在windows2003 中,有RMS的存在,但是需要另外下载,在WINDOWS2008中这一服务被微软件进行了改进和提升,被称之为 AD RMS(Active Directory Rights Management Services)活动目录权限管理服务,相对于2003下的RMS有了较大的改进与提升,例如:不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等,这个服务是一个相对比较复杂的服务,我们需要花费一定的时间才能比较好的了解和使用它。
       一、ADRMS系统的作用:
保护敏感信息。如WORD文档、电子邮件客户端和行业应用程序等。应用程序可以启用 ADRMS,以帮助保护敏感信息。用户可以定义打开、修改、打印、转发该对象的人员。组织可以创建自定义的使用策略模板(如"机密 - 只读"),这些模板可直接应用于上述对象。
永久性保护。ADRMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表 (ACL)),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保护信息。
灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器,与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。
      二、布署ADRMS服务器.
在Windows Server 2008中,ADRMS所起的作用,简单来说就是保证文档等内容在共享使用过程中的安全。使文档内容能够在正确的时间,被正确的人以正确的方式使用,本文以实验的方式重点阐述ADRMS权限策略模板的创建和部署。
1.ADRMS安装环境要求
  硬件最低要求
p_w_picpath
软件要求
p_w_picpath
2.测试环境
ADRMS 系统并不是一个单纯的服务,它包括以下四种角色:
(1).用于身份验证的域控制器、
(2).基于 Windows Server  2008 的ADRMS服务器、
(3).数据库服务器、
(4).AD RMS 客户端(本测试环境使用已经安装了office2007的windows2008客户端)
可将数据库与ADRMS放在同一服务器上。
p_w_picpath
3.测试需求:
要求在192.168.196.69上搭建ADRMS服务器,完成AD RMS权限策略模板的创建和部署。
4.安装ADRMS服务器:
(1).在域成员机(196.69)上安装ADRMS服务器(要使用属于本地administrators组的域成员登录该计算机,此例中直接使用域管理员)
     由于安装该服务必须有web和asp.net以及消息服务的支持,在安装时会自动添加所需服务。
p_w_picpath
(2).选择相应组件
- Active Directory Rights Management Services:是一项必需的角色服务,用于安装发布和使用受权限保护的内容所用的 AD RMS 组件。
- 联合身份验证支持:联合身份验证支持角色服务是一项可选的角色服务,允许联合身份借助 Active Directory 联合身份验证服务来使用受权限保护的内容。(此例中不选)
p_w_picpath
(3).配置数据库:
可选择域中其它计算机为指定数据库服务器,如选择使用windows内部数据库,则无法创建ADRMS群集,在测试环境下选择该项即可,如需使用多个服务器创建群集则指定专用的数据库服务器。
p_w_picpath
(4).指定一个标准域账户以管理ADRMS服务
p_w_picpath
(5).选择密钥存储方式并设置密码。
p_w_picpath
(6)选择群集地址,这里使用未加密联接,如果有证书服务器的情况下使用HTTPS(输入的域名必须为dns可以解析的名称)
p_w_picpath
(7).选择注册服务连接点,下一步后开始安装。
p_w_picpath
(8).安装完成后,可从管理工具中找到ADRMS管理工具来进行管理操作。
p_w_picpath
至此ADRMS安装操作完成。
三、创建权限策略模板
(1).在ADRMS服务器上创建一个共享文件夹adrmstemp,设置域用户jzt.com/user对其共享和ntfs权限均为修改。
p_w_picpath
(2).在ADRMS管理器左边选择”权限策略模板”--右键属性--勾上启用导出--输入adrmstemp所在位置的UNC路径
p_w_picpath
(3).选择创建分布式权限策略模板--添加--输入相关信息
p_w_picpath
(4).选择添加输入users@jzt.com,并设置给该组查看权限,则该组可对任何使用本权限模板创建的文档有查看权限。
p_w_picpath
至此,权限策略模板创建完成。
四.配置ADRMS客户端,为受权限保护的内容创建文件夹
(1).以管理员身份登录ADRMS客户机,新建名为adrmsdoc的文件夹,并设置权限为允许jzt.com\user修改
p_w_picpath
(2).在ADRMS客户机上以user身份登录并修改注册表
     a.展开HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM项,如果DRM不存在,则需手工创建.
     b.选择 DRM,单击"编辑",指向"新建",单击"可扩充字符串值",然后键入 AdminTemplatePath
     c.双击 AdminTemplatePath 注册表值并在"值数据"框中键入 %UserProfile%\AppData\Microsoft\DRM\Templates--"确定"。
p_w_picpath
(3).验证C:\Users\nhollida\AppData\Microsoft\DRM\Templates\ 是否有效,如果无效,请创建相应的文件夹。
     从\\win2k82\adrmstemp目录下将模板文件复制到新创建的目录下。
p_w_picpath 
(4).创建一个office2007文档,选择准备--限制权限—jzt.com cc
p_w_picpath
(5).选择限制对此文档权限,输入要限制的用户名称,及设置的权限,修改后,只有指定用户才能对文档进行相应操作,在文档上方可看到限制访问选项.
p_w_picpath
至此,我们成功使用ADRMS服务器将权限策略模板应用于 Microsoft Word 2007 文档。