Комментарии на: Установка Active Directory Rights Management Services (AD RMS)

От: destroyd

destroyd — Wed, 19 May 2010 05:29:08 +0000

поправка к предыдущему сообщению.
кнопка “Ограничить разрешения для пользователей” пропадает в случае ввода ключа
Terminal Service enablement for Office 2010

От: destroyd

destroyd — Sun, 16 May 2010 13:40:59 +0000

Артем,
когда использовал Office 2010 Beta проффесиональный в была кнопка “Ограничить разрешения для пользователей” с выходом Office 2010 RTM в пакете эта кнопка пропала.
Не в курсе текущей ситуации?

От: Артём Синицын

Артём Синицын — Tue, 27 Apr 2010 11:34:57 +0000

Всегда пожалуйста.
Если возникнут вопросы – не стесняйтесь обращаться :)

От: Андрей

Андрей — Tue, 27 Apr 2010 10:31:37 +0000

Артем, спасибо за ответ.

От: Артём Синицын

Артём Синицын — Tue, 06 Apr 2010 13:04:57 +0000

@Андрей Во-первых, так называемые конвейеры RMS должны опеределяться клиентскими браузерами, как принадлежащие к зоне Intranet. Это крайне важное условие, потому как по умолчанию IE автоматически отправляет верительные данные пользователя только сайтам, входящим в зону безопасногси Intranet. Во-вторых, пользователь должен зарегистрироватьсяв системе с помощью доменной учетной записи. В-третьих, веб-сайт, на котором расположена служба RMS должен поддерживать аутентификацию по протооклу NTLM. За подробной пошаговой инструкцией по развертыванию службы AD RMS и конфигурации клиентов можете обратиться к руководству AD RMS Step-by-Step Guide.

От: Андрей

Андрей — Fri, 02 Apr 2010 12:51:40 +0000

Артем, день добрый.
Возник такой вопрос – как избежать процедуры ввода логина и пароля при открытии документов защищенных RMS ?
Все развернуто на 2008. Клиенты XP со всеми обновлениями. Офис 2007 Корпоративный.
При каждом открытии документа выдается запрос на просмотр сертификата и предложением ввести данные пользователя для обращения к RMS серверу.
Сертификат использовался который был предложен по умолчанию.
Смотрел на демонстрации с сайта MS – у них все прозрачно…
Спасибо заранее.

От: Игорь

Игорь — Tue, 15 Sep 2009 11:01:50 +0000

Добрый день, Артем.
После сноса RMS сервера 1.0 SP2(о причнах сноса долго объяснять), при его повторной установке (на завершающей стадии) вылазит окно “The configuration registry key is invalid”. IIS и ADSS смотрел, данных от прошлой установки не осталось.
Что еще можно поглядеть не подскажешь?

От: Артём Синицын

Артём Синицын — Fri, 21 Aug 2009 13:01:56 +0000

@Антон
Антон, в качестве ответа на Ваш вопрос предлагаю к ознакомлению этот пост: http://sinitsyn.org/2009/08/shablony-politik-ad-rms-iz-pervyx-ruk/
Вы разобрались с проблемой после установки SharePoint на сервер AD RMS?

От: {Бинарный} Форпост | Блог Артема Синицына » Шаблоны политик AD RMS из первых рук

Fri, 21 Aug 2009 12:55:22 +0000

[...] AD RMS (в качестве примера могу привести комментарии к этой заметке). Как создать наиболее оптимальный набор [...]

От: Антон

Антон — Tue, 14 Jul 2009 10:03:44 +0000

Артем, добрый день!
Возник такой вопрос
на тестовом сервере установили SharePoint, но там же работала служба AD RMS, теперь невозможно к ней подключиться. я так понимаю SharePoint каким-то образом переопределил сайт по умолчанию на себя. что делать?

От: Артём Синицын

Артём Синицын — Fri, 10 Jul 2009 05:55:52 +0000

@Антон
В приведенном Вами сценарии политика защиты электронных документов может содержат следующие шаблоны:

1) “ДСП” – доступен для чтения, печати и копирования всем сотрудникам компании. Возможно, также добавить в шаблон сотрудников отдела безопаности в качестве Super Users для проведения аудита.

2) “Только для дирекции” – полный доступ топ-менеджерам. Возможно, также добавить в шаблон сотрудников отдела безопаности в качестве Super Users для проведения аудита.

3) Опционально “Для внутреннего пользования подразделения 2″ – полный доступ сотрудникам подразделения 2. Возможно, также добавить в шаблон сотрудников отдела безопаности в качестве Super Users для проведения аудита.

В общем случае защита документоооборота будет выглядеть следующим образом:

1) Сотрудник подразделения 1 создаёт документ и и применяет к нему шаблон “Для внутреннего пользования подразделения 2″.

2) Сотрудник подразделения 2, используя этот документ, создаёт отчет и применяет к нему шаблон “Только для дирекции”.

3) При создании внутренней документации всеми сотрудниками применяется шаблон “ДСП” для предотвращения утечки конфиденциальной информации за пределы компании.

Вот как-то так =)

От: Артём Синицын

Артём Синицын — Mon, 06 Jul 2009 16:38:58 +0000

@Сергей
Опять же странная ситуация, что пользователи не имели такого уровня доступа ранее.
В любом случае, надеюсь, информация оказалась полезной для Вас, Сергей. Будут вопросы – обращайтесь в любое время =)

От: Сергей

Сергей — Mon, 06 Jul 2009 12:14:57 +0000

Похоже я установил причину, хотя и не понял происхождения… При снятии лога обращения к файлам и к реестру при открытии пись увидел ошибку ACCESS DENIED на файлик sp2.cat в каталоге C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\. При проверке прав доступа определил что на уровне папки для доменных пользователей установлено право чтения, а вот на уровне файла були разрешения только у администраторов. Переназначил права на файлы с уровня папки и все заработало, хотя по логике права изначально должны были наследоваться.

От: Антон

Антон — Mon, 06 Jul 2009 11:15:22 +0000

Добрый день, Артем!
ну как раз большинство малых и средних предприятий типовые, и задачи в массе своей одинаковые
опишу “себя”
порядка 50 рабочих станций , 2 под управлением Vista, остальные под ХР
Имеется АД – 2 сервера 2008, файл-сервер также под 2008, где организованна так называемая библиотека – общее хранилище документов, представляющее собой древовидную структуру
Организация
Подразделение 1
Подразделение 2
…………….
Подразделение Н
собственно возникла задача – до внедрения SharePoint(да и после него) обеспечить безопасность документов пакета Office, создаваемых в организации
был развернут сервис AD RMS + средствами GP установленны клиенты на ОС
ну и типичные сценарии
посколько “библиотека” общее хранилище для всей сети и при ее создание в первую очередь ставилось удобство и открытость, то типичный пример применения таков:
в папке Подразделения 1 создается документ, заполняется и переносится в папку Подразделения 2, в котором этот документ обрабатывают и делают на его основе отчет,который просматривает директор. Однако пользователи Подразделения 1 также имеют к ниму доступ, чего быть не должно. Резать права на основе групп смысла нет(“уходит” удобство пользования)
Соответственно имеются реальные подразделения
Бухгалтерия
ИТ
Отдел кадров
Дирекция
Лаборатория
Производство 1
Производство 2
какой типовой набор шаблонов в данной случае создавать?
размышления над этим вопросом – ну например Шаблоны для Бухгалтерии
Для всех
Конфиденциально/ДСП
для Дирекции
и т.д.
хотелось бы увидеть конкретику что-нибудь подобного
спасибо за уделенное время)

От: Артём Синицын

Артём Синицын — Mon, 06 Jul 2009 09:26:40 +0000

Вообще, сам клиент RMS – это ничто иное, как динамически подгружаемая библиотека, реализованная в виде файла с именем msdrm.dll (%windir%\system32\msdrm.dll). Соответственно, пользователи должны иметь доступ к этому файлу.
Расположение клиента службы AD RMS

Сертификат пользователя, именуемый в терминах RMS Rights Account Certificate, или попросту RAC, располагается в профиле пользователя. По умолчанию, пользователь должен иметь доступ хотя бы к своему собственному профилю =)

От: Артём Синицын

Артём Синицын — Mon, 06 Jul 2009 06:48:10 +0000

Очень странная проблема,Сергей. Вообще, у терминальных пользователей, не являющихся локальными администраторами на терминальном сервере, не должно возникать никаких проблем при работе с RMS-защищенными документами.

Судя по всему, сама служба RMS у Вас работает корректно. Очевидно, проблема с нехваткой прав к набору файлов и параметров локального RMS-клиента. Скорее всего, на Вашем терминальном сервере настроены специальные политики для терминальных пользователей, “урезающие” права по максимуму. Это подтверждает тот факт, что локальные администраторы работают с RMS нормально, то есть локальный RMS-клиент не является причиной описанной проблемы.

Опишите политики назначения прав для терминальных пользователей, и мы продолжим решение Вашей проблемы, Сергей :)

От: Сергей

Сергей — Thu, 02 Jul 2009 11:21:51 +0000

Добрый день Артем,
Развернул у себя в компании AD RMS, столкнуля со следующей проблемой:
Пользователи деляться на две категории, те у кого Outlook установлен на рабочем компьютере и те которые пользуются Outlook в терминально сессии на Windows 2003 SP2.
Пользователи, которые открывают письмо шифрованное RMS на рабочей станции не имеют никаких проблем.

Пользователи на терминальном сервере получают ошибку “Обнаружена неполадка конфигурации управления правами на доступ к данным. За дополнительными сведениями обратитесь к системному администратору.”

При этом:
1. В EventLog на терминальном сервере ничего нет.
2. В логах на RMS сервере ошибок нет
3. Если пользователя включить в группу локальных администраторов на терминальном сервере, то он может открыть такое письмо.

Отсюда вопрос – к каким веткам реестра или папкам на диске должен иметь доступ пользователь?

Буду благодарен за ответ.

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Mon, 15 Jun 2009 18:48:40 +0000

Спасибо большое за проявленное внимание, Антон.

На мой вгзляд, практические примеры создания шаблонов политик RMS под специфический отдел специфической организации отсутствуют именно из-за их специфики =)

Ведь каждая компания предъявляет свои, уникальные требования к защите электронных документов. И попытаться подвести большинство компаний “под одну гребёнку” – труд явно неблагодарный.

Полагаю, у Вас есть вполне конкретные вопросы насчет создания шаблонов политик под свою инфраструктуру – так задавайте их! Разберём создание шаблонов вместе, на примере конкретной задачи конкретного отдела конкретной организации ;)

От: Антон

Антон — Fri, 29 May 2009 04:15:24 +0000

Добрый день, Артем
Видимо с циклом статей дела не очень обстоят)))а очень бы хотелось увидеть.
Развернул в тестовую эксплуатацию AD RMS в сети организации и столкнулся с такой проблемой – практически отсутствует описание примеров шаблонов политик для AD RMS. Сама установка и настройка службы не так сложна, а вот ее практическое применение в организации, кроме степ-бай-степ по созданию(описан сам процесс) и развертыванию шаблонов, ничего нет.
В связи с чем вопрос-просьба. Не могли бы Вы в той или иной форме(статья, руководство) описать типовые шаблоны для ораганизации(например бухгалтерия, ИТ, произвоство) и их практическое применение. Причем желательно в отрыве от SharePoint:)
Заранее спасибо

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Tue, 10 Feb 2009 07:01:15 +0000

Дмитрий, я с удовольствием поделюсь своими знаниями о службе AD RMS. Только вот практика показывает, что AD RMS большой популярностью не пользуется. Можете описать конкретные вопросы, которые Вас больше всего интересуют. На основании этих вопросов я сделаю один или несколько постов, посвященных RMS.
Интерактивный блог, так сказать :)

От: Дмитрий

Дмитрий — Tue, 10 Feb 2009 06:07:10 +0000

@Артём [d.raven] Синицын Артем, как дела с циклом статей? Я (скорее всего, не только я) с нетерпением жду рассказа про RMS.

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Thu, 18 Dec 2008 20:02:30 +0000

1) К защищённому с помощью технологии RMS документу, помещаемому в защищенную библиотеку Sharepoint, политики защиты применяться не будут. Это технически невозможно, так как документ уже защищён, а его содержимое зашифровано.
2) В документации верно описано. В момент помещения документа в защищённую с помощью RMS библиотеку SharePoint он не защищается. Более того, документы библиотеки зраняться в открытом виде. А в момент изъятия или загрузки документа из библиотеки к нему применяется заранее сформированная политика защита с помощью технологии RMS.
Что касается снятия защиты уже защищённого RMS-документа – этого не произойдёт, так как снять защиту с документа может только пользователь, определённый как автор документа. Вряд ли при защите документов в Вашей организации Вы указываете службу SharePoint в качестве автора =)

От: Дмитрий.

Дмитрий. — Thu, 18 Dec 2008 11:18:34 +0000

Артём.

У меня такой вопрос?

Если в библиотеку SharePoint поместить уже защищённый с помощью RMS документ.

1) С какиеми правами будет выдаваться документ из библиотеке если права установленные изначально на документе противоречать правам установленным на библиотеке?

2) В документации указывается что во время хранения в библиотеке документы не защищены с помощью RMS.
Получается что во время перемещения защищённого с помощью RMS документа в библиотеку защита с документа снимается?

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Sun, 10 Aug 2008 08:34:13 +0000

Прошу прощения, что не успел среагировать на Вашу просьбу. Все же думаю, с интерфейсом Вы разберётесь и без меня =)

От: serge

serge — Wed, 06 Aug 2008 06:48:31 +0000

Артем, разобрался.:)