AD RMS: Часть 3 – Шаблоны

  • Статья

Илья Рудь

Продолжаем разговор об AD RMS. Напомню, что в конце второй части я пришел к выводу о сложности установки разрешений на документы для обыкновенных пользователей и необходимости автоматизации этой задачи. В AD RMS существует такое понятие как «шаблон RMS», иначе говоря, заготовка или шаблон прав, который может быть применен к любому документу. Что сильно облегчает жизнь, упрощая защиту документа до выбора необходимого шаблона. Самым сложным этапом внедрения шаблонов является планирование. И для начала я предлагаю ознакомиться с подходом к созданию шаблонов самого автора AD RMS, а именно корпорации Microsoft.

Не буду изобретать велосипед и приведу перевод Артема Синицына информации от Microsoft в качестве примера реализации шаблонов.

Начало цитаты:

Для удобства работы пользователей и упрощения соответствия корпоративным политикам защиты электронных документов специалисты ИТ-отдела софтверного гиганта создали пять шаблонов политик AD RMS. Рассмотрим более подробно каждый шаблон из этой пятерки.

Microsoft Confidential – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All Staff, включающая в себя всех внутренних сотрудников компании Microsoft (full-time employees, FTE), всех контрактников и сотрудников вендоров. То есть за пределами компании Microsoft защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность полноценно работать с данными документами.

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр)
  • Save (Сохранить)
  • Edit (Редактирование)
  • Reply (Ответ)
  • Reply All (Ответ всем)
  • Forward (Перенаправление).

Microsoft Confidential Read Only – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All Staff, включающая в себя всех внутренних сотрудников компании Microsoft (FTE), всех контрактников и сотрудников вендоров. То есть за пределами компании Microsoft защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность просматривать данные документы (доступ только на чтение).

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр).

Microsoft FTE Confidential – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All FTE, включающая в себя только внутренних сотрудников компании Microsoft (full-time employees, FTE). То есть за пределами компании Microsoft, включая всех контрактников и сотрудников вендоров, защищенная этим шаблоном информация будет недоступна, тогда как внутренние сотрудники компании будут иметь возможность полноценно работать с данными документами.

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View (Просмотр)
  • Save (Сохранить)
  • Edit (Редактирование)
  • Reply (Ответ)
  • Reply All (Ответ всем)
  • Forward (Перенаправление).

Microsoft FTE Confidential Read Only – в качестве участника безопасности в данном шаблоне выступает группа рассылки Microsoft All FTE, включающая в себя только внутренних сотрудников компании Microsoft (FTE). То есть за пределами компании Microsoft, включая всех контрактников и сотрудников вендоров, защищенная этим шаблоном информация будет недоступна, тогда как сотрудники компании будут иметь возможность просматривать данные документы (доступ только на чтение).

Данный шаблон предоставляет группе, включающей всех сотрудников компании следующие права доступа:

  • View

Do Not Reply All – единственное назначение данного шаблона политик AD RMS – запретить пользователям использовать кнопку «Reply All (Ответить всем)». Полагаю, многим из нас знакомы случаи, когда две секретарши возмущенно и довольно-таки нескромно обсуждают в почтовой переписке политику нового начальства. А эту переписку читает всё подразделение или, что хуже, вся компания, только лишь потому, что девушки нечаянно, или намеренно, нажали «Ответить всем», вместо «Ответить». В общем, данный шаблон является просто незаменимым средством для предотвращения массовых почтовых рассылок.

Конец цитаты.

Теперь вернемся к нашим реалиям, если не забыли в конце второй части перед нами стояла задача обеспечить начальнику ИТ-отдела Bgates возможность защищать свои документы. При этом сотрудники его отдела должны иметь только одно право – право на их чтение. А все остальные сотрудники компании не могли даже открыть их. Плюс к этому ИТ-менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

Для этого мы создавали две группы безопасности:

 IT F ull – члены группы: bgates, sbalmer.

 IT Read – члены группы**:** bgates, sbalmer, sjobs, msussinovich, ltorvalds

Порядок создания шаблона AD RMS будет следующим:

 1. Создать папку с общим доступом, которая будет хранить шаблоны

 2. Объяснить Office 2007, что шаблоны он должен брать из папки, созданной в п.1

 3. Включить сохранение создаваемых шаблонов в папку из п.1

 4. Создать два шаблона.

Приступим к настройке шаблонов, для этого зайдем на наш сервер AD RMS и первым делом создадим папку общего доступа (я назову ее adrms-templates). Распространять шаблоны можно несколькими способами. Есть вариант доставлять шаблоны на клиента через групповые политики, я же пойду другим путем и создам центральное хранилище шаблонов.

Открывая доступ к папке, я предлагаю дать следующие права*:*

** – Права общего доступа.** Группе Все – Полный доступ.

 – Права NTFS. Учетной записи, от которой работает служба AD RMS (у меня adrmssrv) даем права «Изменение». А пользователю «bgates», т.е тому кто с помощью шаблонов будет защищать документы – «Чтение».

Поясню, установленные разрешения. Учетная запись, от имени которой работает служба AD RMS, должна иметь право «Изменение», чтобы при создании в оснастке «Active Directory Rights Management Services» нового шаблона он автоматически появлялся в папке «adrms-templates». Если мы дадим чтение всем пользователям, то любой желающий сможет защищать документы этим шаблоном. Поскольку мы точно знаем, что защищать будет пользователь Bgates, то и права на папку даем ему. При желании можно настроить видимость будущих шаблонов более гибко, если использовать разрешения на XML-файлы шаблонов вместо папки.

Папку, из которой будут распространяться шаблоны, мы создали, и теперь надо каким-то образом объяснить нашему пользователю Bgates откуда он должен брать шаблоны, в противном случае при попытке защитить документ, Microsoft Office 2007 их просто не увидит.

Указывать папку, хранящую шаблоны, мы будем с помощью групповой политики, но для этого нам понадобится административный шаблон управления Office 2007, который можно скачать с сайта Microsoft. Добавляем этот шаблон в уже созданную во второй части политику «IE Security Zone» и находим параметр «Specify Permission Policy Path».

Включаем параметр  «Specify Permission Policy Path»** и приписываем в нем путь к созданной в первой части статьи папке, будущем хранилище шаблонов. Напомню, что политика в который мы производим данные манипуляции была создана ранее и применяется ко всем пользователям ИТ-отдела. При этом она также добавляет адрес нашего сервера AD RMS в местную интрасеть Internet Explorer.

Открываем оснастку  «Active Directory Rights Management Services» и разворачиваем  «Шаблоны политики прав».** Сразу говорим, куда наш RMS-сервер должен сохранять копии будущих шаблонов, т.е. включаем экспорт и прописываем сетевой путь к нашей папке. Теперь все готово создания самих шаблонов.

Там же в разделе «Шаблоны политики прав» выбираем  «Создание шаблона политики распределенных прав» и запускаем мастер. В нем прописываем имя и назначения шаблона. По картинке видно, что этот шаблон прав будет давать разрешение на чтение. Нажимаем «Далее».

На следующем окне указываем, что право будет даваться группе «it-read». Эта группа имеет адрес электронной почты (обязательное условие), а ее членами являются все сотрудники ИТ-отдела. Из всевозможных прав устанавливаем только одну галочку «Вид». Нажимаем «Готово» и получаем первый созданный шаблон.

Теперь для создания второго шаблона повторяем процедуру запуска мастера. Указываем имя шаблона «IT Full-Read» и краткое описание. Нажимаем «Далее».

Права второго шаблона несколько сложней. Мы также даем группе «it-read» право «Вид», а второй строчкой добавляем группу «it-full» и присваиваем ей права «Полный доступ». А значит, все документы, к которым будет применен этот шаблон, пользователь sbalmer сможет редактировать, сохранять и.т.д. Но самое главное он сможет снимать защиту, сделанную с помощью этого шаблона.

После всех этих манипуляций вы увидите приблизительно такую картину: два шаблона, даты создания и  последнего изменения, а также путь, по которому они хранятся.

Остается проверить работу шаблона в действии. Теперь при попытке пользователя Bgates защитить документ, ему будет предоставлено два шаблона на выбор «IT Full + Read» и «IT Read». Остальные сотрудники отдела, естественно, эти шаблоны видеть не будут, что никак не помешает им работать с документами, которые этими шаблонами защищены.

Теперь сделаем несколько выводов:

1. Если не задано обратное, человек защитивший документ с помощью AD RMS всегда имеет к нему неограниченный доступ. При этом неважно, кто был автором этого документа и владельцем.

2. Если пользователь входит в несколько групп и каждой группе даны свои права, то в результате сотрудник получит результирующие разрешения. Хороший пример sbalmer, он состоит в обеих группах, по одной получает чтение, по другой полный доступ. В результате при шаблоне «IT Full + Read» он работает с полным доступом.

3. Право «Полный доступ» дает возможность снять защиту с документа, поэтому использовать его нужно очень осторожно, для полной свободы в редактировании файла «Полный доступ» не нужен.

Надеюсь, в общих чертах с шаблонами вы познакомились и при необходимости сможете их настроить. В следующей части поговорим о такой роли как «супер-пользователь» и других возможностях AD RMS.