V tomto článku si ukážeme, ako nasadiť a nasadiť služby ADRMS (Active Directory Right Management Services) založené na systéme Windows Server 2012 R2 v malej a stredne veľkej organizácii na ochranu obsahu..
Najprv stručne pripomeňte, čo je AD RMS a prečo je to potrebné. kancelária Služby správy práv Active Directory - Jedna zo štandardných rolí systému Windows Server, ktorá vám umožňuje chrániť údaje používateľa pred neoprávneným použitím. Ochrana informácií sa realizuje šifrovaním a podpisovaním dokumentov a vlastník dokumentu alebo súboru si môže sám určiť, ktorí používatelia môžu s chránenými informáciami otvárať, upravovať, tlačiť, odosielať a vykonávať ďalšie operácie. Musíte pochopiť, že ochrana dokumentov pomocou ADRMS je možná iba v aplikáciách vyvinutých s ohľadom na túto službu (aplikácie podporujúce AD RMS). Vďaka službe AD RMS môžete chrániť citlivé údaje v podnikovej sieti aj mimo nej..
Pri plánovaní a zavádzaní riešenia AD RMS je potrebné zvážiť niekoľko dôležitých požiadaviek:
- Odporúča sa používať vyhradený server AD RMS. Neodporúča sa kombinovať rolu AD RMS s úlohou radiča domény, servera Exchange, servera SharePoint alebo certifikačnej autority (CA).
- Používatelia AD musia mať vyplnené e-mailové atribúty
- Na počítačoch používateľov služby RMS musí byť server pridaný do zóny dôveryhodných serverov IE. Najjednoduchší spôsob, ako to dosiahnuť, je prostredníctvom skupinovej politiky..
Predtým, ako začnete s priamym nasadením ADRMS, musíte vykonať celý rad prípravných krokov. Najprv musíte v službe Active Directory vytvoriť samostatný servisný účet pre ADRMS s neobmedzeným heslom, napríklad s názvom svc-adrms (pre ADRMS môžete vytvoriť špeciálny spravovaný účet AD - napríklad gMSA)..
V zóne DNS vytvorte samostatný záznam prostriedku smerujúci na server AD RMS. Povedzme, že sa volá - adrms.
Rolu ADRMS začíname inštalovať na server so systémom Windows Server 2012 R2. Otvorte konzolu Serve Manager a nainštalujte rolu Služba riadenia práv služby Active Directory (všetko je tu jednoduché - stačí akceptovať predvolené nastavenia a závislosti).
Po dokončení inštalácie roly ADRMS a jej priradených rolí a funkcií kliknite na odkaz, aby ste vstúpili do režimu konfigurácie roly ADRMS. Vykonajte ďalšiu konfiguráciu.
V sprievodcovi nastavením vyberte, či vytvoríme nový koreňový klaster AD RMS (Vytvorte nový koreňový klaster AD RMS).
Ako databázu RMS použijeme internú databázu Windows (Použite internú databázu Windows na tomto serveri).
rada. Prečítajte si viac o WID. V produkčnom prostredí sa odporúča používať samostatnú inštanciu servera Microsoft SQL Server na hosťovanie databázy RMS. Dôvodom je skutočnosť, že interná databáza Windows nepodporuje vzdialené pripojenia, čo znamená, že takáto architektúra služby AD RMS nebude škálovateľná..Potom označíme predtým vytvorený účet služieb (svc-adrms), použitý kryptografický algoritmus, spôsob uloženia kľúča klastra RMS a jeho heslo.
Zostáva nastaviť webovú adresu klastra AD RMS, ku ktorej budú mať klienti RMS prístup (odporúča sa používať zabezpečené pripojenie SSL).
Nezatvárajte Sprievodcu konfiguráciou služby AD RMS!
Ďalším krokom je inštalácia certifikátu SSL na webovú stránku IIS. Certifikát môže byť podpísaný sám sebou (v budúcnosti bude potrebné ho pridať k dôveryhodným všetkým klientom) alebo môže byť vydaný firemnou / externou certifikačnou autoritou (CA). Vytvoríme certifikát pomocou existujúcej firemnej CA. Otvorte konzolu IIS Manager (inetmgr) a prejdite do sekcie Serverové certifikáty. V pravom stĺpci kliknite na odkaz. Vytvorte certifikát domény (vytvoriť certifikát domény).
Pomocou sprievodcu vygenerujte nový certifikát a pripojte ho k serveru IIS.
Vráťte sa do konfiguračného okna roly služby AD RMS a vyberte certifikát, ktorý chcete použiť na šifrovanie prenosu služby AD RMS.
Upozorňujeme, že bod SCP sa musí okamžite zaregistrovať v službe AD (Zaregistrujte SCP teraz).
poznámka. Na registráciu bodu SCP v službe Active Directory musíte mať práva Enterprise Admins.rada. Ak sa chcete uistiť, že vyhľadávací bod AD RMS - SCP (Service Connection Point) je zaregistrovaný v službe Active Directory, musíte otvoriť konzolu dssite.msc. Potom prejdite do časti Služby -> RightManagementServices, na pravej table otvorte vlastnosti SCP. Uistite sa, že hodnota atribútu rozlíšeného názvu vyzerá takto: CN = SCP, CN = RightsManagementServices, CN = Services, CN = Configuration, DC = company, DC = coTýmto sa dokončí proces inštalácie roly služby AD RMS. Ukončite aktuálnu reláciu (odhlásenie) a prihláste sa na server.
Spustite ADRMS Console.
Napríklad vytvorte novú šablónu politiky RMS. Predpokladajme, že chceme vytvoriť šablónu RMS, ktorá umožní vlastníkovi dokumentu umožniť každému prezerať písmená chránené touto šablónou bez práva na úpravy / preposielanie. Ak to chcete urobiť, prejdite na časť Šablóny pravidiel pre práva a kliknite na tlačidlo Vytvorte šablónu pravidiel pre distribuované práva.
Stlačením tlačidla pridať, pridajte jazyky podporované touto šablónou a názov politiky pre každý z jazykov.
Ďalej uvádzame, že všetko (niekto) môžu zobraziť (vyhliadka) obsah dokumentu chráneného autorom.
Ďalej uvádzame, že uplynutie platnosti politiky ochrany je neobmedzené (Nikdy nevyprší platnosť).
V ďalšom kroku naznačujeme, že chránený obsah je možné prehliadať v prehliadači pomocou rozšírení IE (Umožňujú používateľom prezerať chránený obsah pomocou doplnku prehliadača).
Otestujte vytvorenú šablónu RMS v systéme Windows XP Webová aplikácia Outlook, prečo vytvoriť nové prázdne písmeno, ktorého vlastnosti musíte kliknúť na tlačidlo Nastavte povolenia. V rozbaľovacej ponuke vyberte názov šablóny (Email-View-ONL-For-Anyone).
poznámka. Ak sa zoznam šablón RMS otvorí s chybou alebo ak vytvorené šablóny chýbajú, skontrolujte, či sa adresa lokality AD RMS nachádza v lokálnom intranete / dôveryhodnej zóne a aktuálny používateľ sa môže prihlásiť do IMS servera RMS..Pošlite e-mail chránený službou RMS inému používateľovi.
Teraz sa pozrime, ako chránené písmeno vyzerá v schránke príjemcu.
Ako vidíme, tlačidlá Odpovedať a Poslať ďalej nie sú k dispozícii a informačný panel označuje použitú šablónu ochrany dokumentov a jej vlastníka.
V tomto článku sme teda opísali, ako rýchlo nasadiť a nasadiť službu AD RMS v malej organizácii. Upozorňujeme, že pri plánovaní nasadenia RMS v stredných a veľkých spoločnostiach je potrebné pristupovať opatrnejšie, pretože zle koncipovaná štruktúra tohto systému môže v budúcnosti spôsobiť množstvo neriešiteľných problémov.