遭受攻擊的結(jié)果通常會(huì)導(dǎo)致企業(yè)內(nèi)部敏感數(shù)據(jù)的大量泄漏，從而會(huì)對(duì)企業(yè)造成巨大的經(jīng)濟(jì)損失。微軟公司的RMS（Rights Management Services，權(quán)限管理服務(wù)）正是在這種環(huán)境下產(chǎn)生的。它通過(guò)數(shù)字證書(shū)和用戶(hù)身份驗(yàn)證技術(shù)對(duì)各種支持 AD RMS 的應(yīng)用程序文檔訪問(wèn)權(quán)限加以限制，可以有效防止內(nèi)部用戶(hù)通過(guò)各種途徑擅自泄露機(jī)密文檔內(nèi)容，從而確保了數(shù)據(jù)文件訪問(wèn)的安全性。

AD RMS 概述

隨著windows server 2008操作系統(tǒng)在企業(yè)中的不斷普及與應(yīng)用，windows server 2008系統(tǒng)中的AD RMS服務(wù)也越來(lái)越被廣大IT管理人員所熟悉。

Windows Server 2008 操作系統(tǒng)的 Active Directory 權(quán)限管理服務(wù) (AD RMS) 是一種信息保護(hù)技術(shù)，它與支持 AD RMS 的應(yīng)用程序協(xié)同工作，以防止在企業(yè)內(nèi)部的數(shù)字信息在未經(jīng)授權(quán)的情況下被非法使用。AD RMS 適用于需要保護(hù)敏感信息和專(zhuān)有信息（例如財(cái)務(wù)報(bào)表、產(chǎn)品說(shuō)明、客戶(hù)數(shù)據(jù)和機(jī)密電子郵件消息）的組織。AD RMS 通過(guò)永久使用策略（也稱(chēng)為使用權(quán)限和條件）提供對(duì)信息的保護(hù)，從而增強(qiáng)組織的安全策略，無(wú)論信息移到何處，永久使用策略都保持與信息在一起。AD RMS 永久保護(hù)任何二進(jìn)制格式的數(shù)據(jù)，因此使用權(quán)限保持與信息在一起，而不是權(quán)限僅駐留在組織網(wǎng)絡(luò)中。這樣也使得使用權(quán)限在信息被授權(quán)的接收方訪問(wèn)后得以強(qiáng)制執(zhí)行。

AD RMS 系統(tǒng)包括基于 Windows Server 2008的服務(wù)器（運(yùn)行用于處理證書(shū)和授權(quán)的 Active Directory 權(quán)限管理服務(wù)服務(wù)器角色）、數(shù)據(jù)庫(kù)服務(wù)器以及 AD RMS 客戶(hù)端。最新版本的 AD RMS 客戶(hù)端作為 Windows 7 和 Windows Vista操作系統(tǒng)的一部分包括在內(nèi)。AD RMS 系統(tǒng)的部署為組織提供以下優(yōu)勢(shì)：

保護(hù)敏感信息。 如字處理器、電子郵件客戶(hù)端和行業(yè)應(yīng)用程序等應(yīng)用程序可以啟用 AD RMS，從而幫助保護(hù)敏感信息。用戶(hù)可以定義打開(kāi)、修改、打印、轉(zhuǎn)發(fā)該信息或?qū)υ撔畔?zhí)行其他操作的人員。組織可以創(chuàng)建子自定義的使用策略模板（如 “機(jī)密 - 只讀”），這些模板可直接應(yīng)用于上述信息。

永久性保護(hù)。AD RMS 可以增強(qiáng)現(xiàn)有的基于外圍的安全解決方案（如防火墻和訪問(wèn)控制列表 (ACL)），通過(guò)在文檔本身內(nèi)部鎖定使用權(quán)限、控制如何使用信息（即使在目標(biāo)收件人打開(kāi)信息后）來(lái)更好地保護(hù)信息。

靈活且可自定義的技術(shù)。 獨(dú)立軟件供應(yīng)商 (ISV) 和開(kāi)發(fā)人員可以使用啟用了 AD RMS 的任何應(yīng)用程序或啟用其他服務(wù)器（如在 Windows 或其他操作系統(tǒng)上運(yùn)行的內(nèi)容管理系統(tǒng)或門(mén)戶(hù)服務(wù)器），與 AD RMS 結(jié)合使用來(lái)幫助保護(hù)敏感信息。啟用 ISV 的目的是為了將信息保護(hù)集成到基于服務(wù)器的解決方案（如文檔和記錄管理、電子郵件網(wǎng)關(guān)和存檔系統(tǒng)、自動(dòng)工作流以及內(nèi)容檢查）中。

AD RMS環(huán)境部署需求

圖示

域控制器:

AD RMS 必須安裝在 Active Directory 域中，其中域控制器正在運(yùn)行帶有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 獲取許可證和發(fā)布內(nèi)容的所有用戶(hù)和組都必須在 Active Directory 中配置電子郵件地址。

AD RMS服務(wù)器:

AD RMS客戶(hù)端需要證書(shū)與許可證才能進(jìn)行文件版權(quán)保護(hù)的工作，以及訪問(wèn)版權(quán)保護(hù)的文件，而AD RMS服務(wù)器就是負(fù)責(zé)證書(shū)與許可證發(fā)放的主機(jī)。用戶(hù)可以根據(jù)企業(yè)自身的需求架設(shè)多臺(tái)AD RMS服務(wù)器，以便提供故障轉(zhuǎn)移和負(fù)載平衡功能。其中的第一臺(tái)服務(wù)器被稱(chēng)為AD RMS根群集服務(wù)器。

由于AD RMS客戶(hù)端是通過(guò)HTTPS或HTTP與AD RMS服務(wù)器通信，因此AD RMS服務(wù)器必須架設(shè)IIS站點(diǎn)。

數(shù)據(jù)庫(kù)服務(wù)器：

AD RMS 需要使用數(shù)據(jù)庫(kù)服務(wù)器和存儲(chǔ)的過(guò)程來(lái)執(zhí)行操作。該數(shù)據(jù)庫(kù)服務(wù)器用來(lái)存儲(chǔ)AD RMS的設(shè)置與策略等信息，企業(yè)可以使用Microsoft SQL Server來(lái)架設(shè)數(shù)據(jù)庫(kù)服務(wù)器。也可以使用AD RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫(kù)，不過(guò)需要注意如果使用AD RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫(kù)則只能架設(shè)一臺(tái)AD RMS服務(wù)器。

AD RMS客戶(hù)端 ：

Active Directory 權(quán)限管理服務(wù) (AD RMS) 客戶(hù)端隨 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系統(tǒng)一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作為客戶(hù)端操作系統(tǒng)，則可以從 Microsoft 下載中心下載 AD RMS 客戶(hù)端的兼容版本。

AD RMS 客戶(hù)端可以與 Windows Server 2008 或 Windows Server 2008 R2 中包含的 AD RMS 服務(wù)器角色或者與 Windows Server 2003 上運(yùn)行的以前版本的 RMS 一起使用。

AD RMS 客戶(hù)端會(huì)創(chuàng)建計(jì)算機(jī)證書(shū)，用于標(biāo)識(shí)存儲(chǔ)當(dāng)前用戶(hù)的密鑰對(duì)的密碼箱。您可以通過(guò)在計(jì)算機(jī)上查找 msdrm.dll 文件，來(lái)驗(yàn)證該計(jì)算機(jī)上是否存在 AD RMS 客戶(hù)端。該文件在 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中由 Windows 資源保護(hù)來(lái)保護(hù)，除非通過(guò)正式的 Microsoft 更新進(jìn)行修改,否則無(wú)法修改。

應(yīng)用程序可以使用 AD RMS 客戶(hù)端將權(quán)限管理功能合并到它們的應(yīng)用中。例如，Microsoft Office 2003、Microsoft Office 2007 和 Windows Mobile 6 使用 AD RMS 客戶(hù)端來(lái)支持信息權(quán)限管理功能，該功能為文檔、電子郵件、電子表格和幻燈片演示文檔提供權(quán)限管理。

AD RMS的工作過(guò)程

以圖為例

 步驟一：當(dāng)文件所有者第一次執(zhí)行文件的保護(hù)工作時(shí)，文件所有者會(huì)從AD RMS服務(wù)器獲取一個(gè)稱(chēng)為

Client Licensor Certificate （CLC）的證書(shū)。擁有該證書(shū)今后便可以執(zhí)行文件的保護(hù)

工作。文件所有者只在第一次執(zhí)行文件保護(hù)工作時(shí)，才需要從AD RMS服務(wù)器獲取

CLC證書(shū)，今后即使該用戶(hù)處于離線(xiàn)狀態(tài)，仍然可以使用該證書(shū)進(jìn)行文件保護(hù)工作。

步驟二：文件所有者使用Office 2007等AD RMS應(yīng)用程序創(chuàng)建文件，并執(zhí)行文件保護(hù)的操作，

也就是根據(jù)需要設(shè)置此文件的使用策略，而這時(shí)會(huì)創(chuàng)建一個(gè)所謂的發(fā)布許可證

 （Publish License），其內(nèi)包含了此文件的使用策略。

步驟三：Office 2007等AD RMS應(yīng)用程序使用對(duì)稱(chēng)密鑰將此文件加密，這個(gè)密鑰會(huì)被加入到

發(fā)布許可證（Publish License）中，再將發(fā)布許可證（Publish License）連接到此文件。

系統(tǒng)會(huì)利用AD RMS服務(wù)器的公開(kāi)密鑰將對(duì)稱(chēng)密鑰和版權(quán)信息加密，此時(shí)只有AD

RMS服務(wù)器可以使用自己的私有密鑰將其解密。

步驟四：文件所有者將受保護(hù)的文件存儲(chǔ)到可供訪問(wèn)的的位置，或直接將它發(fā)送給文件接收者。

步驟五：文件接收者使用相應(yīng)的Office 2007等AD RMS應(yīng)用程序?qū)⑽募蜷_(kāi)。

如果此時(shí)文件接收者所使用的計(jì)算機(jī)內(nèi)沒(méi)有權(quán)限賬戶(hù)證書(shū)（Rights Account Certificate，

RAC），則它會(huì)從AD RMS服務(wù)器接收到一個(gè)RAC。

步驟六：文件接收者所使用的Office 2007等AD RMS應(yīng)用程序會(huì)向AD RMS服務(wù)器發(fā)起索取

使用許可證（User License）的請(qǐng)求。該請(qǐng)求中包含RAC與發(fā)布許可證。

步驟七：AD RMS服務(wù)器接收到客戶(hù)端發(fā)送來(lái)的“索取使用許可證的請(qǐng)求”后，會(huì)將此請(qǐng)求

內(nèi)的權(quán)限與對(duì)稱(chēng)密鑰解密，然后將使用許可證傳遞給文件接收者，此使用許可證內(nèi)

包含文件接收者的權(quán)限與對(duì)稱(chēng)密鑰；并且會(huì)使用文件接收者的公開(kāi)密鑰將這些信息

加密。

步驟八：文件接收者使用的Office 2007等AD RMS應(yīng)用程序接收到使用許可證后，利用文件

接收者的私有密鑰將使用許可證內(nèi)的對(duì)稱(chēng)密鑰解密，之后就可以利用對(duì)稱(chēng)密鑰將受

保護(hù)的文件解密。 #p#

AD RMS 證書(shū)

Active Directory 權(quán)限管理服務(wù) (AD RMS) 的各個(gè)組件具有通過(guò)一組證書(shū)實(shí)現(xiàn)的受信任連接。強(qiáng)制執(zhí)行這些證書(shū)的有效性是 AD RMS 技術(shù)的核心功能。每項(xiàng)受權(quán)限保護(hù)的內(nèi)容發(fā)布時(shí)都帶有許可證，該許可證表達(dá)該內(nèi)容的使用規(guī)則；該內(nèi)容的每個(gè)使用者都會(huì)收到唯一的許可證，用以閱讀、解釋和強(qiáng) 制執(zhí)行這些使用規(guī)則。在此環(huán)境中，許可證是特定類(lèi)型的證書(shū)。

AD RMS 使用的證書(shū)和許可證在層次結(jié)構(gòu)中連接，這樣 AD RMS 客戶(hù)端可以始終遵循從特定證書(shū)或許可證到受信任證書(shū)、直到受信任密鑰對(duì)的鏈。

服務(wù)器許可證書(shū) (SLC):

在群集中的第一個(gè)服務(wù)器上安裝和配置 AD RMS 服務(wù)器角色時(shí)會(huì)創(chuàng)建 SLC。服務(wù)器會(huì)為自己生成唯一的 SLC，該 SLC 建立該服務(wù)器的標(biāo)識(shí)，稱(chēng)為自注冊(cè)，且有效期為 250 年。這樣可以將受權(quán)限保護(hù)的數(shù)據(jù)存檔較長(zhǎng)時(shí)間。根群集既處理證書(shū)（通過(guò)發(fā)放 權(quán)限帳戶(hù)證書(shū) (RAC)），又處理對(duì)受權(quán)限保護(hù)的內(nèi)容的授權(quán)。添加到根群集的其他服務(wù)器共享一個(gè) SLC。在復(fù)雜環(huán)境中，可以部署僅授權(quán)群集，這會(huì)生成它們自己的 SLC。SLC 內(nèi)包含服務(wù)器的公鑰。

客戶(hù)端許可證書(shū) (CLC):

CLC 由 AD RMS 群集為響應(yīng)客戶(hù)端應(yīng)用程序的請(qǐng)求而創(chuàng)建。CLC 在客戶(hù)端連接到組織的網(wǎng)絡(luò)時(shí)會(huì)發(fā)送到客戶(hù)端，并授予用戶(hù)在客戶(hù)端未連接時(shí)發(fā)布受權(quán)限保護(hù)的內(nèi)容的權(quán)限。CLC 與用戶(hù)的 RAC 相關(guān)聯(lián)，因此，如果 RAC 無(wú)效或不存在，用戶(hù)將無(wú)法訪問(wèn) AD RMS 群集。CLC 包含客戶(hù)端許可方公鑰以及客戶(hù)端許可方私鑰，該私鑰由請(qǐng)求證書(shū)的用戶(hù)的公鑰加密。它還包含發(fā)放證書(shū)的群集的公鑰，該公鑰由發(fā)放證書(shū)的群集的私鑰簽名?？蛻?hù) 端許可方私鑰用于對(duì)發(fā)布許可證進(jìn)行簽名。

計(jì)算機(jī)證書(shū):

首次使用支持 AD RMS 的應(yīng)用程序時(shí)，會(huì)在客戶(hù)端計(jì)算機(jī)上創(chuàng)建計(jì)算機(jī)證書(shū)。Windows Vista 和 Windows 7 中的 AD RMS 客戶(hù)端自動(dòng)激活并注冊(cè)根群集，從而在客戶(hù)端計(jì)算機(jī)上創(chuàng)建此證書(shū)。此證書(shū)標(biāo)識(shí)計(jì)算機(jī)或設(shè)備上與登錄用戶(hù)的配置文件相關(guān)的密碼箱。計(jì)算機(jī)證書(shū)包含已激活計(jì)算機(jī)的公鑰。該計(jì)算機(jī)的密碼箱包含對(duì)應(yīng)的私鑰。

權(quán)限帳戶(hù)證書(shū) (RAC):

RAC 在 AD RMS 系統(tǒng)中建立了用戶(hù)的標(biāo)識(shí)。它由 AD RMS 根群集創(chuàng)建，并在首次嘗試打開(kāi)受權(quán)限保護(hù)的內(nèi)容時(shí)提供給用戶(hù)。

標(biāo)準(zhǔn) RAC 在特定計(jì)算機(jī)或設(shè)備環(huán)境中使用帳戶(hù)憑據(jù)標(biāo)識(shí)用戶(hù)，且具有以天數(shù)表示的有效時(shí)間。標(biāo)準(zhǔn) RAC 的默認(rèn)有效時(shí)間是 365 天。

臨時(shí) RAC 僅基于帳戶(hù)憑據(jù)標(biāo)識(shí)用戶(hù)，且具有以分鐘數(shù)表示的有效時(shí)間。臨時(shí) RAC 的默認(rèn)有效時(shí)間是 15 分鐘。

RAC 包含用戶(hù)的公鑰，以及用戶(hù)的使用已激活計(jì)算機(jī)的公鑰加密的私鑰。

發(fā)布許可證:

使用權(quán)限保護(hù)保存內(nèi)容時(shí)，客戶(hù)端會(huì)創(chuàng)建發(fā)布許可證。它指定可以打開(kāi)受權(quán)限保護(hù)的內(nèi)容的用戶(hù)、用戶(hù)可以打開(kāi)內(nèi)容的條件，以及每個(gè)用戶(hù)對(duì)受權(quán)限保護(hù)的內(nèi)容所具有的權(quán)限。發(fā)布許可證包含用于解密內(nèi)容的對(duì)稱(chēng)內(nèi)容密鑰，該密鑰使用發(fā)放許可證的服務(wù)器的公鑰加密。

使用許可證:

使用許可證在特定的已驗(yàn)證用戶(hù)的環(huán)境中指定應(yīng)用于受權(quán)限保護(hù)的內(nèi)容的權(quán)限。此許可證與 RAC 相關(guān)聯(lián)。如果 RAC 無(wú)效或不存在，則無(wú)法通過(guò)使用許可證打開(kāi)內(nèi)容。使用許可證包含用于解密內(nèi)容的對(duì)稱(chēng)內(nèi)容密鑰，該密鑰使用用戶(hù)的公鑰加密。

AD RMS根服務(wù)器的安裝

安裝 AD RMS 的計(jì)算機(jī)必須是某個(gè)域中的成員服務(wù)器，或者它必須是域控制器。不能在屬于工作組的服務(wù)器上部署 AD RMS。如果要在域控制器上安裝 AD RMS，則必須將 AD RMS 服務(wù)帳戶(hù)添加到 Domain Admins 組。不建議將 AD RMS 服務(wù)帳戶(hù)添加到 Enterprise Admins 組。

AD RMS服務(wù)并不是Windows Server 2008系統(tǒng)默認(rèn)安裝的組件，需要用戶(hù)手動(dòng)添加。使用具有域管理權(quán)限的用戶(hù)賬戶(hù)登錄。運(yùn)行"添加角色向?qū)?quot;。在"選擇服務(wù)器角色"對(duì)話(huà)框中，選中"Active Directory Rights Management Services"復(fù)選框，顯示如圖001所示對(duì)話(huà)框，提示是否添加所需的角色服務(wù)和功能

圖001

單擊"添加必需的角色服務(wù)"按鈕，顯示如圖002所示的"選擇服務(wù)器角色"對(duì)話(huà)框，選中"Active Directory Rights Management Services"復(fù)選框。

圖002

單擊"下一步"按鈕，顯示如圖003所示的"選擇角色服務(wù)"對(duì)話(huà)框。如果選中"聯(lián)合身份驗(yàn)證支持"復(fù)選框，將同時(shí)安裝AD FS或與當(dāng)前域中已有的AD FS關(guān)聯(lián)使用。它允許用戶(hù)使用當(dāng)前域和其他域之間經(jīng)過(guò)聯(lián)合身份驗(yàn)證的信任關(guān)系來(lái)建立用戶(hù)標(biāo)識(shí)，并提供對(duì)其他組織創(chuàng)建的受保護(hù)信息的訪問(wèn)權(quán)限。不需要聯(lián)合身 份驗(yàn)證的用戶(hù)建議不要選擇該復(fù)選框。  

圖003

 單擊"下一步"按鈕，顯示如圖004所示的"創(chuàng)建或加入AD RMS群集"對(duì)話(huà)框，系統(tǒng)默認(rèn)選擇"新建AD RMS群集"單選按鈕。由于當(dāng)前域中沒(méi)有其他AD RMS群集可供加入，所以"加入現(xiàn)有AD RMS群集"單選按鈕為灰色。安裝完成后創(chuàng)建的第1臺(tái)AD RMS服務(wù)器即為根群集，后來(lái)加入的AD RMS服務(wù)器為子服務(wù)器。

圖004

 單擊"下一步"按鈕，顯示如圖005所示的"選擇配置數(shù)據(jù)庫(kù)"對(duì)話(huà)框。如果網(wǎng)絡(luò)中安裝有SQL Server服務(wù)器，可選擇"使用其他數(shù)據(jù)庫(kù)服務(wù)器"單選按鈕；如果要使用AD RMS自帶的數(shù)據(jù)庫(kù)，選擇"在此服務(wù)器上使用Windows內(nèi)部數(shù)據(jù)庫(kù)"單選按鈕即可。

 圖005

 選擇支持AD RMS群集的專(zhuān)用數(shù)據(jù)庫(kù)時(shí)應(yīng)注意記錄其數(shù)據(jù)庫(kù)實(shí)例，其他AD RMS服務(wù)器加入群集時(shí)也必須指定相同的實(shí)例名稱(chēng)。

 單擊"下一步"按鈕，顯示如圖006所示的"指定服務(wù)賬戶(hù)"對(duì)話(huà)框。該服務(wù)賬戶(hù)即將來(lái)要在AD RMS群集中使用的賬戶(hù)，可使用普通域成員賬戶(hù)，但必須區(qū)別于當(dāng)前服務(wù)器登錄的域用戶(hù)賬戶(hù)。

圖006

單擊"下一步"按鈕，顯示如圖007所示的"配置AD RMS群集鍵存儲(chǔ)"對(duì)話(huà)框。系統(tǒng)默認(rèn)選擇"使用AD RMS集中管理的密鑰存儲(chǔ)"單選按鈕，即由本地服務(wù)器自動(dòng)生成并存儲(chǔ)密鑰。這里選擇該單選按鈕，這個(gè)密鑰主要用于當(dāng)前根服務(wù)器及將來(lái)子服務(wù)器的災(zāi)難恢復(fù)。選擇"使用CSP密鑰存儲(chǔ)"單選按鈕，需要由專(zhuān)用加密服務(wù)器產(chǎn)生并保管該密鑰，比較煩瑣，但安全性也相對(duì)較高。

圖007

 單擊"下一步"按鈕，顯示如圖008所示的"指定AD RMS群集密鑰密碼"對(duì)話(huà)框。其他AD RMS服務(wù)器加入群集時(shí)也要使用此密碼，須妥善保存。

圖008

 單擊"下一步"按鈕，顯示如圖009所示的"選擇AD RMS群集網(wǎng)站"對(duì)話(huà)框。在其中選擇管理AD RMS群集服務(wù)器時(shí)使用的站點(diǎn)，準(zhǔn)備工作中必須安裝IIS就是為了在本地創(chuàng)建該站點(diǎn)，保留默認(rèn)設(shè)置即可。

圖009

 單擊"下一步"按鈕，顯示如圖010所示的"指定群集地址"對(duì)話(huà)框。群集地址可以使AD RMS客戶(hù)端通過(guò)網(wǎng)絡(luò)與群集通信，選擇"使用SSL加密的連接"單選按鈕。將使用SSL加密，客戶(hù)端只有得到并安裝服務(wù)器頒發(fā)的數(shù)字證書(shū)后才能建立連接。

在"完全限定的域名"文本框中輸入要使用的域名，如https://win-bm7xcnvcyln.contoso.com:443等。 SSL加密連接使用的默認(rèn)傳輸端口是443，客戶(hù)端訪問(wèn)時(shí)也必須使用完整域名；選擇"使用未加密的連接"單選按鈕，則使用普通傳輸方式。輸入域名，單擊"驗(yàn)證"按鈕。

圖010

自定義端口可以提升網(wǎng)絡(luò)連接的安全性，不過(guò)客戶(hù)端訪問(wèn)時(shí)也必須使用相同的端口。

單擊"驗(yàn)證"按鈕，服務(wù)器自動(dòng)驗(yàn)證指定域名和端口的有效性。如果正確，則在"網(wǎng)絡(luò)中客戶(hù)端的群集地址預(yù)覽"下方顯示完整域名。

如果選擇"使用SSL加密的連接"單選按鈕，則單擊"下一步"按鈕會(huì)顯示如圖011所示的"選擇SSL加密的服務(wù)器身份驗(yàn)證證書(shū)"對(duì)話(huà)框，在其中選擇使用的SSL加密方式。為了便于測(cè)試，此處選擇“為SSL加密創(chuàng)建自簽名證書(shū)”。

圖011

單擊"下一步"按鈕，顯示如圖012所示的"命名服務(wù)器許可方證書(shū)"對(duì)話(huà)框。其中顯示內(nèi)容與上述選擇的"為SSL加密創(chuàng)建自簽名證書(shū)"單選按鈕是對(duì)應(yīng)的，系統(tǒng)默認(rèn)會(huì)以計(jì)算機(jī)名命名證書(shū)，保留默認(rèn)設(shè)置即可。

圖012

單擊"下一步"按鈕，顯示如圖013所示的"注冊(cè)AD RMS服務(wù)連接點(diǎn)"對(duì)話(huà)框。選擇"立即注冊(cè)AD RMS服務(wù)連接點(diǎn)"單選按鈕，在安裝完成后立即開(kāi)始使用此AD RMS群集。

單擊"下一步"按鈕，將顯示IIS的安裝對(duì)話(huà)框。這里不再贅述。在如圖014所示的"確認(rèn)安裝選擇"對(duì)話(huà)框中顯示要安裝的組件信息，如果需要修改，單擊"上一步"按鈕返回。

圖013

圖014

 單擊"安裝"按鈕開(kāi)始安裝，完成后顯示如圖015所示的"安裝結(jié)果"對(duì)話(huà)框，提示安裝成功。

圖015

 單擊"關(guān)閉"按鈕退出安裝向?qū)?。然后根?jù)提示注銷(xiāo)當(dāng)前系統(tǒng)并重新登錄。#p#

安裝 AD RMS 的重要注意事項(xiàng)

事項(xiàng)一:

首次在 Windows Server® 2008 上安裝 Active Directory 權(quán)限管理服務(wù) (AD RMS) 之前，必須滿(mǎn)足以下幾個(gè)要求：

在將使用受權(quán)限保護(hù)的內(nèi)容的用戶(hù)賬戶(hù)所在的同一個(gè) Active Directory 域服務(wù) (AD DS) 域中，將 AD RMS 服務(wù)器安裝為成員服務(wù)器。

創(chuàng)建一個(gè)要用作 AD RMS 服務(wù)賬戶(hù)的沒(méi)有額外權(quán)限的域用戶(hù)賬戶(hù)。

選擇用于安裝 AD RMS 的用戶(hù)賬戶(hù)，但具有以下限制：

o 安裝 AD RMS 的用戶(hù)賬戶(hù)必須與 AD RMS 服務(wù)賬戶(hù)不同。

o 如果在安裝過(guò)程中注冊(cè) AD RMS 服務(wù)連接點(diǎn) (SCP)，則安裝 AD RMS 的用戶(hù)賬戶(hù)必須是 AD DS Enterprise Admins 組或同等組的成員。

o 如果對(duì) AD RMS 數(shù)據(jù)庫(kù)使用外部數(shù)據(jù)庫(kù)服務(wù)，則安裝 AD RMS 的用戶(hù)賬戶(hù)必須具有創(chuàng)建新數(shù)據(jù)庫(kù)的權(quán)限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008，則用戶(hù)賬戶(hù)必須是系統(tǒng)管理員數(shù)據(jù)庫(kù)角色或同等角色的成員。

o 安裝 AD RMS 的用戶(hù)賬戶(hù)必須有權(quán)查詢(xún) AD DS 域。

為將在 AD RMS 安裝的整個(gè)生存時(shí)間可用的 AD RMS 群集保留一個(gè) URL。請(qǐng)確保保留的 URL 與計(jì)算機(jī)名稱(chēng)不同。

事項(xiàng)二:

除了滿(mǎn)足AD RMS 的安裝要求，強(qiáng)烈建議執(zhí)行以下操作：

在單獨(dú)的計(jì)算機(jī)上安裝用于承載 AD RMS 數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)服務(wù)器。

使用安全套接字層 (SSL) 證書(shū)安裝 AD RMS 群集。該證書(shū)應(yīng)由受信任的根證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)。

為 AD RMS 群集 URL 創(chuàng)建一個(gè) DNS 別名 (CNAME) 記錄，并為承載 AD RMS 配置數(shù)據(jù)庫(kù)的計(jì)算機(jī)創(chuàng)建一個(gè)單獨(dú)的 CNAME 記錄。如果因硬件故障或計(jì)算機(jī)名稱(chēng)被更改而導(dǎo)致 AD RMS 服務(wù)器注銷(xiāo)或丟失，可以更新 CNAME 記錄，而無(wú)需重新發(fā)布所有受權(quán)限保護(hù)的文件。

如果對(duì) AD RMS 配置數(shù)據(jù)庫(kù)使用命名實(shí)例，在安裝 AD RMS 之前必須在數(shù)據(jù)庫(kù)服務(wù)器上啟動(dòng) SQL Server Browser 服務(wù)。否則，AD RMS 安裝將無(wú)法找到配置數(shù)據(jù)庫(kù)，安裝將失敗。

事項(xiàng)三：

自簽名證書(shū)應(yīng)僅用于測(cè)試環(huán)境。對(duì)于試生產(chǎn)和生產(chǎn)環(huán)境，建議使用由受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的 SSL 證書(shū)。

帶有 AD RMS 的 Windows 內(nèi)部數(shù)據(jù)庫(kù)僅用于測(cè)試環(huán)境。因?yàn)?Windows 內(nèi)部數(shù)據(jù)庫(kù)不支持遠(yuǎn)程連接，所以在此方案中不能將其他服務(wù)器添加到 AD RMS 群集。

如果要安裝 AD RMS 的 Active Directory 林中已經(jīng)存在 SCP，請(qǐng)確保該 SCP 中的群集 URL 與新安裝中的群集 URL 相同。如果不同，則在 AD RMS 安裝過(guò)程中不應(yīng)注冊(cè) SCP。

安裝 AD RMS 時(shí)，localhost不是受支持的群集 URL。

在安裝過(guò)程中指定 AD RMS 服務(wù)帳戶(hù)時(shí)，請(qǐng)確保尚未將智能卡插入計(jì)算機(jī)中。如果已將智能卡連接到計(jì)算機(jī)，您將收到錯(cuò)誤消息，指出安裝 AD RMS 的用戶(hù)帳戶(hù)無(wú)權(quán)查詢(xún) AD DS。

如果將新服務(wù)器加入現(xiàn)有 AD RMS 群集，則在 AD RMS 安裝開(kāi)始之前，SSL 證書(shū)應(yīng)該已經(jīng)存在于新服務(wù)器上。

Windows Server 2008 R2 不支持 Windows Rights Management Services (RMS) 客戶(hù)端版本 1。對(duì)此版本的客戶(hù)端的支持隨著 RMS 客戶(hù)端版本 1 的最新 Service Pack 的發(fā)行而結(jié)束。若要繼續(xù)創(chuàng)建和訪問(wèn)受 AD RMS 保護(hù)的內(nèi)容，運(yùn)行 RMS 客戶(hù)端版本 1 的客戶(hù)端必須安裝最新的Service Pack。 #p#

AD RMS 客戶(hù)端服務(wù)發(fā)現(xiàn)

Active Directory 權(quán)限管理服務(wù) (AD RMS) 客戶(hù)端服務(wù)發(fā)現(xiàn)是 AD RMS 客戶(hù)端用來(lái)發(fā)現(xiàn)AD RMS 群集的方法。AD RMS 客戶(hù)端服務(wù)發(fā)現(xiàn)有三種實(shí)現(xiàn)方法：

Active Directory 域服務(wù) (AD DS) 服務(wù)連接點(diǎn) (SCP) 自動(dòng)服務(wù)發(fā)現(xiàn)。這是部署 AD RMS 環(huán)境的推薦方法。在此方案中，會(huì)在安裝了 AD RMS 群集的 Active Directory 林中創(chuàng)建 SCP。當(dāng) AD RMS 客戶(hù)端在計(jì)算機(jī)上嘗試用戶(hù)激活時(shí)，它會(huì)查詢(xún)?cè)?SCP 以查找 AD RMS 群集并下載權(quán)限賬戶(hù)證書(shū) (RAC)。使用自動(dòng)服務(wù)發(fā)現(xiàn)，無(wú)需在 AD RMS 客戶(hù)端上進(jìn)行任何其他配置。

AD RMS 客戶(hù)端注冊(cè)表替代。在復(fù)雜的 AD RMS 部署拓?fù)渲?，需要?duì) AD RMS 客戶(hù)端的更具體控制。對(duì)于在 Windows XP、Windows 2000 或 Windows Server 2003 上運(yùn)行的 Rights Management Services (RMS) 客戶(hù)端版本，部署了多個(gè) Active Directory 林的拓?fù)湫枰褂眠@些替代?？梢允褂每蛻?hù)端注冊(cè)表替代的另一個(gè)示例是用于支持 Extranet 用戶(hù)。在這些情況下，會(huì)在 AD RMS 客戶(hù)端中創(chuàng)建客戶(hù)端注冊(cè)表替代，以強(qiáng)制執(zhí)行 AD RMS 群集中不同于在 SCP 中發(fā)布的受權(quán)限保護(hù)內(nèi)容的證書(shū)或授權(quán)。AD RMS 客戶(hù)端注冊(cè)表替代用于替代在以下位置創(chuàng)建的 SCP：

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation。

客戶(hù)端注冊(cè)表替代項(xiàng)如下：

o Activation。此項(xiàng)用于替代在 SCP 中配置的默認(rèn) AD RMS 證書(shū)服務(wù)。此項(xiàng)的語(yǔ)法是 http(s)://<your cluster>/_wmcs/certification，其中 <your cluster> 是應(yīng)該用于證書(shū)的根群集的 URL。

o EnterprisePublishing。此項(xiàng)用于替代 AD RMS 客戶(hù)端連接到的默認(rèn) AD RMS 授權(quán)服務(wù)。此項(xiàng)的語(yǔ)法是 http(s)://<your cluster>/_wmcs/licensing，其中 <your cluster> 是僅授權(quán)群集的 URL。

客戶(hù)端注冊(cè)表替代配置為注冊(cè)表項(xiàng)。這些注冊(cè)表項(xiàng)的值應(yīng)添加到類(lèi)型為REG_SZ 的注冊(cè)表項(xiàng)的默認(rèn)項(xiàng)。

o 如果 AD RMS 客戶(hù)端計(jì)算機(jī)是使用聯(lián)合信任連接的，您必須配置聯(lián)合身份驗(yàn)證主領(lǐng)域。注冊(cè)表項(xiàng)為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\Federation

在該注冊(cè)表項(xiàng)中，創(chuàng)建類(lèi)型為 REG_SZ 的名為 FederationHomeRealm 的注冊(cè)表項(xiàng)。此注冊(cè)表項(xiàng)的值是聯(lián)合身份驗(yàn)證服務(wù)URI。

檢查 Extranet URL 的頒發(fā)許可證。AD RMS 客戶(hù)端服務(wù)發(fā)現(xiàn)的最后一種方法是使用頒發(fā)許可證。發(fā)布受權(quán)限保護(hù)的內(nèi)容時(shí)，Intranet 和 Extranet 授權(quán)服務(wù) URL 將添加到頒發(fā)許可證中。當(dāng) AD RMS 客戶(hù)端首次打開(kāi)受權(quán)限保護(hù)的內(nèi)容且其他服務(wù)發(fā)現(xiàn)方法不可用時(shí)，該客戶(hù)端可以從頒發(fā)許可證中檢索授權(quán) URL。

安裝和配置AD RMS客戶(hù)端

如果AD RMS客戶(hù)端運(yùn)行Windows 2000/XP系統(tǒng)，則必須安裝客戶(hù)端程序如圖016所示。簡(jiǎn)體中文版下載地址為：

下載之后即可安裝。另外，網(wǎng)絡(luò)管理員還可以通過(guò)組策略及SMS等方式來(lái)向客戶(hù)端統(tǒng)一分發(fā)客戶(hù)端安裝程序。如果客戶(hù)端數(shù)量較少，則可以通過(guò)手動(dòng)安裝的方式實(shí)現(xiàn)。

圖016

本實(shí)例以保護(hù)Microsoft Office Word 2007文檔為例，實(shí)例中以Andy用戶(hù)作為文件所有者，tom用戶(hù)作為文件訪問(wèn)者。

在活動(dòng)目錄中創(chuàng)建域用戶(hù)帳戶(hù)Andy和Tom（如圖017示）。

圖017

步驟一：以Andy用戶(hù)的身份登錄域中（如圖018示）。

圖018

步驟二：以Andy的身份在系統(tǒng)中新建一個(gè)word2007文檔，并進(jìn)行限制權(quán)限操作（如圖019示）。

圖019

 步驟三：接下來(lái)可能會(huì)出現(xiàn)如圖020所示的情況，這是因?yàn)榇藭r(shí)word 2007會(huì)連接AD RMS

群集站點(diǎn)，然而群集站點(diǎn)的證書(shū)是AD RMS服務(wù)器自動(dòng)發(fā)放的，客戶(hù)端計(jì)算機(jī)尚未信任由AD

RMS自動(dòng)發(fā)放的證書(shū)。可以選擇“是”選項(xiàng)，不過(guò)以后每次客戶(hù)端連接AD RMS服務(wù)器時(shí)仍然

會(huì)出現(xiàn)此畫(huà)面。如果不想每次都出現(xiàn)此畫(huà)面的話(huà)，可以通過(guò)安裝證書(shū)的方法來(lái)信任由AD RMS服

務(wù)器所發(fā)放的證書(shū)（如圖021及圖022所示）。

圖020

圖021

圖022

步驟四：此時(shí)客戶(hù)端自動(dòng)向AD RMS服務(wù)器發(fā)出申請(qǐng)。稍候如果出現(xiàn)如圖023所示，則表示建立連接成

功；否則表示無(wú)法連接到AD RMS服務(wù)器。

圖023

步驟五：編輯文檔并且根據(jù)需要設(shè)置文檔的訪問(wèn)權(quán)限（如圖024示）。

圖024

步驟六：使用tom用戶(hù)進(jìn)行登錄（如圖025示），

圖025

 當(dāng)tom用戶(hù)進(jìn)行讀取該文件時(shí)，會(huì)如圖026顯示這是權(quán)限受限制的文檔，必須通過(guò)Https的方式來(lái)連接AD RMS服務(wù)器，以便驗(yàn)證用戶(hù)信息。

圖026

 驗(yàn)證成功后，會(huì)出現(xiàn)如圖027的畫(huà)面與文檔內(nèi)容，由圖可知該文件的權(quán)限受到限制，當(dāng)前用戶(hù)Tom僅能閱讀此文件，無(wú)法另存為、打印及復(fù)制等操作。

圖027

 以上的相關(guān)內(nèi)容就是對(duì)Active Directory 權(quán)限管理服務(wù)應(yīng)用的介紹，望你能有所收獲。

【編輯推薦】

1. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
2. Windows Server 2008 R2安全性能體驗(yàn)
3. Windows Server 2008 R2中的DirectAccess功能詳解
4. Windows Server 2008 R2中托管服務(wù)帳號(hào)的方法
5. 解讀Windows Server 2008 R2安全性和高可靠性