Active Directory Rechteverwaltungsdienste (RMS) und Exchange Server 2016 (Teil 2)

Frank Zöchling

vor 8 Jahren

In Teil 1 dieser Artikelserie wurde der RMS Server installiert, in Teil 2 geht es nun um die Konfiguration. Zur Erinnerung noch einmal die Umgebung aus Teil 1:

Umgebung

Die Umgebung in der die Active Directory Rechteverwaltungsdienste installiert werden, sieht wie folgt aus:

Es gibt ein paar Benutzer mit Outlook 2016, einen Domain Controller, 3 Exchange Server (eine DAG), ein File Server für das Quorum und einen Windows Server 2012 R2 der in Teil 1 als Rechteverwaltungsdienste Server installiert wurde.

Das Active Directory hört auf den Namen frankysweb.de, die Benutzer verwenden Windows 10 mit Outlook 2016.

Vorbereitung

Damit RMS korrekt funktioniert, müssen zunächst die Authentifizierungseinstellungen im IIS angepasst werden. Im IIS Manager findet sich unterhalb der „Default Web Site“ eine Anwendung mit dem Namen „_wmcs“. Für diese Anwendung muss die „Anonyme Authentifizierung“ aktiviert werden:

Unterhalb von „_wmcs“ befindet sich die Anwendung „licensing“, auch hier wird die „Anonyme Authentifizierung“ aktivuert.

Die restlichen Anwendungen brauchen nicht angepasst werden:

Jetzt kann eine neue Active Directory Gruppe angelegt werden. Die Gruppe dient für die AD RMS Administratoren:

Als Mitglieder der Gruppe werden nun die Konten hinzugefügt, die AD RMS verwalten dürfen. In meinem Fall ist das „Administrator“

Die Admin Gruppe benötigt eine E-Mail Adresse, daher muss die Gruppe am Exchange Server als Verteilergruppe aktiviert werden.

Enable-DistributionGroup SG_RMSAdmins

Für die Verteilung der RMS Vorlagen wird eine Freigabe benötigt. Ich habe dazu einen Ordner auf Laufwerk C: mit dem Namen „ADRMS Vorlagen“ angelegt:

Der Ordner wird für das RMS Dienstkonto freigegeben:

 New-SmbShare -Name ADRMSVorlagen -Path "c:\ADRMS Vorlagen" -FullAccess frankysweb\ADRMSServiceAccount

Konfiguration Active Directory Rechteverwaltungsdienste (AD RMS)

Im Startmenü findet sich nach der Installation von AD RMS eine entsprechende Verwaltungskonsole die nun zur Konfiguration benötigt wird:

Als Erstes wird der Export von Vorlagen für Benutzerrechterichtlinien in die zuvor erstellte Freigabe aktiviert:

Für den Export wird der UNS Pfad der Freigabe angegeben:

Unter dem Punkt Sicherheitsrichtlinien gibt es den Punkt Administratoren. Hier kann der Administratorzugriff aktiviert werden und die zuvor erstellte Gruppe „SG_RMSAdmins“ eingetragen werden. Dazu wird zunächst auf „Administratoren aktivieren“ geklickt:

Unter dem Punkt „Administratorengruppe ändern“ kann jetzt die erstellte Verteilergruppe angegeben werden:

Konfiguration der ersten „Vorlage für Benutzerrechterichtlinien“

Die Benutzerrechterichtlinien steuern, wie der Name vermuten lässt, welche Rechte Benutzern für Dokumente oder Mails eingeräumt werden. Via Benutzerrechterichtlinien wird zum Beispiel festgelegt, dass ein Empfänger (der Benutzer) eine Mail lesen, aber nicht weiterleiten oder drucken darf. In diesem Beispiel wird eine „Nur Lesen“-Richtlinie erzeugt.

Dazu wird eine „Verteilte Vorlage für Benutzerrechterichtlinien“ erzeugt:

Es startet ein Assistent, hier müssen zunächst die Sprachen hinzugefügt werden. Eine Benutzerrechterichtlinie unterstützt mehrere Sprachen um den Benutzern mitzuteilen, welche Rechte über die Richtlinie vergeben werden. Ich füge zunächst nur „Deutsch“ als Sprache hinzu:

Name und Beschreibung werden den Benutzern angezeigt, daher sind hier kurze und sprechende Namen/Beschreibungen sinnvoll:

Nachdem die Sprachen konfiguriert wurden, kann es weitergehen:

Im folgenden Dialog werden die Rechte für die entsprechenden Benutzer konfiguriert. Hier lassen sich auch unterschiedliche Rechte für unterschiedliche Gruppen konfigurieren.

Ich verwende zunächst alle Benutzer:

Und vergebe das Recht „Ansicht“

Mit der Ablaufrichtlinie kann gesteuert werden, die lange die Lizenz gültig ist. Beispielsweise kann konfiguriert werden, dass ein Empfänger eine Mail einen Tag lang lesen darf, danach aber nicht mehr.

Ich lasse Lizenzen erst einmal nicht ablaufen: