lunes, 20 de mayo de 2013

Tips & Tricks.Parte II.Token Kerberos, Dynamic Access Control y servidor de ficheros en Windows Server 2012

Os ha dado tiempo a preparar vuestras máquinas con lo visto en el anterior capítulo de Tips & Tricks.Token Kerberos, Dynamic Access Control y servidor de ficheros en Windows Server 2012

Para centrarnos resumimos. Hemos configurado el servicio de archivos, hemos configurado una carpeta compartida y hemos configurado los User Claims de usuario y los Resources Proporties. Uno para clasificación manual y otro para clasificación automática. Vamos a ponerlo a correr.
 Como podemos ver en la siguiente imagen, aquí tenemos definidas las propiedades.
Como veis, están definidas a nivel Global, el resto ( Correo, Mensaje y Uso)son ofrecidas por el sistema por defecto, pero solo en el ámbito del servidor local en el que se almacenen.
Vamos a crear otra carpeta, y vamos a asignarle el Resource de Departamento para que el contenido de esa carpeta se clasifique automáticamente bajo ese departamento.

NOTA MENTAL.- Cuando en el anterior post creamos esta propiedad en Active Directory, solo puse el valor de Murcia. Ahora para enseñaros este concepto he añadido mediante el centro de administración de Active Directory un segundo valor posible para ese propiedad. Si queréis que esté disponible no olvidéis hacer lo que contábamos de actualizar el FSRM mediante la powershell
Update-FSRMClassificationPropertyDefinition

Hasta aquí un poco de resumen del anterior artículo. Una vez establecidas las propiedades o atributos por los que queremos clasificar, vamos a crear las reglas de clasificación para poder usarlas.

Como podéis leer en la última pantalla, si queremos "machacar" propiedades previas de ese documento, y re-organizarlo bajo el criterio que estamos empleando, debemos habilitar el check, sino, conservará los metadatos de clasificación, si los tuviese, y bloquearía la clasificación automática para ese recurso.

Con esto tendremos ejecutándose la regla de clasificación. Hasta aquí solo se definía.
Hay un tipo de clasificación MUY interesante de ficheros y carpetas y es la posibilidad de organizar por contenido... Esto es un regalo para los gestores documentales. Podemos definir una regla que sea que se clasifiquen los documentos como privados, si aparece dentro del documento un valor DNI: por ejemplo...
Como podéis apreciar, es una herramienta muy versátil y potente.
Microsoft está apostando claramente por una estrategia de facilitar el trabajo a los administradores de sistemas, en lo relativo al proceso de configuración técnico, pero aquí la complejidad reside en la definición de las reglas de clasificación que queremos emplear y de su supervisión día a día. Es muy sencillo hacer unos clicks en estos menús como podéis ver, pero establecer una política lógica para nuestra empresa, que nos proporcione el control de acceso y disponibilidad que necesitamos no lo es tanto.
Ejecutamos la regla de clasificación inicialmente.
Una vez terminado el proceso de clasificación nos muestra un informe con los archivos clasificados. Para este ejemplo he creado un fichero BMP de nombre curioso dentro de la carpeta Marketing, como hemos definido en la regla de clasificación, para que establezca la propiedad Ciudad=Sodoma.
Sería interesante ejecutar esta regla cada cierto tiempo para comprobar su funcionamiento? Welcome Mister Powershell xD –RunDuration Start-FSRMClassification 0 - confirmar:$ false
O bien usamos el asistente para generación de Reports que es mucho más cómodo xD.
Esta parte se merece toda una entrada, ya que nos permite crear reports a medida sobre las opciones de configuración de nuestro entorno de archivos, seleccionado las categorías para la clasificación, pero no solo para eso, sino para detectar ficheros grandes, pequeños, duplicados, uso de cuotas etc etc. Muy recomendable indagar un poco más en este aspecto.


Debemos establecer una programación de tareas para efectuar el proceso de clasificación automática en nuestro servidor? Si, donde? en la raíz del servicio de Almacenamiento, botón derecho, configurar opciones.
Como podéis apreciar, podemos configurar no solo las opciones de calendario, sino configurar el nivel de Log que queremos registrar, el formato, ubicación, envío de correos etc.
Fijaros en Permitir clasificación continua de archivos nuevos... Es recomendable monitorizar la carga de trabajo para el servidor que le va a suponer esta clasificación en un entorno grande, y en el caso de clasificación por contenido. En la regla de clasificación por contenido que hemos creado para "DNI:" imaginaros una regular expressión mas avanzada, en un entorno de muchos muchos ficheros...

Vale, parece ser que tenemos el tema de la clasificación de carpetas/archivos medianamente controlado xD. Pero esto no nos sirve para ser personas ordenadas ( porque no veis mi escritorio) sino para garantizar el acceso a los recursos dentro de nuestra empresa. CAP Central Access Policy.
ACL basadas en expresiones. No solo basadas en grupos de usuarios, sino que podemos extender estas características mediante expresiones, por ejemplo, que para acceder a un recurso fichero deba pertenecer a dos grupos !! Por ejemplo Marketing y Nivel confidencial alto, sin tener que implementar una estructura de carpetas basada en este criterio. A su vez, podemos definir el ámbito efectivo para un servidor de ficheros concreto, o para todo el bosque de servidores de archivos. Como no, también podemos controlar el acceso al archivo mediante la propiedad clasificada Claims configuradas en el anterior post.
 Vamos a poner un ejemplo típico en nuestras organizaciones.
Carpeta de empresa (x1) dentro comunidades autónomas (x17) dentro por deparamentos marketing, rrhh e IT (x3) y dentro un par de niveles de confidencialidad (x2).102 posibilidades de pertenencia a grupo... Cuando realmente deberíamos tener un grupo de comunidades, otro de departamentos y otro de confidencialidad, y establecer condiciones regulares para la configuración de la ACL.
También podemos usar los Devices Claims predefinidos dentro de Active Directory (200), no solo el que hemos configurado para Departamento, sino una configuración de equipo, en donde creamos unos grupos basados en tipos de pc, por ejemplo, PC nuevos, PC viejos, PC portátiles. Prepararemos las reglas de clasificación, clasificaremos los PC manualmente para este propósito, y podremos hacer uso de DAC combinado con las reglas ACL y los CLAIMS ( en el anterior ejemplo de grupos, que sea de España, de RRHH, NIVEL de confidencialidad 1, y sumamos que se esté accediendo desde un pc PC NUEVO)...
La necesidad de mejora respecto al antiguo enfoque de permisos ACL es evidente !!!
Tenéis ganas de configurar las reglas de acceso verdad...
Gracias por leerme, y atentos a la siguiente entrega.
Un saludo.

PARTE III




Google +