Social Icons

twitter facebook google plus linkedin

lunes, 31 de agosto de 2015

Proteger un directorio con AD RMS

Hola Mundo
La pregunta del millón es: ¿se puede proteger un directorio con Active Directory Rights Management Services (AD RMS)? 
La respuesta es: No precisamente.

AD RMS es un servicio que funciona a nivel de dominio que se encarga de la protección del contenido de documentos de Office, correos electrónicos y, eventualmente, otro tipo de documentos como los PDF.

Si se tiene un número considerable de documentos a los que se necesita proteger y este número de documentos aumenta de manera periódica, existe una herramienta gratuita llamada Active Directory Rights Management Services Bulk Protection Tool que se encarga de proteger los documentos de una carpeta en base a plantillas de permisos.

Las plantillas de permisos deben ser generadas en la consola de AD RMS. En la plantilla, se puede asignar permisos por usuario o por grupo.


Las plantillas se deben guardar en un directorio compartido. Esta configuración se realiza, de igual manera, en la consola de AD RMS.

Lo importante es definir de manera correcta los permisos.
Al ir seleccionando los permisos que tendrá el grupo o usuario de Active Directory sobre el (o los) documento, los privilegios que son dependencias de otros se irán seleccionando de forma automática en la medida que son requeridos.

Una vez que la plantilla está creada y disponible en un directorio compartido, se invoca a la herramienta que protege de forma masiva. Esta herramienta debe estar instalada en el  mismo servidor donde están los documentos. Se puede tomar como si fuera un servidor de archivos.

La forma de usar la herramienta es:
RMSBulk [/decrypt location] [/encrypt location rms_template [owner_email]] [/log log_file [/append] [/simple]] [/preserveattributes] [/silent]


La herramienta no tiene interfaz gráfica. Deja abierta la posibilidad de crear un script y automatizar el proceso. Mejor aun, crear una tarea programada con la secuencia de comandos.

Con una buena organización de directorios y plantillas, se puede automatizar la protección de documentos  a gran escala.

¡Hasta la próxima!


lunes, 10 de agosto de 2015

Agregar usuarios administradores a AD RMS

Hola Mundo:
Cuando se implementa AD RMS y no se agregan  otros usuarios administradores de la plataforma, se verá el siguiente error cuando intenten acceder a la plataforma:



Como AD RMS funciona sobre IIS, es un servicio web, los códigos de error y mensajes corresponden a los del protocolo HTTP.  El estado 401 indica que el usuario no cuenta con la autorización para acceder a la consola de administración.

Para agregar un usuario como administrador, solo basta agregar la cuenta de usuario de dominio al grupo local, donde se implementó AD RMS, AD RMS Enterprise Administrators

Ésta configuración se debe hacer en cada máquina del cluster.

Espero que les sea de utilidad.

Chau!