Table of contents
TOC
折叠目录
展开目录

动态访问控制: 方案概述

Bill Mathers|上次更新日期: 2017/3/10
|
1 参与者

适用于: Windows Server 2016,Windows Server 2012 R2、Windows Server 2012

Windows Server 2012,在你可以将数据管辖应用跨你文件服务器控制哪些人可以访问的信息和审核已访问过的信息。 动态访问控制,可以:

  • 通过使用的文件的自动或手动分类识别数据。 例如,可能在组织中的文件服务器标记数据。

  • 通过将使用中心访问策略的安全网络策略应用来控制访问文件。 例如,你可能定义谁可以访问在组织内的健康信息。

  • 通过合规性报告和鉴定分析中心审核策略审核访问文件。 例如,你可以识别人访问过的高度敏感信息。

  • 通过自动 RMS 加密用于敏感 Microsoft Office 文档应用权限管理服务 (RMS) 保护。 例如,您可以配置 RMS 所有包含医疗保险并责任法案 (HIPAA) 的信息的文档进行加密。

基于可以是常用的合作伙伴和业务线应用程序的基础结构投资动态访问控制功能集和功能可以为使用 Active Directory 的组织中提供出色的值。 此基础结构包括:

  • Windows 可处理条件表情和中央策略新授权和审核引擎。

  • 用户索赔和设备索赔 Kerberos 身份验证支持。

  • 对文件分类基础结构 (FCI) 的改进。

  • RMS 扩展性支持以便合作伙伴可以提供加密非 Microsoft 文件的解决方案。

在此情况下

以下方案和指南是设置的包含该内容:

动态访问控制内容路线图

方案评估套餐部署运行
方案: 中心访问策略

对文件允许组织集中部署和管理授权策略,包括使用用户索赔、设备索赔和资源属性条件表情创建中心访问策略。 这些策略根据合规性和业务法规要求。 创建和托管 Active Directory,因此使其更易于管理和部署在这些策略。

森林跨部署索赔

Windows Server 2012,在广告 DS 保留每个森林中的索赔字典,并且所有声称内森林使用类型定义森林 Active Directory 的级别。 有很多情况下,可能需要遍历信任边界主体。 此项 scenario 描述索赔遍历信任边界的方式。
动态访问控制: 方案概述

森林跨部署索赔
计划: 中心访问策略部署

- 若要将映射到中心访问策略业务请求的进程
- 委派的动态访问控制管理
- 例外机制规划中心访问策略

使用用户索赔最佳做法

- 选择要启用索赔用户域中的正确配置
- 若要启用用户声明的操作
- 文件服务器在使用用户索赔注意事项自由 Acl,而无需使用中心访问策略

使用设备的索赔和设备安全组

- 使用静态设备索赔注意事项
- 若要启用的设备索赔的操作

有关部署的工具

- 数据分类工具包
部署中心访问策略 #40; 演示步骤 & #41;

森林 #40; 演示步骤 & #41; 跨部署索赔
-建模中心访问策略
方案: 访问审核文件

安全审核是一款功能最强大的工具,以帮助维持企业级的安全性。 关键的安全审核的目标之一是合规性。 例如,如 Sarbanes-oxley、HIPAA 和支付卡 Industry (PCI) 行业标准要求遵守严格的一组规则与相关的数据安全和隐私的企业。 安全审核帮助建立是否此类策略。因此,这些证明与这些标准遵从。 此外,安全审核帮助检测到异常行为,识别,并减少安全策略中的缺陷,并通过创建用户活动的用于分析鉴定记录阻止可靠的行为。
方案: 访问审核文件文件计划访问审核部署安全审核与中心审核策略 #40; 演示步骤 & #41;- 文件服务器的应用的中央访问策略监视器
- 监视器关联的文件和文件夹的中央访问策略
- 监视器上的文件和文件夹的资源属性
- 监视器索赔类型
- 在登录期间监视用户和设备索赔
- 监视器中心访问策略和规则定义
- 监视器资源特性定义
- 监视的可移动存储设备使用
方案: 访问拒绝协助

今天,当用户尝试访问远程文件文件服务器上的,仅的迹象来指示它们不可能生长得是访问拒绝。 这将生成帮助台请求或需要找出是哪些此问题的 IT 管理员并且通常管理员难以获取合适的上下文用户从这使得来解决问题。
Windows Server 2012,在目标是尝试以帮助应对拒绝之前的问题的访问权限的信息辅助和数据的业务所有者 IT 涉及以及何时 IT 涉及,提供快速分辨率正确的所有信息。 在实现此目标挑战之一是,没有中心方法应对拒绝访问和每个应用涉及它不同,因此在 Windows Server 2012 的目标之一是以改进 Windows 资源管理器拒绝访问体验。
方案: 访问拒绝协助套餐以访问拒绝获取帮助

- 确定访问拒绝协助模式
- 确定谁应处理访问请求
- 自定义访问拒绝协助消息
- 例外情况的套餐
- 确定如何访问拒绝协助部署
部署访问拒绝协助 #40; 演示步骤 & #41;
Office 文档的方案: 基于分类的加密

保护敏感信息的主要是降低组织的风险。 各种法规,如 HIPAA 或支付卡 Industry 数据安全标准 (PCI-DSS) 口述加密的信息,并原因有很多业务加密业务敏感信息。 但是,加密信息较高,并且它可能会影响业务工作效率。 因此,企业倾向于不同的方法和加密其信息的优先级。
为了支持此方案,Windows Server 2012 提供能够自动加密根据其分类的敏感 Windows Office 文件。 这是通过调用 Active Directory 权限管理服务器 (广告 RMS) 保护的敏感文档几秒钟后,该文件被标识为敏感文件文件服务器上的文件管理任务。
Office 文档的方案: 基于分类的加密套餐以进行分类基于的文档的加密部署部署的 Office 文件 & #40 加密; 演示步骤 & #41;
通过使用分类的方案: 获得深入地了解你的数据

依赖于数据和存储资源一直日益大多数组织的重要。 IT 管理员面临监督而且越来越复杂存储基础结构,同时还要使用负责确保总体拥有成本维护合理级别时日益的挑战。 管理存储资源不仅仅是关于可用性数据不再,但也有关公司策略,并了解如何使用存储启用高效利用率和合规性减轻风险强制或音量。 通过自动分类进程,以便你可以更有效地管理你的数据,文件分类基础结构提供深入地了解你的数据。 以下分类方法是使用文件分类基础结构提供: 手动、编程方式,并自动。 此项 scenario 侧重于自动文件分类方法。
通过使用分类的方案: 获得深入地了解你的数据自动文件分类的套餐部署自动文件分类 #40; 演示步骤 & #41;
文件服务器上的方案: 实现保留的信息

保留期是的文档应该的时间保持之前它已过期。 根据组织机构保留期可能会有所不同。 你可以分类作为时遇到短、中等或长期保留期间文件夹中的文件,然后每个期间指定的时间范围。 你可能希望来将其法律按无限期保留文件。
文件分类基础结构和文件 Server 资源管理器中使用文件管理任务和文件分类将应用保留期间的一组文件。 你可以将保留期间分配文件夹上,并将文件管理任务配置多长时间保留分配的时间是到最后一个。 在该文件夹中的文件即将到期时,该文件的所有者获取通知电子邮件。 你还可以将文件视为在法律按以便文件管理任务将不会过期该文件。
文件服务器上的方案: 实现保留的信息文件服务器上的信息保留套餐部署文件服务器 #40; 演示步骤 & #41; 上实现保留的信息
注意

动态访问控制 ReFS(复原文件系统)上不支持。

请参阅

键入的内容引用
产品评估- 动态访问控制审阅指南
- 动态访问控制开发人员指南
计划- 计划中心访问策略部署
- 文件计划访问审核
部署- Active Directory 部署
- 文件和存储服务部署。
操作动态访问控制 PowerShell 参考
工具和设置数据分类工具包
社区资源目录服务论坛
© 2017 Microsoft