Active Directory Rights Management Services (RMS) and Exchange Server 2016 (Part 2)

Frank Zöchling

8 years ago

In part 1 of this article series the RMS server was installed, part 2 now deals with the configuration. As a reminder, here is the environment from part 1:

Surroundings

The environment in which the Active Directory rights management services are installed is as follows:

There are a few users with Outlook 2016, a domain controller, 3 Exchange servers (one DAG), a file server for the quorum and a Windows Server 2012 R2 that was installed in part 1 as a rights management services server.

The Active Directory is called frankysweb.de, the users use Windows 10 with Outlook 2016.

Preparation

Damit RMS korrekt funktioniert, müssen zunächst die Authentifizierungseinstellungen im IIS angepasst werden. Im IIS Manager findet sich unterhalb der „Default Web Site“ eine Anwendung mit dem Namen „_wmcs“. Für diese Anwendung muss die „Anonyme Authentifizierung“ aktiviert werden:

Unterhalb von „_wmcs“ befindet sich die Anwendung „licensing“, auch hier wird die „Anonyme Authentifizierung“ aktivuert.

The remaining applications do not need to be adapted:

A new Active Directory group can now be created. The group is for the AD RMS administrators:

Als Mitglieder der Gruppe werden nun die Konten hinzugefügt, die AD RMS verwalten dürfen. In meinem Fall ist das „Administrator“

The admin group requires an e-mail address, so the group must be activated as a distribution group on the Exchange server.

Enable-DistributionGroup SG_RMSAdmins

Für die Verteilung der RMS Vorlagen wird eine Freigabe benötigt. Ich habe dazu einen Ordner auf Laufwerk C: mit dem Namen „ADRMS Vorlagen“ angelegt:

The folder is released for the RMS service account:

 New-SmbShare -Name ADRMSVorlagen -Path "c:\ADRMS Vorlagen" -FullAccess frankysweb\ADRMSServiceAccount

Configuration of Active Directory Rights Management Services (AD RMS)

After installing AD RMS, you will find a corresponding administration console in the start menu, which is now required for configuration:

The first step is to activate the export of templates for user rights policies to the previously created share:

The UNS path of the release is specified for the export:

Unter dem Punkt Sicherheitsrichtlinien gibt es den Punkt Administratoren. Hier kann der Administratorzugriff aktiviert werden und die zuvor erstellte Gruppe „SG_RMSAdmins“ eingetragen werden. Dazu wird zunächst auf „Administratoren aktivieren“ geklickt:

Unter dem Punkt „Administratorengruppe ändern“ kann jetzt die erstellte Verteilergruppe angegeben werden:

Konfiguration der ersten „Vorlage für Benutzerrechterichtlinien“

Die Benutzerrechterichtlinien steuern, wie der Name vermuten lässt, welche Rechte Benutzern für Dokumente oder Mails eingeräumt werden. Via Benutzerrechterichtlinien wird zum Beispiel festgelegt, dass ein Empfänger (der Benutzer) eine Mail lesen, aber nicht weiterleiten oder drucken darf. In diesem Beispiel wird eine „Nur Lesen“-Richtlinie erzeugt.

Dazu wird eine „Verteilte Vorlage für Benutzerrechterichtlinien“ erzeugt:

Es startet ein Assistent, hier müssen zunächst die Sprachen hinzugefügt werden. Eine Benutzerrechterichtlinie unterstützt mehrere Sprachen um den Benutzern mitzuteilen, welche Rechte über die Richtlinie vergeben werden. Ich füge zunächst nur „Deutsch“ als Sprache hinzu:

Name and description are displayed to users, so short and descriptive names/descriptions are useful here:

Once the languages have been configured, you can continue:

The rights for the corresponding users are configured in the following dialog. Different rights for different groups can also be configured here.

I initially use all users:

Und vergebe das Recht „Ansicht“

The expiry policy can be used to control how long the license is valid. For example, it can be configured so that a recipient can read an email for one day, but then no longer.

I don't let licenses expire for the time being: