Установка Active Directory Rights Management Services (AD RMS)
Сегодня мы поговорим о службе управления правами Microsoft Rights Management Services (RMS). Надо сказать, что эта несомненно достойная внимания служба не пользуется большой популярностью. Cовершенно незаслуженно, я считаю. Отчасти поэтому этот блог посвящен и службе RMS в том числе. В основном я буду освещать работу службы Active Directory Rights Management Services (AD RMS), реализацию RMS на платформе Windows Server 2008, но и её предшественнице Windows Rights Management Services (WRMS) будет уделено достаточно внимания.
В рамках сегодняшней нашей встречи мы коснемся процесса развертывания первого (и единственного в нашем случае) сервера в Root RMS Cluster. Этот процесс на самом деле не слишком сложен, но и в нем можно наткнуться на невероятное и необъяснимое. Подробные инструкции по развертыванию AD RMS в тестовом окружении можно получить из этого руководства Windows Server Active Directory Rights Management Services Step-by-Step Guide.
В Windows Server 2008 служба RMS «сменила паспорт» и стала именоваться AD RMS. Более того, теперь эта служба стала интегрированной серверной ролью, а процесс её добавления не слишком отличается от любой другой привычной нам роли. Процесс установки RMS стал существенно проще и быстрее. Одной из причин является наличие всех необходимых для развертывания компонентов в составе операционной системы, а другой — «интеллектуальный» мастер добавления новых ролей, предлагающий установить все необходимые компоненты. Более подробно означенные улучшения будут освещены позже. Итак, на старт!
Для добавления новой серверной роли необходимо в Server Manager в разделе Roles Summary выбрать Add Roles (также это можно сделать в контекстном меню сервера). Далее нас приветствует Мастер добавления новой роли.
После выбора роли AD RMS и утвердительного ответа на предложение установки дополнительных Role Services, необходимых для этой роли, мы переходим непосредственно к развертыванию RMS Cluster.
На шаге Role Services можно оставить выбор по умолчанию, так как в данном случае поддержка федеративных отношений нам не понадобится. Далее выбираем создание нового AD RMS Cluster, после чего в Database Configuration отмечаем приемлемый для вас вариант. Теперь мы находимся на шаге указания сервисной учетной записи.
На этом этапе нам необходимо указать учетную запись службы RMS, в контексте которой будут выполняться системные службы, а также пулы веб-приложений, касающиеся организации RMS. Согласно руководству Windows Server Active Directory Rights Management Services Step-by-Step Guide, а также руководству Installing Windows Rights Management Services with Service Pack 2 Step-by-Step Guide, эта пользовательская учетная запись, к примеру rmssrvc, должна быть членом группы Пользователи домена (Domain Users), так как она должна иметь права на создание запросов к базе Active Directory. Если искомую учетную запись в эту группу не добавить, то мастер разразится таким вот сообщением:
Более никакими правами эту учетную запись наделять не нужно. Правда есть одно значительное ограничение: в качестве сервисной учетной записи нельзя использовать учетную запись, в контексте которой происходит установка RMS. Если все же попытаться, завершится попытка следующим сообщением:
А теперь, собственно, встреча с необъяснимым. При указании соответствующей учетной записи rmssrvc и введении корректного пароля вашему взору предстанет вот такая живописная картина:
После множества попыток введения корректного пароля и радости лицезреть все ту же ошибку, мы глубоко призадумаемся над существом происходящего :) Что же, собственно, мы делаем не так?! А пока мы думаем, предлагаю закрыть мастер добавления ролей и добавить учетную запись rmssrvc в группу Администраторы (Administrators). Запускаем мастер добавления ролей заново, проходим уже успевшие полюбиться нам шаги установки и останавливаемся на злосчастном «чекпойнте». В очередной раз указываем в качестве сервисной учетную запись rmssrvc и… вуаля, мастер её принимает:
Отмечу, что точно с такой же необъяснимой ситуацией я столкнулся в процессе развертывания AD RMS на платформе Windows Server 2008 Beta 3. Решил я эту ситуацию абсолютно идентичным способом.
После этого шага установка продолжается совсем несложно. Подводных камней здесь выявлено не было. За пошаговыми инструкциями обращайтесь к вышеозначенному руководству. Замечу, что необходимо запомнить или сохранить Cluster Key Password. Также если вы хотите зарегистрировать RMS Service Connection Point (SCP) в Active Directory в процессе установки, учетная запись, в контексте которой происходит установка, должна быть членом группы Администраторы предприятия (Enterprise Admins). Но эту процедуру можно выполнить и позднее из под другой учетной записи.
Ещё один факт, касающийся сервисной учетной записи RMS. При восстановлении RMS Cluster из резервной копии базы данных конфигурации RMS потребуется, чтобы служба RMS работала под той же сервисной учетной записью, что и до аварии. Связано это с тем, что RMS Cluster Key по умолчанию хранится в RMS Configuration Database. Естественно, в зашифрованном виде, и для доступа к этим ключам используется пароль учетной записи службы RMS.
На этом сегодняшнюю нашу “встречу с прекрасным” можно считать оконченной. Если кто-то располагает информацией, раскрывающей причину описанной мною проблемы, буду благодарен за извещение.
И напоследок приведу несколько крайне полезных для ознакомления статей:
- Active Directory Rights Management Services Overview
- What’s New in Active Directory Rights Management Services in Windows Server 2008
- Windows Server Active Directory Rights Management Services Step-by-Step Guide
- Migrating and Upgrading Windows Rights Management Services to Active Directory Rights Management Services
Related Posts
- Официальное прекращение поддержки Rights Management Services v1.0
- Проект внедрения службы AD RMS
- Аутентификация на Microsoft ISA Server 2006 в окружении с несколькими доменами Active Directory
- Автоматизированная защита документов на основе информации о типе с помощью AD RMS
- Синхронизация времени в домене Active Directory
Если возникнет интерес, я могу подготовить развернутую статью с детальным описанием процесса развертывания RMS Cluster. Конечно, в библиотеке TechNet руководства достаточно детально раскрывают эту тему. Но при полном отсутствии информации о службе RMS на русском языке, возможно, этот цикл статей найдет своего читателя :) Жду пожеланий, запечатленных в комментариях.
Артем, очень интересный сайт. Все здорово, часто захожу сюда. Раз уж вы занимаетесь RMS, то есть вопрос: все делаю на 2003 домене R2.
Пытаюсь сделать вот что:
Register the SCP in Active Directory
The RMS service connection point (SCP) in Active Directory allows RMS clients to discover the RMS cluster automatically. Active Directory SCP registration is not done automatically during installation. To register the RMS SCP, you must do the following:
To register RMS SCP in Active Directory
1. Log on to RMS-SRV as CPANDL\ADMINISTRATOR or another Active Directory user account who is a member of the Enterprise Admins group in the CPANDL Active Directory domain.
2. Click Start, point to All Programs, point to Windows RMS, and then click Windows RMS Administration.
3. Click Administer RMS on this Web site.
4. Scroll to the bottom of the page and click RMS service connection point.
5. Click Register URL.
Но если зайти на страницу администрирования, то я не нахожу :
“4. Scroll to the bottom of the page and click RMS service connection point.
5. Click Register URL.
а есть только”администрировать службу управления правами”, если туда зайти там нужно подать заявку, я все делаю на виртуальной машине. Как быть, Артем. Подскажите.
“
Артем, разобрался.:)
Прошу прощения, что не успел среагировать на Вашу просьбу. Все же думаю, с интерфейсом Вы разберётесь и без меня =)
Артём.
У меня такой вопрос?
Если в библиотеку SharePoint поместить уже защищённый с помощью RMS документ.
1) С какиеми правами будет выдаваться документ из библиотеке если права установленные изначально на документе противоречать правам установленным на библиотеке?
2) В документации указывается что во время хранения в библиотеке документы не защищены с помощью RMS.
Получается что во время перемещения защищённого с помощью RMS документа в библиотеку защита с документа снимается?
1) К защищённому с помощью технологии RMS документу, помещаемому в защищенную библиотеку Sharepoint, политики защиты применяться не будут. Это технически невозможно, так как документ уже защищён, а его содержимое зашифровано.
2) В документации верно описано. В момент помещения документа в защищённую с помощью RMS библиотеку SharePoint он не защищается. Более того, документы библиотеки зраняться в открытом виде. А в момент изъятия или загрузки документа из библиотеки к нему применяется заранее сформированная политика защита с помощью технологии RMS.
Что касается снятия защиты уже защищённого RMS-документа – этого не произойдёт, так как снять защиту с документа может только пользователь, определённый как автор документа. Вряд ли при защите документов в Вашей организации Вы указываете службу SharePoint в качестве автора =)
@Артём [d.raven] Синицын
Артем, как дела с циклом статей? Я (скорее всего, не только я) с нетерпением жду рассказа про RMS.
Дмитрий, я с удовольствием поделюсь своими знаниями о службе AD RMS. Только вот практика показывает, что AD RMS большой популярностью не пользуется. Можете описать конкретные вопросы, которые Вас больше всего интересуют. На основании этих вопросов я сделаю один или несколько постов, посвященных RMS.
Интерактивный блог, так сказать :)
Добрый день, Артем
Видимо с циклом статей дела не очень обстоят)))а очень бы хотелось увидеть.
Развернул в тестовую эксплуатацию AD RMS в сети организации и столкнулся с такой проблемой – практически отсутствует описание примеров шаблонов политик для AD RMS. Сама установка и настройка службы не так сложна, а вот ее практическое применение в организации, кроме степ-бай-степ по созданию(описан сам процесс) и развертыванию шаблонов, ничего нет.
В связи с чем вопрос-просьба. Не могли бы Вы в той или иной форме(статья, руководство) описать типовые шаблоны для ораганизации(например бухгалтерия, ИТ, произвоство) и их практическое применение. Причем желательно в отрыве от SharePoint:)
Заранее спасибо
Спасибо большое за проявленное внимание, Антон.
На мой вгзляд, практические примеры создания шаблонов политик RMS под специфический отдел специфической организации отсутствуют именно из-за их специфики =)
Ведь каждая компания предъявляет свои, уникальные требования к защите электронных документов. И попытаться подвести большинство компаний “под одну гребёнку” – труд явно неблагодарный.
Полагаю, у Вас есть вполне конкретные вопросы насчет создания шаблонов политик под свою инфраструктуру – так задавайте их! Разберём создание шаблонов вместе, на примере конкретной задачи конкретного отдела конкретной организации ;)
Добрый день Артем,
Развернул у себя в компании AD RMS, столкнуля со следующей проблемой:
Пользователи деляться на две категории, те у кого Outlook установлен на рабочем компьютере и те которые пользуются Outlook в терминально сессии на Windows 2003 SP2.
Пользователи, которые открывают письмо шифрованное RMS на рабочей станции не имеют никаких проблем.
Пользователи на терминальном сервере получают ошибку “Обнаружена неполадка конфигурации управления правами на доступ к данным. За дополнительными сведениями обратитесь к системному администратору.”
При этом:
1. В EventLog на терминальном сервере ничего нет.
2. В логах на RMS сервере ошибок нет
3. Если пользователя включить в группу локальных администраторов на терминальном сервере, то он может открыть такое письмо.
Отсюда вопрос – к каким веткам реестра или папкам на диске должен иметь доступ пользователь?
Буду благодарен за ответ.
Очень странная проблема,Сергей. Вообще, у терминальных пользователей, не являющихся локальными администраторами на терминальном сервере, не должно возникать никаких проблем при работе с RMS-защищенными документами.
Судя по всему, сама служба RMS у Вас работает корректно. Очевидно, проблема с нехваткой прав к набору файлов и параметров локального RMS-клиента. Скорее всего, на Вашем терминальном сервере настроены специальные политики для терминальных пользователей, “урезающие” права по максимуму. Это подтверждает тот факт, что локальные администраторы работают с RMS нормально, то есть локальный RMS-клиент не является причиной описанной проблемы.
Опишите политики назначения прав для терминальных пользователей, и мы продолжим решение Вашей проблемы, Сергей :)
Вообще, сам клиент RMS – это ничто иное, как динамически подгружаемая библиотека, реализованная в виде файла с именем msdrm.dll (%windir%\system32\msdrm.dll). Соответственно, пользователи должны иметь доступ к этому файлу.
Расположение клиента службы AD RMS
Сертификат пользователя, именуемый в терминах RMS Rights Account Certificate, или попросту RAC, располагается в профиле пользователя. По умолчанию, пользователь должен иметь доступ хотя бы к своему собственному профилю =)
Добрый день, Артем!
ну как раз большинство малых и средних предприятий типовые, и задачи в массе своей одинаковые
опишу “себя”
порядка 50 рабочих станций , 2 под управлением Vista, остальные под ХР
Имеется АД – 2 сервера 2008, файл-сервер также под 2008, где организованна так называемая библиотека – общее хранилище документов, представляющее собой древовидную структуру
Организация
Подразделение 1
Подразделение 2
…………….
Подразделение Н
собственно возникла задача – до внедрения SharePoint(да и после него) обеспечить безопасность документов пакета Office, создаваемых в организации
был развернут сервис AD RMS + средствами GP установленны клиенты на ОС
ну и типичные сценарии
посколько “библиотека” общее хранилище для всей сети и при ее создание в первую очередь ставилось удобство и открытость, то типичный пример применения таков:
в папке Подразделения 1 создается документ, заполняется и переносится в папку Подразделения 2, в котором этот документ обрабатывают и делают на его основе отчет,который просматривает директор. Однако пользователи Подразделения 1 также имеют к ниму доступ, чего быть не должно. Резать права на основе групп смысла нет(“уходит” удобство пользования)
Соответственно имеются реальные подразделения
Бухгалтерия
ИТ
Отдел кадров
Дирекция
Лаборатория
Производство 1
Производство 2
какой типовой набор шаблонов в данной случае создавать?
размышления над этим вопросом – ну например Шаблоны для Бухгалтерии
Для всех
Конфиденциально/ДСП
для Дирекции
и т.д.
хотелось бы увидеть конкретику что-нибудь подобного
спасибо за уделенное время)
Похоже я установил причину, хотя и не понял происхождения… При снятии лога обращения к файлам и к реестру при открытии пись увидел ошибку ACCESS DENIED на файлик sp2.cat в каталоге C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\. При проверке прав доступа определил что на уровне папки для доменных пользователей установлено право чтения, а вот на уровне файла були разрешения только у администраторов. Переназначил права на файлы с уровня папки и все заработало, хотя по логике права изначально должны были наследоваться.
@Сергей
Опять же странная ситуация, что пользователи не имели такого уровня доступа ранее.
В любом случае, надеюсь, информация оказалась полезной для Вас, Сергей. Будут вопросы – обращайтесь в любое время =)
@Антон
В приведенном Вами сценарии политика защиты электронных документов может содержат следующие шаблоны:
1) “ДСП” – доступен для чтения, печати и копирования всем сотрудникам компании. Возможно, также добавить в шаблон сотрудников отдела безопаности в качестве Super Users для проведения аудита.
2) “Только для дирекции” – полный доступ топ-менеджерам. Возможно, также добавить в шаблон сотрудников отдела безопаности в качестве Super Users для проведения аудита.
3) Опционально “Для внутреннего пользования подразделения 2″ – полный доступ сотрудникам подразделения 2. Возможно, также добавить в шаблон сотрудников отдела безопаности в качестве Super Users для проведения аудита.
В общем случае защита документоооборота будет выглядеть следующим образом:
1) Сотрудник подразделения 1 создаёт документ и и применяет к нему шаблон “Для внутреннего пользования подразделения 2″.
2) Сотрудник подразделения 2, используя этот документ, создаёт отчет и применяет к нему шаблон “Только для дирекции”.
3) При создании внутренней документации всеми сотрудниками применяется шаблон “ДСП” для предотвращения утечки конфиденциальной информации за пределы компании.
Вот как-то так =)
Артем, добрый день!
Возник такой вопрос
на тестовом сервере установили SharePoint, но там же работала служба AD RMS, теперь невозможно к ней подключиться. я так понимаю SharePoint каким-то образом переопределил сайт по умолчанию на себя. что делать?
@Антон
Антон, в качестве ответа на Ваш вопрос предлагаю к ознакомлению этот пост: http://sinitsyn.org/2009/08/shablony-politik-ad-rms-iz-pervyx-ruk/
Вы разобрались с проблемой после установки SharePoint на сервер AD RMS?
Добрый день, Артем.
После сноса RMS сервера 1.0 SP2(о причнах сноса долго объяснять), при его повторной установке (на завершающей стадии) вылазит окно “The configuration registry key is invalid”. IIS и ADSS смотрел, данных от прошлой установки не осталось.
Что еще можно поглядеть не подскажешь?
Артем, день добрый.
Возник такой вопрос – как избежать процедуры ввода логина и пароля при открытии документов защищенных RMS ?
Все развернуто на 2008. Клиенты XP со всеми обновлениями. Офис 2007 Корпоративный.
При каждом открытии документа выдается запрос на просмотр сертификата и предложением ввести данные пользователя для обращения к RMS серверу.
Сертификат использовался который был предложен по умолчанию.
Смотрел на демонстрации с сайта MS – у них все прозрачно…
Спасибо заранее.
@Андрей
Во-первых, так называемые конвейеры RMS должны опеределяться клиентскими браузерами, как принадлежащие к зоне Intranet. Это крайне важное условие, потому как по умолчанию IE автоматически отправляет верительные данные пользователя только сайтам, входящим в зону безопасногси Intranet.
Во-вторых, пользователь должен зарегистрироватьсяв системе с помощью доменной учетной записи.
В-третьих, веб-сайт, на котором расположена служба RMS должен поддерживать аутентификацию по протооклу NTLM.
За подробной пошаговой инструкцией по развертыванию службы AD RMS и конфигурации клиентов можете обратиться к руководству AD RMS Step-by-Step Guide.
Артем, спасибо за ответ.
Всегда пожалуйста.
Если возникнут вопросы – не стесняйтесь обращаться :)
Артем,
когда использовал Office 2010 Beta проффесиональный в была кнопка “Ограничить разрешения для пользователей” с выходом Office 2010 RTM в пакете эта кнопка пропала.
Не в курсе текущей ситуации?
поправка к предыдущему сообщению.
кнопка “Ограничить разрешения для пользователей” пропадает в случае ввода ключа
Terminal Service enablement for Office 2010