Il servizio di Remote Assistance è un ottima soluzione a costo zero per fornire il supporto IT remoto agli utenti della rete restando comodamente seduti davanti al proprio computer.

Il servizio è presente in Windows già da tempo ma con l’avvento di Windows Server 2008 R2 / Windows 7 qualcosa è cambiato nella configurazione creando un po’ di confusione.

Per la configurazione di Remote Assistance in un ambiente di Active Directory, ci si avvale delle GPO che permettono di processare i client di rete in modo efficiente.

1. PROCEDURA
Come prima cosa bisogna definire quali account/group devono avere i diritti sui client per fornire il servizio di help desk. Creare un nuovo Security Group in Active Directory.

Assegnare al gruppo creato gli account che hanno l’incarico di fornire il supporto di Remote Assistance.

2. ABILITARE REMOTE ASSISTANCE
Operando in un ambiente di rete Active Directory, per configurare i client ci si affida alle GPO. Aprire la console Group Policy Management e creare una nuova GPO.

Specificare il nome della Policy e cliccare su OK.

Editare la nuova GPO per procedere con la configurazione dei parametri. Dal Group Policy Management, selezionare Computer Configuration –> Policies –> Administrative Templates –> System –> Remote Assistance.

Editare la prima opzione Allow only Vista or later connection. Abilitare o meno questo parametro a seconda dei client presenti nella rete. Click su Next Setting.

Impostare Turn on session logging come Enabled. Click su Next Setting.

Impostare Turn on bandwidth optimization come Enabled selezionando il valore Full optimization nel campo Optimize settings for reduced bandwidth. Click su Next Setting.

Customize Warning Messages visualizza dei messaggi custom sovrascrivendo quelli di default.  Click su Next Setting.

Impostare Solicited Remote Assistance come Disabled. Click su Next Setting.

Impostare Offer Remote Assistance come Enabled. Selezionare nel campo Permit remote control of this computer il valore Allow helpers to remotely control the computer. Cliccare sul bottone Show per indicare gli account da abilitati.

Specificare nel formato DOMAIN\Group il gruppo precedentemente creato e cliccare su OK.

Cliccare su Apply per salvare le impostazioni.

3. CONFIGURAZIONE DEL FIREWALL
Mentre per Windows 7 in un ambiente basato su Active Directory l’opzione Remote Assistance exception è abilitata di default, in Windows XP è necessario configurare alcuni parametri del firewall per il corretto funzionamento.

Dal Group Policy Management, selezionare Computer Configuration –> Policies –> Administrative Templates –> Network –> Network Connections –> Windows Firewall –> Domain Profile.

Editare l’opzione Define Inbound port exceptions impostandola come Enabled. Impostare il campo Define port exceptions cliccando sul bottone Show.

Inserire come Value la stringa:

135:TCP:*:enabled:RemoteAssistance

Editare l’opzione Define Inbound program exceptions impostandola come Enabled. Impostare il campo Define program exceptions cliccando sul bottone Show.

Inserire come Value le stringhe:

%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:*:enabled:HelpSupport
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:*:enabled:HelpCenter
%WINDIR%\System32\Sessmgr.exe:*:enabled:SessionManager

4. TESTARE REMOTE ASSISTANCE
Una volta configurata la GPO e processata dai client di rete, testare se la procedura appena effettuata funziona come dovrebbe. Dalla command line digitare i seguenti comandi:

WINDOWS 7
%windir%\system32\msra.exe /offerRA

WINDOWS XP
hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/unsolicitedrcui.htm

Si apre la finestra Windows Remote Assistance. Digitare l’indirizzo IP o il computer name e cliccare su Next.

Il sistema effettua la connessione con il client specificato.

L’utente che ha richiesta assistenza vede comparire nel proprio Desktop la finestra di avviso con il nome dell’helpdesker che sta effettuando la connessione. Cliccando su Si viene data da parte dell’utente l’autorizzazione ad accedere al proprio computer.

Viene stabilita la connessione con il client ma in modalità di solo visualizzazione. Per poter operare sul client bisogna effettuare una richiesta di controllo all’utente tramite il bottone Request control.

L’utente deve cliccare sul bottone Si per dare il controllo del proprio computer all’helpdesker.

Lo stato della connessione della finestra Assistenza remota diventa Connesso/In controllo. Il supporto IT può ora operare sul client fornendo l’assistenza richiesta.

Tramite GPO è quindi possibile configurare il servizio di Remote Assistance in modo veloce e funzionale facilitando il supporto IT nel fornire l’assistenza agli utenti della rete.

TROUBLESHOOTING
Può verificarsi che la connessione con il client non venga stabilita e il sistema visualizza una finestra di warning.

Per capire il motivo del problema, la consultazione dell’Event Viewer può dare delle indicazioni significative. Dal client con il quale è stata tentata la connessione, accedere all’Event Viewer. Si presenta una segnalazione di errore relativa a Remote Assistance.

Facendo doppio click sull’errore, viene visualizzata dal sistema la descrizione della possibile causa del problema che si è verificato. Un esempio può essere il seguente:

Origine: Remote Assistance
ID Evento: 5251
Descrizione: L’account HelpAssistant è disabilitato o mancante oppure non è stato possibile verificare la password.

Questo problema si verifica in genere se viene cambiato il SID del computer utilizzando prodotti come newSID, GhostWalker, etc. Come suggerito nella Descrizione, la soluzione al problema si ottiene avviando Windows in safe mode e lanciando da console il comando:

sessmgr.exe -service

Poichè questa operazione potrebbe richiedere tempo per l’esecuzione in safe mode, è possibile lanciare il comando tramite GPO o tramite script.

GPO
Dal client cliccare su Start –> Run e digitare il comando gpedit.msc. Aggiungere i parametri nella sezione Computer Configuration –> Policies –> Windows Settings –> Scripts –> Startup.

Dalla finestra Startup Properties, cliccare sul bottone Add ed impostare i campi della finestra Add a Script con i seguenti valori:

Script Name:                   sessmgr.exe
Script Parameters:        -service

SCRIPT
Creare un file batch contenente le seguenti istruzioni:

net stop rdsessmgr
%systemroot%\system32\sessmgr.exe -service
net start rdsessmgr

Lo script viene eseguito cliccando sul file .bat creato.

Dopo aver eseguito il comando tramite GPO o script, effettuare il reboot del client e provare ad effettuare nuovamente una connessione in Remote Assistance. Il problema relativo all’errore 5251 dovrebbe essersi risolto.

Hai già letto questi articoli?

• Comprendere le Group Policy di Active Directory
• Installare FreeRADIUS + MOTP per l’autenticazione in CentOS 5.x
• Verificare le GPO processate tramite la console rsop.msc
• Customizzare Acrobat Reader X e deploy tramite GPO

Comprendere le funzionalità e come impostare correttamente le Group Policy (GPO) in Active Directory è un aspetto importante per una corretta gestione della rete.

Capire come poter controllare ed impostare le configurazioni dei computer della rete tramite GPO rende il lavoro del personale IT molto più semplice eliminando la necessità di passare per ogni singolo client.

Microsoft ha messo a disposizione una semplice ma valida guida intitolata Group Policy for Beginners per capire i concetti e il funzionamento delle Group Policy di Active Directory.

La guida la trovate a questo link:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=470526da-8350-4314-a48d-ca97721855e1

Per comprendere in pratica l’utilizzo delle GPO, trovate un esempio nell’articolo presente sul blog Customizzare Acrobat Reader X e deploy tramite GPO .

Hai già letto questi articoli?

• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Verificare le GPO processate tramite la console rsop.msc
• Customizzare Acrobat Reader X e deploy tramite GPO
• In Windows 2008 R2 le GPO non vengono applicate nei client XP e 2003

Con la diffusione dei sistemi di virtualizzazione nelle aziende, il problema della gestione degli accessi e della sicurezza diventa prioritario. Avere una sistema per la gestione centralizzata delle autenticazioni per l’accesso all’infrastruttura informatica facilita notevolmente la parte amministrativa degli operatori IT oltre che fornire un fattore di sicurezza più affidabile.

Per accedere direttamente ad un server ESXi (quindi non con vCenter) è necessario utilizzare un account  Linux definito nell’host. Questo vale per ogni server analogo presente nella rete. E’ evidente che una gestione sicura e funzionale dei vari account all’interno di una rete risulti piuttosto laboriosa.

Dalla versione 4.1, VMware ha integrato in ESXi l’opzione per l’autenticazione in Active Directory che permette il login tramite utenti e gruppi definiti in AD. Questa funzione è operativa effettuando il join di ESXi al dominio AD in un modo molto più semplice.

1. PREREQUISITI
Per poter effettuare l’operazione correttamente, è necessario verificare alcuni aspetti:

1. L’host ESXi e il Domain Controller hanno un corretto time synchronization per il funzionamento dell’autenticazione tramite il protocollo Kerberos.
2. La DNS resolution funziona correttamente dall’host ESXi.
3. L’host ESXi ha un corretto FQDN, ad esempio esxi.domain.local.

2. PROCEDURA
Collegarsi al server ESXi tramite vSphere Client (non da vCenter!) e digitare username e password corretti dell’account con diritti amministrativi (default root) presenti in ESXi.

Selezionare il pannello Configuration e cliccare sulla voce Authentication Services.

Si accede all’area per l’autenticazione. Nella parte destra dello schermo cliccare sulla voce Properties.

Si apre la finestra Directory Services Configuration. Impostare i parametri per l’autenticazione in Active Directory.

Select Directory Service Type: Active Directory
Domain: domain.local

Cliccare sul bottone Join Domain per effettuare l’operazione di join al dominio.

Viene visualizzata la finestra che richiede l’inserimento dell’account di Active Directory con i diritti sufficienti per effettuare il join al dominio. Cliccare sul bottone Join Domain.

Conclusa l’operazione, il nome del dominio viene indicato nel campo Domain. Da notare la presenza del bottone Leave Domain che permette di rimuovere l’host da Active Directory.

Per definire il gruppo AD dedicato all’amministrazione di ESXi, selezionare il pannello Permissions in vSphere Client e cliccare con il tasto destro in un punto della schermata. Selezionare la voce Add Permission.

Compare la finestra Assign Permissions. Cliccare sul bottone Add per aggiungere il nuovo account AD.

Selezionando il dominio corretto (LAB nell’esempio), vengono visualizzati gli account presenti in AD. Selezionare il gruppo dedicato alla gestione della struttura VMware e cliccare poi su OK.

Assegnare il ruolo al gruppo selezionato (No Access, Read Only, Administrator) e cliccare su OK.

Osservando la lista degli account presenti su ESXi, compare anche il gruppo di Active Directory appena selezionato.

Dal Domain Controller aprendo Active Directory Users and Computers, è visibile il server ESXi.

Tramite vSphere Client effettuare ora il login all’host ESXi utilizzando l’account di Active Directory membro del gruppo impostato (LAB\L-Group-VMwareAdmin) spuntando l’opzione Use Windows session credentials.

L’accesso a ESXi viene così effettuato utilizzando l’account di Active Directory.

Con questa semplice procedura la gestione delle autenticazioni e sicurezza della rete viene notevolmente alleggerita permettendo l’utilizzo di un solo account per l’accesso a più sistemi.

Hai già letto questi articoli?

• Backup della configurazione di ESX(i) 4.x, 5.x tramite vMA
• Monitorare server ESX(i) con Nagios tramite plugin check_esx su CentOS
• Applicare le patch a VMware ESXi 4.1 tramite CLI
• Join di macchine Linux in un dominio Active Directory

Trovare nelle reti moderne un mix di sistemi con OS Windows e Linux è una situazione ormai comune ed è determinata dalle esigenze sempre più varie di servizi forniti da un ambiente o dall’ altro.

Se la topologia di rete è basata su Active Directory, sorge la necessità di agganciare anche le macchine in Linux nel dominio per permettere l’accesso alle risorse e ai servizi di rete presenti in modo centralizzato.

Per effettuare l’operazione in modo semplice e veloce, è disponibile un tool open source che permette di integrare sistemi Linux, Unix e Mac con Microsoft Active Directory. Si tratta di Likewise Open. L’installazione è semplice e veloce e permette in pochi passaggi di effettuare l’operazione di join al dominio.

AGGIORNAMENTI: Il tool è stato ceduto alla BeyondTrust e rinominato in PowerBroker® Identity Services Open Edition.

1. PROCEDURA
Come prima cosa bisogna scaricare il software dal sito Likewise BeyondTrust che viene reso disponibile nelle versioni a 64 e 32 bit.

versione 32 bit
# wget http://www.likewise.com/bits/summer09/7724/LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer
# wget http://www.beyondtrust.com/Technical-Support/Downloads/files/PBISO/6.0/8398/LikewiseOpen-6.0.0.8398-linux-i386-rpm.sh

versione 64 bit
# wget http://www.likewise.com/bits/summer09/7724/LikewiseIdentityServiceOpen-5.3.0.7724-linux-x86_64-rpm-installer
# wget http://www.beyondtrust.com/Technical-Support/Downloads/files/PBISO/6.0/8398/LikewiseOpen-6.0.0.8398-linux-x86_64-rpm.sh

2. INSTALLAZIONE
Per lanciare l’installazione bisogna rendere eseguibile il file appena scaricato:

# chmod a+x LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer

A questo punto mandiamo in esecuzione il file di installazione:

# ./LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer

Premere Enter per proseguire.

Digitare y per proseguire.

Premere ancora una volta Enter per proseguire.

L’installazione a questo punto è terminata. Il prossimo passaggio è l’aggancio della macchina Linux al dominio Active Directory.

3. JOIN AL DOMINIO
Completata l’installazione, effettuare il join del computer Linux al dominio Active Directory utilizzando il comando:

# /opt/likewise/bin/domainjoin-cli join nomedominio Administrator

Viene richiesto l’inserimento della password dell’account utilizzato per effettuare l’operazione di join che possiede i diritti di Domain Administrator. Se il tutto va a buon fine, viene confermato dalla scritta SUCCESS che appare una volta inserita la password. Il sistema Linux è ora nel dominio Active Directory.

Un’ulteriore verifica la si può effettuare nel Domain Controller aprendo lo snap-in Active Directory Users and Computers –> Computers. Nella parte destra viene visualizzata la macchina Linux appena agganciata al dominio.

Per impostare il corretto ambiente operativo, un ulteriore settaggio deve essere effettuato nel file di configurazione di Likewise Open. Editare il file /etc/likewise/lsassd.conf e modificare le definizioni indicate con i valori specificati.

# vi /etc/likewise/lsassd.conf

login-shell-template = /bin/bash
homedir-template = %H/%U

Per rendere effettive le modifiche è necessario riavviare il daemon lsassd.

# service lsassd restart

Tramite putty o similari, effettuare il logon alla macchina Linux in SSH utilizzando un utente già definito in Active Directory.

Per aggiungere gli utenti del dominio ai gruppi locali del sistema Linux, inserire le definizioni nel file /etc/group utilizzando la sintassi:

NetBIOSdomainName\SAMaccountName

Il nostro sistema Linux è adesso perfettamente integrato nella rete Active Directory.

Hai già letto questi articoli?

• Integrare VMware ESXi 4.1 in Active Directory
• Configurare Windows 2008 R2 come server NTP per sincronizzare la rete.
• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Comprendere le Group Policy di Active Directory

L’importanza di avere tutti i sistemi sincronizzati con la stessa ora è fondamentale per il corretto funzionamento di una rete basata su Active Directory. La sicurezza delle autenticazioni, che avvengono tramite il protocollo kerberos, si affida al time stamps della richiesta effettuata dai client.

Il non tener conto di questo aspetto può portare a molti problemi di autenticazione poichè se il discostamento degli orologi tra il client e KDC è oltre la soglia di tolleranza, l’autenticazione semplicemente viene rifiutata. E’ quindi molto importante fare in modo che all’interno della rete i vari sistemi abbiano tutti la stessa data e ora.

Fortunatamente Windows Server 2008 viene incontro a questa esigenza tramite Windows Time Service (W32Time) che è un servizio con il compito di mantenere gli orologi sincronizzati nei computer della rete utilizzando il protocollo SNTP.

1. PDC COME SERVER NTP
In una topologia di rete basata su Active Directory, W32Time sincronizza gli orologi della forest utilizzando una relazione gerarchica che inizia dal PDC Emulator nella root domain della forest, considerato per la AD forest lo stratum 2 del time source.

Se il PDC è sincronizzato tramite un Internet time server o un orologio atomico, questi ultimi sono considerati nella gerarchia W32Time stratum 1 del time source.

Quindi il computer che deve essere configurato come NTP server in Active Directory deve essere il domain controller che ricopre il ruolo di PDC Emulator.

2. CONFIGURAZIONE DEL SERVER
La configurazione viene fatta direttamente nel registry di Windows tramite il Registry Editor.

- Una volta avviato il Registry Editor tramite il comando regedit, identificare la voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

- Cliccare con il tasto destro del mouse la voce AnnounceFlags e quindi Modify.

- Nel campo Value data digitare 5 e successivamente click su OK.

- Per abilitare il server NTP, posizionarsi sulla voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ TimeProviders\ NtpServer

- Cliccare con il tasto destro del mouse la voce Enabled e quindi Modify.

- Nel campo Value data digitare 1 e successivamente OK.

- Per impostare con quali server NTP esterni il nostro sistema deve sincronizzarsi, selezionare la voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

- Cliccare con il tasto destro del mouse la voce NtpServer e quindi Modify.

- Nel campo Value data impostare il DNS name del/i server NTP con i quali effettuare la sincronizzazione seguiti da ,0×1 per ogni valore DNS impostato. Cliccare poi OK.

- Per impostare il valore di time correction o modificare i parametri di default secondo le proprie esigenze, posizionarsi nella chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

- Dopo aver chiuso il Registry Editor, l’ultima operazione da effettuare è il riavvio del servizio W32Time dal Command Prompt tramite il comando seguente:

net stop w32time && net start w32time

- Per fare in modo di avviare il servizio ad ogni reboot del server, impostare lo Startup type del servizio W32Time in Automatic.

- Poichè il servizio utilizza la porta UDP 123 per il suo funzionamento, è necessario aprire la porta nel firewall di Windows.

3. CONFIGURAZIONE DEI CLIENT E TEST DEL SERVIZIO
Utilizzando Windows Time (W32Time) service come server NTP è possibile sincronizzare sia client Windows che non-Windows.

Windows 7

- Effettuare un click con il tasto destro sull’orologio in basso a destra del desktop e selezionare Adjust date/time.

- All’apertura della finestra, selezionare la voce Internet Time e cliccare sul bottone Change Settings…

- Digitare il DNS name del server NTP appena impostato (srv-dc1 nell’esempio).

- Per effettuare la sincronizzazione manuale cliccare sul bottone Update Now.

Linux

Installare il daemon ntpd, renderlo attivo all’avvio del computer ed editare il file di configurazione /etc/ntpd.conf per impostare il nuovo server NTP di riferimento (srv-dc1 nell’esempio):

# yum install ntp
# chkconfig ntpd on
# vi /etc/ntpd.conf

Per testare la sincronizzazione sul client Linux è sufficiente fermare il servizio ntpd ed utilizzare il comando ntpdate:

# service ntpd stop
# ntpdate srv-dc1

A questo punto tutti i sistemi possono essere sincronizzati con il nuovo server NTP appena configurato scongiurando potenziali problemi dovuti all’autenticazione in Kerberos.

Hai già letto questi articoli?

• Join di macchine Linux in un dominio Active Directory
• Servizio NTP: quale provider?
• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Comprendere le Group Policy di Active Directory

L’aspetto della sicurezza dei dati aziendali è ormai recepito come un fattore vitale per il business svolto anche dalle persone predisposte ad autorizzare “spese informatiche” che spesso non hanno un bagaglio tecnico adeguato alle spalle. La sicurezza di una rete non deve essere curata solo ed unicamente per le intrusioni dall’esterno, ma la protezione dei documenti da chiunque non sia autorizzato all’uso è un aspetto generale.

Nel mercato sono presenti diverse tecnologie per la protezione dei documenti più o meno efficienti, più o meno complesse e più o meno costose. Cosa adottare per l’azienda dipende principalmente dalle esigenze specifiche e anche dalle risorse tecnico/finanziarie disponibili.

Già sul mercato da qualche hanno, Microsoft ha introdotto una soluzione per rafforzare la sicurezza della rete mirata alla protezione dei documenti tramite il servizio Rights Management Service (RMS). RMS introdotto per la versione Windows Server 2003, è una tecnologia per la protezione dei documenti ed e-mail con applicazioni abilitate al servizio RMS per favorire la salvaguardia delle informazioni digitali da un uso non autorizzato.

In Windows Server 2008, RMS è già incluso ed è stato rinominato in Active Directory Rights Management Services per riflettere un più alto livello di integrazione con Active Directory.

1. PERCHE’ RMS

• Sistemi basati su ACL ed Encryption come EFS, ad esempio, non sono efficaci se il file viene spostato dalla partizione NTFS (copiato su un floppy, CD, USB pen).
• Documenti protetti con password possono essere facilmente craccati.
• Se assegno i diritti READ ONLY ad un documento, l’operazione di copia & incolla del contenuto in un altro documento non può essere bloccata.
• Se il dispositivo che contiene i documenti viene perso o rubato, il contenuto può essere accessibile a chiunque.
• RMS rende lo scambio della documentazione interna ad un’azienda più sicura.
• RMS è FIPS compliant.
• E’ un service che non necessita costi aggiuntivi per la licenza.

2. COSA FA RMS

• Tutti i documenti ed e-mail che si appoggiano a RMS sono criptati.
• La crittografia rimane allegata al file mentre sistemi come EFS proteggono i documenti solo se fisicamente salvati sulla partizione NTFS.
• A differenza di EFS, RMS lavora anche con i gruppi AD per l’assegnazione dei diritti.
• E’ possibile assegnare diverse tipologie di protezione a documenti ed e-mails: read only, modify, copy, print, forwarding, etc.

3. I LIMITI DI RMS

• In termini di sicurezza, il solo RMS non garantisce il grado più alto di protezione rispetto alla tecnologia PKI, ma scoraggia e rende più complicati eventuali tentativi di intrusione.
• Non protegge i documenti da foto, registrazioni vocali e screen capturing tools diversi da Microsoft.

4. I REQUISITI
Per il funzionamento di RMS server sono richiesti i seguenti componenti:

• Windows Server 2003
• Active Directory
• SQL server 200x
• ASP.Net
• Message Queuing
• IIS
• RMS server SP2 (solo per la versione 2003, nella versione 2008 è già incluso)

Per il funzionamento di RMS client i requisiti sono i seguenti:

• Office 2003, 2007 Professional – per pubblicare i documenti (publish)
• Office 2003, 2007 Standard – per accedere documenti (consume)
• RMS client SP2 (solo per Office 2003)
• RMS add-on (solo per Internet Explorer 6.0) – permette di accedere ai documenti protetti senza avere Office installato.

La distribuzione dell’RMS client può essere effettuata tramite GPOs, SMS o manualmente.

5. LA TOPOLOGIA RMS
Il core system è composto da un server RMS (licensing server) che gestisce le licenze per effettuare il publishing e consuming (protezione e accesso) dei documenti e un server SQL che gestisce i tre database creati da RMS: Configuration, Directory Services e Logging.

La perdita del licensing server non compromette la funzionalità del servizio RMS mentre la perdita o danneggiamento del database RMS comporta un danno talvolta irreversibile nel recupero dei documenti. Per questo motivo è fortemente consigliabile tenere l’RMS e il database SQL su server diversi .

A seconda della struttura di rete, i licensing server possono essere distribuiti su varie locazioni nel caso di linee lente, un workload eccessivo, etc.

RMS è implementato a livello di forest nell’AD quindi tutti i domini membri possono beneficiare di questo servizio. Due forest possono utilizzare lo stesso servizio RMS stabilendo una trust relationship.

6. NOTE
RMS è molto funzionale, relativamente semplice da implementare e soprattutto è un servizio aggiuntivo che non comporta nessun costo in termini di licenze.

Per affermare un progetto di questo tipo presso un’azienda o al management dove implica un “piccolo” stravolgimento della rete presente non sempre è un’impresa semplice. La presentazione deve fare leva sugli aspetti chiave della sicurezza e deve essere supportata da una demo ben fatta in modo da mostrare l’utilizzo pratico e i benefici per l’azienda anche a chi tecnicamente non è ferrato. Far cambiare certe abitudini può a volte essere più complicato che implementare un sistema come RMS:-)…

Hai già letto questi articoli?

• Rights Management Service: gestione del servizio
• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Comprendere le Group Policy di Active Directory
• Integrare VMware ESXi 4.1 in Active Directory