Rights Management Services. Масштабирование службы управления правами Active Directory с помощью кластеризации (Часть 2)

В первой части статьи описывалась настройка масштабирования службы управления правами Active Directory с помощью добавления нового кластера лицензирования. Итак, сервер корневого кластера rmsx.test.local и сервер кластера лицензирования rmsy.test.local установлены. Следующим действием нужно создать соответствующие групповые политики для настройки рабочих станций.

Переходим на домен контроллер dc.test.local. В оснастке «Active Directory – пользователи и компьютеры» создадим два подразделения «ОтделX» и «ОтделY». Делается это по меню, нажатием правой кнопки мыши на домене test.local – «Создать» — «Подразделение». Перенесем в подразделение ОтделX учетную запись компьютера ClientX и учетную запись пользователя UserX из встроенных контейнеров Computers и Users соответственно. Аналогичные действия совершаем для объектов ОтделаY. Сделать данное действие в оснастке можно двумя способами – с помощью технологии драг-н-дроп (взял и потащил куда нужно), либо нажатием правой клавиши мыши – «Переместить» — выбор необходимого подразделения. Конечно же можно сделать данные действия и с применением консольных утилит Active Directory. В результате должны получиться два подразделения с логически объединенными объектами Active Directory (рисунок 1а,1б)

rms03 02 01a

Рисунок 1а. Объекты ОтделаX

rms03 02 01b

Рисунок 1б. Объекты ОтделаY

После логической группировки объектов по отделам, нужно сформировать и настроить групповые политики. Открываем оснастку «Управление групповой политикой». Сначала настроим ОтделХ – переходим на подразделение и нажимаем правую кнопку «Создать объект групповой политики в домене и связать его…»(рисунок 2). Вводим имя «ГП ОтделХ» и нажимаем клавишу «ОК». Объект успешно создан.

rms03 02 02

Рисунок 2. Создание объекта групповой политики для ОтделаX

Настроим вновь созданный объект. Прежде чем это сделать нужно будет скачать административные шаблоны Microsoft Office (Office 2010 Administrative Template) [3]. Для Windows Server 2008 R2 нужен файл AdminTemplates_64.exe. Скачаем и распакуем его. Затем нужно из папки <директория установки >\ADM\ru-ru взять файл office14.adm – это административный шаблон групповой политики для пакета приложений Microsoft Office 2010. Этот шаблон нужно внедрить в объект групповой политики «ГП ОтделХ». Для этого на этом объекте нажимаем правую кнопку мыши и в меню выбираем «Изменить» (рисунок 3).

rms03 02 03

Рисунок 3. Редактирование объекта групповой политики для ОтделаX

В открывшейся оснастке «Редактор групповой политики» открываем «Конфигурация компьютера\Политики\Административные шаблоны и определения политик». В меню по правой кнопке мыши выбираем «Добавление или удаление шаблонов» (рисунок 4).

rms03 02 04

Рисунок 4. Редактирование объекта групповой политики для ОтделаX

Указываем местоположение файла office14.adm по кнопке «Выбрать» и нажимаем на кнопку «ОК». Название выбранного административного шаблона должно появиться в окне «Добавление и удаление шаблонов» (рисунок 5), нажимаем кнопку «Закрыть».

rms03 02 05

Рисунок 5. Окно «Добавление и удаление шаблонов»

Если все прошло успешно, появляется новый узел «Классические административные шаблоны\Microsoft Office 2010» (рисунок 6)

rms03 02 06

Рисунок 6. Проверка внедрения административного шаблона

Далее последовательно раскрываем узлы «Конфигурация пользователя\Политики\Административные шаблоны и определения политик\ Классические административные шаблоны\Microsoft Office 2010\Управление ограниченными разрешениями». Полное содержание этого раздела установок можно увидеть на рисунке 7.

rms03 02 07

Рисунок 7. Установки раздела управления ограниченными разрешениями

В этом разделе нас интересует установка «Укажите путь к политике разрешений». Эта установка указывает клиентскому приложению, где находятся шаблоны службы управления правами. Итак, открываем установку «Укажите путь к политике разрешений» — переводим в состояние «Включить» и указываем путь к шаблонам политики службы управления правами, сформированным сервером корневого кластера rmsx.test.local — \\rmsx\ОтделХ (рисунок 8).

rms03 02 08

Рисунок 8. Конфигурирование пути к шаблонам политики разрешений на доступ к содержимому

Типовая настройка групповой политики «ГП ОтделХ» завершена. Далее нужно сделать те же настройки с момента создания объекта групповой политики до настройки пути к шаблонам разрешений на доступ к содержимому, для подразделения ОтделY.

Объект групповой политики «ГП ОтделY», требует дальнейшей доработки и настройки. Дело в том, что корневой кластер с сервером rmsx.test.local, по умолчанию, обслуживает всех клиентов службы управления правами на уровне леса. Корневой кластер занимается как выдачей сертификатов, так и выдачей лицензии на использование. Если клиентов ОтделаY не сконфигурировать, то при попытке использования шаблона «ШаблонОтделаY» будет генерироваться ошибка «Не найден кластер лицензирования указанный в шаблоне службы управления правами».

Итак, для конфигурирования рабочих станций ОтделаY, можно воспользоваться скриптом настройки реестра или воспользоваться механизмом GPO preferences, который появился начиная с Windows Vista/2008. Надо отметить, что воспользоваться этим механизмом можно и в Windows XP, более подробную информацию можно посмотреть здесь — http://social.technet.microsoft.com/Forums/ru-RU/xpru/thread/7b1e2618-19f5-48fb-8875-2ac5a6d5c458. Задача следующая – нужно сформировать новый раздел реестра HKEY_LOCAL_MACHINE \Software \Microsoft \MSDRM\ ServiceLocation\ EnterprisePublishing и заполнить URL строковое выражение по умолчанию, указывающее на вновь сформированный кластер лицензирования – «http://rmsy.test.local/_wmcs/licensing/license.asmx». В случае использования скрипта его можно вставить в автозагрузку, или воспользоваться групповыми политиками в узле «Startup». Нужно отметить, что в данном случае скрипт не должен вступать в интерактивное взаимодействие с пользователем, т.е. не должен выдавать ошибок, либо выводить любые информационные сообщения.

При использовании второго варианта, и более удобного на мой взгляд, с помошью механизма GPO preferences — откроем на редактирование объект групповой политики «ГП ОтделY», раскроем последовательно элементы «Конфигурация компьютера \Настройка \Конфигурация Windows\Реестр». В выпадающем меню по правой клавише мыши выберем «Создать\Элемент реестра» (рисунок 9).

rms03 02 09

Рисунок 9. Создание нового элемента реестра

В окне свойств заполняем значения следующие поля (рисунок 10):

1. Действие – Создать.

2. Куст — HKEY_LOCAL_MACHINE.

3. Путь раздела — \Software\Microsoft\MSDRM\ServiceLocation\ EnterprisePublishing.

4. Имя параметра – по умолчанию – отметить.

5. Тип параметра – REG_SZ

6. Значение — http://rmsy.test.local/_wmcs/licensing/license.asmx

После заполнения значений нажимаем кнопку «Ок».

rms03 02 10

Рисунок 10. Заполнение окна свойств раздела реестра EnterprisePublishing

Точное значение URL-адрес раздела реестра EnterprisePublishing, лучше всего взять непосредственно с оснастки «Службы управления правами Active Directory» на сервере кластера лицензирования rmsy.test.local (рисунок 11).

rms03 02 11

Рисунок 11. URL-адрес кластера лицензирования ОтделаY

Теперь, групповые политики отделов успешно сформированы. Для их применения на рабочих станциях ОтделаХ можно воспользоваться консольной командой gpupdate /force. Перед применением данной команды все приложения, использующие клиент службы управления правами должны быть закрыты, к примеру, это приложения Microsoft Office.

Для применения групповых политик на рабочих станциях ОтделаY можно воспользоваться консольной командой gpupdate /boot, или воспользоваться обычной перезагрузкой. Это необходимо сделать потому, что ветка групповых политик, действующая в домене с помощью учетной записи компьютера, применяется только при перезагрузке.

Теперь можно проверить правильность конфигурации масштабирования службы управления правами в целом.

Войдем на рабочую станцию ClientX под учетной записью UserX, на рабочую станцию ClientY под учетной записью UserY соответсвенно. Запустим любое офисное приложение из пакета Microsoft Office, к примеру, Microsoft Word. По техническому заданию, каждый отдел должен видеть только свои шаблоны политик службы управления правами AD RMS. Для того чтобы убедится в этом, переходим в меню «Файл» | «Сведения» | «Разрешения» | «Защитить документ» | «Ограничить разрешения для пользователей». Для ОтделаX и для ОтделаY, действительно показаны различные шаблоны политики службы управления правами (ОтделX – рисунок 12а, ОтделY – 12б).

rms03 02 12a

Рисунок 12а. Шаблоны политики службы управления правами ОтделаX

rms03 02 12b

Рисунок 12б. Шаблоны политики службы управления правами ОтделаY

Нужно отметить, что в случае применения шаблона политики службы управления правами «ШаблонОтделаY» в первый раз пользователем на новой рабочей станции, процесс аутентификации нужно будет пройти дважды. Первый раз – на корневом кластере rmsx.test.local, для получения сертификата службы управления правами. Второй раз – для получения лицензии на использование текущего файла в кластере лицензирования rmsy.test.local (ОтделX – рисунок 13а, ОтделY – 13б).

rms03 02 13a

Рисунок 13а. Окно аутентификации пользователя ОтделаX

rms03 02 13b

Рисунок 13б. Окно аутентификации пользователя ОтделаY

Как вы можете убедиться, техническая задача решена с помощью масштабирования службы управления правами Active Directory. Применяются и видятся только те шаблоны политик службы управления правами AD RMS, которые сформированы для каждого отдела соответственно (ОтделX – рисунок 14а, ОтделY – 14б).

rms03 02 14a

Рисунок 14а. Применение шаблона для ОтделаX

rms03 02 14b

Рисунок 14б. Применение шаблона для ОтделаY

По этой статье есть также записанный вебкаст [4] на сайте http://techdays.ru, который поможет вам быстрее войти в технологию построения масштабированных решений службы управления правами Active Directory.

Успехов в изучении высоких информационных технологий и в частности службы управления правами Active Directory!

В следующей статье речь пойдет о развертывании отказоустойчивого корневого кластера службы управления правами Active Directory.

Литература

1. Active Directory Rights Management Services —

http://technet.microsoft.com/ru-ru/library/cc771234(WS.10).aspx

2. Пошаговое руководство по развертыванию кластера лицензирования службы AD RMS

http://technet.microsoft.com/ru-ru/library/cc730671(WS.10).aspx

3. Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool —

http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=64b837b6-0aa0-4c07-bc34-bec3990a7956

4. Масштабирование службы управления правами Active Directory Windows Server 2008 R2 с помощью кластеризации http://www.techdays.ru/videos/2556.html

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

%d такие блоггеры, как: