Используя Служба управления правами Active Directory (AD RMS) и клиент AD RMS, можно улучшить стратегию обеспечения безопасности организации, защитив данные с помощью постоянных политик использования, сохраняемых вместе с данными даже при их перемещении. AD RMS можно использовать для защиты конфиденциальных данных, например финансовых отчетов, спецификаций продуктов, сведений о клиентах и сообщений электронной почты, от намеренного или случайного несанкционированного использования.

Сведения о AD RMS см. на странице службы управления правами Active Directory веб-сайта TechCenter по адресу http://go.microsoft.com/fwlink/?LinkId=80907 (на английском языке).

В приведенных ниже разделах содержатся дополнительные сведения о AD RMS, обязательных и дополнительных функциях AD RMS, а также об оборудовании и программном обеспечении, необходимом для работы AD RMS. В конце этой главы описано, как открыть консоль AD RMS и найти дополнительные сведения о AD RMS.

Что такое служба управления правами Active Directory?

В состав системы AD RMS входят сервер Windows Server® 2008 R2 с ролью сервера Служба управления правами Active Directory (AD RMS), управляющей сертификатами и лицензированием, сервер баз данных и клиент AD RMS. Последняя версия клиента AD RMS входит в состав операционных систем Windows® 7 и Windows Vista®. Развертывание системы AD RMS обеспечивает организации описанные ниже преимущества.

  • Защита конфиденциальных данных. Для более эффективной защиты конфиденциальных данных можно включить поддержку AD RMS в таких приложениях, как текстовые редакторы, почтовые клиенты и бизнес-приложения. Пользователи могут указывать, кому разрешено открывать, изменять, печатать, пересылать данные и выполнять с ними другие действия. Организации могут создавать настраиваемые шаблоны политик использования типа «Конфиденциально — только для чтения», которые можно применять непосредственно к данным.

  • Постоянная защита. AD RMS дополняет существующие средства защиты периметра, такие как брандмауэры и списки управления доступом (ACL), обеспечивая более эффективную защиту данных за счет блокирования прав использования в самом документа, контролируя использование данных даже после открытия документа получателями, для которых он предназначен.

  • Гибкая настраиваемая технология. Независимые поставщики и разработчики программного обеспечения могут включить поддержку AD RMS для приложений либо других серверов (например, систем управления содержимым или серверов порталов с системой Windows или другой операционной системой) с целью защиты конфиденциальных данных. Независимые поставщики программного обеспечения могут интегрировать защиту данных в серверные решения, такие как системы управления документами и записями, шлюзы электронной почты и системы архивирования, автоматизированные рабочие процессы и средства проверки содержимого.

Службы AD RMS включают средства разработки и отраслевые технологии безопасности, включая механизмы шифрования, сертификаты и средства проверки подлинности, помогающие создавать надежные решения для защиты данных. Для создания собственных решений AD RMS можно использовать пакет средств разработки программного обеспечения AD RMS.

Возможности службы управления правами Active Directory

Диспетчер серверов позволяет настроить указанные ниже компоненты AD RMS.

  • Служба управления правами Active Directory. Служба роли Служба управления правами Active Directory (AD RMS) необходима для установки компонентов AD RMS, используемых для публикации и использования содержимого, защищенного правами.

  • Поддержка федерации удостоверений. Поддержка федерации удостоверений — это дополнительная служба роли, позволяющая федеративным удостоверениям использовать защищенное правами содержимое с помощью служб федерации Active Directory.

  • Microsoft Federation Gateway Support . Шлюз Microsoft Federation Gateway — это служба удостоверений, работающая через Интернет и выполняющая функции посредника между организацией или предприятием и внешними службами, которые требуется использовать. Шлюз подключает пользователей и другие удостоверения к службе, с которой он работает, поэтому организации нужно управлять всего одной связью удостоверения и федерации, чтобы ее удостоверения могли получать доступ ко всем нужным службам Microsoft и основанным на них службам.

Требования к оборудованию и программному обеспечению

Службы AD RMS можно использовать на компьютерах с системой Windows Server 2008 R2. При установке роли сервера AD RMS устанавливаются необходимые службы, в частности службы IIS. AD RMS также использует лес доменных служб Active Directory и базу данных, например Microsoft SQL Server, которая может быть расположена либо на одном сервере с AD RMS, либо на удаленном сервере.

В приведенной ниже таблице представлены рекомендации и минимальные требования к оборудованию для запуска серверов Windows Server 2008 R2 с ролью сервера AD RMS.

Требование Рекомендация

Один процессор Pentium 4 с частотой 3 ГГц или выше

Два процессора Pentium 4 с частотой 3 ГГц или выше

512 МБ ОЗУ

1024 МБ ОЗУ

40 ГБ свободного места на жестком диске

80 ГБ свободного места на жестком диске

Примечание
Для варианта установки компонентов сервера в Windows Server 2008 и Windows Server 2008 для компьютеров на базе процессоров Itanium доступен ограниченный набор ролей сервера.

Для решения вопросов, связанных с оборудованием, и определения необходимых ресурсов сервера рекомендуется выполнить тестирование и пробные проекты в лабораторной среде с использованием данных о работе оборудования в производственной среде.

В приведенной ниже таблице представлены минимальные требования к программному обеспечению для запуска серверов Windows Server 2008 R2 с ролью сервера AD RMS. Некоторые требования можно выполнить, включив определенные функции в операционной системе. При установке роли сервера AD RMS выполняется соответствующая настройка этих функций, если они не были настроены ранее.

Программное обеспечение Требование

Операционная система

Windows Server 2008 R2

Файловая система

Рекомендуется использовать файловую систему NTFS

Обмен сообщениями

Служба очереди сообщений

Веб-службы

Службы IIS.

Необходимо включить ASP.NET.

Active Directory или доменные службы Active Directory

AD RMS необходимо установить в домене Active Directory, в котором расположены контроллеры домена с системой Windows Server 2000 с пакетом обновления 3 (SP3), Windows Server 2003, Windows Server® 2008 или Windows Server 2008 R2. Все пользователи и группы, использующие AD RMS для получения лицензий и публикации содержимого, должны иметь адрес электронной почты, настроенный в Active Directory.

Сервер баз данных

Для работы AD RMS требуется сервер баз данных, например Microsoft SQL Server 2005 или Microsoft SQL Server 2008, и поддержка хранимых процедур. Роль сервера AD RMS на компьютере с Windows Server 2008 R2 не поддерживает Microsoft SQL Server 2000.

Клиент с поддержкой AD RMS должен включать браузер или приложение (такое как Microsoft Word, Outlook или PowerPoint из пакета Microsoft Office 2007) с поддержкой AD RMS. Клиент с поддержкой службы AD RMS должен включать браузер или приложение (такое как Microsoft Word, Outlook или PowerPoint из пакета Microsoft Office 2007) с поддержкой службы AD RMS. Для создания содержимого, защищенного правами, в этих приложениях необходим пакет Microsoft Office Корпоративный 2007, Профессиональный плюс 2007 или Максимум 2007. Для обеспечения дополнительной защиты AD RMS можно использовать вместе с другими технологиями, например смарт-картами.

Системы Windows 7 и Windows Vista включают клиент AD RMS по умолчанию, однако в других клиентских операционных системах клиент службы управления правами необходимо устанавливать отдельно. Клиент службы управления правами с пакетом обновления 2 (SP2), который можно загрузить с веб-сайта центра загрузки Майкрософт, совместим с клиентскими операционными системами, выпущенными до Windows Vista и Windows Server 2008.

Дополнительные сведения об оборудовании и программном обеспечении, необходимом для работы AD RMS, см. в разделе, посвященном подготовке к установке службы управления правами Active Directory, в библиотеке технической документации по Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=84733) (на английском языке).

Установка службы управления правами Active Directory

После завершения установки операционной системы установить роли сервера можно с помощью Задачи начальной настройки или Диспетчер серверов. Чтобы установить AD RMS, выберите в списке задач пункт Добавить роли, а затем установите флажок Служба управления правами Active Directory.

Дополнительные сведения об установке и настройке AD RMS в тестовой среде см. в пошаговом руководстве по установке AD RMS (http://go.microsoft.com/fwlink/?LinkId=72134) (на английском языке).

Управление службой управления правами Active Directory

Для управления ролями сервера следует использовать консоль управления (MMC). Для управления AD RMS следует использовать консоль службы управления правами Active Directory. Чтобы открыть консоль службы управления правами Active Directory, выберите в меню Пуск пункт Администрирование, а затем — Служба управления правами Active Directory.

Дополнительные сведения

Дополнительные сведения о AD RMS см. в справочной системе сервера. Для этого откройте консоль службы управления правами Active Directory и нажмите клавишу F1 либо посетите страницу службы управления правами Active Directory на веб-сайте TechCenter (http://go.microsoft.com/fwlink/?LinkId=80907) (на английском языке).