Пошаговое руководство по созданию и развертыванию шаблонов службы управления правами Active Directory Корпорация Майкрософт Дата опубликования: январь 2008 г. Автор: Брайан Лич (Brian Lich). Редактор: Кэролин Эллер (Carolyn Eller). Краткий обзор В настоящем пошаговом руководстве приводятся инструкции по настройке тестовой среды, предназначенной для создания и развертывания шаблонов политик прав службы управления правами (AD RMS) в операционной системе Windows Server® 2008. Настоящий документ относится к предварительной версии программного продукта, которая может в значительной степени измениться до выхода заключительной версии, и содержит конфиденциальную информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на основе соглашения о неразглашении между стороной, которой она предоставляется, и корпорацией Майкрософт. Документ предназначен исключительно для информационных целей, и корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных или подразумеваемых гарантий. Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных случаев, все приведенные в документе примеры компаний, организаций, продуктов, доменных имен, адресов электронной почты, логотипов, людей, мест и событий являются вымышленными и не предполагают какой-либо связи с реально существующими компаниями, организациями, продуктами, доменными именами, адресами электронной почты, логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав является обязанностью пользователя. Воспроизведение, сохранение или размещение любых частей документа в информационно-поисковых системах, а также передача этих частей в любой форме и любым способом, электронным, механическим, путем фотокопирования, записи или иными методами, без официального письменного уведомления корпорации Майкрософт запрещается. На материалы, содержащиеся в документе, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Документ не дает никаких разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения корпорации Майкрософт. © Корпорация Майкрософт, 2008. Все права защищены. Active Directory, Microsoft, MS-DOS, Vista, Windows, Windows NT и Windows Server являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и/или в других странах. Все другие товарные знаки являются собственностью их соответствующих владельцев. Содержание Пошаговое руководство по созданию и развертыванию шаблонов политик прав службы управления правами Active Directory ........................................................................................ 5 О настоящем руководстве ......................................................................................................... 5 Вопросы, не рассматриваемые в настоящем руководстве................................................. 5 Развертывание службы AD RMS в тестовой среде ................................................................ 6 Этап 1. Создание общей папки в кластере службы AD RMS .................................................... 7 Этап 2. Создание шаблона политики прав службы AD RMS ..................................................... 8 Этап 3. Настройка клиента службы AD RMS............................................................................. 10 Этап 4. Проверка работоспособности службы AD RMS на компьютере ADRMS-CLNT ....... 11 Пошаговое руководство по созданию и развертыванию шаблонов политик прав службы управления правами Active Directory О настоящем руководстве Настоящее руководство описывает процесс создания и развертывания шаблонов политик службы управления правами Active Directory (AD RMS) в тестовой среде. Такой процесс предполагает создание шаблона политики прав, развертывание этого шаблона на клиентском компьютере, оснащенном ОС Windows Vista® и пакетом Microsoft® Office Word 2007, а также проверку способности клиентского компьютера осуществлять защиту прав при работе с документом при помощи нового шаблона политик прав. Выполнив эти действия, вы сможете подготавливать создание тех или иных шаблонов политик прав службы AD RMS под управлением ОС Windows Server® 2008 и их развертывание в рамках организации. Процедуры, изложенные в настоящем руководстве, направлены на решение следующих задач: создание шаблона политики прав службы AD RMS; развертывание шаблона политики прав; проверка функциональных возможностей службы AD RMS по завершении ее настройки. Целью развертывания инфраструктуры AD RMS является защита информации вне зависимости от направления ее передачи. Цифровой файл, однажды защищенный с помощью службы AD RMS, сохраняет защиту и впредь. Согласно настройкам по умолчанию, снять защиту с файла вправе только владелец содержимого. Владелец может предоставлять другим пользователям права на выполнение тех или иных действий с файлом — в частности, на его просмотр, копирование или печать. Вопросы, не рассматриваемые в настоящем руководстве Перечисленные ниже компоненты отсутствуют в настоящем руководстве. Инструкции по установке и настройке службы AD RMS в рабочей или тестовой среде. Предполагается, что тестовая среда с настроенной службой AD RMS уже сформирована. Подробные инструкции по настройке службы AD RMS см. в документе «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server» (на английском языке) по адресу http://go.microsoft.com/fwlink/?LinkId=72134. 5 Полный технический справочник по работе службы AD RMS и развертыванию ее шаблонов в среде организации. В крупных организациях для развертывания шаблонов политик прав службы AD RMS одновременно на нескольких рабочих станциях можно обратиться к услугам сервера SMS (Systems Management Server) или групповой политики. Развертывание службы AD RMS в тестовой среде Процедуры, изложенные в настоящем руководстве, рекомендуется выполнять в тестовой среде. Пошаговые руководства не всегда подходят для развертывания продуктов корпорации Майкрософт в отсутствие сопроводительной документации; любое такое руководство следует рассматривать как отдельный документ и применять с осторожностью. Перед осуществлением операций, описанных в настоящем руководстве, необходимо выполнить в тестовой среде процедуру, изложенную в документе «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server» (на английском языке) по адресу http://go.microsoft.com/fwlink/?LinkId=72134. Этот документ помогает подготовить инфраструктуру, необходимую для развертывания службы AD RMS – в частности, кластер, базу данных журналов и контроллер домена. Материал настоящего руководства изложен с расчетом на то, что инструкции предыдущего руководства выполнены, и это необходимо сделать перед тем, как переходить к дальнейшим действиям. В результате выполнения настоящего пошагового руководства в вашем распоряжении окажется действующий шаблон политики прав службы AD RMS. Впоследствии для проверки работоспособности созданной политики прав службы AD RMS нужно будет выполнить простую задачу – ограничить с ее помощью права доступа к документу Microsoft Office Word 2007. Тестовая среда, рассматриваемая в настоящем руководстве, состоит из трех компьютеров, подключенных к частной сети и оснащенных перечисленными ниже операционными системами, приложениями и службами. Имя компьютера Операционная система Приложения и службы ADRMS-SRV Windows Server 2008 AD RMS, службы IIS 7.0, служба вебпубликаций, очередь сообщений (MSMQ) и внутренняя база данных Windows CPANDL-DC Windows Server 2003 с пакетом обновления 1 (SP1) Active Directory®, служба доменных имен (DNS) ADRMS-DB Windows Server 2003 с пакетом обновления 1 (SP1) Сервер Microsoft SQL Server™ 2005 Standard Edition ADRMS-CLNT Windows Vista Microsoft Office Word 2007 6 Имя компьютера Операционная система Приложения и службы (корпоративный выпуск) Компьютеры подключены к частной интрасети через общий концентратор или коммутатор второго уровня. При желании такую конфигурацию можно смоделировать в среде виртуального сервера. Настоящая пошаговая процедура предусматривает применение частных адресов в тестовой среде. Диапазон частных адресов, применяемый в частной сети — 10.0.0.0/24. Компьютер CPANDL-DC выступает в роли контроллера домена cpandl.com. Конфигурация тестовой среды изображена на следующем рисунке. Этап 1. Создание общей папки в кластере службы AD RMS Чтобы упростить администрирование шаблонов политик прав, их можно хранить в централизованном хранилище, откуда они будут копироваться на клиентские компьютеры AD RMS. Среди методов распространения шаблонов следует упомянуть три: сервер SMS (Systems Management Server), групповые политики и копирование шаблонов на клиентские компьютеры AD RMS вручную. В настоящем руководстве шаблоны политик прав копируются ручным способом. Примечание Для того чтобы функция экспорта шаблонов политик прав работала корректно, учетной записи службы AD RMS необходимо предоставить доступ на запись к общей папке с шаблонами политик прав. Чтобы создать общую папку для размещения шаблонов политик прав службы AD RMS и настроить разрешения для учетной записи службы AD RMS, выполните следующие действия. 7 Создание общей папки для размещения шаблонов политик прав службы AD RMS 1. Войдите в систему ADRMS-SRV с правами учетной записи CPANDL\Administrator. 2. Нажмите кнопку Start (пуск), выберите My Computer (мой компьютер) и дважды щелкните запись Local Disk (C:) (локальный диск (C:)). 3. Создайте новую папку с именем ADRMSTemplates. Нажмите кнопку Organize (упорядочить), выберите New Folder (создать папку), введите имя ADRMSTemplates и нажмите клавишу ВВОД. 4. Щелкнув папку ADRMSTemplates правой кнопкой мыши, выберите пункт Properties (свойства). 5. Откройте вкладку Sharing (общий доступ) и нажмите кнопку Advanced Sharing (дополнительный доступ). 6. Установив флажок Share this Folder (открыть общий доступ к этой папке), нажмите кнопку Permissions (разрешения). 7. Нажмите кнопку Add (добавить), а затем введите имя CPANDL\ADRMSSRVC в поле Enter the object names to select (введите имена объектов для выбора). Нажмите кнопку OK. 8. Выберите запись ADRMSSRVC (ADRMSSRVC@cpandl.com) в области Group or user names (группы или пользователи), а затем установите флажок Change (изменение) в столбце Allow (разрешить) в области Permissions for ADRMSSRVC (разрешения ADRMSSRVC). 9. Дважды нажмите кнопку ОК. 10. Откройте вкладку Security (безопасность) и нажмите кнопку Edit (изменить). 11. Нажмите кнопку Add, а затем введите имя CPANDL\ADRMSSRVC в поле Enter the object names to select. Нажмите кнопку OK. 12. Выберите запись ADRMSSRVC (ADRMSSRVC@cpandl.com), а затем установите флажок Modify (изменить) в столбце Allow в области Permissions for ADRMSSRVC. Нажмите кнопку OK. 13. Нажмите кнопку Close (закрыть). Этап 2. Создание шаблона политики прав службы AD RMS Как уже упоминалось ранее, шаблоны политик прав службы AD RMS создаются в кластере службы AD RMS и затем экспортируются в общую папку. Если предполагается, что пользователи будут обращаться к приложению, находящемуся под защитой службы AD RMS, только при нахождении во внутренней сети, то клиенты смогут при необходимости получать доступ к шаблонам непосредственно из общей папки. В таком 8 случае для применения шаблонов политик прав всем пользователям службы AD RMS необходимо предоставить доступ на чтение к общей папке. С другой стороны, шаблоны можно скопировать из общей папки на клиентские компьютеры. В итоге каждый пользователь сможет обращаться к шаблонам, не подключаясь к сети – например, с портативного компьютера в командировке или с другого мобильного устройства. Так как метод, предполагающий копирование шаблонов на клиентские компьютеры, является наиболее популярным, именно о нем и пойдет речь в настоящем руководстве. Создание нового шаблона политики прав службы AD RMS 1. Откройте консоль администрирования службы управления правами Active Directory. Для этого нажмите кнопку Start, а затем последовательно выберите пункты Administrative Tools (администрирование), и Active Directory Rights Management Services (служба управления правами Active Directory). 2. В консоли администрирования службы управления правами Active Directory выберите запись LocalHost. 3. В секции Tasks (задачи) области результатов выберите пункт Manage rights policy templates (управление шаблонами политики прав). 4. Чтобы разрешить экспорт шаблонов политик прав службы AD RMS, нажмите кнопку Properties в области Actions (действия). 5. Установите флажок Enable export (разрешить экспорт), введите путь \\adrmssrv\ADRMSTemplates в поле Specify templates file location (UNC) (расположение файла шаблонов (UNC)), после чего нажмите кнопку OK. 6. Чтобы открыть мастер создания распространяемых шаблонов политик прав, нажмите кнопку Create Distributed Rights Policy Template (создать распространяемый шаблон политики прав) в области Actions. 7. Нажмите кнопку Add. 8. Выберите язык шаблона политики прав в списке Language (язык). 9. Введите CPANDL.COM CC в поле Name (имя). 10. Введите строку CPANDL.COM Company Confidential в поле Description (описание), после чего нажмите кнопку Add. 11. Нажмите кнопку Next. 12. Нажмите кнопку Add, введите адрес employees@cpandl.com в поле The e-mail address of a user or group (адрес электронной почты пользователя или группы), а затем нажмите кнопку OK. 13. Чтобы предоставить группе EMPLOYEES@CPANDL.COM доступ на чтение ко всем документам, созданным с помощью данного шаблона политики прав службы AD RMS, установите флажок View (просмотр). 14. Нажмите кнопку Finish (готово). 9 Этап 3. Настройка клиента службы AD RMS Клиент службы AD RMS входит в стандартную поставку ОС Windows Vista. Предыдущие версии этого клиента, предназначенные для других операционных систем семейства Windows, можно загрузить из Интернета. Предполагается, что кластер службы AD RMS уже настроен в тестовой среде. Кроме того, для обеспечения доступности шаблонов политик прав необходимо провести дополнительную настройку рабочей станции клиента службы AD RMS. Для этого необходимо скопировать шаблоны политик прав службы AD RMS на клиентский компьютер и создать параметр реестра, указывающий на расположение этих шаблонов. Клиент службы AD RMS сможет находить шаблоны политик прав службы AD RMS только после создания параметра реестра и локальной копии шаблонов. Для решения этих задач перед организацией защиты документа необходимо выполнить следующие действия. Обеспечение доступности шаблонов службы AD RMS для пользователей компьютера ADRMS-CLNT 1. Войдите в систему ADRMS-CLNT с применением учетных данных пользователя Nicole Holliday (nhollida@cpandl.com). 2. Нажмите кнопку Start, введите команду regedit.exe в поле Start Search (начать поиск), а затем щелкните значок regedit.exe в папке Programs (программы). 3. Раскройте раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM Примечание Если указанный компонент управления цифровыми правами (DRM) не был создан ранее, его необходимо создать сейчас. 4. Выделите раздел DRM, откройте меню Edit (правка), выберите пункт New (создать), затем – Expandable String Value (расширяемый строковой параметр), после чего введите параметр AdminTemplatePath. 5. Дважды щелкнув параметр реестра AdminTemplatePath, введите в поле Value data (значение) путь %UserProfile%\AppData\Microsoft\DRM\Templates, где %UserProfile% является псевдонимом пути C:\Users\<имя_пользователя>. Нажмите кнопку OK. 6. Закройте редактор реестра. 7. Убедитесь в том, что путь C:\Users\nhollida\AppData\Microsoft\DRM\Templates\ не содержит ошибок. В противном случае создайте недостающие папки. 8. Нажмите кнопку Start, введите путь \\ADRMS-SRV\ADRMSTemplates в поле Start Search, а затем нажмите клавишу ВВОД. 9. Скопируйте экспортированные шаблоны политик прав службы AD RMS из общей 10 папки \\ADRMS-SRV\ADRMSTemplates в папку C:\Users\nhollida\AppData\Microsoft\DRM\Templates. Примечание Если шаблоны политик прав службы AD RMS не требуются при работе в автономном режиме, копировать их на клиентский компьютер не нужно. Этап 4. Проверка работоспособности службы AD RMS на компьютере ADRMSCLNT Для проверки работоспособности службы AD RMS следует войти в систему с применением учетных данных пользователя Nicole Holliday, а затем ограничить разрешения на доступ к документу Microsoft Word 2007 при помощи шаблона политики прав службы AD RMS, созданного согласно предшествующим инструкциям настоящего руководства. Эта политика позволяет сотрудникам компании CP&L просматривать документ, но запрещает им редактировать, распечатывать и копировать его. Всем прочим пользователям не предоставляется никаких прав доступа к документу. Впоследствии вам следует войти в систему с применением учетных данных пользователя Stuart Railson и убедиться в том, что этот пользователь, входящий в группу «Employees» в компании CP&L, не в состоянии распечатать документ. Ограничение разрешений на доступ к документу Microsoft Word 2007 1. Войдите в систему ADRMS-CLNT с применением учетных данных пользователя Nicole Holliday (nhollida@cpandl.com). 2. Нажмите кнопку Start, выберите All Programs (все программы), Microsoft Office и Microsoft Office Word 2007. 3. Введите фразу Сотрудники CP&L не могут распечатывать этот документ в пустом документе, нажмите кнопку Microsoft Office, выберите Finish, затем Restrict Permission (ограничить разрешение) и, наконец, Restrict Permission as (ограничить разрешение как). Указав адрес nhollida@cpandl.com в диалоговом окне Select User (выбор пользователя), нажмите кнопку OK. 4. После открытия диалогового окна Permission (разрешение) установите флажок Restrict permission to this document (ограничить разрешения на работу с документом), выберите пункт Read (чтение) и введите имя пользователя или группы, которой предполагается предоставить выбранный вид разрешения. В нашем случае следует ввести адрес employees@cpandl.com, а затем дважды нажать кнопку OK. 5. Нажмите кнопку Microsoft Office, выберите Save As (сохранить как) и сохраните 11 файл под именем \\ADRMS-DB\public\ADRMS-TST.docx. 6. Выйдите из системы. Далее войдите в систему под именем Stuart Railson и откройте документ ADRMS-TST.docx. Просмотр защищенного документа 1. Войдите в систему с применением учетных данных пользователя Stuart Railson (srailson@cpandl.com). 2. Нажмите кнопку Start, выберите All Programs, Microsoft Office и Microsoft Office Word 2007. 3. Нажмите кнопку Microsoft Office, выберите команду Open (открыть), перейдите в папку \\ADRMS-DB\public и двойным щелчком мыши откройте файл ADRMSTST.docx. На экране появится следующее сообщение: "Permission to this document is currently restricted. Microsoft Office must connect to https://adrmssrv.cpandl.com/_wmcs/licensing to verify your credentials and download your permission." («Разрешение на работу с данным документом ограничено. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com:443/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях»). 4. Нажмите кнопку ОК. На экране появится следующее сообщение: "Verifying your credentials for opening content with restricted permissions…" («проверка учетных данных для открытия документа с ограниченными разрешениями»). 5. После открытия документа нажмите кнопку Microsoft Office. Обратите внимание на то, что команда Print (печать) недоступна. 6. Щелкните запись View Permission (просмотреть разрешения) в панели сообщений. Как видите, к документу применен шаблон политики прав службы AD RMS. 7. Чтобы закрыть диалоговое окно My Permissions (мои разрешения), нажмите кнопку OK. Затем закройте программу Microsoft Word. Вы успешно выполнили развертывание шаблонов политик прав службы AD RMS и ознакомились с их возможностями на простом примере применения одного из таких шаблонов к документу Microsoft Word 2007. Впоследствии в рамках подготовленной инфраструктуры путем дополнительной настройки и тестирования вы сможете освоить другие возможности службы AD RMS. 12