Uno de los grandes desconocidos de la infraestructura de directorio de Windows es el AD RMS. El AD RMS utiliza certificados o tokens a sociados a archivos para determinar si un usuario tiene o no, el derecho de abrir un documento, modificarlo etc … Esto que parece lo mismo que la asignacion de permisos en NTFS, no tiene nada que ver ya que el ambito va mas alla del propio Active Directory, incluso si paso los archivos a formato FAT o me los llevo fuera del bosque de AD, sigue vigente.
En la siguiente imagen se ilustra como funciona.
1- El usuario se autentica ante el ADRMS a traves de ADDS. Recibe lo que se llama el RAC. El RAC no es mas que el certificado de derechos para la cuenta.
2-El usuario crea contenido con la aplicacion que soporta ADRMS. Ejemplo: Microsoft Office
3-El usuario o bien asigna sus derechos o bien aplica y una plantilla de directiva a sus documentos.
4-AD RMS cifra el contenido del documento a traves de una clave publica.
5- Otros usuarios trabajan con la misma aplicacion que soporta AD RMS
6- Estos usuarios a traves de su autenticacion en el AD RMS solicitan al mismo el poder ver el contenido del documento. Para ello solicitan las licencias de uso.
7- Si el usuario tiene derecho entonces la licencia es emitida y el usuario accede al documento; sino el acceso es denegado.
8-Esa licencia de acceso al contenido del fichero concedida por el AD RMS permanece a lo largo del tiempo para el usuario.
Componentes necesarios para AD RMS.
1- Un controlador de dominio de AD DS en un bosque con al menos un dominio raiz.
2- Una entidad certificadora para el dominio.
3- Un servidor web (IIS) con certificado montado.
4- (Opcional aunque recomendable) Un servidor SQL Server para almacenar la base de datos.
Esquema:
Guia Paso a Paso (Formato pdf): Practica AD RMS