V tem članku bomo pokazali, kako namestiti in razporediti storitve Active Directory Right Management (ADRMS) na osnovi sistema Windows Server 2012 R2 v majhni in srednji organizaciji za zaščito vsebine..
Najprej se na kratko spomnite, kaj je AD RMS in zakaj je potreben. Storitev Storitve upravljanja pravic Active Directory - Ena od standardnih vlog za Windows Server, ki omogoča zaščito uporabniških podatkov pred nepooblaščeno uporabo. Varstvo informacij se uresničuje s šifriranjem in podpisovanjem dokumentov, lastnik dokumenta ali datoteke pa lahko sam določi, kateri uporabniki lahko odpirajo, urejajo, tiskajo, pošiljajo in izvajajo druge operacije z zaščitenimi informacijami. Morate razumeti, da je zaščita dokumentov z ADRMS možna le v aplikacijah, razvitih s to storitvijo (aplikacije, ki podpirajo AD RMS). Zahvaljujoč AD RMS lahko zaščitite občutljive podatke znotraj in zunaj poslovnega omrežja..
Nekaj pomembnih zahtev, ki jih morate upoštevati pri načrtovanju in uvajanju rešitve AD RMS, so:
- Priporočljivo je uporabljati namenski strežnik AD RMS. Ne priporočamo, da vlogo AD RMS kombinirate z vlogo krmilnika domene, strežnika Exchange, strežnika SharePoint ali overitelja (CA)
- Uporabniki AD morajo imeti atribut e-pošte napolnjen
- V računalnikih uporabnikov RMS mora strežnik dodati v območje IE Trusted Sites. Najlažji način za to je skupinska politika..
Preden začnete neposredno uvajati ADRMS, morate opraviti vrsto pripravljalnih korakov. Najprej morate v Active Directory ustvariti ločen račun storitve za ADRMS z neomejenim geslom, na primer z imenom svc-adrms (za ADRMS lahko ustvarite poseben upravljan račun AD - na primer gMSA).
V območju DNS ustvarite ločen zapis virov, ki kaže na strežnik AD RMS. Recimo, da mu je ime - adrmi.
Vlogo ADRMS začnemo nameščati na strežnik z operacijskim sistemom Windows Server 2012 R2. Odprite konzolo Serve Manager in namestite vlogo Služba za upravljanje pravic Active Directory (tukaj je vse preprosto - sprejmite privzete nastavitve in odvisnosti).
Ko je namestitev vloge ADRMS in z njo povezanih vlog in funkcij zaključena, kliknite povezavo za vstop v način konfiguracije vloge ADRMS. Izvedite dodatno konfiguracijo.
V čarovniku za nastavitev izberite, da bomo ustvarili nov korenski grozd AD RMS (Ustvarite nov korenski grozd AD RMS).
Kot bazo podatkov RMS bomo uporabili notranjo bazo podatkov Windows (Na tem strežniku uporabite notranjo podatkovno bazo Windows).
Namig. Preberite več o WID. V proizvodnem okolju je priporočljivo, da za gostovanje baze podatkov RMS uporabite ločen primerek Microsoft SQL Server. To je posledica dejstva, da notranja zbirka podatkov Windows ne podpira oddaljenih povezav, kar pomeni, da takšna arhitektura AD RMS ne bo spremenljiva.Nato navedemo predhodno ustvarjen račun storitve (svc-adrms), uporabljeni kriptografski algoritem, način shranjevanja ključa skupine RMS in njegovo geslo.
Ostaja nastaviti spletni naslov grozda AD RMS, do katerega bodo dostopali odjemalci RMS (priporočljivo je uporabljati varno povezavo SSL).
Čarovnika za konfiguracijo AD RMS ne zaprejte!
Naslednji korak je namestitev SSL potrdila na spletno mesto IIS. Potrdilo je mogoče samopodpisati (v prihodnosti ga bo treba dodati zaupnikom vsem strankam) ali ga izdati korporativni / zunanji certifikacijski organ (CA). Ustvarili bomo certifikat z uporabo obstoječega podjetja CA. Če želite to narediti, odprite konzolo upravitelja IIS (inetmgr) in pojdite na razdelek Strežniška potrdila. V desnem stolpcu kliknite povezavo. Ustvari potrdilo o domeni (ustvarite potrdilo o domeni).
S čarovnikom ustvarite novo potrdilo in ga vežite na strežnik IIS.
Vrnite se v okno konfiguracije vloge AD RMS in izberite potrdilo, ki ga nameravate uporabiti za šifriranje prometa AD RMS.
Upoštevajte, da je treba točko SCP takoj registrirati v AD (Registrirajte SCP zdaj).
Opomba. Za registracijo točke SCP v aktivnem imeniku morate imeti Enterprise Admins pravice.Namig. Če želite preveriti, ali je odkrivna točka AD RMS - SCP (Service Connection Point) registrirana v Active Directory, morate odpreti konzolo dssite.msc. Nato pojdite na Storitve -> RightManagementServices v desnem podoknu odprite lastnosti SCP. Prepričajte se, da vrednost atributa lastnostiNNN izgleda nekako takole: CN = SCP, CN = RightsManagementServices, CN = Storitve, CN = Konfiguracija, DC = podjetje, DC = coS tem je zaključen postopek namestitve vloge AD RMS. Končajte trenutno sejo (odjava) in se prijavite v strežnik.
Zaženite konzolo ADRMS.
Na primer, ustvarite novo predlogo pravilnika RMS. Recimo, da želimo ustvariti predlogo RMS, ki lastniku dokumenta omogoča, da vsem omogoči ogled črk, zaščitenih s to predlogo, brez pravic do urejanja / posredovanja. Če želite to narediti, pojdite na razdelek Predloge politike o pravicah in kliknite na gumb Ustvari predlogo pravilnika o distribuiranih pravicah.
S pritiskom na gumb Dodaj, dodajte jezike, ki jih podpira ta predloga, in ime pravilnika za vsak jezik.
Nato označimo, da so vsi (Kdorkoli) si lahko ogledate (Pogled) vsebina dokumenta, ki ga je avtor zaščitil.
Nadalje navajamo, da je trajanje zaščitne politike neomejeno (Nikoli ne poteče).
V naslednjem koraku označimo, da si lahko zaščiteno vsebino ogledate v brskalniku z uporabo razširitev IE (Uporabnikom omogočite ogled zaščitene vsebine z dodatkom brskalnika).
Preizkusite ustvarjeno predlogo RMS v Outlook Web App, zakaj ustvarite novo prazno črko, v lastnostih katere morate klikniti gumb Nastavite dovoljenja. V spustnem meniju izberite ime predloge (Ogled e-pošte-za vsakogar).
Opomba. Če se seznam predlog RMS odpre z napako ali če ustvarjene predloge manjkajo, preverite, ali je naslov spletnega mesta AD RMS v območju lokalnega intraneta / zaupanja in ali se trenutni uporabnik lahko prijavi v IMS strežnika RMS.Pošljite e-pošto, zaščiteno z RMS, drugemu uporabniku.
Zdaj pa poglejmo, kako izgleda zaščiteno pismo v škatli prejemnika.
Kot lahko vidimo, gumba za odgovor in posredovanje nista na voljo, na informativni plošči pa je navedena uporabljena predloga za zaščito dokumentov in njen lastnik.
Torej, v tem članku smo opisali, kako hitro uvesti in uporabiti AD RMS v majhni organizaciji. Upoštevajte, da je treba k načrtovanju uvajanja RMS v srednjih in velikih podjetjih pristopiti previdneje, saj slabo zasnovana struktura tega sistema lahko v prihodnosti povzroči številne nerešljive težave.