В этой статье я расскажу о настройке AD RMS на платформе Windows Server 2012 Essentials.

Если коротко, то суть AD RMS в том, что подписанный документ может быть доступен кому угодно, но получить доступ к содержимому смогут только указанные люди.

Т.е. если злоумышленник получит документ по почте или на флешке, прочитать его он не сможет.

Также можно запретить редактирование и печать документа для определенной группы людей.

Установка отличается от аналогичной на Standard/Datacetner, что и послужило основанием для написания статьи.

Установим роль AD RMS, создадим учетную запись rms_svc с «вечным» паролем, который пользователь не может менять.

Т.к. наш сервер является контроллером домена, то учетка для AD RMS должна входить в группу доменных администраторов.

На нашем сервере установлен SQL 2012 SP1 Standard, и использовать бы будем новый инстанс в нем, а не WID.

Адрес кластера будет https://adrms.domain.name , соответственно в DNS нужно добавить CNAME которая сопоставит это имя с FQDN сервера:

В Диспетчере IIS создадим новый сайт, на порту 444:

Для подписи этого сайта запросим у ЦС сертификат по шаблону «Web Server» у нашего ЦС:

В итоге, будут такие параметры установки:

Затем необходимо создать политику, в которая внесет наш сервис в «безопасную зону». Политика будет применяться на OU с пользователями.

Важно помнить, что у каждого участника обмена данными (будь то пользователи и ли группа) в AD должен быть указан email.

Проверим результат:

Как видете настройка проста, и на этом пожалуй все 🙂