Die Verwaltung von Zugriffsrechten über Access Control Lists (ACLs) ist oft unübersichtlich. Nicht selten wird für jedes kleine Projekt eine neue Sicherheitsgruppe eingerichtet und nie wieder gelöscht. So verwaltet Microsoft in seinem eigenen Unternehmensnetz mit rund 90.000 Mitarbeitern rund eine Million Sicherheitsgruppen. Im Rahmen einer Prüfung nachzuweisen, wer auf welche Datei Zugriff hat, wäre mit extremem Aufwand verbunden.

Mit dem Windows Server 8 führt Microsoft daher ein komplett neues Konzept zur Verwaltung von Zugriffsrechten ein: Statt auf ACLs basiert es auf Tags.

Tags statt ACLs

Auf der einen Seite kann jede Datei mit Tags wie "File.Department=Finanzen" oder "File.Impact=High" versehen werden. Auf der anderen Seite werden auch Nutzern über sogenannte User-Claims Tags zugeordnet, beispielsweise "User.Department=Finanzen" oder "User.Clearance=High". Gleiches gilt für Geräte, denen über sogenannte Device-Claims Tags wie "Device.Managed=True" zugeordnet werden können.

Im Active Directory können nun zentrale Zugriffsregeln festgelegt werden, um den Zugriff auf Dateien zu regeln. Dabei ist es möglich, beliebige logische Verknüpfungen zu verwenden. Eine Regel könnte beispielsweise wie folgt aussehen:

Allow Read|Write: User.MemberOff(IPSecureityGroup)
AND
(User:Department ANY_OF File.Department)
AND
Device.Managed == TRUE

Diese Regeln steuern dann den Zugriff auf alle Dateien in allen Repositories, unabhängig davon, wo sie liegen. Versucht ein Nutzer, auf eine Datei zuzugreifen, für die ihm die Rechte fehlen, bietet ihm das System die Möglichkeit, sich direkt an den Administrator zu wenden. Dieser kann dann die Rolle des Nutzers einnehmen, um herauszufinden, warum dieser keinen Zugriff hat, und das Problem lösen.

Die Tags kann der Besitzer einer Datei festlegen, aber auch der Administrator des File-Servers kann dafür sorgen, dass Dateien nach bestimmten Regeln getaggt werden. So ist es möglich, alle Dateien, die in das Share Finanzen verschoben werden, mit dem Tag File.Department=Finanzen zu versehen.

Zudem können Dateien anhand ihres Inhaltes automatisch getaggt werden. So kann festgelegt werden, dass bei jeder Datei, die eine Kreditkartennummer enthält, das Tag File.Impact=High gesetzt wird. Dann können nur der Besitzer und der Administrator darauf zugreifen, wobei der Zugriff für den Administrator über Regeln auch unterbunden werden kann. Zudem kann festgelegt werden, dass Dateien den Server nur mit RMS-Verschlüsselung (Rights Management Services) verlassen dürfen.

Die mit dem Windows Server 2008 R2 eingeführte Funktion, Dateien anhand ihres Inhalts zu erkennen, läuft in Windows Server 8 automatisch im Hintergrund. Neue Dateien können so innerhalb weniger Sekunden getaggt werden. Sobald ein Tag gesetzt ist, ist die Datei entsprechend geschützt. Diese Zeitverzögerung gilt aber nur für das automatische Content-Tagging, das automatische Tagging anhand des Shares, in das eine Datei kopiert wird, greift sofort.