Une mise à jour est disponible pour activer la délégation simple dans AD RMS sur des ordinateurs Windows Server 2008 R2

INTRODUCTION

Cet article présente une mise à jour pour Windows Server 2008 R2 qui permet la délégation simple dans les services AD RMS (Active Directory Rights Management Services) (AD RMS). Après avoir installé cette mise à jour, les droits d’un responsable peuvent facilement être déléguées à assistants. Cette mise à jour permet des assistants avoir le même niveau d’autorisation d’accès à un contenu protégé par IRM Information Rights Management comme le responsable.

Résolution

Une extension de schéma Active Directory doit être appliquée qui présente les attributs msRMSDelegator et msRMSDelegatorBL à la classe d’utilisateur dans Active Directory. Un script SQL doit être exécuté pour activer cette fonctionnalité.
Remarques
  • L’extension du schéma Active Directory doit être appliquée à toutes les forêts où le Gestionnaire de licences RMS se produit.
  • Le compte de service AD RMS doit avoir l’autorisation d’interroger cet attribut.
  • Une application tierce est nécessaire pour ajouter des valeurs à ce nouvel attribut.
Après avoir installé le correctif, utilisez manuellement les étapes suivantes pour activer la délégation simple :
  • Étendre le schéma Active Directory pour l’attribut msRMSDelegator .
    1. Copiez le texte suivant dans un fichier texte nommé AddAttribute.ldf. Assurez-vous que vous mettez à jour le champ « dc » avec les valeurs appropriées si vous n’utilisez pas l’argument - c dans la commande suivante.
      dn: cn=ms-RMS-Delegator,cn=Schema,cn=Configuration,dc=xchangetype: add
      objectClass: attributeSchema
      attributeId: 1.2.840.113556.1.8000.999999.1.2
      ldapDisplayName: msRMSDelegator
      attributeSyntax: 2.5.5.1
      adminDescription: RMS Delegator Attribute
      adminDisplayName: msRMSDelegator
      oMObjectClass:: KwwCh3McAIVK
      oMSyntax: 127
      linkId: 1.2.840.113556.1.2.50
      isMemberOfPartialAttributeSet: TRUE
      systemOnly: FALSE
      dn: cn=User,cn=Schema,cn=Configuration,dc=x
      changetype: modify
      add: mayContain
      mayContain: 1.2.840.113556.1.8000.999999.1.2
      -
      dn:
      changetype: modify
      add: schemaUpdateNow
      schemaUpdateNow: 1
      -

    2. Exécutez la commande ldifde.exe suivante pour étendre le schéma. Dans cette commande, l' espace réservé nom_unique représente le nom unique de votre domaine, tel que « dc = contoso, dc = com. » (Assurez-vous que vous mettez à jour le champ « dc » avec les valeurs appropriées si vous n’utilisez pas l’argument - c dans la commande).
      ldifde -i -f addattribute.ldf -s serveur : port -b nom_utilisateur domaine mot de passe -j. - c « cn = Configuration, dc = X » « cn = Configuration, [nom_unique] »
  • Étendre le schéma Active Directory pour l’attribut msRMSDelegatorBL .
    1. Copiez le texte suivant dans un fichier texte nommé AddAttributeBacklink.ldf. Assurez-vous que vous mettez à jour le champ « dc » avec les valeurs appropriées si vous n’utilisez pas l’argument - c dans la commande suivante.
      dn: cn=ms-RMS-DelegatorBL,cn=Schema,cn=Configuration,dc=xchangetype: add
      objectClass: attributeSchema
      attributeId: 1.2.840.113556.1.8000.999999.1.3
      ldapDisplayName: msRMSDelegatorBL
      attributeSyntax: 2.5.5.1
      adminDescription: RMS Delegator Attribute Back Link
      adminDisplayName: msRMSDelegatorBL
      oMObjectClass:: KwwCh3McAIVK
      oMSyntax: 127
      linkId: msRMSDelegator
      isMemberOfPartialAttributeSet: TRUE
      systemOnly: FALSE
      dn: cn=User,cn=Schema,cn=Configuration,dc=x
      changetype: modify
      add: mayContain
      mayContain: 1.2.840.113556.1.8000.999999.1.3
      -
      dn:
      changetype: modify
      add: schemaUpdateNow
      schemaUpdateNow: 1
      -

    2. Exécutez la commande ldifde.exe suivante pour étendre le schéma. Dans cette commande, l' espace réservé nom_unique représente le nom unique de votre domaine, tel que « dc = contoso, dc = com. » (Assurez-vous que vous mettez à jour le champ « dc » avec les valeurs appropriées si vous n’utilisez pas l’argument - c dans la commande).
      ldifde -i -f addattributebacklink.ldf -s serveur : port -b nom_utilisateur domaine mot de passe -j. - c « cn = Configuration, dc = X » « cn = Configuration, [distinguished_name] »
  • Activer la délégation simple par la mise à jour de la stratégie de cluster AD RMS DelegationType.
    1. Copiez le texte suivant dans un fichier texte nommé EnableDelegation.sql.
      INSERT INTO [DRMS_ClusterPolicies] (PolicyName,PolicyData) VALUES ('DelegationType','1') 
      Remarque Si le DelegationType 0 désactivera la délégation simple.
    2. À partir d’une ligne de commande qui utilise l’utilitaire sqlcmd , exécutez la commande suivante et remplacez NOM_SERVEUR en utilisant le nom SQL Server approprié et remplacer DATABASENAME en utilisant le nom de la base de données de configuration AD RMS (DRMS_Config_ < nomcluster > _ < Port >) :
      SQLCMD-e -S NOM_SERVEUR-d NOMBASEDEDONNÉES -i EnableDelegation.sql

Pour ajouter des valeurs à l’attribut msRMSDelegator , procédez comme suit :

  1. Utilisez un éditeur LDAP, tel que ADSI Edit (adsiedit.msc) à partir du serveur qui exécute les Services de domaine Active Directory.
  2. Développez CN = Users.
  3. Recherchez l’utilisateur de la personne (par exemple, recherchez exécutif) et de copier la valeur de l’attribut distinguishedName .
  4. Recherchez le délégué (par exemple, recherchez L’Admin Assistant) et collez la valeur que vous avez copié à l’étape 3 dans la valeur de l’attribut msRMSDelegator .


Remarques
  • msRMSDelegator est un attribut à valeurs multiples.

  • msRMSDelegatorBL est un attribut à valeurs multiples qui n’est pas utilisé directement par AD RMS.

  • Les attributs msRMSDelegator et msRMSDelegatorBL sont liées. Lorsqu’une valeur est affectée à l’un de ces attributs, les Services de domaine Active Directory met à jour automatiquement l’autre attribut pour afficher la relation inverse. msRMSDelegatorBL peut être utilisé pour la création de rapports.

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web Microsoft suivant :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Conditions préalables

Pour appliquer ce correctif, vous devez exécuter Windows Server 2008 R2 Service Pack 1 (SP1). Pour plus d’informations sur l’obtention d’un service pack de Windows Server 2008 R2, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

976932 les informations sur le Service Pack 1 pour Windows 7 et Windows Server 2008 R2

Informations concernant le Registre

Pour appliquer ce correctif, vous n’êtes pas obligé de modifier le Registre.

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace pas un correctif précédemment publié.

Informations sur les fichiers

La version globale de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Remarques sur les fichiers Windows Server 2008 R2
Important Les correctifs logiciels Windows 7 et Windows Server 2008 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 7/Windows Server 2008 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.
  • Les fichiers qui s'appliquent à un produit spécifique, à un jalon (RTM, SPn) et à un dossier (LDR, GDR) peuvent être identifiés en examinant les numéros de version de fichier comme indiqué dans le tableau suivant :
    Version francaiseProduitJalonDossier
    6.1.760
    1.21 xxx
    Windows Server 2008 R2SP1LDR
  • Les fichiers MANIFEST (.manifest) qui sont installés pour chaque environnement sont énumérés séparément dans la section « Informations pour Windows Server 2008 R2 de fichiers supplémentaires ». Les fichiers MANIFESTE et la sécurité associés du catalogue (.cat), sont extrêmement importants pour conserver l’état des composants mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions basées sur les x64 de Windows Server 2008 R2
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Microsoft.rightsmanagementservices.shared.dll6.1.7601.218492,363,39229-Oct-201106:33x86
Microsoft.rightsmanagementservices.pipeline.dll6.1.7601.21849356,35229-Oct-201106:33x86

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft

Informations sur les fichiers supplémentaires

Informations de fichiers supplémentaires pour Windows Server 2008 R2

Fichiers supplémentaires pour toutes les versions basées sur les x64 pris en charge de Windows Server 2008 R2
Nom de fichierAmd64_54901134c230cf8b66d41e3e62185f95_31bf3856ad364e35_6.1.7601.21849_none_ba8d3c6473b7f486.manifest
Version de fichierNe s'applique pas
Taille du fichier714
Date (UTC)31-Oct-2011
Heure (UTC)17:23
PlateformeNe s'applique pas
Nom de fichierAmd64_da3f7fd20d719357c79326b1ddc54938_31bf3856ad364e35_6.1.7601.21849_none_147b2ee7938755ea.manifest
Version de fichierNe s'applique pas
Taille du fichier716
Date (UTC)31-Oct-2011
Heure (UTC)17:23
PlateformeNe s'applique pas
Nom de fichierMsil_microsoft.rightsman..mentservices.shared_31bf3856ad364e35_6.1.7601.21849_none_6a98f2d071be585a.manifest
Version de fichierNe s'applique pas
Taille du fichier2,009
Date (UTC)29-Oct-2011
Heure (UTC)07:23
PlateformeNe s'applique pas
Nom de fichierMsil_microsoft.rightsman..ntservices.pipeline_31bf3856ad364e35_6.1.7601.21849_none_2cadeb544a3976fb.manifest
Version de fichierNe s'applique pas
Taille du fichier1,628
Date (UTC)29-Oct-2011
Heure (UTC)07:23
PlateformeNe s'applique pas
Propriétés

ID d'article : 2605692 - Dernière mise à jour : 8 janv. 2017 - Révision : 1

Commentaires