Richtlinien für den Zugriff auf Dateien erstellen

AD RMS und dynamische Zugriffssteuerung

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

AD RMS und die dynamische Zugriffssteuerung (http://technet.microsoft.com/de-de/library/hh831717.aspx) arbeiten zusammen. Wie bei der Rechteverwaltung lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen.

AD RMS und die dynamische Zugriffssteuerung (http://technet.microsoft.com/de-de/library/hh831717.aspx) arbeiten zusammen. Wie bei der Rechteverwaltung lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen.

Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell.

Dieses hat sich auch in Windows Server 2012 R2 nicht geändert. In diesem Bereich arbeitet die dynamische Zugriffssteuerung auch mit den Dateiklassifizierungsdiensten zusammen. Dieser Windows-Dienst erlaubt die Zuteilung von Metadaten (Tags) zu Dateien, die den Zugriff regeln. Auf Basis der Klassifizierung erstellen Administratoren zentrale Zugriffsrichtlinien (Central Access Policies, CAPs) (http://technet.microsoft.com/de-de/library/hh831425) als zusätzliche Berechtigungsebene.

Darf ein Anwender auf eine Datei über das Dateisystem zugreifen, verweigert die CAP aber den Zugriff, ist das Öffnen der Datei trotzdem nicht zulässig. Dies gilt auch umgekehrt. Verweigerungen haben auch in Windows Server 2012 R2 immer Vorrang vor erteilten Berechtigungen. Dürfen Anwender eine Datei nicht öffnen, besteht die Möglichkeit, direkt einen Administrator per E-Mail zu benachrichtigen. Dazu setzen Unternehmen am besten noch parallel zu Windows Server 2012 R2 auf SharePoint 2013 und Exchange 2013

Der Zugriff auf Dateien wird durch Ordner nach unten vererbt, genauso wie bei herkömmlichen Berechtigungen. Anwender dürfen auch noch selbst Rechte erteilen, und auch Anwendungen dürfen automatisch Metadaten in Dateien schreiben, die sich anschließend auf die Rechte auswirken. Die CAP des Unternehmens prüft die Metadaten der Dateien und weist die entsprechenden Rechte zu. Der Vorgang lässt sich dann mit AD RMS auch automatisieren