LAB 

: Gestion AD RMS
La société NEXTINFO souhaite sécuriser l’accès de ses données stockées sur le serveur de
fichiers. Après le rachat de la société OXYFILM, on vous demande de mettre en place la
technologie AD RMS afin de sécuriser le contenu des données partagées entre les domaines
Nextinfo.priv et OXYFILM.local. L’ensemble des documents générés par les utilisateurs du
service RH doivent être sécurisés afin que les utilisateurs du service Marketing ne puissent y
avoir accès qu’en lecture seule, avec l’impossibilité de copier ou d’imprimer le contenu.

Afin de répondre à ce besoin, on vous demande de mettre en place la technologie AD RMS

afin que les deux forêts puissent s’échanger des données dont le contenu doit être protégé
pour en limiter la copie ou l’impression.

Pour réaliser les TP ci-dessous, vous aurez besoin de mettre en place les machines virtuelles
suivantes qui hébergeront les rôles ci-dessous :

 DC-01 : contrôleur du domaine Nextinfo.priv, serveur DNS

 Adresse IP : 192.168.0.100
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254

 CS-02 : autorité de certification émettrice (CA d’entreprise), Nextinfo.priv

 Adresse IP : 192.168.0.113
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254
 Partitions : C:\ D:\, E:\

 FILES-01 : serveur de fichiers, AD RMS, Nextinfo.priv

 Adresse IP : 192.168.0.109
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254
 Partitions : C:\, E:\ (50 Go)

 CLIENT1 : client DNS & DHCP, Pack Office 2010, Nextinfo.priv

 Adresse IP : 192.168.0.104
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254

 DC-05 : contrôleur du domaine oxyfilm.local, serveur DNS

 Adresse IP : 192.168.0.118
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254

 CLIENT3 : client DNS & DHCP, oxyfilm.local

 Adresse IP : 192.168.0.119
 Masque de sous-réseau : 255.255.255.0
 Passerelle par défaut : 192.168.0.254
1. Préparer le déploiement AD RMS

Ce TP permet de préparer l’installation du rôle de serveur AD RMS.

 Étape 1 : ouvrez une session sur le serveur DC-01 avec des identifiants d’administration du
domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
DNS.

 Étape 2 : développez l’arborescence de la console, faites un clic droit sur Redirecteurs

conditionnels, puis cliquez sur Nouveau redirecteur conditionnel.

 Étape 3 : dans la fenêtre Nouveau redirecteur conditionnel, tapez oxyfilm.local dans le

champ Domaine DNS, puis tapez 192.168.0.118 dans le champ Adresses IP des serveurs
maîtres. Cliquez ensuite sur OK.

 Étape 4 : ouvrez une session sur le serveur DC-05 avec des identifiants d’administration du
domaine Oxyfilm.local, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
DNS.

 Étape 5 : développez l’arborescence de la console, faites un clic droit sur Redirecteurs

conditionnels, puis cliquez sur Nouveau redirecteur conditionnel.

 Étape 6 : dans la fenêtre Nouveau redirecteur conditionnel, tapez nextinfo.priv dans le

champ Domaine DNS, puis tapez 192.168.0.100 dans le champ Adresses IP des serveurs
maîtres. Cliquez ensuite sur OK.

 Étape 7 : basculez sur le serveur DC-01, dans le Gestionnaire de serveur, cliquez sur
Outils, puis sur Utilisateurs et ordinateurs Active Directory.

 Étape 8 : créez l’arborescence d’unités d’organisation suivantes :

NEXTINFO\Utilisateurs

NEXTINFO\RH

NEXTINFO\Groupes

NEXTINFO\Comptes de service

 Étape 9 : créez le compte d’utilisateur suivant dans l’OU NEXTINFO\RH :

Nom complet : Jean DUPONT

Nom : DUPONT

Prénom : Jean

Login : jdupont

Mot de passe : P@ssw0rd

E-mail : [email protected]

 Étape 10 : créez le compte d’utilisateur suivant dans l’OU NEXTINFO\Utilisateurs :

Nom complet : Marc LEBLANC

Nom : LEBLANC

Prénom : Marc

Login : mleblanc

Mot de passe : P@ssw0rd

E-mail : [email protected]

 Étape 11 : créez le compte de service suivant dans l’OU NEXTINFO\Comptes de service :

Nom complet : svc-adrms

Nom : svc-adrms

Prénom : svc-adrms

Login : svc-adrms

Mot de passe : P@ssw0rd

Options de mot de passe : Le mot de passe n’expire jamais

 Étape 12 : créez les groupes de sécurité suivants dans l’OU NEXTINFO\Groupes, avec les
caractéristiques suivantes :

Nom : GG_RH_Users

Type : Groupe de sécurité

Étendue : Globale

E-mail : [email protected]

Membres : Jean DUPONT

Nom : GG_MARKETING_Users

Type : Groupe de sécurité

Étendue : Globale

E-mail : [email protected]

Membres : Marc LEBLANC

Nom : GG_ADRMS_SuperUsers

Type : Groupe de sécurité

Étendue : Globale

E-mail : [email protected]
 Étape 13 : sur DC-01, démarrez le Gestionnaire de serveur, cliquez sur Outils puis sur
DNS.

 Étape 14 : développez l’arborescence de la console jusqu’à Zone de recherche

directes\nextinfo.priv, puis créez un alias CNAME avec les caractéristiques suivantes et
cliquez sur OK :

 Nom de l’alias : CLUSTER-ADRMS

 Nom de domaine pleinement qualifié : CLUSTER-ADRMS.nextinfo.priv
 Nom de domaine complet pour l’hôte de destination : FILES01.nextinfo.priv

 Étape 15 : ouvrez une session sur le serveur CS-02 (serveur de certificat hébergeant une
autorité de certification d’entreprise émettrice) avec des identifiants d’administration du
domaine Nextinfo.priv. Démarrez le Gestionnaire de serveur, cliquez sur Outils puis sur
Autorité de certification.

 Étape 16 : développez l’arborescence de la console afin de sélectionner le conteneur

Modèles de certificats. Faites un clic droit dessus et cliquez sur Gérer.

 Étape 17 : dans la liste des modèles de certificats disponibles, sélectionnez le certificat

Serveur Web, faites un clic droit dessus et cliquez sur Dupliquer le modèle.

 Étape 18 : dans la fenêtre Propriété du nouveau modèle, sélectionnez Windows Server

2016 dans le champ Autorité de certification de la section Paramètres de compatibilités et
cliquez sur OK pour valider la sélection. Sélectionnez ensuite Windows 10 / Windows
Server 2016 dans le champ Destinataire du certificat et cliquez sur OK pour valider la
sélection.

 Étape 19 : cliquez sur l’onglet Général de la fenêtre Propriétés du nouveau modèle et

tapez Serveur Web ADRMS dans le champ Nom complet du modèle. Cochez ensuite la
case Publier le certificat dans Active Directory.

 Étape 20 : cliquez sur l’onglet Sécurité de la fenêtre Propriétés du nouveau modèle et

cliquez sur Ajouter afin de sélectionner le compte d’ordinateur FILES-01. Cochez les droits
Lecture et Inscrire, puis cliquez sur OK pour fermer les propriétés du nouveau modèle de
certificat, et fermez la console de modèle de certificats.

 Étape 21 : dans la console Autorité de certification, faites un clic droit sur Modèles de
certificats, cliquez sur Nouveau, puis sur Modèle de certificats à délivrer. Sélectionnez
ensuite le modèle de certificat nommé Serveur Web ADRMS, puis cliquez sur OK :

2. Installer AD RMS

Ce TP permet d’installer le rôle de serveur AD RMS sur le serveur de fichier FILES-01. Ce

premier serveur constitue le cluster AD RMS.

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Ajouter des rôles
et des fonctionnalités.
 Étape 2 : cliquez sur Suivant pour passer les pages Avant de commencer, Sélectionner le
type d’installation et Sélectionner le serveur de destination.

 Étape 3 : dans la fenêtre Sélectionner des rôles de serveurs, cochez la case correspondant
au rôle Services AD RMS (Active Directory Rights Management Services), puis cliquez
sur le bouton Ajouter des fonctionnalités. Cliquez ensuite sur Suivant :

L’installation des services AD RMS ajoute également le rôle Serveur Web IIS.

 Étape 4 : dans la fenêtre Sélectionner des fonctionnalités, cliquez sur Suivant.

 Étape 5 : dans la fenêtre Services AD RMS, cliquez sur Suivant.

 Étape 6 : dans la fenêtre Sélectionner des services de rôle, cochez la case Active Directory
Rights Management Server, puis cliquez sur Suivant :

 Étape 7 : dans la fenêtre Rôle Web Server (IIS), cliquez sur Suivant.

 Étape 8 : dans la fenêtre Sélectionner des services de rôle, cliquez sur Suivant.

 Étape 9 : dans la fenêtre Confirmer les sélections d’installation, cliquez sur Installer.

 Étape 10 : dans la fenêtre Progression de l’installation, cliquez sur Fermer.

3. Post-installation AD RMS

Ce TP permet de configurer le rôle de serveur AD RMS sur le serveur de fichier FILES-01

post-installation. 

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur le panneau
jaune contenant un point d’exclamation. Cliquez ensuite sur Effectuer une configuration
supplémentaire.

 Étape 2 : dans la fenêtre de configuration AD RMS post déploiement, cliquez sur Suivant.

 Étape 3 : dans la fenêtre Cluster AD RMS, l’option Créer un nouveau cluster racine AD
RMS est déjà sélectionné car il s’agit de la configuration du premier serveur de
l’infrastructure. Cliquez sur Suivant.

 Étape 4 : dans la fenêtre Base de données de configuration, cochez la case Utiliser la base
de données interne de Windows sur ce serveur et cliquez sur Suivant.

 Étape 5 : dans la fenêtre Compte de service, cliquez sur Spécifier afin d’indiquer le compte
de service NEXTINFO\svc-adrms. Cliquez ensuite sur Suivant :

 Étape 6 : dans la fenêtre Mode de chiffrement, cochez la case Mode de chiffrement 2 (cela
permet d’accroître la sécurité), puis cliquez sur Suivant.
 Étape 7 : dans la fenêtre Stockage de clé de cluster, cochez la case Utiliser le stockage de
clé AD RMS géré de manière centralisée et cliquez sur Suivant.

Dans un environnement de production, il est recommandé de sélectionner l’option Utiliser un

stockage de clé CSP.

 Étape 8 : dans la fenêtre Mot de passe de clé de cluster, tapez P@ssw0rd dans les champs
dédiés aux mots de passe, puis cliquez sur Suivant.

 Étape 9 : dans la fenêtre Site Web de cluster, sélectionnez le site Default Web Site et
cliquez sur Suivant. 

 Étape 10 : dans la fenêtre Adresse du cluster, cochez la case Utiliser une connexion SSL
chiffrée dans la section Type de connexion, puis tapez CLUSTER-ADRMS.nextinfo.priv
dans le champ https:// de la section Nom de domaine complet. Cliquez ensuite sur Suivant :

 Étape 11 : dans la fenêtre Certificat du serveur, cochez la case Choisir un certificat pour
le chiffrement SSL ultérieurement. Cliquez ensuite sur Suivant.

 Étape 12 : dans la fenêtre Certificat de licence, tapez NEXTINFO_ADRMS dans le champ

Nom, puis cliquez sur Suivant.

 Étape 13 : dans la fenêtre Inscription du SCP, cochez la case Enregistrer le point de

connexion de service maintenant, puis cliquez sur Suivant.

 Étape 14 : dans la fenêtre Confirmation, cliquez sur Installer.

 Étape 15 : dans la fenêtre Résultats, assurez-vous que les services AD RMS ont bien été
configurés, puis cliquez sur Fermer.

 Étape 16 : démarrez le Gestionnaire de serveur, cliquez sur Outils puis sur Gestionnaire
des services Internet (IIS).

 Étape 17 : dans la partie gauche de l’arborescence de la console, sélectionnez le nom du

serveur. Dans la partie centrale, double cliquez sur Certificats de serveur.

 Étape 18 : dans la partie droite, cliquez sur Créer une demande de certificat.

 Étape 19 : dans la fenêtre de Demande de certificat, tapez les informations suivantes, puis
cliquez sur Suivant :

 Nom commun : CLUSTER-ADRMS.nextinfo.priv

 Organisation : NEXTINFO
 Unité d’organisation : AD RMS
 Ville : Paris
 Département/région : Ile de France
 Pays/région : FR
Le champ Nom commun correspond à l’URL définitive, soit http://CLUSTER-
ADRMS.nextinfo.priv.

 Étape 20 : dans l’étape Propriétés du fournisseur de services de chiffrement, sélectionnez

une longueur en bits de 2048, puis cliquez sur Suivant.

 Étape 21 : créez le répertoire C:\Certificats. Dans l’étape Nom du fichier, tapez

C:\Certificats\Demande.txt, et cliquez sur Terminer.

 Étape 22 : ouvrez le navigateur Internet Explorer en tapant l’URL suivante : http://CS-

02/certsrv, et cliquez sur Demander un certificat.

 Étape 23 : cliquez sur Demande de certificat avancée.

 Étape 24 : cliquez sur Soumettez une demande de certificat en utilisant un fichier.

 Étape 25 : copiez le contenu du fichier C:\Certificats\Demande.txt dans la section Demande

enregistrée. Sélectionnez le modèle de certificat Serveur Web, puis cliquez sur Envoyer :

 Étape 26 : cliquez sur Télécharger le certificat et enregistrez le fichier Certnew.cer dans le

répertoire C:\Certificats\.

 Étape 27 : basculez sur la console de gestion IIS et dans la partie droite, cliquez sur
Terminer la demande de certificat.

 Étape 28 : à l’écran Indiquer la réponse de l’autorité de certification, sélectionnez

l’emplacement du fichier de réponse C:\Certificats\certnew.cer, tapez Serveur Web ADRMS
dans le champ Nom convivial, puis sélectionnez Personnel dans le champ Sélectionner un
magasin de certificats pour le nouveau certificat. Cliquez ensuite sur OK.

 Étape 29 : basculez sur la console de gestion IIS, développez l’arborescence et sélectionnez

Default Web Site. Dans la partie droite, cliquez sur Liaison de site.

 Étape 30 : dans la fenêtre Liaisons de sites, double cliquez sur le type de liaison https.

 Étape 31 : dans la fenêtre Modifier la liaison de site, renseignez les informations suivantes
et cliquez sur OK puis sur Fermer.

 Type : https
 Port : 443
 Nom de l’hôte : CLUSTER-ADRMS.nextinfo.priv
 Certificat SSL : Serveur Web ADRMS

 Étape 32 : refermez votre session.

4. Configurer la console AD RMS

Ce TP permet de configurer la console de gestion AD RMS sur le serveur de fichier FILES-

01.
 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
Services AD RMS (Active Directory Rights Management Services).

 Étape 2 : dans l’arborescence de la console, faites un clic droit sur le nom du serveur local,
puis cliquez sur Supprimer.

 Étape 3 : dans la fenêtre Supprimer le cluster, cliquez sur Oui.

 Étape 4 : faites ensuite un clic droit sur le nœud racine de la console et cliquez sur Ajouter
un cluster. 

 Étape 5 : dans la fenêtre Ajouter un cluster, sélectionnez HTTPS avec le numéro de port
443 dans la section Protocole de connexion. Cochez la case Ordinateur distant et tapez
cluster-adrms.nextinfo.priv dans la section Connexion. Cochez la case Se connecter en tant
que et renseignez les identifiants de connexion d’un compte d’administration du domaine
Nextinfo.priv, puis cliquez sur Terminer.

 Étape 6 : la console de gestion AD RMS est désormais accessible pour l’administration du

cluster via des services web :

5. Configurer les super utilisateurs

Ce TP permet de configurer un groupe de super utilisateurs sur le cluster AD RMS. Les

membres de ce groupe ont la possibilité de déchiffrer tout le contenu publié sur
l’infrastructure AD RMS.

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
Services AD RMS (Active Directory Rights Management Services).

 Étape 2 : développez l’arborescence de la console jusqu’à sélectionner Super utilisateurs

dans le nœud Stratégies de sécurité.

 Étape 3 : dans le menu Actions, cliquez sur Activer les super utilisateurs.

 Étape 4 : dans la partie centrale de la console, cliquez sur Modifier le groupe des super
utilisateurs.

 Étape 5 : dans la fenêtre Super utilisateurs, cliquez sur Parcourir afin de sélectionner le
groupe de sécurité global GG_ADRMS_SuperUsers. Assurez-vous que l’adresse e-mail
associée au groupe de sécurité apparaît bien dans le champ Groupe de super utilisateurs,
puis cliquez sur OK :

6. Configurer un modèle de stratégies

Ce TP permet de créer un modèle de stratégie de droits limitant l’usage d’un contenu à la

simple lecture pour les utilisateurs du service Marketing. Le contenu protégé doit être
configuré avec une durée d’expiration à 5 jours correspondant à une semaine ouvrée, et une
licence d’utilisation à 5 jours.
 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
Services AD RMS (Active Directory Rights Management Services).

 Étape 2 : dans l’arborescence de la console, cliquez sur Modèles de stratégies de droits.

 Étape 3 : dans le menu Actions, cliquez sur Gérer les modèles de stratégies de droits
distribués, puis cliquez sur Créer un modèle de stratégie de droits distribués.

 Étape 4 : dans la fenêtre Créer un modèle de stratégie de droits distribué, cliquez sur
Ajouter à l’étape Ajouter des informations d’identification du modèle.

 Étape 5 : dans la fenêtre Ajouter de nouvelles informations d’identification du modèle,

renseignez les valeurs suivantes, puis cliquez sur Ajouter :

 Langue : Français (France)

 Nom : Lecture
 Description : Protection AD RMS : Copie ou impression interdite

 Étape 6 : cliquez sur Suivant.

 Étape 7 : dans l’étape Ajouter des droits d’utilisateur, cliquez sur Ajouter dans la section
Utilisateurs et droits afin de spécifier le groupe de sécurité global
GG_MARKETING_Users (E-mail : [email protected]), puis cliquez sur OK :

 Étape 8 : dans la section Droits de [email protected], cochez la case Afficher, puis

cliquez sur Suivant :

 Étape 9 : à l’écran Spécifier la stratégie d’expiration, spécifiez une durée d’expiration du

contenu, ainsi qu’une durée d’expiration de la licence d’utilisation à 5 jours. Cliquez ensuite
sur Suivant :

 Étape 10 : dans la fenêtre Spécifier la stratégie étendue, cochez la case Demander une
nouvelle licence d’utilisation à chaque accès au contenu, puis cliquez sur Terminer :

 Étape 11 : votre modèle de stratégie de droits distribués apparaît désormais dans la console
mais l’emplacement du fichier de modèle apparaît comme Non défini. Sur le serveur FILES-
01, créer les répertoires suivants avec les caractéristiques associées :

 Répertoire à créer : E:\MODELES

 Nom de partage : MODELES

 Autorisation de partage : svc-adrms (Lecture/Ecriture)

 Répertoire à créer : E:\PARTAGE

  Nom de partage : PARTAGE
 Autorisation de partage : Tout le monde (Lecture/Ecriture)

 Étape 12 : dans la console de gestion des Services AD RMS, cliquez sur Modifier
l’emplacement du fichier de modèles de stratégies de droits distribués :

 Étape 13 : cochez la case Activer l’exportation puis spécifiez l’emplacement des modèles
en tapant \\FILES-01\MODELES. Cliquez ensuite sur OK :

 Étape 14 : le modèle de stratégie de droits distribués créé précédemment apparaît ensuite

dans le répertoire E:\MODELES du serveur FILES-01 :

7. Créer une stratégie d’exclusion

Ce TP permet de créer une stratégie d’exclusion d’application afin d’interdire les versions de
Word obsolètes pour consulter du contenu protégé par AD RMS. Seules les versions de Word
issues des Pack Office 2010 et 365 sont tolérées.

 Étape 1 : ouvrez une session sur le serveur FILES-01 avec des identifiants d’administration
du domaine Nextinfo.priv, puis dans le Gestionnaire de serveur, cliquez sur Outils, puis sur
Services AD RMS (Active Directory Rights Management Services).

 Étape 2 : développez l’arborescence de la console jusqu’à sélectionner Applications dans le

nœud Stratégies d’exclusion.

 Étape 3 : dans le menu Actions, cliquez sur Activer l’exclusion d’applications.

 Étape 4 : dans le menu Actions, cliquez sur Exclure l’application.

 Étape 5 : dans la fenêtre Exclure l’application, tapez les informations suivantes et cliquez
sur Terminer :

 Nom de fichier d’application : WINWORD.EXE

 Version minimale : 14.0.0.0
 Version maximale : 15.0.0.0

 Étape 6 : l’exclusion d’applications apparaît ensuite dans la console de gestion des Services
AD RMS :

8. Protéger du contenu

Ce TP permet de créer un document Word depuis le pack Office 2010 et le protéger avant de
le communiquer à d’autres utilisateurs. Une fois le document sécurisé, un test doit être
effectué afin de s’assurer que les utilisateurs du service Marketing n’ont qu’un droit de lecture
sur le document.
 Étape 1 : ouvrez une session sur le poste CLIENT1 avec les identifiants du compte
d’utilisateur Jean DUPONT (login : jdupont et mot de passe : P@ssw0rd).

 Étape 2 : déplacez-vous sur le bureau de l’utilisateur et créez un nouveau document Word

nommé Confidentiel.docx.

 Étape 3 : ouvrez le document Word Confidentiel.docx et tapez le texte suivant : "Document

des Ressources Humaines"

 Étape 4 : cliquez sur l’onglet Fichier du document Word, puis sélectionnez la section
Informations. Dans la section Autorisations, cliquez sur Protéger le document, puis sur
Restreindre l’autorisation par les personnes, et cliquez sur Gérer les informations
d’identification :

 Étape 5 : dans un premier temps, l’application Microsoft Word contacte les services de
domaine Active Directory afin de récupérer l’URL du cluster AD RMS :

 Étape 6 : ensuite, l’utilisateur est invité à s’authentifier avec ses informations d’identification
du domaine Nextinfo.priv. Tapez le login jdupont et le mot de passe P@ssw0rd. Cochez la
case Mémoriser ces informations et cliquez sur OK.

 Étape 7 : l’application vérifie les informations de connexion fournies, afin de s’assurer que
vos identifiants sont autorisés à accéder aux services AD RMS :

 Étape 8 : dans la fenêtre Sélectionner l’utilisateur, cliquez sur OK :

 Étape 9 : dans la fenêtre Autorisation, cochez la case Restreindre l’autorisation à :

document. Dans la section Lire, tapez l’adresse e-mail de l’utilisateur Marc LEBLANC
appartenant au service Marketing ([email protected]) et cliquez sur OK :

 Étape 10 : le document Confidentiel.docx est désormais sécurisé. Enregistrez le fichier à

l’emplacement suivant \\FILES-01\PARTAGE, puis fermez la session de l’utilisateur
jdupont :

 Étape 11 : ouvrez une session sur le poste CLIENT1 avec les identifiants du compte
d’utilisateur Marc LEBLANC (login : mleblanc et mot de passe : P@ssw0rd).

 Étape 12 : ouvrez le fichier \\FILES-01\Partage\Confidentiel.docx.

 Étape 13 : renseignez les identifiants de connexion du compte mleblanc, cochez la case

Mémoriser ces informations et cliquez sur OK :
 Étape 14 : l’application Microsoft Word vérifie les informations fournies. Cochez la case Ne
plus afficher ce message et cliquez sur OK :

 Étape 15 : une fois le document ouvert, essayez de modifier le contenu. Faites un clic droit
dans la page afin de vous assurer que l’ensemble des options de modification ou de copie sont
grisées :

 Étape 16 : cliquez sur Fichier afin de constater que les options Enregistrer, Enregistrer
sous et Imprimer sont grisées :

 Étape 17 : cliquez sur Protéger le document puis sur Afficher les autorisations afin de
constater que seules les options de lecture via un programme sont actives :

 Étape 18 : transférez le fichier Confidentiel.docx sur le poste CLIENT3 du domaine

oxyfilm.local, et ouvrez le document après avoir ouvert une session avec des identifiants
d’administration du domaine oxyfilm.local.

 Étape 19 : acceptez le certificat présenté par l’URL du cluster AD RMS, puis cliquez sur
Oui pour accepter la vérification de vos informations d’identification. Le contenu n’est pas
accessible car les identifiants du compte d’utilisateur fournis ne font pas partie d’un domaine
approuvé par le cluster AD RMS du domaine Nextinfo.priv. Cliquez sur Non pour ne pas
utiliser un autre jeu d’information d’identification :

Pour que des utilisateurs issus d’un autre domaine puissent accéder au contenu protégé par
AD RMS, il faut créer une stratégie d’approbation pour approuver le domaine hébergeant les
utilisateurs.