Windows Server 2008 AD RMS 権利ポリシーテンプレートの一括適用のステップ 2008 年 10 月 富士通株式会社
改訂履歴 改版日時 版数 改版内容 2008.10.07 1.0 新規作成 -2-
目次 はじめに...4 1 AD RMS 権利ポリシーテンプレートの一括適用のステップ...5 1.1 STEP1. 権利ポリシーテンプレートを作成し 配置する...6 1.2 STEP2. 独自のグループポリシー管理用テンプレートを作成する...7 1.3 STEP3. 作成したグループポリシー管理用テンプレートを適用する...7 1.4 検証まとめ...8 2 本検証で使用したグループポリシー管理用テンプレート...9-3-
はじめに 本資料は Active Directory Rights Management サービス (AD RMS) の権利ポリシーテンプレートの 利用に関する当社での検証 およびその際に実施したステップをまとめたものです 本書では 以下の略称を使用することがあります 正式名称 略称 製品名 Microsoft Windows XP Windows XP Microsoft Windows Vista Windows Vista Microsoft Windows Server 2008 Windows Server 2008 Microsoft Office 2003 Editions Office 2003 the 2007 Microsoft Office System Office 2007 役割名 Active Directory Rights Management サービス AD RMS 本書の内容は 改善のため事前連絡なしに変更することがあります 本書に記載されたデータの使用に起因する 第三者の特許権およびその他の権利の侵害については 当社はその責を負いません 無断転載を禁じます Microsoft, Windows, Windows Server, Windows Vista, Active Directory は Microsoft Corporation の米国及びその他の国における登録商標または商標です -4-
1 AD RMS 権利ポリシーテンプレートの一括適用のステップ クライアントが権利ポリシーテンプレートを利用するには クライアントのレジストリに 権利ポリシーテンプレートの保存されているパスが記述されている必要があります 具体的には 下記のレジストリ ( 表 1) を編集する必要があります 表 1. 権利ポリシーテンプレートを利用する際に編集する必要があるレジストリアプリケーション編集する必要があるレジストリ Office2003 キー : HKEY_CURRENT_USER \Software\Policies\Microsoft\Office\11.0\Common\DRM 名前 :AdminTemplatePath 値 : 共有フォルダのパス名 ( 例 :\\rms\adrmstemplates) Office2007 キー : HKEY_CURRENT_USER \Software\Policies\Microsoft\Office\12.0\Common\DRM 名前 :AdminTemplatePath 値 : 共有フォルダのパス名 ( 例 :\\rms\adrmstemplates) しかし そのレジストリの編集を クライアント 1 台ごとに行うのは現実的ではありません Active Directory が備えるグループポリシー機能を利用すれば 各クライアントのレジストリを一括して操作することができます 今回 当社では Office2003 がインストールされている Windows XP と Office 2007 がインストールされている Windows Vista を対象に AD RMS の権利ポリシーテンプレートを一括適用する検証を行いました ( 図 1) 検証では グループポリシーにより特定のレジストリを編集するという処理を行うため 独自のグループポリシー管理用テンプレート (ADMX / ADML ファイル ) を作製し 設定を行っています -5-
図 1.AD RMS 権利ポリシーテンプレートの一括適用のための検証 1.1 STEP1. 権利ポリシーテンプレートを作成し 配置する どのユーザがどういう権利を持つかは権利ポリシーテンプレートに記述します 権利ポリシーテンプレートは AD RMS の管理コンソールから作成します ( 図 2) 作成したテンプレートを 各クライアントからアクセス可能な場所 ( 本検証では \\rms\adrmstemplates) に保存します 図 2. 権利ポリシーテンプレート作成画面 -6-
1.2 STEP2. 独自のグループポリシー管理用テンプレートを作成する 検証では 独自のグループポリシー管理用テンプレート ( ADMX / ADMLファイル ) を用意することで 設定を行いました テンプレートについては 2 本検証で使用したグループポリシー管理用テンプレート を参照ください ADMX / ADML ファイルは Windows Server 2008 で採用された新しい形式のテンプレートです 多言語環境での利用を想定して 言語に依存しない部分を ADMX ファイルに 言語に依存する部分を ADML ファイルに分離しています この分離により Windows Server 2008 では ADML ファイルのみを複数用意すれば 多言語環境に対応できます これは Windows Server 2008 でグループポリシーを利用するメリットといえるでしょう 1.3 STEP3. 作成したグループポリシー管理用テンプレートを適用する 作成したグループポリシー管理テンプレートを 下記のフォルダ ( 表 2) に配置し Microsoft グループポリシー管理コンソール (GPMC) から 作成したグループポリシー管理用テンプレートを利用します なお ADML ファイルはその言語により 配置するフォルダが異なります ( 日本語環境の場合 ja-jp フォルダとなります ) ファイル ADMX ADML ( 日本語環境用 ) 表 2.ADMX / ADML ファイルの配置場所配置する場所 %systemroot%\policydefinitions %systemroot%\policydefinitions\ja-jp これにより 作成した Office2003 用および Office2007 用グループポリシーの設定が利用できます GPMC から STEP1 で指定した権利ポリシーテンプレートのパス (\\rms\adrmstemplates) を設定します ( 図 3) -7-
図 3.Office2007 用の権利ポリシーテンプレートのパスの設定 1.4 検証まとめグループポリシーの設定はクライアントの次回ログオン時に反映されます 設定反映後 権利ポリシーテンプレートが利用可能になります 本検証では 作成した権利ポリシーテンプレートで定義されている 営業部門のみ閲覧 のポリシーを利用することで 権限設定が容易になることを確認できました -8-
2 本検証で使用したグループポリシー管理用テンプレート 本検証で使用したグループポリシー管理用テンプレートを下記に示します なお 本テンプレートは OS 標準のテンプレートをベースに作成したものです あくまでも理解度の向上を支援するためのものであり 利用から発生した損害に関して 当社は一切の責任を負いませんのでご了承ください 権利ポリシーテンプレートのパスを設定する ADMX ファイル <policydefinitions revision="1.0" schemaversion="1.0"> <policynamespaces> <target prefix="adrms-templatereg" namespace="microsoft.policies.adrms-templatereg" /> <using prefix="windows" namespace="microsoft.policies.windows" /> </policynamespaces> <resources minrequiredrevision="1.0" /> <categories> <category name="category_str" displayname="$(string.category_str)" /> </categories> <policies> <policy name="policy_str07" class="user" displayname="$(string.policy_str07)" explaintext="$(string.explain_str07)" presentation="$(presentation.policy_str07)" key="software Policies Microsoft Office 12.0 Common DRM"> <parentcategory ref="category_str" /> <supportedon ref="windows:supported_windowsxp" /> <elements> <text id="part_str" valuename="admintemplatepath" required="true" /> </elements> Office 2007 の設定部 </policy> <policy name="policy_str03" class="user" displayname="$(string.policy_str03)" explaintext="$(string.explain_str03)" presentation="$(presentation.policy_str03)" key="software Policies Microsoft Office 11.0 Common DRM"> <parentcategory ref="category_str" /> <supportedon ref="windows:supported_win2k" /> <elements> <text id="part_str" valuename="admintemplatepath" required="true" /> </elements> Office 2003 の設定部 </policy> </policies> </policydefinitions> -9-
権利ポリシーテンプレートのパスを設定する ADML ファイル ( 日本語環境用 ) <policydefinitionresources revision="1.0" schemaversion="1.0"> <displayname> </displayname> <description> </description> <resources> <stringtable> <string id="category_str">adrms 権利ポリシーテンプレートパスの設定 </string> <string id="policy_str07">the 2007 Microsoft Office System の ADRMS 権利ポリシーテンプレートパスの設定 </string> <string id="explain_str07">the 2007 Microsoft Office System が使用する ADRMS の権利ポリシーテンプレートのパスを設定します </string> <string id="part_str"> 権利ポリシーテンプレート格納フォルダのパス : </string> <string id="policy_str03">microsoft Office 2003 Editions の ADRMS 権利ポリシーテンプレートパスの設定 </string> <string id="explain_str03">microsoft Office 2003 Editions が使用する ADRMS の権利ポリシーテンプレートのパスを設定します </string> </stringtable> <presentationtable> <presentation id="policy_str07"> <textbox refid="part_str"> <label> 権利ポリシーテンプレート格納フォルダのパス :</label> </textbox> </presentation> <presentation id="policy_str03"> <textbox refid="part_str"> <label> 権利ポリシーテンプレート格納フォルダのパス :</label> </textbox> </presentation> </presentationtable> </resources> </policydefinitionresources> -10-
-11-