Одной из самых важных проблем, с которыми может столкнуться организация, является защита уязвимой информации, такой как документы, электронные таблицы, сообщения электронных почты. Active Directory Rights Management Services (AD RMS) являются мощным инструментом защиты информации от Microsoft, которая работает с поддерживающими её приложениями, такими как Exchange Server, чтобы помочь защищать уязвимые данные внедряя шаблон политики прав.
В этой статье мы рассмотрим шаги, необходимые для простой установки AD RMS, затем рассмотрим, как интегрировать AD RMS с Microsoft Exchange Server 2010. И в качестве завершения мы также рассмотрим создание шаблонов политик через консоль управления AD RMS и PowerShell.
Если Вам понравится статья и вы захотите узнать о более сложном управлении правами, то мы рассмотрим возможности IRM (Information Rights Management) в Exchange Server 2010 в будущей статье.
Установка AD RMS:
Установка AD RMS должна быть выполнена на сервере R2 Windows Server 2008 R2. Перед установкой вам необходимо удостовериться, что выполнены следующие требования:
- Машина, на которой вы будет устанавливать роль AD RMS является рядовым сервером в домене
- Вы создали доменную учетную запись пользователя, которая будет использоваться в качестве служебного аккаунта AD RMS
- Вы создали вторую доменную учетную запись пользователя, которая будет использоваться для установки AD RMS. Добавьте этого пользователя к локальной группе администраторов и в группу AD DS Enterprise Admin
- Ваши доменные контроллеры должны быть как минимум под управлением Windows Server 2000 с SP3
После этого переходим непосредственно к установке:
Откройте Server Manager и нажмите Add Roles, затем отметьте чекбокс Active Directory Rights Management Services и нажмите Next. Нажмите Add Required Role Services button как показано ниже.
Убедитесь что на странице ‘Select Server Roles’ отмечена роль Active Directory Rights Management Services и нажмите Next.
Поскольку это – наша первая служба AD RMS в лесу AD, нам также необходимо создать новый кластер AD RMS:
Мы можем разделить два типа кластера:
- Корневой кластер, который обрабатывает все сертификаты и лицензирование запросов. Первый AD RMS в лесу AD всегда становится корневым кластером.
- Кластеры только для лицензирования, которые обрабатывают лицензирование запросов.
Затем выберите сервер баз данных и нажмите Validate для проверки доступности.
Даже при том, что у нас есть возможность использовать Windows внутренняя база данных Windows рекомендуется вместо этого использовать отдельный сервер, чтобы разместить базу данных AD RMS. Основная причина для этого заключается в том, что внутренняя база данных не поддерживает удаленные соединения, и следовательно препятствует тому, чтобы Вы добавили второй сервер к кластеру AD RMS. Однако данная внутренняя база данных могут быть использована в лабораторной среде. Если Вы выбираете использовать сервер базы данных, удостоверьтесь, что версия SQL – 2005 или позже.
Затем, на странице Учетной записи Службы (Service Account), выберите учетную запись AD RMS:
Помните, что учетная запись службы AD RMS не может быть той же самой учетной записью как доменная учетная запись, используемая для установки AD RMS. Затем, выбирая хранилище ключей кластера (Cluster Key Storage), выберите Use AD RMS centrally managed key storage и введите пароль ключа кластера.
На странице Cluster Web Site уже выбран веб-сайт по умолчанию, этого вполне достаточно для первоначальной настройки, поэтому идем дальше и нажимаем Next. На странице Cluster Address выберите использование SSL и укажите FQDN, затем щелкните по кнопке Validate для проверки и предварительного просмотра URL.
На странице Server Authentication Certificate, щелкните по Choose an existing certificate for SSL encryptionи и нажмите Import, чтобы импортировать необходимый сертификат. Вы можете выбрать использование самоподписанный сертификат, но это не рекомендуется делать в производственной среде.
В следующем шаге, сохраните имя по умолчанию для Server Licensor Certificate и щелкните Next, перейдя к последнему шагу конфигурирования кластера AD RMS. Отметьте опцию Register the AD RMS service connection point now.
Далее вы перейдете к службам IIS, оставьте все значения по умолчанию и нажмите Next, после чего вы попадате на страницу Confirmation. Просмотрите все данные, убедитесь что все верно и нажмите Install. На странице результатов, удостоверьтесь, что установка успешно завершена:
После этого выполните второе предупреждение и перелогиньтесь в системе.
На этом установка завершена, в следующей части мы рассмотрим интеграцию AD RMS с Exchange Server 2010.
Полезные ссылки:
Рекомендую для чтения отличный автомобильный блог – много полезной информации об автомобилях, автоновостях и прочее.