(一)IIS权限设置

接下来我们需要手动配置RMS组件的相应的IIS权限。RMS依赖IIS服务,因此要配置IIS的相关权限,RMS的一些组件才能正常运行。

RMS服务端应用程序通过IIS的server certification组件申请RMS服务,需要在该对象上设置相应权限。

我们打开IIS控制台,定位到如下的位置。

80271767df7e4299950eb54ad20a60be

右击certification,选择“浏览”。

cd400fae74f249c18d179172c64653ec

然后选servercertification.asmx文件,右击选择“属性”。

b8277f3eac8047d4bf916f4bfbea3470

切换到安全选项卡,可以看到默认该文件只有SYSTEM权限。

db2490af321c44c3a9f4894422ab6488

我们需要新增exchange server组、ADRMS服务组针对该文件的相应权限。

首先添加域组exchange server针对该文件的读取和执行、读取的权限。

ae9b278aaf044601a8e3ffa55b3fb732

然后添加本地的ADRMS服务组针对该文件的读取和执行、读取的权限。

38c4022d9a714bff93b9a64029bf4a2c

(二)创建RMS超级管理组

ADRMS允许使用一个独立的exchange邮箱用户或者邮件通讯组成为超级管理员(超级用户)。出于维护的方便,建议使用通讯组作为超级用户。

超级用户组默认是禁用的需要手动启用。

首先登陆exchange 2016的管理中心,创建一个通讯组。

42e2a9eafc2144bc95514f44209d8aaf

然后打开AD用户和计算机,定位到该通讯组,我们把RMS超级用户添加到该组中,因为我当前是用administrator做的测试,该用户默认就在组里了。

29d2e3215c8e44a4928a15d371234bf8

(三)在RMS服务器上启用超级用户(组)

打开ADRMS控制台,定位到超级用户节点。

85bb846f06b34d3ebfae8b63a38053ce

选择上图右上角位置的“启用超级用户”,启用之后如图。

00de4e90cdc1427a89536963976e03f9

然后我们点击“更改超级用户组”。

浏览选择我们前面新建的RMSadmins通讯组。

139f3c85e02046ad932944e84095fbd1

RMS超级用户或组,可以无限制地访问被保护的数据,该组的成员可以进行解密工作。

启用完成后,如图。

a5ec1d44684f44b2bb8ed3fd80898804