Nouveaux services de Gestion des droits numériques AD RMS (2)

AD RMS de Windows Server 2008 sont implémentés sous la forme d’un nouveau rôle de serveur : Le fait que les services AD RMS soient intégrés sous Windows Server 2008 sous la forme d’un rôle au sein du Gestionnaire de serveur facilite de manière significative la configuration des services AD RMS. La nouvelle console MMC Gestionnaire de serveur liste et installe tous les services nécessaires tels que Message Queuing et IIS 7 et installera même les services de base de données interne Windows s’il n’est pas spécifié d’utiliser une base de données distante. L’administration est réalisée via un nouveau composant logiciel enfichable MMC 3.0 beaucoup plus intuitif que la précédente administration Web utilisée sur les serveurs RMS fonctionnant sous Windows Server 2003.

Active Directory, AD RMS et AD FS
Les services de fédération AD FS font désormais l’objet d’une intégration totale avec AD RMS. Le support des mécanismes de fédération au sein de la plateforme AD RMS permet aux entreprises d’envisager « plus facilement » des scénarios de partenariat avec des entités externes. Précédemment, les services RMS de Windows Server 2003 ne supportaient que les identités externes de type Passport .NET (aujourd’hui appelées Windows Live ID). Désormais, l’intégration des services de fédération AD FS permet de créer des approbations de fédération entre les différents partenaires. Attention! Pour qu’un client AD RMS puisse utiliser les approbations offertes par les services AD FS, il est indispensable d’utiliser le client AD RMS inclus dans Windows Vista ou le Client RMS SP2. Les clients RMS de niveaux inférieurs ne supportent pas les services de fédération AD FS.

Auto-enrôlement des serveurs AD RMS : C’est automatique !
Les serveurs AD RMS ont enfin la possibilité de s’enrôler automatiquement, rendant inutile la procédure d’enrôlement en ligne ou hors ligne des services RMS de Windows Server 2003 auprès de l’autorité Racine RMS de Microsoft. L’enrôlement d’un serveur RMS est une tâche indispensable qui comprend la création et la signature d’un certificat de licence de serveur – SLC, Server Licensor Certi-ficate, qui permet au serveur AD RMS d’émettre des certificats et des licences. Dans les versions précédentes de RMS, le certificat SLC était signé par un service d’enrôlement en ligne mis en oeuvre via Internet par Microsoft (Microsoft Enrollment Service). Ce point nécessitait que le serveur RMS ou un autre ordinateur puisse accéder à Internet. Cette limitation a aujourd’hui été supprimée en permettant au serveur AD RMS d’auto-signer son certificat SLC.

Rôles AD RMS : Meilleure délégation des rôles Administratifs
Pour améliorer le support des mécanismes de délégation et donc un meilleur contrôle de l’environnement, de nouveaux rôles d’administration sont disponibles. Ces nouveaux rôles administratifs sont mis en oeuvre via de nouveaux groupes locaux adaptés à chaque nouveau rôle.
• Groupe de service AD RMS : Les membres de ce groupe peuvent exécuter les services détenus par les services AD RMS.
• Administrateurs d’entreprise AD RMS: Les membres de ce groupe peuvent gérer l’ensemble des stratégies et paramètres AD RMS.
• Groupe de modèles AD RMS: Les membres de ce groupe ne peuvent gérer que les modèles AD RMS.
• Auditeurs AD RMS : Les membres de ce groupe ne peuvent gérer que la journalisation et la création de rapports AD RMS.