Exportieren (0) Drucken
Alle erweitern

Planen der Bereitstellung einer zentralen Zugriffsrichtlinie

Veröffentlicht: Februar 2012

Letzte Aktualisierung: März 2012

Betrifft: Windows Server 2012



Die Anforderung, die Informationen in Unternehmensorganisationen aus Kompatibilitätsgründen und aufgrund geschäftlicher Regelungen zu kontrollieren, ist einer der Beweggründe für den Konsolidierungstrend, große Mengen von Informationen von den Desktops der Benutzer und von Dateifreigaben auf Abteilungsebene auf zentral verwaltete Dateiserver zu verlagern.
Die Initiative zum Bereitstellen und Erzwingen einer Autorisierungsrichtlinie kann aus verschiedenen Gründen und auf verschiedenen Organisationsebenen entstehen:

  • Organisationsweite Autorisierungsrichtlinie: Diese Autorisierungsrichtlinie wird meist von den Datenschutzbeauftragten initiiert. Sie ist auf die Kompatibilität oder übergeordnete Anforderungen der Organisation ausgerichtet und für die gesamte Organisation relevant. Beispiel: Unternehmenskritische Dateien sollten nur für Vollzeitmitarbeiter zugänglich sein

  • Abteilungsspezifische Autorisierungsrichtlinie: Für jede Abteilung eines Unternehmens gelten spezielle Datenverarbeitungsanforderungen, die erzwungen werden sollen. Dies ist in verteilten Organisationen sehr häufig der Fall. Beispiel: Die Finanzabteilung möchte den Zugriff auf Finanzserver auf die Mitarbeiter der Finanzabteilung beschränken.

  • Spezifische Datenverwaltungsrichtlinie: Diese Richtlinie bezieht sich in der Regel auf Kompatibilitäts- und geschäftliche Anforderungen und zielt darauf ab, den richtigen Zugriff auf die verwalteten Informationen zu schützen. Beispiel: Verhindern der Änderung oder Löschung von Dateien, für die eine Aufbewahrungspflicht gilt, oder Dateien, die durch E-Discovery geschützt sind

  • Informationsbedarfsrichtlinie: Dies ist ein Autorisierungsrichtlinientyp, der alle anderen Fälle abdeckt und höchstwahrscheinlich in Kombination mit den oben genannten Richtlinientypen verwendet wird. Beispiele: Lieferanten sollten nur auf die Dateien zugreifen und die Dateien bearbeiten können, die zu dem Projekt gehören, das von ihnen bearbeitet wird.
    In Finanzinstituten sind Informationswände wichtig, damit Analysten nicht auf Maklerdaten und Makler nicht auf Analysedaten zugreifen können.

  1. Verstehen und Übersetzen der geschäftlichen Absicht

  2. Ausdrücken der Zugriffsrichtlinie in Windows Server 2012-Konstrukten

  3. Bestimmen der Benutzergruppen, Ressourceneigenschaften und Anspruchstypen

  4. Festlegen der Server, auf die die Richtlinien angewendet werden sollen

Das Geschäft bestimmt, welche zentrale Zugriffsrichtlinie benötigt wird. Im nächsten Schritt muss entschieden werden, auf welche Inhalte (Ressourcen) die Richtlinien angewendet werden sollen. Dann erstellen Sie eine Liste aller Richtlinien, die auf die Inhalte angewendet werden sollen. Nachfolgend sind z. B. einige allgemeine Richtlinien aufgeführt, die für die Finanzabteilung eines Unternehmens gelten:

  • Archivierte Finanzdokumente sollten nur von Mitarbeitern der Finanzabteilung gelesen werden.

  • Die Mitarbeiter der Finanzabteilung sollten nur Zugriff auf Dokumente in ihrem eigenen Land haben.

  • Nur Finanzadministratoren sollten Schreibzugriff haben. Eine Ausnahme ist für die Mitglieder der Gruppe „FinanceException“ zulässig. Diese Gruppe erhält Lesezugriff.

Der nächste Schritt im Planungsprozess besteht darin, die erforderlichen Richtlinien in Ausdrücke zu übersetzen. Eine zentrale Zugriffsrichtlinie soll eine einfache Interpretation einer geschäftlichen Anforderung in einer Autorisierungssprache bereitstellen.
Eine zentrale Richtlinie beinhaltet in Windows Server 2012 die folgenden unterschiedlichen Bestandteile:

  • Anwendbarkeit: Eine Bedingung, die definiert, für welche Daten die Richtlinie gilt
    (Beispiel: Resource.BusinessImpact=High)

  • Zugriffsbedingungen: Eine Liste mit mindestens einem Zugriffssteuerungseintrag (Access Control Entry, ACE), die definiert, wer auf die Daten zugreifen kann
    (Beispiel: Zulassen| Vollzugriff | User.EmployeeType=FTE)

  • Ausnahme: Eine zusätzliche Liste mit mindestens einem Zugriffssteuerungseintrag, die Ausnahmen zu dieser Richtlinie definiert
    (Beispiel: MemberOf(HBIExceptionGroup)

In diesem Schnitt werden die Ausdrücke, die für die Richtlinien erstellt wurden, zerlegt und analysiert, um herauszufinden, welche Ressourceneigenschaften, Sicherheitsgruppen sowie potenziellen Benutzeransprüche zum Bereitstellen der einzelnen Richtlinien erstellt werden müssen. Beachten Sie, dass Sie den entsprechenden Abschnitt zum Thema Benutzeransprüche in diesem Thema lesen sollten, bevor Sie Benutzeransprüche verwenden. Denken Sie daran, dass Sie Sicherheitsgruppen verwenden können, falls nicht die geeigneten Benutzeranspruchsattribute in der Umgebung verfügbar sind.

Im nächsten Schritt müssen Sie bestimmen, auf welchen Dateiservern die Zugriffsrichtlinien, für die Sie sich entschieden haben, bereitgestellt werden sollen. Beispielsweise können Sie eine Zugriffsrichtlinie für Finanzdaten erstellen, die nur auf den Dateiservern der Finanzabteilung bereitgestellt werden sollen.

Abhängig von verschiedenen Konfigurationen in der Umgebung, können zentrale Zugriffsrichtlinien auf verschiedene Weise bereitgestellt werden. Sie können eine einfache Bereitstellung mit Sicherheitsgruppen oder fortgeschrittene zentrale Zugriffsrichtlinien mit Benutzeransprüchen und Geräteansprüchen wählen. In den folgenden Abschnitten dieses Themas werden die verschiedenen Bereitstellungsoptionen besprochen, die aufgrund der gewählten Konfiguration verfügbar sind. Die Entwurfs- und Bereitstellungsleitlinien für diese Optionen werden ausführlicher erläutert:

Eine Liste sämtlicher Konfigurationsoptionen und Leitlinien zur Auswahl einer Konfiguration finden Sie im Abschnitt Konfigurieren von zentralen Zugriffsrichtlinien mit verschiedenen Optionen.

Eine Übersicht über die verschiedenen Bereitstellungsoptionen, Anforderungen und Konfigurationen finden Sie im Anhang: Bereitstellungskonfigurationen für zentrale Zugriffsrichtlinien

Sie müssen nicht unbedingt Benutzeransprüche verwenden, um in einem Unternehmen eine dynamische Zugriffssteuerung zu implementieren. Es ist sogar möglich, Sicherheitsgruppen und eine minimal aktualisierte Umgebung zu verwenden. Sie können Sicherheitsgruppen in Verbindung mit zentralen Zugriffsrichtlinien und bedingten Ausdrücken in Windows Server 2012 verwenden. Aus diese Weise können Sie unter Verwendung des vorhandenen Sicherheitsgruppenmechanismus mithilfe der dynamischen Zugriffssteuerung den Zugriff auf bestimmte Daten beschränken.

Um die dynamische Zugriffssteuerung mit Sicherheitsgruppen verwenden zu können, muss die Umgebung folgende Komponenten enthalten:

  • Ein Windows Server 2012-Dateiserver

  • Eine Domäne mit einem Windows Server 2012-Schema (sodass Sie zentrale Zugriffsrichtlinien definieren können)

Mit der dynamischen Zugriffssteuerung können Sie den Datenzugriff auf bestimmten Personengruppen begrenzen. Führen Sie hierzu die folgenden Schritte aus:

  1. Auszeichnen der Daten durch Markieren der Ordner, die vertrauliche Daten enthalten

  2. Konfigurieren einer zentralen Zugriffsrichtlinie, die festlegt, dass nur bestimmte Sicherheitsgruppen auf die auf eine bestimmte Weise ausgezeichnete Daten zugreifen können

  3. Anwenden einer zentralen Zugriffsrichtlinie auf die entsprechenden Windows Server 2012-Dateiserver im Unternehmen

Eine ausführliche exemplarische Vorgehensweise zur Verwendung von Sicherheitsgruppen finden Sie im Blog zur dynamischen Zugriffssteuerung.

Sie können mit der dynamischen Zugriffssteuerung die Komplexität einer kombinatorischen Anzahl von Sicherheitsgruppen reduzieren (z. B. von 2.000 auf weniger als 100), sodass klar erkennbar ist, wer auf welche Daten zugreifen kann und Sie den Zugriff einfach anpassen können, wenn Mitarbeiter im Unternehmen andere Funktionen übernehmen.

In einer typischen Unternehmensumgebung gibt es eine große Anzahl von Benutzern, Abteilungen, Sicherheitsgruppen und daher auch eine große Anzahl von Zugriffssteuerungslisten (Access Control Lists, ACLs). Wenn ein Mitarbeiter von einer Abteilung in eine andere Abteilung wechselt, müssen sehr viele Sicherheitsgruppen aktualisiert werden. Das bedeutet einen hohen IT-Aufwand, und die dynamische Zugriffssteuerung kann für IT-Administratoren die Verwaltung von Sicherheitsgruppen erleichtern. Führen Sie hierzu die folgenden Schritte aus:

  1. Kennzeichnen Sie alle Ordner mit den geeigneten Werten, z. B. "Abteilung", "Land" oder "vertraulich".

  2. Entscheiden Sie, welche Kombinationen von Ausdrücken in Windows-Zugriffssteuerungslisten verwendet werden sollen. Beispielsweise kann mit MemberOf (Spain_Security_Group)ANDMemberOf (Finance_Security_Group)ANDMemberOf(Sensitive_Security_Group) der Zugriff auf vertrauliche Informationen der Finanzabteilung in Spanien beschränkt werden.

  3. Erstellen Sie bestimmte zentrale Zugriffsrichtlinien mit diesen Ausdrücken, die auf bestimmte Sicherheitsgruppen und bestimmte Ordner auf den Dateiservern abzielen.

Eine ausführliche exemplarische Vorgehensweise zur Verwendung der dynamischen Zugriffssteuerung zur Reduzierung der Komplexität von Sicherheitsgruppen finden Sie im Blog zur dynamischen Zugriffssteuerung.

In der Regel sollten Sie Benutzeransprüche (statt Sicherheitsgruppen) verwenden, wenn Folgendes gilt:

  • Sie möchten Bedingungen wie "User.Project = File.Project" in der Richtlinie verwenden, damit Sie Tausende von Bedingungen zu einem einfachen Ausdruck komprimieren (und Bedingungen wie "File.Project=Cosmos AND User.Memberof(Cosmos_security_group)" vermeiden) können.

  • Das Benutzerattribut in Active Directory, das als Quelle des Benutzeranspruchs fungiert, verfügt über eine geeignete Sicherheitseinstellung, die definiert, wer oder was dieses Attribut festlegen kann.

  • Hohe Integrität des Attributwerts in Active Directory und operative Verfahren auf dem System, das diesen Wert festlegt, berücksichtigen die Verwendung des Werts für Autorisierungsentscheidungen.

  • Keine vorhersehbaren Änderungen der Werte des Attributs. Wenn es sich bei dem Attribut z. B. um einen Abteilungsnamen handelt und sich dieser Namen wegen Umstrukturierungen häufig ändert, dann eignet sich das Attribut nicht zur Verwendung als Benutzeranspruch.

Beim Einsatz von Benutzeransprüchen müssen Sie sicherstellen, dass eine geeignete Windows Server 2012-Domänencontrollerumgebung zur Unterstützung dieser Benutzeransprüche vorhanden ist. Bei den beiden Domänen von Interesse handelt es sich um die Benutzerdomäne und die Dateiserverdomäne.

  • Beide Domänen dürfen keine Domänencontroller mit Windows Server 2003 (oder einer früheren Version) enthalten.

  • Es muss eine ausreichende Anzahl von Windows Server 2012-Domänencontrollern in der Benutzerdomäne zur Unterstützung der in dieser Domäne bereitgestellten Anzahl von Windows 8-Clients vorhanden sein, oder die Windows 8-Clients müssen so konfiguriert sein, dass sie keine Ansprüche erfordern. In diesem Fall muss ist es ausreichend, wenn in der Benutzerdomäne mindestens ein Windows Server 2012-Domänencontroller vorhanden ist (weitere Angaben finden Sie unten).

  • Wenn sich die Benutzerdomäne und die Dateiserverdomäne nicht in derselben Gesamtstruktur befinden, muss Folgendes gegeben sein:

    • Zwischen den beiden Gesamtstrukturen muss eine bidirektionale Vertrauensstellung bestehen.

    • Bei beiden Domänen muss auf allen Domänencontrollern im Gesamtstrukturstamm Windows Server 2012 ausgeführt werden.

  1. Öffnen Sie die Gruppenrichtlinienverwaltung, und navigieren Sie in der Domäne zur Organisationseinheit Domänencontroller.

  2. Klicken Sie mit der rechten Maustaste auf Standarddomänencontroller-Richtlinie, und wählen Sie dann Bearbeiten aus.

  3. Navigieren Sie im Fenster "Gruppenrichtlinienverwaltungs-Editor" zu Computerkonfiguration, > Administrative Vorlagen, System und KDC.

  4. Wählen Sie KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring aus.

  5. Wählen Sie unter Ansprüche, Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring die Option Unterstützt aus.

  6. Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinienverwaltung.

ImportantWichtig
Solange die Kerberos-Gruppenrichtlinie Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring nicht auf allen Windows 8-Geräten aktiviert worden ist, werden Ansprüche und Verbundauthentifizierung nicht angefordert, und der anspruchs- und gerätebasierte Zugriff schlägt fehl.

WarningWarnung
Windows 8-Geräte, die die Anforderung von Ansprüchen und Verbundauthentifizierung unterstützen, können nicht authentifiziert werden, wenn in der Domäne, die zur Unterstützung von Ansprüchen und Verbundauthentifizierung konfiguriert wurde, kein Windows Server 2012-Domänencontroller gefunden wird.

Windows Server 2012-Dateiserver verfügen über eine Gruppenrichtlinieneinstellung (Ein/Aus/Automatisch), die angibt, ob Benutzeransprüche für Benutzertoken abgerufen werden müssen, die keine Ansprüche enthalten. Diese Einstellung ist standardmäßig auf "Automatisch" festgelegt, was dazu führt, dass diese Gruppenrichtlinieneinstellung auf Ein festgelegt wird, wenn eine zentrale Richtlinie vorhanden ist, die Benutzer- und/oder Geräteansprüche für diesen Dateiserver enthält. Wenn der Dateiserver eine lokale Zugriffsrichtlinie (diskrete Zugriffssteuerungslisten) mit Benutzeransprüchen enthält, muss diese Gruppenrichtlinie auf "An" festgelegt werden, sodass der Server weiß, dass er Ansprüche für Benutzer anfordern muss, die beim Zugriff auf den Server keine Ansprüche bereitstellen (z. B. Clients, die keine Windows 8-Clients sind).

In Windows 8 wurde das neue Konzept der Verbundidentität eingeführt, das es ermöglicht, dass Benutzertoken sowohl Benutzerdetails (ID, Sicherheitsgruppen und Ansprüche) als auch Gerätedetails (ID, Sicherheitsgruppen und Ansprüche) enthalten, die in der Autorisierungsentscheidung verwendet werden können. Beispiel: Nur bestimmte Benutzer, die ein bestimmtes Gerät nutzen, können auf äußerst sensible Daten zugreifen.

Ähnlich wie bei Benutzeransprüchen wird für Geräteansprüche das Geräteobjektattribut in Active Directory (Quelle des Anspruchs) verwendet, die den Wert des Anspruchs enthält.

ImportantWichtig
Geräteansprüche werden nur in Windows 8-Clients unterstützt.

Um statische Geräteansprüche zu konfigurieren, muss der Administrator wie folgt vorgehen:

  • Anwenden der geeigneten Sicherheit auf das Geräteattribut

  • Aktivieren der Anspruchsdefinition: Dieser Vorgang bewirkt, dass der Anspruch im Kerberos-Ticket mit dem aus dem Geräteattribut übernommenen Wert verfügbar ist.

  • Aktivieren der Domänencontrollerunterstützung für die dynamische Zugriffssteuerung: Dieser Vorgang führt dazu, dass der Verzeichnisdienst Ansprüche an den KDC zurückgibt und dass der KDC TGTs erstellt, die Ansprüche enthalten.

  • Anwenden der geeigneten Mechanismen zum Füllen der Geräteattribute in Active Directory.

  • Konfigurieren der Windows 8-Clients und von Windows Server 2012 zum Anfordern von Verbundtoken.

  1. noteHinweis
    Wenden Sie die Gruppenrichtlinie auf die Domäne an.

    Öffnen Sie die Gruppenrichtlinienverwaltung, und navigieren Sie zu Domäne.

  2. Klicken Sie mit der rechten Maustaste auf Standarddomänencontroller-Richtlinie, und wählen Sie dann Bearbeiten aus.

  3. Navigieren Sie im Fenster "Gruppenrichtlinienverwaltungs-Editor" zu Computerkonfiguration, > Administrative Vorlagen, System und Kerberos.

  4. Wählen Sie KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring aktivieren aus.

  5. Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinienverwaltung.

  1. noteHinweis
    Wenden Sie die Gruppenrichtlinie auf die Domäne, den Standort, die Organisationseinheit oder den Objektbereich an.

    Öffnen Sie die Gruppenrichtlinienverwaltung, und navigieren Sie zur betreffenden Richtlinie.

  2. Klicken Sie mit der rechten Maustaste auf Standarddomänencontroller-Richtlinie, und wählen Sie dann Bearbeiten aus.

  3. Navigieren Sie im Fenster "Gruppenrichtlinienverwaltungs-Editor" zu Computerkonfiguration, > Administrative Vorlagen, System und Kerberos.

  4. Wählen Sie KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring aktivieren aus.

  5. Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinienverwaltung.

Diese Gruppenrichtlinieneinstellung muss auf die lokale Gruppenrichtlinie angewendet werden.

  1. Öffnen Sie den lokalen Gruppenrichtlinien-Editor.

  2. Erweitern Sie im Fenster "Lokale Gruppenrichtlinie" die Struktur Computerkonfiguration, erweitern Sie dann Administrative Vorlagen, erweitern Sie System, und klicken Sie auf Kerberos. Wählen Sie Aktivieren und Verbundauthentifizierung unterstützen aus.

  3. Klicken Sie auf OK, und schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Wie oben erwähnt, müssen Sie bei Verwendung von Sicherheitsgruppen lediglich Ihr Schema auf das Windows Server 2012-Schema aktualisieren, sonst jedoch keine speziellen Domänenkonfigurationen beachten.

Wenn Sie Benutzeransprüche oder eine Benutzer-/Geräteverbundidentität verwenden möchten, können Sie eine der folgenden drei Konfigurationen zur Bereitstellung inWindows Server 2012 nutzen:

  • Konfiguration 1: Alle Domänen, die Ansprüche und Verbundauthentifizierung bereitstellen, verfügen über Windows Server 2012-Domänencontroller.

  • Konfiguration 2: Nur eine auf Benutzeransprüchen basierende Zugriffssteuerung, sodass die Dateiserver die Benutzeransprüche abrufen und die Domänen, die Ansprüche bereitstellen, an allen Dateiserverstandorten über Windows Server 2012-Domänencontroller verfügen.

  • Konfiguration 3: Es ist eine gerätebasierte Zugriffssteuerung erforderlich, aber es kann nicht abgewartet werden, bis alle Domänencontroller aktualisiert worden sind.

Diese Konfiguration stellt eine komplette Infrastruktur für Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung bereit und ist am einfachsten zu unterstützen: Voraussetzungen:

  • Wenn eine gesamtstrukturübergreifende Vertrauensstellung vorhanden ist, dann sind alle Domänencontroller in der Stammdomäne Windows Server 2012-Domänencontroller.

  • Domänen, die Ansprüche und Verbundauthentifizierung bereitstellen, verfügen ausschließlich über Windows Server 2012-Domänencontroller.

  • Alle Windows 8-Geräte müssen so konfiguriert worden sein, dass die Anforderung von Ansprüchen und Verbundauthentifizierung unterstützt wird.

Aktualisieren Sie einfach alle Domänencontroller im Gesamtstrukturstamm auf Windows Server 2012, und konfigurieren Sie die Internetzugang/-ausgang-Transformation von Ansprüchen.

noteHinweis
Dadurch wird gewährleistet, dass Ansprüche in vertrauenswürdigen Gesamtstrukturen nicht verloren gehen. Wenn Domänencontroller mit älteren Betriebssystemversionen als Windows Server 2012 vorhanden sind, dann verwerfen diese Domänencontroller Ansprüche, und dies führt zu vorübergehenden Zugriffssteuerungsfehlern. Außerdem transformieren Domänencontroller mit älteren Betriebssystemversionen als Windows Server 2012 die Ansprüche nicht, sodass die Daten von Ansprüchen für alle vertrauenswürdigen Gesamtstrukturen offengelegt werden.

Zunächst identifizieren Sie die Domänen, die Ansprüche und Verbundauthentifizierung bereitstellen. Das sind die Konto- und Ressourcendomänen. Wenn alle Domänen in der Umgebung über Windows Server 2012-Domänencontroller verfügen, dann müssen Sie alle konfigurieren. Wenn anspruchsbasierter Zugriff erforderlich ist, dann müssen Ansprüche bereitgestellt werden.

Konfigurieren Sie jede Domäne, die Verbundauthentifizierung und Ansprüche bereitstellt, auf Domänenfunktionsebene (DFL), und aktivieren Sie auf den Domänencontrollern die Unterstützung der Verbundauthentifizierung und die Bereitstellung von Ansprüchen.

Aktualisieren Sie die Standarddomänenrichtlinie mit dem Ziel Aktivieren der Anforderung von Ansprüchen und Verbundauthentifizierung auf den Windows 8-Geräten in der Domäne oder Aktivieren der Anforderung von Ansprüchen und Verbundauthentifizierung mit einer benutzerdefinierten Richtlinie auf den Windows 8-Geräten in der Domäne, die für alle Windows 8-Computerobjekte gilt.

noteHinweis
Diese Konfiguration, die Sie einrichten, damit Windows 8-Geräte Ansprüche und Verbundauthentifizierung anfordern können, wird von Windows-Versionen, die dies nicht unterstützten, ignoriert.

Wenn die Ressourcen zentrale Zugriffsrichtlinien verwenden, dann wenden Sie einfach die zentralen Zugriffsrichtlinien an. Andernfalls Aktivieren des Empfangs der Verbundauthentifizierung auf den Windows 8-Geräten.

Diese Konfiguration stellt nur eine eingeschränkte Infrastruktur für Benutzeransprüche für die dynamische Zugriffssteuerung bereit. Voraussetzungen:

  • Wenn eine gesamtstrukturübergreifende Vertrauensstellung vorhanden ist, dann enthält die Stammdomäne nur Windows Server 2012-Domänencontroller.

  • Jede Domäne, die auf Anforderung Benutzeransprüche bereitstellt, verfügt an den Standorten mit Dateiservern über Domänencontroller mit Windows Server 2012 und keine Domänencontroller mit Windows Server 2003.

  • Alle Windows 8-Dateiserver müssen die Anforderung von Ansprüchen im Namen der Benutzer unterstützen.

ImportantWichtig
Authentifizierungsmechanismen mit zusicherungsbasierten universellen Gruppen und gerätebasierter Zugriffssteuerung sind nicht mit dem Abrufen von Benutzeransprüchen von Dateiservern kompatibel.

Aktualisieren Sie einfach alle Domänencontroller im Gesamtstrukturstamm auf Windows Server 2012, und konfigurieren Sie die Internetzugang/-ausgang-Transformation von Ansprüchen.

noteHinweis
Dadurch wird gewährleistet, dass Ansprüche in vertrauenswürdigen Gesamtstrukturen nicht verloren gehen. Wenn Domänencontroller mit älteren Betriebssystemversionen als Windows Server 2012 vorhanden sind, dann verwerfen diese Domänencontroller Ansprüche, und dies führt zu vorübergehenden Zugriffssteuerungsfehlern. Außerdem transformieren Domänencontroller mit älteren Betriebssystemversionen als Windows Server 2012 die Ansprüche nicht, sodass die Daten von Ansprüchen für alle vertrauenswürdigen Gesamtstrukturen offengelegt werden.

  1. Zunächst identifizieren Sie die Domänen, die Ansprüche und Verbundauthentifizierung bereitstellen. Das sind die Konto- und Ressourcendomänen.

  2. Konfigurieren Sie Ansprüche, und stellen Sie sie wie in Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte) beschrieben bereit.

  3. Konfigurieren Sie jede Domäne zum Aktivieren der Bereitstellung von Ansprüchen und Verbundauthentifizierung auf Anforderung auf den Domänencontrollern.

Wenn die Ressourcen eine zentrale Zugriffsrichtlinie verwenden, dann wenden Sie diese einfach an. Andernfalls Aktivieren der Anforderung von Ansprüchen und Verbundauthentifizierung mit einer benutzerdefinierten Richtlinie auf den Windows 8-Geräten in der Domäne, die für Windows 8-Dateiserver-Computerobjekte gilt.

noteHinweis
Diese Einstellung wird von Windows-Versionen, die sie nicht unterstützen, ignoriert.

Diese Konfiguration ist spezifisch für Ihre Umgebung und u. U. schwierig zu unterstützen, wenn Windows 8-Geräte über verschiedene Konfigurationen verfügen.

Allgemeine Anforderungen für alle Umgebungen:

  • Wenn eine gesamtstrukturübergreifende Vertrauensstellung vorhanden ist, dann müssen alle Domänencontroller in der Stammdomäne Windows Server 2012-Domänencontroller sein.

  • In allen Domänen, die auf Anforderung Ansprüche und Verbundauthentifizierung bereitstellen, dürfen keine Windows Server 2003-Domänencontroller vorhanden sein.

  • Bei Ressourcen, die eine gerätebasierte Zugriffssteuerung verwenden, muss der Empfang der Verbundauthentifizierung aktiviert werden, sofern keine zentrale Zugriffsrichtlinie verwendet wird.

In Windows 7- und Windows 8-Clients wird die Smartcard-Anmeldung über Sicherheitsgruppen zugeordnet. Um diese Zuordnung zu erstellen, muss der Domänenadministrator wie folgt vorgehen:

  • Erstellen einer Sicherheitsgruppe, welche die Smartcard-Anmeldung repräsentiert.

  • Erstellen einer Zuordnung zwischen der Smartcard-Zertifikat-OID und der Smartcard-Sicherheitsgruppe.

  • Domänencontroller müssen über die Domänenfunktionsebene Windows Server 2008 R2 verfügen

noteHinweis
Diese Gruppenmitgliedschaft geht verloren, wenn der Server die Service-For-User-To-Self-(S4U2Self)-Funktionalität im Namen des Benutzers nutzt.

In den folgenden Abschnitten werden zusätzliche Hinweise zu bewährten Methoden für das Delegieren von Verwaltung, das Einrichten von Ausnahmemechanismen usw. bereitgestellt.

Im Idealfall sollten Sie die Berechtigungen für alle dynamischen Zugriffssteuerungscontainer im Gesamtstrukturstamm des Domänencontrollers delegieren. Sie müssen bestimmten Sicherheitsgruppen, die Zugriff auf bestimmte Objekte haben, Lese- und Schreibberechtigungen gewähren. Sie können beispielsweise universelle Gruppen erstellen wie:

  • DAC-Anspruchsadministratoren

  • DAC-Ressourceneigenschaftsadministratoren

  • DAC-Administratoren für zentrale Zugriffsregeln

  • DAC-Administratoren für zentrale Zugriffsrichtlinien

Sie können dann die entsprechenden Rechte an diese Gruppen delegieren.

Nachfolgend sind die Container für die Dynamische Zugriffssteuerung in Windows Server 2012 aufgeführt. Um auf diese Container zuzugreifen, wechseln Sie zur Konfigurationspartition-> System-> Dienste-> Anspruchskonfiguration.

  • Anspruchstypen

  • Ressourceneigenschaften

  • Zentrale Zugriffsregeln

  • Zentrale Zugriffsrichtlinien

Sie können die Delegierung von Richtlinien im Active Directory-Verwaltungscenter einrichten.

  1. Wählen Sie im Server-Manager im Menü Extras die Option Active Directory-Verwaltungscenter aus.

  2. Wählen Sie im linken Bereich "Dynamische Zugriffssteuerung" und anschließend den Container aus, der das Objekt enthält, an das Sie die Berechtigungen delegieren möchten. Wählen Sie beispielsweise Zentrale Zugriffsrichtlinien und anschließend eine Richtlinie in der Liste aus.

  3. Klicken Sie mit der rechten Maustaste, und wählen Sie Eigenschaften aus. Wählen Sie im Eigenschaftenfenster der Richtlinie die Registerkarte Erweiterungen aus.

  4. Wählen Sie die Registerkarte Sicherheit aus. Klicken Sie auf Erweitert. Klicken Sie im Dialogfeld "Erweiterte Sicherheitseinstellungen" auf Hinzufügen. Klicken Sie im Dialogfeld "Berechtigungseintrag" auf Prinzipal auswählen, und geben Sie den Namen der Sicherheitsgruppe ein, der Sie Zugriff gewähren möchten. Klicken Sie auf "OK".

  5. Wählen Sie im Dialogfeld "Berechtigungseintrag" die Berechtigungen aus, die Sie dieser Gruppe gewähren möchten. Klicken Sie dreimal auf OK.

Ausnahmen zu den allgemeinen Zugriffsrichtlinien sind eine wichtige Komponente jeder Zugriffsrichtlinie, insbesondere einer zentralen Zugriffsrichtlinie. Was geschieht beispielsweise, wenn eine zentrale Richtlinie für die Organisation den Zugriff auch geschäftskritische Daten schützt, sodass nur Vollzeitmitarbeiter auf diese Daten zugreifen können und ein Lieferant der Finanzabteilung zur Ausführung seines Auftrags Zugriff auf Finanzdaten benötigt, die als geschäftskritisch gelten?

Es gibt mehrere zulässige Antworten, die von der Verwendung einer Sicherheitsgruppe in der zentralen Zugriffsrichtlinie, um Zugriff auf geschäftskritische Daten zu gewähren (wodurch der Lieferant in diesem Beispiel sowohl auf geschäftskritische Finanzdaten als auch andere geschäftskritische Daten, wie Personaldaten oder Konstruktionsdaten, zugreifen könnte), bis zur Verwendung von mehreren Sicherheitsgruppen für Ausnahmen und zum Einsatz datei- oder benutzerspezifischer Ausnahmemechanismen reichen.

 

Ausnahmemechanismus Szenario mit zentraler Zugriffsrichtlinie Beschreibung Vorteile Nachteile

Sicherheitsgruppe

Eine beliebige Zugriffsregel, wobei durch die Ausnahme Zugriff auf alle Informationen, die durch die zentrale Zugriffsrichtlinie geschützt werden, gewährt wird

Ein Beispiel ist eine zentrale Zugriffsregel für Abteilungsdaten, die ein Sicherheitsnetz für ALLE Abteilungsdaten bildet (z. B. "Resource.Department=Finance")

Eine Sicherheitsgruppe, die von der IT-Abteilung oder Datenschutzbeauftragten mit einer Delegierung verwaltet wird, damit Führungskräfte der Abteilung der Gruppe Benutzer hinzufügen oder daraus entfernen (die Gruppe verwalten) können.

Inhaltsbesitzer aus der Abteilung können die Ausnahmegruppe verwalten, sodass sie steuern können, wer Zugriff auf die Abteilungsdaten erhält.

Einfach zu implementieren

Stellt ein gutes Delegierungsmodell mit vorhandenen Tools zur Verwaltung von Gruppen bereit

Die Ausnahme ist umfangreich und bietet Zugriff auf Informationen, die für den betreffenden Benutzer möglicherweise nicht relevant sind.

Mehrere Sicherheitsgruppen

Zentrale Zugriffsregel für den Zugriff auf eine Reihe von Ländern mit einer endlichen (z. B. <20) Anzahl von Permutationen, die jeweils von einem anderen Inhaltsbesitzer kontrolliert werden sollen

Ein Beispiel ist eine zentrale Zugriffsregel für den Zugriff auf Länderdaten "Resource.Country = User.Country"

Eine Sicherheitsgruppe pro Land Jede Sicherheitsgruppe wird vom Besitzer des Inhalts des betreffenden Landes verwaltet.

Einfach zu implementieren

Stellt ein gutes Delegierungsmodell mit vorhandenen Tools zur Verwaltung von Gruppen bereit

Je mehr Gruppen vorhanden sind, desto komplizierter werden die Zugriffsbedingungen.

Jedes Mal, wenn eine neue Instanz hinzugefügt wird (z. B. ein neues Land), muss der Administrator eine neue Gruppe zum Verwalten der zugehörigen Ausnahme erstellen.

Toolkit zur Datenklassifizierung : Das Toolkit zur Datenklassifizierung für Windows Server 2012 soll Organisationen helfen, Dateien auf ihren Dateiservern zu identifizieren, zu klassifizieren und zu schützen. Die mitgelieferten Klassifizierungs- und Regelbeispiele helfen Organisationen, eigene Richtlinien zu definieren und bereitzustellen, um wichtige Informationen auf kostengünstige Weise zu schützen. Das Toolkit unterstützt sowohl Windows Server 2012-Dateiserver als auch Windows Server 2008 R2-Dateiserver. Mit der neuesten Version des Toolkits können Sie nicht nur eine Dateiklassifizierungsinfrastruktur konfigurieren, sondern auch eine zentrale Zugriffsrichtlinie für alle Dateiserver der Organisation verwalten. Es stellt Tools zum Bereitstellen von Werten für Benutzer- und Geräteansprüche und zum Verwalten einer zentralen Zugriffsrichtlinie in der Gesamtstruktur bereit, um die Konfiguration der dynamischen Zugriffssteuerung in Windows Server 2012 zu erleichtern. Das Toolkit bietet auch eine neue Berichtsvorlage, die Sie verwenden können, um eine vorhandene zentrale Zugriffsrichtlinie für Dateifreigaben zu überprüfen.

 

Bereitstellungsoption Anforderungen und Konfigurationsoptionen Leitlinien

Verwenden von Sicherheitsgruppen

  • Windows Server 2012-Dateiserver

  • Eine Domäne mit einem Windows Server 2012-Schema

Verwenden von Sicherheitsgruppen für die dynamische Zugriffssteuerung

Verwenden von Benutzeransprüchen

Verwenden von Benutzeransprüchen

Verwenden von Geräteansprüchen

Verwenden von Geräteansprüchen und Gerätesicherheitsgruppen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft