Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 79 (всего у книги 91 страниц)

к н о п к у Д о б а в и т ь ( A d d ) .

Б. Щ е л к н и т е секцию Альтернативное имя (Alternate Name), в раскрывающем-

ся с п и с к е Т и п (Туре) выберите тип URL, в поле Значение (Value) введите

и м я RightsManngement.contoso.com и щелкните кнопку Добавить (Add).

B. П е р е й д и т е на в к л а д к у О б щ и е (General), в поле Понятное имя (Friendly

N a m e ) в в е д и т е Contoso DRM, и а поле Описание (Description) введи-

те Сертификат сервера.

Г. П е р е й д и т е на в к л а д к у З а к р ы т ы й ключ (Private Key), разверните секцию

П а р а м е т р ы к л ю ч а ( K e y O p t i o n s ) и установите флажки Создать экспор-

т и р у е м ы й з а к р ы т ы й к л ю ч ( M a k e Private Key Exportable) и Разрешить

а р х и в а ц и ю з а к р ы т о г о к л ю ч а (Allow Private Key То Be Archived).

10. Щ е л к н и т е O K , а затем – к н о п к и З а я в к а (Enroll) и Готово (Finish).

И . Ч т о б ы п р о в е р и т ь в ы д а ч у сертификата, щелкните узел Сертификаты (Cer-

t i f i c a t e s ) и п р о с м о т р и т е д а н н ы е сертификата на панели сведений.

12. З а к р о й т е к о н с о л ь С е р т и ф и к а т ы (Certificates).

Т е п е р ь вы м о ж е т е п р и с т у п а т ь к установке AD RMS.

У п р а ж н е н и е 5 . У с т а н о в к а к о р н е в о г о кластера A D RMS

З а п у с т и т е м а ш и н ы S E R V E R 0 1 , S E R V E R 0 3 и SERVER05, а также сервер SQL

иа м а ш и н е S E R V E R 0 5 . Сервер S E R V E R 0 3 используется для выполнения прак-

т и ч е с к и х з а н я т и й в главе 15, поэтому на нем должны быть установлены службы

AD CS и с е р т и ф и к а т , с п о м о щ ь ю которого выполняется данная операция.

1. В о й д и т е на S E R V E R 0 3 к а к администратор домеиа. Вы получите разре-

ш е н и я а д м и н и с т р а т о р а п р е д п р и я т и я , необходимые для создания точки

п о д к л ю ч е н и я с л у ж б ы ( C S P ) .

2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспет-

чер сервера ( S e r v e r M a n a g e r ) .

3. На п а н е л и д е р е в а щ е л к н и т е правой кнопкой узел Роли (Roles) и задайте

к о м а н д у Д о б а в и т ь р о л и (Add Roles).

4. Иа с т р а н и ц е П е р е д н а ч а л о м работы (Before You Begin) щелкните Далее

( N e x t ) .

5. На с т р а н и ц е Выбор ролей сервера (Select Server Roles) установите флажок

С л у ж б ы у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights

к 816

Службы управления правами Active Directory

Глава 16

Management Services). Мастер д о б а в л е н и я р о л е й ( A d d Roles W i z a r d ) пот-

ребует добавить роль Веб-сервер ( I I S ) ( W e b Server ( I I S ) ) с н е о б х о д и м ы м и

компонентами: Служба активации W P A S ( W i n d o w s Process Activation Ser-

vice) и Очередь сообщений (Message Q u e u i n g ) .

6. Щелкните кнопку Добавить необходимые с л у ж б ы р о л и ( A d d Required Role

Services), если эти службы не были у с т а н о в л е н ы перед и н с т а л л я ц и е й AD

RMS. Щелкните Далее (Next).

7. На странице Службы управления п р а в а м и Active D i r e c t o r y ( A c t i v e Direc-

tory Rights Management Services) п р о с м о т р и т е с в е д е н и я о в ы б р а н н о й р о л и

и щелкните Далее (Next).

8. На странице Выбор служб ролей (Select Role Services) у с т а н о в и т е ф л а ж о к

Сервер управления правами Active Directory (Active D ir ec t or y Rights M a n a -

gement Server) и щелкните Далее ( N e x t ) .

9. На странице Создать или присоединить к л а с т е р AD R M S ( C r e a t e Or J o i n

An AD RMS Cluster) выберите параметр С о з д а т ь н о в ы й к л а с т е р AD R M S

(Create A New AD RMS Cluster) и щ е л к н и т е Д а л е е ( N e x t ) .

10. На странице Выбрать базу д а н н ы х к о н ф и г у р а ц и и ( S e l e c t C o n f i g u r a t i o n

Database) выберите параметр И с п о л ь з о в а т ь д р у г о й с е р в е р б а з ы д а н н ы х

(Use A Different Database Server) и щ е л к н и т е Д а л е е ( N e x t ) .

Если для управления базами д а н н ы х AD R M S в у с т а н о в к е одного с е р в е р а

выбрать внутреннюю базу д а н н ы х W i n d o w s ( W i n d o w s I n t e r n a l D a t a b a s e ) ,

выполнять шаги 11 и 12 не потребуется. О д н а к о б а з а д а н н ы х W I D и с п о л ь -

зуется лишь для тестирования.

И. Щелкните кнопку Выбрать (Select), чтобы локализовать м а ш и н у S E R V E R 0 5 ,

введите имя сервера, щелкните кнопки Проверить имена (Check Names) и О К.

12. В поле Экземпляр базы данных ( D a t a b a s e I n s t a n c e ) в ы б е р и т е э к з е м п л я р

п о умолчанию (Default), п о с л е д о в а т е л ь н о щ е л к н и т е к н о п к и П р о в е р и т ь

(Validate) и Далее (Next).

13. На странице Укажите учетную з а п и с ь с л у ж б ы ( S p e c i f y Service A c c o u n t )

щелкните кнопку Указать (Specify), введите и м я ADRMSService и пароль,

щелкните ОК и Далее (Next).

14. На странице Настроить хранилище ключа кластера AD R M S ( C o n f i g u r e AD

RMS Cluster Key Storage) выберите п а р а м е т р И с п о л ь з о в а т ь ц е н т р а л и з о -

ванное хранилище ключей A D R M S ( U s e A D R M S C e n t r a l l y M a n a g e d K e y

Storage) и щелкните Далее (Next).

Защита ключа кластера AD R M S с п о м о щ ь ю этой б а з ы д а н н ы х в ы б р а н а

для упрощения упражнения, поскольку п р и э т о м не т р е б у ю т с я д о п о л н и -

тельные компоненты. Однако в обычной с и т у а ц и и к л ю ч кластера AD R M S

рекомендуется защитить с помощью п о с т а в щ и к а CSP.

15. На странице Указать пароль ключа кластера с л у ж б у п р а в л е н и я п р а в а м и

Active Directory (Specify AD R M S Cluster Key Password) в в е д и т е строгий

пароль с подтверждением и щ е л к н и т е Далее (Next).

Занятие 1

Установка служб управления правами Active Directory

817

16. На с т р а н и ц е В ы б р а т ь веб-узел кластера AD R M S (Select AD R M S Cluster

Web Site) в ы б е р и т е в е б – у з е л Default Web Site и щелкните Далее (Next).

17. На с т р а н и ц е У к а ж и т е адрес к л а с т е р а (Specify Cluster Address) выберите

п а р а м е т р И с п о л ь з о в а т ь п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL ( h t t p s : / / ) (Use

A n S S L – E n c r y p t e d C o n n e c t i o n ( h t t p s : / / ) ) .

Из с о о б р а ж е н и й б е з о п а с н о с т и д л я кластера AD R M S следует использовать

п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL.

18. В секции В н у т р е н н и й адрес (Internal Address) введите адрес RightsManagement.

contoso.com, оставьте н о м е р порта по у м о л ч а н и ю и щелкните кнопки Про-

в е р и т ь ( V a l i d a t e ) и Д а л е е ( N e x t ) .

19. Н а с т р а н и ц е В ы б е р и т е с е р т и ф и к а т п р о в е р к и подлинности сервера для

S S L – ш и ф р о в а и и я ( C h o o s e A Server Authentication Certificate For SSL En-

c r y p t i o n ) щ е л к н и т е п а р а м е т р В ы б р а т ь с у щ е с т в у ю щ и й сертификат для

ш и ф р о в а н и я S S L ( р е к о м е н д у е т с я ) (Choose An Existing Certificate For SSL

E n c r y p t i o n ( R e c o m m e n d e d ) ) , выберите сертификат S E R V E R 0 4 и щелкните

Д а л е е ( N e x t ) .

Е с л и вы не в ы п о л н я л и п р а к т и ч е с к и е з а н я т и я упражнения 15 и сервер не

располагает с о о т в е т с т в у ю щ и м сертификатом, используйте самозаверяющий

с е р т и ф и к а т .

20. На с т р а н и ц е У к а з а т ь и м я д л я с е р т и ф и к а т а лицензиара сервера (Name The

Server Licensor C e r t i f i c a t e ) введите и м я Contoso DRM для идентификации

к л а с т е р а A D R M S и щ е л к н и т е Далее (Next).

21. На с т р а н и ц е З а р е г и с т р и р о в а т ь точку подключения службы AD RMS (Regis-

ter AD R M S Service C o n n e c t i o n Point) выберите параметр Зарегистрировать

т о ч к у п о д к л ю ч е н и я с л у ж б ы AD R M S сейчас (Register The AD RMS Service

C o n n e c t i o n P o i n t N o w ) и щ е л к н и т е Далее (Next).

Т о ч к а п о д к л ю ч е н и я с л у ж б ы AD R M S будет зарегистрирована в AD DS.

22. На с т р а н и ц е В е б – с е р в е р ( I I S ) ( W e b Server ( I I S ) ) просмотрите сведения об

IIS и щ е л к н и т е Д а л е е ( N e x t ) .

23. На с т р а н и ц е В ы б о р с л у ж б р о л е й (Select Role Services) оставьте для веб-

сервера п а р а м е т р ы по у м о л ч а н и ю и щ е л к н и т е Далее (Next).

24. На с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е элементы (Confirm Installation Selec-

t i o n s ) п р о с м о т р и т е в ы б р а н н ы е параметры и щелкните кнопку Установить

( I n s t a l l ) .

25. П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е кнопку Готово (Finish), чтобы за-

к р ы т ь мастер у с т а н о в к и .

26. В ы й д и т е из с и с т е м ы и в н о в ь в о й д и т е д л я обновления разрешений доступа

учетной з а п и с и вошедшего пользователя. Учетная запись, используемая для

у с т а н о в к и р о л и сервера AD R M S , автоматически становится членом груп-

п ы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S (AD R M S Enterprise

A d m i n i s t r a t o r s ) и п о л у ч а е т доступ ко всем операциям AD RMS. Установка

з а в е р ш е н а .

к 818

Службы управления правами Active Directory

Глава 16

ВНИМАНИЕ! Группы администрирования AD RMS

Для визуализации административных групп, созданных в AD DS, эти группы необхо-

димо добавить в соответствующие локальные группы на сервере. Б производственной

среде этот дополнительный шаг нужно выполнить для завершения установки.

Резюме

• Службы A D R M S о б е с п е ч и в а ю т п о д д е р ж к у з а щ и т ы д а н н ы х п у т е м у п р а в -

ления правами. И с п о л ь з у е т с я с л о ж н а я и н ф р а с т р у к т у р а , д л я к о т о р о й не-

обходимы д о п о л н и т е л ь н ы е с л у ж б ы , т а к и е к а к A D D S , S Q L Server, I n t e r n e t

Information Services и п о т е н ц и а л ь н о AD FS – в с л у ч а е р е а л и з а ц и и п а р т -

нерских связей между лесами.

• Для доступа к службам AD R M S п о л ь з о в а т е л и д о л ж н ы р а с п о л а г а т ь у ч е т н о й

записью с электронной почтой в д о м е н е AD D S .

• Для защиты содержимого п о л ь з о в а т е л и т а к ж е д о л ж н ы р а б о т а т ь с п р и л о -

жениями A D R M S . Такими п р и л о ж е н и я м и м о г у т б ы т ь с р е д с т в а с о з д а н и я

документов, н а п р и м е р Office W o r d , O u t l o o k , P o w e r P o i n t , I n t e r n e t E x p l o r e ,

настраиваемые приложения A D R M S . Б е з т а к о г о п р и л о ж е н и я п о л ь з о в а т е л ь

не сможет просматривать з а щ и щ е н н о е с о д е р ж и м о е и р а б о т а т ь с н и м .

• В Windows Vista по у м о л ч а н и ю в к л ю ч е н к л и е н т AD R M S , о д н а к о в W i n -

dows ХР необходимо загрузить и у с т а н о в и т ь к л и е н т R M S с п а к е т о м об-

новлений SP2.

Закрепление материала

Приведенный далее вопрос п р е д н а з н а ч е н ы д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х

на занятии 1 (этот вопрос с о д е р ж и т с я т а к ж е на с о п р о в о д и т е л ь н о м к о м п а к т -

диске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант я в л я е т с я

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Администратор в д о м е н е c o n t o s o . c o m у с т а н о в и л AD R M S , и т е п е р ь е м у

нужно отконфигурировать эти с л у ж б ы . Установка б ы л а в ы п о л н е н а к о р р е к -

тно, тем не менее в начале работы с с е р в е р о м AD R M S п о л у ч е н о с о о б щ е н и е

об ошибке, представленное на р и с у н к е . В ч е м м о ж е т з а к л ю ч а т ь с я п р и ч и н а

проблемы?

A. На сервере не з а п у щ е н ы с л у ж б ы AD R M S .

Б. С е р т и ф и к а т сервера н е д е й с т в и т е л е н , и с е р в е р ие м о ж е т в ы п о л н и т ь

запуск.

B. Сервер не я в л я е т с я членом д о м е н а AD DS.

Г. Учетная запись не располагает с о о т в е т с т в у ю щ и м и р а з р е ш е н и я м и д л я

управления A D R M S .

Занятие 2 Настройка и использование служб управления правами Active Directory

819

Л S»

ИЦ Action Vitw H«lp

* ! Ч.ЁИ; й Ы .

| -it,'Uivtr M»ntg«r

(

S

C

R

V

C

R

0

3

)

? л Roni

anvtwj

j i fj Activt Dif»ctoiyC«rW>c»t« Strvictl

£ c,..„

t Activt Cimctory Righti Minigement St

Ш Thi is the '.terting point lor configuring the setings for the

$

S

£

R

V

t

R

0

)

duster Al servers in a cluster share common configuratio. View

| *]: Rtn»m

Ptlilh

– Ji Dngnoitici

Й? An error occurred while obtaining data from the server.

• Щ Configuntior

) Proptrtitl

i Slonyt

! и'ш &*i«B.

•

M

t

b the ipecifitd AO RMSduitr could not bteittbliihed

for th< folowing rinon:

Tht underlying connection MI clotdi An uneoptctcd er

To dugnoit tht probltm, tiy tht folowing!

lur Itcunty toktn might nttd to bt updttd to indudt tht AO

R

M

S

irprnt Adminntitoi group, log of tht computr, tnd thtn log

b

>

<

in uprlt't your itcurity toktn.

• Conntct to the AO

R

M

S

e

r di

tgtin by clicking Refit ih btlow or in tht

Actiont pint.

• To dittirnint whther the AO

R

M

S Role Minigei

W

e

b и

tvtiltble, dick

V

i

e

w AO

R

M

S Strvtr Role Mtntgei

W

t

b ten

j • Verify thtt tht AD

R

M

S clulttr ntn

j correctly. If tht AO

R

M

S itivict »cci

Занятие 2. Настройка и использование служб

управления правами Active Directory

К у с т а н о в к е A D R M S н е л е г к о п о д г о т о в и т ь с я , н о если все выполнить правильно,

д а л ь н е й ш а я р а б о т а б у д е т б е с п е р е б о й н о й . О д н а к о п о с л е установки серверов

н е о б х о д и м о з а в е р ш и т ь н а с т р о й к у к л а с т е р а A D R M S и подготовить политики

и с п о л ь з о в а н и я д л я р е а л и з а ц и и в сети. П р и э т о м н у ж н о в ы п о л н и т ь несколько

. з а д а ч .

• В к о н ф и г у р а ц и ю н е о б х о д и м о д о б а в и т ь U R L к л а с т е р а экстрасетн, чтобы

о б е с п е ч и т ь д о с т у п к A D R M S в н е с е т и о р г а н и з а ц и и ,

• Ч т о б ы и н т е г р и р о в а т ь с л у ж б ы A D R M S с п а р т н е р а м и , следует отконфигу-

р и р о в а т ь п а р а м е т р ы п р о к с и и у с т а н о в и т ь к о м п о н е н т Поддержка федерации

у д о с т о в е р е н и й ( I d e n t i t y F e d e r a t i o n S u p p o r t ) . П р и этом потребуется рабочая

р е а л и з а ц и я A D F S . Д л я в з а и м о д е й с т в и я пользовательского кластера A D

R M S с д р у г и м и к л а с т е р а м и н е о б х о д и м о т а к ж е о т к о н ф и г у р и р о в а т ь поли-

т и к и д о в е р и я .

• Д л я т о г о ч т о б ы к о р р е к т н о н а с т р о и т ь и н т е р в а л ы п о д т в е р ж д е н и я , необхо-

д и м о о т к о н ф и г у р и р о в а т ь р а з л и ч н ы е с е р т и ф и к а т ы A D R M S .

• Е с л и п о л и т и к и з а щ и т ы о т н е с а н к ц и о н и р о в а н н о г о д о с т у п а д о л ж н ы в л и я т ь

н е и а в с ю о р г а н и з а ц и ю , а л и ш ь и а к о н к р е т н ы е г р у п п ы пользователей или

о т д е л о в , т а к и е к а к ю р и д и ч е с к и й о т д е л к о м п а н и и , н у ж н о о т к о н ф и г у р и р о -

в а т ь п о л и т и к и и с к л ю ч е н и я .

к 8 2 0 Службы управления правами Active Directory

Глава 16

• Четные записи п о л ь з о в а т е л е й н е о б х о д и м о п о д г о т о в и т ь д л я и н т е г р а ц и и

с AD RMS.

• Для организации следует подготовить ш а б л о н ы п о л и т и к и , к о т о р ы е у л у ч ш а т

защиту несанкционированного доступа д л я п о л ь з о в а т е л е й .

и Следует ознакомиться с различными к л и е н т а м и AD R M S , чтобы обеспечи-

вать техническую поддержку в случае н е п о л а д о к у п о л ь з о в а т е л е й .

• Чтобы корректно выполнить операции с л у ж б ы AD R M S , н е о б х о д и м о обес-

печить техническую поддержку трех баз д а н н ы х .

После выполнения всех этих о п е р а ц и й р а з в е р т ы в а н и е к л а с т е р а A D R M S

будет завершено.

Изучив материал этого занятия, вы сможете:

^ Конфигурировать URL-адреса экстрасетей,

^ Выполнять подготовку к интеграции с партнерами.

Использовать сертификаты AD RMS.

S Подготовить учетные записи пользователей для AD RMS.

s Подготовить политики исключения.

/ Использовать шаблоны политики.

J Работать с базами данных AD RMS.

Продолжительность занятия – около 30 мин.

Настройка AD RMS

В отличие от служб управления п р а в а м и W i n d o w s ( W i n d o w s R i g h t s M a n a g e -

ment Services), к о н ф и г у р а ц и я AD R M S н а с т р а и в а е т с я с п о м о щ ь ю к о н с о л и

ММС, которая интегрируется в Диспетчер сервера ( S e r v e r M a n a g e r ) , а т а к ж е

доступна как независимая консоль в средстве у д а л е н н о г о а д м и н и с т р и р о в а н и я

сервера RSAT (Remote Server Administration Tools). С п о м о щ ь ю д а н н о й к о н с о л и

можно выполнить все задачи по з а в е р ш е н и ю н а с т р о й к и к о н ф и г у р а ц и и .

К СВЕДЕНИЮ Настройка AD RMS

Более подробная информация о настройке AD RMS содержится по адресу http://

technet2.microsoft.com/windowssemer2008/en/library/73829489-45f1-415b-90ab-

061a263d1ef61033.mspx?mfr-tive.

Создание URL экстрасети

Чтобы расширить инфраструктуру A D R M S д л я м о б и л ь н ы х п о л ь з о в а т е л е й

или сотрудников удаленного офиса вне в н у т р е н н е й сети, н е о б х о д и м о откон-

фигурировать URL экстрасети.

1. Войдите иа сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е

группы Администраторы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r -

prise Administrators).

2. В категории Администрирование (Administrative Tools) з а п у с т и т е Диспет-

чер сервера (Server Manager).

Занятие 2 Настройка и использование служб управления правами Active Directory

821

3. Н а з в е р п и т е у з е л Р о л и С л у ж б ы управления правами Active Directoryi«<*_

сервера ( R o l e s A c t i v e D i r e c t o r y Rights M a n a g e m e n t Services имя_сервера).

4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и и м я сервера и выполните команду Свойс-

т в а ( P r o p e r t i e s ) .

5. П е р е й д и т е на в к л а д к у U R L – а д р е с а кластера (Cluster.URLs).

6. В к л ю ч и т е о п ц и ю U R L – а д р е с а экстрасети ( E x t r a n e t URLs) и добавьте соот-

в е т с т в у ю щ и е д а н н ы е U R L для лицензирования (Licensing) и сертификации

( C e r t i f i c a t i o n ) .

Э т и U R L – а д р е с а д о л ж н ы у к а з ы в а т ь на установку IIS в экстрасети и не

д о л ж н ы и з м е н я т ь с я . Д л я URL-адресов также необходимо выполнить регис-

т р а ц и ю в D N S . И с п о л ь з у й т е ш и ф р о в а н и е SSL для защиты коммуникаций

через п о д к л ю ч е н и я H T T P и л и H T T P S . И наконец, не забудьте создать со-

о т в е т с т в у ю щ и е в и р т у а л ь н ы е каталоги для содержания данных AD RMS.

7. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь диалоговое окно и применить изменения.

U R L – а д р е с а э к с т р а с е т и готовы.

Настройка политик доверия

Х о т я п о д д е р ж к у ф е д е р а ц и и н е л ь з я включить, пока не будет реализована рабо-

чая и н ф р а с т р у к т у р а AD FS, вы можете изучить различные модели AD RMS,

п о д д е р ж и в а ю щ и е ф е д е р а ц и ю п о л и т и к D R M . Службы AD RMS, как правило,

п о д д е р ж и в а ю т ч е т ы р е м о д е л и доверия.

• Д о м е н ы д о в е р е н н ы х п о л ь з о в а т е л е й позволяют кластеру AD RMS обраба-

т ы в а т ь з а п р о с ы д р у г и х кластеров AD RMS, локализованных в различных

л е с а х AD D S . Д о м е н ы д о в е р е н н ы х пользователей добавляются путем им-

п о р т а с е р т и ф и к а т а л и ц е н з и а р а сервера из кластера AD RMS, которому вы

х о т и т е д о в е р я т ь , в в а ш собственный кластер.

• Д о в е р е н н ы е д о м е н ы п у б л и к а ц и и позволяют вашему кластеру AD RMS

в ы д а в а т ь л и ц е н з и и на использование содержимого, защищенного еще од-

н и м к л а с т е р о м AD R M S . Д л я создания доверенного домена публикации

н е о б х о д и м о и м п о р т и р о в а т ь сертификат SLC кластера публикации вместе

с его з а к р ы т ы м к л ю ч о м в ваш собственный кластер.

• С л у ж б а W i n d o w s Live ID позволяет пользователям с кодом Windows Live

ID ( т а к н а з ы в а е м ы й паспорт Microsoft (Microsoft Passport)) применять со-

д е р ж и м о е с з а щ и т о й от несанкционированного доступа, но не создавать его.

• Ф е д е р а т и в н о е д о в е р и е устанавливается с помощью AD FS и расширяет

о п е р а ц и и к л а с т е р а AD R M S в лесах, с которыми установлено федератив-

ное доверие.

Все эти т и п ы д о в е р и я р а с ш и р я ю т полномочия AD RMS за пределы леса

о р г а н и з а ц и и .

К СВЕДЕНИЮ Создание доверия AD RMS

Информация о работе с доверием AD RMS содержится по адресу http://technet2.

microsoft.com/windowsserver2008/en/library/67ds9efe-28f6-422e-b0e3-e85da40a04f01033.

mspx7mfr-true.

к 822

Службы управления правами Active Directory

Глава 16

Экспорт сертификата л и ц е н з и а р а с е р в е р а

Для работы с доверенными доменами п у б л и к а ц и и и л и д о в е р е н н ы м и д о м е н а м и

пользователей необходимо экспортировать с е р т и ф и к а т л и ц е н з и а р а с е р в е р а из

корневого кластера, для которого устанавливается доверие. Э к с п о р т и р о в а н н ы е

сертификаты будут применяться для у с т а н о в л е н и я д о в е р и я . Ч т о б ы в ы п о л н и т ь

данную процедуру, нужно быть членом л о к а л ь н о й г р у п п ы А д м и н и с т р а т о р ы

предприятия службы A D R M S ( A D R M S E n t e r p r i s e A d m i n i s t r a t o r s ) и л и е е

аналога.

1. Войдите на сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е

группы Администраторы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r -

prise Administrators).

2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т -

чер сервера (Server Manager).

3. Разверните узел Р о л и С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y t w w _

сервера (RolesActive Directory Rights M a n a g e m e n t S e r v i c e s и м я _ с е р в е р а ) .

4. Щелкните правой кнопкой и м я сервера и в ы п о л н и т е к о м а н д у С в о й с т в а

(Properties).

5. Перейдите на вкладку Сертификат сервера ( S e r v e r C e r t i f i c a t e ) и щ е л к н и т е

кнопку Экспорт сертификата ( E x p o r t C e r t i f i c a t e ) .

6. В диалоговом окне Экспортировать с е р т и ф и к а т как ( E x p o r t C e r t i f i c a t e As)

введите имя, например имя кластера, и выберите р а з м е щ е н и е ( п а п к у Д о к у -

менты (Documents))'для создания файла .bin. Щ е л к н и т е к н о п к у С о х р а н и т ь

(Save).

7. Закройте диалоговое окно Свойства ( P r o p e r t i e s ) .

Обеспечьте защиту этого сертификата, п о с к о л ь к у он у п р а в л я е т д о с т у п о м

к кластеру AD RMS.

Подготовка сертификатов AD RMS

Сертификаты создаются по умолчанию во в р е м я у с т а н о в к и AD R M S . О д н а -

ко на основе политик защиты от н е с а н к ц и о н и р о в а н н о г о д о с т у п а н е о б х о д и м о

отконфигурировать срок действия с е р т и ф и к а т а . П р и его а д м и н и с т р и р о в а н и и

рекомендуется выполнить четыре операции:

• указать срок действия сертификатов п р а в у ч е т н о й з а п и с и ;

• включить сертификацию для м о б и л ь н ы х устройств;

• включить сертификацию служб сервера;

• проверить подлинность клиентов с п о м о щ ь ю смарт-карт.

Обязательно нужно указать срок д е й с т в и я с е р т и ф и к а т а RAC. Д р у г и е опе-

рации считаются опциональными, и их в ы п о л н е н и е з а в и с и т от п о л и т и к з а щ и -

ты от несанкционированного доступа. Д л я того чтобы м о д и ф и ц и р о в а т ь срок

действия сертификата RAC, выполните следующее.

1. Войдите иа сервер – член корневого кластера, и с п о л ь з у я у ч е т н ы е д а н н ы е

группы Администраторы предприятия с л у ж б ы A D R M S ( A D R M S Enter-

prise Administrators).

Занятие 2 Настройка и использование служб управления правами Active Directory

823

2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Дисис-т-

чер с е р в е р а ( S e r v e r M a n a g e r ) .

3. Р а з в е р н и т е узел Р о л и С л у ж б ы управления правами Active Directorytooi

сервера ( R o l e s A c t i v e D i r e c t o r y Rights M a n a g e m e n t Бчттсибимм_сераера),

А. На п а н е л и с в е д е н и й щ е л к н и т е И з м е н и т ь стандартный срок действия RAC

( C h a n g e S t a n d a r d R A C Validity Period).

5. П е р е й д и т е на в к л а д к у Стандартный сертификат RAC (Standard RAC) и ука-

ж и т е ч и с л о д и е й в с е к ц и и С р о к действия стандартного сертификата RAC

( S t a n d a r d RAC Validity Period).

6. П е р е й д и т е на в к л а д к у В р е м е н н ы й сертификат RAC (Temporary RAC) н ука-

ж и т е ч и с л о м и н у т в п о л е С р о к д е й с т в и я временного сертификата RAC

( T e m p o r a r y RAC Validity Period).

7 . Щ е л к н и т е O K , ч т о б ы з а к р ы т ь диалоговое окно.

О т м е т и м , что по у м о л ч а н и ю стандартные сертификаты RAC действительны

3 6 5 дней, а в р е м е н н ы е с е р т и ф и к а т ы RAC – л и ш ь 15 мин. Вы можете увели-

ч и т ь срок д е й с т в и я в р е м е н н ы х RAC, а вот д л я стандартного сертификата RAC

о д н о г о года б о л е е чем достаточно.

В с л у ч а е и с п о л ь з о в а н и я ф е д е р а т и в н о г о доверия срок действия RAC моди-

ф и ц и р у е т с я в у з л е П о д д е р ж к а удостоверений федерации (Federated Identity

S u p p o r t ) , а не в у з л е к о р н е в о г о кластера.

К СВЕДЕНИЮ Управление сертификатами

Информацию о работе с другими типами сертификатов можно найти по адресу http://

technet2.microsoft.com/windowsserver2008/en/library/5eb527a9-34d8-464/-9735-

e7dcd2613ffc1033.mspx.

Подготовка политик исключений

О п р е д е л я я о б л а с т и р е а л и з а ц и и п о л и т и к и защиты от несанкционированного

доступа, м о ж н о о т к о н ф и г у р и р о в а т ь политики исключений или политики, ис-

к л ю ч а ю щ и е п о л ь з о в а т е л е й и компьютеры из реализации AD RMS. Политики

и с к л ю ч е н и й с о з д а ю т с я д л я таких объектов идентификации, как пользователи,

п р и л о ж е н и я , п о ч т о в ы е я щ и к и и операционные системы Windows. При этом

с п и с о к у к а з а н н ы х членов и с к л ю ч е н и я помещается в лицензию на использова-

н и е содержимого. И с к л ю ч е н н ы й объект можно удалить из списка исключений,

о д н а к о п о с л е этого он у ж е не будет добавляться в лицензии на использова-

ние. С у щ е с т в у ю щ е е с о д е р ж и м о е будет по-прежнему включать этот объект,

п о с к о л ь к у по у м о л ч а н и ю л и ц е н з и и на использование выдаются только один

раз. П о э т о м у при подготовке списка исключений следует принять во внимание

с л е д у ю щ и е р е к о м е н д а ц и и .

• По в о з м о ж н о с т и назначайте исключения, которые будут оставаться неиз-

м е н н ы м и .

• В с л у ч а е и з м е н е н и я своего р е ш е н и я подождите, пока завершится срок

д е й с т в и я с у щ е с т в у ю щ и х л и ц е н з и й на использование, и только после этого

у д а л я й т е о б ъ е к т ы нз списка исключений.

к 8 2 4 Службы управления правами Active Directory

Глава 16

• Использование списков и с к л ю ч е н и й в случае в з л о м а у ч е т н ы х д а н н ы х од-

ного и з поддерживаемых объектов, н а п р и м е р п о л ь з о в а т е л я , п о д в е р г а е т

угрозе защищенное содержимое.

При создании списка и с к л ю ч е н и й и с п о л ь з у й т е с л е д у ю щ у ю п р о ц е д у р у

(в данном случае из структуры AD R M S и с к л ю ч а ю т с я п о л ь з о в а т е л и ) .

1. Войдите на сервер, я в л я ю щ и й с я ч л е н о м к о р н е в о г о к л а с т е р а , и с п о л ь з у я

учетные данные группы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S

(AD R M S Enterprise Administrators).

2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т -

чер сервера (Server Manager).

3. Разверните узел Р о л и С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y t w ^ _

сервера (RolesActive Directory Rights M a n a g e m e n t S e r v i c e s и м я _ с е р в е р а ) .

4. На панели Действия (Actions) щелкните Создать и с к л ю ч е н и е п о л ь з о в а т е л я

(Enable User Exclusion). Откроется исключение.

5. Для исключения пользователей на п а н е л и Д е й с т в и я ( A c t i o n s ) щ е л к н и т е

команду Исключить пользователя ( E x c l u d e U s e r ) . З а п у с т и т с я м а с т е р ис-

ключения учетной записи (Exclude User A c c o u n t W i z a r d ) .

Вы можете исключить пользователя с помощью его адреса э л е к т р о н н о й поч-

ты или открытого ключа. Первый способ п р е д н а з н а ч е н д л я п о л ь з о в а т е л е й

в каталоге AD DS (при этом лучше и с п о л ь з о в а т ь г р у п п ы , а не и с к л ю ч а т ь

пользователей по отдельности), а второй – д л я в н е ш н и х п о л ь з о в а т е л е й без

учетной записи в каталоге AD DS.

6. Выберите соответствующий метод и с к л ю ч е н и я , л о к а л и з о в а в у ч е т н у ю за-

пись пользователя или строку открытого к л ю ч а , а з а т е м щ е л к н и т е Д а л е е

(Next).

7. Щелкните кнопку Готово (Finish), чтобы з а к р ы т ь мастер.

Д л я удаления исключения и с п о л ь з у е т с я тот ж е у з е л . Д л я д р у г и х т и п о в

исключения тоже применяется этот процесс.

Контрольные вопросы

1. Сколько корневых кластеров можно развернуть в лесу доменных служб Ac-

tive Directory?

2. В чем разница между корневым кластером и кластером лицензирования,

и какой кластер целесообразнее использопать?

3. Какие роли делегирования поддерживает AD RMS?

Ответы на контрольные вопросы

1. В лесу AD DS можно развернуть лишь один корневой кластер AD RMS.

Дело в том, что во время установки AD RMS создается точка подключения

службы (SCP), а в лесу может существовать только одна точка SCP.

Занятие 2 Настройка и использование служб управления правами Active Directory 848

2. Корневой кластер предоставляет все возможности AD RMS. а кластер лицен-

зирования управляет только лицензиями. Кластеры лицензирования пред-