В AD RMS службы сервера позволяют серверным приложениям AD RMS запрашивать Сертификаты учетной записи управления правами от имени других пользователей. Примером таких серверных приложений AD RMS является Microsoft Exchange Server 2007. При настройке серверных служб необходимо учитывать следующее.
- Списки управления доступом на уровне
пользователей (DACL) в конвейерах AD RMS по умолчанию
используют наиболее безопасные параметры. При использовании служб
сервера AD RMS списки DACL необходимо изменить.
- Если клиент AD RMS установлен на сервере
под управлением Windows Server 2003, Windows Server 2008
или Windows Server 2008 R2 и включена конфигурация
усиленной безопасности Internet Explorer, необходимо добавить
URL-адрес кластера AD RMS в зону безопасности Местная
интрасеть в Internet Explorer.
- Большинство серверов используют
дополнительные функции доменных служб Active Directory, которые
доступны только в том случае, если все контроллеры домена доменных
служб Active Directory работают под управлением Windows
Server 2003, Windows Server 2008 или Windows
Server 2008 R2. При использовании любых служб сервера
рекомендуется, чтобы на всех контроллерах домена была установлена
система Windows Server 2003, Windows Server 2008 или
Windows Server 2008 R2, а также чтобы был установлен
режим работы домена и леса доменных служб Active Directory не ниже
Windows Server 2003.
При установке AD RMS по умолчанию списки DACL механизма сертификации сервера AD RMS ограничены. Это означает, что приложение не может получать сертификаты и лицензии для пользователей. Однако, если на компьютерах таких пользователей установлено приложение AD RMS, их можно включить в систему AD RMS путем настройки списков DACL в механизме сертификации сервера AD RMS.
Серверные приложения AD RMS могут подключаться к службе сертификации сервера AD RMS, используя файл ServerCertification.asmx.
Примечание |
---|
При наличии нескольких серверов AD RMS в кластере AD RMS на каждом из них необходимо изменить список DACL в службе сертификации сервера. |
Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.
Чтобы включить сертификацию служб сервера
-
Откройте проводник и перейдите в папку, в которую были установлены службы IIS. По умолчанию используется папка %systemdrive%\Inetpub\wwwroot\_wmcs\Certification.
-
Чтобы службы сервера могли получать сертификаты учетной записи службы управления правами, щелкните правой кнопкой мыши файл ServerCertification.asmx и выберите команду Свойства.
-
На вкладке Группа безопасности нажмите кнопку Добавить, а затем добавьте объект учетной записи компьютера серверного приложения с поддержкой AD RMS и Группа службы управления правами Active Directory.
-
В списке разрешения для групп установите флажок Разрешить для разрешений Чтение и Чтение и выполнение , а затем нажмите кнопку ОК.
Примечание Если серверные приложения с поддержкой AD RMS размещены на нескольких серверах, можно создать группу и добавить в нее все объекты-компьютеры, а затем добавить эту группу в списки DACL механизма сертификации. -
Перезапустите службы IIS с помощью команды IISRESET, чтобы применить изменения списков DACL в веб-службах AD RMS.