Active Directory Right Management Services : installation et configuration


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Prérequis et préparation au déploiement de AD RMS

Prérequis

Le déploiement d’AD RMS nécessite plusieurs prérequis au niveau infrastructure.

Le point le plus important est la formation des ‘utilisateurs à l’utilisation de ce service. Comme nous le verrons à la suite de ce tutoriel, les droits RMS sont appliqués par le créateur du document, ce qui rend autonome l’utilisateur, contrairement à un partage classique où la sécurité NTFS est assuré par le service informatique.

Prérequis pour le déploiement d’AD RMS :

  • Un environnement Active Directory.
  • Pour le cluster AD RMS un ou plusieurs serveurs membres du domaine Active Directory, de préférence dédiée à ce rôle.
  • Dans le cas d’un déploiement de plusieurs serveurs AD RMS, prévoir une base de données SQL Server 2008 minimum. Si un seul serveur, il est possible d’utiliser la base interne à Windows (WID).
  • Le ou les serveurs pour AD RMS doivent être membre du domaine.
  • Les utilisateurs et groupes Active Directory doivent posséder une adresse e-mail dans leur attribut afin de pouvoir être utilisés avec AD RMS.
  • Prévoir un nom DNS pour le cluster AD RMS :
  • Les utilisateurs doivent avec un client compatible afin de pouvoir appliquer et lire les fichiers protégés.
    • Office Pro ou Adobe Pro pour appliquer des droits RMS.
    • Office ou Acrobat Reader pour ouvrir le ou les fichiers.

Préparation

Avant de commencer l’installation du rôle AD RMS, nous allons préparer l’environnement.

Création d’un groupe pour les super-utilisateurs

Afin de pallier une erreur utilisateur sur l’application des droits, il est possible de configurer dans AD RMS un groupe super-admin qui a la possibilité d’éditer tous les fichiers.

Depuis la console Utilisateurs et ordinateurs Active Directory, créer un groupe en indiquant une adresse de messagerie 1.
ADRMS - Super user group

Ajouter ensuite, le ou les personnes qui pourront accéder à tous les documents.

Compte de service pour le cluster AD RMS

Lors de la configuration post-installation et de la création du cluster AD RMS, un compte de service doit être configuré. Toujours à l’aide de la console Utilisateurs et ordinateur Active Directory, créer un compte utilisateur standard dont le mot de passe n’expire jamais.
AD RMS - Service Account

Un partage réseau

Créer un partage réseau accessible en Lecture par tout le monde et en contrôle totale par le compte de service. Ce partage va service à l’export au format XML des modèles stratégie de droits.

Network share

Enregistrement DNS

Créer un enregistrement DNS pour le nom du cluster qui pointent sur l’IP du serveur prévu au rôle.

AD RMS Record DNS

Certificat pour le cluster

Si vous possédez une autorité de certification, prévoir un certificat au nom du cluster AD RMS.

Requesting a certificate for the AD RMS cluster IIS certificate installed

SQL Server (facultatif)

Si vous souhaitez mettre plusieurs serveurs AD RMS dans le cluster, il est nécessaire de prévoir une instance SQL Server

Déploiement des rôles AD RMS

Installation des rôles pour AD RMS

Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.
Setting up roles for AD RMS

Au lancement de l’assistant, cliquer sur Suivant 1.
installation wizard

Type d’installation, choisir Installation basée sur un rôle ou une fonctionnalité 1 puis cliquer sur Suivant 2.
Install type

Sélectionner le serveur 1 et cliquer sur Suivant 2.
Select server for AD RMS

Dans la liste des rôles, cocher la case Services AD RMS (Active Directory Right Management) 1.

Select role AD RMS

Confirmer l’ajout des dépendances au rôle en cliquant sur Ajouter des fonctionnalités 1.
Adding dependencies

Le rôle AD RMS est maintenant coché 1, cliquer sur Suivant 2.
AD RMS checked

Passer la liste des fonctionnalités en cliquant sur Suivant 1.
Skip features

Un résumé du rôle AD RMS s’affiche, cliquer sur Suivant 1.
AD RMS Overview

Sélectionner le service Active Directory Rights Management Server 1 et cliquer sur Suivant 2
Select AD RMS Service.

Passer le résumé du rôle IIS en cliquant sur Suivant 1.
IIS Overview

Cliquer sur Suivant 1 pour valider les services du rôle IIS.
IIS services

Confirmer l’installation en cliquant sur le bouton Installer 1.
Confirm install

Patienter pendant l’installation …
Wait during the installation Wait during the installation

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.
Installation completed

 Configuration post déploiement

Avant de lancer l’assistant de configuration post-déploiement, installer le certificat dans IIS.
IIS certificate installed

Une fois le certificat installé, retourner sur le Gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Effectuer une configuration supplémentaire 2.
Post installation assistant

Au lancement de l’assistant s’affiche de nouveau le résumé des services AD RMS, cliquer sur Suivant 1.
Overview AD RMS Service

Choisir l’option Créer un nouveau cluster racine AD RMS 1 et cliquer sur Suivant 2.
New AD RMS Cluster

Choisir Utilisateur la base de données interne de Windows sur ce serveur 1 et cliquer sur Suivant 2.
Select SQL Server

Indiquer le compte de service créé au début 1 et cliquer sur Suivant 2.
Service account

Choisir le mode de chiffrement  2 1 puis cliquer sur Suivant 2.
Encryption mode

Configurer le stockage des clés en sélectionnant Utilisateur le stockage de clé AD RMS géré de manière centralisée 1 et cliquer sur Suivant 2.
key storage

Entrer le mot de passe du cluster 1 et cliquer sur Suivant 2.
AD RMS cluster password

Ce mot de passe vous sera demandé pour joindre d’autre serveur au cluster AD RMS.

Choisir le site utilisé IIS pour AD RMS 1 puis cliquer Suivant 2.
Select IIS

Choisir le type de connexion SSL 1, entrer le nom de domaine du cluster 2 (URL) et cliquer sur Suivant 3.
Configure url

Choisir le certificat qui correspond au nom DNS du cluster 1 puis cliquer Suivant 2.
Select certicate

Si nécessaire, changer le nom du certificat de licence du serveur 1 et cliquer sur Suivant 2.
Name of the license certificate

Choisir l’option Enregistrer le pont de connexion de service maintenant 1 puis cliquer sur Suivant 2.
Scp recording

Un résumé de la configuration s’affiche, cliquer sur Installer 1.
Confirm configuration

Patienter pendant la configuration ….
Application de configuration AD RMS Application de configuration AD RMS

Une fois la configuration appliquée, quitter l’assistant en cliquant sur Fermer 1.
Applied configuration

L’installation et la configuration du service AD RMS est terminé, le service peut maintenant être utilisé par les utilisateurs ayant une version d’Office compatible.




Laisser un commentaire