Seit dem Release von 2008R2 gibt es im FSRM (File Services Resource Manager) ein Feature zur Klassifizierung von Dateien. Unter 2008R2 hatte diese neue Funktion innerhalb der File Services Role nur ein Schattendasein, da es rein zu Protokolierungs- und Überwachungszwecken einsetzbar war. Mit Server 2012 wurden Claims eingeführt. Kurz gesagt dynamische Berechtigungen auf Objekte. Diese Claims sind vergleichbar mit Access Token, um etwa anhand einer Gruppenmitgliedschaft Zugriff auf ein mit NTFS geschütztes Objekt zu gewähren. Claims sind Bestandteil von Dynamic Access Control (DAC). Für Userzugriffe sind Claims Abwärtskompatibel. Für Computer, und das ist neu mit DAC, ist mindestens Win8/Srv2012 notwendig. Zugriffe werden mittels Computer Claims gewährt. Es lässt sich damit steuern, welcher Computer Zugriff hat, bzw. welche Computer/User Kombination. Claims geparrt mit Classifications lässt vielseitiges Kombinationen zu.
Für das Setup einer Dynamic Access Control Umgebung gibt es einige Tutorials. Interessant war für mich die Frage wo und wie generierte Classification Informationen gespeichert werden, und können diese verloren gehen?
Resource Properties bestehen aus Name und Wert/Werten und ID. Diese Properties können Lokal pro Server oder per Group Policy mittele Property Lists verteilt werden. Classification Rules automatisieren die Zuweisung von Values. Manuelle Zuweisungen lassen sich aber nicht umgehen.
Die Properties werden im Classification Tab angezeigt. Aktuell ist also noch kein Wert mit dem File verknüpft.
Es gibt ein Tool von Microsoft namens STREAM.EXE, um sogenannte ADS (alternate data streams) anzuzeigen.
Offizieller Sysinternals Link:
http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx
Dieses Tool wurde inzwischen in die Powershell hineingepackt, und lässt sich mit Get-Item aufrufen.
$DATA verweist auf die Nutzdaten und wird „unnamed data stream“ genannt. Die Syntax lautet $DATA:““, und da der Wert zwischen den „“ eben unnamed ist, ist die Schreibweise $DATA. Bei einem alternate Stream wäre es $DATA:“alternate“.
by default ist nur der Standard Data Stream vorhanden, $DATA
Wir setzen nun Values in Datei secret.txt
nach dem Setzen der Values gibt es einen alternate Stream, der die Klassifizierungen enthält. Je mehr Values gesetzt werden, umso höher steigt die Length.
der alternate Classification Stream kann mit dem Powershell Befehl Remove-Item gelöscht werden
nach dem Löschen des Streams sind alle Values leer. Dass die Properties noch angezeigt werden, liegt daran das die File Services so konfiguriert sind.
Kompatibilität
wird das File auf eine ReFS (Resilient File System) Partition verschoben, bleiben die Stream Daten erhalten. Klassifikationen werden bei ReFS weder von Server 2012 noch 2012R2 unterstützt. Da die Funktion für die Speicherung vorhanden ist, ist entweder der Support für ReFS geplant, oder die Informationen sollen nach dem Rückverschieben nach NTFS erhalten bleiben?
Wandern Daten auf FAT32 , Ext oder ReiserFS gehen nicht nur Klassifikation verloren, sondern auch SID Kennungen sowie evtl. File Attribute. Eine Übernahme aus der Domain heraus stellt kein Problem dar, solange das Ziel NTFS ist.
Server 2008R2
Wird ein File auf einem Server 2008R2 Klassifiziert, wird wie bei Server 2012 ein alternate Stream generiert. Dieser Stream wird beim Kopieren nach 2012 (NTFS to NTFS) wie oben beschrieben mitgenommen. Das Property wird dann als „Unknown“ gelistet, wenn es nicht definiert wurde. Ab Server 2012 ist ein zentraler AD Abgleich von Classification Properties implemtiert worden. Server 2008R2 unterstützt diesen Abgleich noch nicht!
