.png "Windows Server 2008")
Poradnik krok po kroku - Tworzenie i instalowanie szablonów zasad uprawnień usług AD RMS (Active Directory Rights Management Services) .png "Udostępnij na: Facebook")
Opublikowano: 25 lipca 2008
Zawartość strony
.gif){kind=icon} |
Poradnik krok po kroku |
|
Etap 1: Tworzenie folderu udostępnionego w klastrze usług AD RMS |
|
Etap 2: Tworzenie szablonu zasad uprawnień usług AD RMS |
|
Etap 3: Konfigurowanie klienta usług AD RMS |
|
Etap 4: Weryfikacja działania usług AD RMS przy użyciu komputera ADRMS-CLNT |
Poradnik krok po kroku
Uwagi dotyczące poradnika
Niniejszy poradnik przeprowadza użytkownika przez proces tworzenia i wdrażania w środowisku testowym szablonów zasad usług zarządzania uprawnieniami w usłudze katalogowej Active Directory – AD RMS (Active Directory Rights Management Services).
W trakcie tego procesu tworzony jest szablon zasad uprawnień; szablon ten jest następnie instalowany na komputerze klienckim systemu Windows Vista® z programem Microsoft® Office Word 2007, a w końcowym etapie przeprowadzane jest sprawdzenie, czy komputer kliencki potrafi ochronić dokument przy użyciu nowo utworzonego szablonu zasad uprawnień.
Po zakończeniu tego procesu można wykorzystać środowisko testowe do oceny, w jaki sposób szablony zasad uprawnień usług AD RMS mogą być tworzone w systemie Windows Server® 2008 i wdrażane w danym przedsiębiorstwie.
Umiejętności nabyte po przeprowadzeniu procedury opisanej w tym poradniku pozwalają na:
• Tworzenie szablonu zasad uprawnień usług AD RMS.
• Wdrożenie szablonu zasad uprawnień.
• Sprawdzenie funkcjonalności usług AD RMS po zakończeniu konfigurowania.
Celem wdrożenia usług AD RMS jest zapewnienie możliwości ochrony informacji niezależnie od tego, gdzie informacje te są przenoszone. Po dodaniu ochrony usług AD RMS do pliku cyfrowego, ochrona ta pozostaje razem z plikiem. Domyślnie – jedynie właściciel zawartości jest w stanie usunąć ochronę pliku. Właściciel ma możliwość przydzielania praw innym użytkownikom tak, by mogli wykonywać operacje dotyczące zawartości dokumentu, takie jak przeglądanie, kopiowanie lub drukowanie pliku.
Jakie informacje nie są zamieszczone w poradniku
Poradnik ten nie udostępnia:
• Porad dotyczących ustawiania i konfigurowania usług AD RMS w środowisku produkcyjnym lub testowym. W niniejszym poradniku przyjęto założenie, że usługi AD RMS są już skonfigurowane dla środowiska testowego. Dodatkowe informacje na temat konfigurowania AD RMS znaleźć można w dokumencie Windows Server Active Directory Rights Management Services Step-by-Step Guide (https://go.microsoft.com/fwlink/?LinkId=72134).
• Pełnych technicznych referencji dotyczących usług AD RMS lub wdrażania szablonów AD RMS w organizacji. W dużych organizacjach system SMS (Systems Management Server) lub Group Policy umożliwiają instalowanie szablonów zasad uprawnień usług AD RMS jednocześnie na kilku komputerach.
Instalowanie usług AD RMS w środowisku testowym
Zaleca się, aby procedury opisane w tym poradniku zastosowane zostały najpierw w środowisku testowym. Poradniki krok po kroku raczej nie powinny służyć do instalowania produktów firmy Microsoft bez dokumentacji dołączanej do tych produktów, a powinny być używane oddzielnie, jako niezależne dokumenty. Zanim rozpocznie się wykonywanie procedur opisanych w tym poradniku, należy również w środowisku testowym wykonać instrukcje udostępnione w dokumencie Windows Server Active Directory Rights Management Services Step-by-Step Guide (https://go.microsoft.com/fwlink/?LinkId=72134).
Poradnik ten przygotowuje podstawową infrastrukturę do wdrożenia usług AD RMS, wraz z klastrem AD RMS, bazą danych rejestrowania usług (AD RMS Logging) oraz kontrolerem domeny. Niniejszy poradnik wykorzystuje informacje z poprzedniego poradnika, tak więc istotne jest wykonanie jego instrukcji przed przeprowadzeniem procedur opisanych w dalszej części. Po wykonaniu instrukcji niniejszego poradnika utworzony zostanie działający szablon zasad uprawnień usług AD RMS. Następnie będzie można przetestować i zweryfikować funkcjonowanie szablonu poprzez wykonanie prostych zadań dotyczących ograniczania uprawnień dla dokumentu programu Microsoft Office Word 2007 z utworzonym w tym poradniku szablonem zasad uprawnień.
Środowisko testowe opisane w tym poradniku obejmuje trzy komputery podłączone do sieci prywatnej i korzysta z następujących systemów operacyjnych, aplikacji i usług:
| Nazwa komputera | System Operacyjny | Aplikacje i usługi |
| ADRMS-SRV | Windows Server 2008 | AD RMS, Internet Information Services (IIS) 7.0, World Wide Web Publishing Service, Message Queuing (nazywana także MSMQ) oraz Windows Internal Database |
| CPANDL-DC | Windows Server 2003 z pakietem SP1 (Service Pack 1) | Active Directory®, Domain Name System (DNS) |
| ADRMS-DB | Windows Server 2003 z pakietem SP1 | Microsoft SQL Server™ 2005 Standard Edition |
| ADRMS-CLNT | Windows Vista | Microsoft Office Word 2007 Enterprise Edition |
Komputery tworzą prywatny intranet i są podłączone do wspólnego koncentratora lub przełącznika warstwy 2. W razie potrzeby konfiguracja ta może być emulowana w środowisku serwera wirtualnego. W ćwiczeniach zamieszczonych w poradniku używane są adresy prywatne w całym laboratorium. Identyfikator sieci używanej w intranecie to 10.0.0.0/24. Kontroler domeny cpandl.com nazwany został CPANDL-DC. Poniższy rysunek ilustruje konfigurację środowiska testowego:
.png)
Rysunek 1: Konfiguracja środowiska testowego.
.gif){kind=icon}
Do początku strony
Etap 1: Tworzenie folderu udostępnionego w klastrze usług AD RMS
W celu ułatwienia administrowania szablonami zasad uprawnień można przechowywać je w lokalizacji centralnej tak, aby mogły być kopiowane do klientów usług AD RMS. Niektóre metody dystrybucji korzystają z systemu SMS (Systems Management Server) – Zasad grupy lub ręcznego kopiowania szablonów do klientów AD RMS. W niniejszym poradniku szablony zasad uprawnień kopiowane są ręcznie.
Uwaga
Konto usług AD RMS musi posiadać uprawnienie Write do udostępnionego foldera szablonu zasad uprawnień, aby funkcje eksportu szablonu działały prawidłowo.
W celu utworzenia foldera udostępnionego dla szablonów zasad uprawnień AD RMS i skonfigurowania odpowiednich uprawnień konta usługi AD RMS należy wykonać następujące operacje:
W celu utworzenia udostępnionego foldera szablonów zasad uprawnień usług AD RMS:
1. Zaloguj się do ADRMS-SRV jako CPANDL\Administrator.
2. Kliknij kolejno menu Start, Computer, a następnie dwukrotnie kliknij Local Disk (C:).
3. Utwórz nowy folder nazwany ADRMSTemplates. Kliknij menu Organize, kliknij polecenie New Folder, wpisz nazwę ADRMSTemplates, a następnie naciśnij ENTER.
4. Kliknij prawym przyciskiem myszy folder ADRMSTemplates, a następnie kliknij polecenie Properties.
5. Kliknij zakładkę Sharing, a następnie kliknij przycisk Advanced Sharing.
6. Zaznacz pole wyboru Share this Folder, a następnie kliknij przycisk Permissions.
7. Kliknij przycisk Add, w polu tekstowym Enter the object names to select wpisz CPANDL\ADRMSSRVC, a następnie kliknij przycisk OK.
8. W polu tekstowym Group or user names kliknij ADRMSSRVC (ADRMSSRVC@cpandl.com), a następnie w polu Permissions for ADRMSSRVC zaznacz pole wyboru Change w kolumnie Allow.
9. Dwa razy kliknij przycisk OK.
10. Kliknij zakładkę Security, a następnie przycisk Edit.
11. Kliknij przycisk Add, w polu Enter the object names to select wpisz CPANDL\ADRMSSRVC, a następnie kliknij przycisk OK.
12. Kliknij ADRMSSRVC (ADRMSSRVC@cpandl.com), a następnie w polu Permissions forADRMSSRVC zaznacz pole wyboru Modify w kolumnie Allow, a następnie kliknij OK.
13. Kliknij przycisk Close.
Do początku strony
Etap 2: Tworzenie szablonu zasad uprawnień usług AD RMS
Jak już wcześniej wspomniano, szablony zasad uprawnień usług AD RMS są tworzone w klastrze AD RMS, a następnie eksportowane do foldera udostępnionego. Jeśli użytkownicy będą korzystać z aplikacji z włączonymi usługami AD RMS tylko wtedy, kiedy są podłączeni do sieci wewnętrznej, klienci ci będą mogli w razie potrzeby uzyskiwać dostęp do szablonów w folderze udostępnionym. W takiej sytuacji wszyscy użytkownicy usług AD RMS do tego foldera powinni mieć uprawnienie Read, aby korzystać z szablonu zasad uprawnień.
Innym rozwiązaniem jest kopiowanie szablonów z foldera udostępnionego do komputerów klienckich. Dzięki temu szablony mogą być używane, kiedy użytkownicy nie są podłączeni do sieci, jak na przykład podczas podróży z komputerem lub innym urządzeniem przenośnym. Ponieważ najczęściej wykorzystywane jest kopiowanie szablonów do komputerów klienckich, to rozwiązanie zostało wyjaśnione w poradniku.
W celu utworzenie nowego szablonu zasad uprawnień usług AD RMS:
1. Otwórz konsolę Active Directory Rights Management Services Administration. Kliknij kolejno menu Start, Administrative Tools, a następnie Active Directory Rights Management Services.
2. W konsoli Active Directory Rights Management Services Administration kliknij LocalHost.
3. W polu Tasks, w oknie Results, kliknij polecenie Manage rights policy templates.
4. W celu umożliwienia eksportowania szablonów zasad uprawnień usług AD RMS, w oknie Actions kliknij odnośnik Properties.
5. Zaznacz pole wyboru Enable export, w polu Specify templates file location (UNC) wpisz \\adrms-srv\ADRMSTemplates, a następnie kliknij przycisk OK.
6. W oknie Actions kliknij polecenie Create Distributed Rights Policy Template, aby uruchomić kreator tworzenia szablonu Create Distributed Rights Policy.
7. Kliknij przycisk Add.
8. Z listy Language wybierz odpowiedni język szablonu.
9. W polu Name wpisz CPANDL.COM CC.
10. W polu Description wpisz CPANDL.COM Company Confidential, a następnie kliknij przycisk Add.
11. Kliknij przycisk Next.
12. Kliknij przycisk Add, w polu The e-mail address of a user or group wpisz employees@cpandl.com, a następnie kliknij OK.
13. Zaznacz pole wyboru View, aby przydzielić grupie EMPLOYEES@CPANDL.COM uprawnienie Read do wszystkich dokumentów utworzonych przy użyciu tego szablonu zasad uprawnień usług AD RMS.
14. Kliknij przycisk Finish.
Do początku strony
Etap 3: Konfigurowanie klienta usług AD RMS
Klient usług AD RMS jest dołączany do domyślnej instalacji systemu Windows Vista. Poprzednie wersje programu klienckiego można pobrać dla innych systemów operacyjnych Windows.
Dla potrzeb niniejszego poradnika przyjęto założenie, że w środowisku testowym jest już skonfigurowany klaster usług AD RMS. Ponadto, wymagana jest dodatkowa konfiguracja usług AD RMS klienckiej stacji roboczej tak, aby dostępne były szablony zasad uprawnień. W tym celu należy skopiować te szablony do komputera klienckiego i utworzyć wpis rejestru wskazujący lokalizację szablonów zasad uprawnień.
Aby komputer kliencki usług AD RMS mógł zlokalizować szablony, należy dodać wpis rejestru i skopiować szablony lokalnie. W tym celu należy przeprowadzić poniższą procedurę, zanim dokument będzie chroniony odpowiednimi uprawnieniami:
W celu udostępnienia szablonów AD RMS użytkownikom komputera ADRMS-CLNT:
1. Zaloguj się do komputera ADRMS-CLNT jako Nicole Holliday (nhollida@cpandl.com).
2. Kliknij menu Start, w polu Start Search wpisz regedit.exe, a następnie kliknij ikonę programu regedit.exe w ramce Programs.
3. Rozwiń następujący klucz rejestru: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM Uwaga Jeśli folder DRM nie został wcześniej utworzony jako część klucza, należy utworzyć go ręcznie.
4. Zaznacz folder DRM, kliknij przycisk Edit, wskaż polecenie New, kliknij opcję Expandable String Value, a następnie wpisz AdminTemplatePath.
5. Dwukrotnie kliknij wartość rejestru AdminTemplatePath i w polu Value data wpisz %UserProfile%\AppData\Microsoft\DRM\Templates, gdzie %UserProfile% oznacza C:\Users\<nazwa użytkownika>, a następnie kliknij OK.
6. Zamknij edytor rejestru.
7. Sprawdź, czy ścieżka C:\Users\nhollida\AppData\Microsoft\DRM\Templates\ jest poprawna. Jeśli nie, utwórz odpowiednie foldery.
8. Kliknij menu Start, w polu Start Search wpisz \\ADRMS-SRV\ADRMSTemplates, a następnie kliknij ENTER.
9. Skopiuj wyeksportowane szablony zasad uprawnień AD RMS z folderu \\ADRMS-SRV\ADRMSTemplates do folderu C:\Users\nhollida\AppData\Microsoft\DRM\Templates.
Uwaga
Kopiowanie szablonów zasad uprawnień usług AD RMS do komputera klienckiego nie jest wymagane, jeśli szablony nie muszą być dostępne w trybie offline.
Do początku strony
Etap 4: Weryfikacja działania usług AD RMS przy użyciu komputera ADRMS-CLNT
W celu zweryfikowania działania instalacji usług AD RMS należy zalogować się jako Nicole Holliday, a następnie ograniczyć uprawnienia dokumentu programu Microsoft Word 2007 przy użyciu utworzonego wcześniej szablonu zasad uprawnień usług AD RMS. Zasada ta umożliwia pracownikom CP&L odczyt dokumentu bez możliwości jego modyfikowania, drukowania bądź kopiowania. Pozostałe osoby nie mają w ogóle dostępu do dokumentu. Następnie należy zalogować się jako Stuart Railson i sprawdzić, czy Stuart Railson, będący członkiem grupy Employees w firmie CP&L, może wydrukować dokument.
W celu ograniczenia uprawnień dokumentu programu Microsoft Word 2007:
1. Zaloguj się do komputera ADRMS-CLNT jako Nicole Holliday (nhollida@cpandl.com).
2. Kliknij kolejno menu Start, All Programs, Microsoft Office, a następnie kliknij program Microsoft Office Word 2007.
3. Wpisz w pustym dokumencie tekst CP&L Employees cannot print this document, kliknij przycisk Microsoft Office, wskaż polecenie Finish, wskaż polecenie Restrict Permission, kliknij polecenie Restrict Permission as, w oknie dialogowym Select User wybierz nhollida@cpandl.com, a następnie kliknij przycisk OK.
4. W oknie dialogowym Permission, zaznacz pole wyboru Restrict permission to this document, kliknij Read, wpisz nazwę użytkownika lub grupy, dla których ma obowiązywać to ograniczenie. W tym przypadku wpisz employees@cpandl.com, a następnie dwa razy kliknij OK.
5. Kliknij przycisk Microsoft Office, kliknij polecenie Save As, a następnie zapisz plik jako \\ADRMS-DB\public\ADRMS-TST.docx.
6. Wyloguj się jako Nicole Holliday.
Następnie należy zalogować się jako Stuart Railson i otworzyć dokument ADRMS-TST.docx.
W celu przejrzenia chronionego dokumentu:
1. Zaloguj się jako Stuart Railson (srailson@cpandl.com).
2. Kliknij kolejno menu Start, All Programs, Microsoft Office, a następnie kliknij program Microsoft Office Word 2007.
3. Kliknij przycisk Microsoft Office, kliknij polecenie Open, przejdź do folderu \\ADRMS-DB\public, a następnie dwukrotnie kliknij plik ADRMS-TST.docx.
Wyświetlony zostanie następujący komunikat: „Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.cpandl.com/\_wmcs/licensing to verify your credentials and download your permission" (Uprawnienia do tego dokumentu zostały ograniczone. Program Microsoft Office musi połączyć się z https://adrms-srv.cpandl.com/\_wmcs/licensing w celu zweryfikowania poświadczeń i pobrania uprawnień).
4. Kliknij przycisk OK. Wyświetlony zostanie następujący komunikat: „Verifying your credentials for opening content with restricted permissions…" (Weryfikowanie poświadczeń do otwierania zawartości, dla której uprawnienia są ograniczone...)
5. Po otwarciu dokumentu kliknij przycisk Microsoft Office. Zwróć uwagę, czy dostępna jest opcja Print.
6. W pasku wiadomości kliknij przycisk View Permission. Powinna być widoczna informacja, że do tego dokumentu zastosowany został szablon zasad uprawnień usług AD RMS.
7. Kliknij OK, aby zamknąć okno dialogowe My Permissions, a następnie zamknij program Microsoft Word.
Funkcja szablonu zasad uprawnień usług AD RMS została pomyślnie zainstalowana i zweryfikowana przy użyciu prostej metody zastosowania szablonu do dokumentu programu Microsoft Word 2007. Przy użyciu dodatkowych konfiguracji i testów instalacja ta może być również użyta do przeanalizowania innych możliwości usług AD RMS.
| Do początku strony |