配置AD RMS服务器-3
返回"分布式权限策略模板"窗口,单击"管理存档的权限策略模板"链接,所有已存档的策略模板即可显示在"公布式权限策略模板"列表框中。系统管理员可以继续修改和查看其各项属性信息,如图17-36所示为新建策略模板的权限摘要。
 |
| (点击查看大图)图17-36 新建策略模板的权限摘要 |
客户端必须将服务器中创建的权限策略模板保存到本地计算机才可以使用,可以通过文件共享、网络传输及移动存储介质等方式获得。默认情况下,权限策略模板的保存位置为"未设置"。为了便于保存和用户使用,应在群集中指定一个公共文件夹,用于保存所有的策略模板。
分发权限策略模板的操作步骤如下。
在"公布式权限策略模板"窗口中,单击"操作"栏中的"管理分布式策略模板"超级链接。在"分布式权限策略模板"窗口下方单击"更改分布式权限策略模板文件位置"超级链接,打开如图17-37所示的"权限策略模板"对话框。
选择"启用导出"复选框,在"指定模板文件位置"文本框中输入已经设置的共享文件夹路径,如图17-38所示。注意,这里必须使用UNC格式,并且确定已经为指定用户账户赋予了写入权限。
 |
| (点击查看大图)图17-37 "权限策略模板"对话框 |
 |
| (点击查看大图)图17-38 已经设置的共享文件夹路径 |
单击"确定"按钮,然后单击"管理存档的权限策略模板"超级链接。选择想要分发的模板,右击并选择快捷菜单中的"分发此权限策略模板"选项,显示如图17-40所示的"分发权限策略模板"对话框。提示分发之后,用户即可使用此模板发布新内容。
 |
| (点击查看大图)图17-39 分发权限策略模板 |
单击"是"按钮确认即可。
如果模板是从另一台RMS服务器迁移到此RMS服务器的,在使用之前必须由此服务器签署,然后重新分发到客户端。
当某个权限策略模板不再适用时可以将其删除,删除的同时应删除用户计算机中的该模板,以便用户试图使用由已撤销的权限策略模板发布内容时不会出现问题。当作者使用权限策略模板发布内容时,该发布请求将被发送到RMS服务器。RMS将使用数据库中存储的该权限策略模板的副本来响应该请求,如果数据库中不存在该权限策略模板,请求将失败。
要保护重要的权限策略模板,可以将配置数据库中的模板数据定期备份到存储介质中,并存放到安全的地方。这样当系统发生故障时,系统管理员就可以使用备份的副本来恢复权限策略模板。
配置权限账户证书策略
权限账户证书(RAC)是AD RMS服务器颁发给每个客户的认证凭证,该证书将用户账户与一个受保护的密钥对关联,而密钥对则专用于用户的计算机。用户可以通过这些证书来发布和使用受AD RMS保护的内容,每个证书都包含一个公钥,以向用户授予使用相关信息的权限。
在"AD RMS控制台"窗口中的左窗格中单击"权限账户证书策略"选项,显示如图17-40所示的"权限账户证书策略"窗口。权限账户证书根据有效期的长短和应用环境的不同,可分为标准RAC和临时RAC。标准RAC的默认有效期限是365天,通常应用于固定用户的计算机上;临时RAC的默认有效期限为15分钟,主要是为了方便用户在不同位置都可以使用受AD RMS保护的文档。
 |
| (点击查看大图)图17-40 "权限账户证书策略"窗口 |
权限账户证书的有效期限可以根据实际需要更改,单击"更改标准RAC有效期"超级链接,显示如图17-41所示的"权限账户证书策略"对话框。在"标准RAC的有效期(天)"文本框中输入合适数值即可,有效期的范围是1~9 999天。
打开如图17-42所示的"临时RAC"选项卡,或者在"权限账户证书策略"窗口中单击"更改临时RAC有效期"超级链接,也可以更改临时RAC的有效期。
4.配置排除策略
排除策略的功能是防止非授权用户使用AD RMS服务,可供用户使用的排除策略包括用户、应用程序、密码箱版本和Windows版本。默认情况下这些策略都是不启用的,配置之前应先将其启用。排除策略排除某个实体后,AD RMS服务器创建的用户许可证将在排除列表中列出该实体。如果一段时间后决定删除某个以前包含在排除策略中的实体,只需在"排除策略"窗口的相应列表框中将其删除即可,任何获取新证书的请求或授权请求都不会将该实体当做已排除实体。
 |
| (点击查看大图)图17-41 "权限账户证书策略"对话框 |
 |
| (点击查看大图)图17-42 "临时RAC"选项卡 |
