Sie haben vielleicht schon von der Möglichkeit gehört, in Windows Server 2008 R2 die Funktion File Classification Infrastructure (FCI) (Teil der File Services-Rolle) zusammen mit dem AD RMS Bulk Protection Tool (ein command-line Tool) zu verwenden, um automatisch Rechte-Schutz auf Dokumente anzuwenden, die auf einem Dateiserver gespeichert sind, basierend auf Dingen wie Schlüsselwörter in den Dateien. Das war eine nette Funktion, aber ein wenig umständlich in der Verwendung mit dem command-line AD RMS Bulk Protection Tool. Die gute Nachricht ist, dass die AD RMS-Integration jetzt in den Dateiserver-Ressourcenmanager auf Windows Server 2012 integriert wurde, wodurch das AD RMS Bulk Protection Tool in diesem Zusammenhang nicht mehr benötigt wird. Das AD RMS Bulk Protection Tool kann auch außerhalb von FCI verwendet werden, wenn Sie einen Stapel von Dateien verschlüsseln oder entschlüsseln müssen.
Nach meinen ersten Erfahrungen mit den AD RMS-Funktionen im Dateiserver-Ressourcen-Manager kann ich berichten, dass es viele nette Funktionen und ein paar Schwächen hat.
Es ist sicherlich gut, dass Sie die AD RMS-Schutzmaßnahmen direkt in der Oberfläche des File Server Resource Manager anwenden können. Sie können eine Dateiverwaltungsaufgabe einrichten, die entweder eine Rechtevorlage auf Inhalte anwendet, die der Regel entsprechen, oder Sie können die Berechtigungen manuell über die Schnittstelle der Dateiverwaltungsaufgabe auswählen. In der folgenden Abbildung ist eine Vorlage für eine Rechtestrategie ausgewählt:
Es ist gut, dass Sie Dateiverwaltungsaufgaben einrichten können, um AD RMS-Schutz auf Dokumente anzuwenden, die den von Ihnen eingerichteten Klassifizierungsregeln entsprechen (z. B. alle Dokumente in einem bestimmten Verzeichnisdateisystem, die etwas enthalten, das wie eine Sozialversicherungsnummer aussieht), oder um AD RMS-Schutz auf Dokumente in einem bestimmten Verzeichnissystem anzuwenden, die auf einfachen Dingen wie dem Dateityp (alle .docx-Dateien) oder der Anzahl der Tage seit der Erstellung basieren, ohne dass Sie sich mit der Erstellung von Klassifizierungsregeln herumschlagen müssen (was kompliziert werden kann).
Obwohl die Dateien auf dem Windows Server 2012-Server gespeichert sein müssen, auf dem der Dateiserver-Ressourcenmanager installiert ist, muss nicht die gesamte Umgebung auf Windows Server 2012 basieren, um diese Funktion zu nutzen. Ihr Active Directory kann immer noch auf 2008 R2 (oder älter) sein, obwohl Sie die Fähigkeit verlieren, Klassifizierungsregeln mit der Ressourceneigenschaften-Funktionalität in Windows Server 2012 zu erstellen, wenn Ihre Active Directory-Umgebung nicht auf Windows Server 2012-Ebene ist.
Etwas, das ich beim Einrichten von Regeln vermisst habe und nicht finden konnte (vielleicht wäre es eine Option, wenn Sie PowerShell statt der grafischen Benutzeroberfläche zum Erstellen von Regeln verwenden würden), war die Möglichkeit, Regeln für Dateiverwaltungsaufgaben einzurichten, um AD RMS-Schutzmaßnahmen auf Dokumente anzuwenden, die auf mehreren Bedingungen basieren, wobei Sie festlegen können, ob die Bedingungen UND- oder ODER-Logik verwenden. Beispielsweise ist "AD RMS-Schutz auf Dokumente anwenden, wenn sie Klassifizierungsregel A ODER Klassifizierungsregel B entsprechen" etwas ganz anderes als "AD RMS-Schutz auf Dokumente anwenden, wenn sie Klassifizierungsregel A UND Klassifizierungsregel B entsprechen".
Ich habe festgestellt, dass das Tool einige Dateien übersprungen hat, die den konfigurierten Regeln hätten entsprechen müssen, und diese Dateien dann beim nächsten Durchlauf der Aufgabe gefunden hat. Bei meinen Tests führte ich die Aufgaben manuell aus, aber wenn ich die Aufgaben wie vorgesehen alle X Tage automatisch ausführe, werden die Dateien, die beim ersten automatischen Durchlauf übersehen wurden, beim nächsten automatischen Durchlauf wieder gefunden.
Ich habe einen großen Fehler gefunden, der mich einige Tage lang verwirrte, bevor ich ihn endlich behoben hatte. Wenn Sie eine Dateiverwaltungsaufgabe zum Anwenden von AD RMS-Schutz auf Dokumente erstellen und eine Benachrichtigungsoption hinzufügen, die die ausgewählten Benutzer oder Administratoren benachrichtigt, bevor die Aktion ausgeführt wird, wird die Aufgabe zum Anwenden von AD RMS-Schutz auf die Dokumente, die der Regel entsprechen, scheinbar erfolgreich abgeschlossen, aber der AD RMS-Schutz wird nicht tatsächlich auf die betreffenden Dokumente angewendet.
Der Dateiverwaltungs-Task durchsucht das angegebene Verzeichnis bzw. die angegebenen Verzeichnisse und identifiziert die Dateien, auf die diese Regel angewandt werden soll, "verarbeitet" die Dateien jedoch nicht anhand der Regel. In der folgenden Ereignisprotokollmeldung werden insgesamt drei Dateien gefunden, aber keine Dateien verarbeitet:
Um AD RMS-Schutzmaßnahmen mit dem Dateiserver-Ressourcenmanager anwenden zu können, müssen Sie an dieser Stelle auf die Benachrichtigungsfunktion verzichten.
Alles in allem sind die Verbesserungen des Dateiserver-Ressourcenmanagers ein großer Segen für Unternehmen, die versuchen, sensible Inhalte mit AD RMS zu schützen, aber Probleme damit haben, die Benutzer dazu zu bringen, den AD RMS-Schutz zuverlässig auf sensible Dateien anzuwenden.
