В первой части мы развернули серверную часть Active Directory Rights Management Services и теперь пришло время пустить ее в ход. С помощью RMS мы будем защищать стандартные форматы документов, создаваемые пакетом Microsoft Office 2007.  В ходе дальнейших экспериментов нам понадобится клиентская ОС, для этих целей я установил Windows 7 с Enterprise версией офиса на борту. Напоминаю, что все ОС моложе Windows Vista SP1 требуют установки специального RMS клиента, скачиваемого с сайта Microsoft.

Windows Rights Management Services Client на текущий момент имеет второй пакет обновлений и загружается в зависимости от архитектуры вашей системы.

Клиент управления правами Microsoft Windows (SP2) x86

Клиент управления правами Microsoft Windows (SP2) x64

Клиент управления правами Microsoft Windows (SP2) IA64

Поскольку я использую Windows 7, то хлопоты с установкой RMS клиента меня обошли стороной. Свой клиентский компьютер я включил в домен, предварительно настроив сеть следующим образом: IP- 192.168.0.3, Маска – 255.255.255.0, DNS – 192.168.0.1

Для экспериментов мне понадобится несколько учетных записей, каждая из которых обязана иметь заполненный атрибут электронный ящик.

Поэтому я создал новое организационное подразделение Accounts и пять учетных записей с прописанными эл. адресами. В моей сети отсутствует Exchange сервер, посему были прописаны адреса почты, хранящейся у провайдера. Прошу заметить, что все учетные записи имеют полномочия обыкновенных доменных пользователей.

Перед тем как  перейти к защите документов, мы должны выполнить еще одно действие – добавить узел adrms.itband.ru (а мы помним, что это имя нашего rms кластера) в список узлов Местной Интрасети клиентских браузеров IE 8.  Зачем это делается? Когда клиент пытается защитить документ он обращается по протоколу https  к кластеру AD RMS, и если узел кластера не вписан в местную интрасеть, у пользователя повторно запрашивает имя и пароль. Нам это естественно не нужно.

Чтобы максимально автоматизировать  процесс добавления, создаем групповую политику “IE Security Zone” и прицепляем ее к организационному подразделению Accounts.

В этой политике разворачиваем: Конфигурацию Пользователя –> Административные Шаблоны –> Компоненты Windows  –> Internet Explorer  –>  Панель Управления браузером  –> Вкладка Безопасности   –> Список назначений зоны безопасности для веб-сайтов.

Включим данный параметр и прописываем для узла adrms.itband.ru  значение равное единице.  (1) это код зоны Местной Интрасети,  о других кодах можно прочитать в справке, идущей вместе с параметром политики.

Создав политику, применяем ее на клиенте, путем запуска команды gpupdate /force  и проверяем результат. В настройках IE8  клиента имя нашего кластера должно быть в Местной Интрасети.

Теперь все готово для проверки RMS. Выполняем вход на Windows 7 от имени учетной записи Bgates и создаем тестовый документ Word 2007.  Как только он будет готов выбираем в меню опцию “Подготовить” –> “Ограниченный доступ”. Если данной опции вы не видите, значит на вашей рабочей станции стоит младший выпуск офиса и вам стоит еще раз вернуться к первой части статьи и посмотреть с помощью каких выпусков можно защищать документы.

При первой попытке защитить документ ваш компьютер запустит процедуру настройки и если у вас все предварительные шаги выполнены правильно, то результатом будет вывод окна ограничения прав.

Начнем с простого, разрешим только “Чтение” и только одной учетной записи Sbalmer, прописав в поле чтение его электронный адрес. Сохраняем документ в доступное учетке Sbalmer  место и выполняем под ней вход.

Открыв тот же самый документ под пользователем Sbalmer видим появившееся предупреждение об ограничение доступа к данному документу. Пытаемся изменить, сохранить, скопировать и видим, что сделать этого не удастся. Тем кто думает, что клавиша Print Screen спасет отцов “русской демократии” сразу отвечу: Не спасет! Print Screen  не работает. И вам остается либо смириться с данными правами, либо запросить дополнительные разрешения у автора документа, отослав ему письмо по электронной почте.

Может возникнуть вопрос: Что же увидит человек, у которого вообще нет прав на данный документ?. А увидит  он сообщение о невозможности открыть файл, по причине отсутствия полномочий. И предложение эти права запросить. Учтите, что NTFS разрешения на данный документ могут быть хоть Full, но это никак не поможет получить доступ к содержимому.

Снова заходим под учетной записью Bgates  и открываем “Ограничение разрешений”, только теперь с дополнительными параметрами. Из появившихся любопытных прав: Разрешить  Печать содержимого и ограничить срок жизни документа. Если по печати все понятно, то срок действия документа рассмотрим подробней.

Срок действия документа указывает, как долго будут действовать установленные ограничения. По окончанию срока жизни доступ к документ сможет получить только пользователь имеющий “Полный Доступ”.

Все остальные получают сообщение о истечении срока разрешений. Звучит красиво, но я столкнулся с некоторыми трудностями.

Трудность первая: запоздалая реакция. Мною был создан документ и установлены разрешения со сроком до 12 октября. После чего я открыл документ 12 октября в 00:08 и с удивлением обнаружил, что по-прежнему доступен. Поскольку это был час ночи, продолжать изыскания не хотелось. Утром же вернувшись к этому документ снова, я получил сообщение о истекшем сроке разрешений, т.е права сработали.

Трудность вторая: странное поле. Открывая защищенный документ можно увидеть свои права, в том числе и до какого числа они действительны. Мне на данный момент не ясно, что значит “Срок действия разрешений 60 дней” указанные выше. Логически я понимаю, что там должно быть количество дней до часа Х. (На картинке 16 октября). Откуда взялись 60 дней??

Вывод: Со сроком действия разрешений нужно разбираться и разбираться, если кто прояснит ситуация, я буду очень благодарен.

И еще одна капля дегтя: Все свои эксперименты я провожу в виртуальной среде, каждая виртуальная  машина имеет по 1.5 Gb оперативной памяти и находится на личном жестком диске. Когда я открываю  защищенный документ либо защищаю новый, время на открытие или защиту документа иногда превышает 45-50 секунд. И это при условии, что между компьютерами нет медленных каналов. Я допускаю, что это особенности виртуализации, но очень похоже на тормоза “by design”. Пока вывод сделать не могу, но если это норма сотрудники будут “не рады”  однозначно.

Важно понять следующее:

1. Разрешения можно давать как пользователям так и любым группам Безопасности. Главное чтобы эти группы имели заполненный атрибут эл. ящик. Соответственно разрешения будут действовать на членов этой группы.

2. Большинство пользователей не будет разбираться с расширенными разрешениями, поэтому наша цель свести их клики к минимуму.

Давайте сформируем примитивную задачу задачу: Bgates  является начальником ИТ отдела и ежедневно распространяет среди своих сотрудников документы. Он хочет чтобы ИТ сотрудники имели одно право -  право на чтение этих документов. Все остальные не могли даже открыть его приказы.

В тоже время в отделе есть ИТ менеджер Sbalmer, который имеет высокую степень доверия и должен на некоторые документы иметь полные права.

Для решения этой задачи создаем две группы безопасности: IT full и IT Read.

В IT Read у нас входят все пять членов отдела: bgates, sbalmer, sjobs, msussinovich, ltorvalds. 

В IT full только: bgates, sbalmer.

Естественно, что каждая из групп имеет электронный адрес. Как быть дальше? Все очень просто – создать шаблоны прав, которые впоследствии сотрудник (в нашей ситуации начальник отдела bgates) будет выбирать при защите документов. Но об этом мы поговорим в третьей части серии статей по Active Directory Rights Management Services.

Илья Рудь

Скачать статью в PDF