AD Rights Management Services


Active Directory Rights Management Services

Vom demonstra functionalitatea serviciului de Rights Management Services intr-un mediu de testare.

Ce ar trebui sa pregatiti in general, inainte de a configura serviciul de RMS:

  1. Un cont de user obisnuit  (un service account) pentru a asigura o identitate serviciului de RMS si pentru a comunica cu alte servicii. Nu este recomandata instalarea AD RMS pe un DC dar daca acest lucru este necesar atunci contul va trebui sa faca parte din grupul Domain Admins sau Enterprise Admins.
  2. O instanta SQL 2005 sau 2008 instalata fie local fie pe un alt server si permisiunile necesare (System Administrators Database membership). In experimentul nostru vom folosi Windows Internal Database ceea ce ne limiteaza la folosirea unui singur server chiar daca vom creea un asa numit cluster RMS.
  3. Daca se foloseste un “named instance” trebuie pornit serviciul SQL Server Browser pe serverul de baze de date inainte de a instala RMS altfel instalarea nu va gasi cfg DB-ul respectiv.

Vom incepe instalarea rolului ca a oricarui altul din consola de  Server Manager…Nu am pus imagini cu fiecare pas deoarece sunt simpli, am trecut doar ce merita mentionat. Instalarea este destul de “straight forward”…

Se vor specifica baza de date, service accountul mentionat anterior si locul de stocare si modul de distribuire al cheii folosita de clusterul RMS pentru semnarea de certificate. (vezi imaginea de mai jos)

Prima varianta ne ofera posibilitatea de a stoca cheia direct in clusterul RMS si sa o criptam folosind o parola, astfel cand se vor adauga servere RMS in acest cluster aceasta va fi distribuita automat.

A doua varianta ne permite sa selectam noi un CSP (cryptographic service provider) pentru a stoca cheia. In cazul in care optam pentru a doua variata acestea erau optiunile, dar momentan vom merge pe prima varianta.

Vom specifica criptarea comunicarii cu serverul RMS prin SSL folosind un certificat emis de o autoritate interna.

Setam numele clusterului RMS…

Vom specifica adresa serverului “licentiator” care stabileste identitatea serverului catre clienti RMS.

La sfarsit se cere inregistrarea SCP-ului (service connection point) in Active Directory, iar daca membrul cu care sunteti logat face parte din grupul Enterprise Admins apasati Next, daca nu sunteti membru EA atunci selectati optiunea register later.

Gata instalarea. Acum configurarea.

Daca observati pe prima pagina de pe consola AD RMS aveti 2 URL-ri interne care fac trimitere la hostname-ul “ardms”.

Din cate stiu nu cred ca se face automat vreo inregistrare in dns de acest gen asa ca va fi nevoie sa va duceti singuri in consola da DNS si sa adaugati un CNAME care sa faca trimitere sa la hostname-ul serverului de RMS.

Adaugati service accountul pentru RMS in grupul local de Administrators pe serverul de RMS.

Stabiliti un folder share-uit la care utilizatorii sa aiba drept de read, iar service accountul pentru RMS sa aiba drept de write.

Deschideti consola de RMS si faceti click dreapta-proprietati pe nodul de Rights Policy Templates.

Bifati optiunea pentru export. Specificati calea catre share-ul stabilit pentru stocarea template-urilor.

Daca contul de ADRMS nu are drept de scriere va returna un mesaj prin care va zice acest lucru, caz in care trebuie sa revedeti setarile NTFS de pe share-ul respectiv.

Acum puteti crea un policy template care va stabili ce reguli si conditii se vor aplica continutului pe care vreti sa il protejati. Aici se pot stabili grupuri carora sa li se aplice setarile si ce anume sa li se aplice. Mai jos am facut o configurare simpla dar puteti vedea din optiuni ca setarile sunt foarte flexibile, putandu-se stabili si un interval de timp dupa care sa expire.

Gata si cu partea de configurare a serverului…

Acum pe partea de client trebuie deasemenea configurat cate ceva.

Daca aveti Vista sau 7 aveti noroc, clientul de RMS este deja instalat. Daca aveti XP trebuie sa descarcati clientul. Vezi Client requirements:

http://technet.microsoft.com/en-us/library/dd772753(v=ws.10).aspx

Acum, pe clientul de Windows 7 navigam la Scheduled Tasks si vedem in dreptul nodului de Rights Management Services doua taskuri. Una se numeste Automatic, cealalta Manual.

Taskul automat functioneaza pentru masini care sunt domain joined. Vom da Enable acestui task, si run pentu a vedea ca ruleaza fara probleme. Taskul manual functioneaza pentru utilizatori de domeniu dar care folosesc masini ce nu fac parte din domeniu.

Daca vrem sa activam pe toate masinile din domeniu putem folosi Group Policy si sa cream un script, care sa ruleze urmatoarea comanda:

schtasks /Change /TN “\Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)” /ENABLE

Apoi mai este nevoie sa facem urmatoarea modificare in registri (putem folosi tot Group Policy, un script, sau Group Policy Preferences). Cheia este urmatoarea:

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM

Faceti clieck dreapta pe DRM, New si selectati Expandable String Value, iar la valoare treceti AdminTemplatePath.

Deschideti noua cheie AdminTemplatePath si scrieti:

%LocalAppData%\Microsoft\DRM\Templates

Apasati ok si close.

Daca aveti de exemplu Windows 7 pe 64 de biti trebuie sa modificati cheia si in HKEY_CURRENT_USER\Software\Wow6432Node\.

Acum o sa trebuiasca sa asteptam ceva timp (unele articole MS spun de o ora).

Asa se configureaza clientul automat.

Se mai poate face si manual, pasi difera putin, respectiv valoarea inregistrarii AdminTemplatePath va contine urmatorul string:

%LocalAppData%\Microsoft\DRM\Templates_Manual

Verifica calea C:\Users\UserName\AppData\Local\Microsoft\DRM\Templates\ ca directorul exista.

Verifica ca ai access la share-ul de pe server unde se tin template-urile si copiaza-le local in folderul de mai sus.

Avand template-urile local, fata de locatia din retea, clientii pot aplica restrictii in mod offline, ne mai fiind nevoie de acces la serverul de RMS.

Acum sa verificam…

Avem doi utilizatori pentru care avem configurat camplu de email din AD, repectiv Gheorghe@abc.local si Vasile@abc.local .

Fiind logat cu contul meu am creat un document Word pe care am ales sa il protejez si sa-I dau lui Gheorghe drept de citire fara drept de salvare, trimitere ca atasament sau modificare.

Acum sa verifica cu acei useri sa vedem daca intradevar se aplica ce am configurat.

Asta va vedea Gheorghe.

Dupa cum se observa Gheo are doar drept de citire, nu poate salva sau lista documentul (cel putin teoretic). Daca va ganditi ca poate merge cu Save & Send, am verificat deja, nu merge.

Cam asta este povestea noastra cu AD RMS. Desigur mai sunt si alte scenarii de integrare cu Exchange , Sharepoint, cateva chestii interesante legate de rapoarte in AD RMS dar cu alta ocazie voi scrie si despre asta.

Link-uri utile:

AD RMS Technet:

http://technet.microsoft.com/en-us/library/cc771234(v=ws.10).aspx

AD RMS Best Practice Analyser:

http://www.microsoft.com/en-us/download/details.aspx?id=1460

AD RMS Exchange Integration:

http://technet.microsoft.com/en-us/library/ee849857(v=ws.10).aspx

Tutoriale video pentru AD RMS:

VIDEO Tutorials AD RMS

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s