动态访问控制：方案概述

方案：中央访问策略

创建文件的中央访问策略允许组织集中部署和管理授权策略，包括使用用户声明、设备声明和资源属性的条件表达式。这些策略建立在合规性与业务监管要求之上。这些策略在 Active Directory 中创建与托管，因此使得管理和部署更为容易。

跨林部署声明

在 Windows Server 2012 中，AD DS 在每个林中保存有‘声明词典’，林中使用的所有声明类型都在 Active Directory 林级别定义。有许多方案，其中主体可能要遍历信任边界。此方案描述了声明如何遍历信任边界。

动态访问控制：方案概述

Deploy Claims Across Forests

Plan for a Central Access Policy Deployment

• 着手将业务请求映射到中央访问策略
  
  
• 委派动态访问控制的管理
  
  
• 计划中央访问策略的异常机制
  
  

使用用户声明的最佳实践

• 选择正确的配置，在用户域中启用声明
  
  
• 启用用户声明的操作
  
  
• 不使用中央访问策略在文件服务器任意 ACL 中使用用户声明的考虑事项
  
  

使用设备声明和设备安全组

• 使用静态设备声明的考虑事项
  
  
• 启用设备声明的操作
  
  

部署工具

• 数据分类工具包
  
  

Deploy a Central Access Policy (Demonstration Steps)

Deploy Claims Across Forests (Demonstration Steps)

• 建造中央访问策略模型
  
  

方案：文件访问审核

安全审核是用来帮助维护企业安全的功能最强大的工具之一。安全审核的主要目标之一就是监管合规。例如，像 Sarbanes Oxley、HIPAA 和 Payment Card Industry (PCI) 这类的行业标准要求企业遵守与数据安全和隐私权有关的一套严格的规则。安全审核可以帮助确定此类策略是否存在；由此它们证明是否与这些标准相符。此外，通过创建可用于取证分析的用户活动记录，安全审核可帮助发现异常的行为、识别并缓和在安全策略方面的差距并阻止不负责任的行为。

应用场景：文件访问审核

文件访问审核计划

使用中心审核策略部署安全审核（示范步骤）

• Monitor the Central Access Policies that Apply on a File Server
  
  
• Monitor the Central Access Policies Associated with Files and Folders
  
  
• Monitor the Resource Attributes on Files and Folders
  
  
• Monitor Claim Types
  
  
• Monitor User and Device Claims During Sign-in
  
  
• Monitor Central Access Policy and Rule Definitions
  
  
• Monitor Resource Attribute Definitions
  
  
• Monitor the Use of Removable Storage Devices。
  
  

方案：拒绝访问协助

现在，当用户尝试访问文件服务器上的远程文件时，能得到的仅有指示是访问被拒绝。这将生成支持人员或 IT 管理员请求，它们需要弄清问题是什么，而管理员通常很难从用户那里得到合适的上下文，这使得解决问题更困难了。
在 Windows Server 2012 中，目标是在 IT 涉入前和 IT 涉入后，尝试与帮助数据的信息工作者和业务所有者处理访问受拒问题，提供所有正确的信息以达到快速解决的目的。达到这个目标的挑战之一，是无法集中处理访问被拒，每个应用程序用不同的方式处理它，因此在 Windows Server 2012 中，目标之一是改进 Windows 资源管理器的访问受拒体验。

Scenario: Access-Denied Assistance

拒绝访问协助方案

• 确定拒绝访问协助模式
  
  
• 确定谁应该处理访问请求
  
  
• 自定义拒绝访问协助消息
  
  
• 例外计划
  
  
• 确定如何部署拒绝访问协助
  
  

Deploy Access-Denied Assistance (Demonstration Steps)

方案：基于分类的 Office 文档加密

敏感信息的保护主要与为组织降低风险有关。诸如 HIPAA 或支付卡行业数据安全标准 (PCI-DSS) 等各种合规性规章制度，都规定了信息加密，而且出于商业考虑也需要加密敏感的业务信息。但是，加密信息的成本比较高，这可能会损害企业的生产力。因此，对于信息加密，组织往往采用不同的方法和优先级。
为支持这种情况，Windows Server 2012 提供了根据文件的分类自动加密敏感 Windows Office 文件的功能。这通过文件管理任务来完成，文件管理任务在文件被识别为文件服务器上的敏感文件后几秒钟，为敏感文档调用 Acitve Directory 权限管理服务器 (AD RMS) 保护。

Scenario: Classification-Based Encryption for Office Documents

Planning Considerations for Encryption of Office Documents

Deploy Encryption of Office Files (Demonstration Steps)

方案：使用分类深入了解你的数据

对数据和存储资源的依赖在大多数组织的重要性方面持续增长。IT 管理员面对着监督更大、更复杂存储基础结构的日渐增长的挑战，而同时又担负着确保所有者总开支维持在合理水平的责任。管理存储资源不再仅仅是涉及数据的量和可用性，还和公司政策的执行有关，和了解如何消耗存储来启用高效利用与合规减轻风险有关。文件分类基础结构通过自动化分类流程来让你深入了解数据，以便你可以更有效地管理数据。下列分类方法可用于文件分类基础结构：手动、编程、自动。此方案重点介绍自动文件分类方法。

Scenario: Get Insight into Your Data by Using Classification

自动文件分类方案

Deploy Automatic File Classification (Demonstration Steps)

方案：实现文件服务器信息保留

保留期是文档过期前应保存的时间量。组织不同，保留期可能也不相同。可以将文件夹中的文件分类为具有短、中或长保留期，然后为每个保留期分配时间范围。你可能想要通过将文件合法保留来无限期保留。
文件分类基础结构和文件服务器资源管理器使用文件管理任务和文件分类，将保留期应用到一系列文件上。可给文件夹分配一个保留期，然后使用文件管理任务配置分配的保留期的持续时间。当文件夹中的文件将要过期时，文件所有者会收到一封通知邮件。也可将文件分类为合法保留，这样文件管理任务就不会使文件过期。

Scenario: Implement Retention of Information on File Servers

文件服务器信息保留方案

Deploy Implementing Retention of Information on File Servers (Demonstration Steps)

产品评估

• 动态访问控制审阅者指南
  
  
• 动态访问控制开发者指南
  
  

计划

• Plan for a Central Access Policy Deployment
  
  
• 文件访问审核计划
  
  

部署

• Active Directory 部署
  
  
• 文件和存储服务部署
  
  

操作

动态访问控制 PowerShell 参考

工具和设置

数据分类工具包

社区资源

目录服务论坛