I- GIỚI THIỆU
Active Directory Rights Management Service (AD RMS) là dịch vụ được tích hợp sẵn trong Windows cho phép bảo vệ các tài liệu nhạy cảm trong doanh nghiệp bằng cách cho phép người dùng tùy ý phân quyền trên các tài liệu của mình và ngăn chặn việc đưa các tài liệu nhạy cảm ra khỏi môi trường doanh nghiệp. Trong loạt bài viết về AD RMS này, tôi sẽ trình bày các thao tác cài đặt và cấu hình AD RMS để phân quyền và bảo vệ các tài liệu trong tổ chức, phân quyền cho người dùng thuộc tổ chức khác và tích hợp với Dynamic Access Control (DAC) để tự động bảo vệ các tài liệu nhạy cảm dựa theo điều kiện xác định.
Trong phần 1 của loạt bài viết này tôi sẽ trình bày thao tác cơ bản bao gồm cài đặt và phân quyền cho các tài liệu nhạy cảm bằng ADRMS trên Windows Server 2012
II- TRIỂN KHAI CHI TIẾT
Bài LAB sử dụng 2 server:
– DC2012: Domain Controller (domain mcthub.local) chạy Windows Serrer 2012
– CLIENT1: Domain Member chạy Windows 8 đã cài đặt Office 2010
Bạn có thể tích tích hợp 2 máy này bằng cách cài đặt Office 2007/2010/2013 lên máy Domain Controller
Bài LAB gồm các bước chính sau đây
1- Chuẩn bị
2- Cài đặt ADRMS
3- Kiểm tra hoạt động của ADRMS
4- Cấu hình RAC (Rights Account Certificate) và User Exclusion Policy
1- Chuẩn bị
Trên máy DC2012, mở Active Directory Users and Computers. Tạo một OU tên là RMS. Trong OU RMS, lần lượt tạo các user nam, trong, hien, duy và RMSSRVC (đây là account cần thiết để cài đặt ADRMS). Sau đó add user RMSSRVC vào group Domain Admins bằng cách bấm phải chuột lên user RMSSRVC – Add to a group
Chọn group Domain Admins – Nhấn OK
Do ADRMS phân quyền bằng địa chỉ E-Mail, do đó bạn cần khai báo thuộc tính E-Mail cho các user. bấm phải chuột user duy – chọn Properties
Trong khung E-Mail: Nhập [email protected] – OK
Tương tự như trên, lần lượt khai báo thuộc tính E-Mail Address cho các user như sau:
– nam: [email protected]
– trong: [email protected]
– hien: [email protected]
Tạo một Universal group mới tên là Manager
Trong khung Group name: Nhập Manager
Mục Group scope: Chọn Universal – Nhấn OK
Tạo một Universal group mới tên là IT
Trong khung Group name: Nhập IT
Mục Group scope: Chọn Universal – Nhấn OK
Khai báo thuộc tính E-Mail và thêm thành viên cho Group Manager
Tab General, trong khung E-Mail: nhập [email protected] – Nhấn OK
Tương tự bạn khai báo thuộc tính E-Mail cho group IT là [email protected]
Add 2 user nam và trong vào danh sách thành viên group Manager
Add 2 user duy và trong vào danh sách thành viên group IT
Tạo 2 thư mục C:\Data và C:\Public
Sau đó lần lượt share 2 thư mục này cho Everyone quyền Full Control
2- Cài đặt ADRMS
Trên máy DC2012, mở Server Manager – Chọn Add Roles and Features
Nhấn Next
Nhấn Next
Nhấn Next
Đánh dấu chọn dịch vụ Active Directory Rights Management Services
Nhấn nút Add Features để cài đặt các chức năng cần thiết cho dịch vụ
Nhấn Next
Bảo đảm chọn role service Active Directory Rights Management Server. Nhấn Next
Nhấn Next
Chấp nhận các thành phần cần thiết mặc định cho ADRMS – Nhấn Next
Nhấn Install
Sau khi quá trình cài đặt hoàn tất, chọn Perform additional configuration để cấu hình cho ADRMS Server
Nhấn Next
Do đây là ADRMS Server đầu tiên được cài đặt – chọn Create a new Active Directory RMS root cluster – Nhấn Next
ADRMS cần sử dụng database để quản lý dữ liệu, bạn có thể dùng SQL Server hoặc Windows Internal Database (có sẵn trên Windows) để lưu trữ Database. SQL Server thích hợp hơn cho một hệ thống lớn. Trong bài LAB này do không cần thiết nên bạn chọn Use Windows Internal Database on this server – Nhấn Next
Nhấn nút Specify để chỉ định account cài đặt
Nhập Username và Password của account RMSSRVC đã tạo ở bước chuẩn bị – Nhấn OK
Nhấn Next
Chọn chế độ cho thuật toán mã hóa RSA là Cryptographic Mode 2 – Nhấn Next
Do ADRMS cần một key dùng cho việc khôi phục sự cố và dùng để cái đặt các ADRMS Server thêm vào hệ thống. Bạn chọn User ADRMS centrally managed key storage để lưu trữ key này trên ADRMS Server – Nhấn Next
Nhập Key Password tùy ý để mã hóa Key – Nhấn Next
Chọn trang Web mặc định cho ADRMS sử dụng là Default Web Site – Nhấn Next
Để ADRMS có tính bảo mật cao hơn, bạn có thể cấu hình phương pháp mã hóa SSL cho Web Site cho thể chạy bằng HTTPS. Trong bài LAB này, do không cần thiết nên bạn có thể chọn Use an unencrypted connection (http://) – Nhập FQDN của máy ADRMS Server là dc2012.mcthub.local – Nhấn Next
Khung Name: Chấp nhận tên mặc định – Nhấn Next
Chọn Register the SCP Now – Nhấn Next
Nhấn Install
Sau khi quá trình cài đặt và cấu hình hoàn tất – Nhấn Close
Nhấn Close
Sau khi cài đặt, bạn cần logoff, sau đó logon lại MCTHUB\Administrator và mở Active Directory Rights Management Services
Kiểm tra ADRMS Console mở thành công. Đến đây ADRMS có thể hoạt động với các chức năng cơ bản mà không cần phải thực hiện thêm thao tác cấu hình nào
3- Kiểm tra hoạt động của ADRMS
Sang máy CLIENT1, logon MCTHUB\nam, mở Word 2010 và soạn thảo một văn bản với nội dung như bên dưới.
Bảo vệ văn bản và phân quyền đọc cho user trong truy cập bằng cách chọn File – Info – Protect Document – Restrict Permission by People – Restricted Access
Xác nhận username và password – OK
Đánh dấu Restrict permission to this document
Trong khung Read..: nhập [email protected] – Nhấn OK
Lưu văn bản bằng cách nhấn Save
Lưu văn bản vào thư mục Data trên máy DC2012: Trong khung File name: Nhập \\DC2012\Data\DocumentOfNam – Nhấn Save
Trên máy CLIENT1, logon MCTHUB\trong, truy cập thư mục Data trên máy DC2012
Mở văn bản DocumentOfNam
Xác nhận username và password – Nhấn OK
Microsoft Office Word sẽ thông báo văn bản đã bị giới hạn truy cập – Nhấn OK
Quan sát user trong chỉ có thể đọc văn bản, ngoài ra không thể sửa chữa nội dung. Nhấn nút View Permission để xem chi tiết quyền truy cập
Quan sát quyền truy cập của user trong – Nhấn OK
Thử chọn một đoạn văn bản và bấm phải chuột lên đoạn văn bản đã chọn, quan sát các chức năng Copy, Cut.. đều bị vô hiệu hóa.
Chọn menu File, quan sát các chức năng Save, Save as, Print đều bị vô hiệu hóa
Trên máy CLIENT1, logon MCTHUB\duy, truy cập thư mục Data trên máy DC2012
Mở văn bản DocumentOfNam
Xác nhận username và password – Nhấn OK
Microsoft Office Word sẽ thông báo văn bản đã bị giới hạn truy cập – Nhấn OK
Kiểm tra user duy không được phân quyền nên không thể đọc được văn bản, hộp thoại thông báo đưa ra 3 lựa chọn
– Change user: Truy cập với quyền của user khác
– Yes: Gửi yêu cầu xin quyền truy cập bằng E-Mail đến địa chỉ [email protected]
– No: Không gửi yêu cầu xin quyền truy cập và thoát- Nhấn No
4- Cấu hình RAC (Rights Account Certificate) và User Exclusion Policy
Ngoài việc người dùng có thể phân quyền trên tài liệu của mình, RMS cho phép dùng RAC và User Exclution Policy để loại trừ quyền truy cập của người dùng chỉ định. Trong ví dụ này tôi sẽ loại trừ quyền đọc của user nam. Chọn Exclusion Policies – Users – Enable User Exclusion
Chọn Exclude RAC
Trong khung User name: Nhập [email protected] – Nhấn Finish
Kiểm tra
Sang máy CLIENT1, logon MCTHUB\duy, mở Word 2010 tạo văn bản với nội dung như bên dưới
Bảo vệ văn bản và phân quyền đọc cho group Manager và quyền thay đổi văn bản cho group IT bằng cách chọn File – Info – Protect Document – Restrict Permission by People – Restricted Access
Đánh dấu Restrict permission to this document
Trong khung Read..: Nhập [email protected]
Trong khung Change..: Nhập [email protected]
Nhấn OK
Nhấn nút Save để lưu văn bản
Lưu văn bản vào thư mục Data trên máy DC2012: Trong khung File name: Nhập \\DC2012\Data\IT-Document– Nhấn Save
Trên máy CLIENT, logon MCTHUB\nam, truy cập sang thư mục Data trên máy DC2012
Mở văn bản IT-Document
Xác nhận username và password – Nhấn OK
Microsoft Office Word sẽ thông báo văn bản đã bị giới hạn truy cập – Nhấn OK
Microsoft Ofice Word thông báo không thể truy cập văn bản mặc dù user nam là thành viên của group Manager – Nhấn OK
Nhấn OK
