這是在Active Directory Domain Services中你可以設(shè)置動態(tài)訪問控制政策的位置之一

例如,企業(yè)可以根據(jù)信息的性質(zhì)來創(chuàng)建限制對某個文件或文件夾的訪問權(quán)限的政策,這有助于幫助企業(yè)遵守政府和行業(yè)法規(guī)。

此外,你可以根據(jù)用戶目前所屬部門來創(chuàng)建限制訪問政策。最后,你可以創(chuàng)建一個政策規(guī)定,企業(yè)某些部門的用戶只能訪問與其工作相關(guān)的信息,這在金融機(jī)構(gòu)比較常用。

中央訪問政策應(yīng)與中央審計政策配合使用,中央審計政策主要是備份訪問政策以及證明企業(yè)遵守合規(guī)要求。當(dāng)你看到任何政府或行業(yè)合規(guī)要求,并將該要求的條件輸入到審計政策,然后你就能檢索到證明你遵守合規(guī)的即時報告。

你還能看到訪問授權(quán)不當(dāng)?shù)那闆r,在這種情況下,應(yīng)該調(diào)整你的政策以確保這些漏洞不會再出現(xiàn)。你還會看到用戶或用戶組試圖訪問信息(而未能成功)的情況,這從安全的角度來看是很有幫助的,因為這表明用戶需要接受進(jìn)一步的教育。

訪問和審計政策可以與文件分類基礎(chǔ)設(shè)施配合使用,文件分類基礎(chǔ)設(shè)施最早出現(xiàn)在Windows Server 2008 R2中,在最新版本中,該功能得到了改進(jìn)。通過分類文件,你可以對文件進(jìn)行標(biāo)記,標(biāo)記可以使數(shù)據(jù)類型、適用于數(shù)據(jù)的法規(guī)類型、數(shù)據(jù)有限期限、數(shù)據(jù)的保密限制的到期日等等。

中央訪問和審計政策通過文件分類基礎(chǔ)設(shè)施的這些標(biāo)記以及文件系統(tǒng)ACL來確定應(yīng)該對誰授予訪問權(quán)限以及在何種條件下授予訪問權(quán)限。例如,如果你將某文件夾標(biāo)記為HIPAA敏感數(shù)據(jù)(因為其保護(hù)敏感醫(yī)療數(shù)據(jù)),當(dāng)中央訪問政策規(guī)定限制對這些信息的訪問,那么當(dāng)用戶試圖訪問HIPAA信息時,政策就會限制用戶訪問。

無論訪問是否成功,審計政策都會記錄這次活動用于進(jìn)一步監(jiān)測。此外,Windows Server 2012限制可以根據(jù)文件分類來自動加密文件,這樣所有標(biāo)記HIPAA的文件都會進(jìn)行自動加密。這些加密也可以用于合規(guī)目的的審計。

這個功能能夠幫助你加強(qiáng)對信息的訪問控制,你不再需要看著一個個文件或文件夾來決定“是的,這些人可以訪問”或者“這些人不能訪問”。

虛擬桌面基礎(chǔ)設(shè)施的改善

RemoteFX技術(shù)一直都是Windows Server的一部分,新系統(tǒng)中,這項技術(shù)為通過遠(yuǎn)程桌面協(xié)議(RDP)的托管會話帶來了本地優(yōu)質(zhì)圖像。

Windows Server 2012的最大優(yōu)勢之一是刪除了服務(wù)器中物理GPU卡和視頻卡的要求以更好地發(fā)揮RemoteFX的優(yōu)勢。此前,對于物理GPU卡和視頻卡的要求,擴(kuò)展規(guī)模非常昂貴和麻煩,你需要在服務(wù)器中部署一個專用GPU以支持托管遠(yuǎn)程桌面會話的虛擬桌面中的所有用戶。而現(xiàn)在,虛擬化GPU取代了物理GPU卡,沒有特殊視頻裝置的服務(wù)器也可以支持高性能會話。

操作系統(tǒng)創(chuàng)建了一個單獨的虛擬硬盤(VHD)文件來存儲用戶個性化信息。當(dāng)用戶登錄到資源池桌面時,Windows會分流個性化VHD來創(chuàng)建個性化體驗。

此外,USB支持RDP會話得到了進(jìn)一步加強(qiáng),例如,如果USB設(shè)備在本地Windows客戶端工作,它將能在RDP工作而不需要特殊的驅(qū)動程序。此前,只有小部分Windows兼容的USB設(shè)備可以通過RDP連接被“發(fā)送”,讓VDI部署受到很大限制。只要這些設(shè)備能夠在本地客戶端使用,智能卡讀寫器、攝像頭、游戲都能夠無縫地用于RDP遠(yuǎn)程會話。

還有一個新的“Fair Share”技術(shù),主要負(fù)責(zé)管理分配主機(jī)上所有運(yùn)行會話的CPU、內(nèi)存、磁盤空間和網(wǎng)絡(luò)帶寬,它能夠防止一個用戶占用大量資源,按照一定比例限制用戶的資源。

你可以在全球范圍內(nèi)配置限制百分比,然后這些百分比將會均勻地應(yīng)用到所有正在運(yùn)行的設(shè)置中。在默認(rèn)情況下,你不能指定一個用戶擁有兩倍多的網(wǎng)絡(luò)控制,這也是為什么這項技術(shù)被稱為“公平共享”的原因。不過,這是一個很好的方式,以確保加載高清晰電影的用戶不會影響其他所有人的VDI體驗。

此外,資源池式桌面的一個大缺點被刪除了。在過去,當(dāng)用戶被分配到一個資源池虛擬機(jī)時,他們的體驗會受到影響。每當(dāng)他們修改設(shè)置或者本地存儲數(shù)據(jù)到資源池機(jī)器,當(dāng)系統(tǒng)注銷時,這些設(shè)置都會被刪除,因為資源池的鏡像是動態(tài)的。

在Windows Server 2012中,操作系統(tǒng)會創(chuàng)建一個單獨的虛擬硬盤(VHD)文件來存儲用戶個性化信息,當(dāng)用戶登錄到資源池桌面時,Windows將會加載個性化VHD以及資源池鏡像VHD以創(chuàng)建個性化體驗。并且,它還將所有設(shè)置改變保存到用戶磁盤中,這樣當(dāng)用戶下一次登陸時,這些變化就會反映出來。

現(xiàn)在你可以享受修復(fù)和維護(hù)單個鏡像的優(yōu)勢,同時允許用戶定制他們自己的工作環(huán)境。

最后,基于VDI部署的存儲選項也得到了改善。例如,你可以通過服務(wù)器信息塊文件共享、存儲區(qū)域網(wǎng)絡(luò)(SAN)或本地存儲來存儲和操作VHD。資源池虛擬桌面集可以按層來配置,換句話說,不常使用的機(jī)器可以存儲在廉價的存儲中,而更頻繁使用的VHD和會話可以存儲在更快但更貴的存儲中。VDI能夠很好地與Windows Server 2012中的集群和故障轉(zhuǎn)移功能配合使用,以確保高可用性。

網(wǎng)絡(luò)改進(jìn)

另一個重大改進(jìn)是DirectAccess,它允許從任何端點返回企業(yè)系統(tǒng),而不會對真正的VPN帶來性能影響。

在該客戶端上沒有管理代理,當(dāng)該技術(shù)正確配置后,就能夠使用了。用戶將擁有對文件共享、企業(yè)設(shè)備和其他資源的無縫連接,就好像他們在企業(yè)內(nèi)部一樣。

只需要七次點擊,管理員就可以完成這個向?qū)В珼irectAccess就可以使用了

此外,組策略對象得到應(yīng)用,管理員可以在任何地方管理及其,而不只是只有當(dāng)員工來到企業(yè)內(nèi)部或者及其連接到VPN時。

曾經(jīng),使用DirectAccess的缺點是設(shè)置該系統(tǒng)的高要求(曾經(jīng)依賴于IPv6或者IPv6到IPv4轉(zhuǎn)換引擎)以及配置DMZ中或者網(wǎng)絡(luò)邊緣的服務(wù)器端點,它也沒有支持虛擬化。

在Windows Server 2012中,這些要求都被刪除了。DirectAccess能夠無縫地與IPv4工作,不再需要奇怪的Teredo或者轉(zhuǎn)換通道。此外,你還可以毫無問題地對運(yùn)行DirectAccess“攔截器”的邊緣機(jī)器進(jìn)行虛擬化。我只在Hyper-V嘗試過,不過我相信該產(chǎn)品正式發(fā)布時,VMware也將得到支持。

最后,這個發(fā)行預(yù)覽版中的新的Express Remote Access Wizard(快速遠(yuǎn)程訪問向?qū)?消除了設(shè)置DirectAccess的所有復(fù)雜性。只需要七次點擊,管理員就可以完成這個向?qū)?,DirectAccess就可以使用了

DirectAccess是一種非常強(qiáng)大的技術(shù),非常適用于擁有大量遠(yuǎn)程工作人員的企業(yè)。

總結(jié)

從更簡單的DirectAccess部署到全面的文件分類和動態(tài)訪問控制系統(tǒng),再到企業(yè)部署虛擬桌面基礎(chǔ)設(shè)施的更好的用戶體驗,Windows Server 2012的發(fā)行候選版的功能改進(jìn)非常引人注目且具有競爭力。

分享到

hanrui

相關(guān)推薦