Обзор службы управления правами Active Directory
Применимо к:Windows Server 2012 R2, Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Знали ли вы, что Microsoft Azure предоставляет аналогичные функциональные возможности в облаке? Подробнее о решениях для удостоверений Microsoft Azure. Создание гибридного решения для удостоверений в Microsoft Azure: |
В данном документе представлен обзор служб управления правами Active Directory (AD RMS) в Windows Server® 2012. AD RMS является ролью сервера, предоставляющей средства управления и разработки, которые работают с отраслевыми технологиями безопасности — включая шифрование, сертификаты и проверку подлинности, — помогающими организациям создавать надежные решения для защиты информации.
Возможно, вы имели в виду...
Описание роли
Службы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM).
AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа.
С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений.
Примечание
AD RMS, работающие под управлением Windows Server 2012 R2 или Windows Server 2012, соответствуют требованиям стандарта FIPS 140-2, при развертывании этой роли сервера согласно описанию в разделе Проблемы соответствия FIPS для RMS.
Практическое применение
Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.
Постоянные политики использования, которые остаются с информацией независимо от ее перемещения, отправки или пересылки.
Дополнительный уровень конфиденциальности для защиты конфиденциальных данных — например, отчетов, спецификаций продуктов, сведений о клиентах и сообщений электронной почты — от намеренного или случайного попадания в чужие руки.
Предотвращение несанкционированной пересылки, копирования, изменения, печати, передачи по факсу или вставки ограничиваемого содержимого авторизованными получателями.
Предотвращение копирования ограничиваемого содержимого с помощью функции PRINT SCREEN в Microsoft Windows.
Поддержка срока действия файла, предотвращающего просмотр содержимого документов по истечении заданного периода времени.
Внедрение корпоративных политик, управляющих использованием и распространением содержимого в организации.
Решения, основанные на IRM и поддерживающие AD RMS, не могут предотвратить все виды угроз безопасности конфиденциальных документов или предотвратить раскрытие читаемой с экрана информации при всех обстоятельствах. Далее перечислены некоторые виды угроз безопасности документов, для которых службы AD RMS не предназначены или которые они не могут нейтрализовать.
Стирание, кража, захват и передача содержимого вредоносными программами, такими как вредоносные программы типа "троянский конь", клавиатурные шпионы и определенные виды программ-шпионов.
Потеря или повреждение содержимого в результате действий компьютерных вирусов.
Ручное копирование или перепечатывание ограничиваемого содержимого с экрана получателя.
Создание получателем цифровой фотографии ограничиваемого содержимого, отображаемого на экране.
Копирование ограничиваемого содержимого с помощью сторонних программ захвата экрана.
Подробнее об использовании служб управления правами Active Directory (AD RMS) для разработки безопасного совместного использования документов см. в разделе Проектирование архитектуры служб управления правами Active Directory (AD RMS) и сценарии безопасного сотрудничества.
Сведения о том, как с помощью AD RMS можно защитить все типы файлов, см. в разделе Как RMS защищает все типы файлов — с помощью приложения для управления доступом RMS.
Новые и измененные функции
Версия AD RMS для Windows Server 2012 содержит ряд усовершенствований. Подробнее об этом можно прочитать в статье Новые возможности служб управления правами Active Directory
Сведения о диспетчере сервера
Установка службы ролей Служба управления правами Active Directory может быть выполнена с использованием диспетчера сервера. Можно установить следующие службы ролей.
Служба роли |
Описание |
|---|---|
Сервер управления правами Active Directory |
Сервер управления правами Active Directory является требуемой службой ролей, которая устанавливает все компоненты Служба управления правами Active Directory, используемые для публикации и использования защищенного содержимого. |
Поддержка федерации удостоверений |
Поддержка федерации удостоверений — это дополнительная служба ролей, позволяющая федеративным удостоверениям использовать защищенное содержимое с помощью служб федерации Active Directory. |
Обновление или миграция
Если вы используете версию Rights Management, для которой требуется обновление или миграция на последнюю версию, используйте следующие ресурсы.
Для обновления до Active Directory Rights Management (AD RMS) или для миграции на эту службу воспользуйтесь следующим руководством: Руководство по миграции и обновлению служб управления правами до служб управления правами Active Directory.
Для миграции на службы управления правами Azure воспользуйтесь следующим руководством: Переход от AD RMS к Azure Rights Management.
См. также:
Следующая таблица предоставляет дополнительные ресурсы для оценки AD RMS.