假设有这样一个场景:公司财务部的员工发送一些机密资料,其他人只能够进行查看,其它权限一律不给。那么我们就可以给财务部创建一个模板,这样财务部的员工发送文件的时候就可以套用该模板进行发送,这样任何人收到文件后就只能进行查看,而无需财务部员工每次都自己进行权限的指定。
网络拓扑如下图
实验目标:Mark是财务部的一名员工,他使用公司AD RMS服务器上的策略模板给公司员工的Alice发送文件,Alice收到后只能读取该文件
实验思路:
1.在AD RMS上创建权限策略模板,该策略模板的权限为任何人只能查看
2.指定权限策略模板的UNC路径,让财务部的员工可以访问到该权限策略模板来利用该策略模板,我们需要在DC上安装office2010组策略模板
3.财务部员工套用权限策略模板发送文件
4.测试其它用户收到后是否只能读取文件
一.创建权限策略模板
如下图,选择“创建分布式权限策略模板”
选择添加,然后输入相关信息,然后选择下一步
在这里我们选择添加
选择“任何人”
任何人的权限是“查看”,但是如果他们想请求权限,可以给caiwu@abc.com发送请求 ,选择“下一步”
默认选择了永不过期,也就是文件到什么时候就可不能进行查看了
我们直接选择“完成”至于其他的“指定扩展策略”,“指定吊销策略”如果想使用请见AD RMS帮助
完成后视图如下
我们选择“查看权限摘要”
如下图,任何人只有查看权限
二.指定权限策略模板的UNC路径,并安装office2010组策略模板
如下图,在AD RMS服务器上的D盘创建一个共享文件夹AD RMS template
该文件夹的权限是财务组可以读取(这个组我已经在CAIWU的组织单位中进行创建且该组的邮件地址是CAIWU@abc.com),AD RMS服务启动账户需要写入的权限,为什么AD RMS服务器账户需要写入权限,您可以不进行设置,然后看看后面报什么错误就知道为什么需要AD RMS服务启动帐户写入权限
如下图,完成共享
选择我们的创建的策略,选择“属性”
在这里我们选择“启用导出”复制UNC路径,然后选择应用,确定
如下图,DC上我的准备工作
为了让CAIWU部的员工可以使用创建的权限策略模板,我们必须在DC上安装office2010的组策略模板,如下图,我已经解压了该策略模板
对caiwu部的OU上创建一条组策略,选择“编辑”
我们定位到用户配置,选择“管理模板”,选择“添加/删除模板”
选择“添加”
我们定位到ADM,选择zh-cn
选择“office14”,选择打开,关闭
如下图,我们就可以管理office2010,我们定位到“管理受限权限”,选择“指定权限策略路径”
输入刚才的UNC路径,应用确定,然后刷新下DC上的组策略,这样用户登录后office2010就可以找到域中的策略模板,并使用该权限策略模板
3.财务部员工套用权限策略模板
如下图,Mark登录win701后打开Word,随便输入一些信息
如下图,在“按人员限制权限”中就有了我们创建的策略模板“权限仅读取”
如下图,非财务部员工Alice登录win702,打开Mark创建的word文件
同样的Alice需要连续到AD RMS服务器去下载权限
如下图,Alice输入用户名和密码后,打开该文档,查看权限只有“查看”权限
如果alice想要其它的权限,我们可以点击“请求附加权限”,这个时候会调用outlook
如下图,Alice登录后无法使用到权限策略模板,因为我们的office组策略只针对了caiwu部
以上,我们就完成了AD RMS权限策略模板的实验
