(0) exportieren Drucken
Alle erweitern

Funktionsweise von AD RMS

Veröffentlicht: August 2012

Letzte Aktualisierung: August 2012

Betrifft: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Vista

Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) umfasst alle Server- und Clienttechnologien, die erforderlich sind, um den Schutz der Informationen in einer Organisation durch die Verwendung der Rechteverwaltung zu unterstützen.

Wenn Sie eine AD RMS-Infrastruktur nutzen, können Sie die Informationen in Ihrer Organisation mithilfe der folgenden Client- und Serverkomponenten zum Veröffentlichen und Nutzen von durch Rechte geschützten Inhalten schützen.

  • AD RMS-Clients – Diese fordern Lizenzen an und erzwingen den zugewiesenen Rechteschutz für Dateien und Nachrichten auf Dokumentenebene.

  • AD RMS-Server – Diese verwalten Dienste zur Zertifizierung, Lizenzierung und Veröffentlichung von Konten, die Active Directory verwenden. Des Weiteren unterstützen sie die Clients beim Suchen dieser Dienste.

noteHinweis
AD RMS ist der Name des Features, das ursprünglich als Rights Management Services (RMS) 1.0 bezeichnete eigenständige Version eingeführt wurde. Es wurde von Microsoft erstmals 2005 für die Windows Server 2003-Serverplattform veröffentlicht.

Beim Veröffentlichen von Inhalten werden von AD RMS-Clients neue Lizenzen zum Schutz von Inhalten angefordert und abgerufen. Dies erfolgt gemäß den Rechten und Bedingungen für die Verwendung, die Sie als Herausgeber für die Inhalte, die Sie schützen möchten, zulassen.

Wenn bei der Erstellung eines Dokuments der Rechteschutz ausgewählt wird, wird von AD RMS-Client ein lizenzgebendes Clientzertifikat (Client Licensor Certificate CLC) abgerufen, mit dem die Inhalte geschützt werden können. Der Client verwendet dieses CLC, um das Dokument zu verschlüsseln und eine Veröffentlichungslizenz (Publishing License, PL) zu erstellen und zu signieren. Danach wird eine Kopie dieser PL an das verschlüsselte Dokument gebunden. Dadurch wird der Inhalt bei der Freigabe für andere Personen innerhalb oder sogar außerhalb Ihrer Organisation besser gegen Missbrauch geschützt.

Wenn eine andere Person den durch Rechte geschützten Inhalt erhält, muss sie zuerst über eine rechtlich geschützte Anwendung (z. B. Microsoft Office) eine Endbenutzerlizenz für den Inhalt anfordern und abrufen, bevor sie auf diesen zugreifen und ihn verwenden kann. Damit die Endbenutzerlizenz abgerufen werden kann, muss vom AD RMS-Client zuerst festgestellt werden, ob der Empfänger des Inhalts die Richtlinien in der Veröffentlichungslizenz erfüllt, die zum Schutz des Inhalts verwendet wurde. Wird vom AD RMS-Client festgestellt, dass der Benutzer zum Zugriff auf den Inhalt berechtigt ist, stellt der AD RMS-Client sicher, dass sich der Benutzer an die in der Endbenutzerlizenz angegebenen Bedingungen hält, durch die möglicherweise bestimmte Aktionen eingeschränkt werden. Somit wird sichergestellt, dass Dokumente im Sinne der Verfasser und Herausgeber geschützt werden und von den Empfängern nur gemäß den zugewiesenen Benutzerrechterichtlinien verwendet werden.

AD RMS-Server werden als eine Gruppe von Webdienstkomponenten implementiert, die unter Internetinformationsdienste (Internet Information Services, IIS) ausgeführt werden und in Verbindung mit Microsoft SQL Server und Active Directory-Domänendienste (AD DS) funktionieren.

Die verschiedenen Komponenten, aus denen ein AD RMS-Server besteht, sind in der folgenden Tabelle aufgeführt.

 

Serverkomponente Beschreibung

Verwaltungswebdienst

Dieser Webdienst, der für die Verwaltung von AD RMS über die AD RMS-Verwaltungskonosole oder Windows PowerShell-Befehle für AD RMS verwendet wird, wird auf dem AD RMS-Servercomputer gehostet.

Kontozertifizierung

Von AD RMS-Servern werden Rechtekontozertifikate (Rights Account Certificates, RACs) erstellt, die Benutzer bestimmten Computern zuordnen.

Lizenzierung

Von AD RMS-Servern werden Endbenutzerlizenzen ausgestellt. Eine Endbenutzerlizenz ermöglicht clientfähigen AD RMS-Anwendungen den Zugriff auf geschützte Inhalte gemäß den vom Herausgeber des Inhalts festgelegten Einschränkungen für Benutzer.

Veröffentlichung

Von AD RMS-Servern werden auch lizenzgebende Clientzertifikate erstellt, die es Herausgebern von Inhalten ermöglichen, die Richtlinien zu definieren, die in einer Endbenutzerlizenz aufgelistet werden können.

Vorabzertifizierung

Ermöglicht es einem Server, für einen Benutzer ein Rechtekontozertifikat anzufordern, damit Inhalte von Exchange für Outlook-Benutzer vorab lizenziert werden können.

Dienstlocator

Stellt die URL der Dienste zur Zertifizierung, Lizenzierung und Veröffentlichung von Konten zur Verfügung, damit diese von AD RMS-Clients gefunden werden können.

In einem AD RMS-Cluster gehören alle AD RMS-Server einem von zwei Typen an.

  • Stammzertifizierungsserver: Diese Rolle wird vom ersten AD RMS-Server in einer Active Directory-Gesamtstruktur übernommen. In jeder Active Directory-Gesamtstruktur kann nur ein Stammzertifizierungsserver vorhanden sein.

  • Lizenzierungsserver: Diese Rolle wird von allen zusätzlichen oder sekundären AD RMS-Servern übernommen, die hinzugefügt wurden, um bestimmten Gruppen in einer Active Directory-Gesamtstruktur unabhängige Richtlinienoptionen zur Verfügung zu stellen.

Weitere Informationen zur Funktionsweise von Servern in einer AD RMS-Infrastruktur finden Sie unter Serverkonfiguration für eine AD RMS-Infrastruktur.

Vorlagen für Benutzerrechterichtlinien können verwendet werden, um die Verwaltung des Rechteschutzes und dessen Zuweisung zu Inhalten zu erleichtern. Vorlagen für Benutzerrechterichtlinien können Sie bei dem Entwurf und der Erstellung eines bestimmten Satzes von Rechten unterstützen, die Sie so oft wie erforderlich anwenden und ändern können, um Inhalte zu schützen. Beispielsweise könnten Sie eine Vorlage namens "Unternehmensintern" erstellen, die, wenn sie auf ein Dokument angewendet wird, die Mitarbeiter das Dokument zwar anzeigen, nicht aber weiterleiten, kopieren oder speichern lässt.

Vorlagen für Benutzerrechterichtlinien, die innerhalb von AD RMS verwendet werden, werden gespeichert und über einen AD RMS-Server Clientcomputern über den folgenden exemplarischen Bereitstellungsworkflow zur Verfügung gestellt:

  1. Sven ist ein Administrator, der eine neue Vorlage für Benutzerrechterichtlinien für Clients erstellt, die dem Schutz von Inhalten dienen soll. Er erstellt die Vorlage über die AD RMS-Konsole, die in der AD RMS-Konfigurationsdatenbank gespeichert ist. (Durch eine optionale Konfiguration werden vom AD RMS-Cluster auch Kopien aller Vorlagen für Benutzerrechterichtlinien in einem von Sven angegebenen Order angelegt.)

  2. Sven hat die Gruppenrichtlinie so konfiguriert, dass für alle Desktopcomputer im Unternehmen die automatische Verteilung von Vorlagen für Benutzerrechterichtlinien über AD RMS aktiviert ist. Des Weiteren hat er die Einstellung für die Updatehäufigkeit so geändert, dass die AD RMS-Clientcomputer innerhalb der nächsten 5 Tage eine Abfrage der Pipeline zur Verteilung von Vorlagen durchführen und ihre Vorlagen aktualisieren.

    noteHinweis
    Sven hätte auch System Center Configuration Manager verwenden oder die Vorlagen manuell auf die Clientcomputer kopieren können, anstatt die Gruppenrichtlinie zu verwenden.

  3. Wenn die AD RMS-Clientcomputer den Abruf der Vorlagenpipeline abgeschlossen und den lokal zwischengespeicherten Ordner mit AD RMS-Vorlagen mit der neuen Richtlinienvorlage aktualisiert haben, können die Benutzer diese auswählen und auf alle neuen Dokumente anwenden, die sie herausgeben und mit der Vorlage schützen möchten.

Standardmäßig werden neue Vorlagen für Benutzerrechterichtlinien an alle AD RMS-Clients verteilt. Seit Windows Server® 2008 steht Administratoren jedoch die Option zur Verfügung, mithilfe der AD RMS-Konsole zu steuern, ob Vorlagen archiviert oder weiterhin verteilt und verwendet werden können. Wird eine Vorlage archiviert, so wird diese nicht mehr an die Clients verteilt. Der AD RMS-Cluster kann jedoch weiterhin Endbenutzerlizenzen für durch Rechte geschützte Inhalte erzeugen, die über eine mit dieser Vorlage erstellte Veröffentlichungslizenz verfügen. Vorlagen sollten in der Regel nicht gelöscht werden, da jegliche durch eine Vorlage geschützte Inhalte nicht mehr verfügbar sind, wenn die Vorlage aus der AD RMS-Konfiguration gelöscht wird.

Weitere Informationen zu Vorlagen finden Sie unter AD RMS-Richtlinienvorlagen.

In den folgenden Abschnitten wird die Funktionsweise von AD RMS schrittweise veranschaulicht. Der Vorgang zum Veröffentlichen, Freigeben und Nutzen eines durch Rechte geschützten Dokuments wird zuerst innerhalb einer einzelnen Organisation und danach zwischen zwei verschiedenen Organisationen ausgeführt.

In Ihrer Organisation können ein AD RMS-Client und -Server verwendet werden, um durch die Zuweisung des Rechteschutzes Inhalte zu schützen, die veröffentlicht und für andere freigegeben werden. In diesem Abschnitt wird beschrieben, wie eine grundlegende AD RMS-Dienstinfrastruktur (hierzu gehören ein AD RMS-Server, ein SQL Server-Computer, auf dem die AD RMS-Datenbanken gehostet werden, und Active Directory-Domänencontroller) verwendet werden kann, um den Rechteschutz zu unterstützen.

Hintergrund

Thorsten Scholl ist Fertigungsplaner und arbeitet seit vier Wochen vor Ort im Werk von Contoso Pharmaceuticals in Redmond, Washington. In dieser Zeit hat Thorsten die Vorgänge an der Fertigungslinie beobachtet und sich privat mit Werksangestellten getroffen.

Thorsten hat seine Prozessüberprüfung fertiggestellt und wurde von seiner Vorgesetzten Marlies Dressler darum gebeten, der Werksleiterin Heike Molnar eine vertrauliche Kopie des Berichts zur Verfügung zu stellen. Um die Vertraulichkeit des Berichts zu gewährleisten, hat Marlies Thorsten gebeten, nach der Fertigstellung des Berichts in Microsoft Word den Rechteschutz auf sein Berichtsdokument anzuwenden, bevor er es an Heike weiterleitet, damit sie das Dokument prüfen und ggf. kommentieren kann, bevor es an die Geschäftsleitung weitergeleitet wird.

In der folgenden Abbildung wird die Funktionsweise von AD RMS verdeutlicht und veranschaulicht, wie mithilfe von Servern und Clients dieses Benutzerszenario unterstützt wird. Thorsten ist ein Autor von Informationen, der an seinem Unternehmensdesktop arbeitet und Microsoft Word zum Erstellen und Vorbereiten seines Berichts verwendet.

Thorsten wählt die Option aus, das Dokument durch Rechte zu schützen. Somit kann er sowohl die Personen als auch die Zugriffsebene auswählen, die diese auf seine Inhalte erhalten. Er gewährt Heike als Informationsempfängerin schreibgeschützten Zugriff auf das Dokument. Somit kann Heike den Bericht zwar anzeigen, nicht aber ändern, kopieren oder drucken.

Einfache Übersicht über die Funktionsweise von AD RMS
  1. Als Thorsten seine Zugriffsbeschränkungen anwendet, wird vom AD RMS-Client für ihn eine Dienstanfrage an den AD RMS-Server von Contoso gestartet und initiiert.

  2. Vom AD RMS-Server für Contoso wird ein lizenzgebendes Clientzertifikat an den auf Thorstens Desktop installierten AD RMS-Client zurückgegeben. Damit kann Thorsten das Dokument mit der gewünschten Rechteschutzebene in verschlüsselter Form speichern.

  3. Danach fügt Thorsten das durch Rechte geschützte Word-Berichtsdokument an eine E-Mail an und sendet diese an Heike.

  4. Heike empfängt Thorstens E-Mail, speichert das angefügte Dokument auf ihrem lokalen Desktop und öffnet es. Dabei kontaktiert der AD RMS-Client auf ihrem Desktop den AD RMS-Server von Contoso, um eine Endbenutzerlizenz zu erhalten.

  5. Der AD RMS-Client auf Heikes Desktop empfängt die Endbenutzerlizenz, die angibt, dass sie zum Anzeigen des Dokuments berechtigt ist. Der AD RMS-Client entschlüsselt dann das Dokument und wendet die entsprechenden Beschränkungen an, damit Heike gemäß den von Thorsten zugewiesenen Zugriffsberechtigungen auf den Inhalt zugreifen kann.

AD RMS-Clients und -Server können innerhalb einer einzelnen Organisation oder Active Directory-Gesamtstruktur zum Schutz von Inhalten verwendet werden. Mit geringem zusätzlichen Konfigurationsaufwand ist es möglich, den Schutz von veröffentlichten Inhalten auch organisations- oder gesamtstrukturübergreifend zu gewährleisten.

Um AD RMS über mehrere Organisationen oder Gesamtstrukturen hinweg verwenden zu können, muss zwischen den Organisationen oder Gesamtstrukturen eine Vertrauensebene hergestellt werden. Dies kann auf verschiedene Arten erfolgen:

  • Auf der niedrigsten Ebene können vertrauenswürdige Benutzerdomänen (Trusted User Domains, TUDs) dabei hilfreich sein, AD RMS die Verarbeitung der Anforderungen von Benutzern aus anderen Active Directory-Gesamtstrukturen zu ermöglichen. Eine einfache TUD-Beziehung zwischen zwei AD RMS-Clustern ist schnell einzurichten und kann als einfache, kostengünstige Methode zum Verwalten der AD RMS- Vertrauensstellung zwischen zwei getrennten Organisationen dienen. Weitere Informationen finden Sie unter Vertrauenswürdige Benutzerdomänen.

  • Wenn Lizenzen von einem RMS-Cluster für Inhalte abgerufen werden müssen, die mit einem anderen RMS-Cluster geschützt sind, stellen vertrauenswürdige Veröffentlichungsdomänen (Trusted Publishing Domains, TPDs) eine andere Möglichkeit zum Aktivieren einer serverübergreifenden Vertrauensstellung mit mehr Funktionalität als TUDs dar. Diese Option wird selten organisationsübergreifend eingesetzt. Weitere Informationen finden Sie unter Vertrauenswürdige Veröffentlichungsdomänen.

  • Organisationen, die in die Funktionen für Verbundidentitäten der Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) investiert haben, können die vorhandenen leistungsfähigen Verbundvertrauensstellungen verwenden, damit AD RMS gesamtstrukturübergreifend funktioniert. Weitere Informationen finden Sie unter Active Directory-Verbunddienste mit AD RMS und Herstellen eines Verbunds für AD RMS.

Weitere Informationen zur organisationsübergreifenden Funktionsweise von AD RMS finden Sie unter Freigeben von Dokumenten für externe Organisationen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft