RMS hakkında ufak bir yazı..
Windows Server® 2008 işletim sistemindeki Active Directory Rights Management Services (AD RMS) rolü Microsoft® Windows® Rights Management Services’te (RMS) bulunmayan birkaç yeni özellik içermektedir. Bu yeni özellikler AD RMS yönetimini kolaylaştıracak ve kullanımını kuruluşunuzun dışına kadar genişletecek şekilde tasarlanmıştır. Bu yeni özellikler şunları içerir:
- Windows Server 2008 işletim sisteminde AD RMS rolünü sunucu rolü olarak ekleme
- Microsoft Yönetim Konsolu (MMC) aracılığıyla yönetim
- Active Directory Federasyon Hizmetleri (AD FS) ile tümleştirme
- AD RMS sunucularının otomatik kaydı
- Yeni AD RMS yönetim rolleri aracılığıyla sorumluluk için temsilci seçebilme
AD RMS’nin işlevi nedir?
Biçim ve uygulama bağımsız bir teknoloji olan AD RMS, bilgi koruma çözümlerinin oluşturulmasına olanak tanımak için hizmetler sağlar. Hassas bilgiler için kalıcı kullanım ilkeleri sağlamak amacıyla AD RMS etkin tüm uygulamalarla çalışır. AD RMS kullanılarak korunabilecek içerik arasında intranet Web siteleri, e-posta iletileri ve belgeler yer alır. AD RMS, geliştiricilerin, varolan uygulamaların işlevlerine bilgi korumayı eklemelerine olanak tanıyan çekirdek işlevler kümesi içerir.
Hem sunucu hem de istemci bileşenleri içeren AD RMS sistemi, aşağıdaki işlemleri gerçekleştirir:
- Hakları korunan içeriği lisanslama. AD RMS sistemi hakları korunan içerikleri yayımlayabilecek güvenilen varlıkları (kullanıcılar, gruplar ve hizmetler gibi) tanımlayan hak hesabı sertifikaları verir. Güven kurulduktan sonra, kullanıcılar korumak istedikleri içeriğe kullanım hakları ve koşulları atayabilir. Bu kullanım hakları, hakları korunan içeriğe kimin erişebileceğini ve söz konusu içerikle ne yapabileceklerini belirtir. İçerik korunduğunda, içerik için yayımlama lisansı oluşturulur. Bu lisans, içeriğin dağıtılabilmesi için belirli kullanım hakları ile söz konusu içerik arasında bağlantı oluşturur. Örneğin, kullanıcılar, hakları korunan belgeleri hak koruması kaybolmadan kuruluşları içindeki veya dışındaki diğer kullanıcılara gönderebilir.
- Hakları korunan içeriğin şifresini çözmek için lisans alma ve kullanım ilkelerini uygulama. Hak hesabı sertifikası verilen kullanıcılar, hakları korunan içeriği görüntülemesine ve bu içerikle çalışmasına olanak tanıyan AD RMS etkin bir istemci uygulaması kullanarak hakları korunan içeriğe erişebilir. Kullanıcılar hakları korunan içeriğe erişmeyi denediğinde, söz konusu içeriğe erişmek veya içeriği “kullanmak” için AD RMS hizmetine istek gönderilir. Kullanıcı korunan içeriği kullanmayı denediğinde, AD RMS kümesindeki AD RMS lisanslama hizmeti, yayımlama lisanslarında belirtilen kullanım haklarını ve koşulları okuyan, yorumlayan ve uygulayan benzersiz bir kullanım lisansı verir. Kullanım hakları ve koşulları kalıcıdır ve içeriğin gittiği her yerde otomatik olarak uygulanır.
- Hakları korunan dosyalar ve şablonlar oluşturma AD RMS sisteminde güvenilen varlıklar olan kullanıcılar, AD RMS teknolojisi özelliklerini içeren AD RMS etkin bir uygulamadaki tanıdık yazma araçlarını kullanarak koruması geliştirilmiş dosyalar oluşturabilir ve bunları yönetebilir. Bunun yanında, AD RMS etkin uygulamalar kullanıcıların önceden tanımlı kullanım ilkeleri kümesini verimli bir şekilde uygulamasına yardımcı olmak için merkezi olarak tanımlanmış ve resmi olarak yetkilendirilmiş kullanım hakları şablonlarını kullanabilir.
Bu sunucu rolü kimleri ilgilendirir?
AD RMS, hakları korunan içerik nereye taşınırsa taşınsın söz konusu içeriğin daha güvenli olmasına yardımcı olmak için tasarlanmıştır.
Aşağıdaki gruplardan birinde yer alıyorsanız bu bölümü ve AD RMS ile ilgili ek belgeleri gözden geçirmelisiniz:
- Kuruluş hakları yönetimi ürünlerini değerlendiren BT planlamacıları ve analistler
- Varolan RMS altyapısının desteklenmesinden sorumlu BT uzmanları
- Hem durağan hem de hareketli veriler için koruma sağlayan bilgi koruma teknolojisini dağıtmakla ilgilenen BT güvenliği mimarları
Dikkat edilmesi gereken özel noktalar var mıdır?
AD RMS hakları korunan içeriği kullanmayı deneyen kullanıcının bunu yapmaya yetkilendirildiğini doğrulamak için Active Directory Etki Alanı Hizmetleri’ne (AD DS) dayanır. Yükleme sırasında AD RMS hizmet bağlantı noktasını (SCP) kaydettirirken, yüklemeyi yapan kullanıcı hesabının AD DS’deki Hizmetler kapsayıcısına Yazma erişimi olması gerekir.
Son olarak, tüm yapılandırma ve günlük bilgileri AD RMS Günlük Veritabanı’nda depolanır. Sınama ortamında Windows İç Veritabanı’nı kullanabilirsiniz, ancak üretim ortamında ayrı bir veritabanı sunucusu kullanmanız önerilir.
Bu sunucu rolünün sağladığı yeni işlevler nedir?
AD RMS, RMS’nin önceki sürümlerinden farklı olarak birkaç geliştirme içerir. Bu geliştirmeler aşağıdakileri içerir:
- İyileştirilmiş yükleme ve yönetim deneyimi. AD RMS, Windows Server 2008 ile birlikte gelir ve sunucu rolü olarak yüklenir. Ayrıca, AD RMS yönetimi, önceki sürümlerde sunulan Web sitesi yönetimine karşın artık bir MMC aracılığıyla yapılır.
- AD RMS kümesinin otomatik kaydı. AD RMS kümesi Microsoft Kayıt Hizmetleri’ne bağlanmak zorunda olmadan kayıt edilebilir. Bir sunucu otomatik kayıt sertifikası kullanılarak, kayıt işlemi tamamen yerel bilgisayarda gerçekleştirilir.
- AD FS ile tümleştirme. AD RMS ve AD FS, kuruluşların var olan federal ilişkileri dış ortaklarla işbirliği yapacak şekilde kullanabileceği kadar tümleştirilmiştir.
- Yeni AD RMS yönetim rolleri. AD RMS görevleri için farklı yöneticiler seçebilme yeteneğine her kuruluş ortamında gereksinim duyulur ve bu AD RMS sürümünde bu yetenek bulunmaktadır. Üç yönetim rolü oluşturulmuştur: AD RMS Kuruluş Yöneticileri, AD RMS Şablon Yöneticileri ve AD RMS Denetçileri.
İyileştirilmiş yükleme ve yönetim deneyimi
Windows Server 2008 içindeki AD RMS hem yükleme hem de yönetim deneyimine çok sayıda iyileştirme katmaktadır. RMS’nin önceki sürümlerinde ayrı bir yükleme paketinin karşıdan yüklenmesi ve kurulması gerekiyordu, ancak bu sürümünde AD RMS, işletim sistemiyle tümleştirilmiş ve Sunucu Yöneticisi aracılığıyla sunucu rolü olarak yüklenmiştir. Yapılandırma ve hazırlama işlemi sunucu rolü yüklemesiyle gerçekleştirilir. Ayrıca, Sunucu Yöneticisi, AD RMS sunucu rolü yüklenirken AD RMS hizmetinin bağımlı olduğu Message Queuing ve Web Sunucusu (IIS) gibi tüm hizmetleri otomatik olarak listeler ve yükler. Yükleme sırasında AD RMS Yapılandırma ve Günlük veritabanı olarak bir uzak veritabanı belirtmezseniz, AD RMS sunucu rolü AD RMS ile kullanmak için Windows İç Veritabanı’nı otomatik olarak yükler ve yapılandırır.
RMS’nin önceki sürümlerinde, yönetim bir Web arabirimi aracılığıyla yapılmaktaydı. AD RMS’de, yönetim arabirimi bir MMC ek bileşeni konsoluna aktarılmıştır. AD RMS konsolu RMS’nin önceki sürümlerinde bulunan tüm işlevleri, kullanımı daha kolay bir arabirimde sunar.
Bu işlev neden önemlidir?
AD RMS’nin Windows Server 2008 ile birlikte gelen sunucu rolü olarak sunulması, kurmadan önce AD RMS’yi ayrıca karşıdan yüklemenizi gerektirmediğinden yükleme işlemi daha az çaba gerektirir.
Yönetim için tarayıcı arabirimi yerine bir AD RMS konsolunun kullanılması, kullanıcı deneyimini iyileştirmek için daha fazla seçeneğin kullanılabilir olmasını sağlar. AD RMS konsolu, Windows Server 2008 genelinde tutarlı olan ve izlemesi ve gezinmesi daha kolay olacak şekilde tasarlanan kullanıcı arabirimi öğeleri kullanır. Bunun yanında, AD RMS yönetim rollerinin eklenmesiyle AD RMS konsolu, konsolun yalnızca kullanıcının erişebileceği bölümleri görüntüler. Örneğin, AD RMS Şablon Yöneticileri yönetim rolünü kullanan bir kullanıcı AD RMS şablonlarına özgü görevlerle kısıtlanır. AD RMS konsolunda diğer yönetim görevleri kullanılamaz.
AD RMS sunucusunun otomatik kaydı
AD RMS’deki sunucu kaydı, AD RMS sunucusuna sertifika ve lisans yayınlama yetkisi veren sunucu lisans verme sertifikası (SLC) oluşturma ve imzalama işlemidir. RMS’nin önceki sürümlerinde, SLC’nin bir Internet bağlantısı üzerinden Microsoft Kayıt Hizmetleri tarafından imzalanması gerekiyordu. Bu, Microsoft Kayıt Hizmetleri ile çevrimiçi kayıt yapmak için RMS sunucusunun Internet bağlantısı olmasını ya da sunucunun çevrimdışı kaydını yaptırabilecek ve Internet erişimi olan başka bir bilgisayara bağlanabilmesini gerektiriyordu.
Windows Server 2008 işletim sistemindeki AD RMS’de, AD RMS sunucusunun Microsoft Kayıt Hizmeti ile doğrudan iletişim kurma gereksinimi kaldırılmıştır. Bunun yerine, Windows Server 2008 işletim sistemine AD RMS sunucusunun SLC’sini imzalayan bir sunucu otomatik kayıt sertifikası eklenmiştir.
Bu işlev neden önemlidir?
SLC’nin Microsoft Kayıt Hizmeti tarafından imzalanmasının gerekli kılınması, birçok müşterinin kendi ortamlarında var olmasını istemediği bir bağımlılığı ortaya çıkarmıştır. Artık, Microsoft Kayıt Hizmeti’nin SLC’yi imzalaması gerekmemektedir.
Farklı çalışan nedir?
Microsoft Kayıt Hizmeti’nin AD RMS sunucusunun SLC’sini imzalamasını gerektirmek yerine, Windows Server 2008 ile birlikte gelen sunucu otomatik kayıt sertifikası SLC’yi yerel olarak imzalayabilir. Sunucu otomatik kayıt sertifikası AD RMS’nin Internet’ten tamamen yalıtılmış bir ağda çalışmasına olanak tanır.
Bu değişiklik için nasıl hazırlık yapmalıyım?
Service Pack 1 (SP1) veya daha yenisini içeren RMS’den yükseltirken, salt lisanslama kümesinden önce kök kümenin yükseltilmesi gerekir. Salt lisanslama kümesinin kök kümenin yeni kaydedilen SLC’sini alması için bu gereklidir.
AD FS ile tümleştirme
Kuruluşlar artan bir oranda kendi kuruluş sınırlarının dışında iş birliği yapma gereksinimini hissetmekte ve federasyonu çözüm olarak görmektedir. AD RMS ile federasyon desteği, kuruluşların dış varlıklarla işbirliğini etkinleştirmek için var olan kurulmuş federal ilişkileri kullanmasına olanak tanır. Örneğin, AD RMS dağıtmış olan bir kuruluş AD FS’yi kullanarak bir dış varlıkla federasyon kurabilir ve her iki kuruluşta da AD RMS dağıtımı gerektirmeden hakları korunan içeriği paylaşmak için bu ilişkiyi kullanabilir.
Bu işlev neden önemlidir?
RMS’nin önceki sürümlerinde, hakları korunan içerikle dış işbirliği seçenekleri Windows Live™ ID ile sınırlıydı. AD FS’nin AD RMS ile tümleştirilmesi, kuruluşlar arasında federal kimlikler oluşturabilme yeteneği ve hakları korunan içeriğini paylaşılabilmesini sağlar.
Bu değişiklik için nasıl hazırlık yapmalıyım?
AD FS’yi AD RMS ile birlikte kullanmakla ilgileniyorsanız, AD RMS yüklenmeden önce, işbirliği yapmak istediğiniz dış ortaklarınız ve kuruluşunuz arasında federal güven ilişkisi olması gerekir. Bunun yanında, AD RMS ile AD FS tümleştirmesinden yararlanabilmek için Windows Vista® ile birlikte gelen AD RMS istemcisini veya Service Pack 2′ye (SP2) sahip RMS İstemcisi’ni kullanmanız gerekir. SP2′ye (SP2) sahip RMS İstemcisi’nden önceki RMS istemcileri AD FS işbirliğini desteklemez.
Yeni AD RMS Yönetim Rolleri
AD RMS ortamınızın denetimi için temsilciyi daha iyi seçmek amacıyla yeni yönetim rolleri oluşturulmuştur. Bu yönetim rolleri AD RMS rolü yüklendiğinde oluşturulan yerel güvenlik gruplarıdır. Bu yönetim rollerinin her biri AD RMS’ye farklı erişim düzeyine sahiptir. Yeni roller AD RMS Hizmet Grubu, AD RMS Kuruluş Yöneticileri, AD RMS Şablon Yöneticileri ve AD RMS Denetçileri’dir.
AD RMS Hizmet Grubu AD RMS hizmet hesabını içerir. AD RMS rolü eklendiğinde, kurulum sırasında yapılandırılan hizmet hesabı bu yönetim rolüne otomatik olarak eklenir.
AD RMS Kuruluş Yöneticileri rolü bu grubun üyelerinin tüm AD RMS ilkelerini ve ayarlarını yönetmesine olanak tanır. AD RMS hazırlama sırasında, AD RMS sunucu rolünü yükleyen kullanıcı hesabı ve yerel Administrators grubu AD RMS Kuruluş Yöneticileri rolüne eklenir. En iyi uygulama olarak, bu gruba üyelik yalnızca tam AD RMS yönetim denetimi gerektiren kullanıcı hesaplarıyla sınırlanmalıdır.
AD RMS Şablon Yöneticileri rolü bu grubun üyelerinin hak ilkesi şablonlarını yönetmesine olanak tanır. Daha açıkça belirtmek gerekirse, AD RMS Şablon Yöneticileri küme bilgilerini okuyabilir, hak ilkesi şablonlarını listeleyebilir, yeni hak ilkesi şablonları oluşturabilir, var olan hak ilkesi şablonlarını değiştirebilir ve hak ilkesi şablonlarını verebilir.
AD RMS Denetçileri rolü bu grubun üyelerinin günlükleri ve raporları yönetmesine olanak tanır. Bu rol küme bilgilerini okumak, günlük ayarlarını okumak ve AD RMS kümesinde bulunan raporları çalıştırmak ile sınırlandırılmış salt okunur bir roldür.
Bu işlev neden önemlidir?
Yeni AD RMS yönetim rolleri, AD RMS kümesinin tamamı üzerinde tam yönetim denetimine izin vermeden AD RMS görevleri için temsilci seçme fırsatı tanımaktadır.
Bu değişiklik için nasıl hazırlık yapmalıyım?
Kuruluşlarında AD RMS dağıtmak isteyen müşteriler bu değişikliğe hazırlanmak için hiçbir şey yapmak zorunda değildir. İsteğe bağlı olarak, bu yönetim rollerinin her biri için bir Active Directory güvenlik grubu oluşturulması ve bunların ilgili yerel güvenlik gruplarına eklenmesi önerilir. Bu işlem her AD RMS sunucusuna belirli kullanıcı hesaplarını eklemek zorunda kalmadan AD RMS dağıtımınızı birkaç sunucuya ölçeklemenize olanak tanır.