AD RMS står för Active Directory Rights Management Services och med den kan du styra vem som får ta del av dokument du författat och även vad personen i fråga får göra med dokumentet. Du kan avgöra om man får se, editera, kopiera innehåll eller skriva ut dokumentet, för att förhindra att informationen kommer på villovägar. Med AD RMS kan du skriva ett dokument och se till att enbart de personer du vill kan få ta del av informationen oavsett vart filen (dokumentet) befinner sig. Du kan också tidsbegränsa hur länge informationen ska vara tillgänglig och på ett ”Mission Impossible-liknande” sätt styra så informationen inte längre är nåbar efter ett visst datum.

Tekniken är integrerad i Officepaketet men även i SharePoint och Exchange, vilket ger möjlighet att dels automatisera så alla dokument som sparas på en viss SharePoint site blir RMS-skyddade med rätt säkerhetskrav och exempelvis inte är läsbar för icke anställda. Integrationen i Exchange och Outlook ger möjlighet att RMS-skydda hela mail där intern säkerhetsklassad information som går ut till anställda förhindras från att vidarebefordras, kopieras, ta printscreens eller skrivas ut.

Hur kommer man igång med AD RMS då?

Först och främst behöver vi en (eller helst två för redundans) AD RMS-server och det här är en roll du installerar på förslagsvis en Windows Server 2012 (alternativt Windows Server 2008 R2 med SP1 för att stödja högre kryptering med SHA-2/RSA 2048 bitars).

På AD RMS-servern kan vi konfigurera färdiga mallar som förenklar för användarna när de vill skydda sina olika typer av dokument.

AD RMS-stöd är integrerat i Office (Enterprise, Professional Plus eller Ultimate) från 2003 och framåt, det finns även tredjepartsprodukter som ger möjlighet att RMS-skydda andra typer av dokument exempelvis pdf och cad-filer.

Användaren styr sedan rättigheterna till sitt dokument direkt från Office och kan här antingen styra exakt mottagare av dokumentet eller välja någon av de mallar som företaget fördefinierat.

Om mottagaren har rätt att öppna dokumentet redovisas även behörigheterna på dokumentet och ger även möjlighet för användaren att begära ytterligare behörighet.

En mottagare som har fått ett AD RMS-skyddat mail där man enbart tillåter att läsa informationen har ingen möjlighet att vidarebefordra eller kopiera informationen. Naturligtvis kan man inte hindra användaren att fotografera skärmen men man minskar risken för informationsspridning och det skulle i så fall vara en medveten handling om att man gjorde något otillåtet.

Användaren kan styra vem mottagaren av dokumentet är baserat på användarkontot i Active Directory, både den egna domänen och federerade domäner. Det är även möjligt att ge en extern mottagare behörighet att läsa dokumentet, genom att använda Microsoftkonton som tillexempel Office365 eller Hotmail/Live-adresser.

Under ett införande projekt är AD RMS själva tekniken, men det största arbetet handlar om att identifiera och klassificera  informationen för att få ut så mycket som möjligt av AD RMS som verktyg.