Поделиться через


Работа с сервером службы управления правами

Работа с сервером службы управления правами относится к задачам управления после развертывания службы управления правами в организации. В документе содержатся справочные сведения по управлению сервером службы управления правами, процедуры для обычных задач администрирования и источники дополнительной информации, а также практические рекомендации.

В данном документе

Терминология, используемая в данном руководстве

сертификация учетной записи
Процесс, связывающий учетные записи пользователей с парами ключей в сертификате учетной записи.

служба сертификации учетных записей
Веб-служба управления правами, которая создает и распространяет сертификаты учетных записей управления правами. См. также сертификация учетной записи.

прокси-сервер активации
Веб-служба управления правами, поддерживающая активацию клиентских компьютеров клиентов службы управления правами версии 1.0. Используется для пересылки запроса на активацию компьютера в службу активации Microsoft. Служба активации создает для компьютера клиента уникальное защищенное хранилище и соответствующий сертификат компьютера управления правами, который затем прокси-сервер активации сервера управления правами пересылает обратно клиенту, сделавшему запрос. См. также защищенное хранилище.

служба администрирования
Веб-служба управления правами, которая расположена на веб-узле администрирования, позволяет управлять службой управления правами, а также обновлять базу данных конфигурации для этого кластера.

манифест приложения
Документ XML, который описывает модули сопоставленного приложения, поддерживающего управление правами, а также все то, что можно выполнить в среде приложения. Любое приложение, ведущее запись в API клиента службы управления правами для создания или использования информации, защищенной с помощью управления правами, должно во время исполнения предоставить манифест.

атрибут
В Active Directory - свойства объекта. Для каждого класса объекта схема определяет, какие у экземпляра класса должны быть атрибуты и какие дополнительные атрибуты он может иметь.

привязка
Механизм выполнения прав в системе управления правами, в которой клиент управления правами проверяет условия лицензии на использование в соответствии с запрошенными правами. Права предоставляются при выполнении этих условий.

сертификат
Цифровой документ, который обычно используется для проверки подлинности и защиты информации в открытых сетях. Сертификат надежно связывает открытый ключ с объектом, содержащим соответствующий открытый ключ. Сертификаты имеют цифровую подпись выпустившего их центра сертификации; сертификаты могут быть выпущены для пользователя, для компьютера или для службы. См. также секретный ключ; открытый ключ.

регистрация клиента
Процесс создания сертификата лицензиара клиента, который позволяет компьютеру или устройству пользователя создавать лицензии на публикацию, которые будут обработаны сервером лицензирования.

сертификат лицензиара клиента
Сертификат, созданный сервером службы управления правами и размещенный на компьютерах клиентов управления правами, который позволяет пользователям публиковать защищенное содержимое в автономном режиме без подключения к сети, поддерживающей управление правами. Сертификат лицензиара клиента содержит ключ, используемый клиентом службы управления правами для цифровой подписи лицензий на публикацию.

условие
Набор указанных ограничений и параметров, которые входят в состав группы прав, объединенных в лицензию на публикацию. Вступает в силу во время использования содержимого. Условие времени — общее условие, позволяющее пользователю установить дату истечения срока действия информации, защищенной с помощью службы управления правами.

база данных конфигурации
База данных, содержащая данные конфигурации управления правами для сервера или кластера.

использование содержимого
Расшифровка и применение прав использования для части защищенного содержимого.

ключ содержимого
Ключ, который используется как для шифрования, так и для расшифровки защищенного содержимого во время публикации и использования. Его также называют симметричным ключом. Служба управления правами использует 128-разрядные ключи содержимого AES.

владелец содержимого
Лицо или организация, устанавливающие политику доступа к защищенному содержимому.

расшифровка
Процесс возврата зашифрованных данных в читаемый формат путем преобразования зашифрованного текста в обычный текстовый формат.

цифровая подпись
Средство, с помощью которого создатель сообщения, файла или других данных, закодированных в цифровом виде, привяжет свое удостоверение к этим данным. Процесс цифрового подписывания данных приводит к их преобразованию, а также к преобразованию секретных данных отправителя, в тег под названием подпись. Цифровые подписи используются в средах открытых ключей и обеспечивают проверку неподдельности и целостности.

служба DRMRemote
Веб-служба управления правами, предоставляющая доступ к службам с помощью интерфейса .NET Remoting, который используется для связи между различными серверами управления правами.

шифрование
Процесс преобразования данных в такую форму, которая может быть прочитана только конкретным получателем. Шифрование - это эффективный способ защиты данных. Для расшифровки зашифрованного файла получатель должен иметь секретный ключ или пароль, который переведет содержимое файла. См. также шифрование с помощью открытого ключа.

регистрация
Процесс, при котором корневой сервер сертификации получает сертификат лицензиара сервера, подписанный службой заявок Microsoft.

запрос на регистрацию
Запрос, отправленный корневым сервером сертификации службы управления правами в службу заявок Microsoft для получения сертификата лицензиара сервера.

исключение
Процесс, используемый сервером службы управления правами для отказа в выдаче клиенту лицензии на использование на основе политики исключений. См. также список исключений.

Список исключений
Список участников, которым служба лицензирования службы управления правами должна отказать в выдаче лицензий.

политика исключений
Параметры в базе данных конфигурации службы управления правами, которые контролируют способ использования исключений в организации.

язык XrML
Формат на основе языка XML, используемый службой управления правами для всех поддерживаемых ею лицензий: сертификатов компьютера, RAC, CLC, лицензий на использование, лицензий на публикацию и сертификатов лицензиара сервера, которые являются документами, определяющими политику службы управления правами, применяемую к защищенному содержимому.

лицензия поставщика
Данные, которые определяют политику управления правами, используемую для защищенного содержимого.

кластер лицензирования
Один или несколько серверов со службами лицензирования и публикации управления правами, расположенные за пределами корневого кластера сертификации. Эти серверы используют общую базу данных и URL подключения и при использовании нескольких серверов должны находиться под защитой программной или аппаратной системы балансировки нагрузки. В отличие от кластера сертификации или корневого кластера, сервер(ы) управления правами в кластере лицензирования не могут выполнять сертификацию пользователей.

сервер лицензирования
Сервер со службами лицензирования и публикации управления правами, расположенный за пределами корневого кластера сертификации.

служба лицензирования
Веб-служба управления правами, которая выдает лицензии на использование.

защищенное хранилище
Модуль программного обеспечения, который отвечает за проверку подлинности при использовании защищенного содержимого, шифрование и расшифровку информации, а также защиту обработки доверенным программным обеспечением от изменения и просмотра. Его также называют "защищенной базой данных".

служба ведения журналов
Служба прослушивателя управления правами, которая преобразует запротоколированные данные из очереди сообщений в базу данных журналов для сервера или кластера управления правами.

активация компьютера
Процесс получения для компьютера уникального защищенного хранилища и сертификата компьютера для службы управления правами версии 1.0. В службе управления правами версии 1.0 с пакетом обновления 1 активация компьютера - это процесс получения сертификата компьютера для каждого пользователя этого компьютера.

манифест
Подписанный документ XML, определяющий библиотеки или программы, которые разрешено, запрещено или можно загрузить в область обработки приложения.

служба активации Microsoft
Веб-служба, расположенная на узле корпорации Майкрософт, которая выдает сертификат компьютера управления правами и защищенные хранилища в ответ на запросы клиентов службы управления правами версии 1.0.

служба заявок Microsoft
Веб-служба, расположенная на узле корпорации Майкрософт, которая выдает сертификат лицензиара сервера для корневого сервера сертификации при развертывании службы управления правами.

предварительная сертификация
Функция службы сертификации управления правами, позволяющая серверу управления правами запросить от имени пользователя сертификат учетной записи управления правами. Сертификаты учетной записи управления правами, полученные с помощью функции предварительной сертификации, содержат только открытый ключ пользователя.

участник
Объект (например, пользователь, группа или диспетчер защищенного содержимого), который имеет установленную роль в схеме безопасности управления правами и для которого можно выполнить защиту объектов.

секретный ключ
Секретная половина пары ключей шифрования, используемая в алгоритме открытого ключа. Секретные ключи обычно используются для расшифровки симметричного сеансового ключа, данных, имеющих цифровую подпись, или для расшифровки данных, которые были зашифрованы соответствующим открытым ключом. См. также открытый ключ, шифрование с открытым ключом.

подготовка
Настройка сервера управления правами для работы в организации.

открытый ключ
Несекретная половина пары ключей шифрования, используемая в алгоритме открытого ключа. Открытые ключи обычно используются при шифровании сеансового ключа, для проверки цифровой подписи или для шифрования данных, которые могут быть расшифрованы соответствующим секретным ключом. См. также секретный ключ, шифрование с открытым ключом.

шифрование с открытым ключом
Метод шифрования, который использует два ключа шифрования, связанные между собой математически. Один ключ называется секретным ключом и держится в секрете. Другой называется открытым ключом и может быть роздан всем потенциальным корреспондентам. В обычной ситуации для шифрования сообщения отправитель использует открытый ключ получателя. Соответствующий секретный ключ для дешифровки сообщения есть только у получателя. Сложность отношений между открытым и секретным ключами означает, что при достаточной длине ключей совершенно нереально, с точки зрения объема вычислений, определить один по другому. Также называется асимметричным шифрованием. См.также секретный ключ; открытый ключ.

лицензия на публикацию
Лицензия, созданная при публикации содержимого, защищенного с помощью службы управления правами. Помимо прочего, определяет, кто может получить доступ к содержимому, какие права предоставлены и при каких условиях может быть получен доступ. Ее также называют лицензией поставщика.

служба публикации
Служба управления правами, которая подписывает лицензии на публикацию и выдает сертификаты лицензиара клиента. См. также сертификат лицензиара клиента; лицензия на публикацию.

RAC
См. определение сертификата учетной записи управления правами.

отзыв
Процесс, при котором создается список объектов с недействительными лицензиями.

список отзыва
Документ XrML, который содержит список сертификатов и лицензий, отозванных поставщиком. См. также отзыв.

право
Действие, разрешенное для определенных пользователей и связанное с содержимым, которое защищено с помощью технологии управления правами. Эти права в дальнейшем могут быть ограничены с помощью условий.

сертификат учетной записи управления правами (RAC)
Сертификат, использующий сертификат компьютера от активации службой управления правами для привязки учетной записи пользователя к конкретному компьютеру или группе компьютеров. Компоненты сертификата используются для предоставления пользователям возможности использования защищенного содержимого. Называется также сертификатом групповой идентификации GIC (group identity certificate) в комплекте SDK службы управления правами.

управление правами
Технология, которая обеспечивает надежную защиту цифровых данных с помощью шифрования, сертификатов и проверки подлинности. Получатели или пользователи, имеющие соответствующее разрешение, должны получить лицензию, чтобы использовать защищенные файлы в соответствии с правами или правилами, установленными владельцем содержимого.

Клиент службы управления правами
Набор интерфейсов API службы управления правами, который должен быть установлен на каждом клиентском компьютере в системе службы управления правами. Он необходим для активации компьютера, а также требуется для использования приложений, поддерживающих управление правами.

шаблон политики прав
Описывает стандартный набор пользователей, прав и условий, которые можно применить для содержимого, защищенного с помощью технологии управления правами. Когда пользователь применяет шаблон политики прав к части содержимого, права и условия, которые в нем описываются, становятся частью лицензии на публикацию.

активация службы управления правами
Процесс размещения защищенного хранилища на компьютере конечного пользователя в службе управления правами версии 1.0. Эта функция может быть предоставлена только службой активации управления правами и требуется для использования технологии управления правами. В службе управления правами с пакетом обновления 1 - процесс получения сертификата компьютера для пользователя этого компьютера, не требующий подключения к службе активации службы управления правами. Ее также называют "активацией".

Служба сертификации службы управления правами
Веб-служба, расположенная на узле корпорации Майкрософт, которая выдает пользователям сертификаты учетных записей управления правами в соответствии с их учетными данными в службе цифровых паспортов .NET.

Клиент службы управления правами
Набор интерфейсов API службы управления правами, который должен быть установлен на каждом клиентском компьютере в системе службы управления правами. Он необходим для активации компьютера, а также требуется для использования приложений, поддерживающих управление правами.

Сертификат компьютера службы управления правами
Сертификат, установленный на компьютере конечного пользователя во время активации управления правами. Открытый ключ в данном сертификате используется для шифрования секретного ключа пользователя, содержащегося в сертификатах учетной записи управления правами пользователя.

Приложение, поддерживающее управление правами
Приложение, функциональные возможности которого расширены с помощью набора SDK для службы управления правами, чтобы дать пользователю возможность задавать права для создаваемого ими содержимого.

Компьютер с поддержкой управления правами
Компьютер, на котором установлен клиентский компонент управления правами и выполнена активация компьютера управления правами, чтобы он мог обработать содержимое, защищенное с помощью службы управления правами.

Содержимое, защищенное с помощью управления правами
Цифровые данные, защищенные с помощью службы управления правами.

корневой кластер сертификации
Один или несколько серверов в установке службы управления правами со службами администрирования, заявок, сертификации учетных записей, прокси-сервера активации, лицензирования и публикации. Эти серверы используют общую базу данных и URL-адрес подключения и должны находиться под защитой программной или аппаратной системы балансировки нагрузки. Один лес Active Directory может содержать только один корневой кластер сертификации.

корневой сервер сертификации
Основной сервер при развертывании службы управления правами со службами администрирования, заявок, сертификации учетных записей, прокси-сервера активации, лицензирования и публикации. Один лес Active Directory может содержать только один корневой сервер сертификации.

корень доверия
Доверенный объект, который является основой для установления доверия других сертификатов. Все поставщики сертификатов и конечный пользователь должны доверять корню.

идентификатор безопасности (SID)
Структура данных Windows, которая определяет все учетные записи Windows пользователя, группы и компьютера. Каждой учетной записи в сети при ее создании выдается уникальный идентификатор SID. Внутренние процессы в Windows обращаются скорее к SID учетной записи, нежели к имени пользователя учетной записи или группы.

сертификат лицензиара сервера
Сертификат, который устанавливает учетные данные сервера управления правами, что позволяет обеспечить его работу в качестве действительной службы сертификации и лицензирования, а также запускать его. Сертификат лицензиара содержит открытый ключ, используемый для шифрования ключей содержимого в лицензиях публикации.

серверная служба
Веб-служба RMS, предназначенная для использования другой службой.

точка подключения службы
Объект Active Directory, который имеет ссылки на URL корневого кластера сертификации развертывания службы управления правами. Клиент службы управления правами использует эти данные для поиска служб управления правами.

регистрация подчиненного сервера
Часть процедуры подготовки сервера лицензирования, во время которой этот сервер получает сертификат лицензиара сервера из корневого кластера сертификации.

запрос на регистрацию подчиненного сервера
Запрос, отправленный сервером лицензирования в корневой кластер сертификации, для получения сертификата лицензиара сервера.

служба регистрации подчиненных серверов
Веб-служба управления правами на корневом сервере сертификации, которая отвечает на запросы на выдачу сертификатов лицензиара сервера, подаваемые серверами лицензирования во время подготовки.

суперпользователь
Член группы суперпользователей.

группа суперпользователей
Административно определяемая дополнительная группа пользователей для каждого кластера служб управления правами, которой служба управления правами предоставляет лицензии владельцев при работе с содержимым, опубликованным этим сервером.

лицензия на использование
Лицензия, перечисляющая права и условия употребления пользователем защищенного содержимого. Ее также называют "лицензионным соглашением".