Microsoft Office SharePoint Server 2007 і служба RMS, MS Office, Програмні керівництва, статті

У цій статті мова піде про те, як налаштувати і використовувати засоби управління дозволами на інформацію Information Rights Management (IRM), реалізовані в Microsoft Office SharePoint Server (MOSS) 2007.

Microsoft Office SharePoint Server (MOSS) 2007– Істотно перероблена версія, оснащена великим числом нових функцій, які можуть з успіхом застосовуватися на підприємстві. Мабуть, особливий інтерес представляють нововведення, що сприяють виконанню вимог законів та нормативних актів що регламентують інстанцій, а також забезпечують захист даних на належному рівні.

В системі MOSS реалізовано безліч нових налаштувань безпеки, функцій аудиту, політик зберігання даних і операцій, пов’язаних з припиненням дії документів із закінченням строку, які можна використовувати в рамках реалізації розроблених на підприємстві політик забезпечення захисту даних з метою виконання установок регламентують органів. Розглянемо одну з функцій MOSS – технологію управління дозволами на інформацію IRM. Тут слід зазначити, що дана технологія реалізована тільки в MOSS і не представлена ​​в службі Windows SharePoint Services (WSS) 3.0.

Огляд IRM

IRM дозволяє автору документа або повідомлення електронної пошти вказувати, хто може звертатися до документа або поштовою повідомленням, які дозволи надаються цим особам, а також як і коли вони можуть отримувати доступ до матеріалів. Наприклад, автор документа Word, такого як прес-реліз, може вказати, хто має дозвіл відкривати і читати документ, і надати кожному з перерахованих осіб дозвіл на роздруківку, але не на зміну документа. Користувач, якому явно не були надані дозволи на доступ до контенту, не може ні читати, ні змінювати, ні роздруковувати документ.

Дозволи, призначені користувачам авторами документів за допомогою IRM, можуть бути постійними, вони можуть подорожувати разом з документами, а їх дотримання – контролюватися не операційними системами, а додатками. Навіть якщо користувач або самозваний адміністратор має доступ до документа з дозволами Full Control на рівні файлової системи, він не зможе читати, змінювати, роздруковувати, пересилати або копіювати документ, якщо тільки власник останнього не надасть йому прав доступу в явній формі.

Технологія IRM була вперше реалізована в додатках Word, Excel, PowerPoint і Outlook пакета Microsoft Office 2003. В комплекті Microsoft Office 2007 до цього списку була додана програма InfoPath, а MOSS – перший серверний продукт Microsoft, що підтримує технологію IRM.

Для функціонування IRM потрібна інфраструктура служби управління дозволами Windows Rights Management Services (RMS) Active Directory (AD). RMS – це служба Web, яка зазвичай розгортається по всьому підприємству. IRM організовує захист контента за допомогою інтерфейсу прикладного програмування, що функціонує при наявності RMS. На RMS покладається завдання випуску сертифікатів і ліцензій, необхідних для того, щоб користувачі могли створювати контент із захищеними дозволами доступу. Для забезпечення захисту прав доступу контент піддається шифруванню. Більш докладні відомості про RMS можна знайти у статті “Що необхідно знати про Windows Rights Management Services” (http://www.osp.ru/win2000/2004/05/177016/), “Служби управління доступом до інформації Windows Rights Management Services” (http://www.osp .ru/win2000/2006/03/1156376 / ), У статті Windows IT Pro “Замальовки з RMS на передньому плані” (http://www.osp.ru/win2000/2006/06/3266088/), а також за адресою http://www.microsoft.com/ rms.

Технологія IRM в системі MOSS

В системі MOSS технологія IRM реалізована трохи інакше, ніж в додатках Office. У додатках користувачі вручну вказують, хто має дозвіл на доступ до створених ними документів, причому ці відомості вводяться окремо для кожного документа і для кожного поштового повідомлення. Адміністратори можуть полегшити життя користувачів, створюючи і поширюючи шаблони прав, що містять користувачів та дозволи, зазначені для кожного з них. Потім користувач може вибрати той чи інший шаблон всередині програми, що позбавляє його від необхідності вказувати ці дозволи вручну.

В системі MOSS документи організовані в бібліотеки документів. Для кожної бібліотеки документів можна встановлювати дозволи, де вказується, що саме користувачі можуть робити з документами, що зберігаються в цій бібліотеці. Так, можна створити бібліотеку документів, яка містить інформацію про злиття і придбання і наділити дозволами “тільки читання” тих службовців, яким необхідно знати про ці заходи, і дозволом вносити зміни, а також публікувати нові документи – членів комітету зі злиттів і придбань.

Технологія IRM дозволяє застосовувати до документів додаткові заходи безпеки. Коли IRM застосовується до бібліотек документів, користувачі отримують можливість відправляти на сервер, завантажувати на свої системи або редагувати документи відповідно до дозволами, які були їм надані. Однак доступ до документів, завантаженим або вилученим з бібліотеки для редагування, буде обмежений. Дозволи, що застосовуються до документів, будуть відображати дозволу, встановлені для самої бібліотеки.

Подивимося, як здійснюється доступ до матеріалів бібліотеки документів з проблем злиттів і придбань, в якій не реалізована технологія IRM. Хоча службовці мають у своєму розпорядженні тільки дозволом на читання цих матеріалів, вони можуть завантажувати їх на портативні USB-накопичувачі, роздруковувати і розподіляти копії цих документів або пересилати їх по електронній пошті у вигляді приєднуються файлів. Якщо ж у такій бібліотеці документів використовується технологія IRM, можна заблокувати спроби роздруківки користувачами завантажених документів, а всі документи, поширювані ними за допомогою портативних накопичувачів USB або по каналах електронної пошти, залишаються зашифрованими, інакше кажучи – даремними для одержувачів, які не мають прав доступу до бібліотеки, звідки ці документи надійшли. Усередині бібліотеки дозволу доступу до документів не захищаються; дозволу застосовуються в тих випадках, коли документ завантажується в систему користувача або вилучається з бібліотеки.

Налаштування коштів IRM в системі MOSS

Перед тим як ви зможете приступити до використання технології IRM в системі MOSS, можливо, доведеться змінити організацію сервера або пулу серверів MOSS. Я рекомендую вказувати індивідуальні імена для пулів Web-додатків, з тим щоб уникнути виникнення потенційних проблем з IRM в системі MOSS.

При використанні MOSS для створення пулів серверів Web з метою надання вузлів користувачам необхідно налаштовувати пул додатків Web таким чином, щоб кожна служба Web застосовувалася не в якості мережевий служби (Network Service), а під іменованої обліковим записом користувача. Рахунок має бути доменної обліковим записом, а не локальної. Навіть якщо ви встановлюєте MOSS тільки на одному сервері, уникайте використання імені мережевої служби Network Service як індивідуального імені для пулів додатків Web. Рахунок Network Service була розроблена для вирішення проблем безпеки з LocalSystem, а Network Service уособлює комп’ютер. При використанні Network Service пул додатків Web може отримати більше прав, ніж потрібно. Тому для пулів додатків Web краще застосовувати користувальницькі облікові записи.

Доцільно також розглянути можливість розділення Web-служб таким чином, щоб кожна з них виконувалася у власному пулі Web-додатків. Якщо запускати їх в одному і тому ж пулі і цей пул дасть збій, все виконуються в ньому програми можуть виявитися відкритими для користувачів.

Налаштувати індивідуальне ім’я для пулів Web-додатків можна, перейшовши на вкладку Operations центральної адміністративної консолі SharePoint 3.0 і вибравши пункт Service Accounts в розділі Security Configuration. Виділіть параметр Web application pool і потім – Web-службу і пул додатків з розкривних списків (як показано на екрані 1). Виділіть параметр Configurable, потім введіть облікові дані для облікового запису користувача, під якою повинен виконуватися пул Web-додатків.

  Екран 1. Завдання облікових записів служб пулів Web-додатків

Процес настройки MOSS для використання IRM включає чотири етапи. Перший етап зводиться до установки пакета Windows RMS Client SP2 на всіх серверах MOSS Web-пулу. Другий етап – підготовка сервера RMS для його використання системою MOSS. Третій – настройка сервера MOSS або пулу за допомогою вказівки на інфраструктуру RMS. І нарешті, четвертий етап – налаштування кожної бібліотеки документів для використання IRM.

Установка RMS Client SP2 не складає труднощів. Клієнт можна завантажити за адресою http://www.microsoft.com/rms або встановити його з Windows Update. Переконайтеся в завершенні процесу установки на кожному сервері Web-пулу.

Другий етап виконується не сервері RMS. Якщо RMS SP2 ще не використовується, слід встановити цей пакет оновлень. Крім того, потрібно буде змінити відповідні дозволи у файлі _wmcs / Certification / ServerCertification.asmx. Цей файл зберігається в папках вузла, на якому виконується RMS. Необхідно простежити за тим, щоб файл ServerCertification.asmx успадковував дозволи батьківського папки (_wmcs / Certification), і додати облікові записи системи для кожного сервера Web-пулу. Також буде потрібно простежити за тим, щоб облікові записи служби, використовувані системою MOSS для доступу до конфігураційної базі даних, і облікові записи, застосовувані для кожного пулу Web-додатків, були членами групи Domain Users. Потенційно IRM може використовувати облікові записи системи та облікові записи служби в свої виклики RMS.

Для завершення третього етапу настройки сервера MOSS або пулу для використання RMS потрібно перейти на вкладку Operations консолі центрального управління SharePoint 3.0 і в розділі Security Configuration вибрати пункт Information Rights Management. Якщо ви все ще не встановили пакет RMS Client SP2 або виникли труднощі в процесі його установки, на екрані з’явиться повідомлення про помилку. Перед тим як продовжити спроби налаштування MOSS для використання IRM, цю помилку слід виправити. Якщо повідомлення про помилку не з’явилося і ви опублікували об’єкт RMS serviceConnectionPoint в AD з адміністративної консолі RMS, можете вибрати параметр Use the default RMS Server specified in Active Directory. Якщо у вас є підлеглий сервер RMS Licensing Server і ви хочете скористатися ним або якщо об’єкт RMS serviceConnectionPoint не був опублікований в AD, виберіть параметр Use this RMS server і введіть URL-адресу свого сервера RMS (як показано на екрані 2).

Екран 2. Вказівка ​​URL-адреси сервера RMS

Можливостей підтвердження того, що налаштування MOSS для використання RMS пройшла успішно, не так вже й багато, до того ж у файлі реєстрації дані на цей рахунок не фіксуються. Один з варіантів перевірки результатів налаштування – відкрити папку% ALLUSERSPROFILE% Application DataMicrosoftDRMServer. Там зазначено щонайменше одне ім’я папки в форматі S-1-5-21-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx. По суті, це ім’я папки є ідентифікатором SID, який представляє облікові записи, використовувані SharePoint для звернення до RMS.

Коли технологія IRM почне застосовуватися в системі SharePoint, будуть створені додаткові папки, по одній для кожного імені, під якими виконуються Web-додатки. Всередині папки, що представляє облікову запис, який використовується системою SharePoint, знаходяться два файли: перший файл з ім’ям CERT-Machine.drm, другий – з ім’ям GIC-identity-{GUID}. drm. У папках з іменами, використовуваними пулами Web-додатків, міститься як файл CERT-Machine.drm, так і файл з ім’ям, що починається з GIC. Крім того, там зберігається файл з ім’ям CLC-identity-{GUID}. Drm.

Переходимо до четвертого і останнього етапу настройки бібліотек документів з метою використання технології IRM. У вікні браузера слід відкрити розширені SharePoint вузли Web, які містять наділені засобами IRM бібліотеки. Відкрийте меню, що розкривається Site Actions і виберіть пункт Site Settings. У розділі Site Administration потрібно вибрати елемент Site libraries and lists. Якщо бібліотека документів ще не створена, створіть її; для цього потрібно вибрати елемент Create new content. Для бібліотеки, до якої вирішено застосувати технологію IRM, потрібно вибрати пункт Customize ““. Потім встановіть і протестуйте дозволу на роботу з документами бібліотеки, які будуть надані користувачам.

По завершенні установки дозволів у вікні браузера необхідно вибрати пункт Information Rights Management в розділі Permissions and Management. Встановіть прапорець Restrict permission to documents in this library on download, а потім введіть дані в поля Permission policy title і Permission policy description (як показано на екрані 3). За допомогою інших прапорців, показаних на екрані 3, потрібно вказати, чи надається користувачам дозвіл роздруковувати документи і / або звертатися до них за допомогою програмних засобів (тобто за допомогою мови Visual Basic for Applications, VBA).

Екран 3. Налаштування IRM в бібліотеці документів

Згадані прапорці також дозволяють визначати, чи слід користувачам періодично підключатися до інфраструктури RMS і відновлювати свої ліцензії, з тим щоб звертатися до контенту або використовувати його. Крім того, можна вказати дату, після якої обмеження на роботу з завантаженими з даної бібліотеки документами втрачають силу. Ще один важливий параметр Do not allow users to upload documents that do not support IRM може блокувати спроби користувачів додавати в бібліотеку документи, несумісні з технологією IRM. Власними коштами для взаємодії з IRM володіють тільки програми Word, Excel, PowerPoint і Outlook з пакета Office, а також компонент InfoPath з пакета Office 2007.

Доступ до документів з бібліотеки, захищеної IRM

Користувачі, наділені здатністю працювати з документами бібліотек, можуть звертатися до цих документів трьома способами. Вони можуть переходити в потрібну бібліотеку у вікні браузера і вибирати з неї той або інший документ; можуть відкривати документ у вікні програми або вводити URL-адресу відповідного файлу у вікні браузера. Для створення або використання матеріалів з захищеними дозволами доступу не обов’язково мати досвід роботи зі службою RMS. Проте користувачам буде потрібно налаштувати у своїх об’єктах user або inetOrgPerson поштові адреси SMTP, на їх робочих станціях повинні бути встановлені пакети RMS Client SP2, а також наділені засобами IRM програми, такі як програми з комплектів Office 2003 або Office 2007.

Відкривши документ, отриманий з бібліотеки документів, дозволи доступу до яких захищені засобами IRM, користувач побачить на екрані повідомлення, подібне показаному на екрані 4. Якщо документ із захищеними дозволами доступу відкрито в “власному” додатку, користувач знову-таки отримує нагадування про те, що дозволи доступу до цього документа захищені. У додатках комплекту Office 2007 ім’я та опис шаблону бібліотеки документів IRM відображаються на панелі у верхній частині вікна документів (див. екран 5). Якщо користувач хоче отримати точні відомості про те, які дозволи йому надані, і запросити додаткові дозволи, досить клацнути на елементі Change Permission (див. екран 6).

Екран 4. Інформаційне повідомлення IRM 

  Екран 5. Відкритий документ Word, захищений RMS

  Екран 6. Перегляд дозволів

Коли користувач створює новий документ або завантажує документ в бібліотеку документів із захищеними дозволами доступу, цей документ зберігається в бібліотеці в незахищеному вигляді. Дозволи доступу захищаються тільки в той момент, коли користувачем завантажує документ на свою машину для роботи з ним.

Діагностика проблем, пов’язаних з MOSS і IRM

Налаштування коштів MOSS і IRM відносно проста, хоча, можливо, і доведеться зіткнутися з певними труднощами. Частіше за інших зустрічається така проблема: користувач не може переглянути документ бібліотеки, захищеної засобами IRM. Як правило, пояснюється це тим, що користувач не має доступу до даної бібліотеці документів. Слід перевірити, чи має користувач дозволом звертатися до документів цієї бібліотеки і переглядати її вміст в браузері.

Якщо користувач бачить документи, але не може відкривати або завантажувати їх, така ситуація може пояснюватися кількома причинами. Одна з них полягає в тому, що в поштовому атрибуті його об’єкта AD user або inetOrgPerson не записаний поштову адресу. Заповніть поштові атрибути для всіх користувачів, які мають дозвіл доступу до документів бібліотеки.

Якщо користувач має дозволу на роботу з документами бібліотеки та його поштову атрибут заповнений, потрібно впевнитися в тому, що на системі даного користувача встановлена ​​програма RMS Client. Якщо це одна з ранніх версій клієнта, рекомендую модернізувати її до рівня RMS Client SP2.

Якщо на системі користувача встановлена ​​версія RMS Client SP2 і цей користувач може в додатках Office, таких як Word, застосовувати засоби IRM для створення та перегляду документів із захищеними дозволами, проблема, можливо, пов’язана з системою MOSS. Якщо при налаштуванні цієї системи застосовувався параметр Use the default RMS Server specified in Active Directory, можна вручну вказати URL-адресу сервера RMS і на кожному з серверів Web-пулу MOSS використовувати параметр реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSDRMServiceLocationEnterprisePublishing із значенням http (s) :/ / RMS server URL / _wmcs / Licensing і має тип REG_STRING. Після внесення зазначених змін кожен сервер доведеться перезавантажувати.

Якщо ж і після цього не вдасться змусити засоби IRM функціонувати в системі MOSS як годиться, можна отримати більш детальне уявлення про поточні проблеми, активізувавши журнали реєстрації подій і трасування системи MOSS. Обсяг реєстрованих даних можна задавати, перейшовши на вкладку Operations центральної адміністративної консолі SharePoint 3.0 і вибравши в розділі Logging and Reporting елемент Diagnostic logging. Увійдіть в розділ Event Throttling і в списку Select a category виберіть пункт IRM, після чого виділіть найменш значущі події, які хочете фіксувати в журналах реєстрації подій і трасування. Реєструватися будуть події, не поступаються за значущістю обраним, а також більш значимі події. Крім того, в даному розділі можна вказати місце розташування журналу трасування. Переглядаючи журнали реєстрації подій і трасування, напевно можна буде визначити, в чому полягає проблема.

Впровадження технології IRM в систему MOSS відкриває перед компаніями можливість зберігання секретних документів в центральних репозиторіях, застосування до них політик організації документообігу, політик зберігання та утримання. Це дозволить обмежити доступ до документів осіб, які не мають на те санкції, і блокувати спроби передачі завантажених або вилучених зі сховища документів конкурентам або корпоративним шпигунам. Додаткові відомості про систему MOSS можна знайти в Internet за адресою http://www.microsoft.com/sharepoint.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*