Show
13.2 InstallationUm die Rechteverwaltungsdienste nutzen zu können, gibt es sowohl Server- als auch Client-Komponenten, die installiert werden müssen. 13.2.1 Server-InstallationDer Assistent für die Installation der Rechteverwaltungsdienste führt Sie durch mehr als zwölf Dialogseiten. Es gibt zwar keine wirklich aufregenden Probleme beim Durcharbeiten des Assistenten, allerdings ist der ein oder andere Punkt zumindest »besprechenswert«. Hinweis Bevor Sie mit der eigentlichen Installation beginnen, sollten Sie ein Zertifikat für den Computer bei Ihrer internen Zertifizierungsstelle anfordern: Der Assistent wird im Laufe des Installationsvorgangs danach fragen. Die Kommunikation zwischen Clients und dem Rechteverwaltungsdienste-Server läuft über das HTTP-Protokoll ab, wobei eine Verschlüsselung des Datenstroms natürlich grundsätzlich empfehlenswert ist. Falls Sie keine interne Zertifizierungsstelle aufgesetzt haben, ist eine Installation ohne Zertifikat möglich; dann wird der Datenverkehr zwischen Client und Server aber notwendigerweise nicht verschlüsselt sein. In einer Testumgebung kann man damit leben, in einer Produktivumgebung ist das zumindest unschön. Um nun mit der Installation der Active Directory-Rechteverwaltungsdienste zu beginnen, wählen Sie im Server-Manager das Hinzufügen der gleichnamigen Rolle. Sie werden feststellen, dass es diverse abhängige Rollen und Features gibt, die dann ebenfalls auf dem Server benötigt werden – darunter auch der Webserver. Der Rechteverwaltungsserver ist also kein »kleines Progrämmchen«, das man »irgendwo mal einfach mitlaufen« lassen kann (Abbildung 13.4). Der nächste Dialog fragt Sie, welche Rollendienste installiert werden sollen (Abbildung 13.5):
Abbildung 13.4 Wenn Sie die Installation der Rechteverwaltungsdienste auswählen, werden diverse Rollen und Features mitinstalliert. Abbildung 13.5 Der Rollendienst »Unterstützung für Identitätsverbund« wird nur dann benötigt, wenn Sie AD-Verbunddienste einsetzen und Mitarbeiter von Partnerunternehmen über diesen Weg am RMS-Verfahren teilnehmen. Abbildung 13.6 Nach der Installation muss der Konfigurationsassistent aufgerufen werden. Nun beginnt der Assistent, die benötigten Informationen für die Installation zu erfragen:
Abbildung 13.12 Den AD RMS-Verbindungspunkt (SCP = Service Connection Point) können Sie auch zu einem späteren Zeitpunkt registrieren, falls Sie momentan nicht die notwendigen Berechtigungen haben. Zum Schluss wird der Assistent die Auswahl der Rollendienste für die Webserver-Installation anzeigen. Die benötigten Rollendienste werden selektiert sein; Sie sollten daran nichts verändern. Die Installation wird ein Weilchen dauern. Danach sollten Sie das in Abbildung 13.13 gezeigte Szenario vorfinden. Sie können bei Bedarf noch kontrollieren, ob der Dienstverbindungspunkt im Active Directory korrekt angelegt worden ist. Dies ist mit dem ADSI-Editor recht einfach zu erledigen. Stellen Sie eine Verbindung mit dem Konfigurationsnamenskontext her, und öffnen Sie den Knoten CN=Services,CN=RightsManagementServices (Abbildung 13.14). Abbildung 13.13 So sollte das Ergebnis des Installationsvorgangs aussehen. Abbildung 13.14 Der Dienstverbindungspunkt im Active Directory muss vorhanden sein – dies kann man mit dem ADSI-Editor kontrollieren. 13.2.2 FeinkonfigurationFür den AD RMS-Servercluster gibt es ein Konfigurationswerkzeug, das recht detaillierte Einstellmöglichkeiten bietet (Abbildung 13.15). Viele Einstellmöglichkeiten beziehen sich auf »komplexe Szenarien«, beispielsweise die Verbindung mit anderen Gesamtstrukturen (über Unternehmensgrenzen hinweg). Die meisten Einstellungen sind mehr oder weniger selbsterklärend. Da ich hier im Buch nur ein Basisszenario erläutern will, gehe ich nicht detaillierter darauf ein. Abbildung 13.15 Zu AD RMS gehört dieses Admin-Werkzeug. 13.2.3 Vorlage für Benutzerrichtlinien erstellenUm die Zuweisung von Berechtigungen zu unterstützen, können Vorlagen erstellt werden. Das Erstellen der Vorlage geschieht intuitiv im Assistenten und ist erfreulicherweise direkt mehrsprachig ausgelegt. Ich führe den Assistenten hier inbesondere deshalb vor, weil man die »Logik« und die Möglichkeiten der RMS-Rechtezuweisung ganz gut erkennen kann. Die Erstellung einer solchen Vorlage beginnt in der Verwaltungsanwendung, wie auf Abbildung 13.16 gezeigt. Abbildung 13.16 Hier beginnen Sie mit dem Erstellen der Vorlage. Der erste Dialog des Assistenten ist auf Abbildung 13.17 zu sehen. Die neue Vorlage braucht einen Namen und eine Beschreibung. Die Informationen können in beliebig vielen Sprachen hinterlegt werden. Abbildung 13.17 Name und Beschreibung können mehrsprachig erfasst werden. Im zweiten Dialog, der auf Abbildung 13.18 zu sehen ist, werden Benutzer und Gruppen sowie die ihnen zugewiesenen Berechtigungen hinterlegt. Sie erkennen, dass die Berechtigungen recht granular vergeben werden können. Abbildung 13.18 Benutzer und Rechte werden erfasst. Die Zugriffsrechte können zeitlich befristet werden. Abbildung 13.19 zeigt die Optionen:
Die Option Nutzungslizenzablauf bedeutet Folgendes: Wenn der Benutzer eine Nutzungslizenz für ein Dokument erhalten hat, kann er es mit dieser Nutzungslizenz verwenden. Der hier einstellbare »Ablauf« bedeutet, dass eine neue Nutzungslizenz angefordert werden muss, weil die bisherige verfällt. An sich ist das ein rein technischer Vorgang, von dem der Benutzer nichts merkt – solange er den RMS-Cluster netzwerktechnisch erreichen kann. Abbildung 13.19 Die Erstellung einer Ablaufrichtlinie Abbildung 13.20 zeigt einen Dialog, auf dem ein paar weitere Details konfiguriert werden können. Die Beschriftung lässt klar erkennen, worum es geht. Die zweite Option, die das Zwischenspeichern der Nutzungslizenz auf dem Client verhindert, bedeutet praktisch, dass beim Zugriff auf ein geschütztes Dokument stets eine Verbindung zum RMS-Cluster bestehen muss. Abbildung 13.21 zeigt, dass auch ein Sperren der Inhalte möglich ist. Dadurch wird, ähnlich wie beim Zertifikatswesen, eine Sperrliste erstellt, die dann in einem definierten Intervall abgerufen wird. Abbildung 13.20 Hier können Sie einige zusätzliche Einstellungen vornehmen. Abbildung 13.21 Sie können auch eine Sperrkonfiguration hinterlegen. Zum Verteilen können die Vorlagen exportiert werden. Auf Abbildung 13.22 ist der Dialog zum Erstellen eines Ortes für die Vorlagendatei zu sehen. Hier wird eine Freigabe angegeben, für die das hinterlegte RMS-Dienstkonto eine Berechtigung haben muss. Wenn das Exportverzeichnis angegeben ist, sind kurze Zeit später die Vorlagen darin zu finden. Abbildung 13.23 zeigt, dass eine Vorlage technisch ein XML-Dokument ist – was Sie vermutlich nicht weiter überrascht. Abbildung 13.22 Der Export wird hier aktiviert. Abbildung 13.23 Eine exportierte Vorlage ist ein XML-Dokument. 13.2.4 GruppenrichtlinienÜber Gruppenrichtlinien können Sie steuern, wie sich das Office-Paket in Hinblick auf die Nutzung der Rechteverwaltungsdienste verhält. Abbildung 13.24 zeigt den entsprechenden Abschnitt im Gruppenrichtlinienverwaltungs-Editor. Abbildung 13.24 Das Verhalten des Office-Pakets bezüglich RMS kann mit Gruppenrichtlinien gesteuert werden. 13.2.5 Client-InstallationWenn die Rechteverwaltungsdienste-Clients unter Windows Vista, 7 oder 8 oder Windows Server 2008/2012/2012R2 laufen, sind Sie schnell fertig: Diese Betriebssysteme verfügen bereits über den RMS-Client. Allerdings gibt es auch für diesen ein Update. Da es erfahrungsgemäß wenig Sinn macht, Links auf Downloads in ein Buch zu schreiben, zeigt Abbildung 13.25 eine kleine Suchhilfe. Für Windows XP und Windows Server 2003 müssen Sie den RMS-Client herunterladen und installieren. Abbildung 13.26 enthält eine kleine »Suchhilfe«. Wie bereits eingangs erwähnt, benötigen Sie zur Nutzung der Rechteverwaltungsdienste Software, die dieses Verfahren unterstützt. Zu nennen wären hier beispielsweise:
Abbildung 13.25 Suchhilfe: Hier finden Sie das Update für den Rights Management Client für Vista und höher. Weiterhin unterstützen folgende Produkte die Rechteverwaltungsdienste:
Unabhängige Entwickler können die Rechteverwaltungsdienste aus eigenen Applikationen nutzen, sodass damit zu rechnen ist, dass nach und nach weitere Anwendungen auftauchen werden, die AD RMS unterstützen. Abbildung 13.26 Kleine Suchhilfe: Diesen Client benötigen Sie für die Betriebssysteme Windows 2000, Windows XP und Windows Server 2003. Ihre MeinungWie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an . Wo finde ich Active Directory Benutzer und Computer?Nach der Einrichtung von Active Directory finden Sie im Server Manager unterhalb des Eintrags Active Directory Benutzer und Computer den eingerichteten Server. Hier werden alle Benutzer, Gruppen und Computerkonten eingerichtet.
Was ist ein AD User?Active Directory Users and Computers (ADUC) ist ein Snap-In für die Microsoft Management-Konsole, mit dem Sie Active Directory (AD) verwalten können. Sie können Objekte (Benutzer, Computer), Organisationseinheiten (OE) und deren jeweilige Attribute verwalten.
Welche Berechtigungen sind erforderlich um Azure AD Connect zu installieren und zu konfigurieren?Wenn Sie Azure AD Connect auf einem Domänencontroller installieren, wird das Konto in der Domäne erstellt. Das Dienstkonto AAD_ muss sich in folgenden Fällen in der Domäne befinden: Sie verwenden einen Remoteserver, auf dem SQL Server ausgeführt wird. Sie verwenden einen Proxy, der Authentifizierung erfordert.
Wo ist Azure AD Connect installiert?Azure AD Connect einrichten
Unterhalb von „Azure Active Directory“ ist wiederum „Azure AD Connect“ zu finden. Hier sehen Sie die Domänen, die bereits angebunden sind und können auch die MSI-Datei herunterladen, die Sie im lokalen Rechenzentrum installieren müssen.
|