I- GIỚI THIỆU

Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp. Trong loạt bài viết về AD RMS này, tôi sẽ trình bày các thao tác cài đặt và cấu hình AD RMS để phân quyền và bảo vệ các tài liệu trong tổ chức, phân quyền cho người dùng thuộc tổ chức khác và tích hợp với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm dựa theo điều kiện xác định.

Trong phần 2 của loạt bài viết này tôi sẽ trình bày thao tác phân quyền trên những tài liệu nhạy cảm cho người dùng thuộc một domain khác

II- TRIỂN KHAI CHI TIẾT

Bài LAB sử dụng 4 server:

- DC2012 (IP Address 172.16.0.10) : Domain Controller (domain mcthub.local) chạy Windows Serrer 2012

- CLIENT1: Domain Member thuộc domain mcthub.local chạy Windows 8 đã cài đặt Office 2010

Bạn có thể tích tích hợp 2 máy này bằng cách cài đặt Office 2007/2010/2013 lên máy Domain Controller

- ITAHUBDC (IP Address 172.16.1.30) Domain Controller (domain itahub.local) chạy Windows Serrer 2012

- CLIENT2: Domain Member thuộc domain itahub.local chạy Windows 8 đã cài đặt Office 2010

Bạn có thể tích tích hợp 2 máy này bằng cách cài đặt Office 2007/2010/2013 lên máy Domain Controller

Mục đích của bài LAB: Cho phép người dùng thuộc domain mcthub.local có thể phân quyền trên các tài liệu nhạy cảm cho người dùng thuộc domain itahub.local

Để thực hiện bài LAB này,bạn phải thực hiện xong bào LAB ở phần 1

Bài LAB gồm các bước chính sau đây

1- Chuẩn bị

2- Export Trusted User Domain Policy và Trusted Publishing Domain Policy

3- Import Trusted User Domain Policy và Trusted Publishing Domain Policy

4- Cấu hình Anomymous access cho RMS Lisensor Server

5- Kiểm tra

1- Chuẩn bị

Trên máy ITAHUBDC, tạo thư mục C:\Public, sau đó share thư mục này cho Everyone quyền Full Control

Mở Active Directory Users and Computers, tạo OU tên là RMS, trong OU này, tạo 2 user tên là RMSSRVChieu, sau đó đưa user RMSSRVC vào thành viên group Domain Admins bằng cách bấm phải chuột lên user RMSSRVC, chọn Add to a group

Chọn group Domain Admins - nhấn OK

Khai báo thuộc tính E-mail cho user hieu là hieu@itahub.local

Thực hiện cài đặt Active Directory Rights Management Services tương tự như Phần 1

Sau khi cài đặt, Logoff, sau đó Logon và kiểm tra mở Active Directory Rights Management Services thành công

Để 2 domain có thể phân giải ra tên nhau, bạn cần cấu hình DNS Forwarder trên cả 2 máy DC. Trên máy DC2012, mở DNS Console. bấm phải chuột Conditional Forwarders - New Conditional Forwarder

Trong khung DNS Domain: Nhập tên domain đối tác là itahub.local

Trong khung IP addresses of the master servers: Nhập IP của máy ITAHUBDC172.16.1.30

Nhấn OK

Kiểm tra kết quả phân giải bằng cách nhập lệnh nslookup itahub.local, bảo đảm kết quả lệnh trả về IP của máy ITAHUBDC172.16.1.30

Trên máy ITAHUBDC, mở DNS Console. bấm phải chuột Conditional Forwarders - New Conditional Forwarder

Trong khung DNS Domain: Nhập tên domain đối tác là mcthub.local

Trong khung IP addresses of the master servers: Nhập IP của máy DC2012 172.16.0.10

Nhấn OK

Kiểm tra kết quả phân giải bằng cách nhập lệnh nslookup mcthub.local, bảo đảm kết quả lệnh trả về IP của máy DC2012 172.16.0.10

2- Export Trusted User Domain Policy và Trusted Publishing Domain Policy

Để 2 RMS Server thuộc 2 domain có thể thiết lập quan hệ "trust" với nhau, trên mỗi RMS Server bạn cần Import 2 Policy là Trusted User Domain và Trusted Publishing Domain được export từ RMS Server đối tác

Trên máy DC2012, mở RMS Console, chọn Trust Policies - Trusted User Domains - Export Trusted User Domain

Lưu vào thư mục gốc đĩa C:\ với tên file là mcthubTrustedUser.bin - Nhấn Save

Chọn Trust Policies - Trusted Publishing Domains - Export Trusted Publishing Domain

Nhấn nút Save As…

Lưu vào thư mục gốc đĩa C:\ vối tên file là mcthubTrustedPubDomain.xml

Nhập password tùy ý để mã hóa File - Nhấn Finish

Kiểm tra trong gốc C:\ có 2 file là mcthubTrustedUser.bin và mcthubTrustedPubDomain.xml

Trên máy ITAHUBDC, thực hiện tương tự, export Trusted Domain User và Trusted Publishing Domain thành 2 file và đặt tên 2 file lần lượt là itahubTrustedUser.bin và itahubTrustedPubDomain.xml

3- Import Trusted User Domain Policy và Trusted Publishing Domain Policy

Trên máy DC2012, mở RMS Console, chọn Trust Policies - Trusted User Domains - Import Trusted User Domain

Nhấn nút Browse

Trong khung File name: truy cập sang ổ C: máy ITAHUBDC bằng cách nhập \\ITAHUBDC\C$ - Nhấn Open

Chọn file itahubTrustedUser.bin - Nhấn OK

Trong khung Display Name: Nhập tên tùy ý, tôi nhập là ITAHUB - Nhấn Finish

Kiểm tra Trusted User Domain đã được import thành công

Chọn Trust Policies - Trusted Publishing Domain - Import Trusted Publishing Domain

Nhấn nút Browse

Trong khung File name: truy cập sang ổ C: máy ITAHUBDC bằng cách nhập \\ITAHUBDC\C$ - Nhấn Open

Chọ file itahubTrustedPubDomain.xml - Nhấn Open

Nhập password đã đặt cho file này. Trong khung Display Name, nhập tên tùy ý - Nhấn Finish

Kiểm tra Trusted Publishing Domain đã được Import thành công

Trên máy ITAHUBDC, thực hiện tương tự để import 2 file mcthubTrustedUser.binmcthubTrustedPubDomain.xml vào Trusted User Domain và Trusted Publishing Domain

4- Cấu hình Anomymous access cho RMS Lisensor Server

Trên máy DC2012, mở Internet Information Service (IIS) Manager

Nhấn No nếu thấy xuất hiện hộp thoại này

Chọn DC2012 - Sites - Default Web Site - _wmcs - licensing. Bấm phải chuột vào licensing - chọn Switch to Content View

Bấm phải chuột vào file license.asmx - chọn Switch to Features View

Bấm phải chuột vào Authentication - Chọn Open Feature

Bấm phải chuột vào Anonymous Authentication - Chọn Enable

Bấm phải chuột vào Windows Authentication - Chọn Disable

Bấm phải chuột vào licensing - chọn Switch to Content View

Bấm phải chuột vào file ServiceLocator.asmx - chọn Switch to Features View

Bấm phải chuột vào Authentication - Chọn Open Feature

Bấm phải chuột vào Anonymous Authentication - Chọn Enable

Bấm phải chuột vào Windows Authentication - Chọn Disable

5- Kiểm tra

Trên máy CLIENT1, Logon user MCTHUB\duy, truy cập sang thư mục Data trên máy DC2012

Mở văn bản IT-Document đã tạo trong bài LAB ở phần 1

Nhấn Change Permission để phân thêm quyền cho user hieu thuộc domain itahub.local

Trong khung Read…, nhập thêm ;hieu@itahub.local - Nhấn OK

Đóng - lưu văn bản

Sang máy DC2012, tôi sẽ giả lập việc đưa tài liệu sang tổ chức khác (ITAHUB.local) bằng cách copy văn bản này

Truy cập sang thư mục Public trên máy ITAHUBDC

Paste văn bản vào đây

Kiểm tra văn bản đã được paste vào thư mục Public trên máy ITAHUBDC

Sang máy CLIENT2, logon user ITAHUB\hieu, truy cập sang thư mục Public trên máy ITAHUBDC

Mở văn bản IT-Document đã được copy từ domain mcthub.local sang

Microsoft Word thông báo văn bản này đã bị giới hạn quyền truy cập - Nhấn Yes

Xác nhận username và password - Nhấn OK

Microsoft Word thông báo không thể xác định user - Nhấn Yes

Chọn hieu@itahub.local - Nhấn OK

hệ thống sẽ liên lạc với RMS Server của Domain mcthub.local để xác định quyền hạn và thông báo văn bản này đã bị giới hạn quyền truy cập - Nhấn Yes

Nhấn Yes

Kiểm tra user ITAHUB\hieu có thể truy cập văn bản đã được phân quyền từ domain mcthub.local

 

Bài viết liên quan 

Cấu hình Active Directory Rights Management Service (ADRMS) trên Windows Server 2012 - Phần 1

Cấu hình Active Directory Rights Management Service (ADRMS) trên Windows Server 2012 - Phần 3

By Đồng Phương Nam
mcthub.com


This article has been selected among the best for the TechNet Wiki Day Award in December, 2013 and won !