Exporter (0) Imprimer
Développer tout

Rôle de services AD RMS (Active Directory Rights Management Services)

Mis à jour: janvier 2008

S'applique à: Windows Server 2008

Dans Windows Server® 2008, les Active Directory Rights Management Services (AD RMS) offrent de nouvelles fonctionnalités qui n’étaient pas disponibles dans les services RMS (Rights Management Services) Microsoft® Windows®. Ces nouvelles fonctionnalités ont été conçues pour réduire la charge administrative des services AD RMS et étendre leur utilisation à l’extérieur de votre organisation. Parmi ces nouvelles fonctionnalités, citons :

  • Inclusion des services AD RMS dans Windows Server 2008 en tant que rôle serveur

  • Administration par l’intermédiaire d’une console MMC (Microsoft Management Console)

  • Intégration aux services AD FS (Active Directory Federation Services)

  • Auto-inscription des serveurs AD RMS

  • Possibilité de déléguer des responsabilités au moyen de nouveaux rôles administratifs AD RMS

noteRemarque
Cette rubrique porte sur les fonctionnalités propres aux services AD RMS qui sont proposées avec Windows Server 2008. Les versions précédentes des services RMS étaient disponibles sous forme d’un téléchargement séparé. Pour plus d’informations sur les fonctionnalités qui étaient disponibles dans les services RMS, voir Services RMS (Rights Management Services) Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=68637) (éventuellement en anglais).

À quoi servent les services AD RMS ?

Les services AD RMS, une technologie indépendante du format et de l’application, permettent de créer des solutions de protection des informations. Compatibles avec n’importe quelle application AD RMS, ils permettent la mise en place de stratégies d’utilisation persistantes pour les informations confidentielles. Les sites Web intranet, les messages électroniques et les documents font partie des contenus pouvant être protégés par les services AD RMS. Ces derniers incluent un jeu de fonctions de base qui permettent aux développeurs d’ajouter la protection des informations aux applications existantes.

Un système AD RMS, qui réunit des composants serveur et client, effectue les processus suivants :

  • Gestion des licences des informations protégées par des droits. Un système AD RMS émet des certificats de compte de droits qui identifient des entités approuvées (telles que des utilisateurs, des groupes et des services) capables de publier du contenu protégé par des droits. Une fois qu’une approbation a été établie, les utilisateurs peuvent attribuer des droits et des conditions d’utilisation au contenu à protéger. Ces droits d’utilisation spécifient les utilisateurs qui peuvent accéder au contenu protégé par des droits et ce qu’ils peuvent en faire. Lorsque le contenu est protégé, une licence de publication est créée pour le contenu. Cette licence lie les droits d’utilisation spécifiques à un élément donné de contenu afin de permettre la distribution du contenu. Par exemple, les utilisateurs peuvent envoyer des documents protégés par des droits à d’autres utilisateurs au sein même de l’organisation ou en externe sans que le contenu ne perde sa protection par des droits.

  • Acquisition de licences pour déchiffrer le contenu protégé par des droits et application de stratégies d’utilisation. Les utilisateurs qui se sont vus attribuer un certificat de compte de droits peuvent accéder à du contenu protégé par des droits à l’aide d’une application cliente AD RMS grâce à laquelle ils peuvent afficher et utiliser ce contenu. Lorsque des utilisateurs tentent d’accéder à du contenu protégé par des droits, des demandes d’utilisation de ce contenu sont envoyées aux services AD RMS. Lorsqu’un utilisateur tente d’utiliser le contenu protégé, le service de gestion des licences AD RMS sur le cluster AD RMS émet une licence d’utilisation unique qui lit, interprète et applique les droits et les conditions d’utilisation spécifiés dans les licences de publication. Les droits et les conditions d’utilisation sont persistants et sont automatiquement appliqués à chaque endroit où réside le contenu.

  • Création de fichiers et de modèles protégés par des droits. Les utilisateurs qui sont des entités approuvées dans un système AD RMS peuvent créer et gérer des fichiers dotés d’une protection accrue à l’aide d’outils de création qu’ils connaissent bien dans une application AD RMS qui incorpore les fonctionnalités de la technologie AD RMS. Par ailleurs, les applications AD RMS peuvent utiliser des modèles de droits d’utilisation définis de manière centralisée et autorisés officiellement pour aider les utilisateurs à appliquer efficacement un jeu prédéfini de stratégies d’utilisation.

Qui ce rôle serveur peut-il intéresser ?

Les services AD RMS sont conçus pour améliorer la sécurité du contenu quel que soit l’endroit vers lequel le contenu protégé par des droits peut être déplacé.

Nous vous recommandons de lire cette section ainsi que toute autre documentation connexe sur les services AD RMS si vous appartenez à l’un des groupes suivants :

  • Planificateurs et analystes informatiques évaluant des produits de gestion des droits d’entreprise

  • Professionnels de l’informatique responsables de la prise en charge d’une infrastructure RMS existante

  • Architectes de sécurité informatique intéressés par le déploiement d’une technologie de protection des informations en vue de protéger les données inactives et en mouvement

Existe-t-il des considérations particulières ?

Les services AD RMS s’appuient sur les services de domaine Active Directory pour vérifier que l’utilisateur qui tente d’utiliser du contenu protégé par des droits dispose bien des autorisations appropriées. Lors de l’inscription du point de connexion de service AD RMS pendant l’installation, le compte d’utilisateur procédant à l’installation doit disposer d’un accès en écriture au conteneur de services dans les services de domaine Active Directory.

Enfin, toutes les informations de configuration et de journalisation sont stockées dans dans la base de données de journalisation AD RMS. Dans un environnement de test, vous pouvez utiliser la base de données interne de Windows ; par contre, dans un environnement de production, nous vous recommandons d’utiliser un serveur de base de données séparé.

Quelles sont les nouvelles fonctionnalités offertes par ce rôle serveur ?

Les services AD RMS offrent un certains nombre d’améliorations par rapport aux versions précédentes des services RMS, notamment :

  • Expérience utilisateur améliorée sur le plan de l’installation et de l’administration. Les services AD RMS sont inclus dans Windows Server 2008 et sont installés en tant que rôle serveur. Par ailleurs, l’administration des services AD RMS s’effectue par le biais d’une console MMC, par opposition à l’administration sur site Web utilisée dans les versions précédentes.

  • Auto-inscription du cluster AD RMS. Le cluster AD RMS peut être inscrit sans qu’il soit nécessaire de se connecter au service d’inscription Microsoft. Grâce à un certificat d’auto-inscription de serveur, le processus d’inscription s’effectue entièrement sur l’ordinateur local.

  • Intégration au services AD FS. Les services AD RMS et AD FS ont été intégrés pour permettre aux entreprises de tirer parti des relations fédérées existantes afin de collaborer avec des partenaires externes.

  • Nouveaux rôles administratifs AD RMS. Requise dans tout environnement d’entreprise, la délégation des tâches AD RMS vers différents administrateurs est incluse dans cette version des services AD RMS. Trois rôles administratifs ont été créés : Administrateurs d’entreprise AD RMS, Administrateurs de modèles AD RMS et Auditeurs AD RMS.

Expérience utilisateur améliorée sur le plan de l’installation et de l’administration

De nombreuses améliorations ont été apportées à l’expérience utilisateur au niveau de l’installation et de l’administration dans les services AD RMS inclus dans Windows Server 2008. Dans les versions précédentes des services RMS, un package d’installation séparé devait être téléchargé et installé. Dans cette version, les services AD RMS ont été intégrés au système d’exploitation et sont installés en tant que rôle serveur par le biais du Gestionnaire de serveur. L’installation du rôle serveur vous confère les fonctions de configuration et d’attribution de privilèges d’accès. Par ailleurs, le Gestionnaire de serveur répertorie et installe automatiquement tous les services dont dépendent les services AD RMS, tels que Message Queuing et le serveur Web (IIS), au cours de l’installation du rôle serveur AD RMS. Pendant l’installation, si vous ne spécifiez pas de base de données distante comme base de données de configuration et de journalisation AD RMS, l’installation du rôle serveur AD RMS installe et configure automatiquement la base de données interne de Windows pour une utilisation avec les services AD RMS.

Dans les versions précédentes des services RMS, l’administration s’effectuait dans une interface Web. Dans les services AD RMS, l’interface administrative a été migrée vers une console de composant logiciel enfichable MMC. La console AD RMS vous donne accès à toutes les fonctionnalités disponibles dans la version précédente des services RMS dans une interface plus conviviale.

Pourquoi cette fonctionnalité est-elle importante ?

L’inclusion des services AD RMS en tant que rôle serveur dans Windows Server 2008 rend le processus d’installation moins lourd puisque vous n’êtes plus contraint de télécharger les services AD RMS séparément avant de les installer.

L’utilisation d’une console AD RMS pour l’administration à la place d’une interface de navigateur a permis d’améliorer l’interface utilisateur grâce aux nombreuses options disponibles. La console AD RMS emploie des éléments d’interface utilisateur qui sont cohérents avec Windows Server 2008 et a été conçue pour faciliter la navigation. De plus, avec l’inclusion des rôles d’administration AD RMS, la console AD RMS affiche uniquement les parties de la console auxquelles l’utilisateur a accès. Par exemple, un utilisateur qui est titulaire du rôle d’administration Administrateurs de modèles AD RMS est limité aux tâches qui sont spécifiques aux modèles AD RMS. Toutes les autres tâches administratives ne sont pas disponibles dans la console AD RMS.

Auto-inscription du serveur AD RMS

L’inscription de serveur dans les services AD RMS est le processus de création et de signature d’un certificat de licence serveur qui accorde au serveur AD RMS le droit d’émettre des certificats et des licences. Dans les versions précédentes des services RMS, le certificat de licence serveur devait être signé par le service d’inscription Microsoft via une connexion Internet. Le serveur RMS devait posséder une connectivité Internet pour effectuer l’inscription en ligne avec le service d’inscription Microsoft ou être en mesure de se connecter à un autre ordinateur avec accès à Internet capable de réaliser l’inscription en ligne du serveur.

Dans les services AD RMS avec Windows Server 2008, le serveur AD RMS n’est plus contraint de contacter directement le service d’inscription Microsoft. En effet, Windows Server 2008 inclut un certificat d’auto-inscription de serveur qui signe le certificat de licence serveur du serveur AD RMS.

Pourquoi cette fonctionnalité est-elle importante ?

Le fait que le certificat de licence serveur devait impérativement être signé par le service d’inscription Microsoft causait une dépendance opérationnelle que de nombreux clients ne souhaitaient pas introduire dans leur environnement. Le service d’inscription Microsoft n’est plus requis pour signer le certificat de licence serveur.

Qu’est-ce qui fonctionne différemment ?

Le certificat d’auto-inscription de serveur (inclus dans Windows Server 2008) ne demande plus au service d’inscription Microsoft de signer le certificat de licence serveur du serveur AD RMS, car il peut signer ce certificat de licence serveur localement. Le certificat d’auto-inscription de serveur permet aux services AD RMS de fonctionner dans un réseau entièrement isolé d’Internet.

Comment dois-je me préparer à cette modification ?

Lors de la mise à niveau des services RMS avec Service Pack 1 (SP1) ou version ultérieure, le cluster racine doit être mis à niveau avant le cluster gérant uniquement les licences. Cette opération est requise afin que le cluster gérant uniquement les licences reçoive le nouveau certificat de licence serveur à inscription automatique du cluster racine.

Intégration aux services AD FS

Face à la nécessité croissante de collaborer avec l’extérieur, les entreprises considèrent la fédération comme une solution. La prise en charge de la fédération avec les services AD RMS permet aux entreprises de tirer parti de leurs relations fédérées établies pour permettre la collaboration avec des entités externes. Par exemple, une organisation qui a déployé les services AD RMS peut configurer la fédération avec une entité externe à l’aide des services AD FS et ainsi profiter de cette relation pour partager du contenu protégé par des droits entre les organisations sans imposer un déploiement des services AD RMS aux deux endroits.

Pourquoi cette fonctionnalité est-elle importante ?

Dans les versions précédentes des services RMS, les options de collaboration externe pour du contenu protégé par des droits étaient limitées à Windows Live™ ID. L’intégration des services AD FS aux services AD RMS permet d’établir des identités fédérées entre des organisations et de partager du contenu protégé par des droits.

Comment dois-je me préparer à cette modification ?

Si vous souhaitez utiliser les services AD FS avec les services AD RMS, vous devez disposer d’une approbation fédérée entre votre organisation et les partenaires externes avec lesquels vous voulez collaborer avant d’installer les services AD RMS. Vous devez aussi utiliser le client AD RMS fourni avec Windows Vista® ou le client RMS avec Service Pack 2 (SP2) pour profiter de l’intégration des services AD FS aux services AD RMS. Les clients RMS antérieurs au SP2 ne prennent pas en charge la collaboration AD FS.

Nouveaux rôles administratifs AD RMS

Pour mieux déléguer le contrôle de votre environnement AD RMS, de nouveaux rôles administratifs ont été créés. Ces rôles administratifs sont des groupes de sécurité locaux qui sont créés lorsque le rôle AD RMS est installé. Chacun de ces rôles administratifs est associé à différents niveaux d’accès aux services AD RMS. Les nouveaux rôles sont : Groupe de service AD RMS, Administrateurs d’entreprise AD RMS, Administrateurs de modèles AD RMS et Auditeurs AD RMS.

Le rôle Groupe de service AD RMS contient le compte de service AD RMS. Lorsque le rôle AD RMS est ajouté, le compte de service configuré au cours de l’installation est automatiquement ajouté à ce rôle administratif.

Le rôle Administrateurs d’entreprise AD RMS permet aux membres de ce groupe de gérer l’ensemble des stratégies et des paramètres des services AD RMS. Au cours de l’attribution de privilèges d’accès AD RMS, le compte d’utilisateur installant le rôle de serveur AD RMS et le groupe Administrateurs local sont ajoutés au rôle Administrateurs d’entreprise AD RMS. Il est conseillé de limiter les membres de ce groupe aux comptes d’utilisateurs qui ont besoin d’un contrôle administratif complet des services AD RMS.

Le rôle Administrateurs de modèles AD RMS permet aux membres de ce groupe de gérer l’ensemble des modèles de stratégie de droits. Plus particulièrement, les Administrateurs de modèles AD RMS peuvent lire des informations de cluster, répertorier des modèles de stratégie de droits, créer de nouveaux modèles de stratégie de droits, modifier des modèles de stratégie de droits existants et exporter des modèles de stratégie de droits.

Le rôle Auditeurs AD RMS permet aux membres de ce groupe de gérer les journaux et les rapports. Il s’agit d’un rôle en lecture seule qui est limité à la lecture des informations de cluster, à la lecture des paramètres de journalisation et à l’exécution de rapports disponibles sur le cluster AD RMS.

Pourquoi cette fonctionnalité est-elle importante ?

Les nouveaux rôles administratifs AD RMS vous donnent la possibilité de déléguer des tâches AD RMS sans octroyer un contrôle administratif complet sur la totalité du cluster AD RMS.

Comment dois-je me préparer à cette modification ?

Les clients qui souhaitent déployer les services AD RMS dans leur organisation n’ont rien de spécial à préparer. Facultativement, il est recommandé de créer des groupes de sécurité Active Directory pour chacun de ces rôles administratifs et de les ajouter aux groupes de sécurité locaux respectifs. Cela vous permettra d’étendre votre déploiement des services AD RMS sur plusieurs serveurs sans devoir ajouter des comptes d’utilisateurs spécifiques à chaque serveur AD RMS.

Quelle fonctionnalité existante est modifiée ?

Les versions antérieures des services AD RMS étaient fournies sous forme d’une installation séparée disponible sur le centre de téléchargement de Microsoft. Pour plus d’informations techniques sur les versions antérieures des services RMS, voir http://go.microsoft.com/fwlink/?LinkId=68637 (éventuellement en anglais).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft