遭受攻擊的結(jié)果通常會導(dǎo)致企業(yè)內(nèi)部敏感數(shù)據(jù)的大量泄漏，從而會對企業(yè)造成巨大的經(jīng)濟(jì)損失。微軟公司的RMS（Rights Management Services，權(quán)限管理服務(wù)）正是在這種環(huán)境下產(chǎn)生的。它通過數(shù)字證書和用戶身份驗(yàn)證技術(shù)對各種支持 AD RMS 的應(yīng)用程序文檔訪問權(quán)限加以限制，可以有效防止內(nèi)部用戶通過各種途徑擅自泄露機(jī)密文檔內(nèi)容，從而確保了數(shù)據(jù)文件訪問的安全性。

AD RMS 概述

隨著windows server 2008操作系統(tǒng)在企業(yè)中的不斷普及與應(yīng)用，windows server 2008系統(tǒng)中的AD RMS服務(wù)也越來越被廣大IT管理人員所熟悉。

Windows Server 2008 操作系統(tǒng)的 Active Directory 權(quán)限管理服務(wù) (AD RMS) 是一種信息保護(hù)技術(shù)，它與支持 AD RMS 的應(yīng)用程序協(xié)同工作，以防止在企業(yè)內(nèi)部的數(shù)字信息在未經(jīng)授權(quán)的情況下被非法使用。AD RMS 適用于需要保護(hù)敏感信息和專有信息（例如財務(wù)報表、產(chǎn)品說明、客戶數(shù)據(jù)和機(jī)密電子郵件消息）的組織。AD RMS 通過永久使用策略（也稱為使用權(quán)限和條件）提供對信息的保護(hù)，從而增強(qiáng)組織的安全策略，無論信息移到何處，永久使用策略都保持與信息在一起。AD RMS 永久保護(hù)任何二進(jìn)制格式的數(shù)據(jù)，因此使用權(quán)限保持與信息在一起，而不是權(quán)限僅駐留在組織網(wǎng)絡(luò)中。這樣也使得使用權(quán)限在信息被授權(quán)的接收方訪問后得以強(qiáng)制執(zhí)行。

AD RMS 系統(tǒng)包括基于 Windows Server 2008的服務(wù)器（運(yùn)行用于處理證書和授權(quán)的 Active Directory 權(quán)限管理服務(wù)服務(wù)器角色）、數(shù)據(jù)庫服務(wù)器以及 AD RMS 客戶端。最新版本的 AD RMS 客戶端作為 Windows 7 和 Windows Vista操作系統(tǒng)的一部分包括在內(nèi)。AD RMS 系統(tǒng)的部署為組織提供以下優(yōu)勢：

保護(hù)敏感信息。 如字處理器、電子郵件客戶端和行業(yè)應(yīng)用程序等應(yīng)用程序可以啟用 AD RMS，從而幫助保護(hù)敏感信息。用戶可以定義打開、修改、打印、轉(zhuǎn)發(fā)該信息或?qū)υ撔畔?zhí)行其他操作的人員。組織可以創(chuàng)建子自定義的使用策略模板（如 “機(jī)密 - 只讀”），這些模板可直接應(yīng)用于上述信息。

永久性保護(hù)。AD RMS 可以增強(qiáng)現(xiàn)有的基于外圍的安全解決方案（如防火墻和訪問控制列表 (ACL)），通過在文檔本身內(nèi)部鎖定使用權(quán)限、控制如何使用信息（即使在目標(biāo)收件人打開信息后）來更好地保護(hù)信息。

靈活且可自定義的技術(shù)。 獨(dú)立軟件供應(yīng)商 (ISV) 和開發(fā)人員可以使用啟用了 AD RMS 的任何應(yīng)用程序或啟用其他服務(wù)器（如在 Windows 或其他操作系統(tǒng)上運(yùn)行的內(nèi)容管理系統(tǒng)或門戶服務(wù)器），與 AD RMS 結(jié)合使用來幫助保護(hù)敏感信息。啟用 ISV 的目的是為了將信息保護(hù)集成到基于服務(wù)器的解決方案（如文檔和記錄管理、電子郵件網(wǎng)關(guān)和存檔系統(tǒng)、自動工作流以及內(nèi)容檢查）中。

AD RMS環(huán)境部署需求

圖示

 

域控制器:

AD RMS 必須安裝在 Active Directory 域中，其中域控制器正在運(yùn)行帶有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 獲取許可證和發(fā)布內(nèi)容的所有用戶和組都必須在 Active Directory 中配置電子郵件地址。

AD RMS服務(wù)器:

AD RMS客戶端需要證書與許可證才能進(jìn)行文件版權(quán)保護(hù)的工作，以及訪問版權(quán)保護(hù)的文件，而AD RMS服務(wù)器就是負(fù)責(zé)證書與許可證發(fā)放的主機(jī)。用戶可以根據(jù)企業(yè)自身的需求架設(shè)多臺AD RMS服務(wù)器，以便提供故障轉(zhuǎn)移和負(fù)載平衡功能。其中的第一臺服務(wù)器被稱為AD RMS根群集服務(wù)器。

由于AD RMS客戶端是通過HTTPS或HTTP與AD RMS服務(wù)器通信，因此AD RMS服務(wù)器必須架設(shè)IIS站點(diǎn)。

數(shù)據(jù)庫服務(wù)器：

AD RMS 需要使用數(shù)據(jù)庫服務(wù)器和存儲的過程來執(zhí)行操作。該數(shù)據(jù)庫服務(wù)器用來存儲AD RMS的設(shè)置與策略等信息，企業(yè)可以使用Microsoft SQL Server來架設(shè)數(shù)據(jù)庫服務(wù)器。也可以使用AD RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫，不過需要注意如果使用AD RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫則只能架設(shè)一臺AD RMS服務(wù)器。

AD RMS客戶端 ：

Active Directory 權(quán)限管理服務(wù) (AD RMS) 客戶端隨 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系統(tǒng)一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作為客戶端操作系統(tǒng)，則可以從 Microsoft 下載中心下載 AD RMS 客戶端的兼容版本。

AD RMS 客戶端可以與 Windows Server 2008 或 Windows Server 2008 R2 中包含的 AD RMS 服務(wù)器角色或者與 Windows Server 2003 上運(yùn)行的以前版本的 RMS 一起使用。

AD RMS 客戶端會創(chuàng)建計算機(jī)證書，用于標(biāo)識存儲當(dāng)前用戶的密鑰對的密碼箱。您可以通過在計算機(jī)上查找 msdrm.dll 文件，來驗(yàn)證該計算機(jī)上是否存在 AD RMS 客戶端。該文件在 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中由 Windows 資源保護(hù)來保護(hù)，除非通過正式的 Microsoft 更新進(jìn)行修改,否則無法修改。

應(yīng)用程序可以使用 AD RMS 客戶端將權(quán)限管理功能合并到它們的應(yīng)用中。例如，Microsoft Office 2003、Microsoft Office 2007 和 Windows Mobile 6 使用 AD RMS 客戶端來支持信息權(quán)限管理功能，該功能為文檔、電子郵件、電子表格和幻燈片演示文檔提供權(quán)限管理。

AD RMS的工作過程

 

 

以圖為例

 步驟一：當(dāng)文件所有者第一次執(zhí)行文件的保護(hù)工作時，文件所有者會從AD RMS服務(wù)器獲取一個稱為

Client Licensor Certificate （CLC）的證書。擁有該證書今后便可以執(zhí)行文件的保護(hù)

工作。文件所有者只在第一次執(zhí)行文件保護(hù)工作時，才需要從AD RMS服務(wù)器獲取

CLC證書，今后即使該用戶處于離線狀態(tài)，仍然可以使用該證書進(jìn)行文件保護(hù)工作。

步驟二：文件所有者使用Office 2007等AD RMS應(yīng)用程序創(chuàng)建文件，并執(zhí)行文件保護(hù)的操作，

也就是根據(jù)需要設(shè)置此文件的使用策略，而這時會創(chuàng)建一個所謂的發(fā)布許可證

 （Publish License），其內(nèi)包含了此文件的使用策略。

步驟三：Office 2007等AD RMS應(yīng)用程序使用對稱密鑰將此文件加密，這個密鑰會被加入到

發(fā)布許可證（Publish License）中，再將發(fā)布許可證（Publish License）連接到此文件。

系統(tǒng)會利用AD RMS服務(wù)器的公開密鑰將對稱密鑰和版權(quán)信息加密，此時只有AD

RMS服務(wù)器可以使用自己的私有密鑰將其解密。

步驟四：文件所有者將受保護(hù)的文件存儲到可供訪問的的位置，或直接將它發(fā)送給文件接收者。

步驟五：文件接收者使用相應(yīng)的Office 2007等AD RMS應(yīng)用程序?qū)⑽募蜷_。

如果此時文件接收者所使用的計算機(jī)內(nèi)沒有權(quán)限賬戶證書（Rights Account Certificate，

RAC），則它會從AD RMS服務(wù)器接收到一個RAC。

步驟六：文件接收者所使用的Office 2007等AD RMS應(yīng)用程序會向AD RMS服務(wù)器發(fā)起索取

使用許可證（User License）的請求。該請求中包含RAC與發(fā)布許可證。

步驟七：AD RMS服務(wù)器接收到客戶端發(fā)送來的“索取使用許可證的請求”后，會將此請求

內(nèi)的權(quán)限與對稱密鑰解密，然后將使用許可證傳遞給文件接收者，此使用許可證內(nèi)

包含文件接收者的權(quán)限與對稱密鑰；并且會使用文件接收者的公開密鑰將這些信息

加密。

步驟八：文件接收者使用的Office 2007等AD RMS應(yīng)用程序接收到使用許可證后，利用文件

接收者的私有密鑰將使用許可證內(nèi)的對稱密鑰解密，之后就可以利用對稱密鑰將受

保護(hù)的文件解密。 #p#

AD RMS 證書

Active Directory 權(quán)限管理服務(wù) (AD RMS) 的各個組件具有通過一組證書實(shí)現(xiàn)的受信任連接。強(qiáng)制執(zhí)行這些證書的有效性是 AD RMS 技術(shù)的核心功能。每項(xiàng)受權(quán)限保護(hù)的內(nèi)容發(fā)布時都帶有許可證，該許可證表達(dá)該內(nèi)容的使用規(guī)則；該內(nèi)容的每個使用者都會收到唯一的許可證，用以閱讀、解釋和強(qiáng) 制執(zhí)行這些使用規(guī)則。在此環(huán)境中，許可證是特定類型的證書。

AD RMS 使用的證書和許可證在層次結(jié)構(gòu)中連接，這樣 AD RMS 客戶端可以始終遵循從特定證書或許可證到受信任證書、直到受信任密鑰對的鏈。

服務(wù)器許可證書 (SLC):

在群集中的第一個服務(wù)器上安裝和配置 AD RMS 服務(wù)器角色時會創(chuàng)建 SLC。服務(wù)器會為自己生成唯一的 SLC，該 SLC 建立該服務(wù)器的標(biāo)識，稱為自注冊，且有效期為 250 年。這樣可以將受權(quán)限保護(hù)的數(shù)據(jù)存檔較長時間。根群集既處理證書（通過發(fā)放 權(quán)限帳戶證書 (RAC)），又處理對受權(quán)限保護(hù)的內(nèi)容的授權(quán)。添加到根群集的其他服務(wù)器共享一個 SLC。在復(fù)雜環(huán)境中，可以部署僅授權(quán)群集，這會生成它們自己的 SLC。SLC 內(nèi)包含服務(wù)器的公鑰。

客戶端許可證書 (CLC):

CLC 由 AD RMS 群集為響應(yīng)客戶端應(yīng)用程序的請求而創(chuàng)建。CLC 在客戶端連接到組織的網(wǎng)絡(luò)時會發(fā)送到客戶端，并授予用戶在客戶端未連接時發(fā)布受權(quán)限保護(hù)的內(nèi)容的權(quán)限。CLC 與用戶的 RAC 相關(guān)聯(lián)，因此，如果 RAC 無效或不存在，用戶將無法訪問 AD RMS 群集。CLC 包含客戶端許可方公鑰以及客戶端許可方私鑰，該私鑰由請求證書的用戶的公鑰加密。它還包含發(fā)放證書的群集的公鑰，該公鑰由發(fā)放證書的群集的私鑰簽名?？蛻?端許可方私鑰用于對發(fā)布許可證進(jìn)行簽名。

計算機(jī)證書:

首次使用支持 AD RMS 的應(yīng)用程序時，會在客戶端計算機(jī)上創(chuàng)建計算機(jī)證書。Windows Vista 和 Windows 7 中的 AD RMS 客戶端自動激活并注冊根群集，從而在客戶端計算機(jī)上創(chuàng)建此證書。此證書標(biāo)識計算機(jī)或設(shè)備上與登錄用戶的配置文件相關(guān)的密碼箱。計算機(jī)證書包含已激活計算機(jī)的公鑰。該計算機(jī)的密碼箱包含對應(yīng)的私鑰。

權(quán)限帳戶證書 (RAC):

RAC 在 AD RMS 系統(tǒng)中建立了用戶的標(biāo)識。它由 AD RMS 根群集創(chuàng)建，并在首次嘗試打開受權(quán)限保護(hù)的內(nèi)容時提供給用戶。

標(biāo)準(zhǔn) RAC 在特定計算機(jī)或設(shè)備環(huán)境中使用帳戶憑據(jù)標(biāo)識用戶，且具有以天數(shù)表示的有效時間。標(biāo)準(zhǔn) RAC 的默認(rèn)有效時間是 365 天。

臨時 RAC 僅基于帳戶憑據(jù)標(biāo)識用戶，且具有以分鐘數(shù)表示的有效時間。臨時 RAC 的默認(rèn)有效時間是 15 分鐘。

RAC 包含用戶的公鑰，以及用戶的使用已激活計算機(jī)的公鑰加密的私鑰。

發(fā)布許可證:

使用權(quán)限保護(hù)保存內(nèi)容時，客戶端會創(chuàng)建發(fā)布許可證。它指定可以打開受權(quán)限保護(hù)的內(nèi)容的用戶、用戶可以打開內(nèi)容的條件，以及每個用戶對受權(quán)限保護(hù)的內(nèi)容所具有的權(quán)限。發(fā)布許可證包含用于解密內(nèi)容的對稱內(nèi)容密鑰，該密鑰使用發(fā)放許可證的服務(wù)器的公鑰加密。

使用許可證:

使用許可證在特定的已驗(yàn)證用戶的環(huán)境中指定應(yīng)用于受權(quán)限保護(hù)的內(nèi)容的權(quán)限。此許可證與 RAC 相關(guān)聯(lián)。如果 RAC 無效或不存在，則無法通過使用許可證打開內(nèi)容。使用許可證包含用于解密內(nèi)容的對稱內(nèi)容密鑰，該密鑰使用用戶的公鑰加密。

AD RMS根服務(wù)器的安裝

安裝 AD RMS 的計算機(jī)必須是某個域中的成員服務(wù)器，或者它必須是域控制器。不能在屬于工作組的服務(wù)器上部署 AD RMS。如果要在域控制器上安裝 AD RMS，則必須將 AD RMS 服務(wù)帳戶添加到 Domain Admins 組。不建議將 AD RMS 服務(wù)帳戶添加到 Enterprise Admins 組。

AD RMS服務(wù)并不是Windows Server 2008系統(tǒng)默認(rèn)安裝的組件，需要用戶手動添加。使用具有域管理權(quán)限的用戶賬戶登錄。運(yùn)行"添加角色向?qū)?quot;。在"選擇服務(wù)器角色"對話框中，選中"Active Directory Rights Management Services"復(fù)選框，顯示如圖001所示對話框，提示是否添加所需的角色服務(wù)和功能

圖001

單擊"添加必需的角色服務(wù)"按鈕，顯示如圖002所示的"選擇服務(wù)器角色"對話框，選中"Active Directory Rights Management Services"復(fù)選框。

圖002

單擊"下一步"按鈕，顯示如圖003所示的"選擇角色服務(wù)"對話框。如果選中"聯(lián)合身份驗(yàn)證支持"復(fù)選框，將同時安裝AD FS或與當(dāng)前域中已有的AD FS關(guān)聯(lián)使用。它允許用戶使用當(dāng)前域和其他域之間經(jīng)過聯(lián)合身份驗(yàn)證的信任關(guān)系來建立用戶標(biāo)識，并提供對其他組織創(chuàng)建的受保護(hù)信息的訪問權(quán)限。不需要聯(lián)合身 份驗(yàn)證的用戶建議不要選擇該復(fù)選框。  

圖003

 單擊"下一步"按鈕，顯示如圖004所示的"創(chuàng)建或加入AD RMS群集"對話框，系統(tǒng)默認(rèn)選擇"新建AD RMS群集"單選按鈕。由于當(dāng)前域中沒有其他AD RMS群集可供加入，所以"加入現(xiàn)有AD RMS群集"單選按鈕為灰色。安裝完成后創(chuàng)建的第1臺AD RMS服務(wù)器即為根群集，后來加入的AD RMS服務(wù)器為子服務(wù)器。

 

圖004

 單擊"下一步"按鈕，顯示如圖005所示的"選擇配置數(shù)據(jù)庫"對話框。如果網(wǎng)絡(luò)中安裝有SQL Server服務(wù)器，可選擇"使用其他數(shù)據(jù)庫服務(wù)器"單選按鈕；如果要使用AD RMS自帶的數(shù)據(jù)庫，選擇"在此服務(wù)器上使用Windows內(nèi)部數(shù)據(jù)庫"單選按鈕即可。

 

 

 圖005

 選擇支持AD RMS群集的專用數(shù)據(jù)庫時應(yīng)注意記錄其數(shù)據(jù)庫實(shí)例，其他AD RMS服務(wù)器加入群集時也必須指定相同的實(shí)例名稱。

 單擊"下一步"按鈕，顯示如圖006所示的"指定服務(wù)賬戶"對話框。該服務(wù)賬戶即將來要在AD RMS群集中使用的賬戶，可使用普通域成員賬戶，但必須區(qū)別于當(dāng)前服務(wù)器登錄的域用戶賬戶。

圖006

單擊"下一步"按鈕，顯示如圖007所示的"配置AD RMS群集鍵存儲"對話框。系統(tǒng)默認(rèn)選擇"使用AD RMS集中管理的密鑰存儲"單選按鈕，即由本地服務(wù)器自動生成并存儲密鑰。這里選擇該單選按鈕，這個密鑰主要用于當(dāng)前根服務(wù)器及將來子服務(wù)器的災(zāi)難恢復(fù)。選擇"使用CSP密鑰存儲"單選按鈕，需要由專用加密服務(wù)器產(chǎn)生并保管該密鑰，比較煩瑣，但安全性也相對較高。

圖007

 單擊"下一步"按鈕，顯示如圖008所示的"指定AD RMS群集密鑰密碼"對話框。其他AD RMS服務(wù)器加入群集時也要使用此密碼，須妥善保存。

圖008

 單擊"下一步"按鈕，顯示如圖009所示的"選擇AD RMS群集網(wǎng)站"對話框。在其中選擇管理AD RMS群集服務(wù)器時使用的站點(diǎn)，準(zhǔn)備工作中必須安裝IIS就是為了在本地創(chuàng)建該站點(diǎn)，保留默認(rèn)設(shè)置即可。

圖009

 單擊"下一步"按鈕，顯示如圖010所示的"指定群集地址"對話框。群集地址可以使AD RMS客戶端通過網(wǎng)絡(luò)與群集通信，選擇"使用SSL加密的連接"單選按鈕。將使用SSL加密，客戶端只有得到并安裝服務(wù)器頒發(fā)的數(shù)字證書后才能建立連接。

在"完全限定的域名"文本框中輸入要使用的域名，如https://win-bm7xcnvcyln.contoso.com:443等。 SSL加密連接使用的默認(rèn)傳輸端口是443，客戶端訪問時也必須使用完整域名；選擇"使用未加密的連接"單選按鈕，則使用普通傳輸方式。輸入域名，單擊"驗(yàn)證"按鈕。

 

圖010

自定義端口可以提升網(wǎng)絡(luò)連接的安全性，不過客戶端訪問時也必須使用相同的端口。

單擊"驗(yàn)證"按鈕，服務(wù)器自動驗(yàn)證指定域名和端口的有效性。如果正確，則在"網(wǎng)絡(luò)中客戶端的群集地址預(yù)覽"下方顯示完整域名。

如果選擇"使用SSL加密的連接"單選按鈕，則單擊"下一步"按鈕會顯示如圖011所示的"選擇SSL加密的服務(wù)器身份驗(yàn)證證書"對話框，在其中選擇使用的SSL加密方式。為了便于測試，此處選擇“為SSL加密創(chuàng)建自簽名證書”。

圖011

 

單擊"下一步"按鈕，顯示如圖012所示的"命名服務(wù)器許可方證書"對話框。其中顯示內(nèi)容與上述選擇的"為SSL加密創(chuàng)建自簽名證書"單選按鈕是對應(yīng)的，系統(tǒng)默認(rèn)會以計算機(jī)名命名證書，保留默認(rèn)設(shè)置即可。

圖012

 

單擊"下一步"按鈕，顯示如圖013所示的"注冊AD RMS服務(wù)連接點(diǎn)"對話框。選擇"立即注冊AD RMS服務(wù)連接點(diǎn)"單選按鈕，在安裝完成后立即開始使用此AD RMS群集。

單擊"下一步"按鈕，將顯示IIS的安裝對話框。這里不再贅述。在如圖014所示的"確認(rèn)安裝選擇"對話框中顯示要安裝的組件信息，如果需要修改，單擊"上一步"按鈕返回。

圖013

圖014

 單擊"安裝"按鈕開始安裝，完成后顯示如圖015所示的"安裝結(jié)果"對話框，提示安裝成功。

圖015

 單擊"關(guān)閉"按鈕退出安裝向?qū)АＨ缓蟾鶕?jù)提示注銷當(dāng)前系統(tǒng)并重新登錄。#p#

安裝 AD RMS 的重要注意事項(xiàng)

事項(xiàng)一:

首次在 Windows Server® 2008 上安裝 Active Directory 權(quán)限管理服務(wù) (AD RMS) 之前，必須滿足以下幾個要求：

在將使用受權(quán)限保護(hù)的內(nèi)容的用戶賬戶所在的同一個 Active Directory 域服務(wù) (AD DS) 域中，將 AD RMS 服務(wù)器安裝為成員服務(wù)器。

創(chuàng)建一個要用作 AD RMS 服務(wù)賬戶的沒有額外權(quán)限的域用戶賬戶。

選擇用于安裝 AD RMS 的用戶賬戶，但具有以下限制：

o 安裝 AD RMS 的用戶賬戶必須與 AD RMS 服務(wù)賬戶不同。

o 如果在安裝過程中注冊 AD RMS 服務(wù)連接點(diǎn) (SCP)，則安裝 AD RMS 的用戶賬戶必須是 AD DS Enterprise Admins 組或同等組的成員。

o 如果對 AD RMS 數(shù)據(jù)庫使用外部數(shù)據(jù)庫服務(wù)，則安裝 AD RMS 的用戶賬戶必須具有創(chuàng)建新數(shù)據(jù)庫的權(quán)限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008，則用戶賬戶必須是系統(tǒng)管理員數(shù)據(jù)庫角色或同等角色的成員。

o 安裝 AD RMS 的用戶賬戶必須有權(quán)查詢 AD DS 域。

為將在 AD RMS 安裝的整個生存時間可用的 AD RMS 群集保留一個 URL。請確保保留的 URL 與計算機(jī)名稱不同。

事項(xiàng)二:

除了滿足AD RMS 的安裝要求，強(qiáng)烈建議執(zhí)行以下操作：

在單獨(dú)的計算機(jī)上安裝用于承載 AD RMS 數(shù)據(jù)庫的數(shù)據(jù)庫服務(wù)器。

使用安全套接字層 (SSL) 證書安裝 AD RMS 群集。該證書應(yīng)由受信任的根證書頒發(fā)機(jī)構(gòu)頒發(fā)。

為 AD RMS 群集 URL 創(chuàng)建一個 DNS 別名 (CNAME) 記錄，并為承載 AD RMS 配置數(shù)據(jù)庫的計算機(jī)創(chuàng)建一個單獨(dú)的 CNAME 記錄。如果因硬件故障或計算機(jī)名稱被更改而導(dǎo)致 AD RMS 服務(wù)器注銷或丟失，可以更新 CNAME 記錄，而無需重新發(fā)布所有受權(quán)限保護(hù)的文件。

如果對 AD RMS 配置數(shù)據(jù)庫使用命名實(shí)例，在安裝 AD RMS 之前必須在數(shù)據(jù)庫服務(wù)器上啟動 SQL Server Browser 服務(wù)。否則，AD RMS 安裝將無法找到配置數(shù)據(jù)庫，安裝將失敗。

事項(xiàng)三：

自簽名證書應(yīng)僅用于測試環(huán)境。對于試生產(chǎn)和生產(chǎn)環(huán)境，建議使用由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的 SSL 證書。

帶有 AD RMS 的 Windows 內(nèi)部數(shù)據(jù)庫僅用于測試環(huán)境。因?yàn)?Windows 內(nèi)部數(shù)據(jù)庫不支持遠(yuǎn)程連接，所以在此方案中不能將其他服務(wù)器添加到 AD RMS 群集。

如果要安裝 AD RMS 的 Active Directory 林中已經(jīng)存在 SCP，請確保該 SCP 中的群集 URL 與新安裝中的群集 URL 相同。如果不同，則在 AD RMS 安裝過程中不應(yīng)注冊 SCP。

安裝 AD RMS 時，localhost不是受支持的群集 URL。

在安裝過程中指定 AD RMS 服務(wù)帳戶時，請確保尚未將智能卡插入計算機(jī)中。如果已將智能卡連接到計算機(jī)，您將收到錯誤消息，指出安裝 AD RMS 的用戶帳戶無權(quán)查詢 AD DS。

如果將新服務(wù)器加入現(xiàn)有 AD RMS 群集，則在 AD RMS 安裝開始之前，SSL 證書應(yīng)該已經(jīng)存在于新服務(wù)器上。

Windows Server 2008 R2 不支持 Windows Rights Management Services (RMS) 客戶端版本 1。對此版本的客戶端的支持隨著 RMS 客戶端版本 1 的最新 Service Pack 的發(fā)行而結(jié)束。若要繼續(xù)創(chuàng)建和訪問受 AD RMS 保護(hù)的內(nèi)容，運(yùn)行 RMS 客戶端版本 1 的客戶端必須安裝最新的Service Pack。 #p#

AD RMS 客戶端服務(wù)發(fā)現(xiàn)

Active Directory 權(quán)限管理服務(wù) (AD RMS) 客戶端服務(wù)發(fā)現(xiàn)是 AD RMS 客戶端用來發(fā)現(xiàn)AD RMS 群集的方法。AD RMS 客戶端服務(wù)發(fā)現(xiàn)有三種實(shí)現(xiàn)方法：

Active Directory 域服務(wù) (AD DS) 服務(wù)連接點(diǎn) (SCP) 自動服務(wù)發(fā)現(xiàn)。這是部署 AD RMS 環(huán)境的推薦方法。在此方案中，會在安裝了 AD RMS 群集的 Active Directory 林中創(chuàng)建 SCP。當(dāng) AD RMS 客戶端在計算機(jī)上嘗試用戶激活時，它會查詢該 SCP 以查找 AD RMS 群集并下載權(quán)限賬戶證書 (RAC)。使用自動服務(wù)發(fā)現(xiàn)，無需在 AD RMS 客戶端上進(jìn)行任何其他配置。

AD RMS 客戶端注冊表替代。在復(fù)雜的 AD RMS 部署拓?fù)渲?，需要?AD RMS 客戶端的更具體控制。對于在 Windows XP、Windows 2000 或 Windows Server 2003 上運(yùn)行的 Rights Management Services (RMS) 客戶端版本，部署了多個 Active Directory 林的拓?fù)湫枰褂眠@些替代?？梢允褂每蛻舳俗员硖娲牧硪粋€示例是用于支持 Extranet 用戶。在這些情況下，會在 AD RMS 客戶端中創(chuàng)建客戶端注冊表替代，以強(qiáng)制執(zhí)行 AD RMS 群集中不同于在 SCP 中發(fā)布的受權(quán)限保護(hù)內(nèi)容的證書或授權(quán)。AD RMS 客戶端注冊表替代用于替代在以下位置創(chuàng)建的 SCP：

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation。

客戶端注冊表替代項(xiàng)如下：

o Activation。此項(xiàng)用于替代在 SCP 中配置的默認(rèn) AD RMS 證書服務(wù)。此項(xiàng)的語法是 http(s)://<your cluster>/_wmcs/certification，其中 <your cluster> 是應(yīng)該用于證書的根群集的 URL。

o EnterprisePublishing。此項(xiàng)用于替代 AD RMS 客戶端連接到的默認(rèn) AD RMS 授權(quán)服務(wù)。此項(xiàng)的語法是 http(s)://<your cluster>/_wmcs/licensing，其中 <your cluster> 是僅授權(quán)群集的 URL。

客戶端注冊表替代配置為注冊表項(xiàng)。這些注冊表項(xiàng)的值應(yīng)添加到類型為REG_SZ 的注冊表項(xiàng)的默認(rèn)項(xiàng)。

o 如果 AD RMS 客戶端計算機(jī)是使用聯(lián)合信任連接的，您必須配置聯(lián)合身份驗(yàn)證主領(lǐng)域。注冊表項(xiàng)為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\Federation

在該注冊表項(xiàng)中，創(chuàng)建類型為 REG_SZ 的名為 FederationHomeRealm 的注冊表項(xiàng)。此注冊表項(xiàng)的值是聯(lián)合身份驗(yàn)證服務(wù)URI。

檢查 Extranet URL 的頒發(fā)許可證。AD RMS 客戶端服務(wù)發(fā)現(xiàn)的最后一種方法是使用頒發(fā)許可證。發(fā)布受權(quán)限保護(hù)的內(nèi)容時，Intranet 和 Extranet 授權(quán)服務(wù) URL 將添加到頒發(fā)許可證中。當(dāng) AD RMS 客戶端首次打開受權(quán)限保護(hù)的內(nèi)容且其他服務(wù)發(fā)現(xiàn)方法不可用時，該客戶端可以從頒發(fā)許可證中檢索授權(quán) URL。

安裝和配置AD RMS客戶端

如果AD RMS客戶端運(yùn)行Windows 2000/XP系統(tǒng)，則必須安裝客戶端程序如圖016所示。簡體中文版下載地址為：

下載之后即可安裝。另外，網(wǎng)絡(luò)管理員還可以通過組策略及SMS等方式來向客戶端統(tǒng)一分發(fā)客戶端安裝程序。如果客戶端數(shù)量較少，則可以通過手動安裝的方式實(shí)現(xiàn)。

圖016

 

本實(shí)例以保護(hù)Microsoft Office Word 2007文檔為例，實(shí)例中以Andy用戶作為文件所有者，tom用戶作為文件訪問者。

在活動目錄中創(chuàng)建域用戶帳戶Andy和Tom（如圖017示）。

圖017

 

步驟一：以Andy用戶的身份登錄域中（如圖018示）。

圖018

 

步驟二：以Andy的身份在系統(tǒng)中新建一個word2007文檔，并進(jìn)行限制權(quán)限操作（如圖019示）。

圖019

 步驟三：接下來可能會出現(xiàn)如圖020所示的情況，這是因?yàn)榇藭rword 2007會連接AD RMS

群集站點(diǎn)，然而群集站點(diǎn)的證書是AD RMS服務(wù)器自動發(fā)放的，客戶端計算機(jī)尚未信任由AD

RMS自動發(fā)放的證書。可以選擇“是”選項(xiàng)，不過以后每次客戶端連接AD RMS服務(wù)器時仍然

會出現(xiàn)此畫面。如果不想每次都出現(xiàn)此畫面的話，可以通過安裝證書的方法來信任由AD RMS服

務(wù)器所發(fā)放的證書（如圖021及圖022所示）。

圖020

圖021

圖022

 

步驟四：此時客戶端自動向AD RMS服務(wù)器發(fā)出申請。稍候如果出現(xiàn)如圖023所示，則表示建立連接成

功；否則表示無法連接到AD RMS服務(wù)器。

 

圖023

步驟五：編輯文檔并且根據(jù)需要設(shè)置文檔的訪問權(quán)限（如圖024示）。

圖024

步驟六：使用tom用戶進(jìn)行登錄（如圖025示），

圖025

 當(dāng)tom用戶進(jìn)行讀取該文件時，會如圖026顯示這是權(quán)限受限制的文檔，必須通過Https的方式來連接AD RMS服務(wù)器，以便驗(yàn)證用戶信息。

圖026

 驗(yàn)證成功后，會出現(xiàn)如圖027的畫面與文檔內(nèi)容，由圖可知該文件的權(quán)限受到限制，當(dāng)前用戶Tom僅能閱讀此文件，無法另存為、打印及復(fù)制等操作。

圖027

 以上的相關(guān)內(nèi)容就是對Active Directory 權(quán)限管理服務(wù)應(yīng)用的介紹，望你能有所收獲。

【編輯推薦】

1. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
2. Windows Server 2008 R2安全性能體驗(yàn)
3. Windows Server 2008 R2中的DirectAccess功能詳解
4. Windows Server 2008 R2中托管服務(wù)帳號的方法
5. 解讀Windows Server 2008 R2安全性和高可靠性