Freigeben über


Dynamische Zugriffsteuerung: Szenarioübersicht

In Windows Server 2012 können Sie die Datensteuerung auf den Dateiservern anwenden, um zu steuern, wer auf Informationen zugreifen kann, und um zu überprüfen, wer auf Informationen zugegriffen hat. Mit der dynamischen Zugriffssteuerung haben Sie folgende Möglichkeiten:

  • Identifizieren von Daten mittels automatischer und manueller Dateiklassifizierung. Beispielsweise können Sie Daten auf Dateiservern in der gesamten Organisation markieren.

  • Steuern des Zugriffs auf Dateien durch das Anwenden von Sicherheitsnetz-Richtlinien, die zentrale Zugriffsrichtlinien verwenden. Beispielsweise können Sie festlegen, wer innerhalb der Organisation auf Integritätsinformationen zugreifen kann.

  • Überwachen des Zugriffs auf Dateien mithilfe von zentralen Überwachungsrichtlinien für Kompatibilitätsberichte und forensischen Analysen. Beispielsweise können Sie identifizieren, wer auf streng vertrauliche Informationen zugegriffen hat.

  • Anwenden von RMS (Rights Management Services)-Schutz durch Verwendung der automatischen RMS-Verschlüsselung für vertrauliche Microsoft Office-Dokumente. Beispielsweise könnten Sie RMS so konfigurieren, dass alle Dokumente verschlüsselt werden, die HIPAA (Health Insurance Portability and Accountability Act)-Informationen enthalten.

Die Featuregruppe %%amp;quot;Dynamische Zugriffssteuerung%%amp;quot; basiert auf Infrastrukturinvestitionen, die von weiteren Partnern und Branchenanwendungen verwendet werden können, und die Features sind u. U. sehr nützlich für Organisationen, die Active Directory nutzen. Diese Infrastruktur umfasst:

  • Eine neue Autorisierungs- und Überwachungs-Engine, die bedingte Ausdrücke und zentrale Richtlinien verarbeiten kann.

  • Unterstützung der Kerberos-Authentifizierung für Benutzer- und Geräteansprüche.

  • Verbesserungen der Dateiklassifizierungsinfrastruktur.

  • Unterstützung der RMS-Erweiterbarkeit, damit Partner Lösungen zum Verschlüsseln von Microsoft-fremden Dateien bereitstellen können.

Inhalt dieses Szenarios

Folgende Szenarien und Anweisungen sind in diesem Inhaltssatz enthalten:

Inhaltsroadmap die dynamische Zugriffssteuerung

Szenario Evaluieren Planen Bereitstellen Betrieb
Szenario: Zentrale Zugriffsrichtlinie

Das Erstellen zentraler Zugriffsrichtlinien für Dateien ermöglicht Organisationen das zentrale Bereitstellen und Verwalten von Autorisierungsrichtlinien, die bedingte Ausdrücke mit Benutzeransprüchen, Geräteansprüchen und Ressourceneigenschaften. Diese Richtlinien basieren auf rechtlichen Bestimmungen zu Kompatibilitäts- und Geschäftsanforderungen. Diese Richtlinien werden in Active Directory erstellt und gehostet und sind daher einfacher zu verwalten und bereitzustellen.

Gesamtstrukturübergreifende Bereitstellung von Ansprüchen

In Windows Server 2012 ist in AD DS in jeder Gesamtstruktur ein „Anspruchswörterbuch“ vorhanden, und alle in der Gesamtstruktur verwendeten Anspruchstypen sind auf der Ebene der Active Directory-Gesamtstrukturebene definiert. In vielen Szenarien muss ein Prinzipal u. U. eine Vertrauensstellungsgrenze durchlaufen. In diesem Szenario wird beschrieben, wie ein Anspruch eine Vertrauensstellungsgrenze durchläuft.

Dynamische Zugriffsteuerung: Szenarioübersicht

Gesamtstrukturübergreifendes Bereitstellen von Ansprüchen

Plan: Bereitstellung einer zentralen Zugriffsrichtlinie

- Prozess zum Zuordnen einer Geschäftsanfrage zu einer zentralen Zugriffsrichtlinie
- Delegieren der Verwaltung der dynamischen Zugriffssteuerung
- Ausnahmemechanismen für die Planung von zentralen Zugriffsrichtlinien

Bewährte Methoden für die Verwendung von Benutzeransprüchen

- Auswählen der richtigen Konfiguration zum Aktivieren von Ansprüchen in Ihrer Benutzerdomäne
- Vorgänge zum Aktivieren von Benutzeransprüchen
- Überlegungen zur Verwendung von Benutzeransprüchen in den freigegebenen Zugriffssteuerungslisten des Dateiservers ohne Verwendung von zentralen Zugriffsrichtlinien

Verwenden von Geräteansprüchen und Gerätesicherheitsgruppen

- Überlegungen zur Verwendung von statischen Geräteansprüchen
- Vorgänge zum Aktivieren von Geräteansprüchen

Tools für die Bereitstellung

-

Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte)

Gesamtstrukturübergreifendes Bereitstellen von Ansprüchen (Schritte zur Veranschaulichung)

- Erstellen eines Modells für eine zentrale Zugriffsrichtlinie
Szenario: Dateizugriffsüberwachung

Die Sicherheitsüberwachung gehört zu den leistungsstärksten Tools zur Erhaltung der Sicherheit eines Unternehmens. Eines der wichtigsten Ziele von Sicherheitsüberwachungen ist die Einhaltung rechtlicher Bestimmungen. So müssen Unternehmen bei Industriestandards wie Sarbanes Oxley, HIPAA und Payment Card Industry (PCI) strenge Regeln zur Gewährleistung von Datensicherheit und Datenschutz befolgen. Sicherheitsüberwachungen helfen, das Vorhandensein oder Fehlen entsprechender Richtlinien festzustellen und geben dadurch Aufschluss über die Einhaltung oder Nichteinhaltung dieser Standards. Darüber hinaus helfen Sicherheitsüberwachungen, anormales Verhalten zu erkennen, Lücken in Sicherheitsrichtlinien zu identifizieren und auszugleichen und vor unverantwortlichem Verhalten abzuschrecken, indem ein Datensatz der Benutzeraktivität erstellt wird, der zur forensischen Analyse verwendet werden kann.

Szenario: Dateizugriffsüberwachung Planen der Dateizugriffsüberwachung Bereitstellen der Sicherheitsüberwachung mit zentralen Überwachungsrichtlinien (Demonstrationsschritte) - Überwachen der zentralen Zugriffsrichtlinien, die für einen Dateiserver gelten
- Überwachen der zentralen Zugriffsrichtlinien, die Dateien und Ordnern zugewiesen sind
- Überwachen der Ressourcenattribute in Dateien und Ordnern
- Überwachen von Anspruchstypen
- Überwachen von Benutzer- und Geräteansprüchen während der Anmeldung
- Überwachen der Definitionen von zentralen Zugriffsrichtlinien und Regeln
- Überwachen der Definitionen von Ressourcenattributen
- Überwachen der Verwendung von Wechselmedien.
Szenario: Unterstützung nach „Zugriff verweigert“

Wenn Benutzer heutzutage versuchen, auf eine Remotedatei auf dem Dateiserver zuzugreifen, erhalten sie lediglich den Hinweis, dass der Zugriff verweigert wird. Dies führt zu Anfragen an das Helpdesk oder IT-Administratoren, die das Problem erörtern müssen. Dabei treten häufig Schwierigkeiten auf, den entsprechenden Kontext von Benutzern zu erhalten, was das Lösen des Problems noch schwieriger macht.
In Windows Server 2012 besteht das Ziel darin, den Information-Worker und den geschäftlichen Besitzer der Daten beim Behandeln des Problems „Zugriff verweigert“ zu unterstützen, bevor ein Eingreifen der IT-Abteilung erforderlich ist. Ist ein Eingreifen der IT-Abteilung erforderlich, werden alle benötigten Informationen für eine schnelle Lösung bereitgestellt. Eine der Herausforderungen beim Erreichen dieses Ziels besteht darin, dass keine allgemeine Methode für den Umgang mit verweigertem Zugriff vorhanden ist und jede Anwendung auf andere Art und Weise damit umgeht. Daher besteht eines der Ziele in Windows Server 2012 in der Verbesserung des Umgangs mit dem Problem „Zugriff verweigert“ für Windows Explorer.

Szenario: Unterstützung nach „Zugriff verweigert“ Plan für die Unterstützung nach %%amp;quot;Zugriff verweigert%%amp;quot;

- Bestimmen des Modells für die Unterstützung nach „Zugriff verweigert“
- Bestimmen der Person, die Zugriffsanforderungen verarbeitet
- Anpassen der Meldung für die Unterstützung nach „Zugriff verweigert“
- Planen von Ausnahmen
- Bestimmen, wie die Unterstützung nach „Zugriff verweigert“ bereitgestellt wird

Bereitstellen der Unterstützung nach „Zugriff verweigert“ (Demonstrationsschritte)
Szenario: Auf Klassifizierung basierende Verschlüsselung für Office-Dokumente

Der Schutz vertraulicher Informationen besteht hauptsächlich aus dem Eindämmen von Risiken für das Unternehmen. Verschiedene Kompatibilitätsbestimmungen wie z. B. HIPAA oder Payment Card Industry Data Security Standard (PCI-DSS) schreiben die Verschlüsselung von Informationen vor, und vertrauliche Geschäftsinformationen sollten zu verschiedenen Geschäftszwecken verschlüsselt werden. Das Verschlüsseln von Informationen ist jedoch teuer und beeinträchtigt u. U. die Geschäftsproduktivität. Daher verwenden Organisationen oft unterschiedliche Ansätze und Prioritäten beim Verschlüsseln ihrer Informationen.
Zur Unterstützung dieses Szenarios bietet Windows Server 2012 die Möglichkeit, vertrauliche Windows Office-Dateien basierend auf deren Klassifizierung automatisch zu verschlüsseln. Dies erfolgt durch Dateiverwaltungsaufgaben, die den AD RMS (Active Directory Rights Management Server)-Schutz für vertrauliche Dokumente einige Sekunden nach der Identifizierung einer Datei als vertrauliche Datei auf dem Server aufrufen.

Szenario: Auf Klassifizierung basierende Verschlüsselung für Office-Dokumente Planen der Bereitstellung der klassifizierungsbasierten Verschlüsselung von Dokumenten Bereitstellen der Verschlüsselung von Office-Dateien (Demonstrationsschritte)
Szenario: Erhalten von Einblicken in Ihre Daten mittels Klassifizierung

Die Abhängigkeit von Daten- und Speicherressourcen wird für die meisten Organisationen immer bedeutender. IT-Administratoren sind mit der wachsenden Herausforderung konfrontiert, immer größere und komplexere Speicherinfrastrukturen zu überwachen und sind gleichzeitig dafür verantwortlich, dass die Gesamtbetriebskosten ein vernünftiges Maß nicht überschreiten. Beim Verwalten von Speicherressourcen geht es nicht mehr nur um das Volumen oder die Verfügbarkeit von Daten, sondern auch um das Durchsetzen von Unternehmensrichtlinien und Informationen zum Speicherverbrauch, um eine effiziente Nutzung und Kompatibilität zu ermöglichen und dadurch wiederum Risiken einzudämmen. Die Dateiklassifizierungsinfrastruktur bietet Einsicht in Ihre Daten, indem Klassifizierungsvorgänge automatisiert werden, damit Sie Ihre Daten effektiver verwalten können. Mit der Dateiklassifizierungsinfrastruktur werden folgende Klassifizierungsmethoden bereitgestellt: manuell, programmgesteuert und automatisch. In diesem Szenario liegt der Schwerpunkt auf der automatischen Dateiklassifizierungsmethode.

Szenario: Erhalten von Einblicken in Ihre Daten mittels Klassifizierung Planen der automatischen Dateiklassifizierung Bereitstellen der automatischen Dateiklassifizierung (Demonstrationsschritte)
Szenario: Implementieren der Aufbewahrung von Informationen auf Dateiservern

Aufbewahrungsdauer bezeichnet den Zeitraum, den ein Dokument aufbewahrt werden sollte, bevor es als abgelaufen gilt. Die Aufbewahrungsdauer kann sich je nach Organisation unterscheiden. Sie können Dateien in einem Ordner nach kurzer, mittlerer oder langer Aufbewahrungsdauer klassifizieren und anschließend den Zeitraum für jede Dauer zuweisen. Sie können eine Datei unbegrenzt aufbewahren, in dem sie ihr eine rechtliche Aufbewahrungspflicht zuweisen.
Die Dateiklassifizierungsinfrastruktur und der Ressourcen-Manager für Dateiserver verwenden Dateiverwaltungsaufgaben und die Dateiklassifizierung, um eine Aufbewahrungsdauer auf einen Satz von Dateien anzuwenden. Sie können einem Ordner eine Aufbewahrungsdauer zuweisen und anschließend eine Dateiverwaltungsaufgabe verwenden, um die Dauer einer zugewiesenen Aufbewahrungsdauer zu konfigurieren. Wenn das Ablaufen der Dateien im Ordner bevorsteht, erhält der Besitzer der Dateien eine E-Mail-Benachrichtigung. Sie können einer Datei auch eine rechtliche Aufbewahrungspflicht zuweisen, damit die Dateiverwaltungsaufgabe das Ablaufen der Datei verhindert.

Szenario: Implementieren der Aufbewahrung von Informationen auf Dateiservern Planen der Aufbewahrung von Informationen auf Dateiservern Bereitstellen der Implementierung der Aufbewahrung von Informationen auf Dateiservern (Demonstrationsschritte)

Hinweis

Die dynamische Zugriffssteuerung wird in einem robusten Dateisystem (Resilient File System, ReFS) nicht unterstützt.

Siehe auch

Inhaltstyp Referenzen
Produktbewertung - Dynamische Zugriffssteuerung: Prüferhandbuch
- Dynamische Zugriffssteuerung: Anweisungen für Entwickler
Planung - Planen der Bereitstellung einer zentralen Zugriffsrichtlinie
- Planen der Dateizugriffsüberwachung
Bereitstellung - Active Directory-Bereitstellung
- Bereitstellung von Datei- und Speicherdiensten
Vorgänge PowerShell-Referenz für die dynamische Zugriffssteuerung

|Communityressourcen|Forum für Verzeichnisdienste|