我们知道AD RMS可以用来保护我们的office应用程序,但是并非所有的office应用程序都可以使用AD RMS来进行保护,且AD RMS对office的版本也有要求,此外操作系统必须安装AD RMS客户端,也就是说早期的像XP,2003的话需要下载AD RMS客户端进行安装。
Office支持的版本:2003,2007,2013
office支持的应用程序:Word,Excel,Outlook,Infopath
AD RMS客户端:
Active Directory 权限管理服务 (AD RMS) 客户端随 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系统一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作为客户端操作系统,则可以从 Microsoft 下载中心下载 AD RMS 客户端的兼容版本。
具体见微软连接:http://technet.microsoft.com/zh-cn/library/cc731051.aspx
注意事项如果您的公司使用office2003通过AD RMS进行保护,请安装补丁:KB978551,该补丁链接地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=7882,这个补丁是解决AD RMS保护office2003中遇到的问题
部署AD RMS的要求,这个我们可以在AD RMS的帮助中找到,其中有一点很重要必须要电子邮件地址,此外我们还需要给AD RMS申请一张证书,当然域环境也是必须的。
网络拓扑如下图
部署思路:
1.安装活动目录,安装企业CA
2.AD RMS申请一张证书
3.AD RMS服务启动需要一个域账户,创建普通域账户即可且密码要永不过期
4.部署AD RMS,AD RMS需要的数据库直接使用Windows 2008 R2自带的
5.部署完AD RMS必须先注销再登陆后打开AD RMS管理控制台
一.比较简单顾不进行演示
二.AD RMS申请一张证书,这张证书主要是用来让客户端通过加密连接到AD RMS群集
如下图,我们在AD RMS服务器上打开运行输入“MMC”
选择“添加/删除管理单元”
选择证书进行添加
选择“计算机账户”
选择“本地计算机”完成
在MMC个人右击,选择“申请新证书”
选择“下一步”
选择“Active Directory注册策略”
选择“计算机”进行注册
注册成功
完成后视图如下
三.创建一个普通域账户,但是密码必须永不过期,因为该账户是用来启动AD RMS服务的
如下图,我创建了一个AD RMS的组织单位,创建了一个域用户ADRMS
完成后视图如下
四.部署AD RMS
如下图,选择“添加角色”
选择“Active Directory Rights Managment Services”默认选择这个后就自动选择了安装AD RMS必备的组件,我们直接下一步
在AD RMS告诉我们部署AD RMS后该服务器的名称就不能进行更改
这里我们直接默认即可
默认选择“新建AD RMS群集”,我们直接下一步
我们直接使用此服务器上的内部数据库
如下图,域用户账户输入我们刚才创建的普通域账户ADRMS即可,在这里建议大家读下上面的文字说明
默认选择“使用AD RMS集中管理的密钥存储”
这个密码用于其它AD RMS服务器加入该群集,这个密码非常的重要,恢复AD RMS群集的时候也要使用该密码
直接默认,下一步
这个域名必须和我们证书上申请的域名一致,这点很重要,然后选择“验证”
验证成功后,选择“下一步”
先前我们申请的证书,在这里就自动识别到了
识别名称我们直接保持默认即可
这里是注册SCP,要注册该SCP必须是企业管理组的成员,假设您以后把AD RMS服务器给格式化了,您再次安装会发现AD RMS装不上,原因就在于林中只能有一个SCP而您格式化后并没有在AD活动目录中进行删除,顾再次安装注册SCP不成功,导致SCP无法注册
保持默认
IIS这里我们不需要更改默认就帮我们搞定了,其中有ASP.NET
选择“安装”
安装的完成后,告诉我们必须注销服务器,然后登陆服务器再打开AD RMS管理器,这是为什么?
如下图,安装完AD RMS在本地管理组中创建了如下的一些组,我们可以通过说明知道这样组是干什么用的,其中我们的abc\adrms成员就被添加到了启动AD RMS服务的组中
因为安装完AD RMS这些组是刚刚创建的所有我们要注销下服务器,这样用户才可以更新权限,具体见下图解释
部署完成后视图如下
以上,我们就完成了AD RMS的部署
