Es posible que haya oído hablar de la capacidad de Windows Server 2008 R2 para utilizar la función de infraestructura de clasificación de archivos (FCI) (parte de la función de servicios de archivos) junto con la herramienta de protección masiva AD RMS (una herramienta de línea command) para aplicar automáticamente protecciones de derechos a los documentos almacenados en un servidor de archivos basados en cosas tales como palabras clave en los archivos. Era una buena función, pero un poco complicada de utilizar con la herramienta AD RMS Bulk Protection Tool de command-line. La buena noticia es que la integración de AD RMS se ha incorporado ahora en el Administrador de recursos de servidor de archivos en Windows Server 2012, eliminando la necesidad de la herramienta AD RMS Bulk Protection Tool en este contexto. AD RMS Bulk Protection Tool también se puede utilizar fuera de FCI siempre que necesite cifrar o descifrar en bloque un lote de archivos.
En mi primera experiencia con las características de AD RMS en el File Server Resource Manager, puedo informar de que tiene muchas características agradables y algunos defectos.
Es ciertamente agradable que pueda aplicar las protecciones AD RMS directamente en la interfaz del Administrador de recursos del servidor de archivos. Puede configurar una tarea de gestión de archivos que aplique una plantilla de política de derechos al contenido que coincida con la regla o puede seleccionar los permisos manualmente a través de la interfaz de tareas de gestión de archivos. A continuación se muestra una plantilla de política de derechos seleccionada:
Es bueno que pueda configurar las tareas de gestión de archivos para aplicar las protecciones de AD RMS a los documentos que coinciden con las reglas de clasificación que ha configurado (como todos los documentos en un determinado sistema de archivos de directorio que contienen algo que se parece a un número de la seguridad social) o simplemente para aplicar las protecciones de AD RMS a los documentos en un determinado sistema de directorios basado en cosas simples como el tipo de archivo (todos los archivos .docx) o el número de días desde la creación sin tener que perder el tiempo con la creación de reglas de clasificación (que puede ser complicado).
Es conveniente que, aunque necesita que los archivos se almacenen en el servidor de Windows Server 2012 donde está instalado el Administrador de recursos de File Server, no necesita que todo su entorno esté en Windows Server 2012 para utilizar esta función. Tu Active Directory puede seguir estando en 2008 R2 (o anterior), aunque perderás la posibilidad de crear reglas de clasificación utilizando la funcionalidad de propiedades de recursos en Windows Server 2012 si tu entorno de Active Directory no está en el nivel de Windows Server 2012.
Algo que eché de menos en la configuración de reglas y no pude encontrar (tal vez sería una opción si se utiliza PowerShell en lugar de la interfaz gráfica de usuario para crear reglas) fue la capacidad de configurar reglas de Tarea de Administración de Archivos para aplicar protecciones AD RMS a documentos basados en múltiples condiciones donde se llega a definir si las condiciones utilizan la lógica AND u OR. Por ejemplo, "aplicar protecciones AD RMS a documentos si coinciden con la regla de clasificación A O la regla de clasificación B" es muy diferente de "aplicar protecciones AD RMS a documentos si coinciden con la regla de clasificación A Y la regla de clasificación B".
Descubrí que la herramienta omitía algunos archivos que deberían haber coincidido con las reglas configuradas y luego los encontraba en la siguiente ejecución de la tarea. En mis pruebas, ejecutaba las tareas manualmente, pero cuando se utilizaba para ejecutar las tareas automáticamente cada X días, los archivos omitidos en la primera ejecución automática se encontraban en la siguiente ejecución automática.
Encontré un gran fallo que me confundió durante varios días hasta que finalmente lo solucioné. Si crea una tarea de gestión de archivos para aplicar protecciones AD RMS a documentos y elige añadir una opción de notificación, que notifica a los usuarios o administradores seleccionados antes de que se produzca la acción, la tarea para aplicar protecciones AD RMS a los documentos que coincidan con la regla parecerá completarse correctamente, pero las protecciones AD RMS no se aplicarán realmente a los documentos en cuestión.
La Tarea de Administración de Archivos leerá a través del directorio o directorios especificados e identificará los archivos a los que se debe aplicar esta regla, pero luego no "procesará" realmente los archivos usando la regla. Observe que el siguiente mensaje de registro de eventos muestra un total de tres archivos encontrados pero cero archivos procesados:
En este punto, para aplicar las protecciones AD RMS con el Administrador de recursos del servidor de archivos, parece que debe renunciar a utilizar la función de notificación.
En general, las mejoras en el Administrador de recursos del servidor de archivos son una gran ayuda para las empresas que intentan proteger el contenido confidencial con AD RMS, pero que tienen problemas para conseguir que los usuarios realicen de forma fiable la acción de aplicar las protecciones de AD RMS a los archivos confidenciales.
