Пошаговое руководство по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory
Аннотация
В этом пошаговом руководстве представлены инструкции по созданию и развертыванию шаблонов политики прав служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде.
Об этом руководстве
Это пошаговое руководство проведет Вас через весь процесс создания и развертывания шаблонов политики прав служб управления правами AD RMS в лабораторной среде. В результате выполнения процедур, представленных в этом руководстве, Вы создадите шаблон политики прав AD RMS и установите его на клиентский компьютер, работающий под управлением Windows Vista™ и Microsoft® Office Word 2007. После этого Вы убедитесь в том, что можете создавать на этом компьютере защищенные документы, используя установленный шаблон политики прав AD RMS.
Выполнив все процедуры, представленные в этом руководстве, Вы сможете использовать лабораторную среду AD RMS для того чтобы оценить, каким образом в Вашей организации могут быть созданы и развернуты шаблоны политики прав служб AD RMS Windows Server 2008.
Следуя инструкциям данного руководства, Вы выполните следующие действия:
• Создадите шаблон политики прав AD RMS. • Произведете развертывание шаблона политики прав AD RMS. • Проверите работу служб AD RMS после завершения необходимых настроек.
Развертывание служб AD RMS производится с целью защиты информации независимо от того, где она будет использоваться. Как только защита AD RMS добавлена в файл, этот файл будет оставаться защищенным вне зависимости от своего местоположения. По умолчанию защиту может снять только владелец файла. Он также может предоставить другим пользователям права на определенные действия с содержимым файла, такие как просмотр, копирование или печать.
Чего Вы не найдете в этом руководстве
Следующая информация не представлена в этом руководстве:
• Полная техническая информация о службах AD RMS или о развертывании шаблонов политики прав AD RMS в Вашей организации. В больших организациях развертывание шаблонов AD RMS может осуществляться с помощью таких инструментов, как Systems Management Server (SMS) или групповая политика.
Развертывание служб AD RMS в лабораторной среде
Мы рекомендуем выполнять все процедуры, представленные в этом руководстве, в лабораторной среде. В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ. Прежде чем начать выполнять процедуры, представленные в этом руководстве, Вам необходимо выполнить в лабораторной среде все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В этой статье представлены основные шаги по подготовке базовой инфраструктуры служб AD RMS, включающей в себя кластер AD RMS, службу регистрации AD RMS, а также контроллер домена. Эти шаги должны быть выполнены прежде, чем Вы приступите к работе с настоящим документом. После выполнения всех процедур, представленных в настоящем документе, в Вашем распоряжении окажется функционирующая лабораторная среда, включающая в себя шаблон политики прав AD RMS. Вы сможете проверить работоспособность шаблона AD RMS, установив с его помощью разрешения на документ Microsoft Office Word 2007.
Лабораторная среда, описываемая в этом руководстве, включает в себя четыре компьютера, подключенных к частной сети организации и сконфигурированных в соответствии с приведенной ниже таблицей:
Все компьютеры подключены к частной интрасети через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server. В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC.
На следующем рисунке изображена конфигурация лабораторной среды:
Шаг 1. Создание общей сетевой папки кластера служб AD RMS Для упрощения администрирования шаблонов AD RMS, Вы можете хранить их централизованно, обеспечивая возможность их копирования на клиентские компьютеры с помощью таких инструментов, как Systems Management Server или групповая политика. В этом руководстве копирование шаблонов AD RMS будет выполняться вручную.
Примечание
Для правильной работы функции экспорта шаблонов AD RMS учетная запись служб AD RMS должна иметь разрешение на запись в папку, в которой хранятся указанные шаблоны.
Для создания общей папки шаблонов политики прав AD RMS и установки необходимых разрешений для учетной записи службы AD RMS выполните следующую процедуру.
Для создания общей папки шаблонов AD RMS и установки необходимых разрешений выполните следующие действия:
1...Войдите на компьютер ADRMS-SRV под учетной записью CPANDL\Administrator.
2...В меню Start щелкните значок Computer и в открывшемся окне дважды щелкните значок Local Disk (C:).
3...Создайте новую папку с именем ADRMSTemplates. Для этого в меню Organize выберите команду New Folder, введите имя папки ADRMSTemplates и нажмите клавишу ENTER.
4...Правой кнопкой мыши щелкните на имени папки ADRMSTemplates и в контекстном меню выберите пункт Properties.
5...Перейдите на вкладку Sharing и нажмите кнопку Advanced Sharing.
6...Установите флажок Share this Folder и нажмите кнопку Permissions.
7...Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.
8...В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com) и в столбце Allow списка Permissions for ADRMSSRVC установите флажок Change.
9...Дважды нажмите кнопку OK.
10...Перейдите на вкладку Security и нажмите кнопку Edit.
11...Нажмите кнопку Add, в поле Enter the object names to select введите имя службы CPANDL\ADRMSSRVC и нажмите кнопку OK.
12...В списке Group or user names выберите учетную запись ADRMSSRVC (ADRMSSRVC@cpandl.com), в столбце Allow списка Permissions for ADRMSSRVC установите флажок Modify и нажмите кнопку OK.
13...Нажмите кнопку Close.
Шаг 2. Создание шаблона политики прав AD RMS
Как было упомянуто выше, шаблоны AD RMS создаются на кластере служб AD RMS и затем экспортируются в общую папку. Если пользователи будут использовать работающие с AD RMS приложения только тогда, когда они подключены к внутренней сети, то они в любой момент смогут получить доступ к этим шаблонам. В этом случае все клиенты служб AD RMS должны иметь разрешение на чтение из общей папки, в которой хранятся шаблоны политики прав AD RMS.
В качестве альтернативного варианта, шаблоны AD RMS могут быть скопированы из общей папки на клиентские компьютеры. Это позволяет работать с шаблонами даже тогда, когда компьютер пользователя не подключен к сети, например, в случаях использования ноутбуков или других мобильных устройств. В этом руководстве будет рассмотрен именно этот вариант, поскольку он является наиболее распространенным.
Для создания шаблона политики прав AD RMS выполните следующие действия:
1...Откройте консоль администрирования служб Active Directory Rights Management Services. Для этого в меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Rights Management Services.
2...В консоли Active Directory Rights Management Services выберите узел LocalHost.
3...В области Tasks, расположенной в средней панели консоли, щелкните ссылку Manage rights policy templates.
4...Чтобы разрешить экспорт шаблонов политики прав AD RMS, щелкните ссылку Properties в области действий Actions.
5...Установите флажок Enable export, в поле Specify templates file location (UNC) введите \\adrms-srv\ADRMSTemplates и нажмите кнопку OK.
6...В области действий Actions щелкните ссылку Create Distributed Rights Policy Template, чтобы запустить мастер создания распространяемого шаблона политики прав.
7...Нажмите кнопку Add.
8...В раскрывающемся списке Language выберите нужный язык для шаблона политики прав.
9...Введите CPANDL.COM CC в поле Name.
10...Введите CPANDL.COM Company Confidential в поле Description и нажмите кнопку Add.
11...Нажмите кнопку Next.
12...Нажмите кнопку Add, в поле The e-mail address of a user or group введите employees@cpandl.com и нажмите кнопку OK.
13...В списке разрешений установите флажок View, чтобы разрешить группе EMPLOYEES@CPANDL.COM чтение любого документа, созданного при использовании шаблона политики прав AD RMS.
14...Нажмите кнопку Finish.
Шаг 3. Настройка клиента служб AD RMS
Клиент служб AD RMS включен в операционную систему Windows Vista по умолчанию. Предыдущие его версии для других операционных систем семейства Windows можно загрузить из Интернета.
В этом руководстве предполагается, что кластер служб AD RMS уже настроен в лабораторной среде. Для того чтобы шаблоны политики прав AD RMS были доступны с клиентского компьютера, требуется его дополнительная настройка, заключающаяся в копировании шаблонов AD RMS на компьютер и создании записи в реестре, указывающей на их расположение.
Чтобы создать папку для хранения защищенного содержимого, выполните следующие действия:
1...Войдите на компьютер ADRMS-CLNT под учетной записью администратора.
2...В меню Пуск щелкните значок Компьютер.
3...Дважды щелкните значок Локальный диск (C:).
4...Создайте новую папку с именем ADRMSDocs. Для этого в меню Упорядочить выберите команду Новая папка, введите имя папки ADRMSDocs и нажмите клавишу ENTER.
5...Правой кнопкой мыши щелкните на имени папки ADRMSDocs и в контекстном меню выберите пункт Свойства.
6...Перейдите на вкладку Безопасность и нажмите кнопку Изменить.
7...В списке Группы или пользователи выберите учетную запись Пользователи (ADRMS-SRV\Пользователи), в столбце Разрешить списка Разрешения для Пользователи установите флажок Изменение.
8...Дважды нажмите кнопку OK.
Чтобы клиентский компьютер смог обнаружить шаблоны AD RMS, Вы должны скопировать их на локальный диск и добавить запись в системный реестр. Для этого необходимо выполнить следующую процедуру, после чего можно будет создавать защищенное содержимое.
Для обеспечения доступа пользователей компьютера ADRMS-CLNT к шаблонам AD RMS выполните следующие действия:
1...Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (nhollida@cpandl.com).
2...Откройте меню Пуск, в поле быстрого поиска введите команду regedit.exe и щелкните значок regedit в меню Программы.
Примечание Если раздел DRM еще не был создан, Вы должны создать его вручную.
4...Выберите раздел DRM, откройте меню Правка, затем меню Создать, выберите параметр Расширяемый строковый параметр и введите имя параметра AdminTemplatePath.
5...Дважды щелкните на имени параметра AdminTemplatePath и в поле Значение введите %UserProfile%\AppData\Microsoft\DRM\Templates, где в качестве значения переменной %UserProfile% нужно указать папку «C:\Пользователи\». Нажмите кнопку OK.
6...Закройте редактор реестра.
7...Убедитесь, что папка «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates\» существует. В противном случае создайте ее.
8...Откройте меню Пуск, в поле быстрого поиска введите \\ADRMS-SRV\ADRMSTemplates и нажмите клавишу ENTER.
9...Скопируйте экспортированные шаблоны политики прав AD RMS из папки «\\ADRMS-SRV\ADRMSTemplates» в папку «C:\Пользователи\nhollida\AppData\Microsoft\DRM\Templates».
Примечание Если Вы не планируете использовать шаблоны политики прав AD RMS при отключении от сети, то их не обязательно копировать на клиентский компьютер.
Шаг 4. Проверка работы служб AD RMS
Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и, используя шаблон политики прав AD RMS, созданный ранее в этом руководстве, наложите ограничения на использования документа Microsoft Word 2007 таким образом, чтобы пользователи группы Employees компании CP&L могли просматривать документ, но не могли редактировать, распечатывать или копировать его. Все другие пользователи не будут иметь вообще никаких разрешений на работу с этим документом. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, являющегося членом группы Employees компании CP&L, Вы убедитесь, что данный пользователь может просматривать защищенный документ, но не может распечатывать его.
Для наложения ограничений на документ Microsoft Word выполните следующие действия:
1...Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (cpandl\nhollida).
2...В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.
3...Напечатайте в новом документе фразу «Пользователи группы CP&L Employees не могут распечатывать этот документ», нажмите кнопку Office, откройте меню Подготовить, затем меню Ограничить разрешения и выберите пункт с названием шаблона политики прав CPANDL.COM CC. В диалоговом окне Выбор пользователя выберите запись nhollida@cpandl.com и нажмите кнопку OK.
4...Нажмите кнопку Office, откройте меню Сохранить как и сохраните файл под именем \\ADRMS-DB\public\ADRMS-TST.docx.
5...Завершите сеанс работы пользователя Nicole Holliday.
Теперь войдите на компьютер под учетной записью пользователя Stuart Railson и откройте файл ADRMS-TST.docx.
Для просмотра защищенного документа выполните следующие действия:
1...Войдите на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson (srailson@cpandl.com).
2...В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.
3...Нажмите кнопку Office, выберите меню Открыть, перейдите в папку «\\ADRMS-DB\public» и дважды щелкните файл ADRMS-TST.docx.
Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях».
4...Нажмите кнопку OK.
Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…»
6...В строке сообщений нажмите кнопку Просмотреть разрешения. В этой строке должно отображаться, что к документу был применен шаблон политики прав AD RMS.
7...Нажмите кнопку OK, чтобы закрыть диалоговое окно Мои разрешения. Закройте программу Microsoft Word.
Поздравляем! Вы успешно настроили и проверили работу шаблонов политики прав AD RMS, используя простой сценарий – применение шаблона политики прав к документу Microsoft Word 2007. Вы можете использовать существующую лабораторную среду для изучения остальных возможностей служб AD RMS, производя дополнительные настройки и выполняя необходимые Вам действия.
