3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdfк 818 |
Службы управления правами Active Directory |
Глава 16 |
ВНИМАНИЕ! Группы администрирования AD RMS
Для визуализации административных групп, созданных в AD DS, эти группы необходимо добавить в соответствующие локальные группы на сервере. Б производственной среде этот дополнительный шаг нужно выполнить для завершения установки.
Резюме
•Службы AD RMS обеспечивают поддержку з а щ и т ы д а н н ы х путем управ -
ления правами. Используется сложная и н ф р а с т р у к т у р а , |
д л я к о т о р о й не- |
|
обходимы дополнительные службы, такие как AD |
DS, S Q L Server, I n t e r n e t |
|
Information Services и потенциально AD FS — в |
случае |
р е а л и з а ц и и парт - |
нерских связей между лесами. |
|
|
•Для доступа к службам AD RMS пользователи д о л ж н ы располагать учетной
записью с электронной почтой в домене AD DS.
• |
Для защиты содержимого пользователи т а к ж е д о л ж н ы |
р а б о т а т ь с п р и л о - |
||
|
жениями AD RMS. Такими п р и л о ж е н и я м и могут быть |
средства с о з д а н и я |
||
|
документов, например Office Word, Outlook, P o w e r P o i n t , I n t e r n e t Explore, |
|||
|
настраиваемые приложения AD RMS. Без такого п р и л о ж е н и я пользователь |
|||
|
не сможет просматривать защищенное с о д е р ж и м о е и р а б о т а т ь с ним . |
|||
• |
В Windows Vista по умолчанию включен к л и е н т AD |
R M S , |
однако в W i n - |
|
|
dows ХР необходимо загрузить и у с т а н о в и т ь к л и е н т |
R M S |
с п а к е т о м об- |
|
|
новлений SP2. |
|
|
|
Закрепление материала
Приведенный далее вопрос предназначены д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х на занятии 1 (этот вопрос содержится также на с о п р о в о д и т е л ь н о м к о м п а к т - диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Администратор в домене contoso.com у с т а н о в и л AD R M S , и т е п е р ь ему нужно отконфигурировать эти службы. Установка б ы л а в ы п о л н е н а коррек - тно, тем не менее в начале работы с сервером AD R M S получено сообщение об ошибке, представленное на рисунке. В чем может з а к л ю ч а т ь с я п р и ч и н а проблемы?
A. На сервере не запущены службы AD R M S .
Б. |
Сертификат сервера недействителен, |
и сервер ие м о ж е т в ы п о л н и т ь |
|
запуск. |
|
B. Сервер не является членом домена AD |
DS. |
|
Г. |
Учетная запись не располагает соответствующими р а з р е ш е н и я м и для |
|
|
управления AD RMS . |
|
к 820 |
Службы управления правами Active Directory |
Глава 16 |
• Четные записи пользователей необходимо подготовить д л я интеграции
с AD RMS.
•Для организации следует подготовить шаблоны политики, которые улучшат защиту несанкционированного доступа для пользователей.
и Следует ознакомиться с различными клиентами AD RMS, чтобы обеспечивать техническую поддержку в случае неполадок у пользователей.
•Чтобы корректно выполнить операции службы AD RMS, необходимо обеспечить техническую поддержку трех баз данных.
После выполнения всех этих операций развертывание кластера AD R M S будет завершено.
Изучив материал этого занятия, вы сможете:
^Конфигурировать URL-адреса экстрасетей,
^Выполнять подготовку к интеграции с партнерами. Использовать сертификаты AD RMS.
S Подготовить учетные записи пользователей для AD RMS. s Подготовить политики исключения.
/ Использовать шаблоны политики. J Работать с базами данных AD RMS.
Продолжительность занятия — около 30 мин.
Настройка AD RMS
В отличие от служб управления правами Windows ( W i n d o w s Rights |
Manage- |
ment Services), конфигурация AD R M S настраивается с п о м о щ ь ю |
к о н с о л и |
ММС, которая интегрируется в Диспетчер сервера (Server Manager), а также доступна как независимая консоль в средстве удаленного администрирования сервера RSAT (Remote Server Administration Tools). С помощью данной консоли можно выполнить все задачи по завершению настройки конфигурации .
К СВЕДЕНИЮ Настройка AD RMS
Более подробная информация о настройке AD RMS содержится по адресу http:// technet2.microsoft.com/windowssemer2008/en/library/73829489-45f1-415b-90ab- 061a263d1ef61033.mspx?mfr-tive.
Создание URL экстрасети
Чтобы расширить инфраструктуру AD R M S для мобильных пользователей или сотрудников удаленного офиса вне внутренней сети, необходимо отконфигурировать URL экстрасети.
1. Войдите иа сервер — член корневого кластера, используя учетные данные группы Администраторы предприятия службы AD R M S (AD R M S Enterprise Administrators).
2.В категории Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).
Занятие 2 Настройка и использование служб управления правами Active Directory |
821 |
3. Назверпите узел Р о л и \ С л у ж б ы управления правами Active Directory\i«<*_ сервера (Roles\Active Directory Rights Management Services\имя_сервера).
4. Щелкните правой кнопкой мыши имя сервера и выполните команду Свойства (Properties) .
5. Перейдите на вкладку URL-адреса кластера (Cluster.URLs).
6. Включите опцию URL-адреса экстрасети (Extranet URLs) и добавьте соответствующие данные U R L для лицензирования (Licensing) и сертификации (Certification) .
Эти U R L - а д р е с а д о л ж н ы указывать на установку IIS в экстрасети и не д о л ж н ы изменяться. Д л я URL-адресов также необходимо выполнить регистрацию в DNS. Используйте шифрование SSL для защиты коммуникаций через п о д к л ю ч е н и я H T T P или H T T P S . И наконец, не забудьте создать соответствующие виртуальные каталоги для содержания данных AD RMS.
7. Щ е л к н и т е О К , чтобы закрыть диалоговое окно и применить изменения. URL - адреса экстрасети готовы.
Настройка политик доверия
Хотя поддержку федерации нельзя включить, пока не будет реализована рабочая инфраструктура AD FS, вы можете изучить различные модели AD RMS, п о д д е р ж и в а ю щ и е федерацию политик DRM . Службы AD RMS, как правило, поддерживают четыре модели доверия.
•Д о м е н ы доверенных пользователей позволяют кластеру AD RMS обрабатывать запросы других кластеров AD RMS, локализованных в различных лесах AD DS. Д о м е н ы доверенных пользователей добавляются путем импорта сертификата лицензиара сервера из кластера AD RMS, которому вы хотите доверять, в ваш собственный кластер.
•Д о в е р е н н ы е д о м е н ы публикации позволяют вашему кластеру AD RMS выдавать лицензии на использование содержимого, защищенного еще одним кластером AD RMS . Для создания доверенного домена публикации необходимо импортировать сертификат SLC кластера публикации вместе с его закрытым ключом в ваш собственный кластер.
•Служба Windows Live ID позволяет пользователям с кодом Windows Live ID (так называемый паспорт Microsoft (Microsoft Passport)) применять со-
держимое с защитой от несанкционированного доступа, но не создавать его.
•Федеративное доверие устанавливается с помощью AD FS и расширяет
операции кластера AD R M S в лесах, с которыми установлено федеративное доверие.
Все эти типы доверия расширяют полномочия AD RMS за пределы леса организации.
К СВЕДЕНИЮ |
Создание доверия AD RMS |
Информация о работе с доверием AD RMS содержится по адресу http://technet2. microsoft.com/windowsserver2008/en/library/67ds9efe-28f6-422e-b0e3-e85da40a04f01033. mspx7mfr-true.
к 822 |
Службы управления правами Active Directory |
Глава 16 |
Экспорт сертификата лицензиара сервера
Для работы с доверенными доменами публикации или доверенными доменами пользователей необходимо экспортировать сертификат лицензиара сервера из корневого кластера, для которого устанавливается доверие. Экспортированные сертификаты будут применяться для установления доверия. Чтобы выполнить данную процедуру, нужно быть членом локальной группы Администраторы предприятия службы AD RMS (AD R M S Enterprise Administrators) или ее аналога.
1. Войдите на сервер — член корневого кластера, используя учетные данные группы Администраторы предприятия службы AD R M S ( A D R M S Enter - prise Administrators).
2.В категории Администрирование (Administrative Tools) запустите Диспет - чер сервера (Server Manager).
3. Разверните узел Роли\Службы управления правами Active Directory\tww _ сервера (Roles\Active Directory Rights Management Services \ и м я _ с е р в е р а ) .
4. Щелкните правой кнопкой имя сервера и выполните команду Свойства (Properties).
5.Перейдите на вкладку Сертификат сервера (Server Certificate) и щелкните кнопку Экспорт сертификата (Export Certificate).
6. В диалоговом окне Экспортировать сертификат как ( E x p o r t Certificate As) введите имя, например имя кластера, и выберите размещение (папку Доку - менты (Documents))'для создания файла .bin. Щ е л к н и т е кнопку Сохранить (Save).
7.Закройте диалоговое окно Свойства (Properties).
Обеспечьте защиту этого сертификата, поскольку он управляет доступом к кластеру AD RMS.
Подготовка сертификатов AD RMS
Сертификаты создаются по умолчанию во время установки AD RMS . Однако на основе политик защиты от несанкционированного доступа необходимо отконфигурировать срок действия сертификата. При его администрировании рекомендуется выполнить четыре операции:
•указать срок действия сертификатов прав учетной записи;
•включить сертификацию для мобильных устройств;
•включить сертификацию служб сервера;
•проверить подлинность клиентов с помощью смарт-карт.
Обязательно нужно указать срок действия сертификата RAC. Другие операции считаются опциональными, и их выполнение зависит от политик защиты от несанкционированного доступа. Для того чтобы модифицировать срок действия сертификата RAC, выполните следующее.
1. Войдите иа сервер — член корневого кластера, используя учетные данные группы Администраторы предприятия службы AD R M S (AD R M S Enterprise Administrators).
Занятие 2 Настройка и использование служб управления правами Active Directory |
823 |
2.В категории Администрирование (Administrative Tools) запустите Дисис-т- чер сервера (Server Manager).
3. Разверните узел Р о л и \ С л у ж б ы управления правами Active Directory\tooi сервера (Roles\Active Directory Rights Management Бчттсиб\имм_сераера),
А. На панели сведений щелкните Изменить стандартный срок действия RAC ( C h a n g e Standard RAC Validity Period).
5.Перейдите на вкладку Стандартный сертификат RAC (Standard RAC) и ука-
жи т е число дией в секции Срок действия стандартного сертификата RAC (Standard RAC Validity Period).
6.Перейдите на вкладку Временный сертификат RAC (Temporary RAC) н ука- ж и т е число м и н у т в поле Срок действия временного сертификата RAC (Temporary RAC Validity Period).
7. Щ е л к н и т е OK, чтобы закрыть диалоговое окно.
Отметим, что по умолчанию стандартные сертификаты RAC действительны 365 дней, а временные сертификаты RAC — лишь 15 мин. Вы можете увеличить срок действия временных RAC, а вот для стандартного сертификата RAC одного года более чем достаточно.
Вслучае использования федеративного доверия срок действия RAC моди-
фи ц и р у е т с я в узле Поддержка удостоверений федерации (Federated Identity Support), а не в узле корневого кластера.
К СВЕДЕНИЮ |
Управление сертификатами |
Информацию о работе с другими типами сертификатов можно найти по адресу http:// technet2.microsoft.com/windowsserver2008/en/library/5eb527a9-34d8-464/-9735- e7dcd2613ffc1033.mspx.
Подготовка политик исключений
О п р е д е л я я области реализации политики защиты от несанкционированного доступа, можно отконфигурировать политики исключений или политики, исключающие пользователей и компьютеры из реализации AD RMS. Политики исключений создаются д л я таких объектов идентификации, как пользователи, приложения, почтовые я щ и к и и операционные системы Windows. При этом список указанных членов исключения помещается в лицензию на использование содержимого. Исключенный объект можно удалить из списка исключений, однако после этого он уже не будет добавляться в лицензии на использование. Существующее содержимое будет по-прежнему включать этот объект, поскольку по умолчанию лицензии на использование выдаются только один раз. Поэтому при подготовке списка исключений следует принять во внимание следующие рекомендации.
•По возможности назначайте исключения, которые будут оставаться неизменными.
•В случае изменения своего решения подождите, пока завершится срок действия существующих лицензий на использование, и только после этого удаляйте объекты нз списка исключений.
к 824 |
Службы управления правами Active Directory |
Глава 16 |
• Использование списков исключений в случае взлома учетных данных одного из поддерживаемых объектов, например пользователя, подвергает угрозе защищенное содержимое.
При создании списка исключений используйте с л е д у ю щ у ю процедуру (в данном случае из структуры AD R M S исключаются пользователи) .
1. Войдите на сервер, являющийся членом корневого кластера, используя учетные данные группы Администраторы предприятия службы AD R M S (AD RMS Enterprise Administrators).
2.В категории Администрирование (Administrative Tools) запустите Диспет - чер сервера (Server Manager).
3. Разверните узел Роли\Службы управления правами Active D i r e c t o r y \ t w ^ _ сервера (Roles\Active Directory Rights Management Services \ и м я _ с е р в е р а ) .
4. На панели Действия (Actions) щелкните Создать исключение пользователя (Enable User Exclusion). Откроется исключение.
5. Для исключения пользователей на панели Д е й с т в и я (Actions) щ е л к н и т е команду Исключить пользователя (Exclude User). З а п у с т и т с я мастер исключения учетной записи (Exclude User Account Wizard).
Вы можете исключить пользователя с помощью его адреса электронной почты или открытого ключа. Первый способ предназначен д л я пользователей в каталоге AD DS (при этом лучше использовать группы, а не исключать пользователей по отдельности), а второй — для внешних пользователей без учетной записи в каталоге AD DS.
6. Выберите соответствующий метод исключения, локализовав учетную запись пользователя или строку открытого ключа, а затем щелкните Далее (Next).
7. Щелкните кнопку Готово (Finish), чтобы закрыть мастер.
Для удаления исключения используется тот же узел. Д л я других типов исключения тоже применяется этот процесс.
Контрольные вопросы
1.Сколько корневых кластеров можно развернуть в лесу доменных служб Active Directory?
2.В чем разница между корневым кластером и кластером лицензирования,
икакой кластер целесообразнее использопать?
3.Какие роли делегирования поддерживает AD RMS?
Ответы на контрольные вопросы
1. В лесу AD DS можно развернуть лишь один корневой кластер AD RMS. Дело в том, что во время установки AD RMS создается точка подключения службы (SCP), а в лесу может существовать только одна точка SCP.
Занятие 2 Настройка и использование служб управления правами Active Directory 848
2.Корневой кластер предоставляет все возможности AD RMS. а кластер лицензирования управляет только лицензиями. Кластеры лицензирования предназначены для поддержки роли корневого кластера, однако по возможности следует развертывать только корневые кластеры. Таким образом, в сети создается один кластер AD RMS, упрощающий управление и предоставляющий все необходимые функции. Кластеры лицензирования используются в редких случаях, когда корневые кластеры развертывать непрактично.
3.Службы AD RMS поддерживают четыре роли делегирования
•Администраторы предприятия службы AD RMS (AD RMS Enterprise
Administrators) Осуществляется управление всеми аспектами AD RMS.
•Администраторы шаблона AD RMS (АО RMS Template Administrators) Создание и модификация шаблонов политики защиты от несанкционированного доступа.
•Аудиторы службы управления правами Active Directory (AD RMS
Auditors) Предоставляется право на чтение журналов AD RMS.
• Служба AD RMS (AD RMS Service) Предоставляет соответствующие права доступа учетной записи службы AD RMS.
К СВЕДЕНИЮ Политики исключений
Более подробная информация о политиках исключения содержится по адресу http://technet2.microsoft.eom/windowsserver2008/en/librniy/3n612201-7302-419b-86b2- 3bde6d448d4e1033.mspx?mfr-true.
Подготовка учетных записей и прав доступа
Чтобы пользователи могли работать с AD RMS, нужно подготовить их учетные записи. При этом AD RMS включает учетную запись в свою базу данных. Однако при удалении учетной записи AD RMS отключает эту учетную запись, но не удаляет ее автоматически из базы данных. Чтобы в базе данных не накапливалась устаревшая информация, в SQL Server следует создать хранимую процедуру, которая автоматически удаляет учетную запись, или создать сценарий, выполняющий эту операцию по расписанию.
Кроме того, наверняка понадобится создать особую группу суперпользователей, в которую будут входить операторы, располагающие полным доступом ко всему содержимому, защищенному службами AD RMS. Члены этой группы, подобно агентам восстановления, используемым для работы с шифрующей файловой системой EFS (Encrypting File System), будут м о д и ф и ц и р о в а т ь дан-
ные, управляемые инфраструктурой AD RMS, или восстанавливать все данные, в том числе данные пользователей, покинувших организацию. На эту роль, как правило, назначается универсальная группа из каталога. Прежде чем включить
к 849 Службы управления правами Active Directory |
Глава 16 |
группу суперпользователей в AD RMS, подготовьте универсальную группу. Группа суперпользователей AD R M S настраивается следующим образом.
1. Войдите на сервер, являющийся членом корневого кластера, используя учетные данные группы Администраторы предприятия службы AD R M S (AD RMS Enterprise Administrators).
2.В категории Администрирование (Administrative Tools) запустите Диспет -
чер сервера (Server Manager).
3. Разверните узел Ролн\Службы управления правами Active Directory\!ww/_ серве/м\Политикн безопасности (Roles\Active Directory Rights Management Services\tMi*_cepee/M\Security Policy).
4. Ma панели сведений щелкните команду Изменить параметры суперпользователей (Change Super User Settings).
5. Ma панели Действия (Actions) щелкните команду Включить суперпользователей (Enable Super Users).
6.Ma панели сведений щелкните команду Изменить группу суперпользова - телей (Change Super Users Group) для просмотра таблицы свойств группы сунсриользователей.
7.Введите адрес электронной почты универсальной группы распространения
с электронной почтой в лесу или используйте кнопку О б з о р (Browse), чтобы локализовать эту группу.
8. Щелкните ОК, чтобы закрыть окно свойств.
Члены этой группы теперь располагают доступом ко всему содержимому AD RMS. Рекомендуется назначать па эту роль сотрудников с высокой степенью доверия. Из соображений безопасности группу Супёрпользователи (Super Users) можно отключить и включать ее только по необходимости.
К СВЕДЕНИЮ |
Подготовка учетных записей |
Более подробную информацию о подготовке учетных записей можно найти по адресу htlp://technet2 Microsoft Xom/wmdowsserver2008/en/library/5d3a2ead-319e-'f9e7-a1b4- e3f69a 1a4f1b1033.mspx?mfr-true.
Подготовка шаблонов политики
Для работы пользователей с защищенным содержимым необходимо подготовить шаблоны политик, которые помогают сэкономить время пользователей и гарантируют поддержку стандартов, заданных в политиках з а щ и т ы от несанкционированного доступа. Вначале создается шаблон, а затем указывается его расположение.
Шаблоны хранятся, как правило, в общих папках в сети. Чтобы содержимое общей папки с шаблонами было доступным для локальных пользователей, следует отконфигурировать параметры автономной папки. Кроме того, использование аптономных папок гарантирует, что модифицируемые, добавляемые или обновляемые шаблоны будут автоматически обновляться на клиентском компьютере при следующем подключении пользователя к сети, Однако авто-
Занятие 2 Настройка и использование служб управления правами Active Directory |
827 |
н о м н ы с п а п к и не будут работать для внешних пользователей, не располагающих доступом к внутренней сети. Поэтому следует разработать альтернативный способ д о с т а в к и шаблонов, чтобы внешние пользователи могли создавать содержимое . Пользователям, которые имеют доступ к предварительно созданному содержимому, не требуется доступ к шаблонам политики. Для того чтобы
создать ш а б |
л о н |
п о л и т и к и , в ы п о л н и т |
е следующее. |
1. В о й д и т е |
на |
сервер, я в л я ю щ и й с я |
членом корневого кластера, используя |
у ч е т н ы е д а н н ы е группы Администраторы шаблонов службы AD RMS (AD R M S Templates Administrators) .
2. В категории А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспетчер сервера (Server Manager) .
3. Р а з в е р н и т е узел Р о л и \ С л у ж б ы управления правами Active Directory\tw/_ с е р в е / ? а \ Ш а б л о и ы п о л и т и к прав доступа (Roles\Active Directory Rights
M a n a g e m e n t |
Services\tw»(_ce/wepa\Rights Policy Templates). |
|
|||
4. В у з л е |
AD |
R M S к о н с о л и в ы б е р и т е |
контейнер Шаблоны политик |
прав |
|
доступа |
( R i g h t s Policy |
Templates). |
|
|
|
5. На п а н е л и Д е й с т в и я |
( A c t i o n s ) щелкните команду Создать шаблон |
рас- |
|||
п р е д е л е н н о й |
п о л и т и к и прав (Create |
Distributed Rights Policy Template). |
|||
З а п у с т и т с я |
мастер. |
|
|
|
|
6. Ha с т р а н и ц е Д о б а в л е н и е сведений о шаблоне (Add Template Identification I n f o r m a t i o n ) щ е л к н и т е кнопку Добавить (Add).
7. В ы б е р и т е я з ы к , |
введите и м я и описание нового шаблона, щелкните кнопку |
Д о б а в и т ь ( A d d ) , |
а затем щелкните Далее (Next). |
8. На с т р а н и ц е Д о б а в л е н и я прав пользователя (Add User Rights) выполните т а к и е действия .
A. |
Щ е л к н и т е кнопку Добавить (Add), чтобы выбрать пользователя или |
|
группу д л я предоставления доступа к шаблону. |
|
Если выбрать группу Все (Everyone), запрос лицензии иа использование |
|
с о д е р ж и м о г о сможет выполнять любой пользователь. Чтобы выбрать |
|
к о н к р е т н у ю группу, используйте кнопку Обзор (Browse). |
Б. |
В с е к ц и и Пользователи и права (Users And Rights) нужно вначале вы- |
|
брать пользователя, а затем назначить права этому отдельному пользо- |
|
вателю или группе на панели Права пользователя (Rights For User). Для |
|
п о л ь з о в а т е л я также можно создавать настраиваемые права доступа. |
|
О т м е т и м , что по умолчанию выбрано право Предоставить полный до- |
|
ступ владельцу (автору) (Grant Owner (Author) Full Control). |
B. |
В поле U R L запроса прав доступа (Rights Request URL) введите соот- |
|
ветствующий URL . По этому адресу пользователи смогут запрашивать |
|
д о п о л н и т е л ь н ы е права доступа. |
9. Щ е л к н и т е Д а л е е (Next),
10. I-Ia странице Укажите политику срока действия (Specify Expiration Policy) выберите одну из доступных опций и введите значение в днях. Чтобы срок д е й с т в и я этого содержимого автоматически заканчивался по истечении