Ebben a cikkben bemutatjuk, hogyan telepíthetünk és telepíthetünk Windows Server 2012 R2 alapú Active Directory Right Management Services (ADRMS) szolgáltatásokat egy kis és közepes méretű szervezetben a tartalom védelme érdekében..
Először röviden emlékeztessünk arra, hogy mi az AD RMS, és miért van rá szükség. iroda Active Directory Right Management Services - Az egyik szokásos Windows Server szerepkör, amely lehetővé teszi a felhasználói adatok védelmét az illetéktelen felhasználástól. Az információvédelem a dokumentumok titkosításával és aláírásával valósul meg, és a dokumentum vagy fájl tulajdonosa meghatározhatja saját magának, hogy mely felhasználók nyithatják meg, szerkeszthetik, kinyomtathatják, küldhetik el és végezhetnek más műveleteket a védett információkkal. Meg kell értenie, hogy az ADRMS-sel történő dokumentumvédelem csak azokban az alkalmazásokban lehetséges, amelyeket erre a szolgáltatásra fejlesztettek ki (AD RMS-kompatibilis alkalmazások). Az AD RMS-nek köszönhetően az érzékeny adatokat a vállalati hálózaton belül és kívül is megvédheti..
Néhány fontos követelmény, amelyet figyelembe kell venni az AD RMS megoldás tervezésekor és telepítésekor:
- Célszerű külön dedikált AD RMS szervert használni. Nem ajánlott az AD RMS szerepet kombinálni a tartományvezérlő, az Exchange kiszolgáló, a SharePoint Server vagy a Certificate Authority (CA) szerepével.
- Az AD felhasználók e-mail attribútummal kell ellátni
- Az RMS felhasználók számítógépein a kiszolgálót hozzá kell adni az IE Trusted Sites zónához. Ennek legegyszerűbb módja a csoportházirend..
Az ADRMS közvetlen telepítésének megkezdése előtt el kell végeznie az előkészítő lépések sorozatát. Mindenekelőtt létre kell hoznia egy külön szolgáltatásfiókot az ADRMS-hez korlátlan jelszóval, például svc-adrms névvel (az ADRMS-hez létrehozhat egy speciálisan kezelt AD-fiókot - például gMSA) - az ADRMS számára..
A DNS-zónában hozzon létre külön erőforrásrekordot, amely az AD RMS-kiszolgálóra mutat. Tegyük fel, hogy a neve - adrms.
Megkezdjük az ADRMS szerepkör telepítését a Windows Server 2012 R2 rendszert futtató kiszolgálóra. Nyissa meg a Szolgáltatókezelő konzolt, és telepítse a szerepet Active Directory jogkezelő szolgáltatás (itt minden egyszerű - csak fogadja el az alapértelmezett beállításokat és függőségeket).
Miután az ADRMS szerepkör és a hozzá kapcsolódó szerepek és funkciók telepítve vannak, kattintson az linkre az ADRMS szerepkör konfigurációs módba lépéshez Végezzen további konfigurációt.
A telepítővarázslóban válassza ki, hogy hozzunk létre egy új AD RMS gyökérfürtöt (Hozzon létre egy új AD RMS gyökérfürtöt).
Az RMS adatbázisként a belső Windows adatbázist fogjuk használni (Használja a Windows belső adatbázist ezen a szerveren).
tanács. További információ a WID-ről. Termelési környezetben javasolt, hogy külön Microsoft SQL Server példányt használjon az RMS adatbázis gazdagépekhez. Ennek oka az a tény, hogy a belső Windows adatbázis nem támogatja a távoli kapcsolatokat, ami azt jelenti, hogy egy ilyen AD RMS architektúra nem lesz méretezhető.Ezután feltüntetjük a korábban létrehozott szolgáltatói fiókot (svc-adrms), a használt kriptográfiai algoritmust, az RMS fürtkulcs tárolási módszerét és jelszavát..
Meg kell határozni az AD RMS fürt webcímét, amelyhez az RMS ügyfelek hozzáférnek (ajánlott egy biztonságos SSL kapcsolat használata).
Ne zárja be az AD RMS konfigurációs varázslót!
A következő lépés egy SSL-tanúsítvány telepítése az IIS webhelyére. A tanúsítvány lehet önaláírással (a jövőben hozzá kell adnia minden megbízható ügyfélhez), vagy kiadható egy vállalati / külső tanúsító hatóság (CA) által. A meglévő vállalati hitelesítésszolgáltatóval tanúsítványt hozunk létre. Ehhez nyissa meg az IIS Manager konzolt (inetmgr), és lépjen a Kiszolgálói tanúsítványok szakaszba. A jobb oldali oszlopban kattintson a linkre. Hozzon létre domain tanúsítványt (hozzon létre egy domain tanúsítványt).
Generáljon új tanúsítványt a varázsló segítségével, és kösse össze az IIS szerverrel.
Térjen vissza az AD RMS szerepkonfigurációs ablakba, és válassza ki azt a tanúsítványt, amelyet az AD RMS forgalom titkosításához kíván használni.
Vegye figyelembe, hogy az SCP pontot azonnal regisztrálni kell az AD-ben (Regisztrálja az SCP-t most).
megjegyzés. Ahhoz, hogy SCP-pontot regisztráljon az Active Directory-ban, rendelkeznie kell az Enterprise Admins jogokkal.tanács. Annak ellenőrzése érdekében, hogy az AD RMS - SCP (Service Connection Point) felderítési pont regisztrálva van-e az Active Directory-ban, meg kell nyitnia a dssite.msc konzolt. Ezután lépjen a Szolgáltatások -> RightManagementServices elemre, a jobb oldali ablaktáblában nyissa meg az SCP tulajdonságokat. Győződjön meg róla, hogy aistinguishedName attribútum értéke így néz ki: CN = SCP, CN = RightsManagementServices, CN = Szolgáltatások, CN = Konfiguráció, DC = vállalat, DC = coEz befejezi az AD RMS szerep telepítésének folyamatát. Vége az aktuális munkamenetnek (kijelentkezés), és jelentkezzen be a kiszolgálóra.
Indítsa el az ADRMS konzolt.
Hozzon létre például egy új RMS házirend-sablont. Tegyük fel, hogy olyan RMS sablont akarunk létrehozni, amely lehetővé teszi a dokumentum tulajdonosának, hogy mindenki megtekinthesse az e sablon által védett betűket szerkesztési / továbbítási jogok nélkül. Ehhez lépjen a szakaszba Jogszabályok sablonjai és kattintson a gombra Hozzon létre elosztott jogokkal kapcsolatos sablont.
A gomb megnyomásával hozzáad, adja hozzá az e sablon által támogatott nyelveket és az egyes nyelvek házirendjét.
Ezután jelezzük, hogy minden (bárki) megtekintheti (kilátás) a szerző által védett dokumentum tartalma.
Azt is jelezzük, hogy a védelmi politika lejárta korlátlan (Soha nem jár le).
A következő lépésben jelezzük, hogy a védett tartalmak megtekinthetők a böngészőben az IE kiterjesztések segítségével (Engedélyezze a felhasználók számára a védett tartalom megtekintését egy böngésző-kiegészítő segítségével).
Tesztelje a létrehozott RMS sablont Outlook Web App, miért hozzon létre egy új üres levelet, amelynek tulajdonságainál meg kell nyomnia a gombot Állítsa be az engedélyeket. A legördülő menüben válassza ki a sablon nevét (E-mail-View-Onl-For-Bárki).
megjegyzés. Ha az RMS-sablonok listája nem nyílik meg megfelelően, vagy hiányzik a létrehozott sablonok, ellenőrizze, hogy az AD RMS-hely címe a Helyi intranet / Megbízható zónában van-e, és az aktuális felhasználó be tud-e jelentkezni az RMS-kiszolgáló IMS-be.Küldjön egy másik felhasználónak egy RMS által védett e-mailt.
Most nézzük meg, hogy néz ki a védett levél a címzett mezőjében.
Mint látjuk, a Válasz és a Tovább gombok nem érhetők el, az információs panelen pedig a dokumentum és annak tulajdonosa által használt dokumentumvédelmi sablon látható..
Tehát ebben a cikkben leírtuk, hogyan lehet gyorsan telepíteni és telepíteni az AD RMS-t egy kis szervezeten belül. Ne feledje, hogy az RMS bevezetésének megtervezését közepes és nagyvállalatoknál körültekintőbb módon kell megközelíteni, mert ennek a rendszernek a rosszul átgondolt felépítése a jövőben számos megoldhatatlan problémát okozhat.