Your SlideShare is downloading. ×
1026 Windows Server 2008 Active Directory 版權管理服務
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

1026 Windows Server 2008 Active Directory 版權管理服務

2,205

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,205
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
50
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Transcript

    • 1. Welcome TechNet 網路廣播
    • 2. 蘇建榮 [email_address] 恆逸教育訓練中心 ( 精誠資訊 ) Windows Server 2008 Active Directory 版權管理服務
    • 3. 大綱
      • AD RMS 功能與運作
      • 建置與管理 AD RMS
      • AD RMS 與 AD FS 整合
      • 與 Office SharePoint Server 2007 整合
    • 4. 廣受採用的防護措施 File Server Internet Firewall
      • Firewall
        • 隔離內部、外部網路限制存取 。
      • Share 、 NTFS Permission
        • 限制特定資料夾或檔案的存取 。
      • EFS
        • 確保檔案資料儲存的安全性 。
      • IPSec 、 VPN 、 SSL
        • 協助傳輸時加以保全數位內容 。
      Share Permission NTFS Permission 檔案加密系統( EFS ) 網際網路通訊協定安全性( IPSec ) 虛擬私人網路( VPN ) 安全通訊端層級( SSL )
    • 5. 上述的解決方案對初始的存取進行保護 存取權限管控 防火牆管控 授權的使用者 未授權的人員 ( 內部 ) 未授權的人員 ( 外部 ) No No Yes 資訊外洩 並未對文件持續進行保護
    • 6. AD RMS( 版權管理服務 )
      • Windows 平台的資訊保護技術
      • 對敏感的資訊提供更好的安全防護
        • 只有被授權的人才可以進行特定的存取操作
        • 完全控制;僅供查閱、修改、複製、列印或不允許轉寄等
      • 持續不斷的進行保護
        • 不論您的重要資料傳遞到何處
      • 彈性與可客製化
        • RMS 與廣受使用應用程式(如: Office )整合且容易使用
        • 提供 SDK 讓獨立軟體供應商或開發人員容易的建構自己的解決方案
    • 7. AD RMS 不能防止的行為…
    • 8. AD RMS 的新功能
      • Windows Server 2008 內建
      • 使用 ASP.NET 2.0
      • 安裝時自動選取所需要的元件 ( 如: IIS 、 WAS 、 MSMQ 、 Windows Internal Database 等 )
      • 可整合 AD FS 進行跨企業合作
      • 自行登記 - 不需連通 Microsoft
      • MMC 中嵌入的管理單元 ( 可遠端管理 )
      • Health Report 、 Troubleshooting Report
    • 9. AD RMS 的邏輯元件 取得授權 用戶端電腦 RMS 用戶端軟體 支援 RMS 的應用程式 使用者憑證 電腦憑證 授權叢集
      • RMS Web Services:
        • 發行
        • 授權
      IIS, ASP.NET 2.0 NLB 取得 授權 SQL Active Directory
      • 身份識別
      • 提供 SCP
      取得憑證 AD RMS 根叢集 IIS, ASP.NET 2.0 根叢集資料庫
      • 管理 :
      • 安全性設定
      • 原則範本
      • 記錄設定
      • SCP 註冊
      • 運作 :
      • AD RMS Web Services
      • 憑證、發行、授權
      • SQL Server
      • 組態設定
      • 記錄 & 快取
    • 10. AD RMS 環境中所使用的憑證 伺服器授權人憑證 Server Licensor Certificate SLC RMS 電腦憑證 Security Processor Certificate SPC 權限帳號憑證 Rights management Account Certificate RAC 用戶端授權人憑證 Client Licensor Certificate CLC 發行授權 Publishing License PL 使用授權 Use License UL
    • 11. 系統工作流程
      • 部署
        • 提供 RMS 伺服器叢集與安裝 RMS 用戶端
      • 使用者驗證
        • 取得 RAC 與 CLC ,啟用使用者使用 RMS 的能力
      • 發行文件
        • 產生 PL 對文件進行保護
      • 授權
        • 取得 UL ,授權使用者使用受保護的文件
      • 使用受保護的資訊
        • 應用程式使用 RMS client 來管制功能的使用
    • 12. 部署 伺服器與用戶端電腦完成啟用
      • 部署用戶端
      • 安裝 RMS Client(SP2)
      • 產生 SPC
      AD RMS 用戶端 AD RMS 根叢集
      • 伺服器部署與提供
      • 安裝 AD RMS
      • 產生 SLC
    • 13. 使用者驗證
      • 透過服務連接點 (SCP) 探索 AD RMS 服務位址
      • Windows 驗證
      • RAC
        • 使用者身份識別
        • 用以對 CLC 加密
        • 由 SLC 簽署並以 SPC 加密
      • CLC
        • 授權用戶發行文件
        • 用以對 PL 簽署
        • 由 SLC 簽署並以 RAC 加密
      AD RMS 服務叢集 AD RMS 用戶端 SLC SPC 用戶完成發行與使用資訊的準備
    • 14. 發行文件
      • AD RMS 以使用原則保護文件
        • 產生加密文件的 Content key
        • 以 Content key 加密文件
        • 產生 PL
          • 記載本文件的使用原則 (Rights Info)
          • 以 SLC 對 Content Key 加密
          • 使用 CLC 對 PL 簽署
          • 由應用程式對資訊進行組合
      AD RMS 用戶端 CLC 資訊已受保護 散佈受保護的資訊
    • 15. 授權
      • UL
        • 讓使用者使用受保護的文件
        • 以 RAC 加密 Content Key
        • 以 SLC 簽署
      收到已保護的資訊 AD RMS 用戶端 AD RMS 服務叢集 RAC PL 使用者被授權使用資訊
    • 16. 使用受保護的資訊
      • 應用程式使用 AD RMS Client 進行
        • 評估 UL 是否被授權
        • 使用 Security Processor 與 SPC 解密 RAC private key
        • 使用 RAC 解密 UL Content key
        • 使用 Content key 解密受保護的文件
        • 授權使用者能對這份文件進行哪些操作
      • 用戶端
        • 受保護的文件
        • UL
        • RAC
        • Security Processor
      文件已可被使用並且應用程式強制控管使用的權限
    • 17. 大綱
      • AD RMS 功能與運作
      • 建置與管理 AD RMS
      • 在 Office 2007 使用受保護文件
      • AD RMS 與 AD FS 整合
      • 與 Office SharePoint Server 2007 整合
    • 18.
      • Active Directory
        • Windows Server 2008 、 Win Srv 2003 或 Win 2000 Srv SP3 ( 含以上 )
      • Database Server
        • SQL Server 2000 SP4 或 SQL Server 2005
      • AD RMS 伺服器的需求
        • Windows Server 2008 (Windows Web Server 2008 除外 )
        • 安裝 MSMQ 、 IIS 7.0 、 ASP.NET 2.0
        • NTFS 檔案系統 ( 建議 )
        • 若無 SQL Server ,可使用 Windows Internal Database ,但不能使用 MSDE
      • 用戶端
        • Windows Server 2008 與 Vista 內建
        • Win2000 SP3 、 Win XP Pro 與 Win 2003 需安裝 RMS Client SP2
        • Office Professional 2003 或 Office Enterprise 2007 等
      環境、伺服器軟體與用戶端需求
    • 19. AD RMS 帳號
      • AD RMS Server 安裝及管理帳號
        • 網域的 Domain Users 與 AD RMS Enterprise Administrators 群組成員
        • AD RMS Server 本機的 Administrators 群組成員
        • 在 SQL Server 為 System Administrators role
      • AD RMS Server 服務帳號
        • 不能與用來安裝 AD RMS 的網域帳號相同
        • AD RMS Service Group 及 Domain Users 群組成員
        • 需具備登入 AD RMS Server 本機的權限
      • 使用者及群組帳號
        • 必需設定電子郵件屬性
    • 20.
      • AD RMS 是使用叢集的方式建構的
      • 一部 AD RMS 伺服器 = AD RMS 叢集中的單一節點
      AD RMS 伺服器硬體需求 AD RMS Cluster NLB HSM
      • RMS Web Services
      • Certification
      • Publishing
      • Licensing
      Log DB 80 GB 的可用硬碟空間 40 GB 的可用硬碟空間 1GB 的記憶體 512 MB 的記憶體 Pentium 4 3.0 GHz 雙 CPU Pentium 4 3.0GHz 單 CPU 建議配備 最低需求
    • 21. 同一叢集多部伺服器
      • 一個 AD 樹系 (Forest)
        • 1 個根叢集
        • 可 0~n 個授權叢集
      • 提供容錯與負載分散
        • 使用 DNS 為同一 FQDN 設定多個 A 記錄
        • 使用 NLB 讓多部電腦使用相同的叢集 IP 位址
      • 必需使用 相同版本 的 AD RMS
      • 共用 同一組資料庫 ( 組態、記錄、快取 )
      • 若使用 https
        • 同一叢集的所有節點 ( 伺服器 ) , 應安裝相同的憑證
    • 22. 註冊服務連接點( SCP )
      • RMS 用戶端藉由『服務連接點』找到 AD RMS 以索取帳號憑證、發行授權與使用授權
      • 必需是 Enterprise Admins 的群組成員才有足夠權限
      帳號憑證、發行授權與使用授權 AD RMS Active Directory 目錄服務 識別 AD RMS 服務 AD RMS 連線 URL
    • 23. 權限原則範本( RPT )
      • 簡化資訊作者對保護文件的繁瑣設定
      • 可依據不同的語言提供不同的權限原則範本
      • 應依據資訊內容的機密等級或使用者的分類進行設定,不宜過多
      • 建立後需散佈至資訊作者可存取到的資料夾 (UNC)
        • 權限至少應為 AD RMS 服務帳戶可寫入、資訊作者可讀取
      • 用戶端應用程式需知道此散佈位置
        • HKCUSoftwareMicrosoftOffice12.0CommonDRM
        • AdminTemplatePath
    • 24.
      • 安裝 AD RMS 根叢集
    • 25.  
    • 26. Office Enterprise 2007
      • Office Professional 2003 也支援的產品
        • Word 、 Excel 、 Power Point 、 Outlook
      • Office Enterprise 2007 新支援的產品
        • InfoPath
      • Outlook
        • 更清楚得知郵件是否啟用版權管理
      • 將 AD RMS 叢集 URL 加入近端內部網站
      • 若使用 https ,請信任根憑證授權單位
    • 27. 大綱
      • AD RMS 功能與運作
      • 建置與管理 AD RMS
      • AD RMS 與 AD FS 整合
      • 與 Office SharePoint Server 2007 整合
    • 28. AD RMS 與 AD FS 整合
      • 優點
        • 只需單方部署 AD RMS 即可
        • 不需將 AD RMS (Web Service) 的權限調整為允許匿名存取
        • 不需建立網域信任或樹系信任
        • 使用 https ,安全、方便
      • 需求
        • 雙方皆需要架設 AD FS ,且在夥伴組織進行正確設定
        • 已部署 AD RMS 的企業為資源夥伴,需將 certification 與 licensing 在 AD FS 設定為宣告感知應用程式
        • AD RMS 服務帳戶需額外授予 Generate Security Audits
        • 需在 AD FS 與 AD RMS 安裝後,再安裝 Identity Federation Support 並啟用它
        • 帳戶夥伴的用戶端需修改登錄機碼值、加入信任站台及 CA
    • 29. B 公司 A 公司 AD RMS Web Agent
      • 假設 B 公司人員已完成應有的啟動動作
      • B 公司人員送出受保護的 E-Mail 給 A
      • A 公司收件人對 AD RMS 提出要求
      • B 公司 RMS 電腦的 AD FS Web agent 攔截此要求
      • RMS client 將被重新導向到 B 公司 的 FS-R ,並提示自己的 realm 為 A 公司
      • RMS client 將再被重新導向到 A 公司 的 FS-A 進行驗證(由 A 公司 Account Store ,例: AD 網域)
      • RMS client 在驗證過後被重導回 B 公司 的 FS-R 進行確認與對應
      • RMS client 對 AD RMS 伺服器提出要求
      • AD FS Web agent 攔截此要求並檢查 FS-R 所發出的 AD FS Token 內容後 , 送出要求給 AD RMS server
      • RMS server 發出 RAC 給收件人
      • RMS server 發出 UL 給收件人
      • 收件人存取受保護的文件
      AD RMS 與 AD FS 整合 AD AD FS-A FS-R 1 RAC CLC PL 2 4 3 5 6 7 8 9 RAC CLC 10 UL 11 12
    • 30.
      • 在 AD RMS 設定 Federation Identity Support
        • 授予 AD RMS 服務帳號具有 Generate Security Audits 權利
        • 在 AD RMS 設定 Externet URL
        • 在 AD FS 為 AD RMS 建立宣告感知應用程式
          • https://ADFS 站台 /_wmcs/certificationexternal/
          • https://ADFS 站台 /_wmcs/licensingexternal/
        • 修改 web.config
        • 安裝 Identity Federation Support
        • 在 AD RMS 啟用 Federated Identity Support
        • 修改帳戶夥伴用戶端的 registry
    • 31.  
    • 32. 大綱
      • AD RMS 功能與運作
      • 建置與管理 AD RMS
      • AD RMS 與 AD FS 整合
      • 與 Office SharePoint Server 2007 整合
    • 33. MOSS 2007 使用版權管理 未加密 已受保護 Policy
    • 34. 設定 MOSS 2007 使用版權管理
      • 使用 IE 將 SharePoint Site 加入近端內部網站
      • 在 SharePoint 3.0 管理中心授予用戶存取
      • 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權
      • 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理
      • 在 SharePoint 站台使用 AD RMS 限制權限
    • 35.  
    • 36. 設定 MOSS 2007 使用版權管理
      • 使用 IE 將 SharePoint Site 加入近端內部網站
      • 在 SharePoint 3.0 管理中心授予用戶存取
      • 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權
      • 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理
      • 在 SharePoint 站台使用 AD RMS 限制權限
    • 37.  
    • 38. 設定 MOSS 2007 使用版權管理
      • 使用 IE 將 SharePoint Site 加入近端內部網站
      • 在 SharePoint 3.0 管理中心授予用戶存取
      • 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權
      • 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理
      • 在 SharePoint 站台使用 AD RMS 限制權限
    • 39.  
    • 40. 設定 MOSS 2007 使用版權管理
      • 使用 IE 將 SharePoint Site 加入近端內部網站
      • 在 SharePoint 3.0 管理中心授予用戶存取
      • 在 AD RMS 授予 MOSS 2007 Computer Account 對 certification pipeline 存取權
      • 在 SharePoint 3.0 管理中心啟用 MOSS 2007 的資訊版權管理
      • 在 SharePoint 站台使用 AD RMS 限制權限
    • 41.  
    • 42.  
    • 43. 結論
      • 使用 AD RMS 與 Office Enterprise 2007
          • 保護您的敏感資料
      • 使用 AD RMS(IFS) 與 AD FS 整合
        • 達成同盟企業單方部署 AD RMS
        • 當然,雙方都部署 AD RMS 也很好
      • 使用 MOSS 2007(IRM) 與 AD RMS 整合
        • 保護內部或分享的文件
        • 不需文件作者對每一份文件設定保護
    • 44. 相關資源
      • Microsoft Windows Server 2008 Home
        • http://www.microsoft.com/windowsserver2008/
      • Microsoft TechNet
        • http://www.microsoft.com/taiwan/technet/
      • Microsoft Forums
        • http://forums.microsoft.com/
    • 45. TechNet 訂閱者下載
      • http://www.microsoft.com/taiwan/technet
    • 46. Training Resources For training information and availability www.microsoft.com/learning Updating Your Active Directory Technology Skills to Windows Server 2008(Beta 3) 6416A Title Course ID
    • 47.
      • Self-study learning tool free to anyone.
      • Determines skills gaps.
      • Provides learning plans.
      • Post your Score, see how you stack up.
      Readiness with Skills Assessment Visit www.microsoft.com/assessment
    • 48. Become a Microsoft Certified Professional
      • What are MCP certifications?
        • Validation in performing critical IT functions.
      • Why Certify?
        • WW recognition of skills gained via experience.
        • More effective deployments with reduced costs
      • What Certifications are there for IT Pros?
        • MCP, MCSE, MCSA, MCDST, MCDBA.
      www.microsoft.com/learning/mcp
    • 49. Heard the News about TechNet? www.microsoft.com/technet/subscriptions
      • Software without time limits!
      • Complimentary technical support.
      • The most current resources on hand
    • 50. Find all these support options at www.microsoft.com/technet/support Microsoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support. 1. No-Charge Online Support Knowledge Base Search a vast database of articles to pinpoint the information you need. Newsgroups Access over 20,000 active newsgroups on scores of topics. Product Support Centers Get answers to frequently asked questions, plus how-to articles and step-by-step instructions organized by product. DLL Help Database Search here to identify the software used to install a specific DLL version. Events and Errors Message Center Resolve event and error messages fast with explanations, recommendations, and links to support and resources. Support Webcasts Tune in to live technical presentations by Microsoft experts and take part in real-time Q&A. Chats Chat online with Microsoft specialists or search the transcript archives. User Group Program Access information and support for IT and other interest-specific user groups. TechNet Security Resource Center Get ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service. 2. Subscription-Based Support TechNet Subscription Subscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source. Upgrade to a TechNet Plus subscription and add all this: 1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions. 2. Free support — two complimentary incidents, plus a discount on other support calls. 3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only). 3. Assisted Incident Support E-mail Support Get online incident help via e-mail from a Microsoft Support Professional. Phone Support Get incident help over the phone from a Microsoft Support Professional. Phone Support Contract Save with a discounted 5-Pack Phone Support contract. Advisory Services Add remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance. 4. Contract-Based Support Premier Support Get the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24x7 problem resolution, and training and workshops that keep your IT staff up to date. Essential Support Essential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.
    • 51. Where Else Can I Get Help?
      • Free chats and webcasts
      • List of newsgroups
      • Microsoft community sites
      • Community events and columns
      www.microsoft.com/technet/community
    • 52.  

    ×