(0) exportieren Drucken
Alle erweitern

Active Directory-Rechteverwaltungsdienste-Rolle

Letzte Aktualisierung: Januar 2008

Betrifft: Windows Server 2008

Für Windows Server® 2008 enthält Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) mehrere neue Features, die in den Microsoft® Windows®-Rechteverwaltungsdiensten (Rights Management Services, RMS) nicht verfügbar waren. Diese neuen Features wurden zum Vereinfachen des Verwaltungsaufwands von AD RMS und Erweitern von dessen Verwendung außerhalb Ihres Unternehmens entworfen. Zu diesen neuen Features gehören:

  • Bereitstellung von AD RMS in Windows Server 2008 als Serverrolle

  • Verwaltung über die MMC (Microsoft Management Console)

  • Integration in die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS)

  • Selbstregistrierung von AD RMS-Servern

  • Möglichkeit, die Verantwortlichkeit mithilfe neuer AD RMS-Verwaltungsrollen zu delegieren

noteHinweis
Dieses Thema ist auf die speziell in AD RMS verfügbaren Features fokussiert, die mit Windows Server 2008 veröffentlicht werden. Frühere Versionen der RMS sind als separater Download verfügbar. Weitere Informationen zu Features, die in den RMS verfügbar waren, finden Sie auf der Seite zu den Windows Server 2003-Rechteverwaltungsdiensten (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637, möglicherweise in englischer Sprache).

Was macht AD RMS?

AD RMS ist eine format- und anwendungsunabhängige Technologie und stellt Dienste zur Verfügung, die das Erstellen von Lösungen zum Schutz von Informationen ermöglichen. Sie funktioniert mit jeder AD RMS-fähigen Anwendung und ermöglicht dauerhafte Verwendungsrichtlinien für sensible Informationen. Zu den Inhalten, die durch die Verwendung von AD RMS geschützt werden können, gehören Intranetwebsites, E-Mails und Dokumente. AD RMS enthält Kernfunktionen, mit denen Entwickler dem Funktionsumfang vorhandener Anwendungen Informationsschutz hinzufügen können.

In einem AD RMS-System, das Server- und Clientkomponenten enthält, werden folgende Prozesse ausgeführt:

  • Lizenzieren von Informationen, die durch Rechte geschützt sind Ein AD RMS-System stellt Rechtekontozertifikate aus, die vertrauenswürdige Entitäten (z. B. Benutzer, Gruppen und Dienste) identifizieren, die durch Rechte geschützte Inhalte veröffentlichen können. Sobald die Vertrauensstellung hergestellt wurde, können Benutzer für zu schützende Inhalte Nutzungsrechte und Bedingungen zuweisen. Mit diesen Nutzungsrechten wird angegeben, wer auf die durch Rechte geschützten Inhalte zugreifen kann und wie diese Personen die Inhalte verwenden dürfen. Wenn der Inhalt geschützt ist, wird für den Inhalt eine Veröffentlichungslizenz erstellt. Diese Lizenz bindet die speziellen Nutzungsrechte an einen bestimmten Teil des Inhalts, sodass der Inhalt verteilt werden kann. So können Benutzer beispielsweise durch Rechte geschützte Dokumente an andere Benutzer innerhalb oder außerhalb ihres Unternehmens senden, ohne dass der Inhalt dadurch seinen Rechteschutz verliert.

  • Erhalten von Lizenzen zum Entschlüsseln von durch Rechte geschützten Inhalten und Anwenden von Nutzungsrichtlinien Benutzer, denen ein Rechtekontozertifikat gewährt wurde, können auf durch Rechte geschützte Inhalte zugreifen. Dazu verwenden sie eine AD RMS-fähige Clientanwendung, mit der Benutzer durch Rechte geschützte Inhalte anzeigen und verwenden können. Wenn Benutzer versuchen, auf durch Rechte geschützte Inhalte zuzugreifen, werden Anforderungen an AD RMS gesendet, damit der Zugriff oder die Verwendung dieses Inhalts gewährt wird. Wenn Benutzer versuchen, durch Rechte geschützten Inhalt zu verwenden, stellt der AD RMS-Lizenzierungsdienst im AD RMS-Cluster eine Lizenz zur einmaligen Nutzung aus, die die Nutzungsrechte und Bedingungen liest, interpretiert und anwendet, die in den Veröffentlichungslizenzen festgelegt sind. Die Nutzungsrechte und -bedingungen sind dauerhaft und werden automatisch überall dort angewendet, wo sich der Inhalt befindet.

  • Erstellen von durch Rechte geschützten Dateien und Vorlagen Benutzer, die in einem AD RMS-System als vertrauenswürdige Entitäten definiert sind, können Dateien mit optimiertem Schutz erstellen und verwalten. Dazu verwenden sie vertraute Autorentools in einer AD RMS-fähigen Anwendung, die Features der AD RMS-Technologie umfasst. Außerdem können AD RMS-fähige Anwendungen zentral definierte und offiziell autorisierte Vorlagen für Nutzungsrechte verwenden, damit Benutzer effizient vordefinierte Nutzungsrichtlinien anwenden können.

Wer ist an dieser Serverrolle interessiert?

AD RMS ist dazu ausgelegt, Inhalte sicherer zu machen, unabhängig davon, wohin die durch Rechte geschützten Inhalte verschoben werden.

Sie sollten diesen Abschnitt sowie zusätzliche Dokumentation zu AD RMS lesen, wenn Sie zu einer der folgenden Gruppen gehören:

  • Mitarbeiter der IT-Planung und -Analyse, die Produkte zur Verwaltung der Unternehmensrechte prüfen

  • IT-Experten, die für die Unterstützung einer vorhandenen RMS-Infrastruktur verantwortlich sind

  • IT-Sicherheitsarchitekten, die am Bereitstellen einer Technologie zum Schützen von Informationen interessiert sind, mit der die Daten während der Speicherung und beim Verteilen geschützt werden

Gibt es spezielle Überlegungen?

Mit AD RMS wird mithilfe der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) überprüft, ob ein Benutzer, der versucht, durch Rechte geschützten Inhalt zu verwenden, dazu autorisiert ist. Beim das Registrieren des AD RMS-Dienstverbindungspunkts (Service Connection Point, SCP) während der Installation muss das zum Installieren verwendete Benutzerkonto Schreibzugriff auf den Container Dienste in AD DS haben.

Abschließend werden alle Konfigurations- und Protokollierungsinformationen in der AD RMS-Protokollierungsdatenbank gespeichert. In einer Testumgebung können Sie Windows Internal Database verwenden. In einer Produktionsumgebung empfehlen wir jedoch die Verwendung eines separaten Datenbankservers.

Welche neue Funktionalität stellt diese Serverrolle zur Verfügung?

AD RMS umfasst mehrere Verbesserungen gegenüber früheren Versionen von RMS. Beispiele für diese Verbesserungen:

  • Verbesserte Installation und Verwaltung: AD RMS ist im Umfang von Windows Server 2008 enthalten und wird als Serverrolle installiert. Außerdem erfolgt die AD RMS-Verwaltung über eine MMC – im Gegensatz zur Verwaltung über die Website in früheren Versionen.

  • Selbstregistrierung des AD RMS-Clusters: Der AD RMS-Cluster kann registriert werden, ohne dass dafür eine Verbindung mit dem Microsoft-Registrierungsdienst hergestellt werden muss. Durch die Verwendung eines Serverselbstregistrierungszertifikats kann die Registrierung vollständig auf dem lokalen Computer erfolgen.

  • Integration in AD FS: AD RMS und AD FS wurden integriert, damit Unternehmen vorhandene Verbundbeziehungen für die Zusammenarbeit mit externen Partnern nutzen können.

  • Neue AD RMS-Verwaltungsrollen: Die Möglichkeit, AD RMS-Aufgaben an verschiedene Administratoren zu delegieren, wird in allen Unternehmensumgebungen benötigt und ist in dieser Version von AD RMS enthalten. Es wurden drei Verwaltungsrollen erstellt: AD RMS-Organisationsadministratoren, AD RMS-Vorlagenadministratoren und AD RMS-Prüfer.

Verbesserte Installation und Verwaltung

AD RMS in Windows Server 2008 bringt viele Verbesserungen bei der Installation und Verwaltung. In früheren Versionen von RMS musste ein separates Installationspaket heruntergeladen und installiert werden. In dieser Version wurde AD RMS jedoch in das Betriebssystem integriert und wird über den Server-Manager als Serverrolle installiert. Die Konfiguration und Bereitstellung wird durch die Installation der Serverrolle erreicht. Außerdem listet der Server-Manager während der Installation der AD RMS-Serverrolle automatisch alle Dienste auf und installiert alle Dienste, von denen AD RMS abhängt, z. B. Message Queuing und Web Server (IIS). Wenn Sie während der Installation keine Remotedatenbank als AD RMS-Konfigurations- und -Protokollierungsdatenbank angeben, wird bei der AD RMS-Serverrolleninstallation automatisch Windows Internal Database für die Verwendung mit AD RMS installiert und konfiguriert.

In früheren Versionen von RMS erfolgte die Verwaltung über eine Weboberfläche. In AD RMS wurde die Verwaltungsoberfläche in eine MMC-Snap-In-Konsole integriert. Die AD RMS-Konsole stellte alle Funktionen bereit, die in früheren Versionen von RMS verfügbar waren – jedoch über eine viel einfacher zu bedienende Oberfläche.

Warum ist diese Funktion wichtig?

Durch das Anbieten von AD RMS als Serverrolle, die in Windows Server 2008 integriert ist, ist die Installation einfacher, da AD RMS vor dem Installieren nicht separat heruntergeladen werden muss.

Durch die Verwendung der AD RMS-Konsole für die Verwaltung anstelle der Benutzeroberfläche des Browsers sind mehr Optionen verfügbar, mit der die Benutzeroberfläche verbessert wird. Die AD RMS-Konsole setzt Elemente der Benutzeroberfläche ein, die innerhalb von Windows Server 2008 konsistent sind, wobei Letzteres für leichtere Bedienung und Navigation entworfen wurde. Durch die Verwendung der AD RMS-Verwaltungsrollen zeigt die AD RMS-Konsole nur die Teile der Konsole an, auf die der Benutzer zugreifen kann. Wenn ein Benutzer die AD RMS-Vorlagenadministratoren-Verwaltungsrolle verwendet, kann er beispielsweise nur auf die Aufgaben zugreifen, die für die AD RMS-Vorlagen benötigt werden. Alle anderen Verwaltungsaufgaben sind in der AD RMS-Konsole nicht verfügbar.

Selbstregistrierung des AD RMS-Servers

Bei der Serverselbstregistrierung in AD RMS wird ein Server-Lizenzgeberzertifikat (Server Licensor Certificate, SLC) erstellt und signiert, das dem AD RMS-Server das Recht gewährt, Zertifikate und Lizenzen auszustellen. In früheren Versionen von RMS musste das SLC über eine Internetverbindung vom Microsoft-Registrierungsdienst signiert werden. Deshalb musste entweder der RMS-Server mit dem Internet verbunden sein, um die Registrierung beim Microsoft-Registrierungsdienst online auszuführen, oder der Server musste eine Verbindung zu einem anderen Computer mit Internetzugriff herstellen können, der eine Offlineregistrierung des Servers ausführen konnte.

In AD RMS unter Windows Server 2008 muss der AD RMS-Server den Microsoft-Registrierungsdienst nicht mehr direkt kontaktieren. Stattdessen ist in Windows Server 2008 ein Serverselbstregistrierungszertifikat enthalten, das das SLC des AD RMS-Servers signiert.

Warum ist diese Funktion wichtig?

Dadurch, dass das SLC vom Microsoft-Registrierungsdienst signiert werden musste, entstand eine Abhängigkeit, die viele Kunden nicht in ihrer Umgebung haben wollten. Der Microsoft-Registrierungsdienst ist zum Signieren des SLC nicht mehr erforderlich.

Was ist jetzt anders?

Statt der Anforderung, dass der Microsoft-Registrierungsdienst das SLC des AD RMS-Servers signieren muss, kann das in Windows Server 2008 enthaltene Serverselbstregistrierungszertifikat das SLC lokal signieren. Dank des Serverselbstregistrierungszertifikats kann AD RMS in einem Netzwerk verwendet werden, das vollständig vom Internet isoliert ist.

Welche Vorbereitungen sind für diese Änderung nötig?

Wenn Sie von RMS mit Service Pack 1 (SP1) oder höher aktualisieren, muss der Stammcluster vor dem reinen Lizenzierungscluster aktualisiert werden. Dieser Schritt ist erforderlich, damit der reine Lizenzierungscluster das neue selbstregistrierte SLC des Stammclusters erhält.

Integration in AD FS

Unternehmen haben zunehmend den Wunsch, mit Partnern außerhalb ihrer eigenen Unternehmensgrenzen zusammenzuarbeiten, was durch einen Verbund umgesetzt werden kann. Die Unterstützung des Verbunds mithilfe von AD RMS bietet Unternehmen die Möglichkeit, ihre bestehenden Verbundbeziehungen für die Zusammenarbeit mit externen Entitäten zu nutzen. Beispiel: Eine Organisation, die AD RMS einsetzt, kann mit AD FS einen Verbund mit einer externen Entität aufbauen und diese Beziehung dazu verwenden, durch Rechte geschützte Inhalte innerhalb der beiden Unternehmen auszutauschen, ohne dass an beiden Orten AD RMS bereitgestellt werden muss.

Warum ist diese Funktion wichtig?

In früheren Versionen von RMS waren die Möglichkeiten der externen Zusammenarbeit in Bezug auf durch Rechte geschützte Inhalte auf Windows Live™ ID eingeschränkt. Durch das Integrieren von AD FS in AD RMS können Entitäten einen Verbund zwischen Unternehmen bilden und innerhalb dieses Verbunds durch Rechte geschützte Inhalte austauschen.

Welche Vorbereitungen sind für diese Änderung nötig?

Wenn Sie an der Verwendung von AD FS mit AD RMS interessiert sind, müssen Sie vor dem Installieren von AD RMS eine Vertrauensstellung zwischen Ihrem Unternehmen und den externen Partnern einrichten, mit denen Sie zusammenarbeiten möchten. Weiterhin müssen Sie den unter Windows Vista® enthaltenen AD RMS-Client oder RMS Client mit Service Pack 2 (SP2) verwenden, um die Vorteile der AD FS-Integration in AD RMS nutzen zu können. RMS-Clients von früheren Versionen als RMS Client mit SP2 unterstützen die AD FS-Zusammenarbeit nicht.

Neue AD RMS-Verwaltungsrollen

Um die Steuerung Ihrer AD RMS-Umgebung besser delegieren zu können, wurden neue Verwaltungsrollen erstellt. Diese Verwaltungsrollen sind lokale Sicherheitsgruppen, die bei der Installation der AD RMS-Rolle erstellt werden. Jeder dieser Verwaltungsrollen sind unterschiedliche Ebenen des Zugriffs auf AD RMS zugeordnet. Die neuen Rollen lauten: AD RMS-Dienstgruppe, AD RMS-Organisationsadministratoren, AD RMS-Vorlagenadministratoren und AD RMS-Prüfer.

Die AD RMS-Dienstgruppe enthält das AD RMS-Dienstkonto. Wenn die AD RMS-Rolle hinzugefügt wird, wird dieser Verwaltungsrolle automatisch das während des Setups konfigurierte Dienstkonto hinzugefügt.

Die AD RMS-Organisationsadministratoren-Rolle ermöglicht den Mitgliedern dieser Gruppe die Verwaltung aller AD RMS-Richtlinien und -Einstellungen. Während der Bereitstellung von AD RMS werden der AD RMS-Organisationsadministratoren-Rolle das Benutzerkonto, das die AD RMS-Serverrolle installiert, und die lokale Gruppe Administratoren hinzugefügt. Es empfiehlt sich, die Mitgliedschaft dieser Gruppe auf die Benutzerkonten einzuschränken, die vollständige AD RMS-Verwaltungsfunktionalität benötigen.

Die AD RMS-Vorlagenadministratoren-Rolle ermöglicht den Mitgliedern dieser Gruppe die Verwaltung von Vorlagen für Benutzerrechterichtlinien. AD RMS-Vorlagenadministratoren können insbesondere Clusterinformationen lesen, neue Vorlagen für Benutzerrechterichtlinien erstellen sowie vorhandene Vorlagen für Benutzerrechterichtlinien auflisten, ändern und exportieren.

Die AD RMS-Prüfer-Rolle ermöglicht den Mitgliedern dieser Gruppe die Verwaltung von Protokollen und Berichten. Diese Rolle hat lediglich schreibgeschützten Zugriff und kann Clusterinformationen und Protokollierungseinstellungen lesen sowie Berichte ausführen, die auf dem AD RMS-Cluster verfügbar sind.

Warum ist diese Funktion wichtig?

Dank der neuen AD RMS-Verwaltungsrollen können Sie AD RMS-Aufgaben delegieren, ohne vollständige Verwaltungsfunktionalität über den gesamten AD RMS-Cluster zu gewähren.

Welche Vorbereitungen sind für diese Änderung nötig?

Kunden, die AD RMS in ihrer Organisation bereitstellen möchten, müssen keine Aktionen ausführen, um sich auf diese Änderung vorzubereiten. Optional empfiehlt es sich, für jede der Verwaltungsrollen Active Directory-Sicherheitsgruppen zu erstellen und diese den entsprechenden lokalen Sicherheitsgruppen hinzuzufügen. Auf diese Weise können Sie Ihre AD RMS-Bereitstellung über mehrere Server hinweg skalieren, ohne dass Sie jedem AD RMS-Server bestimmte Benutzerkonten hinzufügen müssen.

Welche vorhandenen Funktionen haben sich geändert?

Frühere Versionen von AD RMS wurden im Microsoft Download Center als separate Installation zur Verfügung gestellt. Weitere technische Informationen zu früheren Versionen von RMS finden Sie unter http://go.microsoft.com/fwlink/?LinkId=68637 (möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft