Dynamické řízení přístupu: Přehled scénáře

Ve Windows Serveru 2012 můžete použít zásady správného řízení dat na souborových serverech, abyste mohli řídit, kdo má přístup k informacím, a auditovat, kdo získal přístup k informacím. Dynamické řízení přístupu umožňuje:

• Identifikujte data pomocí automatické a ruční klasifikace souborů. Můžete například označit data na souborových serverech v celé organizaci.

• Řízení přístupu k souborům pomocí zásad safety-net, které používají zásady centrálního přístupu Můžete například definovat, kdo má přístup k informacím o stavu v organizaci.

• Auditujte přístup k souborům pomocí centrálních zásad auditu pro hlášení o dodržování předpisů a forenzní analýzy. Můžete například určit, kdo přistupoval k vysoce citlivým informacím.

• Použijte ochranu služby Rights Management Services (RMS) pomocí automatického šifrování RMS pro citlivé dokumenty Microsoft Office. Můžete například nakonfigurovat službu RMS tak, aby šifrovala všechny dokumenty, které obsahují informace o zákonu HIPAA (Health Insurance Portability and Accountability Act).

Sada funkcí dynamického řízení přístupu je založená na investicích do infrastruktury, které můžou dál využívat partneři a obchodní aplikace, a funkce můžou poskytovat skvělou hodnotu pro organizace, které používají službu Active Directory. Tato infrastruktura zahrnuje:

• Nový autorizační a auditní modul pro Windows, který může zpracovávat podmíněné výrazy a centrální zásady.

• Podpora ověřování protokolu Kerberos pro deklarace identity uživatelů a deklarací zařízení

• Vylepšení infrastruktury klasifikace souborů (FCI).

• Podpora rozšiřitelnosti RMS, aby partneři mohli poskytovat řešení, která šifrují soubory jiné společnosti než Microsoft.

V tomto scénáři

Jako součást této sady obsahu jsou zahrnuty následující scénáře a pokyny:

Přehled obsahu dynamického řízení přístupu

Scenario	Evaluate	Plan	Deploy	Operate
Scénář: Zásady centrálního přístupu Vytváření zásad centrálního přístupu pro soubory umožňuje organizacím centrálně nasazovat a spravovat zásady autorizace, které zahrnují podmíněné výrazy pomocí deklarací identity uživatelů, deklarací identity zařízení a vlastností prostředků. Tyto zásady vycházejí z požadavků na dodržování a obchodní regulační požadavky. Tyto zásady se vytvářejí a hostují ve službě Active Directory, takže usnadňují správu a nasazování. Nasazení deklarací napříč lesy Ve Windows Server 2012 udržuje služba AD DS slovník požadavků v každém lese a všechny typy požadavků, které jsou v rámci lesa používány, jsou definovány na úrovni lesa služby Active Directory. Existuje mnoho scénářů, ve kterých může být potřeba, aby subjekt překročil hranici důvěry. Tento scénář popisuje, jak požadavek prochází hranicí důvěryhodnosti.	Dynamické řízení přístupu: Přehled scénáře Nasazení přístupových práv napříč sítěmi	Plán: Nasazení zásad centrálního přístupu - Postup mapování obchodní žádosti na zásady centrálního přístupu - Delegování správy pro dynamické řízení přístupu - Mechanismy výjimek pro plánování zásad centrálního přístupu Osvědčené postupy pro používání deklarací identity uživatelů - Výběr správné konfigurace pro povolení nároků v uživatelské doméně - Operace pro povolení deklarací identity uživatelů - Důležité informace o používání deklarací identity uživatelů v volitelných seznamech ACL souborového serveru bez použití zásad centrálního přístupu Použití deklarací identity zařízení a skupin zabezpečení zařízení - Důležité informace o používání deklarací identity statických zařízení - Operace pro umožnění deklarací zařízení Nástroje pro nasazení -	Nasadit centrální zásady přístupu (Demonstrace kroků) Nasazení nároků napříč lesy (Demonstrativní kroky)	– Modelování zásad centrálního přístupu
Scénář: Auditování přístupu k souborům Auditování zabezpečení je jedním z nejúčinnějších nástrojů, které pomáhají udržovat zabezpečení podniku. Jedním z klíčových cílů auditů zabezpečení je dodržování právních předpisů. Například oborové standardy, jako jsou Sarbanes Oxley, HIPAA a Payment Card Industry (PCI), vyžadují, aby podniky dodržovaly striktní sadu pravidel souvisejících se zabezpečením dat a ochranou osobních údajů. Bezpečnostní audity pomáhají stanovit přítomnost nebo nepřítomnost těchto zásad; tím dokazují dodržování nebo nedodržování těchto standardů. Audity zabezpečení navíc pomáhají zjišťovat neobvyklé chování, identifikovat a zmírnit mezery v zásadách zabezpečení a odstrašovat nezodpovědné chování vytvořením záznamu o aktivitě uživatelů, které je možné použít k forenzní analýze.	Scénář: Auditování přístupu k souborům	Plánování auditování přístupu k souborům	Nasazení auditování zabezpečení pomocí zásad centrálního auditu (ukázkové kroky)	- Monitorování zásad centrálního přístupu, které se vztahují na souborový server - Monitorování zásad centrálního přístupu přidružených k souborům a složkám - Sledování atributů zdrojů u souborů a složek - Sledování typů nároků - Monitorování deklarací identity uživatelů a zařízení během přihlašování - Monitorování zásad centrálního přístupu a definic pravidel - Definice atributů prostředků monitoru - Monitorujte použití vyměnitelných úložných zařízení.
Scénář: Access-Denied Asistence Dnes, když se uživatelé pokusí získat přístup ke vzdálenému souboru na souborovém serveru, jedinou indikací je, že je přístup odepřen. Tím se vygenerují žádosti na helpdesk nebo správce IT, kteří potřebují zjistit, co je problém, a často mají správci potíže získat příslušný kontext od uživatelů, což ztěžuje vyřešení problému. Ve Windows Serveru 2012 je cílem zkusit a pomoct informačnímu pracovníkovi a firemnímu majiteli dat řešit problém s odepřeným přístupem předtím, než se IT zapojí, a při zapojení IT poskytnout všechny správné informace pro rychlé řešení. Jedním z problémů při dosažení tohoto cíle je, že neexistuje žádný centrální způsob, jak řešit odepření přístupu a každá aplikace se s ním zabývá jinak, a proto v systému Windows Server 2012 jedním z cílů je zlepšit prostředí odepření přístupu pro Průzkumníka Windows.	Scénář: Access-Denied Asistence	Plán na pomoc Access-Denied - Určení modelu pomoci s odepřeným přístupem - Určení, kdo má zpracovávat žádosti o přístup - Přizpůsobte zprávu o pomoci při odepření přístupu - Plánování výjimek - Určení nasazení pomoci s odepřeným přístupem	Nasazení asistence Access-Denied (Demonstrační kroky)
Scénář: šifrování Classification-Based dokumentů Office Ochrana citlivých informací se týká hlavně zmírnění rizika pro organizaci. Různé předpisy týkající se dodržování předpisů, jako jsou HIPAA nebo Standard zabezpečení dat v odvětví platebních karet (PCI-DSS), diktují šifrování informací a existuje mnoho obchodních důvodů k šifrování citlivých obchodních informací. Šifrování informací je ale nákladné a může negativně ovlivnit produktivitu firmy. Organizace proto mají různé přístupy a priority pro šifrování svých informací. Pro podporu tohoto scénáře poskytuje Windows Server 2012 možnost automaticky šifrovat citlivé soubory Systému Windows Office na základě jejich klasifikace. To se provádí prostřednictvím úloh správy souborů, které vyvolávají ochranu ad RMS (Active Directory Rights Management Server) pro citlivé dokumenty několik sekund po identifikaci souboru jako citlivého souboru na souborovém serveru.	Scénář: šifrování Classification-Based dokumentů Office	Plánování nasazení šifrování dokumentů založených na klasifikaci	Nasazení šifrování souborů Office (ukázkový postup)
Scénář: Získání přehledu o datech pomocí klasifikace Závislost na prostředcích dat a úložišť stále roste ve většině organizací. Správci IT čelí rostoucí výzvě dohledu nad většími a složitějšími infrastrukturami úložiště a současně mají za úkol zajistit, aby se celkové náklady na vlastnictví udržovaly na přiměřené úrovni. Správa prostředků úložiště už není jen o objemu nebo dostupnosti dat, ale také o vynucování zásad společnosti a znalost využití úložiště, aby se umožnilo efektivní využití a dodržování předpisů ke zmírnění rizika. Infrastruktura klasifikace souborů poskytuje přehled o datech tím, že automatizuje procesy klasifikace, abyste mohli data efektivněji spravovat. Pro infrastrukturu klasifikace souborů jsou k dispozici následující metody klasifikace: ruční, programově a automaticky. Tento scénář se zaměřuje na metodu automatické klasifikace souborů.	Scénář: Získání přehledu o datech pomocí klasifikace	Plánování automatické klasifikace souborů	Nasazení automatické klasifikace souborů (ukázkové kroky)
Scénář: Implementace uchovávání informací na souborových serverech Doba uchovávání je doba, po kterou by se měl dokument uchovávat před vypršením jeho platnosti. V závislosti na organizaci se doba uchovávání může lišit. Soubory ve složce můžete klasifikovat jako soubory s krátkou, střední nebo dlouhodobou dobou uchovávání a pak přiřadit časový rámec pro každé období. Soubor můžete chtít uchovávat po neomezenou dobu tím, že ho umístíte do blokování z právních důvodů. Infrastruktura klasifikace souborů a Správce prostředků souborového serveru používají úlohy správy souborů a klasifikaci souborů k použití období uchovávání pro sadu souborů. Můžete přiřadit dobu uchovávání ve složce a pak pomocí úlohy správy souborů nakonfigurovat, jak dlouho má přiřazená doba uchovávání trvat. Když se blíží konec platnosti souborů ve složce, dostane vlastník souboru e-mail s oznámením. Soubor můžete také klasifikovat jako blokování z právních důvodů, aby úloha správy souborů nevypršovala platnost souboru.	Scénář: Implementace uchovávání informací na souborových serverech	Plánování uchovávání informací na souborových serverech	Nasazení implementace uchovávání informací na souborových serverech (ukázkové kroky)

Note

Dynamické řízení přístupu není v systému souborů ReFS (Resilient File System) podporováno.

Viz také

Typ obsahu	References
Vyhodnocení produktu	- Průvodce pro hodnotitele dynamického řízení přístupu - Pokyny pro vývojáře k dynamickému řízení přístupu
Planning	- Plánování nasazení zásad centrálního přístupu - Plánování auditování přístupu k souborům
Deployment	- Nasazení služby Active Directory - Nasazení souborových služeb a služeb úložiště
Operations	Referenční informace k PowerShellu pro dynamické řízení přístupu

| Komunitní zdroje|Fórum adresářových služeb|