Die Active-Directory-Rechteverwaltungsdienste

Die Active-Directory-Rech­te­ver­wal­tungsdienste (AD Rights Management Services, RMS) schaffen eine Infrastruktur, um Rechte an Dokumenten zu vergeben. Diese sind dateisystemunabhängig, halten also auch dann vor, wenn der Benutzer das Dokument etwa auf einen per (ex-)FAT formatierten USB-Stick verschiebt. Außerdem sind sie feiner granulierbar, als dies alleine per Zu­griffs­be­rech­ti­gungen auf Dateien und Ordner im Active Directory möglich wäre: Nur per Zu­griffs­be­rech­ti­gung ließe sich beispielsweise nicht verhindern, dass eine berechtigte Person ein Dokument an eine unberechtigte weitergibt.

Mit den RMS lassen sich Ver­wendungs­richt­linien wie das Öffnen, Ändern, Drucken, Weiterleiten oder sonstige Aktionen vom Ersteller des Dokuments oder einer berechtigten Person festlegen und zentral als Vorlagen organisieren. Auch ist ihr Einsatz nicht auf Dateien als Informations­träger beschränkt, sondern kann auch auf andere Inhalte angewendet werden, etwa Webseiten oder Mails.

Voraussetzungen für AD-RMS

Um dies zu erreichen, bedienen sich die RMS eines Client-Server-Modells: Der Benutzer erhält die Daten verschlüsselt, der Server liefert den Schlüssel, mit dem die entsprechenden Berechtigungen frei­geschaltet werden. Damit das Funktioniert, reichen Betriebssystem-Funktionen alleine nicht aus; die Anwendungen, mit der die Daten erstellt, bearbeitet oder gelesen werden, müssen RMS gleichfalls unterstützen. Das zu diesem Zweck zur Verfügung gestellte SDK ist seit Vista/Server 2008 Bestandteil des Windows-SDK, auch die erforderlichen Client-Funktionen sind ab Vista/Server 2008 vorhanden.
 
Älteren Betriebssystemen muss für eine adäquate Unterstützung erst auf die Beine geholfen werden: Das RMS-SDK für Windows bis 2003/XP findet man hier, den Client hier.
 
Will man RMS mit Microsoft Office verwenden, ist wichtig zu erwähnen, dass nur die VL-Editionen Professional Plus und Enterprise RMS-fähig sind, als Consumer-Version muss es dementsprechend Office Ultimate sein. Ein unternehmensweites Deployment von RMS wird so unter Umständen auch dann noch einmal kostspielig, wenn die Betriebs­system-Voraus­setzungen – Vista/Windows 7 und Windows Server 2008 (R2) – komplett erfüllt sind.

AD-RMS einrichten

RMS sind eine Server-Rolle und wird entsprechend an der Server-Konsole aktiviert. Sie hat eine Reihe Abhängigkeiten, etwa IIS und Message Queuing. Sie unterstützen außerdem die AD-Federation Services, deren parallele Installation vom Role-Wizard mit vorgeschlagen wird. Letzteres ist Pflicht, falls man einen auf mehrere Server verteilten RMS-Cluster einrichten möchte. Für die erforderliche Datenbank kann man die Windows-interne verwenden oder sich zu einem SQL-Server verbinden.
 
Sowohl für die Installation als auch die RMS-Anwendung gibt es umfangreiche TechNet-Artikel bei Microsoft, für letzteres ein ganzes Portal.