Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 79 (всего у книги 91 страниц)
к н о п к у Д о б а в и т ь ( A d d ) .
Б. Щ е л к н и т е секцию Альтернативное имя (Alternate Name), в раскрывающем-
ся с п и с к е Т и п (Туре) выберите тип URL, в поле Значение (Value) введите
и м я RightsManngement.contoso.com и щелкните кнопку Добавить (Add).
B. П е р е й д и т е на в к л а д к у О б щ и е (General), в поле Понятное имя (Friendly
N a m e ) в в е д и т е Contoso DRM, и а поле Описание (Description) введи-
те Сертификат сервера.
Г. П е р е й д и т е на в к л а д к у З а к р ы т ы й ключ (Private Key), разверните секцию
П а р а м е т р ы к л ю ч а ( K e y O p t i o n s ) и установите флажки Создать экспор-
т и р у е м ы й з а к р ы т ы й к л ю ч ( M a k e Private Key Exportable) и Разрешить
а р х и в а ц и ю з а к р ы т о г о к л ю ч а (Allow Private Key То Be Archived).
10. Щ е л к н и т е O K , а затем – к н о п к и З а я в к а (Enroll) и Готово (Finish).
И . Ч т о б ы п р о в е р и т ь в ы д а ч у сертификата, щелкните узел Сертификаты (Cer-
t i f i c a t e s ) и п р о с м о т р и т е д а н н ы е сертификата на панели сведений.
12. З а к р о й т е к о н с о л ь С е р т и ф и к а т ы (Certificates).
Т е п е р ь вы м о ж е т е п р и с т у п а т ь к установке AD RMS.
У п р а ж н е н и е 5 . У с т а н о в к а к о р н е в о г о кластера A D RMS
З а п у с т и т е м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 и SERVER05, а также сервер SQL
иа м а ш и н е S E R V E R 0 5 . Сервер S E R V E R 0 3 используется для выполнения прак-
т и ч е с к и х з а н я т и й в главе 15, поэтому на нем должны быть установлены службы
AD CS и с е р т и ф и к а т , с п о м о щ ь ю которого выполняется данная операция.
1. В о й д и т е на S E R V E R 0 3 к а к администратор домеиа. Вы получите разре-
ш е н и я а д м и н и с т р а т о р а п р е д п р и я т и я , необходимые для создания точки
п о д к л ю ч е н и я с л у ж б ы ( C S P ) .
2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспет-
чер сервера ( S e r v e r M a n a g e r ) .
3. На п а н е л и д е р е в а щ е л к н и т е правой кнопкой узел Роли (Roles) и задайте
к о м а н д у Д о б а в и т ь р о л и (Add Roles).
4. Иа с т р а н и ц е П е р е д н а ч а л о м работы (Before You Begin) щелкните Далее
( N e x t ) .
5. На с т р а н и ц е Выбор ролей сервера (Select Server Roles) установите флажок
С л у ж б ы у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights
к 816
Службы управления правами Active Directory
Глава 16
Management Services). Мастер д о б а в л е н и я р о л е й ( A d d Roles W i z a r d ) пот-
ребует добавить роль Веб-сервер ( I I S ) ( W e b Server ( I I S ) ) с н е о б х о д и м ы м и
компонентами: Служба активации W P A S ( W i n d o w s Process Activation Ser-
vice) и Очередь сообщений (Message Q u e u i n g ) .
6. Щелкните кнопку Добавить необходимые с л у ж б ы р о л и ( A d d Required Role
Services), если эти службы не были у с т а н о в л е н ы перед и н с т а л л я ц и е й AD
RMS. Щелкните Далее (Next).
7. На странице Службы управления п р а в а м и Active D i r e c t o r y ( A c t i v e Direc-
tory Rights Management Services) п р о с м о т р и т е с в е д е н и я о в ы б р а н н о й р о л и
и щелкните Далее (Next).
8. На странице Выбор служб ролей (Select Role Services) у с т а н о в и т е ф л а ж о к
Сервер управления правами Active Directory (Active D ir ec t or y Rights M a n a -
gement Server) и щелкните Далее ( N e x t ) .
9. На странице Создать или присоединить к л а с т е р AD R M S ( C r e a t e Or J o i n
An AD RMS Cluster) выберите параметр С о з д а т ь н о в ы й к л а с т е р AD R M S
(Create A New AD RMS Cluster) и щ е л к н и т е Д а л е е ( N e x t ) .
10. На странице Выбрать базу д а н н ы х к о н ф и г у р а ц и и ( S e l e c t C o n f i g u r a t i o n
Database) выберите параметр И с п о л ь з о в а т ь д р у г о й с е р в е р б а з ы д а н н ы х
(Use A Different Database Server) и щ е л к н и т е Д а л е е ( N e x t ) .
Если для управления базами д а н н ы х AD R M S в у с т а н о в к е одного с е р в е р а
выбрать внутреннюю базу д а н н ы х W i n d o w s ( W i n d o w s I n t e r n a l D a t a b a s e ) ,
выполнять шаги 11 и 12 не потребуется. О д н а к о б а з а д а н н ы х W I D и с п о л ь -
зуется лишь для тестирования.
И. Щелкните кнопку Выбрать (Select), чтобы локализовать м а ш и н у S E R V E R 0 5 ,
введите имя сервера, щелкните кнопки Проверить имена (Check Names) и О К.
12. В поле Экземпляр базы данных ( D a t a b a s e I n s t a n c e ) в ы б е р и т е э к з е м п л я р
п о умолчанию (Default), п о с л е д о в а т е л ь н о щ е л к н и т е к н о п к и П р о в е р и т ь
(Validate) и Далее (Next).
13. На странице Укажите учетную з а п и с ь с л у ж б ы ( S p e c i f y Service A c c o u n t )
щелкните кнопку Указать (Specify), введите и м я ADRMSService и пароль,
щелкните ОК и Далее (Next).
14. На странице Настроить хранилище ключа кластера AD R M S ( C o n f i g u r e AD
RMS Cluster Key Storage) выберите п а р а м е т р И с п о л ь з о в а т ь ц е н т р а л и з о -
ванное хранилище ключей A D R M S ( U s e A D R M S C e n t r a l l y M a n a g e d K e y
Storage) и щелкните Далее (Next).
Защита ключа кластера AD R M S с п о м о щ ь ю этой б а з ы д а н н ы х в ы б р а н а
для упрощения упражнения, поскольку п р и э т о м не т р е б у ю т с я д о п о л н и -
тельные компоненты. Однако в обычной с и т у а ц и и к л ю ч кластера AD R M S
рекомендуется защитить с помощью п о с т а в щ и к а CSP.
15. На странице Указать пароль ключа кластера с л у ж б у п р а в л е н и я п р а в а м и
Active Directory (Specify AD R M S Cluster Key Password) в в е д и т е строгий
пароль с подтверждением и щ е л к н и т е Далее (Next).
Занятие 1
Установка служб управления правами Active Directory
817
16. На с т р а н и ц е В ы б р а т ь веб-узел кластера AD R M S (Select AD R M S Cluster
Web Site) в ы б е р и т е в е б – у з е л Default Web Site и щелкните Далее (Next).
17. На с т р а н и ц е У к а ж и т е адрес к л а с т е р а (Specify Cluster Address) выберите
п а р а м е т р И с п о л ь з о в а т ь п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL ( h t t p s : / / ) (Use
A n S S L – E n c r y p t e d C o n n e c t i o n ( h t t p s : / / ) ) .
Из с о о б р а ж е н и й б е з о п а с н о с т и д л я кластера AD R M S следует использовать
п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL.
18. В секции В н у т р е н н и й адрес (Internal Address) введите адрес RightsManagement.
contoso.com, оставьте н о м е р порта по у м о л ч а н и ю и щелкните кнопки Про-
в е р и т ь ( V a l i d a t e ) и Д а л е е ( N e x t ) .
19. Н а с т р а н и ц е В ы б е р и т е с е р т и ф и к а т п р о в е р к и подлинности сервера для
S S L – ш и ф р о в а и и я ( C h o o s e A Server Authentication Certificate For SSL En-
c r y p t i o n ) щ е л к н и т е п а р а м е т р В ы б р а т ь с у щ е с т в у ю щ и й сертификат для
ш и ф р о в а н и я S S L ( р е к о м е н д у е т с я ) (Choose An Existing Certificate For SSL
E n c r y p t i o n ( R e c o m m e n d e d ) ) , выберите сертификат S E R V E R 0 4 и щелкните
Д а л е е ( N e x t ) .
Е с л и вы не в ы п о л н я л и п р а к т и ч е с к и е з а н я т и я упражнения 15 и сервер не
располагает с о о т в е т с т в у ю щ и м сертификатом, используйте самозаверяющий
с е р т и ф и к а т .
20. На с т р а н и ц е У к а з а т ь и м я д л я с е р т и ф и к а т а лицензиара сервера (Name The
Server Licensor C e r t i f i c a t e ) введите и м я Contoso DRM для идентификации
к л а с т е р а A D R M S и щ е л к н и т е Далее (Next).
21. На с т р а н и ц е З а р е г и с т р и р о в а т ь точку подключения службы AD RMS (Regis-
ter AD R M S Service C o n n e c t i o n Point) выберите параметр Зарегистрировать
т о ч к у п о д к л ю ч е н и я с л у ж б ы AD R M S сейчас (Register The AD RMS Service
C o n n e c t i o n P o i n t N o w ) и щ е л к н и т е Далее (Next).
Т о ч к а п о д к л ю ч е н и я с л у ж б ы AD R M S будет зарегистрирована в AD DS.
22. На с т р а н и ц е В е б – с е р в е р ( I I S ) ( W e b Server ( I I S ) ) просмотрите сведения об
IIS и щ е л к н и т е Д а л е е ( N e x t ) .
23. На с т р а н и ц е В ы б о р с л у ж б р о л е й (Select Role Services) оставьте для веб-
сервера п а р а м е т р ы по у м о л ч а н и ю и щ е л к н и т е Далее (Next).
24. На с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е элементы (Confirm Installation Selec-
t i o n s ) п р о с м о т р и т е в ы б р а н н ы е параметры и щелкните кнопку Установить
( I n s t a l l ) .
25. П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е кнопку Готово (Finish), чтобы за-
к р ы т ь мастер у с т а н о в к и .
26. В ы й д и т е из с и с т е м ы и в н о в ь в о й д и т е д л я обновления разрешений доступа
учетной з а п и с и вошедшего пользователя. Учетная запись, используемая для
у с т а н о в к и р о л и сервера AD R M S , автоматически становится членом груп-
п ы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S (AD R M S Enterprise
A d m i n i s t r a t o r s ) и п о л у ч а е т доступ ко всем операциям AD RMS. Установка
з а в е р ш е н а .
к 818
Службы управления правами Active Directory
Глава 16
ВНИМАНИЕ! Группы администрирования AD RMS
Для визуализации административных групп, созданных в AD DS, эти группы необхо-
димо добавить в соответствующие локальные группы на сервере. Б производственной
среде этот дополнительный шаг нужно выполнить для завершения установки.
Резюме
• Службы A D R M S о б е с п е ч и в а ю т п о д д е р ж к у з а щ и т ы д а н н ы х п у т е м у п р а в -
ления правами. И с п о л ь з у е т с я с л о ж н а я и н ф р а с т р у к т у р а , д л я к о т о р о й не-
обходимы д о п о л н и т е л ь н ы е с л у ж б ы , т а к и е к а к A D D S , S Q L Server, I n t e r n e t
Information Services и п о т е н ц и а л ь н о AD FS – в с л у ч а е р е а л и з а ц и и п а р т -
нерских связей между лесами.
• Для доступа к службам AD R M S п о л ь з о в а т е л и д о л ж н ы р а с п о л а г а т ь у ч е т н о й
записью с электронной почтой в д о м е н е AD D S .
• Для защиты содержимого п о л ь з о в а т е л и т а к ж е д о л ж н ы р а б о т а т ь с п р и л о -
жениями A D R M S . Такими п р и л о ж е н и я м и м о г у т б ы т ь с р е д с т в а с о з д а н и я
документов, н а п р и м е р Office W o r d , O u t l o o k , P o w e r P o i n t , I n t e r n e t E x p l o r e ,
настраиваемые приложения A D R M S . Б е з т а к о г о п р и л о ж е н и я п о л ь з о в а т е л ь
не сможет просматривать з а щ и щ е н н о е с о д е р ж и м о е и р а б о т а т ь с н и м .
• В Windows Vista по у м о л ч а н и ю в к л ю ч е н к л и е н т AD R M S , о д н а к о в W i n -
dows ХР необходимо загрузить и у с т а н о в и т ь к л и е н т R M S с п а к е т о м об-
новлений SP2.
Закрепление материала
Приведенный далее вопрос п р е д н а з н а ч е н ы д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х
на занятии 1 (этот вопрос с о д е р ж и т с я т а к ж е на с о п р о в о д и т е л ь н о м к о м п а к т -
диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант я в л я е т с я
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Администратор в д о м е н е c o n t o s o . c o m у с т а н о в и л AD R M S , и т е п е р ь е м у
нужно отконфигурировать эти с л у ж б ы . Установка б ы л а в ы п о л н е н а к о р р е к -
тно, тем не менее в начале работы с с е р в е р о м AD R M S п о л у ч е н о с о о б щ е н и е
об ошибке, представленное на р и с у н к е . В ч е м м о ж е т з а к л ю ч а т ь с я п р и ч и н а
проблемы?
A. На сервере не з а п у щ е н ы с л у ж б ы AD R M S .
Б. С е р т и ф и к а т сервера н е д е й с т в и т е л е н , и с е р в е р ие м о ж е т в ы п о л н и т ь
запуск.
B. Сервер не я в л я е т с я членом д о м е н а AD DS.
Г. Учетная запись не располагает с о о т в е т с т в у ю щ и м и р а з р е ш е н и я м и д л я
управления A D R M S .
Занятие 2 Настройка и использование служб управления правами Active Directory
819
Л S» ИЦ Action Vitw H«lp * ! Ч.ЁИ; й Ы . | -it,'Uivtr M»ntg«r ( S C R V C R 0 3 ) ? л Roni anvtwj j i fj Activt Dif»ctoiyC«rW>c»t« Strvictl £ c,..„ t Activt Cimctory Righti Minigement St Ш Thi is the '.terting point lor configuring the setings for the $ S £ R V t R 0 ) duster Al servers in a cluster share common configuratio. View | *]: Rtn»m Ptlilh – Ji Dngnoitici Й? An error occurred while obtaining data from the server. • Щ Configuntior ) Proptrtitl i Slonyt ! и'ш &*i«B. • M t b the ipecifitd AO RMSduitr could not bteittbliihed for th< folowing rinon: Tht underlying connection MI clotdi An uneoptctcd er To dugnoit tht probltm, tiy tht folowing! lur Itcunty toktn might nttd to bt updttd to indudt tht AO R M S irprnt Adminntitoi group, log of tht computr, tnd thtn log b > < in uprlt't your itcurity toktn. • Conntct to the AO R M S e r di tgtin by clicking Refit ih btlow or in tht Actiont pint. • To dittirnint whther the AO R M S Role Minigei W e b и tvtiltble, dick V i e w AO R M S Strvtr Role Mtntgei W t b ten j • Verify thtt tht AD R M S clulttr ntn j correctly. If tht AO R M S itivict »cci Занятие 2. Настройка и использование служб управления правами Active Directory К у с т а н о в к е A D R M S н е л е г к о п о д г о т о в и т ь с я , н о если все выполнить правильно, д а л ь н е й ш а я р а б о т а б у д е т б е с п е р е б о й н о й . О д н а к о п о с л е установки серверов н е о б х о д и м о з а в е р ш и т ь н а с т р о й к у к л а с т е р а A D R M S и подготовить политики и с п о л ь з о в а н и я д л я р е а л и з а ц и и в сети. П р и э т о м н у ж н о в ы п о л н и т ь несколько . з а д а ч . • В к о н ф и г у р а ц и ю н е о б х о д и м о д о б а в и т ь U R L к л а с т е р а экстрасетн, чтобы о б е с п е ч и т ь д о с т у п к A D R M S в н е с е т и о р г а н и з а ц и и , • Ч т о б ы и н т е г р и р о в а т ь с л у ж б ы A D R M S с п а р т н е р а м и , следует отконфигу- р и р о в а т ь п а р а м е т р ы п р о к с и и у с т а н о в и т ь к о м п о н е н т Поддержка федерации у д о с т о в е р е н и й ( I d e n t i t y F e d e r a t i o n S u p p o r t ) . П р и этом потребуется рабочая р е а л и з а ц и я A D F S . Д л я в з а и м о д е й с т в и я пользовательского кластера A D R M S с д р у г и м и к л а с т е р а м и н е о б х о д и м о т а к ж е о т к о н ф и г у р и р о в а т ь поли- т и к и д о в е р и я . • Д л я т о г о ч т о б ы к о р р е к т н о н а с т р о и т ь и н т е р в а л ы п о д т в е р ж д е н и я , необхо- д и м о о т к о н ф и г у р и р о в а т ь р а з л и ч н ы е с е р т и ф и к а т ы A D R M S . • Е с л и п о л и т и к и з а щ и т ы о т н е с а н к ц и о н и р о в а н н о г о д о с т у п а д о л ж н ы в л и я т ь н е и а в с ю о р г а н и з а ц и ю , а л и ш ь и а к о н к р е т н ы е г р у п п ы пользователей или о т д е л о в , т а к и е к а к ю р и д и ч е с к и й о т д е л к о м п а н и и , н у ж н о о т к о н ф и г у р и р о - в а т ь п о л и т и к и и с к л ю ч е н и я . к 8 2 0 Службы управления правами Active Directory Глава 16 • Четные записи п о л ь з о в а т е л е й н е о б х о д и м о п о д г о т о в и т ь д л я и н т е г р а ц и и с AD RMS. • Для организации следует подготовить ш а б л о н ы п о л и т и к и , к о т о р ы е у л у ч ш а т защиту несанкционированного доступа д л я п о л ь з о в а т е л е й . и Следует ознакомиться с различными к л и е н т а м и AD R M S , чтобы обеспечи- вать техническую поддержку в случае н е п о л а д о к у п о л ь з о в а т е л е й . • Чтобы корректно выполнить операции с л у ж б ы AD R M S , н е о б х о д и м о обес- печить техническую поддержку трех баз д а н н ы х . После выполнения всех этих о п е р а ц и й р а з в е р т ы в а н и е к л а с т е р а A D R M S будет завершено. Изучив материал этого занятия, вы сможете: ^ Конфигурировать URL-адреса экстрасетей, ^ Выполнять подготовку к интеграции с партнерами. Использовать сертификаты AD RMS. S Подготовить учетные записи пользователей для AD RMS. s Подготовить политики исключения. / Использовать шаблоны политики. J Работать с базами данных AD RMS. Продолжительность занятия – около 30 мин. Настройка AD RMS В отличие от служб управления п р а в а м и W i n d o w s ( W i n d o w s R i g h t s M a n a g e - ment Services), к о н ф и г у р а ц и я AD R M S н а с т р а и в а е т с я с п о м о щ ь ю к о н с о л и ММС, которая интегрируется в Диспетчер сервера ( S e r v e r M a n a g e r ) , а т а к ж е доступна как независимая консоль в средстве у д а л е н н о г о а д м и н и с т р и р о в а н и я сервера RSAT (Remote Server Administration Tools). С п о м о щ ь ю д а н н о й к о н с о л и можно выполнить все задачи по з а в е р ш е н и ю н а с т р о й к и к о н ф и г у р а ц и и . К СВЕДЕНИЮ Настройка AD RMS Более подробная информация о настройке AD RMS содержится по адресу http:// technet2.microsoft.com/windowssemer2008/en/library/73829489-45f1-415b-90ab- 061a263d1ef61033.mspx?mfr-tive. Создание URL экстрасети Чтобы расширить инфраструктуру A D R M S д л я м о б и л ь н ы х п о л ь з о в а т е л е й или сотрудников удаленного офиса вне в н у т р е н н е й сети, н е о б х о д и м о откон- фигурировать URL экстрасети. 1. Войдите иа сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е группы Администраторы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r - prise Administrators). 2. В категории Администрирование (Administrative Tools) з а п у с т и т е Диспет- чер сервера (Server Manager). Занятие 2 Настройка и использование служб управления правами Active Directory 821 3. Н а з в е р п и т е у з е л Р о л и С л у ж б ы управления правами Active Directoryi«<*_ сервера ( R o l e s A c t i v e D i r e c t o r y Rights M a n a g e m e n t Services имя_сервера). 4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и и м я сервера и выполните команду Свойс- т в а ( P r o p e r t i e s ) . 5. П е р е й д и т е на в к л а д к у U R L – а д р е с а кластера (Cluster.URLs). 6. В к л ю ч и т е о п ц и ю U R L – а д р е с а экстрасети ( E x t r a n e t URLs) и добавьте соот- в е т с т в у ю щ и е д а н н ы е U R L для лицензирования (Licensing) и сертификации ( C e r t i f i c a t i o n ) . Э т и U R L – а д р е с а д о л ж н ы у к а з ы в а т ь на установку IIS в экстрасети и не д о л ж н ы и з м е н я т ь с я . Д л я URL-адресов также необходимо выполнить регис- т р а ц и ю в D N S . И с п о л ь з у й т е ш и ф р о в а н и е SSL для защиты коммуникаций через п о д к л ю ч е н и я H T T P и л и H T T P S . И наконец, не забудьте создать со- о т в е т с т в у ю щ и е в и р т у а л ь н ы е каталоги для содержания данных AD RMS. 7. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь диалоговое окно и применить изменения. U R L – а д р е с а э к с т р а с е т и готовы. Настройка политик доверия Х о т я п о д д е р ж к у ф е д е р а ц и и н е л ь з я включить, пока не будет реализована рабо- чая и н ф р а с т р у к т у р а AD FS, вы можете изучить различные модели AD RMS, п о д д е р ж и в а ю щ и е ф е д е р а ц и ю п о л и т и к D R M . Службы AD RMS, как правило, п о д д е р ж и в а ю т ч е т ы р е м о д е л и доверия. • Д о м е н ы д о в е р е н н ы х п о л ь з о в а т е л е й позволяют кластеру AD RMS обраба- т ы в а т ь з а п р о с ы д р у г и х кластеров AD RMS, локализованных в различных л е с а х AD D S . Д о м е н ы д о в е р е н н ы х пользователей добавляются путем им- п о р т а с е р т и ф и к а т а л и ц е н з и а р а сервера из кластера AD RMS, которому вы х о т и т е д о в е р я т ь , в в а ш собственный кластер. • Д о в е р е н н ы е д о м е н ы п у б л и к а ц и и позволяют вашему кластеру AD RMS в ы д а в а т ь л и ц е н з и и на использование содержимого, защищенного еще од- н и м к л а с т е р о м AD R M S . Д л я создания доверенного домена публикации н е о б х о д и м о и м п о р т и р о в а т ь сертификат SLC кластера публикации вместе с его з а к р ы т ы м к л ю ч о м в ваш собственный кластер. • С л у ж б а W i n d o w s Live ID позволяет пользователям с кодом Windows Live ID ( т а к н а з ы в а е м ы й паспорт Microsoft (Microsoft Passport)) применять со- д е р ж и м о е с з а щ и т о й от несанкционированного доступа, но не создавать его. • Ф е д е р а т и в н о е д о в е р и е устанавливается с помощью AD FS и расширяет о п е р а ц и и к л а с т е р а AD R M S в лесах, с которыми установлено федератив- ное доверие. Все эти т и п ы д о в е р и я р а с ш и р я ю т полномочия AD RMS за пределы леса о р г а н и з а ц и и . К СВЕДЕНИЮ Создание доверия AD RMS Информация о работе с доверием AD RMS содержится по адресу http://technet2. microsoft.com/windowsserver2008/en/library/67ds9efe-28f6-422e-b0e3-e85da40a04f01033. mspx7mfr-true. к 822 Службы управления правами Active Directory Глава 16 Экспорт сертификата л и ц е н з и а р а с е р в е р а Для работы с доверенными доменами п у б л и к а ц и и и л и д о в е р е н н ы м и д о м е н а м и пользователей необходимо экспортировать с е р т и ф и к а т л и ц е н з и а р а с е р в е р а из корневого кластера, для которого устанавливается доверие. Э к с п о р т и р о в а н н ы е сертификаты будут применяться для у с т а н о в л е н и я д о в е р и я . Ч т о б ы в ы п о л н и т ь данную процедуру, нужно быть членом л о к а л ь н о й г р у п п ы А д м и н и с т р а т о р ы предприятия службы A D R M S ( A D R M S E n t e r p r i s e A d m i n i s t r a t o r s ) и л и е е аналога. 1. Войдите на сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е группы Администраторы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r - prise Administrators). 2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т - чер сервера (Server Manager). 3. Разверните узел Р о л и С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y t w w _ сервера (RolesActive Directory Rights M a n a g e m e n t S e r v i c e s и м я _ с е р в е р а ) . 4. Щелкните правой кнопкой и м я сервера и в ы п о л н и т е к о м а н д у С в о й с т в а (Properties). 5. Перейдите на вкладку Сертификат сервера ( S e r v e r C e r t i f i c a t e ) и щ е л к н и т е кнопку Экспорт сертификата ( E x p o r t C e r t i f i c a t e ) . 6. В диалоговом окне Экспортировать с е р т и ф и к а т как ( E x p o r t C e r t i f i c a t e As) введите имя, например имя кластера, и выберите р а з м е щ е н и е ( п а п к у Д о к у - менты (Documents))'для создания файла .bin. Щ е л к н и т е к н о п к у С о х р а н и т ь (Save). 7. Закройте диалоговое окно Свойства ( P r o p e r t i e s ) . Обеспечьте защиту этого сертификата, п о с к о л ь к у он у п р а в л я е т д о с т у п о м к кластеру AD RMS. Подготовка сертификатов AD RMS Сертификаты создаются по умолчанию во в р е м я у с т а н о в к и AD R M S . О д н а - ко на основе политик защиты от н е с а н к ц и о н и р о в а н н о г о д о с т у п а н е о б х о д и м о отконфигурировать срок действия с е р т и ф и к а т а . П р и его а д м и н и с т р и р о в а н и и рекомендуется выполнить четыре операции: • указать срок действия сертификатов п р а в у ч е т н о й з а п и с и ; • включить сертификацию для м о б и л ь н ы х устройств; • включить сертификацию служб сервера; • проверить подлинность клиентов с п о м о щ ь ю смарт-карт. Обязательно нужно указать срок д е й с т в и я с е р т и ф и к а т а RAC. Д р у г и е опе- рации считаются опциональными, и их в ы п о л н е н и е з а в и с и т от п о л и т и к з а щ и - ты от несанкционированного доступа. Д л я того чтобы м о д и ф и ц и р о в а т ь срок действия сертификата RAC, выполните следующее. 1. Войдите иа сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е группы Администраторы предприятия с л у ж б ы A D R M S ( A D R M S Enter- prise Administrators). Занятие 2 Настройка и использование служб управления правами Active Directory 823 2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Дисис-т- чер с е р в е р а ( S e r v e r M a n a g e r ) . 3. Р а з в е р н и т е узел Р о л и С л у ж б ы управления правами Active Directorytooi сервера ( R o l e s A c t i v e D i r e c t o r y Rights M a n a g e m e n t Бчттсибимм_сераера), А. На п а н е л и с в е д е н и й щ е л к н и т е И з м е н и т ь стандартный срок действия RAC ( C h a n g e S t a n d a r d R A C Validity Period). 5. П е р е й д и т е на в к л а д к у Стандартный сертификат RAC (Standard RAC) и ука- ж и т е ч и с л о д и е й в с е к ц и и С р о к действия стандартного сертификата RAC ( S t a n d a r d RAC Validity Period). 6. П е р е й д и т е на в к л а д к у В р е м е н н ы й сертификат RAC (Temporary RAC) н ука- ж и т е ч и с л о м и н у т в п о л е С р о к д е й с т в и я временного сертификата RAC ( T e m p o r a r y RAC Validity Period). 7 . Щ е л к н и т е O K , ч т о б ы з а к р ы т ь диалоговое окно. О т м е т и м , что по у м о л ч а н и ю стандартные сертификаты RAC действительны 3 6 5 дней, а в р е м е н н ы е с е р т и ф и к а т ы RAC – л и ш ь 15 мин. Вы можете увели- ч и т ь срок д е й с т в и я в р е м е н н ы х RAC, а вот д л я стандартного сертификата RAC о д н о г о года б о л е е чем достаточно. В с л у ч а е и с п о л ь з о в а н и я ф е д е р а т и в н о г о доверия срок действия RAC моди- ф и ц и р у е т с я в у з л е П о д д е р ж к а удостоверений федерации (Federated Identity S u p p o r t ) , а не в у з л е к о р н е в о г о кластера. К СВЕДЕНИЮ Управление сертификатами Информацию о работе с другими типами сертификатов можно найти по адресу http:// technet2.microsoft.com/windowsserver2008/en/library/5eb527a9-34d8-464/-9735- e7dcd2613ffc1033.mspx. Подготовка политик исключений О п р е д е л я я о б л а с т и р е а л и з а ц и и п о л и т и к и защиты от несанкционированного доступа, м о ж н о о т к о н ф и г у р и р о в а т ь политики исключений или политики, ис- к л ю ч а ю щ и е п о л ь з о в а т е л е й и компьютеры из реализации AD RMS. Политики и с к л ю ч е н и й с о з д а ю т с я д л я таких объектов идентификации, как пользователи, п р и л о ж е н и я , п о ч т о в ы е я щ и к и и операционные системы Windows. При этом с п и с о к у к а з а н н ы х членов и с к л ю ч е н и я помещается в лицензию на использова- н и е содержимого. И с к л ю ч е н н ы й объект можно удалить из списка исключений, о д н а к о п о с л е этого он у ж е не будет добавляться в лицензии на использова- ние. С у щ е с т в у ю щ е е с о д е р ж и м о е будет по-прежнему включать этот объект, п о с к о л ь к у по у м о л ч а н и ю л и ц е н з и и на использование выдаются только один раз. П о э т о м у при подготовке списка исключений следует принять во внимание с л е д у ю щ и е р е к о м е н д а ц и и . • По в о з м о ж н о с т и назначайте исключения, которые будут оставаться неиз- м е н н ы м и . • В с л у ч а е и з м е н е н и я своего р е ш е н и я подождите, пока завершится срок д е й с т в и я с у щ е с т в у ю щ и х л и ц е н з и й на использование, и только после этого у д а л я й т е о б ъ е к т ы нз списка исключений. к 8 2 4 Службы управления правами Active Directory Глава 16 • Использование списков и с к л ю ч е н и й в случае в з л о м а у ч е т н ы х д а н н ы х од- ного и з поддерживаемых объектов, н а п р и м е р п о л ь з о в а т е л я , п о д в е р г а е т угрозе защищенное содержимое. При создании списка и с к л ю ч е н и й и с п о л ь з у й т е с л е д у ю щ у ю п р о ц е д у р у (в данном случае из структуры AD R M S и с к л ю ч а ю т с я п о л ь з о в а т е л и ) . 1. Войдите на сервер, я в л я ю щ и й с я ч л е н о м к о р н е в о г о к л а с т е р а , и с п о л ь з у я учетные данные группы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S (AD R M S Enterprise Administrators). 2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т - чер сервера (Server Manager). 3. Разверните узел Р о л и С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y t w ^ _ сервера (RolesActive Directory Rights M a n a g e m e n t S e r v i c e s и м я _ с е р в е р а ) . 4. На панели Действия (Actions) щелкните Создать и с к л ю ч е н и е п о л ь з о в а т е л я (Enable User Exclusion). Откроется исключение. 5. Для исключения пользователей на п а н е л и Д е й с т в и я ( A c t i o n s ) щ е л к н и т е команду Исключить пользователя ( E x c l u d e U s e r ) . З а п у с т и т с я м а с т е р ис- ключения учетной записи (Exclude User A c c o u n t W i z a r d ) . Вы можете исключить пользователя с помощью его адреса э л е к т р о н н о й поч- ты или открытого ключа. Первый способ п р е д н а з н а ч е н д л я п о л ь з о в а т е л е й в каталоге AD DS (при этом лучше и с п о л ь з о в а т ь г р у п п ы , а не и с к л ю ч а т ь пользователей по отдельности), а второй – д л я в н е ш н и х п о л ь з о в а т е л е й без учетной записи в каталоге AD DS. 6. Выберите соответствующий метод и с к л ю ч е н и я , л о к а л и з о в а в у ч е т н у ю за- пись пользователя или строку открытого к л ю ч а , а з а т е м щ е л к н и т е Д а л е е (Next). 7. Щелкните кнопку Готово (Finish), чтобы з а к р ы т ь мастер. Д л я удаления исключения и с п о л ь з у е т с я тот ж е у з е л . Д л я д р у г и х т и п о в исключения тоже применяется этот процесс. Контрольные вопросы 1. Сколько корневых кластеров можно развернуть в лесу доменных служб Ac- tive Directory? 2. В чем разница между корневым кластером и кластером лицензирования, и какой кластер целесообразнее использопать? 3. Какие роли делегирования поддерживает AD RMS? Ответы на контрольные вопросы 1. В лесу AD DS можно развернуть лишь один корневой кластер AD RMS. Дело в том, что во время установки AD RMS создается точка подключения службы (SCP), а в лесу может существовать только одна точка SCP. Занятие 2 Настройка и использование служб управления правами Active Directory 848 2. Корневой кластер предоставляет все возможности AD RMS. а кластер лицен- зирования управляет только лицензиями. Кластеры лицензирования пред-
