动态访问控制：方案概述

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

在 Windows Server 2012 中，你可以在文件服务器之间应用数据监管，以便控制有权访问信息的用户并审核已访问信息的用户。 动态访问控制可用于：

• 通过使用自动和手动文件分类来识别数据。 例如，你可以在整个组织内的文件服务器中标记数据。

• 通过应用采用中央访问策略的网络安全策略来控制对文件的访问。 例如，你可以定义有权访问组织内健康信息的用户。

• 通过对合规性报告和取证分析使用中央审核策略，审核对文件的访问。 例如，你可以确定曾访问高度敏感信息的用户。

• 通过对敏感的 Microsoft Office 文档使用自动 RMS 加密，来应用 Rights Management Services (RMS) 保护。 例如，你可以配置 RMS 对包含“健康保险流通与责任法案 (HIPAA)”信息的所有文档进行加密。

动态访问控制功能基于合作伙伴和行业应用程序可进一步利用的基础结构投资，因而它可以为使用 Active Directory 的组织提供巨大的价值。 该基础结构包括：

• 一种适用于 Windows 的全新授权和审核引擎，它可以处理条件表达式和中央策略。

• 用户声明和设备声明支持的 Kerberos 身份验证。

• 对文件分类基础结构 (FCI) 的改进。

• RMS 扩展性支持，合作伙伴可以提供加密非 Microsoft 文件的解决方案。

本方案内容

以下方案和指南包含在内，作为此内容集的一部分：

动态访问控制内容指南

方案	评估	计划	部署	运营
方案：中心访问策略 创建文件的中央访问策略允许组织集中部署和管理授权策略，包括使用用户声明、设备声明和资源属性的条件表达式。 这些策略建立在合规性与业务监管要求之上。 这些策略在 Active Directory 中创建与托管，因此使得管理和部署更为容易。 跨林部署声明 在 Windows Server 2012 中，AD DS 在每个林中保存有‘声明词典’，林中使用的所有声明类型都在 Active Directory 林级别定义。 有许多方案，其中主体可能要遍历信任边界。 此方案描述了声明如何遍历信任边界。	动态访问控制：方案概述 跨林部署声明	计划：中央访问策略部署 - 将业务请求映射到中心访问策略的过程 - 动态访问控制的管理授权 - 规划中央访问策略的异常机制 使用用户声明的最佳实践 - 选择正确的配置以在用户域中启用声明 - 启用用户声明的操作 - 在文件服务器随机 ACL 中使用用户声明而不使用集中访问策略时的注意事项 使用设备声明和设备安全组 - 使用静态设备声明的注意事项 - 启用设备声明的操作 部署工具 -	部署中心访问策略（示范步骤） 跨林部署声明（示范步骤）	- 构建中央访问策略模型
方案：文件访问审核 安全审核是用来帮助维护企业安全的功能最强大的工具之一。 安全审核的主要目标之一就是监管合规。 例如，像 Sarbanes Oxley、HIPAA 和 Payment Card Industry (PCI) 这类的行业标准要求企业遵守与数据安全和隐私权有关的一套严格的规则。 安全审核可以帮助确定此类策略是否存在；由此它们证明是否与这些标准相符。 此外，通过创建可用于取证分析的用户活动记录，安全审核可帮助发现异常的行为、识别并缓和在安全策略方面的差距并阻止不负责任的行为。	方案：文件访问审核	文件访问审核计划	使用中心审核策略部署安全审核（示范步骤）	- 监视应用于文件服务器的中央访问策略 - 监视与文件和文件夹相关的中央访问策略 - 监视文件和文件夹的资源属性 - 监视声明类型 - 在登录过程中监视用户和设备声明 - 监视中央访问策略和规则定义 - 监视资源属性定义 - 监视移动存储设备的使用情况。
方案：“拒绝访问”协助 现在，当用户尝试访问文件服务器上的远程文件时，能得到的仅有指示是访问被拒绝。 这将生成支持人员或 IT 管理员请求，它们需要弄清问题是什么，而管理员通常很难从用户那里得到合适的上下文，这使得解决问题更困难了。 在 Windows Server 2012 中，目标是在 IT 涉入前和 IT 涉入后，尝试与帮助数据的信息工作者和业务所有者处理访问受拒问题，提供所有正确的信息以达到快速解决的目的。 达到这个目标的挑战之一，是无法集中处理访问受拒，而且每个应用程序用不同的方式处理它，因此在 Windows Server 2012 中，目标之一是改进 Windows 资源管理器的访问受拒体验。	方案：“拒绝访问”协助	“拒绝访问”协助方案 - 确定“拒绝访问”协助模式 - 确定应由谁处理访问请求 - 自定义“拒绝访问”协助消息 - 例外计划 - 确定如何部署“拒绝访问”协助	部署“拒绝访问”协助（示范步骤）
方案：基于分类的 Office 文档加密 敏感信息的保护主要与为组织降低风险有关。 诸如 HIPAA 或支付卡行业数据安全标准 (PCI-DSS) 等各种合规性规章制度，都规定了信息加密，而且出于商业考虑也需要加密敏感的业务信息。 但是，加密信息的成本比较高，这可能会损害企业的生产力。 因此，对于信息加密，组织往往采用不同的方法和优先级。 为支持这种情况，Windows Server 2012 提供了根据文件的分类自动加密敏感 Windows Office 文件的功能。 这通过文件管理任务来完成，文件管理任务在文件被识别为文件服务器上的敏感文件后几秒钟，为敏感文档调用 Acitve Directory 权限管理服务器 (AD RMS) 保护。	方案：基于分类的 Office 文档加密	计划部署基于分类的文档加密	部署 Office 文档加密（示范步骤）
方案：使用分类深入了解数据 对数据和存储资源的依赖在大多数组织的重要性方面持续增长。 IT 管理员面对着监督更大、更复杂存储基础结构的日渐增长的挑战，而同时又担负着确保所有者总开支维持在合理水平的责任。 管理存储资源不再仅仅是涉及数据的量和可用性，还和公司政策的执行有关，和了解如何消耗存储来启用高效利用与合规减轻风险有关。 文件分类基础结构通过自动化分类流程来让你深入了解数据，以便你可以更有效地管理数据。 下列分类方法可用于文件分类基础结构：手动、编程、自动。 此方案重点介绍自动文件分类方法。	方案：使用分类深入了解数据	自动文件分类方案	部署动态文件分类（示范步骤）
方案：实现文件服务器上信息的保留 保留期是文档过期前应保存的时间量。 组织不同，保留期可能也不相同。 可以将文件夹中的文件分类为具有短、中或长保留期，然后为每个保留期分配时间范围。 你可能想要通过将文件合法保留来无限期保留。 文件分类基础结构和文件服务器资源管理器使用文件管理任务和文件分类，将保留期应用到一系列文件上。 可给文件夹分配一个保留期，然后使用文件管理任务配置分配的保留期的持续时间。 当文件夹中的文件将要过期时，文件所有者会收到一封通知邮件。 也可将文件分类为合法保留，这样文件管理任务就不会使文件过期。	方案：实现文件服务器上信息的保留	计划在文件服务器上保留信息	部署实现文件服务器信息保留（示范步骤）

注意

ReFS（弹性文件系统）不支持动态访问控制。

另请参阅

内容类型	参考
产品评估	- 动态访问控制审阅者指南 - 动态访问控制开发者指南
规划	- 计划中央访问策略部署 - 文件访问审核计划
部署	- Active Directory 部署 - 文件和存储服务部署
操作	动态访问控制 PowerShell 参考

|社区资源|目录服务论坛|