

  • Defina os clientes Windows 8 e Windows Server 2012 para solicitarem tokens compostos.

  1. noteObservação
    Aplique a política de grupo ao domínio.

    Abra o Gerenciamento de política de grupo e navegue para Domínio.

  2. Clique com o botão direito do mouse em Política de controladores de domínio padrão e selecione Editar.

  3. Na janela Editor de Gerenciamento de Política de Grupo, navegue para Configuração do Computador, > Modelos Administrativos, Sistema e Kerberos.

  4. Selecione Habilitar suporte KCD para declarações, autenticação composta e proteção Kerberos.

  5. Clique em OK. Feche o Gerenciamento de Política de Grupo.

  1. noteObservação
    Aplique a política de grupo ao domínio, site, escopo de objeto ou UO.

    Abra o Gerenciamento de política de grupo e navegue para a política adequada.

  2. Clique com o botão direito do mouse em Política de controladores de domínio padrão e selecione Editar.

  3. Na janela Editor de Gerenciamento de Política de Grupo, navegue para Configuração do Computador, > Modelos Administrativos, Sistema e Kerberos.

  4. Selecione Habilitar suporte KCD para declarações, autenticação composta e proteção Kerberos.

  5. Clique em OK. Feche o Gerenciamento de Política de Grupo.

Esta configuração de política de grupo deve ser aplicada na política de grupo local.

  1. Abra o Editor de política de grupo local.

  2. Na janela Política de grupo local, expanda para Configuração de computador, Modelos Administrativos, Sistema e clique em Kerberos. Selecione Habilitar e Dar suporte à autenticação composta.

  3. Clique em OK e feche o Editor de Gerenciamento de Política de Grupo.

Como mencionado anteriormente, ao usar grupos de segurança, não há quaisquer considerações específicas de domínio além daquelas necessárias para atualizar o esquema para o do Windows Server 2012.

Se você decidir usar declarações de usuário ou se desejar usar identidade composta de usuário/dispositivo, seu design de implantação para o Windows Server 2012 poderá ser uma das três configurações a seguir:

  • Configuração 1: Os domínios que fornecem as declarações e autenticação composta possuem controladores de domínio do Windows Server 2012.

  • Configuração 2: Apenas o controle de acesso baseado em declaração do usuário, por isso os servidores de arquivos recuperam as declarações de usuário e os domínios que fornecem as declarações possuem DCs Windows Server 2012 em todos os sites do servidor de arquivos.

  • Configuração 3: É necessário o controle de acesso baseado em dispositivo, mas não é possível aguardar até que todos os controladores de domínio sejam atualizados.

Esta configuração oferece uma infraestrutura completa para declarações e autenticação composta para o Controle de acesso dinâmico, sendo a mais fácil à qual se dar suporte. Ela requer:

  • Se existirem relações de confiança entre florestas, o domínio raiz possui controladores de domínio do Windows Server 2012.

  • Os domínios que fornecem as declarações e autenticação composta possuem controladores de domínio do Windows Server 2012

  • Todos os dispositivos do Windows 8 devem ser habilitados para dar suporte à solicitação de declarações e autenticação composta

Basta atualizar todos os controladores de domínio na raiz de floresta para o Windows Server 2012 e configurar a transformação de declarações de entrada e saída.

noteObservação
Isso ajudará a garantir que as declarações não sejam perdidas nas florestas confiáveis. Se os controladores de domínio pré-Windows Server 2012 existirem, eles descartarão as declarações, resultando em falhas de controle de acesso intermitente. Além disso, os controladores de domínio anteriores ao Windows Server 2012 não transformam declarações, então, os dados da declaração são divulgados para todas as florestas de confiança

Primeiramente, identifique quais domínios fornecerão as declarações e a autenticação compostas. Eles estarão nos domínios de conta e de recurso. Se todos os domínios no ambiente possuírem DCs Windows Server 2012, configure todos. Se o acesso baseado em declaração for necessário, as declarações precisarão ser fornecidas.

Configure cada domínio que fornece autenticação composta e declarações para DFL e Habilite os DCs para dar suporte à autenticação composta e sempre fornecer declarações.

Atualize a política de domínio padrão para Permitir que dispositivos com Windows 8 no domínio solicitem declarações e autenticação composta ou Permitir que dispositivos com Windows 8 solicitem declarações e autenticação composta usando política personalizada, que se aplica aos objetos de computador com Windows 8.

noteObservação
Esta configuração definida para permitir que dispositivos com o Windows 8 solicitem declarações e autenticação composta é ignorada por versões do Windows que não dão suporte a ela.

Esta configuração fornece uma infraestrutura limitada somente para declarações de usuário no Controle de acesso dinâmico. Ela requer:

  • Se existirem relações de confiança entre florestas, o domínio raiz possui DCs do Windows Server 2012.

  • Para cada domínio que fornece declarações de usuário na solicitação possui DCs do Windows Server 2012 nos sites com servidores de arquivos e nenhum controlador de domínio do Windows Server 2003.

  • Permitir que todos os servidores de arquivos com Windows 8 suportem a solicitação de declarações em nome dos usuários.

ImportantImportante
Os grupos universais baseados em garantia do mecanismo de autenticação e o controle de acesso baseado em dispositivo são incompatíveis com a obtenção de declarações de usuário pelo servidor de arquivos.

Basta atualizar todos os controladores de domínio na raiz de floresta para o Windows Server 2012 e configurar a transformação de declarações de entrada e saída.

noteObservação
Isso ajudará a garantir que as declarações não sejam perdidas nas florestas confiáveis. Se os controladores de domínio pré-Windows Server 2012 existirem, eles descartarão as declarações, resultando em falhas de controle de acesso intermitente. Além disso, os controladores de domínio anteriores ao Windows Server 2012 não transformam declarações, então, os dados da declaração são divulgados para todas as florestas de confiança

  1. Primeiramente, identifique quais domínios fornecerão as declarações e a autenticação compostas. Eles estarão nos domínios de conta e de recurso.

  2. Configure e provisione as declarações conforme explicado em Implantar uma política de acesso central (passo a passo)

  3. Configure cada domínio para Permitir que os controladores de domínio forneçam declarações e autenticação composta mediante solicitação.

Se os recursos usam uma política de acesso central, basta usá-la. Caso contrário, use Permitir que dispositivos com Windows 8 solicitem declarações e autenticação composta usando política personalizada, que se aplica aos objetos de computador do servidor de arquivos com Windows 8.

noteObservação
Esta configuração é ignorada por versões do Windows que não dão suporte a ela.

Esta configuração será exclusiva do seu ambiente, podendo ser difícil dar suporte a dispositivos com Windows 8 com configurações diferentes.

Requisitos gerais para todos os ambientes:

  • Se existirem relações de confiança entre as florestas, o domínio raiz deverá possuir controladores de domínio do Windows Server 2012.

  • Nenhum domínio que fornece declarações e autenticação composta mediante solicitação poderá possuir controladores de domínio do Windows Server 2003

  • Para recursos que usam controle de acesso baseado em dispositivo, a recepção de autenticação composta deverá ser habilitada a menos que uma política de acesso central seja usada.

Nos clientes do Windows 7 e Windows 8, o logon do cartão inteligente é mapeado pelos grupos de segurança. Para criar este mapeamento, o administrador do domínio deverá:

  • Criar um grupo de segurança que representará o logon do cartão inteligente.

  • Criar um mapeamento do certificado de cartão inteligente OID para o grupo de segurança de cartão inteligente.

  • Os controladores de domínio precisam possuir nível funcional de domínio no Windows Server 2008 R2

noteObservação
Esta associação ao grupo será perdida se o servidor realizar S4U2Self em nome do usuário

As seções a seguir fornecem orientações adicionais sobre as práticas recomendadas para delegação de administração, configuração de mecanismos de exceção e muito mais.

De forma ideal, você deve delegar permissões para todos os contêineres de Controle de acesso dinâmico na raiz da floresta do seu controlador de domínio. Você precisará conceder permissões de leitura e gravação para os grupos de segurança específicos que possuem acesso a certos objetos. Por exemplo, você pode criar grupos universais como:

  • Administradores de declaração DAC

  • Administradores de propriedade de recurso DAC

  • Administradores de regra de acesso central DAC

  • Administradores de política de acesso central DAC

Você poderá, então, delegar os direitos correspondentes a esses grupos.

A seguir estão alguns contêineres de Controle de acesso dinâmico integrados no Windows Server 2012. Para acessar esses contêineres, navegue para partição de configuração-> sistema->serviços->configuração de declarações.

  • Tipos de declaração

  • Propriedades do recurso

  • Regras de acesso central

  • Políticas de acesso central

Você pode configurar as políticas de delegação do ADAC (Centro Administrativo do Active Directory).

  1. No Gerenciador do servidor, no menu Ferramentas, selecione Centro Administrativo do Active Directory.

  2. Selecione Controle de acesso dinâmico no painel esquerdo e selecione o contêiner que possui o objeto ao qual você deseja delegar permissões. Por exemplo, selecione Políticas de acesso central e selecione uma política na lista.

  3. Clique com o botão direito do mouse e selecione Propriedades. Na janela Propriedades de política, selecione a guia Extensões.

  4. Selecione a guia Segurança. Clique em Avançado. Na caixa de diálogo Configurações de segurança avançadas, clique em Adicionar. Na caixa de diálogo de entrada Permissões, clique em Selecionar uma entidade e digite o nome do grupo de segurança ao qual você deseja conceder acesso. Clique em OK.

  5. Na caixa de diálogo de entrada Permissões, selecione as permissões que você deseja conceder ao grupo. Clique em OK três vezes.

Exceções às regras de acesso comuns são um componente chave de toda política de acesso, especialmente uma política de acesso central. Por exemplo, se uma política de acesso central de uma organização proteger o acesso a dados HBI (alto impacto nos negócios) de maneira que somente funcionários em tempo integral deverão ter acesso a tais dados, o que acontece se um fornecedor do departamento financeiro precisar de acesso a informações financeiras que são consideradas HBI para fazer seu trabalho?

Existem diversas repostas válidas, desde usar um grupo de segurança na política de acesso central para conceder acesso aos dados HBI (o que, por sua vez, permitiria que o fornecedor deste exemplo acessasse dados HBI financeiros e outros dados HBI como de RH ou de engenharia) até ter diversos grupos de segurança para exceções ou possuir mecanismos de exceção específicos por arquivo ou usuário.

 

Mecanismo de exceção Cenário de política de acesso central Descrição Vantagens Desvantagens

Grupo de segurança

Qualquer regra de acesso em que é aceitável conceder acesso a todas as informações protegidas pela política de acesso central ao conceder a exceção

Um exemplo seria uma regra de acesso central para os dados do departamento que implementa uma rede de segurança sobre TODOS os dados dos departamentos (ex.: Resource.Department=Finance)

Um grupo de segurança gerenciado pelo departamento de TI ou equipe de Segurança da informação com uma delegação para permitir que o pessoal sênior do departamento adicione ou remova (gerencie) usuários do grupo.

Os proprietários de conteúdo do departamento poderão gerenciar o grupo de exceção, podendo, assim, controlar quem pode acessar as informações dos dados do departamento

Simples de implantar

Fornece um bom modelo de delegação com as ferramentas existentes para gerenciar grupos

A exceção é ampla e concede acesso a informações que podem não ser relevantes a usuários específicos

Múltiplos grupos de segurança

Regra de acesso central para acessar diversos país/regiãoes com um número finito (ex.: <20) de permutas, onde cada uma deveria ser controlada por um proprietário de conteúdo diferente

Um exemplo seria uma regra de acesso central para acessar dados do país/região Resource.Country = User.Country

Um grupo de segurança para cada um dos país/regiãoes. Cada grupo de segurança é gerenciado pelos proprietários de conteúdo daquele país/região

Simples de implantar

Fornece um bom modelo de delegação com as ferramentas existentes para gerenciar grupos

Quanto mais grupos, maior a complexidade das condições de acesso.

Cada vez que uma nova instância é adicionada (como um país ou região, por exemplo), o administrador precisa criar um novo grupo para gerenciar a exceção para ela

Kit de ferramentas de classificação de dados : O kit de ferramentas de classificação de dados para Windows Server 2012 é projetado para ajudar as organizações a identificar, classificar e proteger os dados nos seus servidores de arquivos. Sua classificação pronta e os exemplos de regra ajudam as organizações a criar e implantar suas políticas e proteger informações críticas de maneira econômica. O kit de ferramentas dá suporte a servidores de arquivos do Windows Server 2012 e do Windows Server 2008 R2. Além de configurar a infraestrutura de classificação de arquivos, a última versão do kit de ferramentas permite gerenciar uma Política de acesso central nos servidores de arquivo da sua organização. Ele oferece ferramentas para fornecer valores de declaração de usuário e dispositivo, além de gerenciar a Política de acesso central em toda a floresta e ajudar a simplificar o processo de configuração dos Controles de acesso dinâmico no Windows Server 2012. O kit de ferramentas também fornece um novo modelo de relatório que pode ser usado para revisar a Política de acesso central existente em compartilhamentos de arquivos.

 

Opção de implantação Requisitos e opções de configuração Orientação

Usando grupos de segurança

  • Servidor de arquivos do Windows Server 2012

  • Um domínio com um esquema Windows Server 2012

Usando grupos de segurança para controle de acesso dinâmico

Usando declarações de usuário

Usando declarações de usuário

Usando declarações de dispositivo

Usando declarações de dispositivo e grupos de segurança de dispositivo

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft