Serverservices in AD RMS bieden AD RMS-servertoepassingen de mogelijkheid rechtenaccountcertificaten (RAC's) aan te vragen namens andere gebruikers. Een voorbeeld van een AD RMS-servertoepassing is Microsoft Exchange Server 2007. Er zijn enkele zaken waarvan u zich bewust moet zijn als u serverservices configureert:
-
Discretionary Access Control Lists (DACL's) op de AD RMS-pipelines gebruiken standaard de best beveiligde instellingen. Als u werkt met AD RMS-serverservices moet u de DACL wijzigen.
-
Als de AD RMS-client is geïnstalleerd op een Windows Server 2003-, Windows Server 2008- of Windows Server 2008 R2-server en Verbeterde beveiliging van Internet Explorer is ingeschakeld, moet u de URL van het AD RMS-cluster toevoegen aan de beveiligingszone Lokaal intranet in Internet Explorer.
-
Tal van serverservices gebruiken de geavanceerde Active Directory Domain Services-functionaliteit (AD DS) die uitsluitend beschikbaar is als op alle AD DS-domeincontrollers Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd. Als u werkt met serverservices, is het aan te raden dat op alle domeincontrollers Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd, en dat het AD DS-domeinfunctionaliteitsniveau en het AD DS-forestfunctionaliteitsniveau niet lager zijn dan Windows Server 2003.
Bij een standaardinstallatie van AD RMS, is de toegang tot de DACL van de AD RMS-servercertificeringspipeline beperkt, wat betekent dat een toepassing geen certificaten en licenties kan verkrijgen voor gebruikers. Als u echter over een AD RMS-toepassing voor deze computers beschikt, kunt u gebruikers toch toegang bieden tot uw AD RMS-systeem. U doet dit door de DACL's van de AD RMS-servercertificeringspipeline te configureren.
AD RMS-servertoepassingen kunnen met het bestand ServerCertification.asmx verbinding maken met de AD RMS-servercertificeringsservice.
Opmerking | |
Als zich meer dan één AD RMS-server in het AD RMS-cluster bevindt, moet de DACL van de servercertificeringsservice op elke server in het cluster worden gewijzigd. |
Lidmaatschap van de lokale groep Administrators , of daaraan gelijk, is minimaal vereist om deze procedure te voltooien.
De certificering van serverservices inschakelen |
Open Windows Verkenner en navigeer naar de map waarin Internet Information Services is geïnstalleerd. Het pad naar de map is standaard %systemdrive%\Inetpub\wwwroot\_wmcs\Certification.
Om servers in staat te stellen RAC's te ontvangen, klikt u met de rechtermuisknop op ServerCertification.asmx en klikt u vervolgens op Eigenschappen.
Klik op het tabblad Beveiliging op Toevoegen en voeg het computeraccountobject toe van de AD RMS-servertoepassing en de AD RMS-servicegroep.
Schakel in de lijsten met bevoegdheden voor de groepen het selectievakje Toestaan in voor de bevoegdheden Lezen en Lezen en uitvoeren en klik op OK.
Opmerking Als meerdere servers AD RMS-toepassingen hosten, kunt u overwegen een groep te maken door alle computerobjecten toe te voegen aan deze groep, en vervolgens de groep toe te voegen aan de DACL van de certificeringspipeline.
Start Internet Information Services opnieuw door IISRESET bij de opdrachtprompt uit te voeren om de wijzigingen in de DACL's te implementeren voor de AD RMS-webservices.