Contoso 的财务部门具有多个用于存储其文档的文件服务器。 这些文档可能是通用文档,也可能是具有高业务影响 (HBI) 的文档。 例如,Contoso 将包含机密信息的所有文档都视为具有高业务影响。 Contoso 希望确保其所有文档都有最小程度的保护,并且将其 HBI 文档限制为仅相应人员才可访问。 若要实现此目的,Contoso 将尝试使用 Windows Server 2012 中提供的文件分类基础结构 (FCI) 和 AD RMS。 通过使用 FCI,Contoso 可根据文档内容对其文件服务器上的所有文档进行分类,然后使用 AD RMS 来应用相应的权限策略。
在此场景中,你将执行以下步骤:
| Task | Description |
|---|---|
| 启用资源属性 | 启用 影响 和个人 身份信息 资源属性。 |
| 创建分类规则 | 创建以下分类规则:“HBI 分类规则” 和“PII 分类规则” 。 |
| 使用文件管理任务通过 AD RMS 自动保护文档 | 创建文件管理任务,该任务自动使用 AD RMS 来保护具有高个人身份信息 (PII) 的文档。 只有 FinanceAdmin 组的成员才有权访问包含高 PII 的文档。 |
| 查看结果 | 检查文档的分类,并在更改文档内容时观察它们如何更改。 还要验证文档如何通过 AD RMS 获取保护。 |
| 验证 AD RMS 保护 | 验证是否已使用 AD RMS 保护文档。 |
步骤 1:启用资源属性
启用资源属性
在 Hyper-V 管理器中,连接到服务器 ID_AD_DC1。 通过密码 pass@word1使用 Contoso\Administrator 登录到服务器。
打开 Active Directory 管理中心,然后单击“ 树视图”。
展开“动态访问控制” ,并选择“资源属性” 。
向下滚动到“显示名称”列中的“影响”属性。 右键单击 “影响”,然后单击“ 启用”。
在“显示名称” 列中,向下滚动到“个人身份信息” 属性。 右键单击“个人身份信息” ,然后单击“启用” 。
若要发布“全局资源列表” 中的资源属性,请在左窗格中单击“资源属性列表” ,然后双击“全局资源属性列表” 。
单击“ 添加”,然后向下滚动到并单击“ 影响 ”将其添加到列表中。 对于“个人身份信息” ,请执行相同的步骤。 单击“ 确定 ”两次以完成。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
步骤 2:创建分类规则
此步骤介绍如何创建 高影响 分类规则。 该规则可搜索文档的内容,如果找到字符串“Contoso 机密”,则会将此文档归类为具有高业务影响的文档。 此分类将覆盖之前分配的低业务影响的分类。
还将创建 高 PII 规则。 此规则将搜索文档的内容,并且如果找到身份证号,则它将此文档归类为具有高 PII 的文档。
创建高影响分类规则
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过密码 pass@word1使用 Contoso\Administrator 登录到服务器。
你需要通过 Active Directory 刷新全局资源属性。 在 Windows PowerShell 上,键入
Update-FSRMClassificationPropertyDefinition,然后按 ENTER。 关闭 Windows PowerShell。打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“ 开始”,键入 文件服务器资源管理器,然后单击“ 文件服务器资源管理器”。
在文件服务器资源管理器的左窗格中,展开 “分类管理”,然后选择“ 分类规则”。
在 “作 ”窗格中,单击“ 配置分类计划”。 在“ 自动分类 ”选项卡上,选择“ 启用固定计划”,选择一 周中的某一天,然后选择“ 允许对新文件进行连续分类 ”复选框。 单击 “确定” 。
在 “作 ”窗格中,单击“ 创建分类规则”。 此操作将打开“创建分类规则” 对话框。
在 “规则名称 ”框中,键入 “高业务影响”。
在 “说明 ”框中,键入 “确定文档是否根据字符串”Contoso Confidential“的存在对业务产生很大影响
在“ 作用域 ”选项卡上,单击“ 设置文件夹管理属性”,选择 “文件夹使用情况”,单击“ 添加”,然后单击“ 浏览”,浏览到“D:\Finance Documents”作为路径,单击“ 确定”,然后选择名为 “组文件 ”的属性值,然后单击“ 关闭”。 设置管理属性后,在 “规则范围 ”选项卡上选择“ 组文件”。
单击“ 分类 ”选项卡。在 “选择将属性分配给文件的方法”下,从下拉列表中选择 内容分类器 。
在“选择要分配给文件的属性” 下,从下拉列表中选择“影响” 。
在“指定一个值” 下,从下拉列表中选择“高” 。
单击“参数”下的“配置”。 在“ 分类参数 ”对话框中的 “表达式类型 ”列表中,选择 “字符串”。 在 “表达式 ”框中,键入: Contoso Confidential,然后单击“ 确定”。
单击“ 评估类型 ”选项卡。单击“ 重新评估现有属性值”,单击“ 覆盖现有值”,然后单击“ 确定 ”完成。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
创建高 PII 分类规则
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过密码 pass@word1使用 Contoso\Administrator 登录到服务器。
在桌面上,打开名为正则 表达式的文件夹,然后打开名为 RegEx-SSN 的文本文档。 突出显示并复制以下正则表达式字符串:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$。 在本步骤的后面部分会使用此字符串,因此请将它保留在你的剪贴板上。
打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“ 开始”,键入 文件服务器资源管理器,然后单击“ 文件服务器资源管理器”。
在文件服务器资源管理器的左窗格中,展开 “分类管理”,然后选择“ 分类规则”。
在 “作 ”窗格中,单击“ 配置分类计划”。 在“ 自动分类 ”选项卡上,选择“ 启用固定计划”,选择一 周中的某一天,然后选择“ 允许对新文件进行连续分类 ”复选框。 单击“确定”。
在 “规则名称 ”框中,键入 “高 PII”。 在 “说明 ”框中,键入 “确定文档是否具有高 PII”,具体取决于是否存在社会安全号码。
单击“ 作用域 ”选项卡,选中“ 组文件 ”复选框。
单击“ 分类 ”选项卡。在 “选择将属性分配给文件的方法”下,从下拉列表中选择 内容分类器 。
在“选择要分配给文件的属性” 下,从下拉列表中选择“个人身份信息” 。
在“指定一个值” 下,从下拉列表中选择“高” 。
单击“参数”下的“配置”。 在“ 分类参数”窗口中的 “表达式类型” 列表中,选择 正则表达式。 在 “表达式 ”框中,粘贴剪贴板中的文本: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012])([-]?)(?!00)\d\d\3(?!0000)\d{4}$,然后单击“ 确定”。
Note
此表达式将允许无效的身份证号。 这使得我们可以在演示中使用虚构的身份证号。
单击“ 评估类型 ”选项卡。选择 “重新评估现有属性值”, 覆盖现有值,然后单击“ 确定 ”完成。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
你现在应具有两个分类规则:
高业务影响
高 PII
步骤 3:使用文件管理任务来通过 AD RMS 自动保护文档
现在,你已创建可根据文档内容自动对文档进行分类的规则,下一步是创建文件管理任务,该任务根据文档的分类来使用 AD RMS 自动保护某些文档。 在此步骤中,你将创建可自动保护任何高 PII 文档的文件管理任务。 只有 FinanceAdmin 组的成员才有权访问包含高 PII 的文档。
使用 AD RMS 保护文档
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过密码 pass@word1使用 Contoso\Administrator 登录到服务器。
打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“ 开始”,键入 文件服务器资源管理器,然后单击“ 文件服务器资源管理器”。
在左窗格中,选择“文件管理任务” 。 在 “作 ”窗格中,选择“ 创建文件管理任务”。
在 “任务名称: ”字段中,键入 “高 PII”。 在 “说明” 字段中,键入 高 PII 文档的自动 RMS 保护。
单击“ 作用域 ”选项卡,选中“ 组文件 ”复选框。
单击 “作 ”选项卡。在 “类型”下,选择 “RMS 加密”。 单击“ 浏览 ”以选择模板,然后选择 Contoso Finance Admin Only 模板。
单击 “条件 ”选项卡,然后单击“ 添加”。 在 “属性”下,选择 “个人身份信息”。 在 “运算符”下,选择“ 等于”。 在 “值”下,选择“ 高”。 单击 “确定” 。
单击“ 计划 ”选项卡。在“ 日程安排 ”部分中,单击“ 每周”,然后选择“ 星期日”。 通过每周运行一次该任务,可确保你捕获由于服务中断或其他破坏性事件而错过的任何文档。
在“ 连续作 ”部分中,选择“ 在新文件上连续运行任务”,然后单击“ 确定”。 现在,应该具有一个名为“高 PII”的文件管理任务。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)
步骤 4:查看结果
现在可以在操作中查看新的自动分类和 AD RMS 保护规则。 在本步骤中,你将检查文档的分类,并在更改文档内容时观察它们如何更改。
查看结果
在 Hyper-V 管理器中,连接到服务器 ID_AD_FILE1。 通过密码 pass@word1使用 Contoso\Administrator 登录到服务器。
在 Windows 资源管理器中,导航到 D:\Finance Documents。
右键单击财务备忘录文档,然后单击“ 属性”。单击“ 分类 ”选项卡,注意“影响”属性当前没有值。 单击“ 取消”。
右键单击“‘请求批准聘用’文档” ,然后选择“属性” 。
单击“ 分类 ”选项卡,注意 “个人身份信息”属性 当前没有值。 单击“ 取消”。
切换到 CLIENT1。 注销已登录的任何用户,然后使用密码 pass@word1以 Contoso\MReid 身份登录。
从桌面打开 财务文档 共享文件夹。
打开 财务备忘录 文档。 在文档底部附近,你将看到“ 机密”一词。 将其修改为读取: Contoso 机密。 保存该文档并将其关闭。
打开“请求批准聘用” 文档。 在 “社会保障#:” 部分,键入:777-77-7777。 保存该文档并将其关闭。
Note
可能需要等待 30 秒才会进行分类。
重新切换到 ID_AD_FILE1。 在 Windows 资源管理器中,导航到 D:\Finance Documents。
右键单击财务备忘录文档,然后单击“ 属性”。 单击“ 分类 ”选项卡。请注意, Impact 属性现在设置为 “高”。 单击“ 取消”。
右键单击“批准雇用”文档,然后单击“ 属性”。
. 单击“ 分类 ”选项卡。请注意, “个人身份信息 ”属性现在设置为 “高”。 单击“ 取消”。
步骤 5:验证使用 AD RMS 的保护
验证文档是否受保护
重新切换到 ID_AD_CLIENT1。
打开“请求批准聘用” 文档。
单击 “确定 ”以允许文档连接到 AD RMS 服务器。
你现在可以看到该文档由 AD RMS 保护,因为它包含身份证号。