درس دویست و سی و پنجم: تنظیمات مدیریتی AD RMS

تنظیمات مدیریتی AD RMS

آشنایی با کنسول AD RMS

در این درس قصد آشنایی با تنظیمات مدیریتی AD RMS را داریم و بهتر است که ابتدا نگاهی به کنسول AD RMS داشته باشیم. این کنسول را میتوان از طریق منوی Tools در کنسول Server Manager اجرا کرد. شکل کلی این کنسول را در ذیل مشاهده میکنید:

235-1 AD RMS Console

ابتدا در پنل چپ روی نام سرور راست کلیک کرده و به پنجره properties آن و تب هایش میرویم.

235-2 AD RMS Server properties-general tab

تب general حاوی اطلاعات کلی است. در قسمت administrative Contact مشخص کرده ایم تا مشکلات و مسائل این AD RMS Cluster از طریق ایمیل به اطلاع کدام کاربر رسانده شود. ما کاربر tony را مشخص کرده ایم.

در تب cluster URLs میتوانیم تنظیمات URL مربوط بadrms.ITPerfection.ir را چه برای کاربران داخلی شبکه ( اینترانت ) و چه برای کاربران خارج از شبکه ( اکسترانت ) مشخص کنیم.

235-3 AD RMS Server properties-cluster URL tab

در تب SCP ( نقطه اتصال سرویس های AD RMS و AD DS ) مشخصات اینکه SCP در کدام دامین ساخته شده است و اطلاعاتی راجع به URL آن می بینیم. میتوانیم URL را تغییر بدهیم که مستلزم داشتن اجازه تغییر در اشیای اکتیودایرکتوری است.

235-4 AD RMS Server properties-SCP tab

تب Proxy settings هم مربوط به داشتن ارتباط با دامین های دیگر و trust می باشد.

235-5 AD RMS Server properties-Proxy Settings tab

یکی از امکانات جالب این کنسول، امکان تعریف Super users در زیر گزینه Security Policies است. اعضای این گروه در مقابل تمام محدودیت های ایجاد شده توسط AD RMS روی فایل ها، مصون هستند و دسترسی فول کنترل روی فایل های فوق دارند. حتی اگر صاحب فایل ها به آنها این اجازه را نداده باشد. این قابلیت برای آن ایجاد شده است که اگر زمانی سرویس AD RMS بطور کامل از کار افتاد، لااقل یک نفر باشد که به همه فایل ها دسترسی داشته باشد. پس در زیر گزینه Security settings روی Super users راست کلیک کرده و آنرا enable می کنیم. سپس در پنجره properties همین گزینه میتوان گروه کاربری موردنظر را add کرد. گروه فوق باید در AD DS بصورت یک گروه Distributed بوده و حتما دارای E-mail Address باشد.

در زیر security Policies گزینه ای هم برای تغییر پسوردی که در هنگام راه اندازی ADRMS تعیین کرده بودیم وجود دارد به نام Cluster key password . به پنجره properties این گزینه می رویم و پسورد جدید را وارد می کنیم. البته همانطور که قبلا توضیح داده بودیم با این اقدام، سرویس ADRMS متوقف خواهد شد.

 

 

مدیریت Rights Policy Template ها

از Rights Policy Template ها میتوان برای ساده تر کردن اداره دسترسی ها استفاده کرد. بعنوان مثال فرض کنید قصد داریم template هایی پیکربندی کنیم که فقط قابلیت مشاهده محتویات فایل های Microsoft Word را فراهم کنند. پس از ایجاد Rights Policy Template ها کاربران میتوانند آنها را روی محتویات مورد نظر خود اعمال کنند.  در برنامه Word این Rights Policy Template ها را با استفاده از گزینه Protect Document در منوی File میتوان اعمال کرد. Rights Policy Template ها در AD RMS Database ذخیره میشوند و آنها را میتوان از طریق کنسول AD RMS یا دستوراتی در محیط Windows PowerShell پیکربندی کرد. برای ایجاد Rights Policy ها باید روال ذیل را طی کرد:

1- اجرای کنسول AD RMS و در پنل چپ کنسول باید روی Rights Policy Template کلیک کرد.

2- در پنل سمت راست یا Action روی Create Distributed Rights Policy Template Wizard کلیک میکنیم تا ویزارد فوق ظاهر شود.

3- در صفحه Add Template Identification Information روی دکمه add کلیک میکنیم برای مشخص کردن تنظیمات زبان این Rights Policy Template و تعیین نام برای این Template در کادر name

235-6 add template identification information page

4- در صفحه Add user rights روی دکمه add کلیک میکنیم تا مشخص سازیم که کدام گروه یا کاربر طبق این تمپلیت حق کار کردن با فایل ها را دارد. کاربر یا گروه فوق باید حتما e-mail address باشد. سپس در کادر Rights باید دسترسی های مجاز برای گروه یا کاربر فوق را مشخص کرد. حتی میتوان روی دکمه Create custom Right برای تعیین مجوزهای ریزتر کلیک کرد.

235-7 add user rights page

5- صفحه Specify Expiration Policy ظاهر میشود. در این صفحه میتوان شرایطی را تعیین کرد که در صورت وقوع آنها محتویات محافظت شده توسط این تمپلیت بصورت خودکار Expire شود. تنظیمات این صفحه کاملا اختیاری است. در همین صفحه میتوان ساخت Rights Policy Template را با کلیک روی دکمه Finish پایان داد و یا روی دکمه next کلیک کرد و به صفحه بعدی رفت.

235-8 Specify Expiration page

6- در صفحه Specify Extended Policy نیز میتوان چند تنظیم اختیاری دیگر نیز انجام داد.

235-9 extended Policy Page

بعنوان مثال با تیک زدن چکباکس Enable users to view …. میتوان اجازه داد تا کاربران بتوانند محتویات فایل های محافظت شده را در افزونه های Web Browser خود نیز مشاهده کنند. در این صفحه نیز میتوان ساخت Rights Policy Template را با کلیک روی دکمه Finish پایان داد و یا روی دکمه next کلیک کرد و به صفحه بعدی رفت.

7- در صفحه Specify Revocation Policy نیز میتوان گزینه های ابطال تمپلیت را پیکربندی کرد. چنانچه Revocation بوقوع افتد، فایل محاظت شده بر اساس فاکتورهایی چون Content ID یا User یا Application باز نخواهند شد. در این صفحه روی دکمه Finish کلیک میکنیم.

کار ساخت Rights Policy Template خاتمه یافت.

 

 

پیکربندی پالیسی های Exclusion

گاهی لازم است که کاربران یا App های بخصوصی از تنظیمات و محدودیت های AD RMS معاف و مستثنی باشند. پس سه نوع پالیسی برای این استثناها ( Exclusions ) وجود دارد:

  • Application : میتوان بعنوان مثال برنامه Microsoft Word را از AD RMS بلاک ( معاف) کرد.
  • User : مشخص کردن نام کاربری که باید از AD RMS معاف باشد.
  • Lockbox Version : میتوان کلاینت هایی که نسخه بخصوصی را اجرا میکنند از AD RMS معاف کرد. بعنوان مثال کلاینت های اجرا کننده Windows XP

برای ایجاد و مدیریت این Exclusion Policy ها باید روال ذیل را طی کرد. در این مثال قصد داریم که برنامه Microsoft Word را معاف کنیم.

1- در کنسول AD RMS در پنل سمت چپ روی Exclusion Policies کلیک میکنیم.

2- حال در پنل میانی روی Manage Application Exclusion List کلیک می نماییم.

3- حال در پنل Action روی Enable Application Exclusion کلیک میکنیم.

4- مجددا در پنل Action روی Exclude Application کلیک میکنیم. در پنجره Exclude Application اطلاعات ذیل را وارد میکنیم:

235-10 exclude application page

اکنون برنامه Word چنانچه یکی از نسخه های بین 14.0.0.0 تا 16.0.0.0 باشد از AD RMS معاف میگردد.

 

 

بکاپ گیری و بازیابی AD RMS

داشتن بکاپ از AD RMS اهمیت حیاتی دارد. چنانچه فایل های خود را توسط AD RMS محافظت کرده باشیم و سپس AD RMS Database از دسترسی خارج شود یا گواهینامه ها نابود شوند و …. خلاصه به هر دلیلی سرویس AD RMS از کار بیفتد دسترسی به فایل های محافظت شده دیگر میسر نخواهد بود.

مهمترین کامپوننت هایی که باید از انها بکاپ داشت به شرح ذیل میباشد:

1- گواهینامه ها و Private Key : بهترین راه حل اینست که از private key و گواهینامه های مرتباط با آن، گواهینامه هایی را روی یک کامپیوتر دیگر Export کرده و سپس کامپیوتر فوق را offline کنیم.

2- Database : توجه کنید که بکاپ full شامل دیتابیس های WID ( Windows Internal Database ) هست. اگر از SQL استفاده میکنیم هم باید در SQL Server از دیتابیس و instance های مربوط به AD RMS بکاپ تهیه کنیم. تهیه بکاپ در SQL Server بسادگی میسر است و آموزش های آن نیز براحتی در اینترنت یافت میشود.

3- template های پیکربندی شده: بهتر است Template ها را روی یک فولدر Share شده اکسپورت کرده و سپس از آنها به روش Copy-paste بکاپ تهیه کنیم.

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار