Т.к информация сейчас имеет достаточно большое значение и на её защиту уделяется всё больше и больше сил и средств как компаний так и специалистов работающих в ней, то возникла необходимость тоже озадачиться сим вопросом.

Оговорюсь сразу — если вы решили что внедрение этой системы будет панацеей для защиты информации — то это заблуждение.  Защита информации это целый комплекс мер как технических, так и административных.

Может быть когда будет время я опишу процесс внедрения системы DLP, которая тоже служит одним из этапов по защите информации в компании.

Да и еще, оговорюсь сразу — если у вас возникла мысль использовать AD RMS в защите персональных данных — то данная система должна пройти сертификацию в специальных гос.органах. Обрадую вас еще больше, так же  как и все системы (включая Блокнот и Калькулятор), которые будут установлены на системах содержащих персональные данные попадающие под наш закон.

Статья будет разделена на несколько частей — в первой части я опишу установку и настройку AD RMS, во второй и последующей — практическую работу с шаблонами (установка, настройка, использование).
Я не буду описывать как разворачивать сервера и структуру каталогов, т.к в этом нет необходимости. Люди, читающие сию статью обладают определенными навыками и знаниями чтобы сделать это самостоятельно.
Опишу только требования предъявляемые для развертывания  AD RMS:

1. Развернута структура каталогов AD  на базе Windows 2003 или выше (у меня 2008).
2. Наличие сервера базы данных (опционально)
3. Наличие сервера сертификатов (опционально)
4. На клиентах (до версии Vista и выше) должен быть установлен компонент AD RMS Client
5. На клиентах должен быть установлен Office 2007 Ultimate, Professional Plus, Enterprise если необходимо управлять разрешениями. Остальные версии поддерживают работу с защищенными документами, но без возможности изменения выставленных разрешений.

Ну вроде с формальностями закончили можно приступать к самой установки AD RMS (повторюсь — подразумевается что сетевая и доменная  инфраструктура уже развернута и настроена).

Итак приступим:

Открываем консоль управления сервером и в Ролях выбираем нашу службу (рис.1)

Рис.1

Если у вас не установленны необходимые компоненты для AD RMS, то система сама предложить вам их доустановить (рис.2)

Рис.2

Далее, когда мы выберем добавить недостающие роли и сервисы система автоматически добавит необходимые и можно будет переходить к следующему шагу установки (рис.3)

Рис.3

На этом шаге мы можем выбрать какие компоненты AD RMS нам ставить (он является 2-х компонентным). Т.к. у нас нет  компаний за пределами нашей сети и AD RMS будет использоваться только сотрудниками нашей компании, то службу федерации мы не будем разворачивать.

Далее, т.к у нас это первый экземпляр  службы RMS  в нашем домене, то выбираем создание нового кластера AD RMS (рис.4)

Рис.4

На следующем окне (рис.5), нам предложат указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: «Использовать внутреннюю базу данных Windows», – с одной стороны плюс в том, что SQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера.  В данной статье я выбрал первый вариант, т.к служба уже развернута в боевом режиме, но на тот момент мне было не до создания скриншотов :). Кстати, при выборе варианта с MS SQL сервером — не забудьте проверить, что порты в Windows Firewall открыты для нормального доступа к серверу и валидации.

Рис.5

Далее указывает учетную запись, от имени которой будет работать служба AD RMS. При создании этой записи рекомендую сразу установить флажки , что пароль не устаревает и пользователь не может его поменять. Рис.6

Рис.6

На следующем шаге выбираем где у нас будут храниться ключи, которыми подписываються сертификаты, выдаваемые RMS. Моя личная рекомендация выбрать первый вариант (хранение в личном хранилище AD RMS). Это облегчит процесс администрирования, т.к все будет храниться центрально, но не локально.Рис.7

Рис.7

Далее вводим пароль, которым будет шифроваться ключ сервера. Рекомендую сделать этот пароль посложнее — из соображений безопастности и записать его. А бумажку положить в укромное место, т.е если понадобиться в дальнейшем добавлять еще RMS сервера — без него не обойтись. Рис.8

Рис.8

На следующем шаге выбираем на каком веб-сайте будет запущен сервис — я оставил как есть.Рис.9

Рис.9

Выбираем имя сервера и порт, по которому пользователи будут подключаться к AD RMS серверу. Т.к мы все же защищаем наши данные, то сделать это нужно по SSL. Оговрюсь сразу- для использования SSL соедедения необходимо иметь сертификат. Он может быть куплен у организации, которая на этом специализируется, или выдан внутренним центром сертификации. Выдавайте сертификат именно тому узлу, на котором у вас будет работать RMS — чтобы в дальнейшем пользователи не получали ошибку о несоответствии имени узла и сертификата. Рис.10

Рис.10

На следующем шаге выбираем наш сертификат. Откроется простой мастер импорта/экспорта сертификатов и мы его успешно устанавливаем. Если на данный момент нет сертификата, то можно это действие отложить и позднее его установить. Если не хочется вообще морочиться, то можно установить собственный сертификат AD RMS — но я не рекомендую этого делать, т.к это предназначено в основном для тестовой среды — и данный сертификат придется раздавать всем клиентам.Рис.11

Рис.11

Воодим имя кластера для подключения рис.12

Рис.12

На следующих 2-х шагах (рис. 13 и рис.14) выбираем необходимые компоненты IIS. По умолчанию, то что нужно службе AD RMS уже отмечено в «чекбоксе».

Рис.13

Рис.14

Ну и в завершении появляется итоговое окошко с описанием всех наших трудов и долгожданной кнопкой «Install» (рис.15) — и если все было сделанно правильно — через некоторое время мы получаем рабочий сервер AD RMS (рис.16).

рис.15

Ну вот, вроде и все. Это что касается по поводу разворачивания сервера AD RMS. В следующей статье я опишу дальнейшие шаги по внедрению AD RMS в структуру компании чтобы с ней могли полноценно работать пользователи.