Windows Server 2008

Poradnik krok po kroku instalacji Windows Server Active Directory Rights Management Services Udostępnij na: Facebook

Opublikowano: 16 lipca 2008

Ten poradnik krok po kroku zawiera instrukcje tworzenia środowiska testowego dla wdrożenia i zapoznania się z rozwiązaniami Active Directory Rights Management Services (AD RMS) w systemie Windows Server® 2008. Zawiera niezbędne informacje na temat przygotowania infrastruktury AD RMS, instalowania i konfigurowania AD RMS oraz weryfikowania funkcjonalności po zakończeniu instalacji.

Zawartość strony
 Poradnik krok po kroku instalacji Windows Server Active Directory Rights Management Services   Poradnik krok po kroku instalacji Windows Server Active Directory Rights Management Services
 Krok 1: Przygotowanie infrastruktury   Krok 1: Przygotowanie infrastruktury
 Krok 2: Instalowanie i konfigurowanie AD RMS na komputerze ADRMS-SRV   Krok 2: Instalowanie i konfigurowanie AD RMS na komputerze ADRMS-SRV
 Krok 3: Weryfikowanie funkcjonalności AD RMS na komputerze ADRMS-CLNT   Krok 3: Weryfikowanie funkcjonalności AD RMS na komputerze ADRMS-CLNT

Poradnik krok po kroku instalacji Windows Server Active Directory Rights Management Services

O tym poradniku

Poradnik ten prowadzi Czytelnika przez proces konfigurowania działającej infrastruktury Active Directory Rights Management Services (AD RMS) w środowisku testowym. W trakcie tego procesu utworzona zostanie domena Active Directory®, zainstalowany serwer bazy danych i rola serwera AD RMS, skonfigurowany klaster AD RMS oraz komputer kliencki z włączoną obsługą AD RMS.

Po zakończeniu można wykorzystać środowisko testowe do zapoznania się z technologią AD RMS w Windows Server® 2008 i ocenić, czy i jak powinna ona zostać wdrożona w danej organizacji.

W miarę wykonywania kolejnych kroków Czytelnik:

  •  Przygotuje infrastrukturę AD RMS.

  •  Zainstaluje i skonfiguruje AD RMS.

  •  Zweryfikuje funkcjonalność AD RMS po zakończeniu instalacji.

Celem wdrożenia AD RMS jest możliwość ochrony informacji bez względu na to, gdzie jest ona przekazywana. Po dodaniu ochrony AD RMS do pliku cyfrowego pozostaje ona połączona z tym plikiem. Domyślnie, jedynie właściciel zawartości jest w stanie usunąć ochronę z pliku. Właściciel przyznaje innym użytkownikom prawa do wykonywania różnych działań wobec zawartości, takich jak możliwość przeglądania, kopiowania lub drukowania pliku. Więcej informacji na temat uzasadnień biznesowych dla wdrożenia AD RMS zawiera dokument "Windows Rights Management Services: Helping Organizations Safeguard Digital Information from Unauthorized Use" (https://go.microsoft.com/fwlink/?LinkId=64636).

Uwaga

Poradnik ten jest uważany za podstawowy przewodnik krok po kroku dla instalacji AD RMS. Inne poradniki dotyczące AD RMS będą zakładały, że wykonano wszystkie czynności opisane w tym poradniku.

Czego nie zapewnia ten poradnik

Poradnik ten nie zawiera następujących informacji:

  •  Omówienia rozwiązania AD RMS. Więcej informacji na temat korzyści, które AD RMS może przynieść organizacji, zawiera dokument https://go.microsoft.com/fwlink/?LinkId=84726.

  •  Wskazówek na temat instalacji i konfigurowania AD RMS w środowisku produkcyjnym.

  •  Pełnej dokumentacji technicznej AD RMS.

Instalowanie AD RMS w środowisku testowym

Czynności przedstawione w tym poradniku zalecamy wykonać najpierw w środowisku testowym (laboratoryjnym). Poradniki krok po kroku nie mają na celu zastąpienia dodatkowej dokumentacji wdrożeniowej i powinny być używane z rozwagą jako samodzielne dokumenty.

Po zakończeniu tego poradnika Czytelnik będzie dysponował działającą infrastrukturą AD RMS. Będzie mógł następnie przetestować i zweryfikować funkcjonalność AD RMS:

  •  Ograniczyć uprawnienia dla dokumentu Microsoft Office Word 2007.

  •  Otworzyć i pracować z dokumentem jako autoryzowany użytkownik.

  •  Podjąć próbę otwarcia dokumentu jako nieautoryzowany użytkownik.

Środowisko testowe opisane w tym przewodniku obejmuje cztery komputery podłączone do sieci prywatnej z zainstalowanymi następującymi systemami operacyjnymi, aplikacjami i usługami:

Nazwa komputera System operacyjny Aplikacje i usługi
ADRMS-SRV Windows Server 2008 AD RMS, Internet Information Services (IIS) 7.0, World Wide Web Publishing Service oraz Message Queuing
CPANDL-DC

Windows Server 2008 lub Windows Server 2003 z Service Pack 2 (SP2)

Uwaga

Service Pack 2 dla Windows Server 2003 nie jest wymagany, ale zostanie użyty na potrzeby tego poradnika.

Active Directory, Domain Name System (DNS)
ADRMS-DB

Windows Server 2003 z dodatkiem SP2

Uwaga

Service Pack 2 dla Windows Server 2003 nie jest wymagany, ale zostanie użyty na potrzeby tego poradnika.

Microsoft SQL Server® 2005 Standard Edition z dodatkiem Service Pack 2 (SP2)

Uwaga

Service Pack 2 dla SQL Server 2005 Standard Edition nie jest wymagany, ale zostanie użyty na potrzeby tego poradnika.

ADRMS-CLNT Windows Vista® Microsoft Office Word 2007 Enterprise Edition
 

Uwaga

Więcej informacji na temat wymagań systemowych dla instalacji AD RMS zawiera dokument https://go.microsoft.com/fwlink/?LinkId=84733.

Komputery te tworzą prywatny intranet i są połączone za pośrednictwem wspólnego koncentratora lub switcha 2 warstwy. Konfigurację tę można emulować w środowisku serwera wirtualnego. Ćwiczenie krok po kroku wykorzystuje adresy prywatne w konfiguracji sieci testowej. Intranet wykorzystuje prywatną sieć o identyfikatorze ID 10.0.0.0/24. Kontroler domeny nosi nazwę CPANDL-DC i obsługuje domenę o nazwie cpandl.com. Konfigurację środowiska testowego prezentuje poniższy rysunek:

Rysunek 1: Konfiguracja środowiska testowego.

 Do początku strony Do początku strony

Krok 1: Przygotowanie infrastruktury

Aby przygotować środowisko testowe AD RMS w domenie CPANDL, należy wykonać następujące zadania:

  •  Skonfigurować kontroler domeny (CPANDL-DC)

  •  Skonfigurować komputer bazy danych AD RMS (ADRMS-DB)

  •  Skonfigurować główny komputer klastra AD RMS (ADRMS-SRV)

  •  Skonfigurować komputer kliencki AD RMS (ADRMS-CLNT)

Poniższą tabelę można wykorzystać jako punkt odniesienia podczas konfigurowania odpowiednich nazw komputerów, ustawień systemowych i sieciowych, które są wymagane do wykonania kolejnych kroków w tym poradniku.

Ważne!

Przed skonfigurowaniem komputerów przy użyciu statycznych adresów Internet Protocol (IP) zalecane jest wykonanie aktywacji produktu Windows, gdy każdy z nich jeszcze będzie miał łączność z Internetem. Należy również zainstalować ewentualne poprawki krytyczne z witryny Windows Update.

Nazwa komputera Wymagany system operacyjny Ustawienia protokołu IP Ustawienia DNS
CPANDL-DC Windows Server 2003 z dodatkiem Service Pack 2 (SP2) lub Windows Server® 2008

Adres IP:

10.0.0.1

Maska podsieci:

255.255.255.0

Skonfigurowane przez rolę serwera DNS.
ADRMS-SRV Windows Server 2008

Adres IP:

10.0.0.2

Maska podsieci:

255.255.255.0

Preferowany:

10.0.0.1

ADRMS-DB Windows Server 2003 z dodatkiem SP2

Adres IP:

10.0.0.3

Maska podsieci:

255.255.255.0

Preferowany:

10.0.0.1

ADRMS-CLNT Windows Vista

Adres IP:

10.0.0.4

Maska podsieci:

255.255.255.0

Preferowany:

10.0.0.1

Konfigurowanie kontrolera domeny (CPANDL-DC)

Zależnie od środowiska można testować AD RMS w domenie systemu Windows Server 2008 lub Windows Server 2003. Przy konfigurowaniu kontrolera domeny należy użyć wskazówek z odpowiedniego podrozdziału, stosownie do typu domeny, po czym skonfigurować konta użytkowników i grup.

Konfigurowanie kontrolera domeny systemu Windows Server 2003

Aby skonfigurować kontroler domeny CPANDL-DC, używając systemu Windows Server 2003, należy:

  •  Zainstalować system Windows Server 2003 z dodatkiem SP2.

  •  Skonfigurować właściwości TCP/IP.

  •  Zainstalować Active Directory.

  •  Podnieść poziom funkcjonalności domeny Active Directory do Windows Server 2003.

  •  Utworzyć konta użytkowników.

  •  Utworzyć grupy dla kont użytkowników.

Dla każdego konta użytkownika i grupy, która będzie konfigurowana do współdziałania z AD RMS trzeba będzie dodać adres e-mail, po czym przypisać użytkowników do grup.

Najpierw zainstalujemy Windows Server 2003 z dodatkiem SP2 na serwerze autonomicznym.

Aby zainstalować Windows Server 2003 Standard Edition:

  1. Uruchom komputer używając dysku CD produktu Windows Server 2003 (można użyć dowolnej edycji Windows Server 2003 z wyjątkiem wersji Web Edition, aby utworzyć domenę).

  2. Postępuj zgodnie z wyświetlanymi instrukcjami, wpisując CPANDL-DC po wezwaniu o podanie nazwy komputera.

Następnie skonfigurujemy właściwości TCP/IP, aby CPANDL-DC miał statyczny adres IP 10.0.0.1. Dodatkowo skonfigurujemy 10.0.0.1 jako adres IP serwera DNS.

Aby skonfigurować właściwości TCP/IP na komputerze CPANDL-DC:

  1. Zaloguj się na komputerze CPANDL-DC jako członek lokalnej grupy Administrators.

  2. Kliknij Start, wskaż Control Panel, następnie Network Connections, kliknij Local Area Connection , po czym kliknij Properties.

  3. Na zakładce General kliknij Internet Protocol (TCP/IP) , po czym kliknij Properties.

  4. Kliknij opcję Use the following IP address. W polu IP address wpisz 10.0.0.1. W polu Subnet mask wpisz 255.255.255.0.

  5. Kliknij OK, po czym kliknij Close, aby zamknąć okno dialogowe Local Area Connection Properties.

Następnie skonfigurujemy ten komputer jako kontroler domeny.

Aby skonfigurować CPANDL-DC jako kontroler domeny:

  1. Kliknij Start, po czym kliknij Run. W polu Open wpisz dcpromo i kliknij OK.

  2. Na stronie Welcome kreatora Active Directory Installation Wizard kliknij Next.

  3. Kliknij opcję Domain controller for a new domain, po czym kliknij Next.

  4. Kliknij opcję Domain in a new forest i kliknij Next.

  5. Kliknij opcję No, just install and configure DNS on this computer, po czym kliknij Next.

  6. W polu Full DNS name for new domain wpisz cpandl.com, po czym kliknij Next.

  7. W polu Domain NetBIOS name wpisz CPANDL, po czym trzykrotnie kliknij Next.

  8. Zaznacz opcję Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems , po czym kliknij Next.

  9. W polach Restore Mode Password oraz Confirm password wpisz silne hasło trybu przywracania usług katalogowych i kliknij Next.

  10. Ponownie kliknij Next.

  11. Po zakończeniu pracy kreatora Active Directory Installation Wizard kliknij Finish.

  12. Kliknij Restart Now.

Uwaga

Ukończenie tej procedury wymaga restartu komputera.

Następną czynnością jest podniesienie poziomu funkcjonalności domeny do Windows Server 2003, dzięki czemu można będzie użyć grup uniwersalnych Active Directory.

Aby podnieść poziom funkcjonalności domeny do poziomu Windows Server 2003:

  1. Zaloguj się na komputerze CPANDL-DC przy użyciu konta CPANDL\Administrator.

  2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Users and Computers.

  3. Prawym przyciskiem myszy kliknij cpandl.com, po czym kliknij Raise domain functional level.

  4. Na liście poniżej tytułu Select an available domain functional level zaznacz Windows Server 2003, po czym kliknij Raise.

  5. Kliknij OK, aby potwierdzić wybór.

Uwaga

Nie można obniżyć poziomu funkcjonalności domeny, gdy raz zostanie on podniesiony.

  6. Zamknij konsolę Active Directory Users and Computers.

Konfigurowanie kontrolera domeny systemu Windows Server 2008

W celu skonfigurowania kontrolera domeny CPANDL-DC przy użyciu systemu Windows Server 2008, należy:

  •  Zainstalować system Windows Server 2008.

  •  Skonfigurować właściwości TCP/IP.

  •  Zainstalować Active Directory Domain Services (AD DS).

Najpierw zainstalujemy system Windows Server 2008 na samodzielnym serwerze.

Aby zainstalować Windows Server 2008:

  1. Uruchom komputer, używając dysku CD produktu Windows Server 2008.

  2. Na żądanie o podanie nazwy komputera wpisz CPANDL-DC.

  3. Postępuj dalej zgodnie z instrukcjami wyświetlanymi na ekranie, aby zakończyć instalację.

Następnie skonfigurujemy właściwości TCP/IP, aby komputer CPANDL-DB używał statycznego adresu IPv4 10.0.0.1 oraz statycznego adresu IPv6 FEC0:0:0:1::.

Aby skonfigurować właściwości TCP/IP:

  1. Zaloguj się na komputerze CPANDL-DC przy użyciu konta CPANDL-DC\Administrator.

  2. Kliknij kolejno Start, następnie Control Panel , Network and Internet, Network and Sharing Center i Manage Network Connections, prawym przyciskiem myszy kliknij Local Area Connection, po czym kliknij Properties.

  3. Na zakładce Networking kliknij Internet Protocol Version 4 (TCP/IPv4) , po czym kliknij Properties.

  4. Kliknij opcję Use the following IP address i wpisz 10.0.0.1 w polu IP address. W polu Subnet mask wpisz 255.255.255.0, po czym kliknij OK.

  5. Wyczyść pole wyboru Internet Protocol Version 6 (TCP/IPv6) na zakładce Networking, po czym kliknij OK.

  6. Kliknij OK, aby zamknąć okno dialogowe Local Area Connection Properties.

Następnie skonfigurujemy komputer jako kontroler domeny systemu Windows Server 2008.

Aby skonfigurować CPANDL-DC jako kontroler domeny:

  1. Kliknij Start, po czym kliknij Run. W polu Open wpisz dcpromo i kliknij OK.

  2. Na stronie Welcome to the Active Directory Domain Services Installation Wizard kliknij Next.

  3. Kliknij opcję Domain controller for a new domain, po czym kliknij Next.

  4. Kliknij opcję Create a new domain in a new forest, po czym kliknij Next.

  5. W polu tekstowym FQDN of the forest root domain wpisz cpandl.com, po czym kliknij Next.

  6. W polu Forest functional level zaznacz opcję Windows Server 2003, po czym kliknij Next.

  7. W polu Domain functional level zaznacz opcję Windows Server 2003, po czym kliknij Next.

  8. Upewnij się, że pole wyboru DNS server jest zaznaczone, po czym kliknij Next.

  9. Kliknij Yes, aby potwierdzić, że chcesz utworzyć delegację dla tego serwera DNS.

  10. Na stronie Location for Database, Log Files, and SYSVOL kliknj Next, akceptując wartości domyślne.

  11. W polach Password i Confirm password wpisz silne hasło, po czym kliknij Next.

  12. Na stronie Summary kliknij Next, aby rozpocząć instalację.

  13. Po zakończeniu instalacji kliknij Finish, po czym kliknij Restart Now.

Uwaga

Ukończenie tej procedury wymaga ponownego uruchomienia komputera.

Konfigurowanie kont użytkowników i grup

W tym podrozdziale utworzymy konta użytkowników oraz grupy w domenie CPANDL.

Najpierw dodamy konta użytkowników ukazane w poniższej tabeli do Active Directory lub AD DS, posługując się procedurą tworzenia kont następującą po tabeli.

Nazwa konta Nazwa logowania użytkownika Adreas e-mail Group
ADRMSSRVC ADRMSSRVC    
ADRMSADMIN ADRMSADMIN   Enterprise Admins
Nicole Holliday NHOLLIDA nhollida@cpandl.com Employees, Finance
Limor Henig LHENIG lhenig@cpandl.com Employees, Marketing
Stuart Railson SRAILSON srailson@cpandl.com Employees, Engineering

Aby dodać nowe konta użytkowników:

  1. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Users and Computers.

  2. Rozwiń wpis cpandl.com w drzewie konsoli.

  3. Kliknij Users prawym przyciskiem myszy, wskaż New, po czym kliknij User.

  4. W oknie dialogowym New Object – User wpisz ADRMSSRVC w polach Full name oraz User logon name, po czym kliknij Next.

  5. W oknie dialogowym New Object – User wpisz wybrane przez siebie hasło w polach Password oraz Confirm password . Zsuń zaznaczenie z pola wyboru User must change password at next logon , kliknij Next, po czym kliknij Finish.

  6. Wykonaj ponownie punkty 3-6 dla każdego z pozostałych użytkowników: ADRMSADMIN, Nicole Holliday, Limor Henig oraz Stuart Railson.

Następnie nadamy adresy e-mail poszczególnym kontom użytkowników.

Aby dodać adres e-mail do konta użytkownika:

  1. W konsoli Active Directory Users and Computers kliknij prawym przyciskiem myszy Nicole Holliday, następnie kliknij Properties, w polu E-mail wpisz nhollida@cpandl.com, po czym kliknij OK.

  2. Powtórz tę czynności dla użytkowników Limor Henig i Stuart Railson, używając adresów e-mail z podanej wcześniej tabeli.

  3. Zamknij konsolę Active Directory Users and Computers.

Po utworzeniu kont użytkowników należy utworzyć grupy uniwersalne Active Directory i dodać do nich odpowiednich użytkowników. Poniższa tabela zawiera listę grup uniwersalnych, które należy dodać do Active Directory. Procedura tworzenia grupy zamieszczona jest po tabeli.

Nazwa grupy Adres e-mail
Finance finance@cpandl.com
Marketing marketing@cpandl.com
Engineering engineering@cpandl.com
Employees employees@cpandl.com
 

Aby dodać nowy obiekt grupy do Active Directory:

  1. W konsoli Active Directory Users and Computers kliknij prawym przyciskiem myszy Users, wskaż New, po czym kliknij Group.

  2. W oknie dialogowym New Object – Group wpisz Finance w polu Group name, zaznacz przycisk opcji Universal w sekcji Group Scope, po czym kliknij OK.

  3. Powtórz czynności z kroków 1-2 dla pozostałych grup: Marketing, Engineering oraz Employees.

Teraz dodamy adresy e-mail do obiektów grup:

Aby dodać adres e-mail dla grupy:

  1. W konsoli Active Directory Users and Computers podwójnie kliknij Users, prawym przyciskiem myszy kliknij Finance, po czym kliknij Properties.

  2. Wpisz finance@cpandl.com w polu E-mail, po czym kliknij OK.

  3. Wykonaj powyższe kroki dla pozostałych grup: Marketing, Engineering i Employees.

Na koniec należy dodać konta użytkowników do odpowiednich grup. W ramach ćwiczeń z tego poradnika dodamy konta Nicole Holliday, Limor Henig oraz Stuart Railson do grupy Employees. Następnie dodamy konto Nicole Holliday do grupy Finance, konto Limor Henig do grupy Marketing, zaś konto Stuart Railson do grupy Engineering:

Aby dodać konto użytkownika do grupy:

  1. W konsoli Active Directory Users and Computers podwójnie kliknij Users, a następnie podwójnie kliknij Employees.

  2. Kliknij Members, po czym kliknij Add.

  3. Wpisz nhollida@cpandl.com;lhenig@cpandl.com;srailson@cpandl.com, po czym kliknij OK.

  4. Powtórz powyższe czynności, aby dodać po jednym członku do każdej z pozostałych grup, zgodnie z poniższym przyporządkowaniem:

  •  Nicole Holliday – Finance

  •  Limor Henig – Marketing

  •  Stuart Railson – Engineering

  5. Zamknij konsolę Active Directory Users and Computers.

Konfigurowanie komputera bazy danych AD RMS (ADRMS-DB)

Najpierw zainstalujemy system Windows Server 2003 na komputerze, który będzie utrzymywał bazę danych AD RMS.

Aby zainstalować Windows Server 2003 Standard Edition:

  1. Uruchom komputer, używając dysku CD produktu Windows Server 2003 (można użyć dowolnej edycji Windows Server 2003 z wyjątkiem wersji Web Edition, aby utworzyć domenę).

  2. Postępuj zgodnie z wyświetlanymi instrukcjami, wpisując ADRMS-DB po wezwaniu o podanie nazwy komputera.

Następnie skonfigurujemy właściwości TCP/IP, aby ADRMS-DB miał statyczny adres IP 10.0.0.3.

Aby skonfigurować właściwości TCP/IP na komputerze ADRMS-DB:

  1. Zaloguj się na komputerze ADRMS-DB, używając konta ADRMS-DB\Administrator lub innego konta należącego do lokalnej grupy Administrators.

  2. Kliknij Start, wskaż Control Panel, następnie Network Connections, kliknij Local Area Connection , po czym kliknij Properties.

  3. Na zakładce General kliknij Internet Protocol (TCP/IP) , po czym kliknij Properties.

  4. Kliknij opcję Use the following IP address. W polu IP address wpisz 10.0.0.3. W polu Subnet mask wpisz 255.255.255.0.

  5. Kliknij OK, po czym kliknij Close, aby zamknąć okno dialogowe Local Area Connection Properties.

Następnie przyłączymy serwer bazy danych AD RMS (ADRMS-DB) do domeny CPANDL:

Aby przyłączyć komputer ADRMS-DB do domeny CPANDL:

  1. Kliknij Start, prawym klawiszem myszy kliknij My Computer, po czym kliknij Properties.

  2. Kliknij zakładkę Computer Name, po czym kliknij Change.

  3. W oknie dialogowym Computer Name Changes wybierz opcję Domain, po czym wpisz cpandl.com.

  4. Kliknij More i wpisz cpandl.com w polu Primary DNS suffix of this computer.

  5. Dwa razy kliknij OK.

  6. Kiedy pojawi się okno dialogowe Computer Name Changes z żądaniem podania poświadczeń administracyjnych, wpisz poświadczenia dla konta CPANDL\Administrator, po czym kliknij OK.

  7. W oknie dialogowym Computer Name Changes z komunikatem powitalnym kliknij OK.

  8. Kiedy pojawi się okno dialogowe Computer Name Changes z informacją, że komputer musi zostać ponownie uruchomiony, kliknij OK, po czym ponownie kliknij OK.

  9. Kliknij Yes, aby zrestartować komputer.

Kolejnym krokiem jest instalacja oprogramowania Microsoft SQL Server 2005 Standard Edition:

Aby zainstalować Microsoft SQL Server 2005:

  1. Zaloguj się na komputerze ADRMS-DB przy użyciu konta CPANDL\Administrator lub innego użytkownika należącego do domenowej grupy Administrators.

  2. Włóż dysk CD produktu Microsoft SQL Server 2005. Instalacja rozpocznie się automatycznie.

  3. Kliknij pole wyboru I accept the licensing terms and conditions, po czym kliknij Next.

  4. Na stronie Installing Prerequisites kliknij Install.

  5. Kliknij Next.

  6. Kliknij Next na stronie Welcome to theMicrosoft SQL Server Installation Wizard , po czym kliknij Next again.

  7. W polu Name wpisz swoje nazwisko. W polu Company wpisz nazwę przedsiębiorstwa, po czym wpisz odpowiedni klucz produktu i kliknij Next.

  8. Zaznacz pola wyboru SQL Server Database Services oraz Workstation components, Books Online, and development tools, po czym kliknij Next.

  9. Zaznacz opcję Default instance i kliknij Next.

  10. Kliknij opcję Use the built-in System account, po czym kliknij Next.

  11. Kliknij opcję Windows Authentication Mode, po czym kliknij Next.

  12. Kliknij Next, aby zaakceptować domyślne wartości Collation Settings, po czym ponownie kliknij Next.

  13. Kliknij Install. Gdy stan wszystkich wybranych składników zmieni się na „finished”, kliknij Next.

  14. Kliknij Finish.

W następnej kolejności dodamy konto ADRMSADMIN do lokalnej grupy Administrators na komputerze z ADRMS-DB. Konto użytkownika wykonujące instalację AD RMS wymaga członkostwa w tej grupie, aby móc utworzyć bazy danych AD RMS. Po wykonaniu instalacji AD RMS konto ADRMSADMIN można usunąć z tej grupy.

Aby dodać konto ADRMSADMIN do lokalnej grupy Administrators:

  1. Kliknij Start, wskaż Administrative Tools, po czym kliknij Computer Management.

  2. Rozwiń węzeł System Tools, następnie Local Users and Groups , po czym kliknij Groups.

  3. Prawym klawiszem myszy kliknij Administrators, następnie kliknij Add to Group, kliknij Add, wpisz ADRMSADMIN w polu tekstowym Enter the object names to select (examples), po czym kliknij OK.

  4. Kliknij OK, po czym zamknij konsolę Computer Management .

Na koniec utworzymy udostępniony folder na komputerze ADRMS-DB, aby inni użytkownicy mogli odnaleźć dokumenty zapisane w sieci.

Aby utworzyć udostępniony folder sieciowy, który będzie mógł być modyfikowany przez pracowników CP&L:

  1. Kliknij Start, następnie MyComputer, po czym podwójnie kliknij Local Disk (C:).

  2. Kliknij File, wskaż New, po czym kliknij Folder.

  3. Wpisz Public jako nazwę nowego folderu i naciśnij ENTER.

  4. Prawym klawiszem myszy kliknij Public, po czym kliknij Sharing and Security.

  5. Na zakładce Sharing kliknij opcję Share this folder i upewnij się, że w polu Share name pojawiła się nazwa Public.

  6. Kliknij Permissions.

  7. W polu Group or user name kliknij Everyone.

  8. Zaznacz pole wyboru Full Control w kolumnie Allow pola Permissions for Everyone.

  9. Kliknij OK.

  10. Kliknij zakładkę Security, po czym kliknij Users (ADRMS-DB\Users) w polu Group or user name.

  11. W polu Permissions for Users zaznacz pole wyboru Full Control w kolumnie Allow.

  12. Kliknij OK.

Konfigurowanie głównego komputera klastra AD RMS (ADRMS-SRV)

Aby skonfigurować serwer członkowski ADRMS-SRV, należy zainstalować system Windows Server 2008, określić właściwości TCP/IP, po czym przyłączyć ADRMS-SRV do domeny cpandl.com. Ponadto konieczne będzie dodanie konta ADRMSADMIN do lokalnej grupy administratorów, gdyż jest to niezbędne do wykonania instalacji AD RMS na tym komputerze.

Instalacja roli serwera AD RMS spowoduje również zainstalowanie komponentów Internet Information Services (IIS) 7.0 oraz Message Queuing.

Najpierw wykonamy instalację Windows Server 2008 jako serwera autonomicznego.

Aby zainstalować Windows Server 2008:

  1. Uruchom komputer przy użyciu dysku CD produktu Windows Server 2008.

  2. Na żądanie o podanie nazwy komputera wpisz ADRMS-SRV.

  3. Postępuj dalej zgodnie z instrukcjami wyświetlanymi na ekranie, aby zakończyć instalację.

Następnie skonfigurujemy właściwości TCP/IP, aby komputer ADRMS-SRV używał statycznego adresu IP 10.0.0.2. Dodatkowo skonfigurujemy 10.0.0.1 jako adres IP serwera DNS (CPANDL-DC).

Aby skonfigurować właściwości TCP/IP:

  1. Zaloguj się na komputerze ADRMS-SRV jako ADRMS-SRV\Administrator lub inny użytkownik należący do lokalnej grupy Administrators.

  2. Kliknij kolejno Start, następnie Control Panel, Network and Internet , Network and Sharing Center i Manage Network Connections, prawym przyciskiem myszy kliknij Local Area Connection, po czym kliknij Properties.

  3. Na zakładce Networking kliknij Internet Protocol Version 4 (TCP/IPv4) , po czym kliknij Properties.

  4. Kliknij opcję Use the following IP address i wpisz 10.0.0.2 w polu IP address. W polu Subnet mask wpisz 255.255.255.0, po czym kliknij OK.

  5. Kliknij opcję Use the following DNS server addresses, po czym wpisz 10.0.0.1 w polu Preferred DNS server.

  6. Kliknij OK, aby zamknąć okno dialogowe Local Area Connection Properties.

Następnie przyłączymy komputer ADRMS-SRV do domeny cpandl.com.

Aby przyłączyć komputer ADRMS-SRV do domeny cpandl.com:

  1. Kliknij Start, prawym klawiszem myszy kliknij Computer, po czym kliknij Properties.

  2. Kliknij Change settings (po prawej stronie poniżej tytułu Computer name, domain, and workgroup settings), po czym kliknij Change.

  3. W oknie dialogowym Computer Name/Domain Changes zaznacz opcję Domain i wpisz nazwę cpandl.com.

  4. Kliknij More, po czym wpisz cpandl.com w polu Primary DNS suffix of this computer.

  5. Kliknij OK, po czym ponownie kliknij OK.

  6. Kiedy pojawi się okno dialogowe Computer Name/Domain Changes z żądaniem podania poświadczeń administracyjnych, wpisz poświadczenia dla konta CPANDL\Administrator, po czym kliknij OK.

  7. Gdy pojawi się okno dialogowe Computer Name/Domain Changes z komunikatem powitalnym w domenie cpandl.com, kliknij OK.

  8. Pojawi się okno dialogowe Computer Name/Domain Changes z informacją, że komputer musi zostać ponownie uruchomiony. Kliknij OK, po czym ponownie kliknij OK.

  9. Kliknij Restart Now.

Po ponownym uruchomieniu komputera dodamy konto ADRMSADMIN do lokalnej grupy administratorów na komputerze ADRMS-SRV.

Aby dodać konto ADRMSADMIN do lokalnej grupy administratorów:

  1. Zaloguj się na komputerze ADRMS-SRV jako CPANDL\Administrator.

  2. Kliknij Start, następnie Administrative Tools , po czym kliknij Computer Management.

  3. Rozwiń węzeł System Tools, następnie Local User and Groups , po czym kliknij Groups.

  4. Prawym klawiszem myszy kliknij Administrators, kliknij Add to Group, kliknij Add, wpisz ADRMSADMIN w polu tekstowym Enter the object names to select (examples), po czym kliknij OK.

  5. Kliknij OK, po czym zamknij konsolę Computer Management .

Konfigurowanie komputera klienckiego AD RMS (ADRMS-CLNT)

W celu skonfigurowania komputera ADRMS-CLNT należy na nim zainstalować system operacyjny Windows Vista, ustawić właściwości TCP/IP i przyłączyć ten komputer do domeny cpandl.com. Konieczne będzie również zainstalowanie aplikacji z możliwością obsługi AD RMS. W tym przykładzie aplikacją tą będzie Microsoft Office Word 2007 Enterprise Edition.

Aby zainstalować Windows Vista:

  1. Uruchom komputer, używając dysku CD produktu Windows Vista.

  2. Postępuj zgodnie z wyświetlanymi instrukcjami, wpisując ADRMS-CLNT po wezwaniu o podanie nazwy komputera.

Następnie skonfigurujemy właściwości TCP/IP, aby komputer ADRMS-CLNT używał statycznego adresu IP 10.0.0.4. Dodatkowo skonfigurujemy 10.0.0.1 jako adres IP serwera DNS (CPANDL-DC).

Aby skonfigurować właściwości TCP/IP:

  1. Zaloguj się na komputerze ADRMS-CLNT jako ADRMS-CLNT\Administrator lub inny użytkownik należący do lokalnej grupy Administrators.

  2. Kliknij kolejno Start, następnie Control Panel , Network and Internet i na koniec Network and Sharing Center.

  3. Kliknij Manage Network Connections, prawym przyciskiem myszy kliknij Local Area Connection, po czym kliknij Properties.

  4. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania, klikając Continue.

  5. Na zakładce Networking kliknij Internet Protocol Version 4 (TCP/IPv4) , po czym kliknij Properties.

  6. Kliknij opcję Use the following IP address i wpisz 10.0.0.4 w polu IP address. W polu Subnet mask wpisz 255.255.255.0, po czym kliknij OK.

  7. Kliknij opcję Use the following DNS server addresses, po czym wpisz 10.0.0.1 w polu Preferred DNS server.

  8. Kliknij OK, po czym kliknij Close, aby zamknąć okno dialogowe Local Area Connection Properties.

Następnie przyłączymy komputer ADRMS-CLNT do domeny cpandl.com.

Aby przyłączyć komputer ADRMS-CLNT do domeny cpandl.com:

  1. Kliknij Start, prawym klawiszem myszy kliknij Computer, po czym kliknij Properties.

  2. Kliknij Change settings (po prawej stronie poniżej tytułu Computer name, domain, and workgroup settings), po czym kliknij Change.

  3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź chęć wykonania działania klikając Continue.

  4. Na zakładce Computer Name kliknij Change.

  5. W oknie dialogowym Computer Name/Domain Changes zaznacz opcję Domain i wpisz nazwę cpandl.com.

  6. Kliknij More, po czym wpisz cpandl.com w polu Primary DNS suffix of this computer.

  7. Kliknij OK, po czym ponownie kliknij OK.

  8. Kiedy pojawi się okno dialogowe Computer Name/Domain Changes z żądaniem podania poświadczeń administracyjnych, wpisz poświadczenia dla konta CPANDL\Administrator, po czym kliknij OK.

  9. Gdy pojawi się okno dialogowe Computer Name/Domain Changes z komunikatem powitalnym w domenie cpandl.com, kliknij OK.

  10. Pojawi się okno dialogowe Computer Name/Domain Changes z informacją, że komputer musi zostać ponownie uruchomiony. Kliknij OK, po czym ponownie kliknij OK.

  11. W oknie dialogowym System Settings Change kliknij Yes, aby ponownie uruchomić komputer.

Na koniec zainstalujemy program Microsoft Office Word 2007 Enterprise.

Aby zainstalować Microsoft Office Word 2007 Enterprise:

  1. Zaloguj się na komputerze ADRMS-CLNT przy użyciu konta CPANDL\Administrator lub innego konta należącego do lokalnej grupy Administrators.

  2. Podwójnie kliknij plik setup.exe na dysku CD produktu Microsoft Office 2007 Enterprise.

  3. Kliknij Customize jako typ instalacji, ustaw typ instalowania jako Not Available dla wszystkich aplikacji opróc Microsoft Office Word 2007 Enterprise, po czym kliknij Install Now. Instalacja może zająć kilka minut.

Ważne!

Tylko wersje Ultimate, Professional Plus oraz Enterprise editions pakietu Microsoft Office 2007 pozwalają na tworzenie treści z ochroną uprawnień. Wszystkie edycje pozwalają na korzystanie z takiej zawartości.

 Do początku strony Do początku strony

Krok 2: Instalowanie i konfigurowanie AD RMS na komputerze ADRMS-SRV

W celu zainstalowania i skonfigurowania AD RMS konieczne jest dodanie roli serwera AD RMS.

System Windows Server 2008 zawiera opcję instalacji AD RMS jako roli serwera za pośrednictwem konsoli Server Manager. Zarówno instalacja, jak i konfigurowanie AD RMS jest obsługiwane przez Server Manager. Pierwszy serwer w środowisku AD RMS jest głównym klastrem. Główny klaster AD RMS składa się z jednego lub więcej serwerów AD RMS skonfigurowanych w środowisku równoważenia obciążenia. W tym poradniku krok po kroku zostanie zainstalowany i skonfigurowany jednoserwerowy klaster główny AD RMS.

Rejestracja punktu połączenia usługi (service connection point – SCP) AD RMS wymaga, aby konto użytkownika wykonującego instalację było członkiem grupy Active Directory Enterprise Admins.

Ważne!

Dostęp do grupy Enterprise Admins powinien być przydzielony jedynie na czas instalacji AD RMS. Po zakończeniu instalacji konto cpandl\ADRMSADMIN należy usunąć z tej grupy.

Aby dodać konto ADRMSADMIN do grupy Enterprise Admins:

  1. Zaloguj się na komputerze CPANDL-DC przy użyciu konta cpandl\Administrator lub innego konta użytkownika należącego do grupy Domain Admins.

  2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Users and Computers.

  3. W drzewie konsoli rozwiń domenę cpandl.com, podwójnie kliknij Users, a następnie podwójnie kliknij Enterprise Admins.

  4. Kliknij zakładkę Members, po czym kliknij Add.

  5. Wpisz adrmsadmin@cpandl.com, po czym kliknij OK.

Instalowanie i konfigurowanie AD RMS jako głównego klastra.

Aby dodać rolę serwera AD RMS:

  1. Zaloguj się na komputerze ADRMS-SRV jako cpandl\ADRMSADMIN.

  2. Kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.

  3. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź, że wyświetlane działanie jest tym, które chcesz wykonać, po czym kliknij Continue.

  4. W polu Roles Summary kliknij Add Roles. Uruchomi się kreator Add Roles Wizard.

  5. Przeczytaj informacje w sekcji Before You Begin, po czym kliknij Next.

  6. Na stronie Select Server Roles zaznacz pole wyboru Active Directory Rights Management Services.

  7. Pojawi się strona Role Services z informacjami o zależnych usługach roli i funkcjach AD RMS. Upewnij się, że na liście wymienione są Web Server (IIS), Windows Process Activation Service (WPAS) oraz Message Queuing, po czym kliknij Add Required Role Services. Kliknij Next.

  8. Przeczytaj informacje na powitalnej stronie AD RMS introduction, po czym kliknij Next.

  9. Na stronie Select Role Services upewnij się, że zaznaczone jest pole wyboru Active Directory Rights Management Server, po czym kliknij Next.

  10. Kliknij opcję Create a new AD RMS cluster, po czym kliknij Next.

  11. Kliknij opcję Use a different database server.

  12. Kliknij Select, wpisz ADRMS-DB w oknie dialogowym Select Computer, po czym kliknij OK.

  13. Na stronie Database Instance kliknij Default, po czym kliknij Validate.

  14. Kliknij Next.

  15. Kliknij Specify, wpisz CPANDL\ADRMSSRVC, wpisz hasło dla tego konta i kliknij OK, po czym kliknij Next.

  16. Upewnij się, że zaznaczona jest opcja Use AD RMS centrally managed key storage , po czym kliknij Next.

  17. Wpisz silne hasło w polach tekstowych Password i Confirm password, po czym kliknij Next.

  18. Wybierz witrynę sieci Web, w której AD RMS zostanie zainstalowane, po czym kliknij Next. Podczas instalacji korzystającej z ustawień domyślnych jedyną dostępną witryną Web powinna być Default Web Site.

  19. Kliknij opcję Use an SSL-encrypted connection (https://).

  20. W polu tekstowym Fully-Qualified Domain Name wpisz adrms-srv.cpandl.com, po czym kliknij Validate. Jeśli weryfikacja zakończy się powodzeniem, dostępny stanie się przycisk Next. Kliknij Next.

  21. Kliknij opcję Choose an existing certificate for SSL encryption, następnie kliknij certyfikat, który został zaimportowany dla tego klastra AD RMS, po czym kliknij Next.

  22. Wpisz nazwę, która ułatwi identyfikowanie klastra AD RMS w polu Friendly name, po czym kliknij Next.

  23. Upewnij się, że opcja Register the AD RMS service connection point now jest zaznaczona, po czym kliknij Next, aby zarejestrować punkt połączenia usługi AD RMS (SCP) w Active Directory podczas instalacji.

  24. Przeczytaj informacje na stronie Introduction to Web Server (IIS), po czym kliknij Next.

  25. Zachowaj domyślne ustawienia serwera Web i kliknij Next.

  26. Kliknij Install, aby rozmieścić AD RMS na komputerze. Całość instalacji może zająć do 60 minut.

  27. Kliknij Close.

  28. Wyloguj się z serwera, po czym zaloguj się ponownie, aby uaktywnić żeton zabezpieczeń konta zalogowanego użytkownika. Konto użytkownika zalogowanego w trakcie instalowania roli serwera AD RMS automatycznie staje się członkiem lokalnej grupy AD RMS Enterprise Administrators. Użytkownik, który ma administrować AD RMS, musi być członkiem tej grupy.

Uwaga

W tym momencie można usunąć konto cpandl\ADRMSADMIN z lokalnej grupy Administrators na komputerze ADRMS-DB.

Główny klaster AD RMS został właśnie zainstalowany i skonfigurowany.

Dalsze zarządzanie AD RMS wykonywane jest za pośrednictwem konsoli Active Directory Rights Management Services.

Aby otworzyć konsolę Active Directory Rights Management Services:

  1. Kliknij Start, wskaż Administrative Tools, po czym kliknij Active Directory Rights Management Services.

  2. Jeżeli pojawi się okno dialogowe User Account Control, potwierdź, że wyświetlane działanie jest tym, które chcesz wykonać, po czym kliknij Continue.

Konsola ta umożliwia konfigurowanie zasad zaufania, zasad wykluczeń oraz tworzenie szablonów zasad uprawnień.

 Do początku strony Do początku strony

Krok 3: Weryfikowanie funkcjonalności AD RMS na komputerze ADRMS-CLNT

Klient AD RMS jest dołączony do domyślnej instalacji systemów operacyjnych Windows Vista oraz Windows Server 2008. Dostępne są wersje klienta dla niektórych spośród wcześniejszych wersji systemu operacyjnego Windows. Więcej informacji zawiera strona Windows Server 2003 Rights Management Services w witrynie Microsoft Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=68637).

Zanim możliwe będzie korzystanie z chronionej zawartości, należy dodać URL klastra AD RMS do strefy zabezpieczeń Local Intranet.

Dodamy teraz adres URL klastra AD RMS do strefy zabezpieczeń Local Intranet dla wszystkich użytkowników, którzy będą wykorzystywać zawartość o chronionych prawach.

Aby dodać klaster AD RMS do strefy zabezpieczeń Local Intranet:

  1. Zaloguj się na komputerze ADRMS-CLNT jako Nicole Holliday (cpandl\NHOLLIDA).

  2. Kliknij Start, kliknij All Programs, po czym kliknij Internet Explorer.

  3. Kliknij Tools, po czym kliknij Internet Options .

  4. Kliknij zakładkę Security, następnie Local intranet , po czym kliknij Sites.

  5. Kliknij Advanced.

  6. W polu tekstowym Add this website to the zone wpisz https://adrms-srv.cpandl.com, po czym kliknij Add.

  7. Kliknij Close.

  8. Powtórz czynności 1–7 dla kont użytkowników Stuart Railson oraz Limor Henig.

Aby zweryfikować funkcjonowanie wykonanego wdrożenia AD RMS, zalogujemy się jako Nicole Holliday i ograniczymy uprawnienia do dokumentu Microsoft Word 2007, by członkowie grupy CP&L Engineering byli w stanie go odczytać, ale nie mogli go zmienić, wydrukować ani skopiować. Następnie zalogujemy się jako Stuart Railson, aby sprawdzić, że ma on odpowiednie uprawnienia do odczytania dokumentu, ale do niczego więcej. Na koniec zalogujemy się jako Limor Henig. Ponieważ Limor nie jest członkiem grupy Engineering, nie powinien być w stanie w żaden sposób użyć pliku o chronionych prawach.

Aby ograniczyć uprawnienia do dokument programu Microsoft Word:

  1. Zaloguj się na komputerze ADRMS-CLNT jako Nicole Holliday (cpandl\NHOLLIDA).

  2. Kliknij Start, wskaż All Programs, wskaż Microsoft Office, po czym kliknij Microsoft Office Word 2007 .

  3. Na pustej stronie dokumentu napisz CP&L engineering employees can read this document, but they cannot change, print, or copy it [Pracownicy inżynieryjni CP&L mogą czytać ten dokument, ale nie mogą go zmienić, wydrukować ani skopiować].

  4. Kliknij przycisk Microsoft Office, kliknij Prepare, następnie Restrict Permission, po czym kliknij Restricted Access.

  5. Kliknij pole wyboru Restrict permission to this document.

  6. W polu Read wpisz engineering@cpandl.com, po czym kliknij OK, aby zamknąć okno dialogowe Permission.

  7. Kliknij przycisk Microsoft Office, kliknij Save As, po czym zapisz plik jako \\ADRMS-DB\Public\ADRMS-TST.docx.

  8. Wyloguj się z komputera.

Następnie zalogujemy się jako Stuart Railson i otworzymy dokument ADRMS-TST.docx.

Aby przejrzeć chroniony dokument:

  1. Zaloguj się na komputerze ADRMS-CLNT jako Stuart Railson (cpandl\SRAILSON).

  2. Kliknij Start, wskaż All Programs, wskaż Microsoft Office, po czym kliknij Microsoft Office Word 2007 .

  3. Kliknij przycisk Microsoft Office, po czym kliknij Open.

  4. Wpisz \\ADRMS-DB\Public\ADRMS-TST.docx w polu File name, po czym kliknij Open.

Pojawi się następujący komunikat: " Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.cpandl.com:443/\_wmcs/licensing to verify your credentials and download your permission. "

[Uprawnienia do tego dokumentu są aktualnie ograniczone. Microsoft Office musi się połączyć ze stroną https://adrms-srv.cpandl.com:443/\_wmcs/licensing w celu zweryfikowania twoich poświadczeń i pobrania zezwolenia.]

  5. Kliknij OK.

Pojawi się komunikat: " Verifying your credentials for opening content with restricted permissions… ".[Trwa weryfikowanie poświadczeń w celu otwarcia zawartości z ograniczonymi uprawnieniami...]

  6. Gdy dokument się otworzy, kliknij przycisk Microsoft Office. Zwróć uwagę, że opcja Print nie jest dostępna.

  7. Zamknij program Microsoft Word.

  8. Wyloguj się z komputera.

Na koniec zalogujemy się jako Limor Henig i sprawdzimy, że nie jest on w stanie użyć chronionego pliku.

Aby spróbować przejrzeć chroniony dokument:

  1. Zaloguj się na komputerze ADRMS-CLNT jako Limor Henig (cpandl\LHENIG).

  2. Kliknij Start, wskaż All Programs, wskaż Microsoft Office, po czym kliknij Microsoft Office Word 2007 .

  3. Kliknij przycisk Microsoft Office Button, następnie kliknij Open, po czym podwójnie kliknij plik \\ADRMS-DB\Public\ADRMS-TST.docx.

Pojawi się następujący komunikat: " Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.cpandl.com:443/\_wmcs/licensing to verify your credentials and download your permission. "

[Uprawnienia do tego dokumentu są aktualnie ograniczone. Microsoft Office musi się połączyć ze stroną https://adrms-srv.cpandl.com:443/\_wmcs/licensing w celu zweryfikowania twoich poświadczeń i pobrania zezwolenia.]

  4. Kliknij OK.

  5. Pojawi się komunikat: "You do not have credentials that allow you to open this document. You can request updated permission from nhollida@cpandl.com. Do you want to request updated permission?" [Nie masz poświadczeń, które uprawniałyby cię do otwarcia tego dokumentu. Możesz zażądać uprawnień od nhollida@cpandl.com. Czy chcesz zażądać uaktualnionych uprawnień?]

  6. Kliknij No, po czym zamknij program Microsoft Word.

W tym momencie AD RMS jest wdrożone i udało się zademonstrować jego funkcjonowanie na prostym przykładzie ograniczania uprawnień dla dokumentu Microsoft Word 2007. Czytelnik może wykorzystać wykonaną instalację do zapoznania się z innymi możliwościami AD RMS poprzez dodatkową konfigurację i testy.

 Do początku strony Do początku strony

 


Windows Server 2008