Служба AD RMS может предоставлять Сертификаты учетной записи управления правами и лицензии на использование приложениям AD RMS под управлением Windows Mobile 6. При настройке мобильных устройств необходимо учесть следующие моменты:

  • Списки управления доступом на уровне пользователей (DACL) в конвейерах AD RMS по умолчанию используют наиболее безопасные параметры. При использовании мобильных служб AD RMS списки DACL необходимо изменить.

  • Большинство мобильных служб используют дополнительные функции доменных служб Active Directory, которые доступны только в том случае, если все контроллеры домена доменных служб Active Directory работают под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. При использовании любых мобильных служб рекомендуется, чтобы на всех контроллерах домена была установлена система Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2, а также чтобы был установлен режим работы домена и леса доменных служб Active Directory не ниже Windows Server 2003.

При установке AD RMS по умолчанию список DACL механизма сертификации мобильных устройств AD RMS ограничен. Это означает, что приложение не может получать сертификаты и лицензии для пользователей. Однако, если на этих компьютерах установлено приложение AD RMS, их можно включить в систему AD RMS путем настройки списков DACL в механизме сертификации мобильных устройств AD RMS.

Мобильные приложения AD RMS могут подключаться к серверу сертификации мобильных устройств AD RMS, используя файл MobileDeviceCertification.asmx.

Примечание
При наличии нескольких серверов AD RMS в кластере AD RMS на каждом из них необходимо изменить список DACL в службе сертификации мобильных устройств.

Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Чтобы включить сертификацию мобильных устройств

  1. Откройте проводник и перейдите в папку, в которую были установлены службы IIS. По умолчанию используется папка %systemdrive%\Inetpub\wwwroot\_wmcs\Certification.

  2. Чтобы мобильные устройства могли получать Сертификат учетной записи управления правами, щелкните правой кнопкой мыши файл MobileDeviceCertification.asmx и выберите пункт Свойства.

  3. На вкладке Безопасность нажмите кнопку Добавить, а затем добавьте объект учетной записи пользователя мобильного приложения AD RMS и Группа службы управления правами Active Directory.

  4. В списках Разрешения групп установите флажок Разрешить для разрешений Чтение и Чтение и выполнение, а затем нажмите кнопку ОК.

    Примечание
    Если мобильные приложения AD RMS размещены на нескольких серверах, можно создать группу и добавить в нее все объекты-пользователи, а затем добавить эту группу в список управления доступом механизма сертификации.

  5. Перезапустите службы IIS с помощью команды IISRESET, чтобы применить изменения списков DACL в веб-службах. Выполните эти действия на каждом сервере в кластере AD RMS.

Дополнительные ссылки

  • Указание срока действия сертификата учетной записи службы управления правами
  • Включение сертификации служб сервера