Esporta (0) Stampa
Espandi tutto

Ruolo Active Directory Rights Management Services

Aggiornamento: gennaio 2008

Si applica a: Windows Server 2008

Per Windows Server® 2008, Servizi Microsoft Windows Rights Management di Active Directory (RMS di AD) include diverse nuove funzionalità non disponibili in Microsoft® Windows® Rights Management Services (RMS). Tali nuove funzionalità sono state progettate per facilitare il sovraccarico amministrativo di RMS di AD e per estenderne l'utilizzo al di fuori dell'organizzazione. Tali nuove funzionalità comprendono:

  • Inclusione di RMS di AD in Windows Server 2008 come ruolo server

  • Amministrazione tramite una console Microsoft Management Console (MMC)

  • Integrazione con Active Directory Federation Services (ADFS)

  • Autoregistrazione dei server RMS di AD

  • Capacità di delegare responsabilità tramite nuovi ruoli amministrativi RMS di AD

noteNota
Questo argomento è incentrato sulle funzionalità specifiche di RMS di AD rilasciate con Windows Server 2008. Le versioni precedenti di RMS erano disponibili come download distinti. Per ulteriori informazioni sulle funzionalità disponibili in RMS, vedere la pagina relativa a Windows Server 2003 Rights Management Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637).

Funzionalità di AD RMS

RMS di AD, una tecnologia indipendente dalle applicazioni e dai formati, offre servizi per consentire la creazione di soluzioni per la protezione delle informazioni. Funziona con qualsiasi applicazione abilitata per RMS di AD per fornire criteri di utilizzo permanenti per le informazioni riservate. Il contenuto che può essere protetto tramite RMS di AD include siti Web Intranet, messaggi di posta elettronica e documenti. RMS di AD include un insieme di funzioni principali che consentono agli sviluppatori di aggiungere protezione delle informazioni alle funzionalità delle applicazioni esistenti.

Un sistema RMS di AD, che include sia i componenti server che i componenti client, esegue i processi seguenti:

  • Informazioni protette con RMS. Un sistema RMS di AD emette certificati per account con diritti, che identificano le entità trusted (ad esempio utenti, gruppi e servizi) che possono pubblicare contenuto protetto con RMS. Una volta stabilita la relazione di trust, gli utenti possono assegnare condizioni e diritti di utilizzo al contenuto che desiderano proteggere. Tali diritti di utilizzo specificano chi può accedere al contenuto protetto con RMS e gli usi consentiti. Quando il contenuto è protetto, viene creata una relativa licenza di pubblicazione. Tale licenza associa i diritti di utilizzo specifici a un determinato contenuto in modo tale che il contenuto possa essere distribuito. Ad esempio, gli utenti possono inviare documenti protetti con RMS ad altri utenti all'interno o all'esterno dell'organizzazione senza che il contenuto perda la protezione con RMS.

  • Acquisire licenze per decrittografare contenuto protetto con RMS e applicare criteri di utilizzo. Gli utenti ai quali è stato concesso un certificato per account con diritti possono accedere al contenuto protetto con RMS utilizzando un'applicazione client abilitata per RMS di AD che consente agli utenti di visualizzare e lavorare con contenuto protetto con RMS. Quando gli utenti tentano di accedere a contenuto protetto con RMS, vengono inviate richieste a RMS di AD per l'accesso a tale contenuto. Quando un utente cerca di accedere al contenuto protetto, il servizio di gestione licenze di RMS di AD nel cluster RMS di AD emette una licenza d'uso univoca che legge, interpreta e applica le condizioni e i diritti di utilizzo specificati nelle licenze di pubblicazione. Le condizioni e i diritti di utilizzo sono permanenti e vengono applicati automaticamente in qualsiasi posizione in cui viene spostato il contenuto.

  • Creare file e modelli protetti con RMS. Gli utenti che sono entità trusted in un sistema RMS di AD possono creare e gestire file con protezione migliorata utilizzando strumenti di creazione già noti in un'applicazione abilitata per RMS di AD che include funzionalità della tecnologia RMS di AD. Inoltre, le applicazioni abilitate per RMS di AD possono utilizzare modelli di diritti di utilizzo ufficialmente autorizzati e definiti centralmente per aiutare gli utenti ad applicare un insieme predefinito di criteri di utilizzo.

Utenti interessati a questo ruolo server

RMS di AD è progettato per aiutare a rendere più sicuro il contenuto, a prescindere da dove possa essere spostato il contenuto protetto con RMS.

È consigliabile leggere questa sezione e altra documentazione aggiuntiva relativa a RMS di AD, se si appartiene a uno dei gruppi seguenti:

  • Progettisti e analisti IT che stanno valutando i prodotti di gestione dei diritti dell'organizzazione

  • Professionisti IT responsabili per il supporto di un'infrastruttura RMS esistente

  • Architetti della protezione IT che sono interessati alla distribuzione di tecnologia per la protezione delle informazioni in grado di fornire protezione per i dati archiviati e in transito

Note speciali

RMS di AD si affida a Servizi di dominio Active Directory per verificare che l'utente che sta cercando di accedere a contenuto protetto con RMS disponga dell'autorizzazione necessaria. Durante la registrazione del punto di connessione del servizio RMS di AD durante l'installazione, l'account dell'utente che esegue l'installazione deve disporre dell'accesso in scrittura al contenitore Servizi in Servizi di dominio Active Directory.

Infine, tutte le informazioni di registrazione e di configurazione vengono archiviate nel database di registrazione RMS di AD. In un ambiente di prova, è possibile utilizzare il Database interno di Windows, ma in un ambiente di produzione è consigliabile utilizzare un server database distinto.

Nuova funzionalità introdotta da questo ruolo server

RMS di AD include diversi miglioramenti rispetto alle versioni precedenti di RMS, tra cui:

  • Esperienza di amministrazione e installazione migliorata. RMS di AD è incluso con Windows Server 2008 ed è installato come ruolo server. Inoltre, l'amministrazione di RMS di AD viene effettuata tramite una MMC, al contrario dell'amministrazione del sito Web disponibile nelle versioni precedenti.

  • Autoregistrazione del cluster AD RMS. Il cluster RMS di AD può essere registrato senza dovere effettuare la connessione a Servizio di Enrollment Microsoft. Tramite l'utilizzo di un certificato di autoregistrazione, il processo di autoregistrazione viene effettuato completamente nel computer locale.

  • Integrazione con ADFS. RMS di AD e ADFS sono stati integrati in modo tale che le organizzazioni sono in grado di utilizzare le relazioni federative esistenti per collaborare con i partner esterni.

  • Nuovi ruoli amministrativi AD RMS. La capacità di delegare attività RMS di AD a diversi amministratori è necessaria in qualsiasi ambiente aziendale ed è inclusa con questa versione di RMS di AD. Sono stati creati tre ruoli amministrativi: RMS di AD Enterprise Administrators, RMS di AD Template Administrators e RMS di AD Auditors.

Esperienza di amministrazione e installazione migliorata

RMS di AD in Windows Server 2008 include molti miglioramenti all'esperienza di installazione e di amministrazione. Nelle versioni precedenti di RMS era necessario scaricare e installare un pacchetto di installazione distinto, ma in questa versione RMS di AD è stato integrato nel sistema operativo ed è installato come ruolo server tramite Server Manager. La configurazione e il provisioning si ottengono tramite l'installazione del ruolo server. Inoltre, Server Manager elenca e installa automaticamente tutti i servizi da cui dipende RMS di AD, ad esempio Accodamento messaggi e Server Web (IIS), durante l'installazione del ruolo server RMS di AD. Durante l'installazione, se non si specifica un database remoto come database di configurazione e registrazione di RMS di AD, l'installazione del ruolo server RMS di AD installa e configura automaticamente il Database interno di Windows per l'utilizzo con RMS di AD.

Nelle versioni precedenti di RMS, l'amministrazione veniva effettuata tramite un'interfaccia Web. In RMS di AD è stata eseguita la migrazione dell'interfaccia amministrativa a una console dello snap-in MMC. La console RMS di AD fornisce tutte le funzionalità disponibili nella versione precedente di RMS ma in un'interfaccia molto più semplice da utilizzare.

Perché questa funzionalità è importante

L'offerta di RMS di AD come ruolo server incluso con Windows Server 2008 snellisce il processo di installazione, in quanto non è necessario scaricare RMS di AD separatamente prima dell'installazione.

L'utilizzo di una console RMS di AD per l'amministrazione invece di una interfaccia browser rende disponibili più opzioni per migliorare l'interfaccia utente. La console RMS di AD utilizza elementi dell'interfaccia utente coerenti in Windows Server 2008, facilitandone l'utilizzo e l'esplorazione. Inoltre, con l'inclusione dei ruoli amministrativi di RMS di AD la console RMS di AD visualizza solo le parti della console cui possono accedere gli utenti. Ad esempio, un utente che utilizza il ruolo amministrativo RMS di AD Template Administrators è limitato alle attività specifiche dei modelli RMS di AD. Tutte le altre attività amministrative non sono disponibili nella console RMS di AD.

Autoregistrazione del server AD RMS

L'autoregistrazione in RMS di AD è il processo di creazione e firma di un certificato concessore di licenze server che concede al server RMS di AD il diritto di emettere certificati e licenze. Nelle versioni precedenti di RMS, il certificato concessore di licenze server doveva essere firmato dal Servizio di Enrollment Microsoft tramite una connessione Internet. A tale scopo era necessario che il server RMS disponesse di una connettività Internet per eseguire l'autoregistrazione in linea con il Servizio di Enrollment Microsoft o fosse in grado di connettersi a un altro computer con accesso Internet per eseguire la registrazione non in linea del server.

In RMS di AD con Windows Server 2008, non è più necessario che RMS di AD contatti direttamente il Servizio di Enrollment Microsoft. Invece, con Windows Server 2008 è incluso un certificato di autoregistrazione server che firma il certificato concessore di licenze server del server RMS di AD.

Perché questa funzionalità è importante

La necessità che il certificato concessore di licenze server fosse firmato dal Servizio di Enrollment Microsoft ha introdotto una dipendenza operativa che molti clienti non desideravano introdurre nel proprio ambiente. Non è più necessario che il Servizio di Enrollment Microsoft firmi il certificato concessore di licenze server.

Che cosa è diverso

Invece di richiedere che il Servizio di Enrollment Microsoft firmi il certificato concessore di licenze server del server RMS di AD, il certificato di autoregistrazione server, incluso con Windows Server 2008, può firmare il certificato concessore di licenze server localmente. Il certificato di autoregistrazione server consente a RMS di AD di operare in una rete completamente isolata da Internet.

Come preparare il cambiamento

Durante l'aggiornamento da RMS con Service Pack 1 (SP1) o successivo, il cluster radice deve essere aggiornato prima del cluster utilizzato esclusivamente per la gestione delle licenze. Ciò è necessario per consentire al cluster utilizzato esclusivamente per la gestione delle licenze di ricevere il nuovo certificato concessore di licenze server autoregistrato del cluster radice.

Integrazione con ADFS

Le aziende stanno avvertendo sempre più il bisogno di collaborare al di fuori dei confini aziendali e stanno prendendo in considerazione la federazione come possibile soluzione. Il supporto federativo con RMS di AD consentirà alle aziende di utilizzare le relazioni federative per consentire la collaborazione con entità esterne. Ad esempio, un'organizzazione che ha distribuito RMS di AD può impostare una federazione con una entità esterna utilizzando ADFS e può utilizzare questa relazione per condividere il contenuto protetto con RMS tra due organizzazioni senza la necessità di distribuire RMS di AD in entrambe le parti.

Perché questa funzionalità è importante

Nelle versioni precedenti di RMS, le opzioni per la collaborazione esterna del contenuto protetto da RMS erano limitate a Windows Live™ ID. L'integrazione di ADFS con RMS di AD offre la capacità di stabilire identità federative tra organizzazioni e di condividere il contenuto protetto con RMS.

Come preparare il cambiamento

Se si è interessati all'utilizzo di ADFS con RMS di AD, è necessario disporre di una relazione di trust federativa tra la propria organizzazione e i partner esterni con cui si desidera collaborare prima dell'installazione di RMS di AD. È inoltre necessario utilizzare il client RMS di AD incluso con Windows Vista® o il client RMS con Service Pack 2 (SP2) per trarre vantaggio dell'integrazione ADFS con RMS di AD. I client RMS precedenti al client RMS con SP2 non supportano la collaborazione ADFS.

Nuovi ruoli amministrativi AD RMS

Per meglio delegare il controllo dell'ambiente RMS di AD sono stati creati nuovi ruoli amministrativi. Tali ruoli amministrativi sono gruppi di protezione locali creati quando viene installato il ruolo RMS di AD. Ognuno di questi ruoli amministrativi ha diversi livelli di accesso a RMS di AD associati. I nuovi ruoli sono RMS di AD Service Group, RMS di AD Enterprise Administrators, RMS di AD Template Administrators e RMS di AD Auditors.

RMS di AD Service Group contiene l'account di servizio RMS di AD. Quando viene aggiunto il ruolo RMS di AD, l'account del servizio configurato durante l'installazione viene aggiunto automaticamente a questo ruolo amministrativo.

Il ruolo RMS di AD Enterprise Administrators consente ai membri di questo gruppo di gestire tutti i criteri e le impostazioni di RMS di AD. Durante il provisioning RMS di AD, l'account utente che installa il ruolo server RMS di AD e il gruppo Administrators locale vengono aggiunti al ruolo RMS di AD Enterprise Administrators. È consigliabile limitare l'appartenenza a questo gruppo ai soli account utente che necessitano del controllo amministrativo RMS di AD completo.

Il ruolo RMS di AD Templates Administrators consente ai membri di questo gruppo di gestire i modelli di criteri per i diritti di utilizzo. In particolare, i membri del gruppo RMS di AD Template Administrators possono leggere le informazioni cluster, elencare i modelli di criteri per i diritti di utilizzo, creare nuovi modelli di criteri per i diritti di utilizzo, modificare i modelli di criteri per i diritti di utilizzo esistenti ed esportare i modelli di criteri per i diritti di utilizzo.

Il ruolo RMS di AD Auditors Administrators consente ai membri di questo gruppo di gestire i registri e i rapporti. Si tratta di un ruolo di sola lettura che è limitato alla lettura delle informazioni cluster, alla lettura delle impostazioni di registrazione e all'esecuzione di rapporti disponibili nel cluster RMS di AD.

Perché questa funzionalità è importante

I nuovi ruoli amministrativi RMS di AD danno l'opportunità di delegare attività RMS di AD senza concedere il controllo amministrativo completo dell'intero cluster RMS di AD.

Come preparare il cambiamento

I clienti che desiderano distribuire RMS di AD nella propria azienda non dovranno fare niente per preparare il cambiamento. Facoltativamente è consigliabile creare gruppi di protezione di Active Directory per ognuno di questi ruoli amministrativi e aggiungerli ai rispettivi gruppi di protezione locali. Ciò consentirà di ridimensionare la distribuzione RMS di AD includendo diversi server senza dover aggiungere account utente specifici a ogni server RMS di AD.

Funzionalità esistente modificata

Le versioni precedenti di RMS di AD erano fornite come installazione distinta disponibile dall'Area download Microsoft. Per ulteriori informazioni tecniche sulle versioni precedenti di RMS, vedere http://go.microsoft.com/fwlink/?LinkId=68637.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft