Windows Server 2008 R2新功能之文件分级

struggle

处理大量数据是Windows管理员所有工作中最头疼的问题之一。即使是最小的IT工作环境也仍然需要支持上万个个体文件，几乎每个文件对特定用户可能都是非常重要的。

　　纵观IT发展历程，系统管理员一直以来都是负责解决文件管理中两方面的问题——安全和备份。确保合适的主体访问恰当的客体对安全防护来讲至关重要，同时防止用户意外删除文件对于其正常工作也是非常关键的。当前放眼望去，各种各样的规则和敏感信息就迫使我们不仅仅只关注于我们看到是一份word文档还是一份Excel表格，我们也必须负责管理这些文件的内容。

　　但是似乎验证10000个访问许可权限远远不够，当前敏感信息的规则以及规章符合性要求我们需要恰当地处理存储在我们网络上各种各样不同的数据。

　　庆幸的是Microsoft也已经意识到这个问题。Windows Server 2008 R2提供一项新技术，在该技术中引入内容管理的概念。R2文件分级基础架构（FCI：File Classification Infrastructure）给文件服务器资源管理器（FSRM：File Server Resource Manager）角色新增了自动化处理能力。换言之，FCI使FSRM能够基于文件内容和位置对个体文件的敏感程度分级，同时也可以自动完成对陈旧文件的删除。两者在降低存储敏感业务数据风险方面都做了较大努力。

　　分级

　　首先在文件服务器上安装文件服务器资源管理器角色，这个角色服务是文件服务角色的一个组件。该角色最初在Windows Server 2008的RTM版本中使用，作为配额管理和存储报告的新位置。Windows Server 2008 R2在这个控制台中新增了两个节点：一个用来定义文件级别，另外一个用来创建文件管理任务。

　　可以通过了解文件分级设置的过程对其工作内容有最深入的理解。右键点击分级规则节点，选择“创建一个新规则”选项。然后会看到一个对话框，要求输入新规则的名称和描述信息，以及所覆盖的内容和文件夹位置。分级的实际效用来源于同一个名称的第二个标签页。这里，两个分级机制其中的一个可以用来定义该规则：内容分级控制器和文件夹分级控制器。

　　以当前工作环境中的数据为考察对象。特定的数据可能分别成为HR部门、业务部门或者一些外部管理代理的“敏感”数据。例如HR部门很有可能把个人记录作为敏感文件，对于外部管理和个人标识信息（PII：Personally-Identifiable Information）也是如此。虽然PII可能并不是必须的，业务部门就可能会把特定工程数据作为竞争性敏感数据。

　　在大多数单位中，尽力而为型的解决方案经常会通过使用NTFS权限许可试图保护这些数据类型。只要数据存储在合适的位置，都可以得到指定给其包含文件夹的许可权限的保护。遗憾的是，当前无意中把数据传送到不安全的位置十分常见。

　　例如，假设HR部门的工作人员新建一份临时电子表格，其中包括一些敏感数据。如果这些工作人员把该电子表格存储在其工作使用的台式机上，这些数据虽然在“正确”的位置，但是却未必安全。通过复制-粘贴或者其它简单使用方式就可能造成敏感数据在不经意间扩散，久而久之，这将会给IT环境带来很大影响，更不用说等待审计人员的审计结果了。

　　通过创建文件分级规则，可以在这些杂乱无章的数据之间高效地画出一条基线。“该数据是敏感的，无论存储在任何位置”，这个规则通过修改文件自身的属性可以实现。因此，一旦文件分级之后，无论移动到任何位置，安全属性都不会改变。

　　分级规则可以通过两种方式中的一种实现。第一种方式是使用内容分级控制器规则。如果使用这一类规则，就必须标识一个搜索条目。如果该条例存在于该规则覆盖范围内的任何文件，则该文件的属性就会被修改为包括该级别。如果使用文件夹分级控制器的话，存储在任何特定位置的文件都会被认为是机密的。

　　分级引擎运行在系统管理员配置好的调度表中，分级完成之后报告完成。一旦分级工作完全完成，就会看到文件中会包含其属性的细节信息，帮助用户根据内容的特定需求区别对待处理。

　　到期终止

　　FSRM另外一个令人兴奋的——过于强大而难以平静接受——属性是新的自动化文件终止。各位读者可能遇到过这样的问题： 在存储设备上划分出很大的一块分区用于“共享的”和“个人的”文件存储。在一定的时间以后（我们通常称之为N天），该存储空间即将用完。可能不是新增额外昂贵的存储设备，而是真诚地邀请用户移除不再需要或者使用的文件。但是却未必得到正面的回应，那为了解决这个问题就只能继续进行代价昂贵的存储空间扩张了。

　　该场景中真正问题根本不需要存储空间耗费N天之后才出现，实际上是存储空间可用性的一些自身的属性即可完成。因为接下来的存储空间升级很有可能在大概7个N天以后也会占满。实际情况就会是随着购买越来越多的存储设备，消费者就会耗费到越大的存储空间。

　　Microsoft的FSRM第二个特点可以辅助解决这个问题，可以在没有影响地打过标签的文件管理任务节点中找到该属性。右键点击这个节点，选择创建一项新文件管理任务，就可以使用这个移除或者归档文件强有力的新工具，这是用户以前没有见到过的。文件管理任务为在每一个文件的存储位置中运行命令提供了一个位置，这项操作可以报告过期文件，也可以把这些文档重新分配到归档位置，一直循环操作到完全删除。

　　Microsoft实施文件管理任务尤其有用的是不用直接指定文件的终止日期。Microsoft的存储设备项目组在博客中声明：“基本上来讲，文件管理任务是一种使用单个命令与一个文件（该文件在预定义中已经指定）的选择集合上的机制”。最终的结果就是除了一些小的技巧性东西以外，可以构建一个针对工作环境非常适用的解决方案。至于是否通过邮件通知用户关注其文件、运行客户命令、创建文件到期终止报告或者简单删除恶意用户，灵活性的决定权就不在用户方了。

　　按照需求定制

　　然而Microsoft的另外一项聪明之处就在于涵盖第三方可以使用这些属性的扩张点。现在企业工作环境可能需要更多的针对数据存储需求的解决方案，SMB内部的IT技术人员非常欢迎这些免费的小优势。

　　Microsoft表示将会有更多的扩展点内置于产品中，诸如文件迁移（而不仅仅是删除或者报告）、备份SLA的优化、给文件打水印、正确管理高敏感文件的自动化处理应用程序以及其它。随着Windows Server 2008 R2的即将发布，Microsoft正在计划寻找拥有扩展解决方案并且市场状况良好的合作伙伴，以满足各种规模工作环境的需求。

zhoustcn

我们上2008r2就是为了实现这方面的管理，感谢分享