Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2008 Пошаговые руководства Пошаговое руководство по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory RSS

Пошаговое руководство по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory

Текущий рейтинг: 2.96 (проголосовало 26)
 Посетителей: 11120 | Просмотров: 17263 (сегодня 0)  Шрифт: - +
Club logo

Корпорация Майкрософт
Опубликовано: Май 2007
Автор: Брайан Лич (Brian Lich)
Редактор: Кэролин Эллер (Carolyn Eller)

Аннотация

В этом пошаговом руководстве представлены инструкции по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде.

Об этом руководстве

Это пошаговое руководство проведет Вас через весь процесс создания и развертывания шаблонов политики прав служб управления правами AD RMS в лабораторной среде. В результате выполнения процедур, представленных в этом руководстве, Вы создадите шаблон политики прав AD RMS и установите его на клиентский компьютер, работающий под управлением Windows Vista™ и Microsoft® Office Word 2007. После этого Вы убедитесь в том, что можете создавать на этом компьютере защищенные документы, используя установленный шаблон политики прав AD RMS.

Выполнив все процедуры, представленные в этом руководстве, Вы сможете использовать лабораторную среду AD RMS для того чтобы оценить, каким образом в Вашей организации могут быть созданы и развернуты шаблоны политики прав служб AD RMS Windows Server 2008.

Следуя инструкциям данного руководства, Вы выполните следующие действия:

  • Создадите шаблон политики прав AD RMS.

  • Произведете развертывание шаблона политики прав AD RMS.

  • Проверите работу служб AD RMS после завершения необходимых настроек.

Развертывание служб AD RMS производится с целью защиты информации независимо от того, где она будет использоваться. Как только защита AD RMS добавлена в файл, этот файл будет оставаться защищенным вне зависимости от своего местоположения. По умолчанию защиту может снять только владелец файла. Он также может предоставить другим пользователям права на определенные действия с содержимым файла, такие как просмотр, копирование или печать.

Чего Вы не найдете в этом руководстве

Следующая информация не представлена в этом руководстве:

  • Инструкции по настройке и конфигурированию служб AD RMS в рабочей или лабораторной среде. Предполагается, что службы AD RMS уже сконфигурированы для использования в лабораторной среде. Для получения дополнительной информации о конфигурировании служб AD RMS обратитесь к статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN).

  • Полная техническая информация о службах AD RMS или о развертывании шаблонов политики прав AD RMS в Вашей организации. В больших организациях развертывание шаблонов AD RMS может осуществляться с помощью таких инструментов, как Systems Management Server (SMS) или групповая политика.

Развертывание служб AD RMS в лабораторной среде

Мы рекомендуем выполнять все процедуры, представленные в этом руководстве, в лабораторной среде. В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ. Прежде чем начать выполнять процедуры, представленные в этом руководстве, Вам необходимо выполнить в лабораторной среде все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В этой статье представлены основные шаги по подготовке базовой инфраструктуры служб AD RMS, включающей в себя кластер AD RMS, службу регистрации AD RMS, а также контроллер домена. Эти шаги должны быть выполнены прежде, чем Вы приступите к работе с настоящим документом. После выполнения всех процедур, представленных в настоящем документе, в Вашем распоряжении окажется функционирующая лабораторная среда, включающая в себя шаблон политики прав AD RMS. Вы сможете проверить работоспособность шаблона AD RMS, установив с его помощью разрешения на документ Microsoft Office Word 2007.

Лабораторная среда, описываемая в этом руководстве, включает в себя четыре компьютера, подключенных к частной сети организации и сконфигурированных в соответствии с приведенной ниже таблицей:

Имя компьютера

Операционная система

Приложения и службы

ADRMS-SRV

Windows Server 2008

AD RMS, Internet Information Services (IIS) 7.0, Message Queuing, Windows Internal Database

CPANDL-DC

Windows Server 2003 с пакетом обновлений Service Pack 1 (SP1)

Active Directory, Domain Name System (DNS)

ADRMS-DB

Windows Server 2003 с пакетом обновлений SP1

Microsoft SQL Server™ 2005 Standard Edition

ADRMS-CLNT

Windows Vista™

Microsoft Office Word 2007 Enterprise Edition

Все компьютеры подключены к частной интрасети через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server. В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC.

На следующем рисунке изображена конфигурация лабораторной среды:

*

Шаг 1. Создание общей сетевой папки кластера служб AD RMS

Для упрощения администрирования шаблонов AD RMS, Вы можете хранить их централизованно, обеспечивая возможность их копирования на клиентские компьютеры с помощью таких инструментов, как Systems Management Server или групповая политика. В этом руководстве копирование шаблонов AD RMS будет выполняться вручную.

*Примечание

Для правильной работы функции экспорта шаблонов AD RMS учетная запись служб AD RMS должна иметь разрешение на запись в папку, в которой хранятся указанные шаблоны.

Для создания общей папки шаблонов политики прав AD RMS и установки необходимых разрешений для учетной записи службы AD RMS выполните следующую процедуру.

* Для создания общей папки шаблонов AD RMS и установки необходимых разрешений выполните следующие действия:

  1. Войдите на компьютер ADRMS-SRV под учетной записью CPANDL\Administrator.

  2. В меню Start щелкните значок Computer и в открывшемся окне дважды щелкните значок Local Disk (C:).

  3. Создайте новую папку с именем ADRMSTemplates. Для этого в меню Organize выберите команду New Folder, введите имя папки ADRMSTemplates и нажмите клавишу ENTER.

  4. Правой кнопкой мыши щелкните на имени папки ADRMSTemplates и в контекстном меню выберите пункт Properties.

  5. Перейдите на вкладку Sharing и нажмите кнопку Advanced Sharing.

  6. Установите флажок Share this Folder и нажмите кнопку Permissions.

  7. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.

  8. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com) и в столбце Allow списка Permissions for ADRMSSRVC установите флажок Change.

  9. Дважды нажмите кнопку OK.

  10. Перейдите на вкладку Security и нажмите кнопку Edit.

  11. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.

  12. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com), в столбце Allow списка Permissions for ADRMSSRVC установите флажок Modify и нажмите кнопку OK.

  13. Нажмите кнопку Close.

Шаг 2. Создание шаблона политики прав AD RMS

Как было упомянуто выше, шаблоны AD RMS создаются на кластере служб AD RMS и затем экспортируются в общую папку. Если пользователи будут использовать работающие с AD RMS приложения только тогда, когда они подключены к внутренней сети, то они в любой момент смогут получить доступ к этим шаблонам. В этом случае все клиенты служб AD RMS должны иметь разрешение на чтение из общей папки, в которой хранятся шаблоны политики прав AD RMS.

В качестве альтернативного варианта, шаблоны AD RMS могут быть скопированы из общей папки на клиентские компьютеры. Это позволяет работать с шаблонами даже тогда, когда компьютер пользователя не подключен к сети, например, в случаях использования ноутбуков или других мобильных устройств. В этом руководстве будет рассмотрен именно этот вариант, поскольку он является наиболее распространенным.

*Для создания шаблона политики прав AD RMS выполните следующие действия:

  1. Откройте консоль администрирования служб Active Directory Rights Management Services. Для этого в меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Rights Management Services.

  2. В консоли Active Directory Rights Management Services выберите узел LocalHost.

  3. В области Tasks, расположенной в средней панели консоли, щелкните ссылку Manage rights policy templates.

  4. Чтобы разрешить экспорт шаблонов политики прав AD RMS, щелкните ссылку Properties в области действий Actions.

  5. Установите флажок Enable export, в поле Specify templates file location (UNC) введите \\adrms-srv\ADRMSTemplates и нажмите кнопку OK.

  6. В области действий Actions щелкните ссылку Create Distributed Rights Policy Template, чтобы запустить мастер создания распространяемого шаблона политики прав.

  7. Нажмите кнопку Add.

  8. В раскрывающемся списке Language выберите нужный язык для шаблона политики прав.

  9. Введите CPANDL.COM CC в поле Name.

  10. Введите CPANDL.COM Company Confidential в поле Description и нажмите кнопку Add.

  11. Нажмите кнопку Next.

  12. Нажмите кнопку Add, в поле The e-mail address of a user or group введите employees@cpandl.com и нажмите кнопку OK.

  13. В списке разрешений установите флажок View, чтобы разрешить группе EMPLOYEES@CPANDL.COM чтение любого документа, созданного при использовании шаблона политики прав AD RMS.

  14. Нажмите кнопку Finish.

Шаг 3. Настройка клиента служб AD RMS

Клиент служб AD RMS включен в операционную систему Windows Vista по умолчанию. Предыдущие его версии для других операционных систем семейства Windows можно загрузить из Интернета.

В этом руководстве предполагается, что кластер служб AD RMS уже настроен в лабораторной среде. Для того чтобы шаблоны политики прав AD RMS были доступны с клиентского компьютера, требуется его дополнительная настройка, заключающаяся в копировании шаблонов AD RMS на компьютер и создании записи в реестре, указывающей на их расположение.

*Чтобы создать папку для хранения защищенного содержимого, выполните следующие действия:

  1. Войдите на компьютер ADRMS-CLNT под учетной записью администратора.

  2. В меню Пуск щелкните значок Компьютер.

  3. Дважды щелкните значок Локальный диск (C:).

  4. Создайте новую папку с именем ADRMSDocs. Для этого в меню Упорядочить выберите команду Новая папка, введите имя папки ADRMSDocs и нажмите клавишу ENTER.

  5. Правой кнопкой мыши щелкните на имени папки ADRMSDocs и в контекстном меню выберите пункт Свойства.

  6. Перейдите на вкладку Безопасность и нажмите кнопку Изменить.

  7. В списке Группы или пользователи выберите учетную запись Пользователи (ADRMS-SRV\Пользователи), в столбце Разрешить списка Разрешения для Пользователи установите флажок Изменение.

  8. Дважды нажмите кнопку OK.

Чтобы клиентский компьютер смог обнаружить шаблоны AD RMS, Вы должны скопировать их на локальный диск и добавить запись в системный реестр. Для этого необходимо выполнить следующую процедуру, после чего можно будет создавать защищенное содержимое.

* Для обеспечения доступа пользователей компьютера ADRMS-CLNT к шаблонам AD RMS выполните следующие действия:

  1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (nhollida@cpandl.com).

  2. Откройте меню Пуск, в поле быстрого поиска введите команду regedit.exe и щелкните значок regedit в меню Программы.

  3. Перейдите в следующий раздел реестра:

  4. HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

    *Примечание

    Если раздел DRM еще не был создан, Вы должны создать его вручную.

  5. Выберите раздел DRM, откройте меню Правка, затем меню Создать, выберите параметр Расширяемый строковый параметр и введите имя параметра AdminTemplatePath.

  6. Дважды щелкните на имени параметра AdminTemplatePath и в поле Значение введите %UserProfile%\AppData\Microsoft\DRM\Templates, где в качестве значения переменной %UserProfile% нужно указать папку «C:\Пользователи\<имя пользователя>». Нажмите кнопку OK.

  7. Закройте редактор реестра.

  8. Убедитесь, что папка «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates\» существует. В противном случае создайте ее.

  9. Откройте меню Пуск, в поле быстрого поиска введите \\ADRMS-SRV\ADRMSTemplates и нажмите клавишу ENTER.

  10. Скопируйте экспортированные шаблоны политики прав AD RMS из папки «\\ADRMS-SRV\ADRMSTemplates» в папку «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates».

*Примечание

Если Вы не планируете использовать шаблоны политики прав AD RMS при отключении от сети, то их не обязательно копировать на клиентский компьютер.

Шаг 4. Проверка работы служб AD RMS

Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и, используя шаблон политики прав AD RMS, созданный ранее в этом руководстве, наложите ограничения на использования документа Microsoft Word 2007 таким образом, чтобы пользователи группы Employees компании CP&L могли просматривать документ, но не могли редактировать, распечатывать или копировать его. Все другие пользователи не будут иметь вообще никаких разрешений на работу с этим документом. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, являющегося членом группы Employees компании CP&L, Вы убедитесь, что данный пользователь может просматривать защищенный документ, но не может распечатывать его.

*Для наложения ограничений на документ Microsoft Word выполните следующие действия:

  1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (cpandl\nhollida).

  2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.

  3. Напечатайте в новом документе фразу «Пользователи группы CP&L Employees не могут распечатывать этот документ», нажмите кнопку Office, откройте меню Подготовить, затем меню Ограничить разрешения и выберите пункт с названием шаблона политики прав CPANDL.COM CC. В диалоговом окне Выбор пользователя выберите запись nhollida@cpandl.com и нажмите кнопку OK.

  4. Нажмите кнопку Office, откройте меню Сохранить как и сохраните файл под именем \\ADRMS-DB\public\ADRMS-TST.docx.

  5. Завершите сеанс работы пользователя Nicole Holliday.

Теперь войдите на компьютер под учетной записью пользователя Stuart Railson и откройте файл ADRMS-TST.docx.

*Для просмотра защищенного документа выполните следующие действия:

  1. Войдите на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson (srailson@cpandl.com).

  2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.

  3. Нажмите кнопку Office, выберите меню Открыть, перейдите в папку «\\ADRMS-DB\public» и дважды щелкните файл ADRMS-TST.docx.

  4. Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях».

  5. Нажмите кнопку OK.

  6. Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…»

  7. Когда документ откроется, нажмите кнопку Office. Обратите внимание, что меню Печать недоступно.

  8. В строке сообщений нажмите кнопку Просмотреть разрешения. В этой строке должно отображаться, что к документу был применен шаблон политики прав AD RMS.

  9. Нажмите кнопку OK, чтобы закрыть диалоговое окно Мои разрешения. Закройте программу Microsoft Word.

Поздравляем! Вы успешно настроили и проверили работу шаблонов политики прав AD RMS, используя простой сценарий – применение шаблона политики прав к документу Microsoft Word 2007. Вы можете использовать существующую лабораторную среду для изучения остальных возможностей служб AD RMS, производя дополнительные настройки и выполняя необходимые Вам действия.




Обсуждение статьи на форуме
Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 19.10.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.