Настройка AD RMS на платформе Windows Server 2012 Essentials

В этой статье я расскажу о настройке AD RMS на платформе Windows Server 2012 Essentials.

Если коротко, то суть AD RMS в том, что подписанный документ может быть доступен кому угодно, но получить доступ к содержимому смогут только указанные люди.

Т.е. если злоумышленник получит документ по почте или на флешке, прочитать его он не сможет.

Также можно запретить редактирование и печать документа для определенной группы людей.

Установка отличается от аналогичной на Standard/Datacetner, что и послужило основанием для написания статьи.

Установим роль AD RMS, создадим учетную запись rms_svc с “вечным” паролем, который пользователь не может менять.

Т.к. наш сервер является контроллером домена, то учетка для AD RMS должна входить в группу доменных администраторов.

На нашем сервере установлен SQL 2012 SP1 Standard, и использовать бы будем новый инстанс в нем, а не WID.

Адрес кластера будет https://adrms.domain.name , соответственно в DNS нужно добавить CNAME которая сопоставит это имя с FQDN сервера:

109

В Диспетчере IIS создадим новый сайт, на порту 444:

113

Для подписи этого сайта запросим у ЦС сертификат по шаблону “Web Server” у нашего ЦС:

115

В итоге, будут такие параметры установки:

112

Затем необходимо создать политику, в которая внесет наш сервис в “безопасную зону”. Политика будет применяться на OU с пользователями.

117

118

Важно помнить, что у каждого участника обмена данными (будь то пользователи и ли группа) в AD должен быть указан email.

Проверим результат:

116

Как видете настройка проста, и на этом пожалуй все 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *