Ad rms rights policy template management manual что это

Пошаговое руководство по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory

В этом пошаговом руководстве представлены инструкции по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде.

Об этом руководстве

• Создадите шаблон политики прав AD RMS.
• Произведете развертывание шаблона политики прав AD RMS.
• Проверите работу служб AD RMS после завершения необходимых настроек.

Развертывание служб AD RMS производится с целью защиты информации независимо от того, где она будет использоваться. Как только защита AD RMS добавлена в файл, этот файл будет оставаться защищенным вне зависимости от своего местоположения. По умолчанию защиту может снять только владелец файла. Он также может предоставить другим пользователям права на определенные действия с содержимым файла, такие как просмотр, копирование или печать.

Чего Вы не найдете в этом руководстве

Следующая информация не представлена в этом руководстве:

• Инструкции по настройке и конфигурированию служб AD RMS в рабочей или лабораторной среде. Предполагается, что службы AD RMS уже сконфигурированы для использования в лабораторной среде. Для получения дополнительной информации о конфигурировании служб AD RMS обратитесь к статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN).
• Полная техническая информация о службах AD RMS или о развертывании шаблонов политики прав AD RMS в Вашей организации. В больших организациях развертывание шаблонов AD RMS может осуществляться с помощью таких инструментов, как Systems Management Server (SMS) или групповая политика.

Развертывание служб AD RMS в лабораторной среде

Мы рекомендуем выполнять все процедуры, представленные в этом руководстве, в лабораторной среде. В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ. Прежде чем начать выполнять процедуры, представленные в этом руководстве, Вам необходимо выполнить в лабораторной среде все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В этой статье представлены основные шаги по подготовке базовой инфраструктуры служб AD RMS, включающей в себя кластер AD RMS, службу регистрации AD RMS, а также контроллер домена. Эти шаги должны быть выполнены прежде, чем Вы приступите к работе с настоящим документом. После выполнения всех процедур, представленных в настоящем документе, в Вашем распоряжении окажется функционирующая лабораторная среда, включающая в себя шаблон политики прав AD RMS. Вы сможете проверить работоспособность шаблона AD RMS, установив с его помощью разрешения на документ Microsoft Office Word 2007.

Лабораторная среда, описываемая в этом руководстве, включает в себя четыре компьютера, подключенных к частной сети организации и сконфигурированных в соответствии с приведенной ниже таблицей:

Имя компьютера

Операционная система

Приложения и службы

Windows Server 2008

AD RMS, Internet Information Services (IIS) 7.0, Message Queuing, Windows Internal Database

Windows Server 2003 с пакетом обновлений Service Pack 1 (SP1)

Active Directory, Domain Name System (DNS)

Windows Server 2003 с пакетом обновлений SP1

Microsoft SQL Server™ 2005 Standard Edition

Microsoft Office Word 2007 Enterprise Edition

Все компьютеры подключены к частной интрасети через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server. В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC.

На следующем рисунке изображена конфигурация лабораторной среды:

Шаг 1. Создание общей сетевой папки кластера служб AD RMS

Для упрощения администрирования шаблонов AD RMS, Вы можете хранить их централизованно, обеспечивая возможность их копирования на клиентские компьютеры с помощью таких инструментов, как Systems Management Server или групповая политика. В этом руководстве копирование шаблонов AD RMS будет выполняться вручную.

Для правильной работы функции экспорта шаблонов AD RMS учетная запись служб AD RMS должна иметь разрешение на запись в папку, в которой хранятся указанные шаблоны.

Для создания общей папки шаблонов политики прав AD RMS и установки необходимых разрешений для учетной записи службы AD RMS выполните следующую процедуру.

Для создания общей папки шаблонов AD RMS и установки необходимых разрешений выполните следующие действия:

1. Войдите на компьютер ADRMS-SRV под учетной записью CPANDL\Administrator.
2. В меню Start щелкните значок Computer и в открывшемся окне дважды щелкните значок Local Disk (C:).
3. Создайте новую папку с именем ADRMSTemplates. Для этого в меню Organize выберите команду New Folder, введите имя папки ADRMSTemplates и нажмите клавишу ENTER.
4. Правой кнопкой мыши щелкните на имени папки ADRMSTemplates и в контекстном меню выберите пункт Properties.
5. Перейдите на вкладку Sharing и нажмите кнопку Advanced Sharing.
6. Установите флажок Share this Folder и нажмите кнопку Permissions.
7. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.
8. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com) и в столбце Allow списка Permissions for ADRMSSRVC установите флажок Change.
9. Дважды нажмите кнопку OK.
10. Перейдите на вкладку Security и нажмите кнопку Edit.
11. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.
12. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com), в столбце Allow списка Permissions for ADRMSSRVC установите флажок Modify и нажмите кнопку OK.
13. Нажмите кнопку Close.

Шаг 2. Создание шаблона политики прав AD RMS

Как было упомянуто выше, шаблоны AD RMS создаются на кластере служб AD RMS и затем экспортируются в общую папку. Если пользователи будут использовать работающие с AD RMS приложения только тогда, когда они подключены к внутренней сети, то они в любой момент смогут получить доступ к этим шаблонам. В этом случае все клиенты служб AD RMS должны иметь разрешение на чтение из общей папки, в которой хранятся шаблоны политики прав AD RMS.

В качестве альтернативного варианта, шаблоны AD RMS могут быть скопированы из общей папки на клиентские компьютеры. Это позволяет работать с шаблонами даже тогда, когда компьютер пользователя не подключен к сети, например, в случаях использования ноутбуков или других мобильных устройств. В этом руководстве будет рассмотрен именно этот вариант, поскольку он является наиболее распространенным.

Для создания шаблона политики прав AD RMS выполните следующие действия:

1. Откройте консоль администрирования служб Active Directory Rights Management Services. Для этого в меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Rights Management Services.
2. В консоли Active Directory Rights Management Services выберите узел LocalHost.
3. В области Tasks, расположенной в средней панели консоли, щелкните ссылку Manage rights policy templates.
4. Чтобы разрешить экспорт шаблонов политики прав AD RMS, щелкните ссылку Properties в области действий Actions.
5. Установите флажок Enable export, в поле Specify templates file location (UNC) введите \\adrms-srv\ADRMSTemplates и нажмите кнопку OK.
6. В области действий Actions щелкните ссылку Create Distributed Rights Policy Template, чтобы запустить мастер создания распространяемого шаблона политики прав.
7. Нажмите кнопку Add.
8. В раскрывающемся списке Language выберите нужный язык для шаблона политики прав.
9. Введите CPANDL.COM CC в поле Name.
10. Введите CPANDL.COM Company Confidential в поле Description и нажмите кнопку Add.
11. Нажмите кнопку Next.
12. Нажмите кнопку Add, в поле The e-mail address of a user or group введите employees@cpandl.com и нажмите кнопку OK.
13. В списке разрешений установите флажок View, чтобы разрешить группе EMPLOYEES@CPANDL.COM чтение любого документа, созданного при использовании шаблона политики прав AD RMS.
14. Нажмите кнопку Finish.

Шаг 3. Настройка клиента служб AD RMS

Клиент служб AD RMS включен в операционную систему Windows Vista по умолчанию. Предыдущие его версии для других операционных систем семейства Windows можно загрузить из Интернета.

В этом руководстве предполагается, что кластер служб AD RMS уже настроен в лабораторной среде. Для того чтобы шаблоны политики прав AD RMS были доступны с клиентского компьютера, требуется его дополнительная настройка, заключающаяся в копировании шаблонов AD RMS на компьютер и создании записи в реестре, указывающей на их расположение.

Чтобы создать папку для хранения защищенного содержимого, выполните следующие действия:

1. Войдите на компьютер ADRMS-CLNT под учетной записью администратора.
2. В меню Пуск щелкните значок Компьютер.
3. Дважды щелкните значок Локальный диск (C:).
4. Создайте новую папку с именем ADRMSDocs. Для этого в меню Упорядочить выберите команду Новая папка, введите имя папки ADRMSDocs и нажмите клавишу ENTER.
5. Правой кнопкой мыши щелкните на имени папки ADRMSDocs и в контекстном меню выберите пункт Свойства.
6. Перейдите на вкладку Безопасность и нажмите кнопку Изменить.
7. В списке Группы или пользователи выберите учетную запись Пользователи (ADRMS-SRV\Пользователи), в столбце Разрешить списка Разрешения для Пользователи установите флажок Изменение.
8. Дважды нажмите кнопку OK.

Чтобы клиентский компьютер смог обнаружить шаблоны AD RMS, Вы должны скопировать их на локальный диск и добавить запись в системный реестр. Для этого необходимо выполнить следующую процедуру, после чего можно будет создавать защищенное содержимое.

Для обеспечения доступа пользователей компьютера ADRMS-CLNT к шаблонам AD RMS выполните следующие действия:

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

Если раздел DRM еще не был создан, Вы должны создать его вручную.

Если Вы не планируете использовать шаблоны политики прав AD RMS при отключении от сети, то их не обязательно копировать на клиентский компьютер.

Шаг 4. Проверка работы служб AD RMS

Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и, используя шаблон политики прав AD RMS, созданный ранее в этом руководстве, наложите ограничения на использования документа Microsoft Word 2007 таким образом, чтобы пользователи группы Employees компании CP&L могли просматривать документ, но не могли редактировать, распечатывать или копировать его. Все другие пользователи не будут иметь вообще никаких разрешений на работу с этим документом. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, являющегося членом группы Employees компании CP&L, Вы убедитесь, что данный пользователь может просматривать защищенный документ, но не может распечатывать его.

Для наложения ограничений на документ Microsoft Word выполните следующие действия:

1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (cpandl\nhollida).
2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.
3. Напечатайте в новом документе фразу «Пользователи группы CP&L Employees не могут распечатывать этот документ», нажмите кнопку Office, откройте меню Подготовить, затем меню Ограничить разрешения и выберите пункт с названием шаблона политики прав CPANDL.COM CC. В диалоговом окне Выбор пользователя выберите запись nhollida@cpandl.com и нажмите кнопку OK.
4. Нажмите кнопку Office, откройте меню Сохранить как и сохраните файл под именем \\ADRMS-DB\public\ADRMS-TST.docx.
5. Завершите сеанс работы пользователя Nicole Holliday.

Теперь войдите на компьютер под учетной записью пользователя Stuart Railson и откройте файл ADRMS-TST.docx.

Для просмотра защищенного документа выполните следующие действия:

Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях».

Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…»

Поздравляем! Вы успешно настроили и проверили работу шаблонов политики прав AD RMS, используя простой сценарий – применение шаблона политики прав к документу Microsoft Word 2007. Вы можете использовать существующую лабораторную среду для изучения остальных возможностей служб AD RMS, производя дополнительные настройки и выполняя необходимые Вам действия.

Автор: Артем Жауров aka Borodunter • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 19.10.2007

Ad rms rights policy template management manual что это

«AD RMS Rights Policy Template Management. » Scheduled Task on Windows 7

What is the scheduled task «\Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)» on my Windows 7 computer?

«\Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)» is a scheduled task on Windows 7 system added as part of the Windows system.

You will see «\Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)» listed on Task Scheduler with the following information:

Name: AD RMS Rights Policy Template Management (Automated) Location: \Microsoft\Windows\Active Directory Rights Management Services Client Description: Updates the AD RMS rights policy templates for the user. This job does not provide a credential prompt if authentication to the template distribution web service on the server fails. In this case, it fails silently. Actions: Custom handler Triggers: At 3:00 AM every day, and at log on of any user Conditions: Start only if the following network connection is available: any connection Status: Disabled History:

«AD RMS Rights Policy Template Management (Automated)» is disabled by default. So keep it disabled.

2016-12-30, 8386��, 0��

Пошаговое руководство по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory

В этом пошаговом руководстве представлены инструкции по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде.

Об этом руководстве

Это пошаговое руководство проведет Вас через весь процесс создания и развертывания шаблонов политики прав служб управления правами AD RMS в лабораторной среде. В результате выполнения процедур, представленных в этом руководстве, Вы создадите шаблон политики прав AD RMS и установите его на клиентский компьютер, работающий под управлением Windows Vista™ и Microsoft® Office Word 2007. После этого Вы убедитесь в том, что можете создавать на этом компьютере защищенные документы, используя установленный шаблон политики прав AD RMS.

Выполнив все процедуры, представленные в этом руководстве, Вы сможете использовать лабораторную среду AD RMS для того чтобы оценить, каким образом в Вашей организации могут быть созданы и развернуты шаблоны политики прав служб AD RMS Windows Server 2008.

Следуя инструкциям данного руководства, Вы выполните следующие действия:

• Создадите шаблон политики прав AD RMS.
• Произведете развертывание шаблона политики прав AD RMS.
• Проверите работу служб AD RMS после завершения необходимых настроек.

Развертывание служб AD RMS производится с целью защиты информации независимо от того, где она будет использоваться. Как только защита AD RMS добавлена в файл, этот файл будет оставаться защищенным вне зависимости от своего местоположения. По умолчанию защиту может снять только владелец файла. Он также может предоставить другим пользователям права на определенные действия с содержимым файла, такие как просмотр, копирование или печать.

Чего Вы не найдете в этом руководстве

Следующая информация не представлена в этом руководстве:

• Инструкции по настройке и конфигурированию служб AD RMS в рабочей или лабораторной среде. Предполагается, что службы AD RMS уже сконфигурированы для использования в лабораторной среде. Для получения дополнительной информации о конфигурировании служб AD RMS обратитесь к статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN).

• Полная техническая информация о службах AD RMS или о развертывании шаблонов политики прав AD RMS в Вашей организации. В больших организациях развертывание шаблонов AD RMS может осуществляться с помощью таких инструментов, как Systems Management Server (SMS) или групповая политика.

Развертывание служб AD RMS в лабораторной среде

Мы рекомендуем выполнять все процедуры, представленные в этом руководстве, в лабораторной среде. В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ. Прежде чем начать выполнять процедуры, представленные в этом руководстве, Вам необходимо выполнить в лабораторной среде все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В этой статье представлены основные шаги по подготовке базовой инфраструктуры служб AD RMS, включающей в себя кластер AD RMS, службу регистрации AD RMS, а также контроллер домена. Эти шаги должны быть выполнены прежде, чем Вы приступите к работе с настоящим документом. После выполнения всех процедур, представленных в настоящем документе, в Вашем распоряжении окажется функционирующая лабораторная среда, включающая в себя шаблон политики прав AD RMS. Вы сможете проверить работоспособность шаблона AD RMS, установив с его помощью разрешения на документ Microsoft Office Word 2007.

Лабораторная среда, описываемая в этом руководстве, включает в себя четыре компьютера, подключенных к частной сети организации и сконфигурированных в соответствии с приведенной ниже таблицей:

Все компьютеры подключены к частной интрасети через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server. В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC.

На следующем рисунке изображена конфигурация лабораторной среды:

Шаг 1. Создание общей сетевой папки кластера служб AD RMS
Для упрощения администрирования шаблонов AD RMS, Вы можете хранить их централизованно, обеспечивая возможность их копирования на клиентские компьютеры с помощью таких инструментов, как Systems Management Server или групповая политика. В этом руководстве копирование шаблонов AD RMS будет выполняться вручную.

Для правильной работы функции экспорта шаблонов AD RMS учетная запись служб AD RMS должна иметь разрешение на запись в папку, в которой хранятся указанные шаблоны.

Для создания общей папки шаблонов политики прав AD RMS и установки необходимых разрешений для учетной записи службы AD RMS выполните следующую процедуру.

Для создания общей папки шаблонов AD RMS и установки необходимых разрешений выполните следующие действия:

1. Войдите на компьютер ADRMS-SRV под учетной записью CPANDL\Administrator.

2. В меню Start щелкните значок Computer и в открывшемся окне дважды щелкните значок Local Disk (C:).

3. Создайте новую папку с именем ADRMSTemplates. Для этого в меню Organize выберите команду New Folder, введите имя папки ADRMSTemplates и нажмите клавишу ENTER.

4. Правой кнопкой мыши щелкните на имени папки ADRMSTemplates и в контекстном меню выберите пункт Properties.

5. Перейдите на вкладку Sharing и нажмите кнопку Advanced Sharing.

6. Установите флажок Share this Folder и нажмите кнопку Permissions.

7. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.

8. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com) и в столбце Allow списка Permissions for ADRMSSRVC установите флажок Change.

9. Дважды нажмите кнопку OK.

10. Перейдите на вкладку Security и нажмите кнопку Edit.

11. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.

12. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com), в столбце Allow списка Permissions for ADRMSSRVC установите флажок Modify и нажмите кнопку OK.

13. Нажмите кнопку Close.

Шаг 2. Создание шаблона политики прав AD RMS

Как было упомянуто выше, шаблоны AD RMS создаются на кластере служб AD RMS и затем экспортируются в общую папку. Если пользователи будут использовать работающие с AD RMS приложения только тогда, когда они подключены к внутренней сети, то они в любой момент смогут получить доступ к этим шаблонам. В этом случае все клиенты служб AD RMS должны иметь разрешение на чтение из общей папки, в которой хранятся шаблоны политики прав AD RMS.

В качестве альтернативного варианта, шаблоны AD RMS могут быть скопированы из общей папки на клиентские компьютеры. Это позволяет работать с шаблонами даже тогда, когда компьютер пользователя не подключен к сети, например, в случаях использования ноутбуков или других мобильных устройств. В этом руководстве будет рассмотрен именно этот вариант, поскольку он является наиболее распространенным.

Для создания шаблона политики прав AD RMS выполните следующие действия:

1. Откройте консоль администрирования служб Active Directory Rights Management Services. Для этого в меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Rights Management Services.

2. В консоли Active Directory Rights Management Services выберите узел LocalHost.

3. В области Tasks, расположенной в средней панели консоли, щелкните ссылку Manage rights policy templates.

4. Чтобы разрешить экспорт шаблонов политики прав AD RMS, щелкните ссылку Properties в области действий Actions.

5. Установите флажок Enable export, в поле Specify templates file location (UNC) введите \\adrms-srv\ADRMSTemplates и нажмите кнопку OK.

6. В области действий Actions щелкните ссылку Create Distributed Rights Policy Template, чтобы запустить мастер создания распространяемого шаблона политики прав.

7. Нажмите кнопку Add.

8. В раскрывающемся списке Language выберите нужный язык для шаблона политики прав.

9. Введите CPANDL.COM CC в поле Name.

10. Введите CPANDL.COM Company Confidential в поле Description и нажмите кнопку Add.

11. Нажмите кнопку Next.

12. Нажмите кнопку Add, в поле The e-mail address of a user or group введите employees@cpandl.com и нажмите кнопку OK.

13. В списке разрешений установите флажок View, чтобы разрешить группе EMPLOYEES@CPANDL.COM чтение любого документа, созданного при использовании шаблона политики прав AD RMS.

14. Нажмите кнопку Finish.

Шаг 3. Настройка клиента служб AD RMS

Клиент служб AD RMS включен в операционную систему Windows Vista по умолчанию. Предыдущие его версии для других операционных систем семейства Windows можно загрузить из Интернета.

В этом руководстве предполагается, что кластер служб AD RMS уже настроен в лабораторной среде. Для того чтобы шаблоны политики прав AD RMS были доступны с клиентского компьютера, требуется его дополнительная настройка, заключающаяся в копировании шаблонов AD RMS на компьютер и создании записи в реестре, указывающей на их расположение.

Чтобы создать папку для хранения защищенного содержимого, выполните следующие действия:

1. Войдите на компьютер ADRMS-CLNT под учетной записью администратора.

2. В меню Пуск щелкните значок Компьютер.

3. Дважды щелкните значок Локальный диск (C:).

4. Создайте новую папку с именем ADRMSDocs. Для этого в меню Упорядочить выберите команду Новая папка, введите имя папки ADRMSDocs и нажмите клавишу ENTER.

5. Правой кнопкой мыши щелкните на имени папки ADRMSDocs и в контекстном меню выберите пункт Свойства.

6. Перейдите на вкладку Безопасность и нажмите кнопку Изменить.

7. В списке Группы или пользователи выберите учетную запись Пользователи (ADRMS-SRV\Пользователи), в столбце Разрешить списка Разрешения для Пользователи установите флажок Изменение.

8. Дважды нажмите кнопку OK.

Чтобы клиентский компьютер смог обнаружить шаблоны AD RMS, Вы должны скопировать их на локальный диск и добавить запись в системный реестр. Для этого необходимо выполнить следующую процедуру, после чего можно будет создавать защищенное содержимое.

Для обеспечения доступа пользователей компьютера ADRMS-CLNT к шаблонам AD RMS выполните следующие действия:

1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (nhollida@cpandl.com).

2. Откройте меню Пуск, в поле быстрого поиска введите команду regedit.exe и щелкните значок regedit в меню Программы.

3. Перейдите в следующий раздел реестра:

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

Примечание
Если раздел DRM еще не был создан, Вы должны создать его вручную.

4. Выберите раздел DRM, откройте меню Правка, затем меню Создать, выберите параметр Расширяемый строковый параметр и введите имя параметра AdminTemplatePath.

5. Дважды щелкните на имени параметра AdminTemplatePath и в поле Значение введите %UserProfile%\AppData\Microsoft\DRM\Templates, где в качестве значения переменной %UserProfile% нужно указать папку «C:\Пользователи\». Нажмите кнопку OK.

6. Закройте редактор реестра.

7. Убедитесь, что папка «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates\» существует. В противном случае создайте ее.

8. Откройте меню Пуск, в поле быстрого поиска введите \\ADRMS-SRV\ADRMSTemplates и нажмите клавишу ENTER.

9. Скопируйте экспортированные шаблоны политики прав AD RMS из папки «\\ADRMS-SRV\ADRMSTemplates» в папку «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates».

Примечание
Если Вы не планируете использовать шаблоны политики прав AD RMS при отключении от сети, то их не обязательно копировать на клиентский компьютер.

Шаг 4. Проверка работы служб AD RMS

Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и, используя шаблон политики прав AD RMS, созданный ранее в этом руководстве, наложите ограничения на использования документа Microsoft Word 2007 таким образом, чтобы пользователи группы Employees компании CP&L могли просматривать документ, но не могли редактировать, распечатывать или копировать его. Все другие пользователи не будут иметь вообще никаких разрешений на работу с этим документом. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, являющегося членом группы Employees компании CP&L, Вы убедитесь, что данный пользователь может просматривать защищенный документ, но не может распечатывать его.

Для наложения ограничений на документ Microsoft Word выполните следующие действия:

1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (cpandl\nhollida).

2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.

3. Напечатайте в новом документе фразу «Пользователи группы CP&L Employees не могут распечатывать этот документ», нажмите кнопку Office, откройте меню Подготовить, затем меню Ограничить разрешения и выберите пункт с названием шаблона политики прав CPANDL.COM CC. В диалоговом окне Выбор пользователя выберите запись nhollida@cpandl.com и нажмите кнопку OK.

4. Нажмите кнопку Office, откройте меню Сохранить как и сохраните файл под именем \\ADRMS-DB\public\ADRMS-TST.docx.

5. Завершите сеанс работы пользователя Nicole Holliday.

Теперь войдите на компьютер под учетной записью пользователя Stuart Railson и откройте файл ADRMS-TST.docx.

Для просмотра защищенного документа выполните следующие действия:

1. Войдите на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson (srailson@cpandl.com).

2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.

3. Нажмите кнопку Office, выберите меню Открыть, перейдите в папку «\\ADRMS-DB\public» и дважды щелкните файл ADRMS-TST.docx.

Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях».

4. Нажмите кнопку OK.

Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…»

5. Когда документ откроется, нажмите кнопку Office. Обратите внимание, что меню Печать недоступно.

6. В строке сообщений нажмите кнопку Просмотреть разрешения. В этой строке должно отображаться, что к документу был применен шаблон политики прав AD RMS.

7. Нажмите кнопку OK, чтобы закрыть диалоговое окно Мои разрешения. Закройте программу Microsoft Word.

Поздравляем! Вы успешно настроили и проверили работу шаблонов политики прав AD RMS, используя простой сценарий – применение шаблона политики прав к документу Microsoft Word 2007. Вы можете использовать существующую лабораторную среду для изучения остальных возможностей служб AD RMS, производя дополнительные настройки и выполняя необходимые Вам действия.

Автор: Брайан Лич (Brian Lich)
Редактор: Кэролин Эллер (Carolyn Eller)
Перевод: Артем Жауров aka Borodunter
Иcточник: (переведено с англ.) Microsoft Technet
Источник перевода: oszone.ru

Оцените статью: Голосов

Copyright © 2006-2022 Winblog.ru All rights reserved.
Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
Сайт для посетителей возрастом 18+

Защита данных с помощью Active Directory Rights Management Services

В Trusted Policies содержатся Trusted User Domains, в которых находятся списки пользователей из других доменов, которым доверяет данный сервер RMS. Также в этом разделе присутствует Trusted Publishing Domains, в котором приводятся списки доменов в других лесах, которым доверяет данный RMS. Для того чтобы добавить новые данные в каждый из этих разделов, можно воспользоваться средствами экспорта.

Раздел Rights Policy Templates содержит шаблоны, которые определяют Права пользователей для работы с теми или иными документами (Word, Excel). Здесь также можно указать, какое время должны действовать эти правила.

Следующий раздел – Rights Account Certificate Policies – определяет правила для сертификатов. В частности, здесь определяется срок, в течение которого сертификат может использоваться.

Exclusion Policies представляет собой политики для исключений. В частности, здесь можно определить исключения для приложений, к которым применяется RMS, также можно исключить определенных пользователей и версии операционной системы.

Политики Security Policies определяют, какие действия могут производить пользователи. Например, кто является суперпользователем, кто может изменять свой пароль на документы и т.д.

Раздел Reports предназначен для настройки отчетов, в которых содержится информация об учетных записях, использованных сертификатах, а также об использовании федеративных отношений.

Клиентская часть RMS

Теперь поговорим о том, что должно быть установлено на клиентской рабочей станции для функционирования RMS. Клиент службы AD RMS входит в стандартную поставку ОС Windows Vista. Предыдущие версии этого клиента, предназначенные для других операционных систем семейства Windows, можно загрузить из Интернета. После этого для обеспечения доступности шаблонов политик прав необходимо провести дополнительную настройку рабочей станции клиента службы AD RMS. Для этого необходимо скопировать шаблоны политик прав службы AD RMS на клиентский компьютер и создать параметр реестра, указывающий на расположение этих шаблонов.

Клиент службы AD RMS сможет находить шаблоны политик прав службы AD RMS только после создания параметра реестра и локальной копии шаблонов. Для решения этих задач перед организацией защиты документа необходимо выполнить следующие изменения в реестре. Чтобы автоматизировать процесс, можно подготовить reg-файл для внесения изменений в следующий раздел реестра. В ветке HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM необходимо добавить параметр AdminTemplatePath. В этом параметре нужно указать значение %UserProfile%\AppData\Microsoft\DRM\Templates, где %UserProfile% является псевдонимом пути C:\Users\< имя _ пользователя >. После этого убедитесь, что все папки, указанные в данном пути, существуют. Затем с сервера \\имя_сервера_RMS\ADRMSTemplates необходимо скопировать в указанную выше папку созданные шаблоны политик.

В качестве примера создадим тестовый шаблон и проверим его работу на тестовой рабочей станции.

В консоли администрирования Active Directory Rights Management Services выберите запись LocalHost. В секции Tasks (задачи) области результатов выберите пункт Manage rights policy templates (управление шаблонами политики прав). Для того чтобы разрешить экспорт шаблонов политик прав службы AD RMS, нажмите кнопку Properties в области Actions (действия). После этого необходимо установить флажок Enable export (разрешить экспорт), введите путь \\имя_сервера_RMS\ADRMSTemplates в поле Specify templates file location (расположение файла шаблонов (UNC)), после чего нажмите кнопку OK.

Чтобы предоставить группе EMPLOYEES@DOMAIN.COM доступ на чтение ко всем документам, созданным с помощью данного шаблона политики прав службы AD RMS, установите флажок View. Нажмите кнопку Finish.

После этого нужно осуществить доступ на рабочую станцию под учетной записью пользователя. Далее запустить Microsoft Word, ввести в документе какой-либо текст. Далее нажмите кнопку Microsoft Office, выберите Finish, затем Restrict Permission (ограничить разрешение) и, наконец, Restrict Permission as (ограничить разрешение как). Указав адрес имя_пользователя@domain.com в диалоговом окне Select User (выбор пользователя), нажмите кнопку OK. После открытия диалогового окна Permission установите флажок Restrict permission to this document (ограничить разрешения на работу с документом), выберите пункт Read и введите имя пользователя или группы, которой предполагается предоставить выбранный вид разрешения. В нашем случае следует ввести адрес имя_пользователя@domain.com, а затем дважды нажать кнопку OK. После этого сохраните созданный файл.

Проверим защищенность нашего документа. Для этого необходимо зайти на ту же рабочую станцию под другой учетной записью и попытаться открыть созданный ранее документ. На экране появится следующее сообщение : «Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.domain.com/_wmcs/licensing to verify your credentials and download your permission» (« Разрешение на работу с данным документом ограничено . Microsoft Office необходимо подключиться к https://adrms-srv.domain.com:443/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях»). Затем будет произведена проверка учетных данных. После этого документ откроется, печать будет недоступна. Если открыть View Permissions, то можно увидеть, что к данному документу применен шаблон политики RMS.

В этой статье я постарался подробно описать Active Directory Rights Management Services, основные функции и компоненты данной службы. Стоит отметить, с помощью RMS можно строить различные решения, позволяющие, к примеру, осуществить интеграцию с MS Exchange для контроля за распространением сообщений электронной почты. Также RMS имеет SDK, позволяющий дорабатывать данный продукт под свои нужды.

К сожалению, пока RMS по различным причинам не получил широкого распространения. Но стоит отметить, что проблема утечки информации и ее несанкционированного распространения инсайдерами становится все острее, и поэтому в будущем технологии, аналогичные RMS, получат более широкое распространение.

1. Защита информации с помощью служб RMS и IRM – http://4win.ru/2006/11/24/zashhita_informacii_v_microsoft_office_2003_s_pomoshhju_sluzhb_rms_i_irm.html.
2. Р . Моримото , Р . Ноэл . Microsoft Windows Server 2008. Полное руководство.
3. Описание службы RMS – http://www.osp.ru/win2000/2006/ 03/1156376/_p1.html.
4. AD RMS Step-by-Step Guide – http://technet.microsoft.com/en-us/library/cc753531.aspx.
5. Windows Server 2008. Пошаговое руководство по созданию и развертыванию шаблонов службы управления правами Active Directory.