Active Directory Right Management Services (AD RMS) ¿Puede proteger un directorio?

 AD RMS es un servicio que funciona a nivel de dominio, se encarga de proteger el contenido de documentos Office, correos electrónicos y eventualmente otro tipo de documentos como PDF.

Vamos a determinar la posibilidades que tenemos para proteger un directorio con AD RMS, convencionalmente siguiendo la línea Microsoft y según nuestra experiencia las distintas posibilidades de hacer esto efectivo.

Primeramente hablaremos de la solución más común para tratar nuestra interrogante. File Classification Infraestructure es una solución que funciona sobre el servicio de File Server de Windows Server, se encarga de la clasificación de archivos en base a reglas generadas según las necesidades de la organización. Por ejemplo, se puede clasificar los archivos en base al impacto que tiene sobre el negocio la revelación de la información.

Una buena forma de extender el uso de esta solución, es usando AD RMS Bulk Tool como tarea programada dentro de la solución para no solo clasificar la información, sino también agregar derechos sobre los documentos.

Otra herramienta que nos ayuda a responder nuestra interrogante es Active Directory Rights Management Services Bulk Protection Tool, se encarga de proteger los documentos de una carpeta en base a planillas de permisos.

Las plantillas de permisos deben ser generadas en la consola de AD RMS. En la plantilla, se puede asignar permisos por usuario o por grupo.

1

Se deben definir de forma correcta los permisos para que funcione de manera optima.

Al seleccionar permisos que tendrá el usuario o grupo de Active Directory sobre el o los documentos, los privilegios que son dependencias de otros se irán seleccionando automáticamente según su requerimiento.

2

Una vez que la plantilla está creada y disponible en un directorio compartido, se invoca a la herramienta que protege de forma masiva. Esta herramienta debe estar instalada en el  mismo servidor donde están los documentos. Se puede tomar como si fuera un servidor de archivos.

La forma de usar la herramienta es:

RMSBulk [/decrypt location] [/encrypt location rms_template [owner_email]] [/log log_file [/append] [/simple]] [/preserveattributes] [/silent]

3

La herramienta no tiene interfaz gráfica. Deja abierta la posibilidad de crear un script y automatizar el proceso. Mejor aún, crear una tarea programada con la secuencia de comandos.

En conclusión, se puede proteger los documentos contenidos en un directorio. El acceso al directorio se puede manejar en las propiedades de acceso del directorio.

Con una buena organización de directorios y plantillas, se puede automatizar la protección de documentos  a gran escala.

 Maximiliano Marín, Consultor de Infraestructura, Blue Solutions.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s