本文只为本人自己记录经验,故不会写得太详细。

1. 配置默认域策略,Computer Configuration--Policies--Administrative Templates--System--KDC--KDC support for claims and Kerberos armoring. (Enabled, Supported)

2. 在ADAC中选DAC--Claim Types,新建名为Department(anything you need)的一项,完成后点OK,编辑Department在Suggested Value中添加对应的部门值,如HR, Marketing.

3. 在DAC--Resource Properties中,找到Confidentiality和Department两项点Enable.这两个值会传递到FSRM中的Classification Properties.需刷新。

4. 在File Server中新建一文件夹设置共享,everyone--Full Control. 并在该文件夹下新建包含部门(HR,Marketing)等值的文件以供FSRM进行Classification

5. 在File Server中安装FSRM并新建以部门或其他相关的关键字的Classification Rules.并设置Scope为该文件夹,设置Classification中的Property为Department(或者其他任何项),在Parameters下点Configure,在Regular Expression中的Expression项填上步骤4新建文件中的相应字符。在Evaluation Type下可选re-evaluate exisiting property values和Aggregate the values.建完Classification Rules后可立即运行该rule.

6. 在DAC--Central Access Rules中新建以部门(或其他值)为名称的Rule设置允许哪些帐户及其权限。

7. 在DAC--Central Access Polices中新建一条策略,可包含各种Policies

8. 新建一个组策略,在Computer Configuration--Policies--Windows Settings--File System--Central Access Policies下添加在步骤7中新建的策略。刷新组策略

9. 修改步骤4中新建的文件夹的security--advanced--cap添加对应的策略

10. 编辑步骤8中的组策略,Computer Configuration--Policies--Administrative Templates--System--Access -Denied-Assistant,启用文件权限助手。当然前提是要在FSRM中配置好邮件相关设置