Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 80 (всего у книги 91 страниц)

назначены для поддержки роли корневого кластера, однако по возможности

следует развертывать только корневые кластеры. Таким образом, в сети со-

здается один кластер AD RMS, упрощающий управление и предоставляющий

все необходимые функции. Кластеры лицензирования используются в редких

случаях, когда корневые кластеры развертывать непрактично.

3. Службы AD R M S поддерживают четыре роли делегирования

• Администраторы предприятия службы AD RMS (AD RMS Enterprise

A d m i n i s t r a t o r s ) Осуществляется управление всеми аспектами AD

RMS.

• Администраторы шаблона AD RMS (АО RMS Template Administrators)

Создание и модификация шаблонов политики защиты от несанкциони-

рованного доступа.

• Аудиторы с л у ж б ы управления правами Active Directory (AD RMS

Auditors) Предоставляется право на чтение журналов AD RMS.

• Служба AD R M S ( A D R M S Service) Предоставляет соответствующие

права доступа учетной записи службы AD RMS.

К СВЕДЕНИЮ Политики исключений

Более подробная информация о политиках исключения содержится по адресу

http://technet2.microsoft.eom/windowsserver2008/en/librniy/3n612201-7302-419b-86b2-

3bde6d448d4e1033.mspx?mfr-true.

Подготовка учетных записей и прав доступа

Чтобы пользователи могли работать с AD RMS, нужно подготовить их учет-

ные записи. При этом AD RMS включает учетную запись в свою базу данных.

Однако при удалении учетной записи AD RMS отключает эту учетную запись,

но не удаляет ее автоматически из базы данных. Чтобы в базе данных не на-

капливалась устаревшая информация, в SQL Server следует создать хранимую

процедуру, которая автоматически удаляет учетную запись, или создать сце-

нарий, выполняющий эту операцию по расписанию.

Кроме того, наверняка понадобится создать особую группу суперпользова-

телей, в которую будут входить операторы, располагающие полным доступом

ко всему содержимому, защищенному службами AD RMS. Члены этой группы,

подобно агентам восстановления, используемым для работы с шифрующей

файловой системой EFS (Encrypting File System), будут м о д и ф и ц и р о в а т ь дан-

ные, управляемые инфраструктурой AD RMS, или восстанавливать все данные,

в том числе данные пользователей, покинувших организацию. На эту роль, как

правило, назначается универсальная группа из каталога. Прежде чем включить

к 849 Службы управления правами Active Directory

Глава 16

группу суперпользователей в AD R M S , подготовьте у н и в е р с а л ь н у ю группу.

Группа суперпользователей AD R M S н а с т р а и в а е т с я с л е д у ю щ и м образом.

1. Войдите на сервер, я в л я ю щ и й с я ч л е н о м к о р н е в о г о к л а с т е р а , и с п о л ь з у я

учетные данные группы А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S

(AD RMS Enterprise Administrators).

2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) запустите Д и с п е т -

чер сервера (Server Manager).

3. Разверните узел Р о л н С л у ж б ы у п р а в л е н и я п р а в а м и Active Directory!ww/_

серве/мПолитикн безопасности (RolesActive D i r e c t o r y Rights M a n a g e m e n t

ServicestMi*_cepee/MSecurity Policy).

4. Ma панели сведений щелкните команду И з м е н и т ь п а р а м е т р ы с у п е р п о л ь -

зователей (Change Super User Settings).

5. Ma панели Действия (Actions) щ е л к н и т е к о м а н д у В к л ю ч и т ь с у п е р п о л ь з о -

вателей (Enable Super Users).

6. Ma панели сведений щелкните команду И з м е н и т ь г р у п п у с у п е р п о л ь з о в а -

телей (Change Super Users G r o u p ) д л я просмотра т а б л и ц ы с в о й с т в г р у п п ы

сунсриользователей.

7. Введите адрес электронной почты универсальной г р у п п ы р а с п р о с т р а н е н и я

с электронной почтой в лесу или используйте к н о п к у О б з о р ( B r o w s e ) , что-

бы локализовать эту группу.

8. Щелкните О К , чтобы закрыть окно свойств.

Члены этой группы теперь располагают д о с т у п о м ко в с е м у с о д е р ж и м о м у

AD RMS. Рекомендуется назначать па эту роль с о т р у д н и к о в с в ы с о к о й степе-

нью доверия. Из соображений безопасности группу С у п ё р п о л ь з о в а т е л и ( S u p e r

Users) можно отключить и включать ее т о л ь к о по н е о б х о д и м о с т и .

К СВЕДЕНИЮ Подготовка учетных записей

Более подробную информацию о подготовке учетных записей можно найти по адресу

htlp://technet2 Microsoft Xom/wmdowsserver2008/en/library/5d3a2ead-319e-'f9e7-a1b4-

e3f69a 1a4f1b1033.mspx?mfr-true.

Подготовка шаблонов политики

Для работы пользователей с з а щ и щ е н н ы м с о д е р ж и м ы м н е о б х о д и м о подгото-

вить шаблоны политик, которые помогают с э к о н о м и т ь в р е м я п о л ь з о в а т е л е й

и гарантируют поддержку стандартов, з а д а н н ы х в п о л и т и к а х з а щ и т ы от не-

санкционированного доступа. Вначале создается ш а б л о н , а затем у к а з ы в а е т с я

его расположение.

Шаблоны хранятся, как правило, в общих папках в сети. Ч т о б ы с о д е р ж и -

мое общей папки с шаблонами было доступным д л я л о к а л ь н ы х пользователей,

следует отконфигурировать параметры автономной папки. Кроме того, исполь-

зование аптономных папок гарантирует, что м о д и ф и ц и р у е м ы е , д о б а в л я е м ы е

или обновляемые шаблоны будут автоматически о б н о в л я т ь с я на к л и е н т с к о м

компьютере при следующем подключении пользователя к сети, О д н а к о авто-

Занятие 2 Настройка и использование служб управления правами Active Directory

827

н о м н ы с п а п к и н е б у д у т р а б о т а т ь д л я в н е ш н и х пользователей, н е располагаю-

щ и х д о с т у п о м к в н у т р е н н е й сети. П о э т о м у следует разработать альтернативный

с п о с о б д о с т а в к и ш а б л о н о в , ч т о б ы в н е ш н и е п о л ь з о в а т е л и могли создавать со-

д е р ж и м о е . П о л ь з о в а т е л я м , к о т о р ы е и м е ю т доступ к предварительно созданно-

му с о д е р ж и м о м у , не т р е б у е т с я д о с т у п к ш а б л о н а м п о л и т и к и . Д л я того чтобы

с о з д а т ь ш а б л о н п о л и т и к и , в ы п о л н и т е следующее.

1 . В о й д и т е н а с е р в е р , я в л я ю щ и й с я ч л е н о м к о р н е в о г о кластера, используя

у ч е т н ы е д а н н ы е г р у п п ы А д м и н и с т р а т о р ы шаблонов службы A D RMS (AD

R M S T e m p l a t e s A d m i n i s t r a t o r s ) .

2. В к а т е г о р и и А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) запустите Диспет-

ч е р с е р в е р а ( S e r v e r M a n a g e r ) .

3 . Р а з в е р н и т е у з е л Р о л и С л у ж б ы у п р а в л е н и я правами Active D i r e c t o r y t w / _

с е р в е / ? а Ш а б л о и ы п о л и т и к п р а в д о с т у п а ( R o l e s A c t i v e Directory Rights

M a n a g e m e n t S e r v i c e s t w » ( _ c e / w e p a R i g h t s Policy Templates).

4 . В у з л е A D R M S к о н с о л и в ы б е р и т е к о н т е й н е р Ш а б л о н ы политик прав

д о с т у п а ( R i g h t s P o l i c y T e m p l a t e s ) .

5 . Н а п а н е л и Д е й с т в и я ( A c t i o n s ) щ е л к н и т е к о м а н д у Создать шаблон рас-

п р е д е л е н н о й п о л и т и к и п р а в ( C r e a t e D i s t r i b u t e d Rights Policy Template).

З а п у с т и т с я м а с т е р .

6. Ha с т р а н и ц е Д о б а в л е н и е с в е д е н и й о шаблоне (Add Template Identification

I n f o r m a t i o n ) щ е л к н и т е к н о п к у Д о б а в и т ь (Add).

7. В ы б е р и т е я з ы к , в в е д и т е и м я и о п и с а н и е нового шаблона, щелкните кнопку

Д о б а в и т ь ( A d d ) , а з а т е м щ е л к н и т е Д а л е е (Next).

8. На с т р а н и ц е Д о б а в л е н и я п р а в п о л ь з о в а т е л я (Add User Rights) выполните

т а к и е д е й с т в и я .

A. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) , чтобы выбрать пользователя или

г р у п п у д л я п р е д о с т а в л е н и я доступа к шаблону.

Е с л и в ы б р а т ь группу Все (Everyone), запрос лицензии иа использование

с о д е р ж и м о г о с м о ж е т в ы п о л н я т ь л ю б о й пользователь. Чтобы выбрать

к о н к р е т н у ю группу, и с п о л ь з у й т е к н о п к у Обзор (Browse).

Б. В с е к ц и и П о л ь з о в а т е л и и права (Users And Rights) нужно вначале вы-

б р а т ь п о л ь з о в а т е л я , а затем назначить права этому отдельному пользо-

в а т е л ю и л и г р у п п е на п а н е л и Права пользователя (Rights For User). Для

п о л ь з о в а т е л я т а к ж е м о ж н о создавать настраиваемые права доступа.

О т м е т и м , ч т о по у м о л ч а н и ю выбрано право Предоставить полный до-

ступ в л а д е л ь ц у ( а в т о р у ) ( G r a n t O w n e r (Author) Full Control).

B. В п о л е U R L з а п р о с а прав доступа (Rights Request U R L ) введите соот-

в е т с т в у ю щ и й U R L . По этому адресу пользователи смогут запрашивать

д о п о л н и т е л ь н ы е права доступа.

9 . Щ е л к н и т е Д а л е е ( N e x t ) ,

10. I-Ia с т р а н и ц е У к а ж и т е п о л и т и к у срока действия (Specify Expiration Policy)

в ы б е р и т е о д н у из д о с т у п н ы х о п ц и й и введите значение в днях. Чтобы срок

д е й с т в и я э т о г о с о д е р ж и м о г о а в т о м а т и ч е с к и заканчивался по истечении

к 828 Службы управления правами Active Directory

Глава 16

указанного ч и с л а д н е й , в ы б е р и т е о п ц и ю С р о к д е й с т в и я и с т е к а е т ч е р е з

(дней) (Expires After T h e Following D u r a t i o n ( D a y s ) ) и в в е д и т е ч и с л о д н е й .

Щ е л к н и т е Д а л е е ( N e x t ) .

11. Н а странице У к а ж и т е р а с ш и р е н н у ю п о л и т и к у ( S p e c i f y E x t e n d e d P o l i c y )

можно установить с л е д у ю щ и е п а р а м е т р ы .

A. Р а з р е ш и т ь п о л ь з о в а т е л я м п р о с м о т р з а щ и щ е н н о г о с о д е р ж и м о г о с п о -

м о щ ь ю н а д с т р о й к и о б о з р е в а т е л я ( E n a b l e U s e r s t o v i e w p r o t e c t e d

c o n t e n t , using a b r o w s e r a d d – o n ) П о л ь з о в а т е л и б е з п р и л о ж е н и й A D

R M S смогут п р о с м а т р и в а т ь з а щ и щ е н н о е с о д е р ж и м о е , а в т о м а т и ч е с к и

установив необходимую надстройку.

Б . Всегда з а п р а ш и в а т ь н о в у ю л и ц е н з и ю н а и с п о л ь з о в а н и е ( о т к л ю ч и т ь

к э ш и р о в а н и е н а с т о р о н е к л и е н т а ) ( R e q u e s t A N e w U s e L i c e n s e E v e r y

Time C o n t e n t I s C o n s u m e d ( D i s a b l e C l i e n t – S i d e C a c h i n g ) ) К а ж д ы й

раз при использовании с о д е р ж и м о г о б у д е т в ы п о л н я т ь с я п р о в е р к а под-

линности н а серверах A D R M S . Э т а о п ц и я н е д о с т у п н а д л я а в т о н о м н ы х

пользователей.

B . Для указания дополнительных с в е д е н и й п р и л о ж е н и й A D R M S и с п о л ь -

зуйте пары « и м я – з н а ч е н и е » – (If You W o u l d L i k e T o S p e c i f y A d d i t i o n a l

Information F o r Your A D R M S E n a b l e d A p p l i c a t i o n s , You C a n S p e c i f y

T h e m H e r e A s N a m e – V a l u e P a i r s ) К о н к р е т н а я и н ф о р м а ц и я б у д е т

добавляться в защищенное с о д е р ж и м о е . О б ы ч н о э т у о п ц и ю и с п о л ь з у ю т

разработчики.

12. Щелкните Далее (Next). Н а с т р а н и ц е У к а ж и т е п о л и т и к у о т з ы в а ( S p e c i f y

Revocation Policy) включите отзыв, щ е л к н у в о п ц и ю Т р е б у е т с я о т з ы в ( R e -

quired Revocation) и в ы п о л н и в с л е д у ю щ и е д е й с т в и я .

A . Выберите о п ц и ю Место п у б л и к а ц и и с п и с к а о т з ы в а ( U R L и л и U N C )

(Location W h e r e T h e Revocation List Is P u b l i s h e d ( U R L or U N C ) ) и у к а -

жите размещение ф а й л а отзыва.

Помните, что п р и и с п о л ь з о в а н и и U R L и н а л и ч и и к а к в н у т р е н н и х , т а к

и в н е ш н и х пользователей, этот U R L д о л ж е н б ы т ь д о с т у п е н в о б о и х

сетевых размещениях.

Б . Выберите о п ц и ю И н т е р в а л о б н о в л е н и я с п и с к а о т з ы в а ( д н и ) ( R e f r e s h

Interval For Revocation List ( D a y s ) ) и у к а ж и т е ч и с л о д н е й п о д д е р ж к и

списка отзыва.

Это значение определяет, когда п о л ь з о в а т е л и д о л ж н ы о б н о в и т ь с в о й

список отзыва п р и п р о с м о т р е с о д е р ж и м о г о .

B. Выберите опцию Ф а й л с о т к р ы т ы м к л ю ч о м п о д п и с а н н о г о с п и с к а о т з ы -

ва (File Containing Public Key C o r r e s p o n d i n g To T h e S i g n e d R e v o c a t i o n

List).

13. Щелкните кнопку Готово (Finish).

Отметим, что при реализации отзыва н у ж н о т щ а т е л ь н о о т к о н ф и г у р и р о в а т ь

его параметры. Кроме того, список отзыва следует п е р и о д и ч е с к и п у б л и к о в а т ь .

Занятие 2 Настройка и использование служб управления правами Active Directory

829

К СВЕДЕНИЮ Шаблоны политики

Информация о шаблонах политики можно найти по адресу http://technet2.microsoft.

com/toindowsserver2008/en/library/a42680fa-2855-40d9-8e2c-74f72793ca241033.

mspx?mfr-true.

Р а б о т а с к л и е н т а м и AD R M S

Д л я п р е д о с т а в л е н и я д о с т у п а к своим ф у н к ц и я м службы используют один из

двух л о к а л ь н ы х клиентов: клиент Windows Vista, также включенный в Windows

Server 2008, и клиент, к о т о р ы й запускается в Windows 2000, Windows 2003 и

W i n d o w s ХР. В т о р о г о к л и е н т а необходимо загрузить и установить на каждом

к л и е н т с к о м к о м п ь ю т е р е . С у щ е с т в у е т три версии клиента, поддерживающие

все п л а т ф о р м ы W i n d o w s : х86, х64 и I t a n i u m .

К л и е н т ы а в т о м а т и ч е с к и о б н а р у ж и в а ю т кластер AD RMS, применяя один

и з с л е д у ю щ и х методов.

• И с п о л ь з у е т с я т о ч к а п о д к л ю ч е н и я службы AD DS, созданная во время уста-

н о в к и A D R M S .

• В с л о ж н ы х р а з в е р т ы в а н и я х AD R M S во множестве лесов клиенты приме-

н я ю т п е р е о п р е д е л е н и я реестра, которые размещаются непосредственно на

к л и е н т с к о м компьютере. В частности, это относится к предыдущим версиям

о п е р а ц и о н н ы х систем Windows.

• З а д е й с т в у ю т с я U R L – а д р е с а , включенные в лицензии иа выдачу содержи-

мого.

К а ж д ы й из э т и х методов обеспечивает избыточность, благодаря чему кли-

е н т ы всегда м о г у т п о л у ч а т ь доступ к содержимому.

К СВЕДЕНИЮ Клиенты AD RMS и Windows RMS

Получить более подробную информацию о клиентах AD RMS и загрузить клиенты

Windows RMS можно по адресу http://technet2.microsoft.com/mndowsserver2008/en/

Iibrary/3230bca4-51 cb-418f-86ba-bb65393854181033.mspx?mfr-true.

К о н т р о л ь н ы е в о п р о с ы

1. Что представляет собой сертификат лицензиара сервера?

2. Какие политики доверия поддерживает AD RMS?

О т в е т ы на к о н т р о л ь н ы е вопросы

1. Сертификат лицензиара сервера SLC (Server Licensor Certificate) представ-

ляет собой самозаверяющий сертификат, который генерируется во время

установки первого сервера в корневом кластере и назначается всему

кластеру. Другие члены кластера будут использовать этот сертификат SLC

совместно.

(см. след. стр.)

к 8 3 0 Службы управления правами Active Directory Глава 16

2. Службы AD RMS поддерживают четыре политики доверия.

• Домены доверенных пользователей позволяют кластеру AD R M S об-

рабатывать запросы других кластеров AD RMS, локализованных в раз-

личных лесах AD DS. Доверенные домены пользователей добавляются

путем импорта сертификата лицензиара сервера из кластера AD R M S

с которым нужно установить доверие, в ваш собственный кластер.

• Доверенные домены публикации позволяют кластеру AD R M S выдавать

лицензии на использование содержимого, защищенного другим клас-

тером AD RMS. Для создания доверенного домена публикации нужно

импортировать сертификат SLC кластера публикации вместе с его за-

крытым ключом п ваш собственный кластер.

• Доверия Windows Live ID позволяют пользователям с идентификато-

рами Windows Live ID (так называемый паспорт Microsoft) только при-

менять (но не создавать) защищенное содержимое.

• Доверия федерации устанавливаются с помощью AD FS и расширяют

операции кластера AD RMS в леса, с которыми установлено федера-

тивное доверие.

Управление базами данных

Для выполнения своих ф у н к ц и й с л у ж б ы A D R M S и с п о л ь з у ю т т р и б а з ы д а н н ы х

(изучите эти базы д а н н ы х и их ф у н к ц и и , ч т о б ы г а р а н т и р о в а т ь к о р р е к т н у ю

работу кластера AD R M S ) .

• Б а з а д а н н ы х к о н ф и г у р а ц и и , и с п о л ь з у е м а я д л я х р а н е н и я в с е х д а н н ы х

к о н ф и г у р а ц и и A D R M S И с п о л ь з у е т с я с е р в е р а м и A D R M S д л я п р е д о -

ставления клиентам и н ф о р м а ц и и и у с л у г з а щ и т ы от н е с а н к ц и о н и р о в а н н о г о

доступа.

• Б а з а д а н н ы х в е д е н и я ж у р н а л о в , г д е х р а н и т с я и н ф о р м а ц и я о б о в с е х о п е -

р а ц и я х в к о р н е в о м или л и ц е н з и р у ю щ е м к л а с т е р е Э т у б а з у д а н н ы х у д о б -

н о использовать д л я аудита с о б ы т и й A D R M S .

• Б а з а данных с л у ж б каталогов, где х р а н и т с я и н ф о р м а ц и я о п о л ь з о в а т е л я х

и все их данные Доступ к и н ф о р м а ц и и из к а т а л о г о в A D D S о с у щ е с т в л я е т -

ся с помощью протокола L D A P ( L i g h t w e i g h t D i r e c t o r y Access P r o t o c o l ) . Д л я

этой базы д а н н ы х требуется р е г у л я р н а я т е х н и ч е с к а я п о д д е р ж к а в с л у ч а е

удаления пользователей и з A D R M S , к а к о п и с а н о р а н е е н а э т о м з а н я т и и .

Помимо этих баз д а н н ы х A D R M S и с п о л ь з у е т с л у ж б у О ч е р е д ь с о о б щ е н и й

(Message Queuing), п р е д н а з н а ч е н н у ю д л я п е р е с ы л к и с о б ы т и й в б а з у д а н н ы х

журналов. В процессе аудита и с п о л ь з о в а н и я AD R M S с л е д у е т п е р и о д и ч е с к и

проверять, корректно ли работает очередь с о о б щ е н и й .

В дополнение к р а з л и ч н ы м ф у н к ц и я м , д о с т у п н ы м в к о н с о л и AD R M S ,

корпорация Microsoft п р е д о с т а в л я е т с п е ц и а л ь н ы й н а б о р и н с т р у м е н т о в R M S ,

содержащий у т и л и т ы д л я а д м и н и с т р и р о в а н и я AD R M S . З а г р у з и т е и д о б а в ь т е

его в административный набор AD R M S д л я п о л н о г о у п р а в л е н и я р а з в е р т ы -

ванием,

Занятие 2 Настройка и использование служб управления правами Active Directory

831

К СВЕДЕНИЮ Набор средств администрирования служб управления правами

Набор инструментов RMS с утилитами для управления RMS можно загрузить по

адресу http://www.microso/t.com/downloads/details.aspx?FamilylD-bae62cfc-d5a7-46d2-

9063-0/6885с26Ь98 & Display Lang-en.

К СВЕДЕНИЮ Дополнительные ресурсы AD RMS

Дополнительные ресурсы AD RMS содержатся по адресу http://technet2.microso/t.

com/windowsserver2008/en/library/789533a5-50c5-435d-b06a-37db0ab5666e1033.

mspx?m/r-true.

Практические занятия. Создание шаблона политики прав доступа

В п р и в е д е н н ы х д а л е е у п р а ж н е н и я х предлагается создать настраиваемый шаб-

л о н п о л и т и к п р а в д о с т у п а с и с п о л ь з о в а н и е м AD RMS, установка которого

в ы п о л н е н а на з а н я т и и 1.

Упражнение. Создание нового шаблона

Ш а б л о н ы п о з в о л я ю т п о л ь з о в а т е л я м быстро применять политики прав до-

с т у п а . Д л я с о з д а н и я ш а б л о н а необходимо использовать разрешения досту-

па г р у п п ы А д м и н и с т р а т о р ы ш а б л о н о в службы AD RMS (AD RMS Template

A d m i n i s t r a t o r s ) и л и А д м и н и с т р а т о р ы предприятия службы AD RMS (AD RMS

E n t e r p r i s e A d m i n i s t r a t o r s ) . Ч т о б ы в ы п о л н и т ь упражнение, нужно запустить

м а ш и н ы S E R V E R 0 1 , S E R V E R 0 4 и SERVER05.

1. В о й д и т е на сервер – член корневого кластера, используя учетные данные

г р у п п ы А д м и н и с т р а т о р ы шаблонов службы AD RMS (AD RMS Templates

A d m i n i s t r a t o r s ) .

2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспет-

чер с е р в е р а ( S e r v e r M a n a g e r ) .

3. Р а з в е р н и т е у з е л Р о л и С л у ж б ы управления нравами Active Di rectory «л.я_

с е р о е р с Д Ш а б л о н ы п о л и т и к прав доступа (RolesActive Directory Rights

M a n a g e m e n t S e r v i c e s i w w _ c e p e e p a R i g h t s Policy Templates).

4. На п а н е л и Д е й с т в и я (Actions) выполните команду Создать шаблон распре-

д е л е н н о й п о л и т и к и прав доступа (Create Distributed Rights Policy Template).

З а п у с т и т с я мастер.

5. На с т р а н и ц е Д о б а в л е н и е сведений о шаблоне (Add Template Identification

I n f o r m a t i o n ) щ е л к н и т е к н о п к у Добавить (Add).

6. У к а ж и т е я з ы к , введите и м я Contoso Legal Template и описание Шаблон для

защиты документов Contoso, Ltd и щелкните кнопку Добавить (Add). Щелк-

ните Д а л е е ( N e x t ) .

7. На с т р а н и ц е Д о б а в л е н и е прав пользователя (Add User Rights) выполните

с л е д у ю щ и е д е й с т в и я .

А. Щ е л к н и т е к н о п к у Добавить (Add), чтобы добавить пользователя или

группу с доступом к шаблону. Выберите группу Все (Anyone).

к 832

Службы управления правами Active Directory

Глава 16

Все пользователи смогут запрашивать л и ц е н з и ю на и с п о л ь з о в а н и е со-

держимого.

Б. В секции Пользователи и права (Users And Rights) в ы б е р и т е группу Все

(Anyone) и иа панели Права п о л ь з о в а т е л я ( R i g h t s For U s e r ) назначьте

право доступа Просмотр (View).

В. Установите флажок Предоставить п о л н ы й д о с т у п владельцу, ( а в т о р у )

(Grant Owner (Author) Full C o n t r o l ) .

Г. В поле URL запроса прав доступа ( R i g h t s R e q u e s t U R L ) в в е д и т е сле-

дующий URL: https://RightsManagemenLContoso.com.

По этому адресу пользователи смогут з а п р а ш и в а т ь д о п о л н и т е л ь н ы е

права доступа.

8. Щелкните Далее (Next). На странице У к а ж и т е с р о к д е й с т в и я п о л и т и к и

(Specify Expiration Policy) выберите о п ц и ю С р о к д е й с т в и и не о г р а н и ч е н

(Never Expires). Сбросьте ф л а ж о к С р о к д е й с т в и я и с т е к а е т через ( д н е й )

(Expires After The Following Duration ( D a y s ) ) . Щ е л к н и т е Д а л е е ( N e x t ) .

9. На странице Укажите расширенную п о л и т и к у ( S p e c i f y E x t e n d e d Policy)

установите следующие параметры.

A. Выберите параметр Разрешить п о л ь з о в а т е л я м п р о с м о т р з а щ и щ е н н о г о

содержимого с помощью н а д с т р о й к и о б о з р е в а т е л я ( E n a b l e U s e r s to

view protected content, using a browser a d d – o n ) , ч т о б ы п о л ь з о в а т е л и без

приложений AD RMS могли п р о с м а т р и в а т ь з а щ и щ е н н о е с о д е р ж и м о е ,

автоматически установив необходимую надстройку.

Б. Сбросьте флажок Всегда запрашивать н о в у ю л и ц е н з и ю иа и с п о л ь з о в а -

ние (отключить кэширование на стороне к л и е н т а ) ( R e q u e s t A N e w Use

License Every Time Content Is Consumed (Disable C l i e n t – S i d e C a c h i n g ) ) .

B. He устанавливайте ф л а ж о к Д л я у к а з а н и я д о п о л н и т е л ь н ы х с в е д е н и й

приложений AD RMS используйте п а р ы « и м я – з н а ч е н и е » (If You Would

Like To Specify Additional Information For Your AD R M S E n a b l e d Ap-

plications, You Can Specify T h e m H e r e As N a m e – V a l u e Pairs). О б ы ч н о

эту опцию применяют разработчики.

10. Щелкните Далее (Next). На странице У к а ж и т е п о л и т и к у о т з ы в а (Specify

Revocation Policy) не включайте отзыв. Щ е л к н и т е к н о п к у Готово ( F i n i s h ) .

Готовый к использованию шаблон п о я в и т с я на п а н е л и с в е д е н и й .

Резюме

• При работе с AD R M S необходимо в ы п о л н и т ь н е с к о л ь к о задач к о н ф и г у -

рации для завершения установки, в к л ю ч а я с о з д а н и е U R L э к с т р а с е т и д л я

предоставления внешним пользователям доступа к с и с т е м е D R M , а т а к ж е

настройку политик доверия для п о д д е р ж к и д о п о л н и т е л ь н о г о в н е ш н е г о

доступа.

• Для работы с другими и н ф р а с т р у к т у р а м и AD R M S следует о б м е н я т ь с я

с ними сертификатами лицензиара сервера. Э т о означает э к с п о р т серти-

фикатов из исходного кластера и импорт в к о н е ч н ы й кластер.

Резюме главы 8 3 3

• Ч т о б ы и с к л ю ч и т ь п о л ь з о в а т е л е й из системы D R M , нужно создать поли-

т и к и и с к л ю ч е н и я .

ш Д л я того ч т о б ы у л у ч ш и т ь п р о ц е с с создания содержимого пользователями,

р е к о м е н д у е т с я создавать ш а б л о н ы п о л и т и к прав доступа, которые упроща-

ют работу п о л ь з о в а т е л е й и гарантируют применение стратегии DRM.

Закрепление материала

С л е д у ю щ и й в о п р о с м о ж н о и с п о л ь з о в а т ь для проверки знаний, полученных на

з а н я т и и 1 ( э т о т в о п р о с с о д е р ж и т с я и на сопроводительном компакт-диске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. А д м и н и с т р а т о р в д о м е н е contoso.com завершил установку AD RMS и те-

п е р ь х о ч е т о т к о н ф и г у р и р о в а т ь AD R M S . Он настроил внешний U R L и

п р о т е с т и р о в а л о п е р а ц и и с сервера AD RMS, с помощью которого настроил

U R L . Э т о т U R L и с п о л ь з у е т SSL для защиты H T T P – т р а ф и к а . Тем не менее

п о л ь з о в а т е л и в н е в н у т р е н н е й сети не могут получить доступ к AD RMS.

В ч е м з а к л ю ч а е т с я п р и ч и н а п р о б л е м ы ?

A. С е р в е р д о л ж е н и с п о л ь з о в а т ь URL-адрес в формате H T T P : / / .

Б. С е р т и ф и к а т на сервере недействителен, поэтому пользователи не могут

п о л у ч и т ь д о с т у п к U R L .

B. Д л я того ч т о б ы п о л у ч и т ь доступ к RTL, пользователи должны распо-

л а г а т ь у ч е т н ы м и з а п и с я м и в домене AD DS.

Г. П о л ь з о в а т е л я м предоставлен неправильный URL-адрес.

Закрепление материала главы

Д л я того ч т о б ы п о п р а к т и к о в а т ь с я и закрепить знания, полученные при изуче-

н и и п р е д с т а в л е н н о г о в э т о й главе материала, вам необходимо:

• о з н а к о м и т ь с я с р е з ю м е главы;

• п о в т о р и т ь и с п о л ь з у е м ы е в главе основные термины;

• и з у ч и т ь с ц е н а р и й , в к о т о р о м описана реальная ситуация, требующая при-

м е н е н и я п о л у ч е н н ы х з н а н и й , и предложить свое решение;

• в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;

• сдать п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.

Резюме главы

• С л у ж б ы AD R M S п р е д н а з н а ч е н ы д л я поддержки расширения полномочий

о р г а н и з а ц и и за п р е д е л ы брандмауэра. Такое расширение применяется к за-

щ и т е и н т е л л е к т у а л ь н о й собственности.

• Д л я з а щ и т ы и н т е л л е к т у а л ь н о й собственности службы AD RMS должны

и с п о л ь з о в а т ь н е с к о л ь к о технологий: Доменные службы Active Directory

к 857 Службы управления правами Active Directory

Глава 16

(Active Directory Domain Services), С л у ж б ы с е р т и ф и к а ц и и A c t i v e D i r e c t o r y

(Active Directory Certificate Services), С л у ж б ы ф е д е р а ц и и A c t i v e D i r e c t o r y

(Active Directory Federation Services) и S Q L Server. Т е х н о л о г и я AD DS обес-

печивает центральную с л у ж б у п р о в е р к и п о д л и н н о с т и ; A D C S о б е с п е ч и в а е т

сертификаты и н ф р а с т р у к т у р ы о т к р ы т ы х к л ю ч е й , и с п о л ь з у е м о й н AD R M S ;

технология A D F S позволяет и н т е г р и р о в а т ь п о л и т и к и A D R M S с п а р т н е р а -

ми и внешними пользователями, a S Q L S e r v e r х р а н и т все д а н н ы е AD R M S .

• Многие о р г а н и з а ц и и п р е д п о ч и т а ю т о с у щ е с т в л я т ь р е а л и з а ц и ю A D R M S

поэтапно:

• первый этап предполагает внутреннее и с п о л ь з о в а н и е и н т е л л е к т у а л ь н о й

собственности;

• на втором этапе с о д е р ж и м о е и с п о л ь з у е т с я с о в м е с т н о с п а р т н е р а м и ;

• на третьем этапе п р и в л е к а е т с я более ш и р о к а я а у д и т о р и я , а и н т е л л е к -

туальная собственность р а с п р о с т р а н я е т с я з а п р е д е л ы с е т и о р г а н и з а ц и и

в защищенном режиме.

• При установке AD R M S создается к о р н е в о й к л а с т е р , к о т о р ы й м о ж е т пре-

доставлять службы с е р т и ф и к а ц и и и л и ц е н з и р о в а н и я . К а ж д ы й л е с A D D S

содержит т о л ь к о один к о р н е в о й к л а с т е р , о д н а к о в м а с ш т а б н о м р а з в е р -

тывании роли с е р т и ф и к а ц и и и л и ц е н з и р о в а н и я м о ж н о р а з д е л и т ь , с о з д а в

дополнительный кластер л и ц е н з и р о в а н и я . Д л я и с п о л ь з о в а н и я с л у ж б A D

RMS необходимы п р и л о ж е н и я A D R M S – т е к с т о в ы е р е д а к т о р ы , с р е д с т в а

презентации, клиенты э л е к т р о н н о й почты, а т а к ж е н а с т р а и в а е м ы е д о м а ш -

ние приложения. Каждый раз при с о з д а н и и п о л ь з о в а т е л е м н о в о й и н ф о р м а -

ции шаблоны AD R M S устанавливают права ее и с п о л ь з о в а н и я , в ч а с т н о с т и

определяют лиц, которым р а з р е ш е н о читать, з а п и с ы в а т ь , м о д и ф и ц и р о в а т ь ,

печатать, передавать эту и н ф о р м а ц и ю , в ы п о л н я т ь с н е й д р у г и е о п е р а ц и и .

Основные термины

Запомните перечисленные д а л е е т е р м и н ы , ч т о б ы л у ч ш е п о н я т ь о п и с ы в а е м ы е

концепции.

– • С е р в е р ы р е г и с т р а ц и и Серверы, па к о т о р ы е н у ж н о п о д а в а т ь з а я в к и д л я

публикации сертификатов. В п р е д ы д у щ и х в ы п у с к а х н е о б х о д и м о б ы л о ис-

пользовать службу регистрации M i c r o s o f t E n r o l l m e n t Service, о д н а к о в AD

RMS серверы могут сами в ы п о л н я т ь р е г и с т р а ц и ю с п о м о щ ь ю с а м о з а в е р я -

ющего сертификата.

• Л и ц е н з и я на п у б л и к а ц и ю Н а з н а ч а е т с я д л я с о д е р ж и м о г о п р и в к л ю ч е н и и