Step by Step How to Installing and Configuring AD RMS in Windows Server 2016
Active Directory Rights Management Services (AD RMS) Data leakage is the unauthorized transmission of information – either to people within the organization or people outside the organization – who should not be able to access that information. One of the major advantages of using AD RMS over other security features such as NTFS permission is that AD RMS permission travels along with the documents.
AD RMS integrates with existing Microsoft products and OS including Windows Server, Exchange Server, SharePoint Server, Microsoft Office Suite and Microsoft Azure.
AD RMS can protect data in transit and at rest. For example, AD RMS can protect documents that are sent as email messages by ensuring that a message cannot be opened even if it is accidentally addressed to the wrong recipient.
When to use AD RMS?
For example, you Finance Manager copies a spreadsheet file containing the compensation packages of an organization’s executives from a protected folder on a file server to the Manager’s personal USB drive. During the commute home, the Manager leaves the USB drive on the train, where someone with no connection to the organization finds it. Without AD RMS, whoever finds the USB drive can open the file. With AD RMS, it is possible to ensure that the file cannot be opened by unauthorized users.
AD RMS uses rights policy templates to enforce a consistent set of policies to protect content. When configuring AD RMS, you need to develop strategies to ensure that users can still access protected content from a computer that is not connected to the AD RMS cluster.
You also need to develop strategies for excluding some users from being able to access AD RMS – protected content, and strategies to ensure that protected content can be recovered in the event that it has expired, the template has been deleted, or if the author of the content is no longer available.
Rights policy templates allow you to configure standard methods of implementing AD RMS policies across the organization.
For example, you can configure standard templates that grant view-only rights, block the ability to edit, save, and print, or if used with Exchange Server, block the ability to forward or reply to messages.
AD RMS templates support the following rights:
Full Control: Gives a user full control over an AD RMS – protected document.
View: Gives a user the ability to view an AD RMS – protected document.
Edit: Allows a user to modify an AD RMS – protected document.
Save: Allows a user to use the Save function with an AD RMS – protected document.
Export: (Save as). Allows a user to use the Save As function with an AD RMS – protected document.
Print: Allows an AD RMS – the protected document to be printed.
Forward: Used with Exchange Server. Allows the recipient of an AD RMS – protected message to forward that message.
Reply: Used with Exchange Server. Allows the recipient of an AD RMS – protected message to reply to that message.
Reply All: Used with Exchange Server. Allows the recipient of an AD RMS–protected message to use the Reply All function to reply to that message.
Extract: Allows the user to copy data from the file. If this right is not granted, the user cannot copy data from the file.
Allow Macros: Allows the user to utilize macros.
View Rights: Allows the user to view assigned rights.

Edit Rights: Allows the user to modify the assigned rights. For this Demo, as usual, I still am using my existing small Infrastructure which is DC_Server.NewHelpTech.lk and SUB_Server01.NewHelpTech.lk.
1 – Let’s start by Creating AD RMS Service Account on Domain Server (Service account – Microsoft recommends using a standard domain user account with additional permissions. You can use a managed service account as the AD RMS service account).

2 – On the DC-Server server, open Active Directory User & Computers and Create New OU call Service Accounts. 

3 – Next, Create New User call ADRMSVC with the complete password. 



4 – Next, Create New Group in Users container call ADRMS_SuperUsers and Create another Group call Executives. 



5 – Next, Add few users to Executives group, for this Demo I choose My Four of my HR users to join the Executive group. 





6 – Next, still on the DC-Server, Open the DNS Manager and Add New Host call ADRMS with SUB-SERVER-01 IP Address, On the DNS Manager, right-click NewHelpTech.lk and click New Host (A or AAAA).
7 – In the New Host box, enter the following information, and then click Add Host:
- Name: ADRMS
- IP address: 172.16.1.200
Click OK, and then click Done. 
Orait, we now successfully Add new ADRMS Users & Groups to the AD and also configure DNS so that New ADRMS resource record created.
8 – Next, log in to SUB-SERVER-01.NewHelpTech.lk to start to Install and configure the AD RMS server role.
Open the Server Manager, click Manage, and then click Add Roles and Features, in the Add Roles and Features Wizard, click Next 3 times.

9 – Then click Next 4 times.

10 – Next, click Install to proceed.

11 – Click Close when installation successful. 

12 – Next, on the All Servers Task Details page, click Perform Additional Configuration.

13 – In the AD RMS Configuration: SUB_SERVER-01.NewHelpTech.lk box, click Next.


14 – On the AD RMS Cluster box, click Create a New AD RMS root cluster, and then click Next.
15 – On the Configuration Database box, click Use Windows Internal Database on this server, and then click Next to proceed.

16 – On the Service Account page, click Specify, then in the Windows Security box enter ADRMSVC as a Username and enter the password, then click OK and Next.



17 – On the Cryptographic Mode box, click Cryptographic Mode 2, and then click Next.

18 – On the Cluster Key Storage box, click Use AD RMS centrally managed key storage, and then click Next.

19 – On the Cluster Key Password box, enter the password and then click Next.

20 – On the Cluster Web Site box, verify that Default Web Site is selected, and then click Next.

21 – On the Cluster Address box, provide the following information, and then click Next to proceed :
- Connection Type: Use an unencrypted connection (http://)
- Fully Qualified Domain Name: NewHelpTech.lk
- Port: 80

22 – On the Licensor Certificate box, type NewHelpTech ADRMS, and then click Next.

23 – On the SCP Registration box, click Register the SC P now, and then click Next to proceed.

24 – Click Install, and then click Close when installation successful.


25 – Next, open the Internet Information Services (IIS), Manager.

26 – In Internet Information Services (IIS) Manager, expand Sites\Default Web Site and click _wmcs, then under /_wmcs Home, double-click Authentication.

27 – Then right-click Anonymous Authentication and click Enable.

28 – In the Connections pane, expand _wmcs and click licensing and double-click Authentication.

29 – Right-click Anonymous Authentication and click Enable, then close IIS Manager.

“You must sign out before you can manage AD RMS”

Next, let’s configure AD RMS super users group for SUB_SERVER-01.
30 – In Server Manager, click Tools and then click Active Directory Rights Management Services.

31 – In the Active Directory Rights Management Services console, expand the SUB_SERVER-01 node and then click Security Policies.

32 – In the Security Policies area, under Super Users, click Enable Super User.


33 – In the Super Users box, in the Superuser group text box, type ADRMS_Superusers@NewHelpTech.lk, and then click OK.





34 – Open the Active Directory Rights Management Services console, then click Rights Policy Templates node and then in the Actions pane, click Create Distributed Rights Policy Template.
35 – In the Create Distributed Rights Policy Template Wizard box, on the Add Template Identification information box, click Add.

36 – On the Add New Template Identification Information box, enter the following information and then click Add and click Next to proceed.
- Language: English (United States)
- Name: ReadOnly


37 – On the Add User Rights box, click Add, then on the Add User or Group page, type executives@NewHelpTech.lk and then click OK to proceed.



38 – When executives@NewHelpTech.lk is selected, under Rights, click View. Verify that Grant owner (author) full control right with no expiration is selected, and then click Next.

39 – On the Specify Expiration Policy box, choose the following settings and then click Next:
- Content Expiration: Expires after the following duration (days): 14
- Use license expiration: Expires after the following duration (days): 14

40 – On the Specify Extended Policy box, click Require a new use license every time content is consumed (disable client-side caching), click Next, and then click Finish.


“Next step, let’s Configure the rights policy template Distribution”
41 – On the SUB_Server-01, open Windows PowerShell, and type:
New-Item c:\RMSTemplates -ItemType Directory

New-SmbShare -Name RMSTEMPLATES -Path c:\RMSTemplates -FullAccess NewHelpTech\ADRMSVC

New-Item c:\DocShare -ItemType Directory

New-SmbShare -Name docshare -Path c:\DocShare -FullAccess Everyone

45 – Open the Active Directory Rights Management Services console, click the Rights Policy Templates node, and in the Distributed Rights Policy Templates area, click Change distributed rights policy templates file location, then in the Rights Policy Templates dialog box, click Enable Export.


46 – Next, in the Specify Templates File Location (UNC), type \\SUB_SERVER-01\RMSTEMPLATES, and then click OK.

47 – Next, open Windows Explorer and navigate to the C:\rmstemplates folder, and verify that ReadOnly.xml are Present.

Now, you have successfully configured AD RMS templates.
Verifying AD RMS Client
1 – Switch and sign in to CLIENT-01 as NewHelpTech\A.

2 – Open the Internet options, click the Security tab, click Local intranet, and then click Sites.

3 – Click Advanced, type http://NewHelpTech.lk in the Add this website to the zone and then click Add.


4 – Open a blank Word 2016 document and then type a Descriptive message in the document.

5 – Click Protect Document using the File tab and navigate to Restrict AccessRestricted Access then Connect to Rights Management Services.

6 – Select the Restrict permission to this Document checkbox in the Permission dialog box, and then type B@NewHelpTech.lk in the Read text box.
7 – Type C@NewHelpTech in the Change text box.
8 – Click OK to close the Permission dialog box.
9 – Switch user as NewHelpTech\B and open File Explorer, and then browse to \\SUB_SERVER-01\ADMSV.
11 – Try to open the Test.docx file. Notice the message that displays.
12 – Click View Permission and verify that B user has the view permission.
Good luck! Just give it try – I’m sure you’ll love it as well. If you have any comments or questions on feel free to contact me.
Установка и настройка ADRMS на Windows Server 2012 R2
02.11.2015
itpro
Windows Server 2012 R2
Комментариев пока нет
В этой статье мы покажем как развернуть и задействовать для защиты контента службу Active Directory Right Management Services (ADRMS) на базе Windows Server 2012 R2 в организация масштаба small и middle-size.
В первую очередь кратко напомним о том, что такое служба AD RMS и зачем она нужна. Служба Active Directory Right Management Services – одна из стандартных ролей Windows Server, позволяющая организовать защиту пользовательских данных от несанкционированного использования. Защита информации реализуется за счет шифрования и подписывания документов, причем владелец документа или файла может сам определить, каким пользователям можно открывать, редактировать, распечатывать, пересылать и выполнять другие операции с защищенной информацией. Нужно понимать, что защита документов с помощью ADRMS возможно только в приложениях, разработанных с учетом этой службы (AD RMS-enabled applications). Благодаря AD RMS можно обеспечить защиту конфиденциальных данных как внутри, так и за пределами корпоративной сети.
Несколько важных требования, которые нужно учесть при планировании и развертывании решения AD RMS:
- Желательно использовать выделенный сервер AD RMS. Не рекомендуется совмещать роль AD RMS с ролью контроллера домена, сервера Exchange, SharePoint Server или центра сертификации (CA)
- У пользователей AD должен быть заполнен атрибут email
- На компьютерах пользователей RMS сервер должен быть добавлен в зону доверенных сайтов IE (Trusted Sites). Проще всего это сделать с помощью групповой политики.
Прежде чем приступить непосредственно к развертыванию ADRMS, нужно выполнить ряд подготовительных шагов. В первую очередь необходимо создать в Active Directory отдельную сервисную запись для ADRMS с бессрочным паролем, например с именем svc-adrms (для службы ADRMS можно создать и особую управляемую учетную запись AD — типа gMSA).

В DNS-зоне создадим отдельную ресурсную запись, указывающую на AD RMS сервер. Допустим его имя будет – adrms.

Приступим к установке роли ADRMS на сервере с Windows Server 2012 R2. Откройте консоль Serve Manager и установите роль Active Directory Rights Management Service (здесь все просто – просто соглашайтесь с настройками и зависимостями по-умолчанию).

После того, как установка роли ADRMS и сопутствующих ей ролей и функций закончится, чтобы перейти в режим настройки роли ADRMS, щелкните по ссылке Perform additional configuration.

В мастере настройки выберем, что мы создаем новый корневой кластер AD RMS (Create a new AD RMS root cluster).

В качестве базы данных RMS будем использовать внутреннюю базу данных Windows (Use Windows Internal Database on this server).

Затем укажем созданную ранее сервисную учетную запись (svc-adrms), используемый криптографический алгоритм, метод хранения ключа кластера RMS и его пароль.




Осталось задать веб-адрес кластера AD RMS, к которому будут обращаться RMS-клиенты (рекомендуется использовать защищенное SSL соединение).

Не закрывайте мастер настройки AD RMS!
Следующий этап – установка SSL-сертификата на сайт IIS. Сертификат может быть самоподписаным (в дальнейшем его нужно будет добавить в доверенные на всех клиентах), или выданным корпоративным/внешним центром сертификации (CA). Сформируем сертификат с помощью уже имеющегося корпоративного CA. Для этого откройте консоль IIS Manager (inetmgr) и перейдите в раздел Server Certificates. В правом столбце щелкните по ссылке Create Domain Certificate (создать сертификат домена).

Сгенерируйте новый сертификат с помощью мастера и привяжите его к серверу IIS.

Вернитесь в окно настройки роли AD RMS и выберите сертификат, который планируется использовать для шифрования трафика AD RMS.

Отметьте, что точку SCP нужно зарегистрировать в AD немедленно (Register the SCP now).

На этом процесс установки роли AD RMS закончен. Завершите текущий сеанс (logoff), и перезалогиньтесь на сервер.
Запустите консоль ADRMS.

Для примера создадим новый шаблон политики RMS. Предположим мы хотим создать шаблон RMS, позволяющий владельцу документа разрешить всем просмотр защищенных этим шаблоном писем без прав редактирования/пересылки. Для этого перейдем в раздел Rights Policy Templates и щелкнем по кнопке Create Distributed Rights Policy Template.
Нажав кнопку Add, добавим языки, поддерживаемые этим шаблоном и имя политики для каждого из языков.


Далее укажем, что все (Anyone) могут просматривать (View) содержимое защищенного автором документа.

Далее укажем, что срок окончания действия политики защиты не ограничен (Never expires).

На следующем шаге укажем, что защищенное содержимое можно просматривать в браузере с помощью расширений IE (Enable users to view protected content using a browser add-on).

Протестируем созданный шаблон RMS в Outlook Web App, для чего создадим новое пустое письмо, в свойствах которого нужно щелкнуть по кнопке Set Permissions. В выпадающем меню выберите имя шаблона (Email-View-Onl-For-Anyone).


Отправим письмо, защищенное RMS, другому пользователю.
Теперь посмотрим как выглядит защищенное письмо в ящике получателя.

Как мы видим, кнопки Ответить и Переслать недоступны, а в информационной панели указан используемый шаблон защиты документа и его владелец.
Итак, в этой статье мы описали, как быстро развернуть и задействовать службу AD RMS в рамках небольшой организации. Отметим, что к планированию развертыванию RMS в компаниях среднего и крупного размера нужно подойти более тщательно, т.к. непродуманная структура этой системы может в будущем вызвать ряд неразрешимых проблем.
Предыдущая статья Следующая статья
[РЕШЕНО] Как исправить ошибки, связанные с AD RMS Rights Policy Template Management (Manual)
Основные причины WINDOWS ошибок, связанных с файлом AD RMS Rights Policy Template Management (Manual), включают отсутствие или повреждение файла, или, в некоторых случаях, заражение связанного Microsoft Windows вредоносным ПО в прошлом или настоящем. Возникновение подобных проблем является раздражающим фактором, однако их легко устранить, заменив файл WINDOWS, из-за которого возникает проблема. Мы также рекомендуем выполнить сканирование реестра, чтобы очистить все недействительные ссылки на AD RMS Rights Policy Template Management (Manual), которые могут являться причиной ошибки.
AD RMS Rights Policy Template Management (Manual) для %%os%% и почти для всех версий операционной системы Windows можно скачать ниже. Если у нас нет необходимой копии версии AD RMS Rights Policy Template Management (Manual), вы можете просто нажать кнопку Request (Запрос), чтобы её запросить. Кроме того, Microsoft Corporation также может предоставить вам некоторые редкие файлы, которые отсутствуют в нашем каталоге.
Правильное расположение файла AD RMS Rights Policy Template Management (Manual) является решающим фактором в успешном устранении ошибок подобного рода. Однако, не будет лишним выполнить быструю проверку. Чтобы убедиться в том, что удалось решить проблему, попробуйте запустить Microsoft Windows, и посмотреть выведется ли ошибка.
Пошаговое руководство по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory
В этом пошаговом руководстве представлены инструкции по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде.
Об этом руководстве
Это пошаговое руководство проведет Вас через весь процесс создания и развертывания шаблонов политики прав служб управления правами AD RMS в лабораторной среде. В результате выполнения процедур, представленных в этом руководстве, Вы создадите шаблон политики прав AD RMS и установите его на клиентский компьютер, работающий под управлением Windows Vista™ и Microsoft® Office Word 2007. После этого Вы убедитесь в том, что можете создавать на этом компьютере защищенные документы, используя установленный шаблон политики прав AD RMS.
Выполнив все процедуры, представленные в этом руководстве, Вы сможете использовать лабораторную среду AD RMS для того чтобы оценить, каким образом в Вашей организации могут быть созданы и развернуты шаблоны политики прав служб AD RMS Windows Server 2008.
Следуя инструкциям данного руководства, Вы выполните следующие действия:
• Создадите шаблон политики прав AD RMS.
• Произведете развертывание шаблона политики прав AD RMS.
• Проверите работу служб AD RMS после завершения необходимых настроек.
Развертывание служб AD RMS производится с целью защиты информации независимо от того, где она будет использоваться. Как только защита AD RMS добавлена в файл, этот файл будет оставаться защищенным вне зависимости от своего местоположения. По умолчанию защиту может снять только владелец файла. Он также может предоставить другим пользователям права на определенные действия с содержимым файла, такие как просмотр, копирование или печать.
Чего Вы не найдете в этом руководстве
Следующая информация не представлена в этом руководстве:
• Инструкции по настройке и конфигурированию служб AD RMS в рабочей или лабораторной среде. Предполагается, что службы AD RMS уже сконфигурированы для использования в лабораторной среде. Для получения дополнительной информации о конфигурировании служб AD RMS обратитесь к статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN).
• Полная техническая информация о службах AD RMS или о развертывании шаблонов политики прав AD RMS в Вашей организации. В больших организациях развертывание шаблонов AD RMS может осуществляться с помощью таких инструментов, как Systems Management Server (SMS) или групповая политика.
Развертывание служб AD RMS в лабораторной среде
Мы рекомендуем выполнять все процедуры, представленные в этом руководстве, в лабораторной среде. В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ. Прежде чем начать выполнять процедуры, представленные в этом руководстве, Вам необходимо выполнить в лабораторной среде все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В этой статье представлены основные шаги по подготовке базовой инфраструктуры служб AD RMS, включающей в себя кластер AD RMS, службу регистрации AD RMS, а также контроллер домена. Эти шаги должны быть выполнены прежде, чем Вы приступите к работе с настоящим документом. После выполнения всех процедур, представленных в настоящем документе, в Вашем распоряжении окажется функционирующая лабораторная среда, включающая в себя шаблон политики прав AD RMS. Вы сможете проверить работоспособность шаблона AD RMS, установив с его помощью разрешения на документ Microsoft Office Word 2007.
Лабораторная среда, описываемая в этом руководстве, включает в себя четыре компьютера, подключенных к частной сети организации и сконфигурированных в соответствии с приведенной ниже таблицей:

Все компьютеры подключены к частной интрасети через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server. В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC.
На следующем рисунке изображена конфигурация лабораторной среды:

Шаг 1. Создание общей сетевой папки кластера служб AD RMS
Для упрощения администрирования шаблонов AD RMS, Вы можете хранить их централизованно, обеспечивая возможность их копирования на клиентские компьютеры с помощью таких инструментов, как Systems Management Server или групповая политика. В этом руководстве копирование шаблонов AD RMS будет выполняться вручную.
Для правильной работы функции экспорта шаблонов AD RMS учетная запись служб AD RMS должна иметь разрешение на запись в папку, в которой хранятся указанные шаблоны.
Для создания общей папки шаблонов политики прав AD RMS и установки необходимых разрешений для учетной записи службы AD RMS выполните следующую процедуру.
Для создания общей папки шаблонов AD RMS и установки необходимых разрешений выполните следующие действия:
1. Войдите на компьютер ADRMS-SRV под учетной записью CPANDL\Administrator.
2. В меню Start щелкните значок Computer и в открывшемся окне дважды щелкните значок Local Disk (C:).
3. Создайте новую папку с именем ADRMSTemplates. Для этого в меню Organize выберите команду New Folder, введите имя папки ADRMSTemplates и нажмите клавишу ENTER.
4. Правой кнопкой мыши щелкните на имени папки ADRMSTemplates и в контекстном меню выберите пункт Properties.
5. Перейдите на вкладку Sharing и нажмите кнопку Advanced Sharing.
6. Установите флажок Share this Folder и нажмите кнопку Permissions.
7. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.
8. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com) и в столбце Allow списка Permissions for ADRMSSRVC установите флажок Change.
9. Дважды нажмите кнопку OK.
10. Перейдите на вкладку Security и нажмите кнопку Edit.
11. Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.
12. В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com), в столбце Allow списка Permissions for ADRMSSRVC установите флажок Modify и нажмите кнопку OK.
13. Нажмите кнопку Close.
Шаг 2. Создание шаблона политики прав AD RMS
Как было упомянуто выше, шаблоны AD RMS создаются на кластере служб AD RMS и затем экспортируются в общую папку. Если пользователи будут использовать работающие с AD RMS приложения только тогда, когда они подключены к внутренней сети, то они в любой момент смогут получить доступ к этим шаблонам. В этом случае все клиенты служб AD RMS должны иметь разрешение на чтение из общей папки, в которой хранятся шаблоны политики прав AD RMS.
В качестве альтернативного варианта, шаблоны AD RMS могут быть скопированы из общей папки на клиентские компьютеры. Это позволяет работать с шаблонами даже тогда, когда компьютер пользователя не подключен к сети, например, в случаях использования ноутбуков или других мобильных устройств. В этом руководстве будет рассмотрен именно этот вариант, поскольку он является наиболее распространенным.
Для создания шаблона политики прав AD RMS выполните следующие действия:
1. Откройте консоль администрирования служб Active Directory Rights Management Services. Для этого в меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Rights Management Services.
2. В консоли Active Directory Rights Management Services выберите узел LocalHost.
3. В области Tasks, расположенной в средней панели консоли, щелкните ссылку Manage rights policy templates.
4. Чтобы разрешить экспорт шаблонов политики прав AD RMS, щелкните ссылку Properties в области действий Actions.
5. Установите флажок Enable export, в поле Specify templates file location (UNC) введите \\adrms-srv\ADRMSTemplates и нажмите кнопку OK.
6. В области действий Actions щелкните ссылку Create Distributed Rights Policy Template, чтобы запустить мастер создания распространяемого шаблона политики прав.
7. Нажмите кнопку Add.
8. В раскрывающемся списке Language выберите нужный язык для шаблона политики прав.
9. Введите CPANDL.COM CC в поле Name.
10. Введите CPANDL.COM Company Confidential в поле Description и нажмите кнопку Add.
11. Нажмите кнопку Next.
12. Нажмите кнопку Add, в поле The e-mail address of a user or group введите employees@cpandl.com и нажмите кнопку OK.
13. В списке разрешений установите флажок View, чтобы разрешить группе EMPLOYEES@CPANDL.COM чтение любого документа, созданного при использовании шаблона политики прав AD RMS.
14. Нажмите кнопку Finish.
Шаг 3. Настройка клиента служб AD RMS
Клиент служб AD RMS включен в операционную систему Windows Vista по умолчанию. Предыдущие его версии для других операционных систем семейства Windows можно загрузить из Интернета.
В этом руководстве предполагается, что кластер служб AD RMS уже настроен в лабораторной среде. Для того чтобы шаблоны политики прав AD RMS были доступны с клиентского компьютера, требуется его дополнительная настройка, заключающаяся в копировании шаблонов AD RMS на компьютер и создании записи в реестре, указывающей на их расположение.
Чтобы создать папку для хранения защищенного содержимого, выполните следующие действия:
1. Войдите на компьютер ADRMS-CLNT под учетной записью администратора.
2. В меню Пуск щелкните значок Компьютер.
3. Дважды щелкните значок Локальный диск (C:).
4. Создайте новую папку с именем ADRMSDocs. Для этого в меню Упорядочить выберите команду Новая папка, введите имя папки ADRMSDocs и нажмите клавишу ENTER.
5. Правой кнопкой мыши щелкните на имени папки ADRMSDocs и в контекстном меню выберите пункт Свойства.
6. Перейдите на вкладку Безопасность и нажмите кнопку Изменить.
7. В списке Группы или пользователи выберите учетную запись Пользователи (ADRMS-SRV\Пользователи), в столбце Разрешить списка Разрешения для Пользователи установите флажок Изменение.
8. Дважды нажмите кнопку OK.
Чтобы клиентский компьютер смог обнаружить шаблоны AD RMS, Вы должны скопировать их на локальный диск и добавить запись в системный реестр. Для этого необходимо выполнить следующую процедуру, после чего можно будет создавать защищенное содержимое.
Для обеспечения доступа пользователей компьютера ADRMS-CLNT к шаблонам AD RMS выполните следующие действия:
1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (nhollida@cpandl.com).
2. Откройте меню Пуск, в поле быстрого поиска введите команду regedit.exe и щелкните значок regedit в меню Программы.
3. Перейдите в следующий раздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM
Примечание
Если раздел DRM еще не был создан, Вы должны создать его вручную.
4. Выберите раздел DRM, откройте меню Правка, затем меню Создать, выберите параметр Расширяемый строковый параметр и введите имя параметра AdminTemplatePath.
5. Дважды щелкните на имени параметра AdminTemplatePath и в поле Значение введите %UserProfile%\AppData\Microsoft\DRM\Templates, где в качестве значения переменной %UserProfile% нужно указать папку «C:\Пользователи\». Нажмите кнопку OK.
6. Закройте редактор реестра.
7. Убедитесь, что папка «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates\» существует. В противном случае создайте ее.
8. Откройте меню Пуск, в поле быстрого поиска введите \\ADRMS-SRV\ADRMSTemplates и нажмите клавишу ENTER.
9. Скопируйте экспортированные шаблоны политики прав AD RMS из папки «\\ADRMS-SRV\ADRMSTemplates» в папку «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates».
Примечание
Если Вы не планируете использовать шаблоны политики прав AD RMS при отключении от сети, то их не обязательно копировать на клиентский компьютер.
Шаг 4. Проверка работы служб AD RMS
Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и, используя шаблон политики прав AD RMS, созданный ранее в этом руководстве, наложите ограничения на использования документа Microsoft Word 2007 таким образом, чтобы пользователи группы Employees компании CP&L могли просматривать документ, но не могли редактировать, распечатывать или копировать его. Все другие пользователи не будут иметь вообще никаких разрешений на работу с этим документом. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, являющегося членом группы Employees компании CP&L, Вы убедитесь, что данный пользователь может просматривать защищенный документ, но не может распечатывать его.
Для наложения ограничений на документ Microsoft Word выполните следующие действия:
1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (cpandl\nhollida).
2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.
3. Напечатайте в новом документе фразу «Пользователи группы CP&L Employees не могут распечатывать этот документ», нажмите кнопку Office, откройте меню Подготовить, затем меню Ограничить разрешения и выберите пункт с названием шаблона политики прав CPANDL.COM CC. В диалоговом окне Выбор пользователя выберите запись nhollida@cpandl.com и нажмите кнопку OK.
4. Нажмите кнопку Office, откройте меню Сохранить как и сохраните файл под именем \\ADRMS-DB\public\ADRMS-TST.docx.
5. Завершите сеанс работы пользователя Nicole Holliday.
Теперь войдите на компьютер под учетной записью пользователя Stuart Railson и откройте файл ADRMS-TST.docx.
Для просмотра защищенного документа выполните следующие действия:
1. Войдите на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson (srailson@cpandl.com).
2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.
3. Нажмите кнопку Office, выберите меню Открыть, перейдите в папку «\\ADRMS-DB\public» и дважды щелкните файл ADRMS-TST.docx.
Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях».
4. Нажмите кнопку OK.
Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…»
5. Когда документ откроется, нажмите кнопку Office. Обратите внимание, что меню Печать недоступно.
6. В строке сообщений нажмите кнопку Просмотреть разрешения. В этой строке должно отображаться, что к документу был применен шаблон политики прав AD RMS.
7. Нажмите кнопку OK, чтобы закрыть диалоговое окно Мои разрешения. Закройте программу Microsoft Word.