在中小型企业中提供数据保护

发布时间: 2014年1月

更新时间: 2014年7月

应用到: Windows Server 2012 Essentials, Windows Server 2012 R2, Windows Server 2012 R2 Essentials, Windows Storage Server 2012 R2 Essentials

本指南将如何帮助你?本解决方案指南介绍了如何防止小型到中型企业的数据丢失(如通过硬件盗窃或自然灾难) 和对这些企业的未经授权的访问,以便节省时间和资金。

本指南介绍了经过测试的规范性设计和实现解决方案,通过在本地和云中备份、集中数据存储,以及限制数据访问权限,它们可帮助你保护企业数据。

本解决方案指南的内容:

下图说明了本解决方案指南所针对的问题和方案。

 与数据存储、访问和保护相关的问题

中小型企业中的数据保护问题方案

本节介绍示例组织的方案、问题和目标。

该组织是小到中型企业,最多具有 100 位用户和 200 台设备,并且在寻找一种用于保护其公司数据的方法。目前,每位用户都将数据保存在其本地计算机上,数据通过打印副本和电子邮件或通过创建本地共享资源进行共享。

备份数据的创建并不一致,具体取决于用户的个人备份计划。某些用户使用的是笔记本电脑设备,因此,公司将缺少关键数据。当计算机硬件发生故障时,很多公司的关键数据将因缺少备份而永久丢失,而重新创建包含其所有文件且已安装业务线应用程序的新桌面将花费大量的时间。

该组织希望解决以下问题:

  • 将向非预期用户公开包含业务关键型数据的文件。

  • 扩展网络中现有计算机的存储容量涉及高昂的管理和成本开销。

  • 网络用户将公司数据保存在多个设备(例如,工作时保存在电脑上,远程工作时保存在其笔记本电脑上) 上。这将产生多个难以跟踪和查找的文件版本。

  • 并非所有用户都始终会备份他们的计算机和数据。因此,如果一台计算机出现故障,可能没有可用于还原计算机和数据的备份。

  • 因为公司的备份数据驻留在一个位置,所以面临着风险。

你的组织正在寻找一个用于实现以下目的的解决方案:

  • 将本地公司数据存储在单个集中位置中,以便其所有网络用户都可以轻松地访问,并且你的管理员也可以更轻松地对这些数据应用访问限制。

  • 随着组织规模不断增加,轻松地扩展服务器的存储容量。

  • 限制共享文件夹权限,以便仅选定用户可以访问数据。

  • 定义备份计划,使备份操作自动而不是手动发生。

  • 在发生硬件故障时通过备份完整地还原服务器和客户端计算机。

  • 创建本地和联机备份,提供额外的数据保护。

下图说明了如何通过运行 Windows Server 2012 R2 Essentials 或安装了 Windows Server Essentials 体验 角色(在文档的其余部分中称为 Windows Server Essentials 体验)的 Standard 版本和 Datacenter 版本的 Windows Server 2012 R2 的服务器,来存储、保护和安全地访问数据。

用于保护数据、集中数据和安全访问数据的解决方案设计

中小型企业中的数据保护解决方法方案

Windows Server 2012 R2 Essentials(最多可供 25 位用户和 50 台设备使用) 或 Windows Server Essentials 体验(最多可供 100 位用户和 200 台设备使用)为小到中型企业合作伙伴和所有者提供解决方案,通过集中数据存储、限制对数据的访问权限以及在本地和云中备份数据来保护其数据。

下表列出了包含在 Windows Server 2012 R2 Essentials和Windows Server Essentials 体验 中的技术,它们是此解决方案设计的一部分,说明了做出该设计选择的原因。

 

解决方案设计元素 为什么将其包含在本解决方案中?

Windows Server Essentials 仪表板

使用仪表板在网络中执行所有管理任务,如创建用户帐户、授予访问权限、设置服务器和客户端备份、创建存储空间和服务器文件夹,以及与 Microsoft Azure 备份 集成。

有关信息,请参阅 Overview of the Dashboard in Windows Server Essentials

存储空间

使用存储空间存储公司的数据。借助存储空间,你可以随着组织的发展而扩展存储,确保为数据提供高可用性,并提供节省成本的解决方案。不需要提前购买硬件,你可以很据业务需求进行扩展。

有关存储空间的详细信息,请参阅Storage Spaces Overview存储空间常见问题

服务器文件夹

在你在服务器上创建的服务器文件夹中存储和共享组织的文件和文件夹,而不是从单个用户的电脑上共享它们。这使你可以在一个所有网络用户都可以访问的中心位置合并你的数据。当你将数据存储在服务器文件夹中时,你可以通过使用 Windows Server Backup 和 Azure 备份 防止出现整体服务器故障。

有关详细信息,请参阅 Manage Server Folders in Windows Server Essentials

用户管理

创建用户帐户和用户组来控制对你的公司数据和设备的访问。在创建用户组时,你可以为所有成员提供相同的网络资源访问级别。

有关详细信息,请参阅 Manage User Accounts in Windows Server Essentials

设备管理

将客户端计算机加入网络,以便可以通过 Windows Server Essentials 仪表板轻松地管理网络中的所有客户端计算机。

有关与计算机管理相关的任务的详细信息,请参阅Manage Devices in Windows Server Essentials

组策略设置

通过实现 Windows Server Essentials 组策略设置,保护客户端计算机免受网络攻击并使计算机上的软件和操作系统保持最新。有关详细信息,请参阅 Configure Group Policy settings for folder redirection and security

Windows Server Backup

使用 Windows Server Backup 备份存储在你的服务器上的文件和文件夹。你可以通过备份文件还原服务器上的文件和文件夹,或执行服务器的完整系统还原。

有关详细信息,请参阅 Manage server backup in Windows Server Essentials

Client Computer Backup

使用 Client Computer Backup 备份网络中的所有客户端。位于客户端上的数据将备份到运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器上。你可以通过备份文件还原客户端上的文件和文件夹,或执行网络中的服务器的完整系统还原。

有关详细信息,请参阅 Manage client computer backup in Windows Server Essentials

文件历史记录

文件历史记录为客户端计算机备份提供了一种补充机制。文件历史记录备份存储在“文件历史记录”文件夹中,该文件夹位于运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器上。网络用户可以通过文件历史记录备份还原某个特定时间点上的文件版本。此外,网络用户可以在不要求管理员帮助的情况下还原文件。

有关详细信息,请参阅使用 Windows Server Essentials 管理文件历史记录

Azure 备份

将运行 Windows Server Essentials 体验 的服务器与 Azure 备份 集成,备份位于服务器上的文件或文件夹。你可以备份本地业务关键型数据,并通过使用 Azure 备份 来为公司数据提供双重保护。

有关详细信息,请参阅 Manage online backup in Windows Server Essentials

本部分介绍设计注意事项和为产生最终解决方案设计所做的决策的详细信息。它还为此解决方案中所使用的每个功能提供了推荐的配置或使用方法。

Windows Server 2012 R2 Essentials 和 Windows Server Essentials 体验 中的 Windows Server Essentials 仪表板可帮助你快速地访问服务器的关键信息和管理功能,而无需使用多个本机 Windows Server Administration 工具。通过使用仪表板,你可以创建和管理用户帐户、管理设备和备份,以及管理服务器文件夹的访问权限和设置。

建议:使用 Windows Server Essentials 仪表板在网络中执行大多数管理任务。你可以从仪表板运行任务和向导,以最佳方式配置包含在服务器中的功能。

用于为公司数据提供高可用性和弹性存储的选项中包括使用附带常见服务器硬件的内置 RAID 控制器。此存储选项将提供你所需的存储可用性和弹性,但它可能相对比较复杂且成本高昂。

与此相反,你可以使用存储空间功能创建低成本、有弹性、可动态扩展的数据卷来存储企业数据,而不是将其存储在标准硬盘驱动器上。存储空间是显示在仪表板的“硬盘驱动器”选项卡上的虚拟硬盘驱动器 (VHD)。存储空间可帮助你将文件保存到两个或多个驱动器中,以便即使在驱动器出现故障时,你的文件也是安全的。借助存储空间,你可以通过将行业标准硬盘驱动器分组为存储池,然后基于存储池中的可用容量创建 VHD(称为存储空间),来虚拟化服务器存储。你可以使用这些存储空间将公司数据存储在一个中心位置中,而不是使所有用户都将数据保存在其电脑上。

建议:对于用户数少于 10 的小型企业,至少使用三个 SAS 或 SATA 驱动器 - 一个驱动器用于备份操作系统,其他两个驱动器用于存储空间。我们建议至少使用两个附带镜像复原能力的驱动器来创建存储空间。

对于用户数超过 10 的小型企业或用户数最多为 100 的中型企业,使用存储空间配置至少三个 SAS 驱动器 - 一个驱动器用于备份操作系统,其他两个驱动器用于存储空间。我们还建议提供支持添加更多驱动器以用于扩展的服务器机壳。

你可以将位于客户端计算机上的公司数据存储到一个中心位置中,而不是使所有用户都将文件保存在其电脑上。

将文件存储在服务器文件夹中可确保你的文件易于备份和访问。它们位于始终可从所有客户端进行访问的位置中。因为需要使用经过身份验证的网络凭据才能访问文件,所以文件是安全的。

建议:在存储空间驱动器上创建服务器文件夹,并为部门或项目创建单独的服务器文件夹。例如,如果存在财务部,则可以创建一个名为“财务”的文件夹。在存储空间驱动器上创建服务器文件夹会增加数据可用性(由于镜像)。我们还建议为服务器文件夹设置配额,以便在服务器文件夹达到其容量上限时发出警报。当向你发出警报时,你可以删除服务器文件夹中的文件以增加存储可用空间,也可以为服务器文件夹添加更多空间并调整其配额设置。

用户帐户和用户组帐户可帮助你指定允许用户访问公司数据的权限。这可防止非预期用户访问公司数据。你可以轻松地管理网络资源的访问权限,方法是从 Windows Server Essentials 仪表板的“用户”选项卡为所有网络用户创建用户帐户。

此外,你可以创建用户组帐户,并将用户帐户作为其成员。一个用户组帐户中的所有成员使用相同的服务器资源安全访问级别。组成员身份简化了资源管理,因为你可以在一个 UI 页面上为一组用户指定权限。这与打开网络中每位用户的属性页来分配相关的文件夹权限相反。

建议:根据公司中存在的部门或公司内部员工所处理的各种项目,创建包括不同用户组中的成员的用户帐户。在创建用户组时,你可以将一组权限分配给将适用于其所有成员的组。例如,如果有一组用户在部门 A 中工作,则可以创建一个名为“部门 A 用户组”的用户组帐户,然后将相关的用户帐户添加到此组。接下来,你可以为“部门 A 用户组”分配权限,以访问名为“财务”的服务器文件夹。

若要使用户能够从网络中的计算机访问服务器文件夹,必须将用户计算机连接到服务器。将计算机连接到服务器具有以下优点:

  • 使网络用户通过使用用户帐户可安全访问存储在服务器上的数据。

  • 使你能够从仪表板管理客户端计算机。

  • 通过使用组策略来保护网络中的客户端计算机。

  • 定期备份客户端计算机上的数据。

  • 监视客户端计算机的运行状况。

建议:将要管理的所有计算机(本地或远程)都连接到服务器,以便可以从 Windows Server Essentials 仪表板的“设备”选项卡管理它们,而无需使用本地服务器工具“Active Directory 用户和计算机”。

使用 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 中的“实现组策略向导”,通过打开文件夹重定向,可使你的数据保持集中。此外,它通过强制使网络中的所有客户端计算机上的 Windows 更新Windows DefenderWindows 防火墙均保持打开状态,帮助保证你的网络安全。将不再需要最终用户在他们的电脑上打开这些设置。

建议:我们建议不要关闭 Windows Server Essentials 中的组策略设置。

你可以使用 Windows Server Backup 来备份你的服务器上的所有卷、选定的卷、系统状态,或者特定文件或文件夹。还可以创建可用于裸机恢复的备份。与使用本地服务器工具相反,你可以通过 Windows Server Essentials 仪表板上的“设备”选项卡,轻松地创建和管理备份。有关详细信息,请参阅使用 Windows Server Essentials 管理服务器备份

note注意
仅运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器会自动备份。也可将运行 Windows Server 操作系统的其他服务器加入到这些服务器中。它们将显示在仪表板上并可通过仪表板进行监视,但是不支持对这些服务器进行自动和集中式备份。

建议:将可移动存储设备用于备份。为了节省成本和提高性能,我们建议使用 USB 3.0 设备而不是 IEEE 1394 接口(也称为 FireWire)。至少应使用两个可移动存储设备,并确保它们具有足够大的用于存储服务器备份的容量。使用多个可移动存储设备还将提供备份轮转。

默认情况下,所有已连接到运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器的计算机都将对其整个系统和数据进行备份,而不是依赖于最终用户对其计算机进行备份或使用非 Microsoft 备份工具。这些计算机备份存储在运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器上的“客户端计算机备份”服务器文件夹中。此功能实现了单个文件和文件夹的恢复,以及从整个客户端计算机到之前状态的裸机恢复。然而,只有域管理员可以恢复数据,并且此功能的作用范围不超过 75 台客户端计算机。有关详细信息,请参阅使用 Windows Server Essentials 管理客户端计算机备份

建议:随着组织的发展,为了节省资源,你应只备份关键的客户端计算机和最重要的数据。

文件历史记录是一种用于客户端计算机备份的补充机制。文件历史记录备份存储在“文件历史记录”服务器文件夹中,该文件夹位于运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器上。网络用户可以通过文件历史记录备份还原某个特定时间点上的文件版本。此外,网络用户可以在不要求管理员帮助的情况下还原文件。

建议:默认情况下,使用处于连接状态的运行 Windows 8.1 或 Windows 8 的客户端的所有用户都会将其配置文件数据备份到运行 Windows Server Essentials 的服务器。我们建议你根据公司需求,更改文件历史记录备份设置(如备份保持期)。例如,如果你的用户将大型数据文件保存在其计算机上,则建议你降低文件历史记录备份频率、减少备份保留时间。

Azure 备份 是由 Microsoft 提供的联机备份服务。可用于备份对组织意义重大的文件和文件夹。有关详细信息,请参阅使用 Windows Server Essentials 管理联机备份

在传输数据之前,Azure 备份 先对之进行加密、备份,再将加密数据存储到 Azure 中。这些备份安全地存储在公司以外的位置,它们受可靠的 Azure 存储保护。联机备份存储为本地备份提供了额外的数据保护,而无需维护和投资购买其他硬件。然而,Azure 备份 没有为你的系统状态创建备份,因此它无法用于执行完整的裸机恢复。

建议:使用 Azure 备份 为组织保护关键数据。此外,使用带宽限制减少工作时间内的 Internet 流量。有关详细信息,请参阅 Microsoft 知识库中的文章 238145

可以按照本部分中的步骤来实现该解决方案。在继续执行下一步之前,请务必验证是否已正确部署每个步骤。

note注意
以下步骤假设网络中已经有一个正在运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器。有关安装 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 角色的信息,请参阅Install and Configure Windows Server 2012 R2 Essentials

  1. 在服务器上创建存储空间。

    若要创建存储空间,请遵循Create a storage space中的说明。

    还可以通过使用 New-WssStorageSpace Windows PowerShell cmdlet 创建新的双向镜像存储空间。

    创建存储空间后,请验证它是否在仪表板的“硬盘驱动器”选项卡上列出。

  2. 根据需要,针对各个部门或数据类型创建服务器文件夹。

    若要创建服务器文件夹,请遵循Add or move a server folder中的说明。

    note注意
    如果你的组织共享了已经使用的文件夹,也将各种设备上存储的数据移动到你在此步骤中创建的服务器文件夹。

    当你使用添加文件夹向导创建新的服务器文件夹时,为确保数据的高可用性,请在“键入文件夹名称和说明”页上的“位置”字段中,将该文件夹存储在其默认位置中,即你在第 1 步创建的存储空间中。验证你创建的所有服务器文件夹是否都已在仪表板的“存储”选项卡上列出。

    你也可以使用 Add-WssFolder Windows PowerShell cmdlet 添加服务器文件夹。有关详细信息,请参阅 Add-WssFolder

  3. 创建用户组和用户帐户

    为网络中的所有用户创建用户帐户,然后再基于组织中的不同部门和项目创建用户组。接下来,根据与用户相关联的部门或项目,将这些用户帐户添加到相关的用户组。有关创建用户帐户的分步说明,请参阅Add a user account。有关用户组的详细信息,请参阅Manage User Accounts in Windows Server Essentials

    你还可以通过使用 Add-WssUserAdd-WssUserGroup Windows PowerShell cmdlet 分别添加用户帐户和用户组。有关详细信息,请参阅 Add-WssUserAdd-WssUserGroup

    验证是否所有用户帐户和用户组都已在仪表板的“用户”和“用户组”选项卡上列出。

  4. 为服务器文件夹分配用户访问权限

    若要将权限分配给用户帐户,以便用户可以访问服务器文件夹,请遵循Manage access to server folders中的说明。

    授予用户访问权限后,可以通过从仪表板查看用户帐户的属性,查看或修改任何用户帐户的网络资源权限。有关详细信息,请参阅 Manage User Accounts in Windows Server Essentials

  5. 将网络中的所有客户端计算机都连接到服务器。

    所有客户端都需要连接到运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器。在将客户端连接到运行 Windows Server Essentials 的服务器之前,请检查以下内容:

    在网络中的所有计算机上运行“将计算机连接到服务器向导”,无论是本地计算机还是远程计算机都是如此。有关将客户端计算机连接到运行 Windows Server Essentials 体验 的服务器的分步说明,请参阅Connect computers to the server

    在将客户端计算机连接到服务器后,请验证该计算机的名称是否在仪表板的“设备”选项卡上列出。你可以通过在仪表板的任务窗格中列出的管理任务管理连接到服务器的所有计算机。有关详细信息,请参阅 Manage devices by using the Dashboard

  6. 实现组策略设置。

    若要在 Windows Server Essentials 中实现组策略设置,请按照Configure Group Policy settings for folder redirection and security中所述,开启文件夹重定向设置、Windows Defender 设置、Windows 防火墙设置和 Windows 更新设置。

  7. 设置 Windows Server Backup。

    若要为服务器设置备份,请遵循Set up or customize server backup中的说明。

    为服务器设置备份后,当你从仪表板的“设备”选项卡的设备列表中选择服务器时,“为服务器自定义备份”任务将出现在该选项卡上。你可以通过此任务更改服务器备份设置。

  8. 设置客户端计算机备份。

    默认情况下,当你将客户端计算机连接到运行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 体验 的服务器时,会自动配置客户端备份。每天都会对每台已配置好的计算机执行一次备份操作。

    随着组织中计算机数的增加,我们建议仅备份包含重要公司数据的计算机。有关更多与客户端计算机备份相关的任务,请参阅Manage client computer backup in Windows Server Essentials

  9. 设置文件历史记录备份设置

    对于运行 Windows 8.1 或 Windows 8,并且已连接到 Windows Server Essentials 的所有客户端计算机,文件历史记录自动处于打开状态。默认情况下,桌面上和“文档”文件夹中数据每小时备份一次。这些备份在服务器上的存储时间为一年。你可以通过使用更改文件历史记录设置任务(可通过仪表板上的“用户”选项卡访问),为每台计算机配置文件历史记录备份设置。有关详细信息,请参阅使用 Windows Server 2012 Essentials 管理文件历史记录

  10. 使用 Azure 备份 设置服务器以进行联机备份。

    若要使用 Azure 备份 设置服务器以进行联机备份,请使用以下步骤:

    1. Sign up for Azure Backup Service

    2. Upload a certificate to the Azure Backup vault

    3. Register this server for backup

    4. Configure online backup

    note注意
    在开始将你的服务器与 Azure 备份 集成之前,请确保你已使用服务器管理器关闭服务器上的增强型 Internet 安全设置。

    完成服务器与 Azure 备份 的集成后,请验证“联机备份”选项卡是否已添加到仪表板中。通过此选项卡,你可以配置联机备份设置,从而执行定期计划的备份。若要启动联机备份,请单击仪表板的“联机备份”选项卡上的“立即开始备份”,然后验证是否已创建服务器备份。

在完成步骤 1 到 10 后,之前在本文档中列出的所有组织目标都将实现,如下所示:

  • 你的组织数据现在存储在运行 Windows Server 2012 R2 Essentials或Windows Server Essentials 体验 的服务器上的一个中心位置中,这样所有网络用户都可以轻松地访问这些数据。

  • 你已创建要用于创建服务器文件夹的存储空间,这使你可以轻松地扩展服务器的存储容量。

  • 你已为网络中的用户帐户设置访问权限,因此只有选定的用户可以根据需要访问服务器文件夹以及其中的数据。

  • 你已使用 Windows Server Backup 定义一个备份创建计划,解决了不一致的手动备份问题。

  • 在发生硬件故障时,你可以通过客户端计算机或服务器的备份来还原它们。

  • 如果本地备份不可用,你可以从存储在 Azure 中的联机备份还原文件和文件夹。

显示: