내보내기(0) 인쇄
모두 확장

AD RMS(Active Directory Rights Management Services) 역할

업데이트 날짜: 2008년 1월

적용 대상: Windows Server 2008

Windows Server® 2008의 Active Directory Rights Management Services(AD RMS)에는 Microsoft(R) Windows(R) RMS(Rights Management Services)에서 사용할 수 없었던 여러 가지 새로운 기능이 포함되어 있습니다. 이러한 새로운 기능은 AD RMS의 관리 오버헤드를 줄이고 조직 외부로 사용을 확장하도록 설계되었습니다. 새로운 기능은 다음과 같습니다.

  • Windows Server 2008에 AD RMS를 서버 역할로 포함

  • MMC(Microsoft Management Console)를 통한 관리

  • ADFS(Active Directory Federation Services)와 통합

  • AD RMS 서버 자체 등록

  • 새 AD RMS 관리 역할을 통한 책임 위임 기능

note참고
이 항목에서는 Windows Server 2008과 함께 출시될 AD RMS 관련 기능을 중점적으로 설명합니다. 이전 버전의 RMS를 사용하려면 별도로 다운로드해야 합니다. RMS에서 사용 가능한 기능에 대한 자세한 내용은 Windows Server 2003 RMS(Rights Management Services)(http://go.microsoft.com/fwlink/?LinkId=68637)(페이지는 영문일 수 있음)를 참조하십시오.

AD RMS의 기능

형식 및 응용 프로그램과 관계없이 사용할 수 있는 기술인 AD RMS는 정보 보호 솔루션을 만들 수 있는 서비스를 제공합니다. AD RMS는 모든 AD RMS 사용 응용 프로그램에서 작동하여 중요 정보에 대한 영구 사용 정책을 제공합니다. AD RMS를 사용하면 인트라넷 웹 사이트, 전자 메일 메시지, 문서 등과 같은 콘텐츠를 보호할 수 있습니다. AD RMS에는 개발자가 기존 응용 프로그램의 기능에 정보 보호를 추가할 수 있게 해주는 여러 핵심 기능이 포함되어 있습니다.

서버 구성 요소와 클라이언트 구성 요소를 모두 포함하는 AD RMS 시스템은 다음과 같은 프로세스를 수행합니다.

  • 권한이 보호된 정보 사용 허가. AD RMS 시스템은 권한이 보호된 콘텐츠를 게시할 수 있는 신뢰할 수 있는 엔터티(예: 사용자, 그룹, 서비스)를 식별하는 권한 계정 인증서를 발행합니다. 트러스트가 구축된 경우 사용자는 보호할 콘텐츠에 사용 권한과 조건을 할당할 수 있습니다. 이러한 사용 권한은 권한이 보호된 콘텐츠에 액세스할 수 있는 사용자와 해당 사용자가 권한이 보호된 콘텐츠로 수행할 수 있는 작업을 지정합니다. 콘텐츠가 보호되는 경우 해당 콘텐츠에 대해 게시 라이선스가 만들어집니다. 이 라이선스는 콘텐츠를 배포할 수 있도록 콘텐츠의 지정된 부분에 특정 사용 권한을 바인딩합니다. 예를 들어 사용자는 콘텐츠의 권한 보호를 손실하지 않고 권한이 보호된 문서를 조직 내부 또는 외부의 다른 사용자에게 보낼 수 있습니다.

  • 권한이 보호된 콘텐츠의 암호 해독을 위한 라이선스 취득 및 사용 정책 적용. 권한 계정 인증서를 받은 사용자는 권한이 보호된 콘텐츠를 보고 작업할 수 있게 해주는 AD RMS 사용 클라이언트 응용 프로그램을 사용하여 권한이 보호된 콘텐츠에 액세스할 수 있습니다. 사용자가 권한이 보호된 콘텐츠에 액세스하려고 하면 해당 콘텐츠를 액세스하거나 "사용"하기 위한 요청이 AD RMS로 전송됩니다. 사용자가 보호된 콘텐츠를 사용하려고 하면 AD RMS 클러스터의 AD RMS 라이선스 서비스는 게시 라이선스에 지정된 사용 권한과 조건을 읽고, 해석하고, 적용하는 고유한 사용 라이선스를 발행합니다. 사용 권한과 조건은 영구적이며 콘텐츠가 게시되는 모든 위치에 자동으로 적용됩니다.

  • 권한이 보호된 파일 및 템플릿 만들기. AD RMS 시스템의 신뢰할 수 있는 엔터티인 사용자는 AD RMS 기술 기능을 통합하는 AD RMS 사용 응용 프로그램의 친숙한 제작 도구를 사용하여 보호 기능이 향상된 파일을 만들고 관리할 수 있습니다. 또한 AD RMS 사용 응용 프로그램은 중앙에서 정의되고 공식적으로 권한이 부여된 사용 권한 템플릿을 사용하여 사용자가 미리 정의된 사용 정책 집합을 효율적으로 적용할 수 있도록 도울 수 있습니다.

이 서버 역할의 대상 사용자

AD RMS는 권한이 보호된 콘텐츠가 이동될 수 있는 위치에 상관없이 콘텐츠 보안을 강화하도록 설계되었습니다.

다음 그룹에 속하는 경우 이 절을 포함하여 AD RMS에 대한 추가 설명서를 검토해야 합니다.

  • 엔터프라이즈 권한 관리 제품을 평가하는 IT 계획자 및 분석자

  • 기존 RMS 인프라 지원을 담당하는 IT 전문가

  • 저장 상태의 데이터와 전송 중인 데이터를 모두 보호하는 정보 보호 기술을 배포하려는 IT 보안 설계자

특별 고려 사항

AD RMS는 AD DS(Active Directory 도메인 서비스)를 사용하여 권한이 보호된 콘텐츠를 사용하려는 사용자에게 해당 권한이 있는지 확인합니다. 설치 중에 AD RMS SCP(서비스 연결 지점)를 등록하려면 설치 중인 사용자 계정에 AD DS의 서비스 컨테이너에 대한 쓰기 권한이 있어야 합니다.

마지막으로 모든 구성 및 로깅 정보는 AD RMS 로깅 데이터베이스에 저장됩니다. 테스트 환경에서는 Windows 내부 데이터베이스를 사용할 수 있지만 프로덕션 환경에서는 별도의 데이터베이스 서버를 사용하는 것이 좋습니다.

이 서버 역할의 새로운 기능

AD RMS는 이전 버전의 RMS에 비해 많은 기능이 향상되었습니다. 향상된 기능은 다음과 같습니다.

  • 향상된 설치 및 관리 환경. AD RMS는 Windows Server 2008과 함께 제공되며 서버 역할로 설치됩니다. 또한 이전 버전에 제공된 웹 사이트 관리와 달리 AD RMS 관리는 MMC를 통해 수행됩니다.

  • AD RMS 클러스터의 자체 등록. AD RMS 클러스터는 Microsoft 등록 서비스에 연결하지 않고도 등록될 수 있습니다. 등록 프로세스는 서버 자체 등록 인증서를 사용하여 전적으로 로컬 컴퓨터에서 수행됩니다.

  • AD FS와 통합. 기업에서 기존의 페더레이션 관계를 사용하여 외부 파트너와 공동 작업을 수행할 수 있도록 AD RMS와 AD FS를 통합했습니다.

  • 새 AD RMS 관리 역할. 다른 관리자에게 AD RMS 작업을 위임하는 기능은 모든 엔터프라이즈 환경에 필요하며 이 AD RMS 버전에 포함되어 있습니다. 세 가지 관리 역할, 즉, AD RMS Enterprise Administrators, AD RMS Template Administrators 및 AD RMS Auditors가 만들어졌습니다.

향상된 설치 및 관리 환경

Windows Server 2008의 AD RMS에서는 설치 환경과 관리 환경이 모두 향상되었습니다. 이전 버전의 RMS에서는 별도의 설치 패키지를 다운로드하여 설치해야 했지만 이 버전에서는 AD RMS가 운영 체제와 통합되어 서버 관리자를 통해 서버 역할로 설치됩니다. 서버 역할 설치를 통해 구성 및 구축이 수행됩니다. 또한 서버 관리자는 AD RMS 서버 역할 설치 중에 메시지 큐 및 웹 서버(IIS)와 같이 AD RMS에 필요한 모든 서비스를 자동으로 나열하고 설치합니다. 설치 중에 원격 데이터베이스를 AD RMS 구성 및 로깅 데이터베이스로 지정하지 않으면 AD RMS 서버 역할 설치는 AD RMS에서 사용할 Windows 내부 데이터베이스를 자동으로 설치하여 구성합니다.

이전 버전의 RMS에서는 관리가 웹 인터페이스를 통해 수행되었습니다. AD RMS에서는 관리 인터페이스가 MMC 스냅인 콘솔로 마이그레이션되었습니다. AD RMS 콘솔은 이전 버전의 RMS에서 사용 가능한 모든 기능을 훨씬 간편한 인터페이스로 제공합니다.

이 기능이 중요한 이유

AD RMS를 Windows Server 2008에 포함되는 서버 역할로 제공하면 AD RMS를 설치하기 전에 별도로 다운로드할 필요가 없으므로 설치 프로세스의 부담이 그만큼 감소합니다.

브라우저 인터페이스 대신 AD RMS 콘솔을 사용하여 관리하면 더 많은 옵션을 사용할 수 있으므로 사용자 인터페이스가 향상됩니다. AD RMS 콘솔은 Windows Server 2008 전체에서 일관된 사용자 인터페이스 요소를 사용하며 훨씬 쉽게 사용하고 탐색할 수 있도록 설계되었습니다. 또한 AD RMS 관리 역할의 포함으로 사용자가 액세스할 수 있는 콘솔 부분만 AD RMS 콘솔에 표시됩니다. 예를 들어 AD RMS Template Administrators 관리 역할을 사용하는 사용자는 AD RMS 템플릿에 한정된 작업만 수행하도록 제한됩니다. 모든 다른 관리 작업은 AD RMS 콘솔에서 사용할 수 없습니다.

AD RMS 서버 자체 등록

AD RMS의 서버 등록은 AD RMS 서버에 인증서 및 라이선스 발행 권한을 부여하는 SLC(서버 사용 허가자 인증서)를 만들어 서명하는 프로세스입니다. 이전 버전의 RMS에서는 Microsoft 등록 서비스에서 인터넷 연결을 통해 SLC에 서명해야 했습니다. 따라서 RMS 서버에서 인터넷에 연결하여 Microsoft 등록 서비스를 통해 온라인으로 등록하거나 인터넷에 액세스하여 서버를 오프라인으로 등록할 수 있는 다른 컴퓨터에 연결해야 합니다.

AD RMS가 Windows Server 2008에 포함됨에 따라 AD RMS 서버에서 Microsoft 등록 서비스에 직접 연결해야 할 필요가 없어졌습니다. 대신 AD RMS 서버의 SLC에 서명하는 서버 자체 등록 인증서가 Windows Server 2008에 포함되어 있습니다.

이 기능이 중요한 이유

Microsoft 등록 서비스에서 SLC에 서명하도록 한 경우 작업 종속성이 발생했으며, 대부분의 고객은 자신의 환경에 작업 종속성이 발생하는 것을 원하지 않았습니다. 이제 SLC에 서명하는 데 더 이상 Microsoft 등록 서비스가 필요하지 않습니다.

차이점

Microsoft 등록 서비스를 사용하여 AD RMS 서버의 SLC에 서명하는 대신 Windows Server 2008에 포함된 서버 자체 등록 인증서로 SLC에 로컬로 서명할 수 있습니다. 서버 자체 등록 인증서를 사용하면 인터넷에 연결되지 않은 네트워크에서도 AD RMS를 사용할 수 있습니다.

이 변경의 준비 방법

RMS SP 1(서비스 팩 1) 이상 버전에서 업그레이드할 경우 루트 클러스터를 업그레이드한 다음 라이선스 전용 클러스터를 업그레이드해야 합니다. 그렇게 하면 라이선스 전용 클러스터가 루트 클러스터의 새 자체 등록 SLC를 받게 됩니다.

AD FS와 통합

외부와의 공동 작업에 대한 필요성이 증가함에 따라 기업에서는 페더레이션을 솔루션으로 주목하고 있습니다. AD RMS의 페더레이션 지원을 사용하면 구축된 페더레이션 관계를 활용하여 외부 엔터티와 공동 작업할 수 있습니다. 예를 들어 AD RMS를 배포한 조직은 AD FS를 사용하여 외부 엔터티와의 페더레이션을 설정한 다음 AD RMS를 두 조직 모두에 배포하지 않고도 이 관계를 활용하여 권한이 보호된 콘텐츠를 두 조직 간에 공유할 수 있습니다.

이 기능이 중요한 이유

이전 버전의 RMS에서는 권한이 보호된 콘텐츠의 외부 공동 작업 옵션이 Windows Live(TM) ID로 제한되었습니다. AD FS를 AD RMS에 통합하면 조직 간에 페더레이션 ID를 설정하여 권한이 보호된 콘텐츠를 공유할 수 있습니다.

이 변경의 준비 방법

AD RMS에서 AD FS를 사용하려면 AD RMS를 설치하기 전에 사용자 조직과 공동 작업할 외부 파트너 간에 페더레이션 트러스트를 구축해야 합니다. 또한 Windows Vista®에 포함된 AD RMS 클라이언트나 RMS 클라이언트 SP 2(서비스 팩 2)를 사용하여 AD RMS와의 AD FS 통합을 활용해야 합니다. RMS 클라이언트 SP2 이전 버전의 RMS 클라이언트는 AD FS 공동 작업을 지원하지 않습니다.

새 AD RMS 관리 역할

AD RMS 환경 제어를 좀 더 효율적으로 위임할 수 있도록 새 관리 역할이 만들어졌습니다. 이러한 관리 역할은 AD RMS 역할을 설치할 때 만들어지는 로컬 보안 그룹입니다. 각 관리 역할은 관련 AD RMS에 대해 서로 다른 수준의 액세스 권한을 가집니다. 새 역할은 AD RMS Service Group, AD RMS Enterprise Administrators, AD RMS Template Administrators 및 AD RMS Auditors입니다.

AD RMS Service Group은 AD RMS 서비스 계정을 보유합니다. AD RMS 역할이 추가되면 설치 중에 구성된 서비스 계정이 이 관리 역할에 자동으로 추가됩니다.

AD RMS Enterprise Administrators 역할을 사용하면 이 그룹의 구성원이 모든 AD RMS 정책과 설정을 관리할 수 있습니다. AD RMS 구축 중 AD RMS 서버 역할을 설치하는 사용자 계정과 로컬 관리자 그룹이 AD RMS Enterprise Administrators 역할에 추가됩니다. 이 그룹의 구성원 자격을 전체 AD RMS 관리 권한이 필요한 사용자 계정으로 제한하는 것이 좋습니다.

AD RMS Templates Administrators 역할을 사용하면 이 그룹의 구성원이 권한 정책 템플릿을 관리할 수 있습니다. 특히 AD RMS Template Administrators는 클러스터 정보를 읽고, 권한 정책 템플릿을 나열하고, 새 권한 정책 템플릿을 만들 수 있을 뿐만 아니라 기존 권한 정책 템플릿을 수정하고, 권한 정책 템플릿을 내보낼 수 있습니다.

AD RMS Auditors 역할을 사용하면 이 그룹의 구성원이 로그 및 보고서를 관리할 수 있습니다. 이 역할은 클러스터 정보 및 로깅 설정 읽기와 AD RMS 클러스터에서 사용 가능한 보고서 실행만 가능하도록 제한되는 읽기 전용 역할입니다.

이 기능이 중요한 이유

새 AD RMS 관리 역할을 사용하면 전체 AD RMS 클러스터에 대한 전체 관리 권한을 부여하지 않고도 AD RMS 작업을 위임할 수 있습니다.

이 변경의 준비 방법

AD RMS를 조직에 배포하려는 고객은 이 변경을 위해 별도의 준비 작업이 필요하지 않습니다. 선택적으로 이러한 각 관리 역할에 대해 Active Directory 보안 그룹을 만들어 해당 로컬 보안 그룹에 추가하는 것이 좋습니다. 그러면 각 AD RMS 서버에 특정 사용자 계정을 추가하지 않고도 여러 서버로 AD RMS 배포를 확장할 수 있습니다.

변경되는 기존 기능

이전 버전의 AD RMS는 Microsoft 다운로드 센터에서 사용 가능한 별도의 설치 프로그램으로 제공되었습니다. 이전 버전의 RMS에 대한 기술 정보는 http://go.microsoft.com/fwlink/?LinkId=68637(페이지는 영문일 수 있음)을 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft