Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?

Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 13 Active Directory-Rechteverwaltungsdienste (AD RMS)
Pfeil 13.1 Funktionsweise
Pfeil 13.2 Installation
Pfeil 13.2.1 Server-Installation
Pfeil 13.2.2 Feinkonfiguration
Pfeil 13.2.3 Vorlage für Benutzerrichtlinien erstellen
Pfeil 13.2.4 Gruppenrichtlinien
Pfeil 13.2.5 Client-Installation
Pfeil 13.3 Anwendung
Pfeil 13.3.1 Word-Dokument schützen
Pfeil 13.3.2 E-Mail schützen
Pfeil 13.4 Statistik
Pfeil 13.5 Abschlussbemerkung

Rheinwerk Computing - Zum Seitenanfang

13.2 Installation Zur nächsten Überschrift

Um die Rechteverwaltungsdienste nutzen zu können, gibt es sowohl Server- als auch Client-Komponenten, die installiert werden müssen.


Rheinwerk Computing - Zum Seitenanfang

13.2.1 Server-InstallationZur nächsten ÜberschriftZur vorigen Überschrift

Der Assistent für die Installation der Rechteverwaltungsdienste führt Sie durch mehr als zwölf Dialogseiten. Es gibt zwar keine wirklich aufregenden Probleme beim Durcharbeiten des Assistenten, allerdings ist der ein oder andere Punkt zumindest »besprechenswert«.

Hinweis

Bevor Sie mit der eigentlichen Installation beginnen, sollten Sie ein Zertifikat für den Computer bei Ihrer internen Zertifizierungsstelle anfordern: Der Assistent wird im Laufe des Installationsvorgangs danach fragen.

Die Kommunikation zwischen Clients und dem Rechteverwaltungsdienste-Server läuft über das HTTP-Protokoll ab, wobei eine Verschlüsselung des Datenstroms natürlich grundsätzlich empfehlenswert ist.

Falls Sie keine interne Zertifizierungsstelle aufgesetzt haben, ist eine Installation ohne Zertifikat möglich; dann wird der Datenverkehr zwischen Client und Server aber notwendigerweise nicht verschlüsselt sein. In einer Testumgebung kann man damit leben, in einer Produktivumgebung ist das zumindest unschön.

Um nun mit der Installation der Active Directory-Rechteverwaltungsdienste zu beginnen, wählen Sie im Server-Manager das Hinzufügen der gleichnamigen Rolle. Sie werden feststellen, dass es diverse abhängige Rollen und Features gibt, die dann ebenfalls auf dem Server benötigt werden – darunter auch der Webserver. Der Rechteverwaltungsserver ist also kein »kleines Progrämmchen«, das man »irgendwo mal einfach mitlaufen« lassen kann (Abbildung 13.4).

Der nächste Dialog fragt Sie, welche Rollendienste installiert werden sollen (Abbildung 13.5):

  • Der Active Directory-Rechteverwaltungsserver ist, wie der Name vermuten lässt, die eigentliche Kernkomponente – er wird also in jedem Fall benötigt.
  • Den Rollendienst Unterstützung für den Identitätsverbund benötigen Sie nur dann, wenn Sie über die AD-Verbunddienste Partnerunternehmen angebunden haben, die über diesen Weg am RMS-Verfahren teilnehmen sollen.

Abbildung

Abbildung 13.4 Wenn Sie die Installation der Rechteverwaltungsdienste auswählen, werden diverse Rollen und Features mitinstalliert.

Abbildung

Abbildung 13.5 Der Rollendienst »Unterstützung für Identitätsverbund« wird nur dann benötigt, wenn Sie AD-Verbunddienste einsetzen und Mitarbeiter von Partnerunternehmen über diesen Weg am RMS-Verfahren teilnehmen.

Abbildung

Abbildung 13.6 Nach der Installation muss der Konfigurationsassistent aufgerufen werden.

Nun beginnt der Assistent, die benötigten Informationen für die Installation zu erfragen:

  • Auf der ersten Dialogseite können Sie theoretisch wählen, ob Sie einen neuen AD RMS-Cluster erstellen oder die zu installierende Maschine einem bestehenden Verbund hinzufügen möchten. Wenn Sie in Ihrer Active Directory-Gesamtstruktur noch kein AD RMS implementiert haben, wird aber ohnehin nur die Erstellung eines neuen Systems anwählbar sein.

    AD RMS-Cluster

    Microsoft spricht von einem AD RMS-Cluster. Auch wenn Sie nur die Installation der Rechteverwaltungsdienste auf einem einzigen Server planen, haben Sie, in der RMS-Begrifflichkeit, trotzdem einen RMS-Cluster. Verwechseln Sie dies also nicht mit einem Failover- oder NLB-Cluster!

    Abbildung

    Abbildung 13.7 Wenn das erste System ins AD implementiert wird, können Sie nur die Erstellung eines neuen Stammclusters auswählen.

  • Auf der zweiten Seite des Assistenten müssen Sie die zu verwendende Datenbank angeben. Hier haben Sie zwei Möglichkeiten: Entweder entscheiden Sie sich für die Nutzung der Internen Windows-Datenbank, die dann im Rahmen des Installationsvorgangs lokal installiert wird. Oder Sie verwenden einen anderen Datenbankserver, dessen Namen und Datenbankinstanz Sie alternativ auswählen können – diese müsste dann vor Beginn der RMS-Installation angelegt worden sein.

    Eine wesentliche Einschränkung bei der Verwendung der internen Windows-Datenbank ist, dass dem RMS-Cluster keine weiteren Server hinzugefügt werden können. Ein Argument für einen zentralen SQL Server, auf dem neben den RMS-Daten noch diverse andere Unternehmensdaten lagern, ist das einfachere Backup-Management: Verständlicherweise ist es wesentlich angenehmer, wenn Sie nicht zig kleine verteilte SQL-Server sichern müssen (Abbildung 13.8).

    Abbildung

    Abbildung 13.8 Wählen Sie die Datenbank, die der AD RMS-Cluster verwenden soll.

  • Im nächsten Schritt geben Sie ein RMS-Dienstkonto an. Hierbei muss es sich um ein bereits vorhandenes Domänenkonto handeln, das aber keine Administratorrechte haben soll. Die notwendigen Rechte weist der Assistent zu.
  • Ein AD RMS-Cluster benötigt einen AD RMS-Clusterschlüssel zum Signieren der ausgestellten Zertifikate und Lizenzen. Auf der Dialogseite können Sie auswählen, wie dieser Schlüssel gespeichert werden soll. Im Normalfall ist die vorbelegte Option, nämlich Zentral verwalteten AD RMS-Schlüsselspeicher verwenden, eine gute Wahl.

    RMS auf Domänencontrollern

    Installiert man RMS auf einem Domänencontroller, wird man auf das Problem aus Abbildung 13.9 stoßen, d. h., die Kennworteingabe wird nicht akzeptiert. Dem kann man nur entgegenwirken, indem man das Dienstkonto zum Domänen-Admin macht. Dann klappt’s.

    Das ist natürlich ziemlich übel. RMS gehört – außer in kleinen Demoumgebungen – nicht auf einen DC!

    Abbildung

    Abbildung 13.9 Wenn RMS auf einem Domänencontroller installiert wird, muss das Dienstkonto Domänen-Admin sein – sonst geht die Installation nicht weiter.

  • Auf der nächsten Dialogseite wird das Clusterschlüsselkennwort abgefragt. Wie immer gilt: Bewahren Sie das Kennwort an einer sicheren Stelle auf, und sorgen Sie dafür, dass die Stelle nicht so sicher ist, dass Sie es nie wiederfinden.
  • Die AD RMS-Kommunikation basiert in erster Linie auf Webservices, daher wird ja auch der Webserver mitinstalliert. Die nun folgende Dialogseite fragt ab, in welcher Website das virtuelle Verzeichnis installiert werden soll. Falls Sie es nicht in einer vorhandenen Website installieren wollen, müssten Sie es vor Beginn der Installation anlegen. Der Assistent bietet dazu keine Möglichkeit.
  • Die nächste Dialogseite fragt ab, ob die Clients eine verschlüsselte (SSL) oder unverschlüsselte Verbindung herstellen sollen. Damit Sie eine SSL-Verbindung konfigurieren können, muss ein Zertifikat vorhanden sein. Weiterhin wird die interne Adresse des RMS-Clusters festgelegt (Abbildung 13.10).
  • Auf der folgenden Dialogseite (Abbildung 13.11) können Sie das zu verwendende Zertifikat auswählen. Falls auf dem Server noch kein Zertifikat installiert ist, können Sie ein selbst signiertes Zertifikat erstellen lassen (nicht optimal) oder das Zertifikat für die Verschlüsselung später auswählen.

    Abbildung

    Abbildung 13.10 Es empfiehlt sich, eine SSL-verschlüsselte Verbindung zu verwenden.

    Abbildung

    Abbildung 13.11 Zu einer SSL-Verbindung muss ein Zertifikat gewählt werden.

  • Im nächsten Schritt geben Sie einen Namen für das Server-Lizenzgeberzertifikat an. Sie können hier einen beliebigen Namen vergeben, er sollte aber auf seinen Verwendungszweck hinweisen. (»Hugo« ist kein optimaler Zertifikatname.)
  • Die Clients finden den RMS-Cluster über einen Dienstverbindungspunkt (Service Connection Point, SCP, Abbildung 13.12). Dies ist letztendlich ein Eintrag im Active Directory. Da er im Namenskontext Konfiguration erstellt wird, müssen Sie dazu Mitglied der Gruppe Unternehmensadministratoren sein. Falls Sie das zum Zeitpunkt der AD RMS-Installation nicht sind, kann der Dienstverbindungspunkt auch zu einem späteren Zeitpunkt registriert werden – vergessen Sie das aber nicht!

Abbildung

Abbildung 13.12 Den AD RMS-Verbindungspunkt (SCP = Service Connection Point) können Sie auch zu einem späteren Zeitpunkt registrieren, falls Sie momentan nicht die notwendigen Berechtigungen haben.

Zum Schluss wird der Assistent die Auswahl der Rollendienste für die Webserver-Installation anzeigen. Die benötigten Rollendienste werden selektiert sein; Sie sollten daran nichts verändern. Die Installation wird ein Weilchen dauern. Danach sollten Sie das in Abbildung 13.13 gezeigte Szenario vorfinden.

Sie können bei Bedarf noch kontrollieren, ob der Dienstverbindungspunkt im Active Directory korrekt angelegt worden ist. Dies ist mit dem ADSI-Editor recht einfach zu erledigen. Stellen Sie eine Verbindung mit dem Konfigurationsnamenskontext her, und öffnen Sie den Knoten CN=Services,CN=RightsManagementServices (Abbildung 13.14).

Abbildung

Abbildung 13.13 So sollte das Ergebnis des Installationsvorgangs aussehen.

Abbildung

Abbildung 13.14 Der Dienstverbindungspunkt im Active Directory muss vorhanden sein – dies kann man mit dem ADSI-Editor kontrollieren.


Rheinwerk Computing - Zum Seitenanfang

13.2.2 FeinkonfigurationZur nächsten ÜberschriftZur vorigen Überschrift

Für den AD RMS-Servercluster gibt es ein Konfigurationswerkzeug, das recht detaillierte Einstellmöglichkeiten bietet (Abbildung 13.15). Viele Einstellmöglichkeiten beziehen sich auf »komplexe Szenarien«, beispielsweise die Verbindung mit anderen Gesamtstrukturen (über Unternehmensgrenzen hinweg).

Die meisten Einstellungen sind mehr oder weniger selbsterklärend. Da ich hier im Buch nur ein Basisszenario erläutern will, gehe ich nicht detaillierter darauf ein.

Abbildung

Abbildung 13.15 Zu AD RMS gehört dieses Admin-Werkzeug.


Rheinwerk Computing - Zum Seitenanfang

13.2.3 Vorlage für Benutzerrichtlinien erstellenZur nächsten ÜberschriftZur vorigen Überschrift

Um die Zuweisung von Berechtigungen zu unterstützen, können Vorlagen erstellt werden. Das Erstellen der Vorlage geschieht intuitiv im Assistenten und ist erfreulicherweise direkt mehrsprachig ausgelegt.

Ich führe den Assistenten hier inbesondere deshalb vor, weil man die »Logik« und die Möglichkeiten der RMS-Rechtezuweisung ganz gut erkennen kann.

Die Erstellung einer solchen Vorlage beginnt in der Verwaltungsanwendung, wie auf Abbildung 13.16 gezeigt.

Abbildung

Abbildung 13.16 Hier beginnen Sie mit dem Erstellen der Vorlage.

Der erste Dialog des Assistenten ist auf Abbildung 13.17 zu sehen. Die neue Vorlage braucht einen Namen und eine Beschreibung. Die Informationen können in beliebig vielen Sprachen hinterlegt werden.

Abbildung

Abbildung 13.17 Name und Beschreibung können mehrsprachig erfasst werden.

Im zweiten Dialog, der auf Abbildung 13.18 zu sehen ist, werden Benutzer und Gruppen sowie die ihnen zugewiesenen Berechtigungen hinterlegt. Sie erkennen, dass die Berechtigungen recht granular vergeben werden können.

Abbildung

Abbildung 13.18 Benutzer und Rechte werden erfasst.

Die Zugriffsrechte können zeitlich befristet werden. Abbildung 13.19 zeigt die Optionen:

  • Der Zugriff kann unlimitiert erteilt werden.
  • Es kann ein festes »Verfallsdatum« hinterlegt werden.
  • Alternativ kann auch eine Anzahl von Tagen hinterlegt werden, nach der kein Zugriff mehr möglich ist.

Die Option Nutzungslizenzablauf bedeutet Folgendes: Wenn der Benutzer eine Nutzungslizenz für ein Dokument erhalten hat, kann er es mit dieser Nutzungslizenz verwenden. Der hier einstellbare »Ablauf« bedeutet, dass eine neue Nutzungslizenz angefordert werden muss, weil die bisherige verfällt. An sich ist das ein rein technischer Vorgang, von dem der Benutzer nichts merkt – solange er den RMS-Cluster netzwerktechnisch erreichen kann.

Abbildung

Abbildung 13.19 Die Erstellung einer Ablaufrichtlinie

Abbildung 13.20 zeigt einen Dialog, auf dem ein paar weitere Details konfiguriert werden können. Die Beschriftung lässt klar erkennen, worum es geht. Die zweite Option, die das Zwischenspeichern der Nutzungslizenz auf dem Client verhindert, bedeutet praktisch, dass beim Zugriff auf ein geschütztes Dokument stets eine Verbindung zum RMS-Cluster bestehen muss.

Abbildung 13.21 zeigt, dass auch ein Sperren der Inhalte möglich ist. Dadurch wird, ähnlich wie beim Zertifikatswesen, eine Sperrliste erstellt, die dann in einem definierten Intervall abgerufen wird.

Abbildung

Abbildung 13.20 Hier können Sie einige zusätzliche Einstellungen vornehmen.

Abbildung

Abbildung 13.21 Sie können auch eine Sperrkonfiguration hinterlegen.

Zum Verteilen können die Vorlagen exportiert werden. Auf Abbildung 13.22 ist der Dialog zum Erstellen eines Ortes für die Vorlagendatei zu sehen. Hier wird eine Freigabe angegeben, für die das hinterlegte RMS-Dienstkonto eine Berechtigung haben muss.

Wenn das Exportverzeichnis angegeben ist, sind kurze Zeit später die Vorlagen darin zu finden. Abbildung 13.23 zeigt, dass eine Vorlage technisch ein XML-Dokument ist – was Sie vermutlich nicht weiter überrascht.

Abbildung

Abbildung 13.22 Der Export wird hier aktiviert.

Abbildung

Abbildung 13.23 Eine exportierte Vorlage ist ein XML-Dokument.


Rheinwerk Computing - Zum Seitenanfang

13.2.4 Gruppenrichtlinien Zur nächsten ÜberschriftZur vorigen Überschrift

Über Gruppenrichtlinien können Sie steuern, wie sich das Office-Paket in Hinblick auf die Nutzung der Rechteverwaltungsdienste verhält. Abbildung 13.24 zeigt den entsprechenden Abschnitt im Gruppenrichtlinienverwaltungs-Editor.

Abbildung

Abbildung 13.24 Das Verhalten des Office-Pakets bezüglich RMS kann mit Gruppenrichtlinien gesteuert werden.


Rheinwerk Computing - Zum Seitenanfang

13.2.5 Client-InstallationZur vorigen Überschrift

Wenn die Rechteverwaltungsdienste-Clients unter Windows Vista, 7 oder 8 oder Windows Server 2008/2012/2012R2 laufen, sind Sie schnell fertig: Diese Betriebssysteme verfügen bereits über den RMS-Client.

Allerdings gibt es auch für diesen ein Update. Da es erfahrungsgemäß wenig Sinn macht, Links auf Downloads in ein Buch zu schreiben, zeigt Abbildung 13.25 eine kleine Suchhilfe.

Für Windows XP und Windows Server 2003 müssen Sie den RMS-Client herunterladen und installieren. Abbildung 13.26 enthält eine kleine »Suchhilfe«.

Wie bereits eingangs erwähnt, benötigen Sie zur Nutzung der Rechteverwaltungsdienste Software, die dieses Verfahren unterstützt. Zu nennen wären hier beispielsweise:

  • Office 2003 Professional zum Erstellen von geschützten Inhalten.
    Alle anderen Editionen können geschützte Inhalte nur lesen.
  • Office 2007/2010/2013 Enterprise, Professional Plus und Ultimate zum Erstellen von geschützten Inhalten.
    Alle anderen Editionen können geschützte Inhalte nur lesen.

Abbildung

Abbildung 13.25 Suchhilfe: Hier finden Sie das Update für den Rights Management Client für Vista und höher.

Weiterhin unterstützen folgende Produkte die Rechteverwaltungsdienste:

  • Windows Mobile 6, Windows Phone 7.5 und höher
  • SharePoint Server 2007/2010/2013
  • Exchange Server 2007SP1/2010/2013

Unabhängige Entwickler können die Rechteverwaltungsdienste aus eigenen Applikationen nutzen, sodass damit zu rechnen ist, dass nach und nach weitere Anwendungen auftauchen werden, die AD RMS unterstützen.

Abbildung

Abbildung 13.26 Kleine Suchhilfe: Diesen Client benötigen Sie für die Betriebssysteme Windows 2000, Windows XP und Windows Server 2003.



Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück




Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern


  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen


 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365


Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Rheinwerk-Shop: Linux-Server






 Linux-Server


Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5


Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo