安装配置ADRMS

1、AD RMS服务文件安全是网络领域中最重要的课题之一，安全的威胁通常来自Internet和局域网内部两个方面。"日防夜防，家贼难防"。来自企业内部的攻击往往是最致命的，微软公 司的RMS( Rights Management Services,权限管理服务)正是在这种环境下应运而生的。 它通过数字证书和用户身份验证技术对各种Office文档的访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。17.1 AD RMS 概述对于RMS，很多用户并不陌生，并且可能已经应用到实际环境中。AD RMS是在RMS基础上进行了一些改进，

2、功能更加强大。通过与Active Directory及其联合身份验证等服务的配合应用，不仅仍然具备原有的针对Office文档的各种权限保护，而且新增了通过MMC控制台管理AD RMS的功能，应用更加方便。17.1.1 AD RMS 的新特性AD RMS与RMS相比具有如下新特性。(1) 管理界面更加友好：在 RMS 1.0中唯一的管理界面就是 Web,而AD RMS则 改用MMC嵌入式管理单元，操作更加方便。(2) 自动启用服务器授权凭证：在AD RMS中，根群集的服务器授权凭证 (Server Licensor Certificate , SLC)可以自动启用，无须手动操作。(3) 与Act

3、ive Directory联合身份验证服务 (AD FS)配合使用：AD FS是 Windows Server 2008的一项新功能，可以提供简单且安全的身份验证。AD RMS与AD FS配合 使用，可以允许企业之间共同使用一方的 AD RMS群集，并且通过AD FS (使用HTTPS 协议)识别和验证自己域中的用户账户。AD RMS的相关组件AD RMS仍然基于服务器/客户端的结构，其主要组件包括支持AD RMS的应用程序、AD RMS客户端和AD RMS服务器端三，三者缺一不可。只有支持AD RMS的应用程序才能生成被保护的文档；AD RMS客户端是安装在客户端上，与支持 AD RMS的应

4、用程序交互；AD RMS服务器负责为信任实体颁发证书、授权服务器，并为使用 AD RMS保护的文档授权。使用权限账户证书可以将用户账户和具体的一台设备关联起来，即每个不同的账户在同一台计算机上存在唯一的权限证书，或同一账户在不同的计算机上的权限证书也不相同。虽然在不同用户的权限账户证书不同，但是其中所包含的密钥却是相同的。该权 限账户证书是由企业中的第 1台AD RMS服务器所颁发的，即在任何计算机上的用户 的密钥对相同，当用户向 AD RMS许可服务器请求许可时需要使用权限账户证书。权限账户证书的生成过程如下。(1) 当用户第1次使用由AD RMS加密的文档时，需要以域用户的身份向 AD R

5、MS 证书服务器发送请求来获取权限账户证书。(2) 服务器会在服务器数据库中所存的信息查询，如果该用户已经存在密钥对， 则会应用已有的密钥；否则会为该用户生成一个密钥对。(3) 服务器会将该用户的密钥对中的私钥用该证书服务器的私钥进行加密。(4) 服务器将用户密钥对中的公钥和加密后的私钥放到权限账户证书中。(5) 权限账户证书会被 AD RMS服务器用私钥进行数字签署，这样就能确定该权 限账户证书由AD RMS证书服务器所发放的，并且未被篡改。(6) AD RMS服务器将权限账户证书发送给用户。(7) 服务器将用户的密钥对存储到 AD RMS的数据库中，该权限账户证书就是以 后该用户进行申请各

6、种使用许可的证书。AD RMS的实现原理1. 服务的发现服务的发现实际上是 RMS客户端发现AD RMS服务器的一个过程，该过程可以通 过两种方法来实现，一是通过活动目录中的服务连接点(SCP),找到企业中的证书服务器的位置；二是通过注册表。找到AD RMS服务可以激活RMS客户端，因为如果要使用该 RMS客户端，则必 须在第1次使用时到AD RMS服务器激活该 RMS客户端，可以从AD RMS服务器上获 取权限管理账户证书等信息。2. 文档的在线发布过程由RMS客户端在线向授权服务器发送请求，发布过程如下。(1) 由密码箱生成对称密钥作为内容密钥(2) 内容密钥会被授权服务器的公钥加密，目的

7、是通过网络将其发送给授权服务器。然后授权服务器能够用自己的私钥将这个内容解出，而在传送的过程中不会被他人截获后获取内容密钥。(3) 加密的内容密钥和权限被发送给请求发布许可的授权服务器。(4) 授权服务器使用其私钥解开加密的内容密钥。(5) 授权服务器使用其公钥加密内容密钥和使用权限。(6) 加密后的密钥和使用权限被添加到发布许可中。(7) 授权服务器使用私钥签署发布许可。(8) 发布许可返回给申请的客户端。(9) 支持AD RMS的应用程序将发布许可合并到受保护的文档中。3. 文档的离线发布过程如果用户所使用的是笔记本电脑等移动办公等的计算机设备，有可能在自己的家中不能够连接到公司的 AD

8、RMS服务器。为访问使用由 AD RMS创建的文档，需要一个 客户端许可证书(CLC)。保护过程如下：(1) 由密码箱生成对称密钥作为内容密钥。(2) 客户端从客户端许可证书中取出授权服务器的公钥。(3) 客户端使用服务器的公钥加密内容密钥，加密的内容密钥只能由服务器的私 钥所解密。(4) 客户端使用客户端许可证书的公钥对内容密钥再进行一次加密，从而再次获 得一个加密后的对称密钥。需要注意的是，在离线和在线发布不同是离线发布过程中对 内容进行了两次加密。(5) 两个加密后的对称密钥同时被放到发布许可中。(6) 客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。(7) 客户端使用CLC的

9、私钥签署发布许可。(8) 支持AD RMS的应用程序将发布许可合到受保护的文档中。4. 受保护文档的使用过程使用受保护文档的具体过程如下。(1) 客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权服务器。(2) 授权服务器使用其私钥解出发布许可中的内容密钥。(3) 授权服务器使用权限账户证书中用户的公钥加密内容密钥。(4) 把加密的内容密钥和用户的使用权限添加到使用许可中。(5) 授权服务器使用其私钥签署使用许可。(6) 作为响应，将该使用许可发送给客户端。(7) 密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。(8) 密码箱使用用户的私钥解密内容密钥。(9) 密码箱使用内

10、容密钥解密被加密的受保护内容。使用服务器的公钥所加密的内容只能由服务器的私钥来解开。(7)服务器将用户的密钥对存储到AD RMS的数据库中，该权限账户证书就是以后该用户进行申请各种使用许可的证书。AD RMS服务器的软件需求AD RMS服务器的软件需求如下。(1) 必须是域控制器、额外的域控制器或域成员服务器。(2) 安装IIS服务和ASP.Net组件。(3) 安装MSMQ (消息队列)服务。(4) 如果要创建AD RMS服务器群集，需要安装SQL Server数据库服务器或 MSDE 数据库(建议选择 SQL Server);否则可以直接使用 AD RMS自带的本地数据库。AD RMS服务器

11、软件需要提前安装的 Windows组件，在安装过程中可以自动安装， 用户不必一一手动准备。17.2 AD RMS服务器的安装和配置Windows Server 2008中的AD RMS与RMS最大的区别就在于，它不再是一个独立 服务插件，已经成为 Windows的一项内建功能，并且包含了某些升级功能。无须下载 任何安装包，直接在管理服务器窗口中启动安装向导即可轻松安装。17.2.1准备工作为了确保安装过程可以顺利进行，开始之前应做好如下准备工作：(1) 将计算机加入到域，或者提升为域的辅助域控制器，或者子域。(2) 使用具有域用户账户登录，但不能使用 Administrator账户登录。(3)

12、 选择数据库。如果要使用独立数据库，需安装SQL Server；否则可使用AD RMS 的自带数据库。(4) 安装之前，确认 和 在 Internet Explorer中被添加至"受信任的站点"或”本地Internet" 017.2.2安装AD RMS根服务器(1)AD RMS服务并不是 Windows Server 2008系统默认安装的组件，需要用户手动添 加。安装向导如果检测到有完成的准备工作，显示提示信息并给出解决方案，通常情况 下可以自动完成必要组件的安装。使用具有域权限的用户账户登录。运行 "添加角色向导"。在"选择服务器

13、角色"对话 框中，选中"Active Directory Rights Management Servoces"复选框，显示如图 17-1 所示对 话框，提示是否添加所需的角色服务和功能。是否添加 Active Directory Rights Hanagejient Services 所雷的 d 角色服务和功能？鑫法安装Active Directory RiehliStrvic(s除非同G技装斯霜的角色服劳和功鬲色服务®:福迷：-Tab服务器QIS)Web.器住璜)描司靠可管理并且田Wet服务器可扪展的Web应用程序童础结构。矛管理工具T消息队列田消急

14、队列服岩添加需的角色服务庭L|取消D I为何这些角色药和由船枝术虚就蕾务(点击查看大图)图17-1添加所需的角色服务和功能单击"添加必需的角色服务"按钮，显示如图17-2所示的"选择服务器角色"对话框，选中"Active Directory Rights Management Services" 复选框。（点击查看大图）图17-2 "选择服务器角色"对话框不能使用Administrator用户账户登录；否则就会显示如图17-3所示的警告框，提示无法安装。单击"下一步"按钮，显示如图 17-4 所

15、示的"Active Directory Rights ManagementServices”对话框，其中简要介绍了Active Directory权限管理服务的作用及功能单击"下一步"按钮，显示如图17-5所示的”选择角色服务”对话框。如果选中"联合 身份验证支持”复选框，将同时安装AD FS或与当前域中已有的 AD FS关联使用。它允 许用户使用当前域和其他域之间经过联合身份验证的信任关系来建立用户标识，并提供对其他组织创建的受保护信息的访问权限。 不需要联合身份验证的用户建议不要选择该 复选框勃食色耕4JtfZIi瞬角邑ActiveDirt cl t

16、ry Rights lu&g*«4rnt Stmccsh枇wj= Limits 临.叫可咆夜 Services角尊用分仰蕴懦朋我据至膈瞬户群谜与瞥 罪耋月狷翠戡址瞒喜身灌莉苓 晚证股 SC?注f性3用黄善寸戚鬲朝皆破绪果注意事项1髯德器麝旨醐融开翩簸要芯源用于邳根购Tff M ME亢后，龄破虹服睇矗耽湎域娜 * 用弗鼬魄学ws根群售同以由一朝海名格该AD雁其雌皇as 职皿业Hgn宙两炉盗邛匿嘤江出邸割暑席芋1jy不（点击查看大图）图17-4 "Active Directory Rights Management Services"对话框Active Dir

17、ect ary Rights Aanagetnent Services添加角色向导选择角色服务开始之前服务器角色AL RMS选择为 虹ti.也 Eirtclory fights卒住nt Services 安装篱色膈努'虹七ig Directory权限管理服务器联舍身份验证支持虹州5群集曾盅教据库服凳幡户群集健存储群集密钮密码群集网站群集地扯服智器身份批证证书 许可方证书名称 SCT注朋临啪分嚣皿勺角色月后督确认进度结果（点击查看大图）图17-5 "选择角色服务"对话框17.2.2安装AD RMS根服务器（2）单击"下一步"按钮，显示如图17-6所

18、示的"创建或加入AD RMS群集"对话框，系 统默认选择"新建AD RMS群集"单选按钮。由于当前域中没有其他 AD RMS群集可供 加入，所以"加入现有AD RMS群集"单选按钮为灰色。安装完成后创建的第1台AD RMS 服务器即为根群集，后来加入的 AD RMS服务器为叶服务器。（点击查看大图）图17-6 "创建或加入AD RMS群集"对话框单击"下一步"按钮，显示如图17-7所示的"选择配置数据库"对话框。如果网络中安装有SQL Server服务器，可选择"使

19、用其他数据库服务器"单选按钮；如果要使用AD RMS自 带的数据库，选择”在此服务器上使用 Windows内部数据库”单选按钮即可。（点击查看大图）图17-7 "选择配置数据库"对话框选择支持AD RMS群集的专用数据库时应注意记录其数据库实例，其他 AD RMS 服务器加入群集时也必须指定相同的实例名称。单击"下一步"按钮，显示如图17-8所示的"指定服务账户"对话框。该服务账户即将 来要在AD RMS群集中使用的账户，可使用普通域成员账户，但必须区别于当前服务 器登录的域用户账户。j%L指湖籽膈苜服睛角鱼的fKMBS#写

20、辑毕如邸瞳瓠+其呻毗醐蹄酩化邮口邯网结忡iffriafi讪ins畿跚土，加邮睽畔握曰滥糖舶#fl有崩雕尊飘站谶北瞒翡俺晦书 禄证睥 fo.»M用错卫力篇从贫果（点击查看大图）图17-8 "指定服务账户"对话框17.2.2安装AD RMS根服务器（3）单击"指定"按钮，显示如图17-9所示的"Windows安全"对话框。输入域用户账户, 单击"确定"按钮即可。单击"下一步"按钮，显示如图17-10所示的"配置AD RMS群集键存储"对话框。系统默 认选择"使

21、用AD RMS集中管理的密钥存储"单选按钮，即由本地服务器自动生成并存储 密钥。这里选择该单选按钮，这个密钥主要用于当前根服务器及将来叶服务器的灾难恢 复，必须牢记。选择"使用CSP密钥存储"单选按钮，需要由专用加密服务器产生并保管 该密钥，比较烦琐，但安全性也相对较高。瑚腕导菖RS加林群集镶辟刑&密岳褚胞At蹲胞嬲虹鼎菲篱畦探座够帐户*5.溜瞬f 5雄5佝”KS建州广觥曷莺郎情©羸雀魅成满岬源啪寂）遍w as雕标新球拶E瓣圈疆瞄睽耕讨短ES?K 洞方证书镒 皿胡柚蹴诚 触畴砌魅（上一步费飞一步卸（点击查看大图）图17-10 "配置AD

22、 RMS群集键存储"对话框单击"下一步"按钮，显示如图17-11所示的"指定AD RMS群集密钥密码"对话框。其他 AD RMS服务器加入群集时也要使用此密码，必须妥善保存。亲懒色向导指定M）耽群集府钥部的贰推耕户桐浙蕾AD成麟j甯用刁丽m画翻耘帼麻觐？好其腰朋址网H谶将碰： !*»湖翻 ©： |M*«iHi!蛰翼炳甦制睡协电嬲JB器似比戒Effi瞄寸s?临孙AftH 瞳心邸睚恻蠢既fi：,并聚站族剿场瞒耕BSE玮 禄证睥 sct.Mm盹喜H）獭寻 敬算果上T邸|下力匝习（点击查看大图）图17-11 "指

23、定AD RMS群集密钥密码"对话框17.2.2安装AD RMS根服务器（4）单击"下一步"按钮，显示如图17-12所示的"选择AD RMS群集网站"对话框。在其 中选择管理AD RMS群集服务器时使用的站点， 准备工作中必须安装IIS就是为了在本 地创建该站点，保留默认设置即可。（点击查看大图）图17-12 "选择AD RMS群集网站"对话框单击"下一步"按钮，显示如图17-13所示的"指定群集地址"对话框。群集地址可以使 AD RMS客户端通过网络与群集通信，选择 "使用S

24、SL加密的连接"单选按钮。将使用 SSL 加密，客户端只有得到并安装服务器颁发的数字证书后才能建立连接。在"完全限定的域名"文本框中输入要使用的域名，如https:/adrms:443等。SSL加密连接使用的默认传输端口是443,客户端访问时也必须使用完整域名；选择"使用未加密的连接"单选按钮，则使用普通传输方式。输入域名，并单击"验证"按钮。（点击查看大图）图17-13 "指定群集地址"对话框自定义端口也可以提升网络连接的安全性，不过客户端访问时也必须使用相同的端口。单击"验证"按钮

25、，服务器自动验证指定域名和端口的有效性。如果正确，则在"网络中客户端的群集地址预览"下方显示完整域名。如果选择"使用SSL加密的连接"单选按钮，则单击"下一步"按钮会显示如图17-14 所示的"选择SSL加密的服务器身份验证证书"对话框，在其中选择使用某种 SSL加密 方式。枕角色向导K鲜SSL加密娜务器身幡证证书刑诳 用捋曲 M部鼬勰 虹班梅筵薜原 瞧耕融瑚解司我 畿襁 留理登4TN上与-.7为SSL倨鲜瞧日傩倒即膨翻府的曰桐顶玮翱皿就M我籍善山若鼬睇敬戢翳龈者觐弛眺皿欤就刷时"为制如珈期舞玮（D麝肆.

26、器康离跚部暑颇前案悬皿眼注,爵舵与嶙绪蹦曲广的戢$SL燧薜沼也撑州向研葡翎拘蟠函崩5人谥即赃勰用蜒顶。公就前盗正菅工作,芯用嗣记桐刮嘴臆，E矽殳整!；又耳?不控，搭雅员.上*（点击查看大图）图17-14 "选择SSL加密的服务器身份验证证书"对话框17.2.2安装AD RMS根服务器（5）单击"下一步"按钮，显示如图17-15所示的"命名服务器许可方证书"对话框。其中 显示内容与上述选择的"为SSL加密创建自签名证书"单选按钮是对应的，系统默认会以 计算机名命名证书，保留默认设置即可。命挪务署许可方证书开岐苞麟掘葩

27、撒孙户澜酬皿浏灿瞬明御*浦认综果< k-y 'll下一河）（点击查看大图）图17-15 "命名服务器许可方证书"对话框单击"下一步"按钮，显示如图17-16所示的"注册AD RMS服务连接点"对话框。选 择"立即注册AD RMS服务连接点"单选按钮，在安装完成后立即开始使用此 AD RMS 群集。单击"下一步"按钮，将显示IIS的安装对话框。这里不再赘述。在如图 17-17所示 的"确认安装选择"对话框中显示要安装的组件信息，如果需要修改，单击 "上一

28、步"按钮 返回。枷色向导注册加郦盼谶点刑按茵项帛即区 在在炽总虹小时母服碧中建虹那服样雀援苴Ecm皿椭F,e耕融.叨肮 mj Intranet WiT gtis财，制鼬卸tf§的龈*嫖娜是到溷蹴员，蒯炀主聊AL派龟色磔&立无钮迎或瞬ii蚯康AE旌熊§瞬盆睡眦员粗射安嫁或趋娜开鼠献始HIS赧，船剧惟项、SSHSE腊盼1以息主丹翻邮臃逢貌（D薜鲂讨曹学匪濡涮瞧捕W黜址1AS膈珈邮瞧.鞘蜉是刨噩服鞭集蜓ssmi舸方证书第双别心腕剽舶瞒敬推丝果上割1了卷电I蜂口空置3-"- 一 ）_. .Li. _. （点击查看大图）图17-16 "注册AD

29、RMS服务连接点"对话框（点击查看大图）图17-17 "确认安装选择"对话框单击"安装"按钮开始安装，完成后显示如图 成功。17-18所示的"安装结果”对话框，提示安装单击"关闭"按钮退出安装向导。然后根据提示注销当前系统并重新登录。17.2.3 配置AD RMS服务器（1）AD RMS采用了 MMC控制台管理的方式，提供文档权限管理服务之前必须经过一 些简单配置，如创建信任策略及权限模板等。单击"开始"一"管理工具"一"ActiveDirectory Rights

30、 Management Services"选项，启动 AD RMS 控制台，如图 17-19 所示。如果选择SSL加密连接方式，则可能会出现"安全警报”提示框，单击”是”按钮跳过即可。AciiTt lLr =Etory 3二姒目 HaisBj-子* itw寺素联fi廓/测户玮超r .：占秒瓠侦_；触魅L* J S$股拓粉荣走段身并隽俺淮农群集帕蛛的兽共瓢瓶斜EM券身】虹洋如）,f默麻醴卜熊诊瞰Xfh!葛蜕醵瑚饕嚣nt | lIntTHntl HLi同：取.btriuift 幕集 HLI.T;，. it .： .：典".i .屹旺:融 |御.com河艺：ffl厂职=

31、,钮拭（点击查看大图）图17-19 AD RMS 控制台leliTt lirictory ligLts luiBneLt ScrrLCtE1 .配置信任策略信任策略是不同AD RMS群集或不同域林中的 AD RMS服务器之间建立信任关系 的唯一标准，主要包括"受信任的用户域"和"受信任的发布域"。默认情况下，只有受信任的用户域才可以使用当前AD RMS服务器提供的权限保护服务，不同AD RMS群集或不同林中的 RMS服务器都是通过彼此的许可证书识别的。 用户可以通过将其他 AD RMS群集中的信任用户域导出，并添加至本地服务器中来实 现对其他用户提供权限

32、管理服务。导出的信任用户域文件中会包括原AD RMS服务器的许可证信息，因此建立信任关系后来自该域的用户就可以使用当前AD RMS服务器提供的使用许可证。添加受信任的用户域的操作步骤如下在AD RMS控制台窗口中，展开"信任策略"-"受信任的用户域"选项，显示如图17-20所示的"受信任的用户域"窗口。在"受信任的用户域信息"列表框中默认显示本地用户域，右击并选择快捷菜单中的"属性"选项即可查看其详细信息。在右窗格的"操作"栏中单击"导入受信任的用户域"超

33、级链接，显示如图17-21所示的"导入受信任的用户域"对话框。在"受信任的用户域文件"文本框中输入文件的保存路径，或单击"浏览"按钮选择。在"显示名称"文本框中输入该用户将在列表中显示的名称,用来标识。单击"完成"按钮，即可完成域的添加，重复操作可添加多个受信任的用户域。在"受信任的用户域彳息"列表框中右击域并选择快捷菜单中的 "导出受信任的用户域"选项还可以将其导出，以备本地恢复使用。也可以导入到其他AD RMS群集中，用于接受其他AD RMS服务器的权

34、限许可证。Art 3T# Fi rrttrp RiPFt S*rri"/ Asvivc DirdCMtrj lb 新M若1如CJ地二工散廊亨噜仲异勺# r 夏陪的嘛柜 1晰瑚都四赡帐AE书帮 SffilM 王d支全郝 ，J掴=登信什m用户桔用、_.顼.艾旦 I2EUTrr.' vrpFii*朽-：汞* 通Bi歇受陪惟浦削夏.% 信性 liaJurn Jvu IB童看叵野Q郭Hntenri soI黜吏悟竹的用户博，E跳Q就，.（点击查看大图）图17-20 "受信任的用户域"窗口与八爱信任町用户取件r 使一近*d 信可的 受:-中 导务画b.菖ft集声一更户一

35、 口一FIT自服4受信丑伐用户淮文件T p Lttdlf er.hsti-: hu裙入司E使挫松区分-愫信任职域胸或显滩龄h«!LC（二_步匚I：戋成电厂I _,聃1.（点击查看大图）图17-21 "导入受信任的用户域"对话框在AD RMS控制台窗口中，单击"受信任的发布域"选项，显示如图17-22所示的"受信 任的发布域信息"窗口。岑W A:vt Sarbct-w ElLght: Mis 二部此匝虬? I有住祕.:梭觥瞧明£阿拙枷一根.呻嘛河机蹦I顷书林* :那.潮*品克御* J熊受侑年的殁柘域?，秋居出腌瞅瞧凝

36、信任的浙辱葬壬委芳-. li-fb <4 木y_l三CEZJ HTTst JU n I '£* r aTr n龄集中.岌宿H的发*昌?胃淘斗&1发刑受a丽q聊inE m顺q瞬械a融B橱旦凶JlEtiTe Bireetery Eightm luaMeai Services；Oilj 21(点击查看大图)图17-22 "受信任的发布域信息"窗口受信任的发布域用于定义那些 AD RMS群集发布的许可证受到此群集的信任，与受信 任的用户域恰恰相反，列表框中默认显示的是本地服务器的记录。受信任的发布域文件 的导出和导入与受信任的用户域文件类似，不同的是

37、发布域文件的类型为.XML ,其中包括将要信任的 AD RMS服务器许可方证书、群集密钥和模板等信息。另外，发布域 文件本身是受密码保护的，导入时必须输入原AD RMS服务器上使用的存储密码。17.2.3 配置AD RMS服务器(2)2.配置权限策略模板发布机密程度不同的文档到客户端后设置的权限也有所不同，此时需要为该文档应用不同级别权限的策略模板。 权限策略模板是为定义用户的权限策略用的， 系统管理员 可以通过定制一些现成的策略模板让企业用户直接调用。创建权限策略模板的操作步骤如下。在AD RMS控制台中单击"权限策略模板"选项，显示如图17-23所示的"分布式

38、权 限策略模板"窗口。Active Birectozy ti.hts lu&ge*£iLt ServiieesPM）禅怕必苜司口我物）；AhlR Drfettnrj- fiighti 1如 b!成加®i+12受膏猝目沌卷宣顶浙域田光排瞄：.】安竺戟 m JISS分布式杈眼黄略模板秘建、查着雄苣此瞧的分布群躁也fTjff3屋2Ss£羊K标堂俳管色棋成舞直板tift祯i.I?i加帮曲蹭中欢倾目；岫试耕觥©酹蜓舔-Q做irxiorr（点击查看大图）图17-23 "分布式权限策略模板"窗口单击"操作"栏中

39、的"创建分布式权限策略模板"超级链接，启动创建向导，显示如图17-24 所示的”添加模板标识信息”对话框。（点击查看大图）图17-24 "添加模板标识彳息"对话框单击"添加"按钮，显示如图17-25所示的"添加新的模板标识信息"对话框。在"名称"文 本框中输入新建模板的名称，在 "描述"文本框中输入相关描述信息。单击 "添加"按钮,将其添加至"模板标识"列表框中。"语言"下拉列表框是专为使用不同语言的客户端设置的，如

40、果客户端只支持英文显示，则可以在"添加模板标识信息"对话框中再次单击"添加"按钮，并选择"英文"语言即可 需要注意的是，要想使选择的语言生效，必须首先在服务器上安装该语言。17.2.3 配置AD RMS服务器(3)单击"下一步"按钮，显示如图17-26所示的"添加用户权限"对话框。默认情况下"用 户和权限"列表框为空，即只"授予所有者不会过期的完全控制权限"，其他用户账户没有 任何权限。（点击查看大图）图17-26 "添加用户权限"对话

41、框单击"添加"按钮，显示如图17-27所示的"添加用户或组"对话框。选择"用户或组的电子邮件地址"单选按钮，即可在下面的文本框中输入用户的电子邮件地址。也可以单击 "浏览"按钮，打开"选择用户或组"对话框，直接从当前域控制器中查找添加。如果选择"任何人"单选按钮，则对当前域中的所有用户账户有效。如果要添加用户，应事先在域控制器上打开用户属性对话框，为用户添加电子邮件地址，如图17-28所示。同样，如果要添加用户组，也要打开用户组属性添加电子邮件地址，如图17-29所（点击查看

42、大图）图17-28添加用户电子邮件地址（点击查看大图）图17-29添加用户组电子邮件地址17.2.3 配置AD RMS服务器（4）单击"确定"按钮，将所选用户添加至列表框中，如图17-30所示。重复操作，可添加多个用户或组的电子邮件地址。然后在"用户和权限"列表中选择赋予用户的权限，例 如要求做到"禁止复制"，则只选择"查看权限"复选框即可I.添ftus板标识信息2添加用户收限使用此模桐指定有权使用受保柏的吝的用户和组0匠授予.所有言（作者不会过期的完全控制根阪 枳障清求plhnCcQolpen, net上一步建）

43、下一步魁）（点击查看大图）图17-30添加用户"权限请求URL"是当模板赋予用户的权限无法完成相应工作或在模板权限规定的时间和日期内没有完成工作时，用户可以通过此URL继续向管理员发出权限请求，以再次获得权限或附加权限。权限列表中给出的所有权限都是允许的，即只要选择某个选项，则表示要赋予用户 具有相应的权限。单击”下一步”按钮，显示如图17-31所示的”指定过期策略”对话框。在"内容有效期 限"选项区域中可以定义当前模板中的权限信息何时过期或有效期限等，默认为"永不过期"。内容过期后，如果仍需要使用该策略信息，则必须重新发布一次。指芾

44、扣期策昵I.添ftu©板标识信息2浆M用户枚栗3指定过期策昭4指定扩展第昭弓指都I爵昭壬果可 题者订 果期的 如詈 MHn 奇-ft# J CL o i£fi 件。才 黑群 讨该& 囊m ip富 n fl 旨H 橱冒 修用 fflR , 0 使#存证西答有敖期跟未不过期僵）e至11以K日Mfl过期叫L以下期限后过期庆）也）:2O0：sl使用许可证有效期限厂以下瞰后过期庆）5p 寻上一步馋）|下一步理） 1O（点击查看大图）图17-31 "指定过期策略"对话框单击"下一步"按钮，显示如图17-32所示的"指定扩展策略&

45、quot;对话框,.|为指定扩晨策略1.添加模板标识信息使用此模板指定骨保护内香的其他柔件。'f乎竺匠使用户龄悝用谁嚣加莪喷查尝耕的内答娘3，指定对期谴昭4才靛扩展带瑁厂每次使用肉答时需要新使用许可证暮用客苴瓣存）鱼）5.指球辟酪一广麟蹦嘲盗嬴期物B岫则可以在I名称I直I添加I I删除g I上一步® I下一瞿1 d（点击查看大图）图17-32 "指定扩展策略"对话框17.2.3 配置AD RMS服务器（5）在其中设置如下选项。使用户能够使用浏览器加载项查看受保护的内容：选择该复选框对于没有安装Office的客户端是非常实用的，只需安装相关插件即可在浏览器中

46、查看受RMS保护的Office文档，建议选择该复选框。每次使用内容时需要更新使用许可证（禁用客户端缓存）：选择该复选框虽然可以 使被保护文档更安全，但客户端每次使用时就会非常烦琐。如果您要为信用AD RMS的应用程序指定其他信息，则可以在此处以名称-值对的形式指定：选中该复选框，可在下面的列表框中添加特定应用程序需要的名称和权限值， 普通用户无须设置。单击"下一步"按钮，显示如图17-33所示的"指定吊销策略"对话框。吊销是AD RMS 的一项重要功能，实施之前必须手动创建一个吊销列表。并为每个吊销列表生成一个公钥/私钥对，然后使用私钥签署吊销列表。另外

47、，还必须为吊销列表指定一个用户可以 访问的URL地址或UNC路径。通常情况下，不需要 AD RMS服务器吊销，即不选择 该复选框。8（点击查看大图）图17-33 "指定吊销策略"对话框单击"完成"按钮，退出创建向导。返回"公布式权限策略模板"窗口，如图17-34所示。 新创建的模板已经出现在列表中，此时虽然已经创建成功，但并不能立即应用。% Active Directory Rights lajxap«eiit 5 ervi ces文件® 操作®查看航器助地）二占 Active Durectory Rlg

48、hts ；-> Ihn 唾地）Fi J信任策曙4i尝信任的用户地 克爰信任由发布地 1权眼策略模板 双限林户证书策昭 i 3排际策略 国J安全策魄 田3粮告削建、查看和修改此群集的分布式策略模威分苏式权隰策哽板信皇权跟箫略槿振定义使用此模怅保护的内容适用的规则和条件，S S “箫 traK / 3.孝 素模 Fit略 卷市 布，此 分H档 个餐 -堞 蓄击 I# 雷后 若？H迭 击膏 HIT 1-3旬饕目期1上一次修改日期一Mlt'fi®'"2DCS7873_'"900e?8/31JI li<I创建分布式和限朝模拆K 些愤心扇1

49、1明坐孵 措用（点击查看大图）图17-34 "公布式权限策略模板"窗口选择新创建的策略模板，右击并选择快捷菜单中的"存档此分布式权限策略模板"选项将其本地存档，显示如图17-35所示的"存档权限策略模板"对话框。提示一旦保存，将不 能再分发或导出该模板。单击"是"按钮保存设置。至此，新创建的权限策略模板才可以 保存到本地模板库中备用存档枚嫩策略模振权用们 格粤 存不存 将保 _户板布1 i 不， IO ，躬 is 瑕播您赫症要徉档性松眼策蹿模损吗?7j"ia:_. -. 3*Ri 4.I . iii（点击

50、查看大图）图17-35 "存档权限策略模板"对话框17.2.3 配置AD RMS服务器（6）返回"分布式权限策略模板"窗口，单击"管理存档的权限策略模板"链接，所有已存档的策略模板即可显示在"公布式权限策略模板"列表框中。系统管理员可以继续修改和查看其各项属性信息，如图17-36所示为新建策略模板的权限摘要。（点击查看大图）图17-36新建策略模板的权限摘要客户端必须将服务器中创建的权限策略模板保存到本地计算机才可以使用，可以通过文件共享、网络传输及移动存储介质等方式获得。默认情况下，权限策略模板的保存 位置为&q

51、uot;未设置"。为了便于保存和用户使用，应在群集中指定一个公共文件夹，用于保 存所有的策略模板。分发权限策略模板的操作步骤如下。在"公布式权限策略模板"窗口中，单击"操作"栏中的"管理分布式策略模板"超级链 接。在"分布式权限策略模板"窗口下方单击"更改分布式权限策略模板文件位置"超级链 接，打开如图17-37所示的"权限策略模板”对话框。选择"启用导出"复选框，在"指定模板文件位置"文本框中输入已经设置的共享文件 夹路径，如图17-

52、38所示。注意，这里必须使用 UNC格式，并且确定已经为指定用户 账户赋予了写入权限。校眼策略模板棋板交件垃置|1k限策昭模相勘本的文件位盂,将甑置班据匡寐恭警酣机瞬理秘新翎访欧位昌并且能必 当前模根文件位置可，15r启用导出指定模极好f位适嫩）q獭一一一5inTflJMHri_童定.| 耶消 | L”L_ j 帮期 |祝限策略槌板2£J模旅交件位置|摭校限策略橙粮副本的交件仿置，密津徐鬻牌户机的管理础顷顺州娜昂源曜必当前燃件位置如:未设置一何启用导出（1确定 1 朝* |应用|帮匙_指定模桓文件位云倾您】：|Mhncoolpfcri洌览|（点击查看大图）图17-38已经设置的共享文

53、件夹路径单击"确定"按钮，然后单击"管理存档的权限策略模板"超级链接。选择想要分发的模板， 右击并选择快捷菜单中的"分发此权限策略模板"选项，显示如图17-40所示的"分发权限 策略模板"对话框。提示分发之后，用户即可使用此模板发布新内容。（点击查看大图）图17-39分发权限策略模板单击"是"按钮确认即可。如果模板是从另一台 RMS服务器迁移到此RMS服务器的，在使用之前必须由此服 务器签署，然后重新分发到客户端。当某个权限策略模板不再适用时可以将其删除，删除的同时应删除用户计算机中的 该模板，

54、以便用户试图使用由已撤销的权限策略模板发布内容时不会出现问题。当作者使用权限策略模板发布内容时，该发布请求将被发送到RMS服务器。RMS将使用数据库中存储的该权限策略模板的副本来响应该请求，如果数据库中不存在该权限策略模板，请求将失败。要保护重要的权限策略模板， 可以将配置数据库中的模板数据定期备份到存储介质 中，并存放到安全的地方。这样当系统发生故障时，系统管理员就可以使用备份的副本 来恢复权限策略模板。17.2.3 配置AD RMS服务器(7)3.配置权限账户证书策略权限账户证书(RAC)是AD RMS服务器颁发给每个客户的认证凭证，该证书将 用户账户与一个受保护的密钥对关联，而密钥对则专

55、用于用户的计算机。用户可以通过这些证书来发布和使用受 AD RMS保护的内容，每个证书都包含一个公钥，以向用户 授予使用相关信息的权限。在"AD RMS控制台"窗口中的左窗格中单击"权限账户证书策略"选项，显示如图 17-40所示的"权限账户证书策略"窗口。权限账户证书根据有效期的长短和应用环境的 不同，可分为标准 RAC和临时RAC。标准RAC的默认有效期限是 365天，通常应用 于固定用户的计算机上； 临时RAC的默认有效期限为15分钟，主要是为了方便用户在 不同位置都可以使用受 AD RMS保护的文档。权限账户证书的有效期限可以

56、根据实际需要更改，单击 "更改标准RAC有效期"超 级链接，显示如图17-41所示的"权限账户证书策略”对话框。在"标准RAC的有效期（天） "文本框中输入合适数值即可，有效期的范围是 19 999天。打开如图17-42所示的"临时RAC"选项卡，或者在"权限账户证书策略"窗口中单击 "更改临时RAC有效期"超级链接，也可以更改临时 RAC的有效期。4.配置排除策略排除策略的功能是防止非授权用户使用AD RMS服务，可供用户使用的排除策略AD RMS服务器创建的用户许包括用户、应用程序

57、、密码箱版本和Windows版本。默认情况下这些策略都是不启用 的，配置之前应先将其启用。排除策略排除某个实体后,可证将在排除列表中列出该实体。如果一段时间后决定删除某个以前包含在排除策略中 的实体，只需在"排除策略"窗口的相应列表框中将其删除即可，任何获取新证书的请求 或授权请求都不会将该实体当做已排除实体。（点击查看大图）图17-41 "权限账户证书策略"对话框17.2.3 配置AD RMS服务器(8)在AD RMS控制台窗口中选择"排除策略"选项，显示如图17-43所示的"排除策略"窗口，在其中可以设置用户、

58、应用程序、密码箱及Windows版本排除。（点击查看大图）图17-43 "排除策略"窗口建议不要从排除策略中删除实体，除非可以确定在创建排除策略前颁发的所有证书 都已到期；否则新旧证书都将允许对内容解密，留下非常严重的安全隐患。用户排除可用于排除已经存在安全隐患的信任用户，如某用户账户原本是可信的。但其AD RMS凭证不慎泄露，其他非授权用户则可能通过此凭证使用受RMS保护的文档，此时就可以通过排除该用户的权限账户证书的公钥来排除该证书。排除权限账户证书后，下次该用户试图获得新内容的用户许可证时，其请求将被拒绝。要获得用户许可 证，该用户必须使用新的密钥对来检索新的权限账户

59、证书。要排除根认证服务器或群集上的权限账户证书，可以在根认证服务器的"排除策略"中指定用户的域账户，并且应当在通过注册子过程注册的所有服务器上同时排除其权限 账户证书。(1) 在AD RMS的左窗格中展开"排除策略"选项，选择"用户"选项，显示如图17-44 所示的"用户排除信息"窗口。默认状态下，用户排除为禁用状态。(2) 在右窗格的"操作"栏中单击"启用用户排除"超级链接，即可启用用户排除策略， 如图17-45所示。J.i Active Directory Ri girt

60、sServi ces文件® 操作® 查看在)嚣助叫Active Directory fLiEhts曰蕾&爵地)币丈'言任策略 星略模板 艄/段限帐户证书策略 . 排耍£应用程序 密稿箱益1 Windows版本 不安全策略 一报告用户Man用户排除启用用户排院可阻止特定用户从该辞集接收梗F O可证*女已禁用用户排除用户排除信舄+511称SII.-H1除名普31户郁塑须隼用誓*窖* *通用可S户司可用X的叩 禁用用尸榔祁已排滁的用户列袁不可用，1|±J(点击查看大图)图17-44 "用户排除信息"窗口% ActiveDirecto