Vous avez peut-être entendu parler de la possibilité, sous Windows Server 2008 R2, d'utiliser la fonction File Classification Infrastructure (FCI) (qui fait partie du rôle File Services) avec l'outil AD RMS Bulk Protection (un outil en ligne command) pour appliquer automatiquement des protections de droits aux documents stockés sur un serveur de fichiers sur la base d'éléments tels que les mots clés contenus dans les fichiers. Il s'agissait d'une fonctionnalité intéressante, mais un peu compliquée à utiliser avec l'outil AD RMS Bulk Protection Tool en ligne ( command). La bonne nouvelle est que l'intégration AD RMS a été incorporée dans le gestionnaire de ressources du serveur de fichiers sur Windows Server 2012, ce qui élimine le besoin de l'outil AD RMS Bulk Protection Tool dans ce contexte. L'outil de protection en bloc d'AD RMS peut également être utilisé en dehors de FCI lorsque vous devez crypter ou décrypter en bloc un lot de fichiers.
Pour ma première expérience des fonctionnalités AD RMS dans le gestionnaire de ressources du serveur de fichiers, je peux dire qu'il y a beaucoup de fonctionnalités intéressantes et quelques défauts.
Il est certainement agréable de pouvoir appliquer les protections AD RMS directement dans l'interface du gestionnaire de ressources du serveur de fichiers. Vous pouvez configurer une tâche de gestion des fichiers qui applique un modèle de stratégie de droits au contenu correspondant à la règle ou vous pouvez sélectionner les autorisations manuellement via l'interface de la tâche de gestion des fichiers. L'illustration ci-dessous montre un modèle de politique de droits sélectionné :
Il est intéressant de pouvoir configurer les tâches de gestion des fichiers pour appliquer les protections AD RMS aux documents qui correspondent aux règles de classification que vous avez définies (comme tous les documents d'un certain système de fichiers de répertoire qui contiennent quelque chose qui ressemble à un numéro de sécurité sociale) ou simplement pour appliquer les protections AD RMS aux documents d'un certain système de répertoire sur la base de choses simples telles que le type de fichier (tous les fichiers .docx) ou le nombre de jours depuis la création sans avoir à créer des règles de classification (ce qui peut être compliqué).
Bien que les fichiers doivent être stockés sur le serveur Windows Server 2012 sur lequel File Server Resource Manager est installé, il n'est pas nécessaire que l'ensemble de votre environnement soit au niveau de Windows Server 2012 pour utiliser cette fonctionnalité. Votre Active Directory peut toujours être sur 2008 R2 (ou plus ancien), bien que vous perdiez la possibilité de créer des règles de classification en utilisant la fonctionnalité des propriétés des ressources dans Windows Server 2012 si votre environnement Active Directory n'est pas au niveau de Windows Server 2012.
Une chose qui m'a échappé lors de la configuration des règles et que je n'ai pas trouvée (peut-être serait-ce une option si vous utilisiez PowerShell au lieu de l'interface graphique pour créer des règles) est la possibilité de configurer des règles de tâches de gestion des fichiers pour appliquer les protections AD RMS aux documents sur la base de conditions multiples où vous pouvez définir si les conditions utilisent une logique ET ou OU. Par exemple, "appliquer les protections AD RMS aux documents s'ils correspondent à la règle de classification A OU à la règle de classification B" est très différent de "appliquer les protections AD RMS aux documents s'ils correspondent à la règle de classification A ET à la règle de classification B".
J'ai constaté que l'outil ignorait certains fichiers qui auraient dû correspondre aux règles configurées et qu'il les retrouvait lors de l'exécution suivante de la tâche. Lors de mes tests, j'ai exécuté les tâches manuellement, mais lorsqu'il est utilisé comme prévu pour exécuter les tâches automatiquement tous les X jours, les fichiers manqués lors de la première exécution automatique sont récupérés lors de l'exécution automatique suivante.
J'ai trouvé un gros défaut qui m'a déconcerté pendant plusieurs jours avant que je ne le résolve enfin. Si vous créez une tâche de gestion de fichiers pour appliquer les protections AD RMS aux documents et que vous choisissez d'ajouter une option de notification, qui notifie les utilisateurs ou administrateurs sélectionnés avant que l'action ne se produise, la tâche d'application des protections AD RMS aux documents qui correspondent à la règle semblera s'achever avec succès, mais les protections AD RMS ne seront pas réellement appliquées aux documents en question.
La tâche de gestion des fichiers lit le ou les répertoires spécifiés et identifie les fichiers auxquels cette règle doit s'appliquer, mais ne "traite" pas les fichiers à l'aide de la règle. Remarquez que le message du journal des événements ci-dessous indique trois fichiers trouvés au total, mais aucun fichier traité :
À ce stade, pour appliquer les protections AD RMS avec le gestionnaire de ressources du serveur de fichiers, il semble que vous deviez renoncer à utiliser la fonction de notification.
Dans l'ensemble, les améliorations apportées au gestionnaire de ressources du serveur de fichiers constituent une aide précieuse pour les entreprises qui tentent de protéger les contenus sensibles avec AD RMS, mais qui ont du mal à convaincre les utilisateurs de prendre les mesures nécessaires pour appliquer les protections d'AD RMS aux fichiers sensibles.
