
Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 79 (всего у книги 91 страниц)
к н о п к у Д о б а в и т ь ( A d d ) .
Б. Щ е л к н и т е секцию Альтернативное имя (Alternate Name), в раскрывающем-
ся с п и с к е Т и п (Туре) выберите тип URL, в поле Значение (Value) введите
и м я RightsManngement.contoso.com и щелкните кнопку Добавить (Add).
B. П е р е й д и т е на в к л а д к у О б щ и е (General), в поле Понятное имя (Friendly
N a m e ) в в е д и т е Contoso DRM, и а поле Описание (Description) введи-
те Сертификат сервера.
Г. П е р е й д и т е на в к л а д к у З а к р ы т ы й ключ (Private Key), разверните секцию
П а р а м е т р ы к л ю ч а ( K e y O p t i o n s ) и установите флажки Создать экспор-
т и р у е м ы й з а к р ы т ы й к л ю ч ( M a k e Private Key Exportable) и Разрешить
а р х и в а ц и ю з а к р ы т о г о к л ю ч а (Allow Private Key То Be Archived).
10. Щ е л к н и т е O K , а затем – к н о п к и З а я в к а (Enroll) и Готово (Finish).
И . Ч т о б ы п р о в е р и т ь в ы д а ч у сертификата, щелкните узел Сертификаты (Cer-
t i f i c a t e s ) и п р о с м о т р и т е д а н н ы е сертификата на панели сведений.
12. З а к р о й т е к о н с о л ь С е р т и ф и к а т ы (Certificates).
Т е п е р ь вы м о ж е т е п р и с т у п а т ь к установке AD RMS.
У п р а ж н е н и е 5 . У с т а н о в к а к о р н е в о г о кластера A D RMS
З а п у с т и т е м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 и SERVER05, а также сервер SQL
иа м а ш и н е S E R V E R 0 5 . Сервер S E R V E R 0 3 используется для выполнения прак-
т и ч е с к и х з а н я т и й в главе 15, поэтому на нем должны быть установлены службы
AD CS и с е р т и ф и к а т , с п о м о щ ь ю которого выполняется данная операция.
1. В о й д и т е на S E R V E R 0 3 к а к администратор домеиа. Вы получите разре-
ш е н и я а д м и н и с т р а т о р а п р е д п р и я т и я , необходимые для создания точки
п о д к л ю ч е н и я с л у ж б ы ( C S P ) .
2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспет-
чер сервера ( S e r v e r M a n a g e r ) .
3. На п а н е л и д е р е в а щ е л к н и т е правой кнопкой узел Роли (Roles) и задайте
к о м а н д у Д о б а в и т ь р о л и (Add Roles).
4. Иа с т р а н и ц е П е р е д н а ч а л о м работы (Before You Begin) щелкните Далее
( N e x t ) .
5. На с т р а н и ц е Выбор ролей сервера (Select Server Roles) установите флажок
С л у ж б ы у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights
к 816
Службы управления правами Active Directory
Глава 16
Management Services). Мастер д о б а в л е н и я р о л е й ( A d d Roles W i z a r d ) пот-
ребует добавить роль Веб-сервер ( I I S ) ( W e b Server ( I I S ) ) с н е о б х о д и м ы м и
компонентами: Служба активации W P A S ( W i n d o w s Process Activation Ser-
vice) и Очередь сообщений (Message Q u e u i n g ) .
6. Щелкните кнопку Добавить необходимые с л у ж б ы р о л и ( A d d Required Role
Services), если эти службы не были у с т а н о в л е н ы перед и н с т а л л я ц и е й AD
RMS. Щелкните Далее (Next).
7. На странице Службы управления п р а в а м и Active D i r e c t o r y ( A c t i v e Direc-
tory Rights Management Services) п р о с м о т р и т е с в е д е н и я о в ы б р а н н о й р о л и
и щелкните Далее (Next).
8. На странице Выбор служб ролей (Select Role Services) у с т а н о в и т е ф л а ж о к
Сервер управления правами Active Directory (Active D ir ec t or y Rights M a n a -
gement Server) и щелкните Далее ( N e x t ) .
9. На странице Создать или присоединить к л а с т е р AD R M S ( C r e a t e Or J o i n
An AD RMS Cluster) выберите параметр С о з д а т ь н о в ы й к л а с т е р AD R M S
(Create A New AD RMS Cluster) и щ е л к н и т е Д а л е е ( N e x t ) .
10. На странице Выбрать базу д а н н ы х к о н ф и г у р а ц и и ( S e l e c t C o n f i g u r a t i o n
Database) выберите параметр И с п о л ь з о в а т ь д р у г о й с е р в е р б а з ы д а н н ы х
(Use A Different Database Server) и щ е л к н и т е Д а л е е ( N e x t ) .
Если для управления базами д а н н ы х AD R M S в у с т а н о в к е одного с е р в е р а
выбрать внутреннюю базу д а н н ы х W i n d o w s ( W i n d o w s I n t e r n a l D a t a b a s e ) ,
выполнять шаги 11 и 12 не потребуется. О д н а к о б а з а д а н н ы х W I D и с п о л ь -
зуется лишь для тестирования.
И. Щелкните кнопку Выбрать (Select), чтобы локализовать м а ш и н у S E R V E R 0 5 ,
введите имя сервера, щелкните кнопки Проверить имена (Check Names) и О К.
12. В поле Экземпляр базы данных ( D a t a b a s e I n s t a n c e ) в ы б е р и т е э к з е м п л я р
п о умолчанию (Default), п о с л е д о в а т е л ь н о щ е л к н и т е к н о п к и П р о в е р и т ь
(Validate) и Далее (Next).
13. На странице Укажите учетную з а п и с ь с л у ж б ы ( S p e c i f y Service A c c o u n t )
щелкните кнопку Указать (Specify), введите и м я ADRMSService и пароль,
щелкните ОК и Далее (Next).
14. На странице Настроить хранилище ключа кластера AD R M S ( C o n f i g u r e AD
RMS Cluster Key Storage) выберите п а р а м е т р И с п о л ь з о в а т ь ц е н т р а л и з о -
ванное хранилище ключей A D R M S ( U s e A D R M S C e n t r a l l y M a n a g e d K e y
Storage) и щелкните Далее (Next).
Защита ключа кластера AD R M S с п о м о щ ь ю этой б а з ы д а н н ы х в ы б р а н а
для упрощения упражнения, поскольку п р и э т о м не т р е б у ю т с я д о п о л н и -
тельные компоненты. Однако в обычной с и т у а ц и и к л ю ч кластера AD R M S
рекомендуется защитить с помощью п о с т а в щ и к а CSP.
15. На странице Указать пароль ключа кластера с л у ж б у п р а в л е н и я п р а в а м и
Active Directory (Specify AD R M S Cluster Key Password) в в е д и т е строгий
пароль с подтверждением и щ е л к н и т е Далее (Next).
Занятие 1
Установка служб управления правами Active Directory
817
16. На с т р а н и ц е В ы б р а т ь веб-узел кластера AD R M S (Select AD R M S Cluster
Web Site) в ы б е р и т е в е б – у з е л Default Web Site и щелкните Далее (Next).
17. На с т р а н и ц е У к а ж и т е адрес к л а с т е р а (Specify Cluster Address) выберите
п а р а м е т р И с п о л ь з о в а т ь п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL ( h t t p s : / / ) (Use
A n S S L – E n c r y p t e d C o n n e c t i o n ( h t t p s : / / ) ) .
Из с о о б р а ж е н и й б е з о п а с н о с т и д л я кластера AD R M S следует использовать
п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL.
18. В секции В н у т р е н н и й адрес (Internal Address) введите адрес RightsManagement.
contoso.com, оставьте н о м е р порта по у м о л ч а н и ю и щелкните кнопки Про-
в е р и т ь ( V a l i d a t e ) и Д а л е е ( N e x t ) .
19. Н а с т р а н и ц е В ы б е р и т е с е р т и ф и к а т п р о в е р к и подлинности сервера для
S S L – ш и ф р о в а и и я ( C h o o s e A Server Authentication Certificate For SSL En-
c r y p t i o n ) щ е л к н и т е п а р а м е т р В ы б р а т ь с у щ е с т в у ю щ и й сертификат для
ш и ф р о в а н и я S S L ( р е к о м е н д у е т с я ) (Choose An Existing Certificate For SSL
E n c r y p t i o n ( R e c o m m e n d e d ) ) , выберите сертификат S E R V E R 0 4 и щелкните
Д а л е е ( N e x t ) .
Е с л и вы не в ы п о л н я л и п р а к т и ч е с к и е з а н я т и я упражнения 15 и сервер не
располагает с о о т в е т с т в у ю щ и м сертификатом, используйте самозаверяющий
с е р т и ф и к а т .
20. На с т р а н и ц е У к а з а т ь и м я д л я с е р т и ф и к а т а лицензиара сервера (Name The
Server Licensor C e r t i f i c a t e ) введите и м я Contoso DRM для идентификации
к л а с т е р а A D R M S и щ е л к н и т е Далее (Next).
21. На с т р а н и ц е З а р е г и с т р и р о в а т ь точку подключения службы AD RMS (Regis-
ter AD R M S Service C o n n e c t i o n Point) выберите параметр Зарегистрировать
т о ч к у п о д к л ю ч е н и я с л у ж б ы AD R M S сейчас (Register The AD RMS Service
C o n n e c t i o n P o i n t N o w ) и щ е л к н и т е Далее (Next).
Т о ч к а п о д к л ю ч е н и я с л у ж б ы AD R M S будет зарегистрирована в AD DS.
22. На с т р а н и ц е В е б – с е р в е р ( I I S ) ( W e b Server ( I I S ) ) просмотрите сведения об
IIS и щ е л к н и т е Д а л е е ( N e x t ) .
23. На с т р а н и ц е В ы б о р с л у ж б р о л е й (Select Role Services) оставьте для веб-
сервера п а р а м е т р ы по у м о л ч а н и ю и щ е л к н и т е Далее (Next).
24. На с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е элементы (Confirm Installation Selec-
t i o n s ) п р о с м о т р и т е в ы б р а н н ы е параметры и щелкните кнопку Установить
( I n s t a l l ) .
25. П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е кнопку Готово (Finish), чтобы за-
к р ы т ь мастер у с т а н о в к и .
26. В ы й д и т е из с и с т е м ы и в н о в ь в о й д и т е д л я обновления разрешений доступа
учетной з а п и с и вошедшего пользователя. Учетная запись, используемая для
у с т а н о в к и р о л и сервера AD R M S , автоматически становится членом груп-
п ы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S (AD R M S Enterprise
A d m i n i s t r a t o r s ) и п о л у ч а е т доступ ко всем операциям AD RMS. Установка
з а в е р ш е н а .
к 818
Службы управления правами Active Directory
Глава 16
ВНИМАНИЕ! Группы администрирования AD RMS
Для визуализации административных групп, созданных в AD DS, эти группы необхо-
димо добавить в соответствующие локальные группы на сервере. Б производственной
среде этот дополнительный шаг нужно выполнить для завершения установки.
Резюме
• Службы A D R M S о б е с п е ч и в а ю т п о д д е р ж к у з а щ и т ы д а н н ы х п у т е м у п р а в -
ления правами. И с п о л ь з у е т с я с л о ж н а я и н ф р а с т р у к т у р а , д л я к о т о р о й не-
обходимы д о п о л н и т е л ь н ы е с л у ж б ы , т а к и е к а к A D D S , S Q L Server, I n t e r n e t
Information Services и п о т е н ц и а л ь н о AD FS – в с л у ч а е р е а л и з а ц и и п а р т -
нерских связей между лесами.
• Для доступа к службам AD R M S п о л ь з о в а т е л и д о л ж н ы р а с п о л а г а т ь у ч е т н о й
записью с электронной почтой в д о м е н е AD D S .
• Для защиты содержимого п о л ь з о в а т е л и т а к ж е д о л ж н ы р а б о т а т ь с п р и л о -
жениями A D R M S . Такими п р и л о ж е н и я м и м о г у т б ы т ь с р е д с т в а с о з д а н и я
документов, н а п р и м е р Office W o r d , O u t l o o k , P o w e r P o i n t , I n t e r n e t E x p l o r e ,
настраиваемые приложения A D R M S . Б е з т а к о г о п р и л о ж е н и я п о л ь з о в а т е л ь
не сможет просматривать з а щ и щ е н н о е с о д е р ж и м о е и р а б о т а т ь с н и м .
• В Windows Vista по у м о л ч а н и ю в к л ю ч е н к л и е н т AD R M S , о д н а к о в W i n -
dows ХР необходимо загрузить и у с т а н о в и т ь к л и е н т R M S с п а к е т о м об-
новлений SP2.
Закрепление материала
Приведенный далее вопрос п р е д н а з н а ч е н ы д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х
на занятии 1 (этот вопрос с о д е р ж и т с я т а к ж е на с о п р о в о д и т е л ь н о м к о м п а к т -
диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант я в л я е т с я
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Администратор в д о м е н е c o n t o s o . c o m у с т а н о в и л AD R M S , и т е п е р ь е м у
нужно отконфигурировать эти с л у ж б ы . Установка б ы л а в ы п о л н е н а к о р р е к -
тно, тем не менее в начале работы с с е р в е р о м AD R M S п о л у ч е н о с о о б щ е н и е
об ошибке, представленное на р и с у н к е . В ч е м м о ж е т з а к л ю ч а т ь с я п р и ч и н а
проблемы?
A. На сервере не з а п у щ е н ы с л у ж б ы AD R M S .
Б. С е р т и ф и к а т сервера н е д е й с т в и т е л е н , и с е р в е р ие м о ж е т в ы п о л н и т ь
запуск.
B. Сервер не я в л я е т с я членом д о м е н а AD DS.
Г. Учетная запись не располагает с о о т в е т с т в у ю щ и м и р а з р е ш е н и я м и д л я
управления A D R M S .
Занятие 2 Настройка и использование служб управления правами Active Directory
819
Л S»
ИЦ Action Vitw H«lp
* ! Ч.ЁИ; й Ы .
| -it,'Uivtr M»ntg«r
(
S
C
R
V
C
R
0
3
)
? л Roni
anvtwj
j i fj Activt Dif»ctoiyC«rW>c»t« Strvictl
£ c,..„
t Activt Cimctory Righti Minigement St
Ш Thi is the '.terting point lor configuring the setings for the
$
S
£
R
V
t
R
0
)
duster Al servers in a cluster share common configuratio. View
| *]: Rtn»m
Ptlilh
– Ji Dngnoitici
Й? An error occurred while obtaining data from the server.
• Щ Configuntior
) Proptrtitl
i Slonyt
! и'ш &*i«B.
•
M
t
b the ipecifitd AO RMSduitr could not bteittbliihed
for th< folowing rinon:
Tht underlying connection MI clotdi An uneoptctcd er
To dugnoit tht probltm, tiy tht folowing!
lur Itcunty toktn might nttd to bt updttd to indudt tht AO
R
M
S
irprnt Adminntitoi group, log of tht computr, tnd thtn log
b
>
<
in uprlt't your itcurity toktn.
• Conntct to the AO
R
M
S
e
r di
tgtin by clicking Refit ih btlow or in tht
Actiont pint.
• To dittirnint whther the AO
R
M
S Role Minigei
W
e
b и
tvtiltble, dick
V
i
e
w AO
R
M
S Strvtr Role Mtntgei
W
t
b ten
j • Verify thtt tht AD
R
M
S clulttr ntn
j correctly. If tht AO
R
M
S itivict »cci
Занятие 2. Настройка и использование служб
управления правами Active Directory
К у с т а н о в к е A D R M S н е л е г к о п о д г о т о в и т ь с я , н о если все выполнить правильно,
д а л ь н е й ш а я р а б о т а б у д е т б е с п е р е б о й н о й . О д н а к о п о с л е установки серверов
н е о б х о д и м о з а в е р ш и т ь н а с т р о й к у к л а с т е р а A D R M S и подготовить политики
и с п о л ь з о в а н и я д л я р е а л и з а ц и и в сети. П р и э т о м н у ж н о в ы п о л н и т ь несколько
. з а д а ч .
• В к о н ф и г у р а ц и ю н е о б х о д и м о д о б а в и т ь U R L к л а с т е р а экстрасетн, чтобы
о б е с п е ч и т ь д о с т у п к A D R M S в н е с е т и о р г а н и з а ц и и ,
• Ч т о б ы и н т е г р и р о в а т ь с л у ж б ы A D R M S с п а р т н е р а м и , следует отконфигу-
р и р о в а т ь п а р а м е т р ы п р о к с и и у с т а н о в и т ь к о м п о н е н т Поддержка федерации
у д о с т о в е р е н и й ( I d e n t i t y F e d e r a t i o n S u p p o r t ) . П р и этом потребуется рабочая
р е а л и з а ц и я A D F S . Д л я в з а и м о д е й с т в и я пользовательского кластера A D
R M S с д р у г и м и к л а с т е р а м и н е о б х о д и м о т а к ж е о т к о н ф и г у р и р о в а т ь поли-
т и к и д о в е р и я .
• Д л я т о г о ч т о б ы к о р р е к т н о н а с т р о и т ь и н т е р в а л ы п о д т в е р ж д е н и я , необхо-
д и м о о т к о н ф и г у р и р о в а т ь р а з л и ч н ы е с е р т и ф и к а т ы A D R M S .
• Е с л и п о л и т и к и з а щ и т ы о т н е с а н к ц и о н и р о в а н н о г о д о с т у п а д о л ж н ы в л и я т ь
н е и а в с ю о р г а н и з а ц и ю , а л и ш ь и а к о н к р е т н ы е г р у п п ы пользователей или
о т д е л о в , т а к и е к а к ю р и д и ч е с к и й о т д е л к о м п а н и и , н у ж н о о т к о н ф и г у р и р о -
в а т ь п о л и т и к и и с к л ю ч е н и я .
к 8 2 0 Службы управления правами Active Directory
Глава 16
• Четные записи п о л ь з о в а т е л е й н е о б х о д и м о п о д г о т о в и т ь д л я и н т е г р а ц и и
с AD RMS.
• Для организации следует подготовить ш а б л о н ы п о л и т и к и , к о т о р ы е у л у ч ш а т
защиту несанкционированного доступа д л я п о л ь з о в а т е л е й .
и Следует ознакомиться с различными к л и е н т а м и AD R M S , чтобы обеспечи-
вать техническую поддержку в случае н е п о л а д о к у п о л ь з о в а т е л е й .
• Чтобы корректно выполнить операции с л у ж б ы AD R M S , н е о б х о д и м о обес-
печить техническую поддержку трех баз д а н н ы х .
После выполнения всех этих о п е р а ц и й р а з в е р т ы в а н и е к л а с т е р а A D R M S
будет завершено.
Изучив материал этого занятия, вы сможете:
^ Конфигурировать URL-адреса экстрасетей,
^ Выполнять подготовку к интеграции с партнерами.
Использовать сертификаты AD RMS.
S Подготовить учетные записи пользователей для AD RMS.
s Подготовить политики исключения.
/ Использовать шаблоны политики.
J Работать с базами данных AD RMS.
Продолжительность занятия – около 30 мин.
Настройка AD RMS
В отличие от служб управления п р а в а м и W i n d o w s ( W i n d o w s R i g h t s M a n a g e -
ment Services), к о н ф и г у р а ц и я AD R M S н а с т р а и в а е т с я с п о м о щ ь ю к о н с о л и
ММС, которая интегрируется в Диспетчер сервера ( S e r v e r M a n a g e r ) , а т а к ж е
доступна как независимая консоль в средстве у д а л е н н о г о а д м и н и с т р и р о в а н и я
сервера RSAT (Remote Server Administration Tools). С п о м о щ ь ю д а н н о й к о н с о л и
можно выполнить все задачи по з а в е р ш е н и ю н а с т р о й к и к о н ф и г у р а ц и и .
К СВЕДЕНИЮ Настройка AD RMS
Более подробная информация о настройке AD RMS содержится по адресу http://
technet2.microsoft.com/windowssemer2008/en/library/73829489-45f1-415b-90ab-
061a263d1ef61033.mspx?mfr-tive.
Создание URL экстрасети
Чтобы расширить инфраструктуру A D R M S д л я м о б и л ь н ы х п о л ь з о в а т е л е й
или сотрудников удаленного офиса вне в н у т р е н н е й сети, н е о б х о д и м о откон-
фигурировать URL экстрасети.
1. Войдите иа сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е
группы Администраторы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r -
prise Administrators).
2. В категории Администрирование (Administrative Tools) з а п у с т и т е Диспет-
чер сервера (Server Manager).
Занятие 2 Настройка и использование служб управления правами Active Directory
821
3. Н а з в е р п и т е у з е л Р о л и С л у ж б ы управления правами Active Directoryi«<*_
сервера ( R o l e s A c t i v e D i r e c t o r y Rights M a n a g e m e n t Services имя_сервера).
4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и и м я сервера и выполните команду Свойс-
т в а ( P r o p e r t i e s ) .
5. П е р е й д и т е на в к л а д к у U R L – а д р е с а кластера (Cluster.URLs).
6. В к л ю ч и т е о п ц и ю U R L – а д р е с а экстрасети ( E x t r a n e t URLs) и добавьте соот-
в е т с т в у ю щ и е д а н н ы е U R L для лицензирования (Licensing) и сертификации
( C e r t i f i c a t i o n ) .
Э т и U R L – а д р е с а д о л ж н ы у к а з ы в а т ь на установку IIS в экстрасети и не
д о л ж н ы и з м е н я т ь с я . Д л я URL-адресов также необходимо выполнить регис-
т р а ц и ю в D N S . И с п о л ь з у й т е ш и ф р о в а н и е SSL для защиты коммуникаций
через п о д к л ю ч е н и я H T T P и л и H T T P S . И наконец, не забудьте создать со-
о т в е т с т в у ю щ и е в и р т у а л ь н ы е каталоги для содержания данных AD RMS.
7. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь диалоговое окно и применить изменения.
U R L – а д р е с а э к с т р а с е т и готовы.
Настройка политик доверия
Х о т я п о д д е р ж к у ф е д е р а ц и и н е л ь з я включить, пока не будет реализована рабо-
чая и н ф р а с т р у к т у р а AD FS, вы можете изучить различные модели AD RMS,
п о д д е р ж и в а ю щ и е ф е д е р а ц и ю п о л и т и к D R M . Службы AD RMS, как правило,
п о д д е р ж и в а ю т ч е т ы р е м о д е л и доверия.
• Д о м е н ы д о в е р е н н ы х п о л ь з о в а т е л е й позволяют кластеру AD RMS обраба-
т ы в а т ь з а п р о с ы д р у г и х кластеров AD RMS, локализованных в различных
л е с а х AD D S . Д о м е н ы д о в е р е н н ы х пользователей добавляются путем им-
п о р т а с е р т и ф и к а т а л и ц е н з и а р а сервера из кластера AD RMS, которому вы
х о т и т е д о в е р я т ь , в в а ш собственный кластер.
• Д о в е р е н н ы е д о м е н ы п у б л и к а ц и и позволяют вашему кластеру AD RMS
в ы д а в а т ь л и ц е н з и и на использование содержимого, защищенного еще од-
н и м к л а с т е р о м AD R M S . Д л я создания доверенного домена публикации
н е о б х о д и м о и м п о р т и р о в а т ь сертификат SLC кластера публикации вместе
с его з а к р ы т ы м к л ю ч о м в ваш собственный кластер.
• С л у ж б а W i n d o w s Live ID позволяет пользователям с кодом Windows Live
ID ( т а к н а з ы в а е м ы й паспорт Microsoft (Microsoft Passport)) применять со-
д е р ж и м о е с з а щ и т о й от несанкционированного доступа, но не создавать его.
• Ф е д е р а т и в н о е д о в е р и е устанавливается с помощью AD FS и расширяет
о п е р а ц и и к л а с т е р а AD R M S в лесах, с которыми установлено федератив-
ное доверие.
Все эти т и п ы д о в е р и я р а с ш и р я ю т полномочия AD RMS за пределы леса
о р г а н и з а ц и и .
К СВЕДЕНИЮ Создание доверия AD RMS
Информация о работе с доверием AD RMS содержится по адресу http://technet2.
microsoft.com/windowsserver2008/en/library/67ds9efe-28f6-422e-b0e3-e85da40a04f01033.
mspx7mfr-true.
к 822
Службы управления правами Active Directory
Глава 16
Экспорт сертификата л и ц е н з и а р а с е р в е р а
Для работы с доверенными доменами п у б л и к а ц и и и л и д о в е р е н н ы м и д о м е н а м и
пользователей необходимо экспортировать с е р т и ф и к а т л и ц е н з и а р а с е р в е р а из
корневого кластера, для которого устанавливается доверие. Э к с п о р т и р о в а н н ы е
сертификаты будут применяться для у с т а н о в л е н и я д о в е р и я . Ч т о б ы в ы п о л н и т ь
данную процедуру, нужно быть членом л о к а л ь н о й г р у п п ы А д м и н и с т р а т о р ы
предприятия службы A D R M S ( A D R M S E n t e r p r i s e A d m i n i s t r a t o r s ) и л и е е
аналога.
1. Войдите на сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е
группы Администраторы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r -
prise Administrators).
2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т -
чер сервера (Server Manager).
3. Разверните узел Р о л и С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y t w w _
сервера (RolesActive Directory Rights M a n a g e m e n t S e r v i c e s и м я _ с е р в е р а ) .
4. Щелкните правой кнопкой и м я сервера и в ы п о л н и т е к о м а н д у С в о й с т в а
(Properties).
5. Перейдите на вкладку Сертификат сервера ( S e r v e r C e r t i f i c a t e ) и щ е л к н и т е
кнопку Экспорт сертификата ( E x p o r t C e r t i f i c a t e ) .
6. В диалоговом окне Экспортировать с е р т и ф и к а т как ( E x p o r t C e r t i f i c a t e As)
введите имя, например имя кластера, и выберите р а з м е щ е н и е ( п а п к у Д о к у -
менты (Documents))'для создания файла .bin. Щ е л к н и т е к н о п к у С о х р а н и т ь
(Save).
7. Закройте диалоговое окно Свойства ( P r o p e r t i e s ) .
Обеспечьте защиту этого сертификата, п о с к о л ь к у он у п р а в л я е т д о с т у п о м
к кластеру AD RMS.
Подготовка сертификатов AD RMS
Сертификаты создаются по умолчанию во в р е м я у с т а н о в к и AD R M S . О д н а -
ко на основе политик защиты от н е с а н к ц и о н и р о в а н н о г о д о с т у п а н е о б х о д и м о
отконфигурировать срок действия с е р т и ф и к а т а . П р и его а д м и н и с т р и р о в а н и и
рекомендуется выполнить четыре операции:
• указать срок действия сертификатов п р а в у ч е т н о й з а п и с и ;
• включить сертификацию для м о б и л ь н ы х устройств;
• включить сертификацию служб сервера;
• проверить подлинность клиентов с п о м о щ ь ю смарт-карт.
Обязательно нужно указать срок д е й с т в и я с е р т и ф и к а т а RAC. Д р у г и е опе-
рации считаются опциональными, и их в ы п о л н е н и е з а в и с и т от п о л и т и к з а щ и -
ты от несанкционированного доступа. Д л я того чтобы м о д и ф и ц и р о в а т ь срок
действия сертификата RAC, выполните следующее.
1. Войдите иа сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е
группы Администраторы предприятия с л у ж б ы A D R M S ( A D R M S Enter-
prise Administrators).
Занятие 2 Настройка и использование служб управления правами Active Directory
823
2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Дисис-т-
чер с е р в е р а ( S e r v e r M a n a g e r ) .
3. Р а з в е р н и т е узел Р о л и С л у ж б ы управления правами Active Directorytooi
сервера ( R o l e s A c t i v e D i r e c t o r y Rights M a n a g e m e n t Бчттсибимм_сераера),
А. На п а н е л и с в е д е н и й щ е л к н и т е И з м е н и т ь стандартный срок действия RAC
( C h a n g e S t a n d a r d R A C Validity Period).
5. П е р е й д и т е на в к л а д к у Стандартный сертификат RAC (Standard RAC) и ука-
ж и т е ч и с л о д и е й в с е к ц и и С р о к действия стандартного сертификата RAC
( S t a n d a r d RAC Validity Period).
6. П е р е й д и т е на в к л а д к у В р е м е н н ы й сертификат RAC (Temporary RAC) н ука-
ж и т е ч и с л о м и н у т в п о л е С р о к д е й с т в и я временного сертификата RAC
( T e m p o r a r y RAC Validity Period).
7 . Щ е л к н и т е O K , ч т о б ы з а к р ы т ь диалоговое окно.
О т м е т и м , что по у м о л ч а н и ю стандартные сертификаты RAC действительны
3 6 5 дней, а в р е м е н н ы е с е р т и ф и к а т ы RAC – л и ш ь 15 мин. Вы можете увели-
ч и т ь срок д е й с т в и я в р е м е н н ы х RAC, а вот д л я стандартного сертификата RAC
о д н о г о года б о л е е чем достаточно.
В с л у ч а е и с п о л ь з о в а н и я ф е д е р а т и в н о г о доверия срок действия RAC моди-
ф и ц и р у е т с я в у з л е П о д д е р ж к а удостоверений федерации (Federated Identity
S u p p o r t ) , а не в у з л е к о р н е в о г о кластера.
К СВЕДЕНИЮ Управление сертификатами
Информацию о работе с другими типами сертификатов можно найти по адресу http://
technet2.microsoft.com/windowsserver2008/en/library/5eb527a9-34d8-464/-9735-
e7dcd2613ffc1033.mspx.
Подготовка политик исключений
О п р е д е л я я о б л а с т и р е а л и з а ц и и п о л и т и к и защиты от несанкционированного
доступа, м о ж н о о т к о н ф и г у р и р о в а т ь политики исключений или политики, ис-
к л ю ч а ю щ и е п о л ь з о в а т е л е й и компьютеры из реализации AD RMS. Политики
и с к л ю ч е н и й с о з д а ю т с я д л я таких объектов идентификации, как пользователи,
п р и л о ж е н и я , п о ч т о в ы е я щ и к и и операционные системы Windows. При этом
с п и с о к у к а з а н н ы х членов и с к л ю ч е н и я помещается в лицензию на использова-
н и е содержимого. И с к л ю ч е н н ы й объект можно удалить из списка исключений,
о д н а к о п о с л е этого он у ж е не будет добавляться в лицензии на использова-
ние. С у щ е с т в у ю щ е е с о д е р ж и м о е будет по-прежнему включать этот объект,
п о с к о л ь к у по у м о л ч а н и ю л и ц е н з и и на использование выдаются только один
раз. П о э т о м у при подготовке списка исключений следует принять во внимание
с л е д у ю щ и е р е к о м е н д а ц и и .
• По в о з м о ж н о с т и назначайте исключения, которые будут оставаться неиз-
м е н н ы м и .
• В с л у ч а е и з м е н е н и я своего р е ш е н и я подождите, пока завершится срок
д е й с т в и я с у щ е с т в у ю щ и х л и ц е н з и й на использование, и только после этого
у д а л я й т е о б ъ е к т ы нз списка исключений.
к 8 2 4 Службы управления правами Active Directory
Глава 16
• Использование списков и с к л ю ч е н и й в случае в з л о м а у ч е т н ы х д а н н ы х од-
ного и з поддерживаемых объектов, н а п р и м е р п о л ь з о в а т е л я , п о д в е р г а е т
угрозе защищенное содержимое.
При создании списка и с к л ю ч е н и й и с п о л ь з у й т е с л е д у ю щ у ю п р о ц е д у р у
(в данном случае из структуры AD R M S и с к л ю ч а ю т с я п о л ь з о в а т е л и ) .
1. Войдите на сервер, я в л я ю щ и й с я ч л е н о м к о р н е в о г о к л а с т е р а , и с п о л ь з у я
учетные данные группы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S
(AD R M S Enterprise Administrators).
2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т -
чер сервера (Server Manager).
3. Разверните узел Р о л и С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y t w ^ _
сервера (RolesActive Directory Rights M a n a g e m e n t S e r v i c e s и м я _ с е р в е р а ) .
4. На панели Действия (Actions) щелкните Создать и с к л ю ч е н и е п о л ь з о в а т е л я
(Enable User Exclusion). Откроется исключение.
5. Для исключения пользователей на п а н е л и Д е й с т в и я ( A c t i o n s ) щ е л к н и т е
команду Исключить пользователя ( E x c l u d e U s e r ) . З а п у с т и т с я м а с т е р ис-
ключения учетной записи (Exclude User A c c o u n t W i z a r d ) .
Вы можете исключить пользователя с помощью его адреса э л е к т р о н н о й поч-
ты или открытого ключа. Первый способ п р е д н а з н а ч е н д л я п о л ь з о в а т е л е й
в каталоге AD DS (при этом лучше и с п о л ь з о в а т ь г р у п п ы , а не и с к л ю ч а т ь
пользователей по отдельности), а второй – д л я в н е ш н и х п о л ь з о в а т е л е й без
учетной записи в каталоге AD DS.
6. Выберите соответствующий метод и с к л ю ч е н и я , л о к а л и з о в а в у ч е т н у ю за-
пись пользователя или строку открытого к л ю ч а , а з а т е м щ е л к н и т е Д а л е е
(Next).
7. Щелкните кнопку Готово (Finish), чтобы з а к р ы т ь мастер.
Д л я удаления исключения и с п о л ь з у е т с я тот ж е у з е л . Д л я д р у г и х т и п о в
исключения тоже применяется этот процесс.
Контрольные вопросы
1. Сколько корневых кластеров можно развернуть в лесу доменных служб Ac-
tive Directory?
2. В чем разница между корневым кластером и кластером лицензирования,
и какой кластер целесообразнее использопать?
3. Какие роли делегирования поддерживает AD RMS?
Ответы на контрольные вопросы
1. В лесу AD DS можно развернуть лишь один корневой кластер AD RMS.
Дело в том, что во время установки AD RMS создается точка подключения
службы (SCP), а в лесу может существовать только одна точка SCP.
Занятие 2 Настройка и использование служб управления правами Active Directory 848
2. Корневой кластер предоставляет все возможности AD RMS. а кластер лицен-
зирования управляет только лицензиями. Кластеры лицензирования пред-