AD RMS nach der Installation verwalten und überprüfen

Bevor Sie durch Rechte geschützten Inhalt verwenden können, müssen Sie die URL des AD RMS-Clusters zur Sicherheitszone Lokales Intranet auf den Clients mit Windows 8 hinzufügen:

  1. Klicken Sie auf der Taskleiste im Windows 8-Client auf das Internet Explorer-Symbol.
  2. Klicken Sie auf Extras (mit der (Alt)-Taste einblenden) und dann auf Internetoptionen.
  3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Lokales Intranet.
  4. Klicken Sie dann auf Sites.
  5. Klicken Sie auf Erweitert.
  6. Geben Sie unter Diese Website zur Zone hinzufügen die Adresse https://<Servername des AD RMS-Clusters> ein, und klicken Sie dann auf Hinzufügen.
  7. Klicken Sie auf Schließen.

Sie können den Zugriff auf die AD RMS-Lizenzierungswebsite überprüfen, indem Sie die URL im Internet Explorer eingeben. Es sollte eine Warnung zu den Zertifikaten für diese Website angezeigt werden. Dies ist kommt daher, dass Sie bei der Konfiguration von AD RMS ein selbst signiertes Zertifikat verwendet haben.

Klicken Sie im Menü Datei auf Dokument schützen, zeigen Sie dann auf Berechtigung nach Personen einschränken, und klicken Sie auf Eingeschränkter Zugriff. Sie können an dieser Stelle Vorlagen vom AD RMS-Cluster herunterladen und in Office verwenden.

Tipp: USB-Stick von und für VMware vSphere 6.0

ESXi lässt sich sowohl von, als auch auf USB-Stick installieren. Beides ist die im Server-Umfeld inzwischen meist bevorzugte Methode.

Wird kein lokaler Storage benötigt – im professionellen Umgebungen wird zur Ablage von VMs ohnehin ausschließlich mit Shared Storage, bzw. SAN-Arrays gearbeitet – lässt sich der kompakte ESXI-Hypervisor bequem auf einem 4GB-Stick unterbringen, wenngleich VMware inzwischen 16GB empfiehlt – ein Thema für einen künftigen Tipp.

Nicht mit Bordmitteln

Für das Installieren von USB-Stick muss das Boot-ISO des vSphere-Installers in der aktuellen Version VMware-VMvisor-Installer-6.0.0.update01-3073146.x86_64.iso auf einen handelsüblichen USB-Stick übertragen werden.

Während Unix-affine Admins dies souverän z. B. unter Linux mit Hilfe des CLI-Kommandos dd erledigen, braucht man unter Windows ein externes Tools. Viele Windows-Nutzer haben z. B. gewohnheitsmäßig das Windows 7 DVD USB Download Tool  installiert, auch unter Windows 8/8.1. Der Versuch, mit diesem Tool das ESXI-ISO zu übertagen führt allerdings zu einer Fehlermeldung, der nach angeblich das Format des ESXi-ISO-Images ungültig ist.

Rufus ruft

Problemlos funktioniert der Vorgang dagegen mit dem kos¬ten¬losen Tool Rufus. Rufus kommt dankbarerweise als portables Binary und muss nicht installiert werden. Ein Doppelklick zum Starten genügt. Allerdings verlangt das Tool verständlicherweise Administratorrechte.

Die meisten Einstellungen sind selbsterklärend, bzw. mit sinnvollen Default-Werten belegt. Allerdings ist beim ersten Blick nicht sofort zu erkennen, wo man das Quell-ISO auswählen kann. Hierzu aktiviert man das Häkchen bei Startfähiges Laufwerk erstellen und klickt dann auf den Eintrag FreeDOS, wodurch sich ein Klappmenü öffnet und das Auswählen des Typs ISO-Abbild (anstelle von FreeDOS) erlaubt. Anschließend kann man mit einem Klick auf das Symbol rechts davon das gewünschte ISO im Dateibrowser auswählen.
Übrigens kann man beim Partitionierungsschema zwischen MBR und GPT wählen. Da ESXi im Gegensatz zu Windows auch auf UEFI-PCs von einem MBR-Laufwerk startet, darf hier Master Boot Record ruhig stehen bleiben kann. Ein abschließender Klick auf Start und man verfügt nach wenigen Minuten über einen bootfähigen ESXI-6-Installations-Stick.

AD RMS und dynamische Zugriffssteuerung

AD RMS und die dynamische Zugriffssteuerung (http://technet.microsoft.com/de-de/library/hh831717.aspx) arbeiten zusammen. Wie bei der Rechteverwaltung lassen sich auch bei der dynamischen Zugriffssteuerung Richtlinien für den Zugriff auf Dateien erstellen.

Diese Richtlinien steuern den Zugriff auf Dokumente parallel zum herkömmlichen Rechtemodell.

Dieses hat sich auch in Windows Server 2012 R2 nicht geändert. In diesem Bereich arbeitet die dynamische Zugriffssteuerung auch mit den Dateiklassifizierungsdiensten zusammen. Dieser Windows-Dienst erlaubt die Zuteilung von Metadaten (Tags) zu Dateien, die den Zugriff regeln. Auf Basis der Klassifizierung erstellen Administratoren zentrale Zugriffsrichtlinien (Central Access Policies, CAPs) (http://technet.microsoft.com/de-de/library/hh831425) als zusätzliche Berechtigungsebene.

Darf ein Anwender auf eine Datei über das Dateisystem zugreifen, verweigert die CAP aber den Zugriff, ist das Öffnen der Datei trotzdem nicht zulässig. Dies gilt auch umgekehrt. Verweigerungen haben auch in Windows Server 2012 R2 immer Vorrang vor erteilten Berechtigungen. Dürfen Anwender eine Datei nicht öffnen, besteht die Möglichkeit, direkt einen Administrator per E-Mail zu benachrichtigen. Dazu setzen Unternehmen am besten noch parallel zu Windows Server 2012 R2 auf SharePoint 2013 und Exchange 2013

Der Zugriff auf Dateien wird durch Ordner nach unten vererbt, genauso wie bei herkömmlichen Berechtigungen. Anwender dürfen auch noch selbst Rechte erteilen, und auch Anwendungen dürfen automatisch Metadaten in Dateien schreiben, die sich anschließend auf die Rechte auswirken. Die CAP des Unternehmens prüft die Metadaten der Dateien und weist die entsprechenden Rechte zu. Der Vorgang lässt sich dann mit AD RMS auch automatisieren