Ad rms rights policy template management manual что это
Перейти к содержимому

Ad rms rights policy template management manual что это

Секреты планировщика заданий Windows Vista

В Windows Vista планировщик заданий подвергся значительной переработке по сравнению с Windows XP. Изменения коснулись не только интерфейса, но и функциональности, которая значительно расширилась, позволяя осуществлять более гибкую настройку задач. Но, пожалуй, основное изменение в произошло в назначении планировщика — теперь это важный системный инструмент, потому что на него возложено большое количество задач, обеспечивающих нормальную работу системы и ее оптимизацию.

Занимаясь оптимизацией, многие пользователи отключают "ненужные" системные службы с целью ускорения работы ОС. Нередко служба планировщика заданий становится одной из первых жертв ошибочной логики: "я не пользуюсь планировщиком, значит он мне не нужен". Если в Windows XP такой подход еще имел право на жизнь, то в Windows Vista он уже не оправдан. Действительно, ряд заданий выполняется при запуске системы или при входе в нее пользователя, поэтому можно подумать, что отключив планировщик, получится начинать работу в ОС на несколько секунд быстрее. Однако не все так примитивно, да и блокируя выполнение системных задач, вы можете воспрепятствовать правильной работе ОС и ухудшить ее производительность. Вместо того, чтобы рубить с плеча, лучше сесть и разобраться, выполнение каких заданий обеспечивает планировщик. Ниже я рассмотрю их подробно, а также затрону вопрос отключения заданий планировщика.

Отображение скрытых заданий

В планировщике есть несколько скрытых заданий, которые не видны в обычном режиме просмотра. Очевидно, эти задания достаточно важны, иначе создатели ОС не стали бы их скрывать от несведущих пользователей.

Откройте планировщик задний из меню ПускАдминистрированиеПланировщик заданий или выполнив команду taskschd.msc из меню ПускПоиск.

Для того чтобы отобразить все задания, в меню Вид выберите пункт Отобразить скрытые задачи. Этот выбор не запоминается, поэтому при следующем запуске планировщика скрытые задачи снова нужно отобразить, если вы хотите их увидеть.

Итак, какие же задачи возложены на планировщик Windows Vista? В левой панели последовательно раскройте узлы Библиотека планировщика заданий, Microsoft и Windows. Вы увидите дерево папок, во многих из которых размещены назначенные задания.

Ниже я рассмотрю их по порядку. Для каждого задания я привожу описание и собственную рекомендацию по поводу того, имеет ли смысл отключать его на домашнем компьютере. Решение о том, отключать то или иное задание остается за вами.

Отключение заданий планировщика

Можно ли извлечь пользу из отключения заданий? Этот вопрос, пожалуй, нужно рассматривать в контексте улучшения производительности и повышения конфиденциальности. Конечно, вас интересует, можно ли увеличить производительность системы путем отключения "ненужных" заданий. Изучая задания планировщика, я пришел к выводу, что ощутимого прироста производительности добиться не удастся.

Большинство заданий можно отнести к одной из двух условных групп:

  • выполняющиеся по событию;
  • выполняющиеся при запуске компьютера или при входе пользователя в систему.

Задания, выполняющиеся по событию, регистрируемому в журнале (eventvwr.msc), выполняются редко, либо не выполняются совсем. Большая часть заданий относится ко второй группе, и на первый взгляд может показаться, что их отключение должно ускорить загрузку системы. Однако все не так прямолинейно. Хотя эти задания привязаны к загрузке системы, для некоторых настроен отложенный запуск. Другими словами, задания выполняются спустя какое-то время после запуска компьютера или входа пользователя в систему, причем не одновременно. Примером такого задания является LPRemove в папке MUI. Если открыть его двойным щелчком мыши, перейти на вкладку Триггеры и дважды щелкнуть по триггеру При запуске, можно увидеть, что выполнение задания отложено на 15 минут.

Тем не мнее, задание выполняется. Однако оценить его влияние на производительность системы весьма затруднительно — скорее всего, оно минимально или вовсе незаметно.

С другой стороны, ряд заданий вообще не выполняется, даже несмотря на то, что они настроены на запуск. Это происходит в том случае, если компонент системы не используется (например, если вы не пользуетесь Windows Media Center, относящиеся к нему задания не выполняются). Поэтому принимая решение об отключении задания, можно руководствоваться еще и информацией о том, когда оно выполнялось в последний раз. Эта информация выводится в столбце Время прошлого запуска.

Производительность системы можно даже ухудшить, отключив, например, дефрагментацию по расписанию и не пользуясь при этом сторонним дефрагментатором. Если вы отключите задание диагностики жестких дисков, система не сможет вас уведомить об ошибке S.M.A.R.T. Отключение задания по регулярному созданию точек восстановления (выполняющегося при простое системы) сократит дисковую активность, но лишит возможности возврата к работоспособному состоянию в случае возникновения проблем. Поэтому к отключению заданий нужно подходить взвешенно.

Что же касается конфиденциальности, то в планировщике с этим связаны две группы: Customer Experience Improvement Program (программа улучшения поддержки пользователей) и Windows Error Reporting (отчеты об ошибках). Участие в программе добровольно, а параметры участия в ней настраиваются при помощи элемента панели управления Отчеты о проблемах и решения (подробнее смотрите в списке заданий ниже). Поэтому задача в планировщике не играет особой роли. Отправка отчетов об ошибках также подразумевает передачу данных о вашей системе, но в каждом случае требуется ваше согласие. Задача в планировщике лишь обрабатывает очередь отчетов.

Так или иначе, вы можете придти к выводу, что какие-то задания вам не нужны. В этом случае их можно отключить. Для отключения задания достаточно щелкнуть на нем правой кнопкой мыши и выбрать из контекстного меню пункт Отключить.

Я рекомендую вам не удалять задания, даже если вы решите, что они вам сейчас не нужны.

Список заданий планировщика Windows Vista

Скрытые задания помечены символом * рядом с названием.

Active Directory RIghts Management Service Client

AD RMS Rights Policy Template Management (Automated)

Обновление пользовательских шаблонов политики для прав службы управления правами Active Directory. При выполнении этой задачи в случае сбоя проверки подлинности на сервере веб-службы распространения шаблонов запрос на ввод учетных данных не выдается. Задача завершается с ошибкой без уведомлений.

Настроено на запуск:

Ежедневно в 3:00 каждый день
При входе в систему любого пользователя

Имеет ли смысл отключение задания?

AD RMS Rights Policy Template Management (Manual)

Обновление пользовательских шаблонов политики для прав службы управления правами Active Directory. При выполнении этой задачи в случае сбоя проверки подлинности на сервере веб-службы распространения шаблонов выдается запрос на ввод учетных данных.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Bluetooth

UninstallDeviceTask

Удаляет PnP устройство, ассоциированное с указанным идентификатором службы Bluetooth.

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет, поскольку запуск не настроен.

CertifacteServicesClient

SystemTask

Клиент служб сертификатов автоматически управляет цифровыми удостоверениями, такими как сертификаты, ключи и учетные данные пользователей и компьютеров, обеспечивая доступ к регистрации заявок, перемещению и другим службам.

Настроено на запуск:

При создании или изменении задачи
При запуске компьютера

Имеет ли смысл отключение задания?

UserTask

Клиент служб сертификатов автоматически управляет цифровыми удостоверениями, такими как сертификаты, ключи и учетные данные пользователей и компьютеров, обеспечивая доступ к регистрации заявок, перемещению и другим службам.

Настроено на запуск:

При создании или изменении задачи
При запуске компьютера

Имеет ли смысл отключение задания?

UserTask-Roam

Клиент служб сертификатов автоматически управляет цифровыми удостоверениями, такими как сертификаты, ключи и учетные данные пользователей и компьютеров, обеспечивая доступ к регистрации заявок, перемещению и другим службам.

Настроено на запуск:

При локальном и удаленном подключении к пользовательскому сеансу
При локальном и удаленном отключении от пользовательского сеанса
При блокировании и разблокировании рабочей станции

Имеет ли смысл отключение задания?

Customer Experience Improvement Program

Программа улучшения поддержки пользователей собирает информацию об оборудовании компьютера и использовании Windows, не мешая вашей работе. Это помогает Microsoft выявивить возможности Windows, нуждающиеся в усовершенствовании. Собранные сведения не позволяют идентифицировать пользователей или вступать в контакт с ними. Подробнее о программе можно узнать на этой странице.

Присоединиться к программе или отказаться от участия в ней можно, открыв Панель управленияОтчеты о проблемах и решенияхУлучшение поддержки пользователей (внизу слева).

Consolidator

Если пользователь изъявил желание участвовать в программе по улучшению качества программного обеспечения Windows, эта задача будет собирать и отправлять сведения о работе программного обеспечения в Майкрософт.

Настроено на запуск:

Каждые 19 часов

Имеет ли смысл отключение задания?

Да, если вы не желаете участвовать в программе и отсылать сведения в Microsoft.

OptinNotification

Уведомление о включении Microsoft Windows Software Quality Metrics.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если вы не желаете участвовать в программе улучшения программного обеспечения Microsoft.

Defrag

ScheduledDefrag

Эта задача выполняет дефрагментацию жестких дисков компьютера.

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет. Однако если вы используете сторонний дефрагментатор, работающий по расписанию, это задание не является необходимым.

DiskDiagnostics

Microsoft-Windows-DiskDiagnosticDataCollector *

Для пользователей, участвующих в программе контроля качества программного обеспечения, служба диагностики дисков Windows предоставляет общие сведения о дисках и системе в корпорацию Майкрософт.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если вы не желаете участвовать в программе улучшения программного обеспечения Microsoft.

Microsoft-Windows-DiskDiagnosticResolver

Модуль исправления ошибок программы диагностики дисков предупреждает пользователей об ошибках, которые поддерживаются стандартом технологии самонаблюдения и отчетности (S.M.A.R.T.). Эта задача автоматически запускается службой политики диагностики при обнаружении ошибки S.M.A.R.T.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Media Center

ehDRMInit

Выполняет команду %windir%\ehome\ehPrivJob.exe /DRMInit. Она отвечает за правильный запуск инициализации DRM привилегированного Media Center.

Настроено на запуск:

Выполняется каждый раз, когда запускается служба Media Center Receiver Service (EhRecvr.exe).

Имеет ли смысл отключение задания?

Нет. Если вы пользуетесь Windows Media Center, задание вам может понадобиться. Если не пользуетесь, оно не будет выполняться.

mcupdate

Проверяет наличие обновлений для Windows Media Center, выполняя команду %windir%\ehome\mcupdate.

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет. Если вы пользуетесь Windows Media Center, задание вам может понадобиться. Если не пользуетесь, оно не будет выполняться.

OCURActivate

Задание активации OCUR привилегированного Media Center. Выполняется командой %windir%\ehome\ehPrivJob.exe /OCURActivate, отвечающей за активацию ключа продукта OpenCable Unidirectional Cable Receivers (OCUR).

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет. Если вы пользуетесь Windows Media Center, задание вам может понадобиться. Если не пользуетесь, оно не будет выполняться.

OCURDiscovery

Задание обнаружения OCUR привилегированного Media Center. Выполняется командой %windir%\ehome\ehPrivJob.exe /OCURDiscovery, Команда ищет тюнеры цифрового кабельного ТВ, подключенные к компьютеру. Если тюнер найдет, производится его регистрация и для него обеспечивается исключение в конфигурации брандмауэра Windows.

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет. Если вы пользуетесь Windows Media Center и имеете тюнер цифрового кабельного ТВ, задание вам может понадобиться. Если не пользуетесь, оно не будет выполняться.

UpdateRecordPath

Задание установки разрешения на запись привилегированного Media Center. Выполняется командой %windir%\ehome\ehPrivJob.exe /DoUpdateRecordPath.

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет. Если вы пользуетесь Windows Media Center, задание вам может понадобиться. Если не пользуетесь, оно не будет выполняться.

MobilePC

HotStart

Запуск приложений, настроенных для Windows HotStart

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Функция предназначена в первую очередь для мобильных компьютеров, хотя может работать и с настольными. Она позволяет запускать медиа-приложения и другие программы одной кнопкой на корпусе устройства, даже если компьютер находится в режиме гибернации, спящем режиме или выключен. При нажатии кнопки компьютер приводится активное состояние с уже запущенным приложением. Если вы не пользуетесь этой функцией, задание можно отключить.

TMM

Диспетчер временной мульти-мониторной конфигурации

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если всегда используется только один монитор.

LPRemove

Задание запускает программу Lpremove.exe при включении компьютера, а также однократно после установки ОС в случае, если в конфигурацию включен языковой пакет, который не может использоваться.

Настроено на запуск:

Один раз после установки ОС
При включении компьютера

Имеет ли смысл отключение задания?

Multimedia

SystemSoundsService

Агент пользовательского режима системных звуков

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Нет, если вам нужны системные звуки.

NetworkAcessProtection

NAPStatus UI

Запускает интерфейс состояния защиты доступа к сети (NAP).

Настроено на запуск:

При входе в систему любого пользователя
По событию в журнале (event 18)

Имеет ли смысл отключение задания?

PLA — System

ConvertLogEntries

Задание выполняет команду %windir%\system32\rundll32.exe %windir%\system32\pla.dll,PlaConvertLogEntries. Мне не удалось найти точного назначения команды, но, вероятно, она связана с журналами оповещения и производительности (Performance Logs and Aletrs, PLA).

Настроено на запуск:

По событию в журнале

Имеет ли смысл отключение задания?

RACAgent *

Задача анализа надежности периодически запускается командой %windir%\system32\RacAgent.exe для обработки данных о надежности системы.

Настроено на запуск:

При запуске компьютера и далее ежечасно
При создании или изменении задачи и далее ежечасно

Имеет ли смысл отключение задания?

Данные о надежности системы очень наглядно отображаются в мониторе производительности, который находится в ПускВсе программыАдминистрированиеМонитор надежности и производительностиСредства наблюдения. Если вы никогда не пользуетесь этим средством, задание можно отключить.

RemoteAssistance

RemoteAssistanceTask *

Проверка изменений в групповой политике, относящихся к удаленному помощнику

Настроено на запуск:

По событию (журнал: Система, Источник: GroupPolicy, Код: 1502)
При создании или изменении задачи

Имеет ли смысл отключение задания?

Если вы не пользуетесь удаленным помощником, задание не будет отрабатывать, поэтому отключать его необязательно.

Shell

CrawlStartPages

Индексирование всех начальных адресов типов обхода. Задача является частью поиска Windows. Например, если вы добавите съемный USB диск в параметры индексирования, доступ к которым осуществляется из панели управления, задание будет запущено и содержимое диска будет включено в индекс. Если диск не добавлять в параметры индексирования, задание будет запущено и сразу же завершено.

Настроено на запуск:

Когда компьютер простаивает.

Имеет ли смысл отключение задания?

SideShow

Задания в папке SideShow работают следующим образом. Когда пользователь входит в систему, задания запускаются и определяют, имеется ли в системе устройство, обладащее функциональными возможностями SideShow. Если такого устройства нет, задания завершаются. Если устройство обнаруживается, задания выполняются, как описано ниже.

AutoWake

Эта задача автоматически пробуждает компьютер, а затем переводит его в спящий режим, если для устройства, совместимого с Windows SideShow, включено автоматическое пробуждение.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если ваш компьютер не поддерживает возможности SideShow или вы ими не пользуетесь.

GadgetManager

Эта задача управляет метаданными мини-приложений, установленных для устройства, совместимого с Windows SideShow, и синхронизирует их.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если ваш компьютер не поддерживает возможности SideShow или вы ими не пользуетесь.

SessionAgent

Эта задача управляет поведением сеанса, если для устройства, совместимого с Windows SideShow, существует несколько учетных записей пользователя.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если ваш компьютер не поддерживает возможности SideShow или вы ими не пользуетесь.

SystemDataProviders

Это задание предоставляет устройствам, совместимым с Windows SideShow, системные данные для часов, источника питания, мощности сигнала беспроводной сети и регулятора громкости.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Да, если ваш компьютер не поддерживает возможности SideShow или вы ими не пользуетесь.

SystemRestore

SR

При выполнении этой задачи будут созданы обычные точки восстановления системы.

Настроено на запуск:

Ежедневно в 0:00
При включении компьютера

Имеет ли смысл отключение задания?

Нет, но вы можете сделать расписание более подходящим для вашего режима работы.

TcpIp

IpAddressConflict1

Задание выполняет команду rundll32 ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem при появлении в журнале события с кодом 4198, информируя пользователя о конфликте IP-адреса.

Настроено на запуск:

По событию (журнал: Система, Источник: Tcpip, Код: 4198)
При создании или изменении задачи

Имеет ли смысл отключение задания?

IpAddressConflict1

Задание выполняет команду rundll32 ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem при появлении в журнале события с кодом 4199, информируя пользователя о конфликте IP-адреса.

Настроено на запуск:

По событию (журнал: Система, Источник: Tcpip, Код: 4199)
При создании или изменении задачи

Имеет ли смысл отключение задания?

TextServicesFramework

MsCtfMonitor *

Задание отслеживает работу системной службы текстовой платформы (TextServicesFramework)

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Нет. Это может привести к исчезновению языковой панели.

UPnPHostConfig

Включает авто-запуск для службы UPnPHost. Задание изменяет тип запуска службы UPnP Host с ручного на автоматический, когда в ней возникает необходимость.

Настроено на запуск:

Имеет ли смысл отключение задания?

ResolutionHost

Веб-узел разрешения инфраструктуры диагностики Windows позволяет интерактивно решать системные проблемы, обнаруженные службой политики диагностики. При необходимости он запускается службой политики диагностики в соответствующем сеансе пользователя. Если служба политики диагностики на работает, задача не выполняется.

Настроено на запуск:

Имеет ли смысл отключение задания?

Windows Error Reporting

QueueReporting

Задача отчетов об ошибках обрабатывает очередь отчетов. Запускает команду %windir%\system32\wermgr.exe –queuereporting при входе пользователя в систему.

Настроено на запуск:

При входе в систему любого пользователя

Имеет ли смысл отключение задания?

Задание является компонентом отчетов об ошибках. При возникновении ошибок в программном обеспечении пользователю предлагается отправить отчет об ошибке. В случае согласия информация отправляется в Microsoft, и, если решение проблемы уже существует, оно предлагается пользователю. Демонстрация в картинках есть на этой странице. Если решение отсутствует, Microsoft сохраняет информацию о проблеме для последующего анализа. Какие сведения отсылаются в Microsoft при отправке отчета о проблеме? Откройте справку в меню Пуск и введите этот вопрос в поиск, чтобы прочесть официльное объяснение. Отключение задания имеет смысл только в том случае, если вы никогда не отправляете отчеты об ошибках и не используете эту функциональную возможность для поиска решений проблем.

Wired

GatherWiredInfo

Сборщик данных проводной связи. Задание запускает сценарий VBS %windir%\system32\Gatherwiredinfo.vbs, который собирает информацию о конфигурации и состоянии системы. Информация отображается в отчете, в журнале Система, а также в мониторе производительности.

Настроено на запуск:

Имеет ли смысл отключение задания?

Wireless

GatherWirelessInfo

Сборщик данных беспроводной связи. Задание запускает сценарий VBS %windir%\system32\Gatherwirelessinfo.vbs, который собирает информацию о конфигурации и состоянии системы. Информация отображается в отчете, в журнале Система, а также в мониторе производительности.

Настроено на запуск:

Имеет ли смысл отключение задания?

Windows Defender

MP Scheduled Scan *

Запускает команду защитника Windows Mpcmdrun.exe scan -restrict.

Настроено на запуск:

Имеет ли смысл отключение задания?

Нет, если вы пользуетесь защитником Windows для защиты от вредоносного ПО.

Заключение

В этой рассматривались задачи Windows Vista, выполнение которых обеспечивает планировщик заданий. Я не ставил перед собой цель написать руководство по отключению заданий, а стремился к тому, чтобы предоставить в ваше распоряжение подробную информацию по каждому заданию. Если, воспользовавшись этой информацией, вы отключили ряд заданий и не увидели ощутимого увеличения производительности системы, не отчаивайтесь — это нормально. Планировщик заданий является мощным средством, умелое использование которого действительно может принести дивиденды. В следующей статье я расскажу о том, как ускорить загрузку Windows Vista с помощью планировщика заданий.

How AD RMS Works

Active Directory Rights Management Services (AD RMS) encompasses all of the server and client technologies that are required to support information protection through the use of rights management in an organization.

When you use an AD RMS infrastructure, you are able to able to protect the information in your organization using the following client and server components to both publish and consume rights-protected content.

AD RMS clients, which request licenses and enforce assigned rights protection at the document level to files and messages.

AD RMS servers, which administers account certification, licensing and publishing services that use Active Directory as well as assisting clients in locating these services.

AD RMS is the name for what was originally introduced as a standalone release called Rights Management Services (RMS) 1.0 which was first released by Microsoft in 2005 for the Windows Server 2003 server platform.

How AD RMS clients work

When publishing content, AD RMS clients request and acquire new licenses for protecting content according to the usage rights and conditions that you as a publisher choose to allow for the content that you wish to protect.

When a document is authored and rights protection is chosen, the AD RMS client acquires a Client Licensor Certificate (CLC), which enables it to protect content. It then uses this CLC to encrypt the document, create and sign a Publishing License (PL) and then binds a copy of the PL to the encrypted content. This helps the content to be better protected from misuse even if it is shared to others within your organization or even to others outside of your organization.

When others receive the rights-protected content, in order to access and make use of it they will first need to use a rights-enabled application (such as Microsoft Office) to request and acquire an end-user license for the content. In order to obtain the end-user license, the AD RMS client must first determine if the recipient of the content conforms to any policies set forth in the publishing license that was used to protect the content. If the AD RMS client determines the user is eligible to access the content, the AD RMS client ensures that the user honors the conditions indicated in the end-use license, which might restrict certain actions. This ensures documents are protected as intended by authors and publishers and are only consumed by recipients according to the assigned rights policies.

How AD RMS servers work

AD RMS servers are implemented as a set of Web service components that run on Microsoft Internet Information Services (IIS) and work in connection with Microsoft SQL Server and Active Directory Domain Services (AD DS).

The various components that make up an AD RMS server are listed in the following table.

Server Component Description
Administration web service The AD RMS server computer hosts this web service, which is used to manage AD RMS through the use of either the AD RMS administration console or Windows PowerShell commands for AD RMS.
Account certification AD RMS servers generate rights account certificates (RACs) that associate users with specific computers.
Licensing AD RMS servers issue end-user licenses. An end-user license enables AD RMS client-enabled applications to access protected content within the user restrictions set by the content publisher.
Publishing AD RMS servers also create client licensor certificates that enable content publishers to define the policies that can be enumerated in an end-user license.
Precertification Enables a server to request a rights account certificate on behalf of a user in order for Exchange to pre-license content to Outlook users.
Service locator Provides the URL of the account certification, licensing, and publishing services to Active Directory so that they can be discovered by AD RMS clients.

In an AD RMS cluster, all AD RMS servers are one of two types.

Root certification servers. The first AD RMS server in an Active Directory forest assumes this role. There can only be one root certification server in each Active Directory forest.

Licensing servers. This is the role taken on by any additional or secondary AD RMS servers added to provide independent policy options to certain groups within an Active Directory forest.

For more information on how servers work within an AD RMS infrastructure, see Server Configuration for an AD RMS Infrastructure.

Working with Templates in AD RMS

To assist in easily assigning and managing rights protection to content, rights policy templates can be used. Rights policy templates can help you to scope and create a specific set of rights that you can apply or repurpose as often as needed for protecting content. For example, a template could be created and named "Company Confidential" that where applied to protect a document would allow employees only the right to view the document, but not to forward, copy, or save it.

Rights policy templates that are used within AD RMS are stored and made available from an AD RMS server to client computers through the following example deployment workflow:

Bob is an administrator who chooses to make a new rights policy template for clients to use in protecting content. He uses the AD RMS console to create the template, which is stored in the AD RMS configuration database. (Through optional configuration, the AD RMS cluster also maintains a copy of all rights policy templates in a folder that Bob has specified.)

Bob has configured Group Policy to enable all corporate desktop computers to use AD RMS automatic rights policy template distribution. He has also modified the update frequency setting to cause AD RMS client computers to query the template distribution pipeline and update their templates within the next 5 days.

Bob could also have used System Center Configuration Manager or manually copied the templates himself to client computers as alternative to using Group Policy.

Once AD RMS client computers have queried the template pipeline and have updated their local cached folder of AD RMS templates with the new policy template, users can select it and apply the template to any new documents they want to author and protect using it.

By default, new rights policy templates are distributed to all AD RMS clients but starting with Windows Server® 2008, administrators have the option to control by using the AD RMS console whether templates are archived or remain actively distributed for use. If a template is archived it is not distributed to clients but the AD RMS cluster will still be able to generate end user licenses for rights-protected content that has a publishing license generated from that template. Templates should not typically be deleted as any content protected by a template will no longer be accessible if the template is deleted from the AD RMS configuration.

For more information on templates, see AD RMS Policy Templates.

A simplified view of AD RMS in action

The following sections help to walk you through a demonstration of how AD RMS works as the process of publishing, sharing and consuming a rights-protected document occurs within first a single organization, and then as its occurs between two different organizations.

How AD RMS works within an organization

An AD RMS client and server can be used within your organization to help protect content through assigning rights protection as it is published and shared with others. This section discusses how a basic AD RMS service infrastructure (which includes an AD RMS server, a SQL Server computer hosting the AD RMS databases and Active Directory domain controllers) can be used to support rights protection.

Background

Terry Adams is a senior process engineer who has been working on site at Contoso Pharmaceuticals manufacturing facility in Redmond, Washington for the past four weeks. During that time, Terry has observed production line activities being carried out and been meeting privately with employees at the facility.

Terry has completed his process review and has been asked by his manager, Diane Margheim, to share a confidential copy of his report with the plant manager, Lola Jacobson. In order to ensure the report remains confidential, Diane has asked Terry to apply rights protection to his report document after he is finished writing it in Microsoft Word before forwarding it on to Lola to allow her preview it for comment before it is passed along to the executive leadership.

In the following graphic, we see how AD RMS works using servers and clients to support this user scenario. Terry is an information author working at his corporate desktop and using Microsoft Word to create and prepare his report.

Terry chooses the option to rights protect the document which allows him to select both the people and the level of access those people will have to his content. He grants read-only access to Lola as the information recipient for the document. This will enable Lola to view the report but deny her the ability to change, copy or print the document.

As Terry applies his access restrictions, the AD RMS client launches and initiates a service request on his behalf to the Contoso AD RMS server.

The AD RMS server for Contoso returns a Client Licensor Certificate to the AD RMS client installed at Terry’s desktop, which enables him to save the document in encrypted form with the desired level of rights-protection.

Terry then attaches and sends the rights-protected report Word document to Lola in an email.

Lola receives Terry’s email and saves the attached document to her local desktop and then opens it. When she does, the AD RMS client working at her desktop contacts the Contoso AD RMS server to acquire an end-user license.

The AD RMS client at Lola’s desktop receives back the end user license, which indicates that she is permitted to view the document. The AD RMS client then decrypts the document and applies the appropriate restrictions to the enable Lola to access the content according to the access permissions that Terry assigned to it.

How AD RMS works between organizations

While AD RMS clients and servers can be used within a single organization or Active Directory forest to help protect content, you can also with some additional configurations allow for published content to be protected across organizations or forest boundaries.

In order to use AD RMS across organizational and forest boundaries, a level of trust must be established across the organizations or across forests. There are several ways in which this can occur:

At the most basic level, Trusted User Domains (TUDs) can help allow AD RMS to process requests from users located across Active Directory forests. A simple TUD relationship between two AD RMS clusters can be established quickly and can be a lightweight and low-cost method of managing AD RMS trust between two separate organizations. For more information, see Trusted User Domains.

Where there is a need to acquire licenses from an RMS cluster for content protected with another RMS cluster, Trusted Publishing Domains (TPDs) offer another means of enabling cross-server trust that go beyond the ability of TUDs. This option is rarely used across organizations. For more information, see Trusted Publishing Domains.

For organizations that have invested in the federated identity capabilities of Active Directory Federation Services (AD FS), you can also leverage the power of existing federated trusts to make AD RMS work across forest boundaries. For more information, see Active Directory Federation Services with AD RMS and Federating AD RMS.

For a more detailed understanding of how AD RMS works across organizational lines, see Sharing Documents with External Organizations.

Установка и настройка ADRMS на Windows Server 2012 R2

date02.11.2015
useritpro
directoryWindows Server 2012 R2
commentsКомментариев пока нет

В этой статье мы покажем как развернуть и задействовать для защиты контента службу Active Directory Right Management Services (ADRMS) на базе Windows Server 2012 R2 в организация масштаба small и middle-size.

В первую очередь кратко напомним о том, что такое служба AD RMS и зачем она нужна. Служба Active Directory Right Management Services – одна из стандартных ролей Windows Server, позволяющая организовать защиту пользовательских данных от несанкционированного использования. Защита информации реализуется за счет шифрования и подписывания документов, причем владелец документа или файла может сам определить, каким пользователям можно открывать, редактировать, распечатывать, пересылать и выполнять другие операции с защищенной информацией. Нужно понимать, что защита документов с помощью ADRMS возможно только в приложениях, разработанных с учетом этой службы (AD RMS-enabled applications). Благодаря AD RMS можно обеспечить защиту конфиденциальных данных как внутри, так и за пределами корпоративной сети.

Несколько важных требования, которые нужно учесть при планировании и развертывании решения AD RMS:

Прежде чем приступить непосредственно к развертыванию ADRMS, нужно выполнить ряд подготовительных шагов. В первую очередь необходимо создать в Active Directory отдельную сервисную запись для ADRMS с бессрочным паролем, например с именем svc-adrms (для службы ADRMS можно создать и особую управляемую учетную запись AD — типа gMSA).

Служебная учетная запись svc-adrms

В DNS-зоне создадим отдельную ресурсную запись, указывающую на AD RMS сервер. Допустим его имя будет – adrms.

cname запись adrms в dns

Приступим к установке роли ADRMS на сервере с Windows Server 2012 R2. Откройте консоль Serve Manager и установите роль Active Directory Rights Management Service (здесь все просто – просто соглашайтесь с настройками и зависимостями по-умолчанию).

Установка роли Active Directory Rights Management Service в windows server 2012 r2

После того, как установка роли ADRMS и сопутствующих ей ролей и функций закончится, чтобы перейти в режим настройки роли ADRMS, щелкните по ссылке Perform additional configuration.

выполнить дополнительную настройку adrms

В мастере настройки выберем, что мы создаем новый корневой кластер AD RMS (Create a new AD RMS root cluster).

новый корневой кластер AD RMS

В качестве базы данных RMS будем использовать внутреннюю базу данных Windows (Use Windows Internal Database on this server).

База данных ad rms

Затем укажем созданную ранее сервисную учетную запись (svc-adrms), используемый криптографический алгоритм, метод хранения ключа кластера RMS и его пароль.

служебная учетная запись adrmsкриптографический алгоритм adrmsхранилище ключей rmsПароль кластера ad rms

Осталось задать веб-адрес кластера AD RMS, к которому будут обращаться RMS-клиенты (рекомендуется использовать защищенное SSL соединение).

SSL адрес кластера rms

Не закрывайте мастер настройки AD RMS!

Следующий этап – установка SSL-сертификата на сайт IIS. Сертификат может быть самоподписаным (в дальнейшем его нужно будет добавить в доверенные на всех клиентах), или выданным корпоративным/внешним центром сертификации (CA). Сформируем сертификат с помощью уже имеющегося корпоративного CA. Для этого откройте консоль IIS Manager (inetmgr) и перейдите в раздел Server Certificates. В правом столбце щелкните по ссылке Create Domain Certificate (создать сертификат домена).

Создать новый сертификат IIS

Сгенерируйте новый сертификат с помощью мастера и привяжите его к серверу IIS.

ssl сертификат в IIS

Вернитесь в окно настройки роли AD RMS и выберите сертификат, который планируется использовать для шифрования трафика AD RMS.

Укажем сертификат adrms

Отметьте, что точку SCP нужно зарегистрировать в AD немедленно (Register the SCP now).

Зарегистрирвать точку rms scp

На этом процесс установки роли AD RMS закончен. Завершите текущий сеанс (logoff), и перезалогиньтесь на сервер.

Запустите консоль ADRMS.

консоль Active Directory Right Management Services

Для примера создадим новый шаблон политики RMS. Предположим мы хотим создать шаблон RMS, позволяющий владельцу документа разрешить всем просмотр защищенных этим шаблоном писем без прав редактирования/пересылки. Для этого перейдем в раздел Rights Policy Templates и щелкнем по кнопке Create Distributed Rights Policy Template.

Нажав кнопку Add, добавим языки, поддерживаемые этим шаблоном и имя политики для каждого из языков.

Создадим политику RMS

Политика доступа к защищеным данным RMS

Далее укажем, что все (Anyone) могут просматривать (View) содержимое защищенного автором документа.

Срок действия политики rms не истекает

Далее укажем, что срок окончания действия политики защиты не ограничен (Never expires).

включить rms в браузерных расширениях

На следующем шаге укажем, что защищенное содержимое можно просматривать в браузере с помощью расширений IE (Enable users to view protected content using a browser add-on).

Новое письмо в outlook web access

Протестируем созданный шаблон RMS в Outlook Web App, для чего создадим новое пустое письмо, в свойствах которого нужно щелкнуть по кнопке Set Permissions. В выпадающем меню выберите имя шаблона (Email-View-Onl-For-Anyone).

почтовый клиент - ограниченный доступ к письму при помощи RMS

rms защищенное от изменений и пересылки письмо

Отправим письмо, защищенное RMS, другому пользователю.

Теперь посмотрим как выглядит защищенное письмо в ящике получателя.

Получатель не может переслать защищенное adrms письмо

Как мы видим, кнопки Ответить и Переслать недоступны, а в информационной панели указан используемый шаблон защиты документа и его владелец.

Итак, в этой статье мы описали, как быстро развернуть и задействовать службу AD RMS в рамках небольшой организации. Отметим, что к планированию развертыванию RMS в компаниях среднего и крупного размера нужно подойти более тщательно, т.к. непродуманная структура этой системы может в будущем вызвать ряд неразрешимых проблем.

Добавить комментарий

Ваш адрес email не будет опубликован.