安装配置ADRMS

1、AD RMS服务文件安全是网络领域中最重要的课题之一，安全的威胁通常来自In ternet和局域网内部两个方面。"日防夜防，家贼难防"。来自企业内部的攻击往往是最致命的，微软公 司的RMS( Rights Management Services,权限管理服务)正是在这种环境下应运而生的。 它通过数字证书和用户身份验证技术对各种Ofice文档的访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。17.1 AD RMS 概述对于RMS，很多用户并不陌生，并且可能已经应用到实际环境中。AD RMS是在RMS基础上进行了一些改进，

2、功能更加强大。通过与Active Directory及其联合身份验证等服务的配合应用，不仅仍然具备原有的针对Office文档的各种权限保护，而且新增了通过MMC控制台管理AD RMS的功能，应用更加方便。17.1.1 AD RMS 的新特性AD RMS与RMS相比具有如下新特性。(1) 管理界面更加友好：在 RMS 1.0中唯一的管理界面就是 Web，而AD RMS则 改用MMC嵌入式管理单元，操作更加方便。(2) 自动启用服务器授权凭证： 在AD RMS中，根群集的服务器授权凭证(Server Licensor Certificate，SLC)可以自动启用，无须手动操作。(3) 与Activ

3、e Directory联合身份验证服务 (AD FS)配合使用：AD FS是 Windows Server 2008的一项新功能，可以提供简单且安全的身份验证。AD RMS与AD FS配合 使用，可以允许企业之间共同使用一方的 AD RMS群集，并且通过AD FS (使用HTTPS 协议)识别和验证自己域中的用户账户。AD RMS的相关组件AD RMS仍然基于服务器/客户端的结构，其主要组件包括支持AD RMS的应用程序、AD RMS客户端和AD RMS服务器端三，三者缺一不可。只有支持AD RMS的应用程序才能生成被保护的文档；AD RMS客户端是安装在客户端上，与支持 AD RMS的应用程

4、序交互；AD RMS服务器负责为信任实体颁发证书、授权服务器，并为使用 AD RMS保护的文档授权。使用权限账户证书可以将用户账户和具体的一台设备关联起来，即每个不同的账户在同一台计算机上存在唯一的权限证书，或同一账户在不同的计算机上的权限证书也不相同。虽然在不同用户的权限账户证书不同，但是其中所包含的密钥却是相同的。该权 限账户证书是由企业中的第 1台AD RMS服务器所颁发的，即在任何计算机上的用户 的密钥对相同，当用户向 AD RMS许可服务器请求许可时需要使用权限账户证书。权限账户证书的生成过程如下。（1） 当用户第1次使用由AD RMS加密的文档时，需要以域用户的身份向 AD RMS

5、 证书服务器发送请求来获取权限账户证书。（2）服务器会在服务器数据库中所存的信息查询，如果该用户已经存在密钥对， 则会应用已有的密钥；否则会为该用户生成一个密钥对。（3）服务器会将该用户的密钥对中的私钥用该证书服务器的私钥进行加密。（4）服务器将用户密钥对中的公钥和加密后的私钥放到权限账户证书中。（5）权限账户证书会被 AD RMS服务器用私钥进行数字签署，这样就能确定该权 限账户证书由AD RMS证书服务器所发放的，并且未被篡改。（6）AD RMS服务器将权限账户证书发送给用户。（7）服务器将用户的密钥对存储到 AD RMS的数据库中，该权限账户证书就是以 后该用户进行申请各种使用许可的证书

6、。AD RMS的实现原理1服务的发现服务的发现实际上是 RMS客户端发现AD RMS服务器的一个过程，该过程可以通 过两种方法来实现，一是通过活动目录中的服务连接点（SCP）,找到企业中的证书服务器的位置；二是通过注册表。找到AD RMS服务可以激活RMS客户端，因为如果要使用该 RMS客户端，则必 须在第1次使用时到AD RMS服务器激活该 RMS客户端，可以从AD RMS服务器上获 取权限管理账户证书等信息。2. 文档的在线发布过程由RMS客户端在线向授权服务器发送请求，发布过程如下。（1）由密码箱生成对称密钥作为内容密钥(2) 内容密钥会被授权服务器的公钥加密，目的是通过网络将其发送给授

7、权服务器。然后授权服务器能够用自己的私钥将这个内容解出，而在传送的过程中不会被他人截获后获取内容密钥。(3) 加密的内容密钥和权限被发送给请求发布许可的授权服务器。(4) 授权服务器使用其私钥解开加密的内容密钥。(5) 授权服务器使用其公钥加密内容密钥和使用权限。(6) 加密后的密钥和使用权限被添加到发布许可中。(7) 授权服务器使用私钥签署发布许可。(8) 发布许可返回给申请的客户端。(9) 支持AD RMS的应用程序将发布许可合并到受保护的文档中。3. 文档的离线发布过程如果用户所使用的是笔记本电脑等移动办公等的计算机设备，有可能在自己的家中不能够连接到公司的 AD RMS服务器。为访问使

8、用由 AD RMS创建的文档，需要一个 客户端许可证书(CLC)。保护过程如下：(1) 由密码箱生成对称密钥作为内容密钥。(2) 客户端从客户端许可证书中取出授权服务器的公钥。(3) 客户端使用服务器的公钥加密内容密钥，加密的内容密钥只能由服务器的私 钥所解密。(4) 客户端使用客户端许可证书的公钥对内容密钥再进行一次加密，从而再次获 得一个加密后的对称密钥。需要注意的是，在离线和在线发布不同是离线发布过程中对 内容进行了两次加密。(5) 两个加密后的对称密钥同时被放到发布许可中。(6) 客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。(7) 客户端使用CLC的私钥签署发布许可。(8

9、) 支持AD RMS的应用程序将发布许可合到受保护的文档中。4. 受保护文档的使用过程使用受保护文档的具体过程如下（1）客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权服务器。（2）授权服务器使用其私钥解出发布许可中的内容密钥。（3）授权服务器使用权限账户证书中用户的公钥加密内容密钥。（4）把加密的内容密钥和用户的使用权限添加到使用许可中。（5）授权服务器使用其私钥签署使用许可。（6）作为响应，将该使用许可发送给客户端。（7）密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。（8）密码箱使用用户的私钥解密内容密钥。（9）密码箱使用内容密钥解密被加密的受保护内容。使用服务器的

10、公钥所加密的内容只能由服务器的私钥来解开。（7）服务器将用户的密钥对存储到 AD RMS的数据库中，该权限账户证书就是以 后该用户进行申请各种使用许可的证书。AD RMS服务器的软件需求AD RMS服务器的软件需求如下。（1）必须是域控制器、额外的域控制器或域成员服务器。（2）安装IIS服务和ASP.Net组件。（3）安装MSMQ （消息队列）服务。（4）如果要创建AD RMS服务器群集，需要安装SQL Server数据库服务器或 MSDE 数据库（建议选择 SQL Server）；否则可以直接使用 AD RMS自带的本地数据库。AD RMS服务器软件需要提前安装的 Windows组件，在安装

11、过程中可以自动安装， 用户不必一一手动准备。17.2 AD RMS服务器的安装和配置Windows Server 2008中的AD RMS与RMS最大的区别就在于，它不再是一个独立 服务插件，已经成为 Windows的一项内建功能，并且包含了某些升级功能。无须下载 任何安装包，直接在管理服务器窗口中启动安装向导即可轻松安装。17.2.1准备工作为了确保安装过程可以顺利进行，开始之前应做好如下准备工作：（1）将计算机加入到域，或者提升为域的辅助域控制器，或者子域。（2） 使用具有域用户账户登录，但不能使用Administrator账户登录。（3） 选择数据库。如果要使用独立数据库，需安装SQL

12、Server；否则可使用AD RMS 的自带数据库。（4）安装之前，确认 和 在 In ter net Explorer中被添加至"受信任的站点"或"本地In ternet"。17.2.2安装AD RMS根服务器（1）AD RMS服务并不是 Windows Server 2008系统默认安装的组件，需要用户手动添 加。安装向导如果检测到有完成的准备工作，显示提示信息并给出解决方案，通常情况 下可以自动完成必要组件的安装。使用具有域权限的用户账户登录。运行"添加角色向导"。在"选择服务器角色"对话框中，选中"

13、;Active Directory Rights Management Servoces"复选框，显示如图 17-1 所示对 话框，提示是否添加所需的角色服务和功能。单击"添加必需的角色服务"按钮，显示如图17-2所示的"选择服务器角色"对话框，选中"Active Directory Rights Management Services" 复选框。（点击查看大图）图17-2 "选择服务器角色“对话框不能使用Administrator用户账户登录；否则就会显示如图17-3所示的警告框，提示无法安装。单击"下

14、一步"按钮，显示如图 17-4 所示的"Active Directory Rights ManagementServices"对话框，其中简要介绍了Active Directory权限管理服务的作用及功能单击"下一步"按钮，显示如图17-5所示的"选择角色服务"对话框。如果选中"联合 身份验证支持"复选框，将同时安装AD FS或与当前域中已有的 AD FS关联使用。它允 许用户使用当前域和其他域之间经过联合身份验证的信任关系来建立用户标识，并提供对其他组织创建的受保护信息的访问权限。不需要联合身份验证的用

15、户建议不要选择该复选框。血色鏑凶ActiveDirt cl try Ki ghls lu&g*«4rnt Strvtccs山池心二疔 Limits 矗九辱审电血！ Services （Al 淀 同二任溟 疏止病信敦组绝天鱼踏角鲫削勁龜 開瑚户群鬆朝踽 龍報詁 外融址朋龍身遥还曲 许菲证询 sc? ；ifMb用背器Q瞅錶杲住意事项1覆貓霧鑑鞠溉开翩確要亦計O于订槐攢权的 Tff M ME糾闵畴如那瞒西耐UM域阿 *2加配云AP 坐 Hgll2葩边训孙捡 咚讦口那剖詈糕H1T虫jy rActive Directary Rights ftanagemEnt Services（点击查

16、看大图）图17-4 "Active Directory Rights Management Services"对话框17.2.2安装AD RMS根服务器（2）单击"下一步"按钮，显示如图17-6所示的"创建或加入AD RMS群集"对话框，系 统默认选择"新建AD RMS群集"单选按钮。由于当前域中没有其他AD RMS群集可供加入，所以"加入现有AD RMS群集"单选按钮为灰色。安装完成后创建的第1台AD RMS 服务器即为根群集，后来加入的 AD RMS服务器为叶服务器。（点击查看大图）图17-

17、6 "创建或加入AD RMS群集"对话框单击"下一步"按钮，显示如图17-7所示的"选择配置数据库"对话框。如果网络中安装有SQL Server服务器，可选择"使用其他数据库服务器"单选按钮；如果要使用AD RMS自 带的数据库，选择"在此服务器上使用 Windows内部数据库"单选按钮即可。（点击查看大图）图17-7 "选择配置数据库“对话框选择支持AD RMS群集的专用数据库时应注意记录其数据库实例，其他AD RMS服务器加入群集时也必须指定相同的实例名称。单击"下一步&

18、quot;按钮，显示如图17-8所示的"指定服务账户"对话框。该服务账户即将 来要在AD RMS群集中使用的账户，可使用普通域成员账户，但必须区别于当前服务 器登录的域用户账户。（点击查看大图）图17-8 "指定服务账户“对话框17.2.2安装AD RMS根服务器（3）单击"指定"按钮，显示如图17-9所示的"Windows安全"对话框。输入域用户账户, 单击"确定"按钮即可。逶加角色向导1奮输久帐占容和空码取消（点击查看大图）图17-9 "Windows安全“对话框单击"下一步&qu

19、ot;按钮，显示如图17-10所示的"配置AD RMS群集键存储"对话框。系统默 认选择"使用AD RMS集中管理的密钥存储"单选按钮，即由本地服务器自动生成并存储 密钥。这里选择该单选按钮，这个密钥主要用于当前根服务器及将来叶服务器的灾难恢 复，必须牢记。选择"使用CSP密钥存储"单选按钮，需要由专用加密服务器产生并保管 该密钥，比较烦琐，但安全性也相对较高。SUM） MS蘇集蘇傭刑隣歸詐色At牺龍SS虹ME線健鱷库鋒除名二"J J 如 XJSU葺应iSS苜二醴翘耐離務密码 麒嚴 鮭删 匝号韵 洞机书舗 立级盹 角色務遊广

20、龊应密帥趾）羸帘攣较闊卿耗崎熾他»5濮淋证跟那上馳用餉导讎醫圭譴瞇曲錘貝上一歩吒工一歩即（点击查看大图）图17-10 "配置AD RMS群集键存储“对话框单击"下一步"按钮，显示如图17-11所示的"指定AD RMS群集密钥密码"对话框。其他AD RMS服务器加入群集时也要使用此密码，必须妥善保存。（点击查看大图）图17-11 "指定AD RMS群集密钥密码“对话框17.2.2安装AD RMS根服务器（4）单击"下一步"按钮，显示如图17-12所示的"选择AD RMS群集网站"对话框。

21、在其 中选择管理AD RMS群集服务器时使用的站点， 准备工作中必须安装IIS就是为了在本 地创建该站点，保留默认设置即可。（点击查看大图）图17-12 "选择AD RMS群集网站“对话框单击"下一步"按钮，显示如图17-13所示的"指定群集地址"对话框。群集地址可以使 AD RMS客户端通过网络与群集通信，选择 "使用SSL加密的连接"单选按钮。将使用 SSL 加密，客户端只有得到并安装服务器颁发的数字证书后才能建立连接。在"完全限定的域名坟本框中输入要使用的域名，女口https:/adrms:443等。SSL加

22、密连接使用的默认传输端口是443,客户端访问时也必须使用完整域名；选择"使用未加密的连接"单选按钮，则使用普通传输方式。输入域名，并单击"验证"按钮。（点击查看大图）图17-13 "指定群集地址"对话框自定义端口也可以提升网络连接的安全性，不过客户端访问时也必须使用相同的端口。单击"验证"按钮，服务器自动验证指定域名和端口的有效性。如果正确，则在"网络中客户端的群集地址预览"下方显示完整域名。如果选择"使用SSL加密的连接"单选按钮，则单击"下一步"按钮会

23、显示如图17-14 所示的"选择SSL加密的服务器身份验证证书"对话框，在其中选择使用某种 SSL加密 方式。2d开版市O SSL加密的展务翦僦证证书压辐耗亠1AI 畫工 上£-.=应' 是症:鬼SSL眶邂瞧0傩覇:为3SL訥颈蓼辭曲叮靶制須輙国珂曲部謝®肪勲玻对血之&腳右印怫辎遴超儲M朋聽貓M处糠瞇鱷薛 聘底口曲虧#解喘理 鶴礪 鮭删騎尢霁一城酷4逆曲方证节劄髄翻啟9®御克於左牡:孔H事眄匸屯口倉游員媒聊I向滸皴鞠枸霸曰时瞬进E苗醸谦用烦廊 2魏即血正営:rt逹歸用厳怔柳囲憫腿J（点击查看大图）图17-14 "选择S

24、SL加密的服务器身份验证证书“对话框17.2.2安装AD RMS根服务器（5）单击"下一步"按钮，显示如图17-15所示的"命名服务器许可方证书"对话框。其中 显示内容与上述选择的"为SSL加密创建自签名证书"单选按钮是对应的，系统默认会以 计算机名命名证书，保留默认设置即可。单击"下一步"按钮，显示如图17-16所示的"注册AD RMS服务连接点"对话框。选 择"立即注册AD RMS服务连接点"单选按钮，在安装完成后立即开始使用此 AD RMS 群集。单击"下一步

25、"按钮，将显示IIS的安装对话框。这里不再赘述。在如图 17-17所示 的"确认安装选择"对话框中显示要安装的组件信息，如果需要修改，单击 "上一步"按钮 返回。（点击查看大图）图17-16 "注册AD RMS服务连接点“对话框（点击查看大图）图17-17 "确认安装选择"对话框单击"安装"按钮开始安装，完成后显示如图17-18所示的"安装结果"对话框，提示安装成功。单击"关闭"按钮退出安装向导。然后根据提示注销当前系统并重新登录。17.2.3配置AD R

26、MS服务器（1）AD RMS采用了 MMC控制台管理的方式，提供文档权限管理服务之前必须经过一 些简单配置，如创建信任策略及权限模板等。单击"开始"亠管理工具"T"ActiveDirectory Rights Management Services"选项，启动 AD RMS 控制台，如图 17-19 所示。 如果选择SSL加密连接方式，则可能会出现"安全警报"提示框，单击"是"按钮跳过即可。leliTt lirictory ligLts luiBneLt ScrrLCtEJ Active ZiLrecta

27、iy 土出乜 llu巒 謂sm后蹄亍刑'1j琵沾糕沾淀生:鶴屮潴的赭共難椎費E±=殊狂Ibt Ct 如-£毎遐謡% s|+?J 髒画務盘縫IiDtrftHEl VILi同就.btriuift 帮第 VtL1±el:桃Q訓MT. i削江ttL肚“亠HFe ； u 计：diq ”八十讨12SK35.Cmf:匚:;吐酒tl：占 t JIQUSI那 JLs 誉 n“QaLpeE尹*71.com（点击查看大图）图17-19 AD RMS 控制台1 .配置信任策略信任策略是不同AD RMS群集或不同域林中的 AD RMS服务器之间建立信任关系 的唯一标准，主要包括&q

28、uot;受信任的用户域"和"受信任的发布域"。默认情况下，只有受信任的用户域才可以使用当前AD RMS服务器提供的权限保护服务，不同AD RMS群集或不同林中的 RMS服务器都是通过彼此的许可证书识别的。 用户可以通过将其他 AD RMS群集中的信任用户域导出，并添加至本地服务器中来实 现对其他用户提供权限管理服务。导出的信任用户域文件中会包括原AD RMS服务器的许可证信息，因此建立信任关系后来自该域的用户就可以使用当前AD RMS服务器提供的使用许可证。添加受信任的用户域的操作步骤如下在AD RMS控制台窗口中，展开"信任策略"亠受信任的用

29、尸域"选项，显示如图 17-20所示的"受信任的用户域"窗口。在"受信任的用户域信息"列表框中默认显示本地用 户域，右击并选择快捷菜单中的"属性"选项即可查看其详细信息。在右窗格的"操作"栏中单击"导入受信任的用户域"超级链接，显示如图17-21所示 的"导入受信任的用户域"对话框。在"受信任的用户域文件"文本框中输入文件的保存路 径，或单击"浏览"按钮选择。在"显示名称"文本框中输入该用户将在列表中显示的

30、名称， 用来标识。单击"完成"按钮，即可完成域的添加，重复操作可添加多个受信任的用户域。在"受信任的用户域信息"列表框中右击域并选择快捷菜单中的 "导出受信任的用户 域"选项还可以将其导出，以备本地恢复使用。也可以导入到其他AD RMS群集中，用于接受其他AD RMS服务器的权限许可证。Art 3T# Fi rrttrp RiS*rri4Ql.-Xj曲更h " TS. .玄 .3. 咎£m勺k-I耿番情備诵我.* f5|£ fl LmJ(T«3 Jvu IB畫看Q鈕Hntenri &f&

31、gt;l昱腹信(Ws.E離Q飙（点击查看大图）图17-20 "受信任的用户域“窗口导入受営任的用户甘使一医启可的覺¥QJk."同b.暑ft第臣一k自更匚，可 用展不个4琢if芭由户淸交井:p 心准Vhmc. M重15(J).殴弧舷讎区分-俺件冃尸脚庐陵鉀凰示奢称®:猛 li i.Ruiin二一歩电(点击查看大图)图17-21 "导入受信任的用户域“对话框在AD RMS控制台窗口中，单击"受信任的发布域"选项，显示如图17-22所示的"受信 任的发布域信息"窗口。JlEtiTe DireEt聯ry EjSe

32、rvices予 A: vt Sarbct-w ElLght: HI is 二科血?肯整郦.占更戢魄临£網府猿駅一映翱M讯朴蹦诃1书獄* :啡肢赢* j肓询 s J債江訳融训械理鼬罪曲奸杯豆信卄的粉鵬良55集 H-M1T:. _-冗理此乙肉抽EMS鮒.CEH施信任的发百域?导佛呼&1协旳!i 苣舌a彌 q礪 uaa黜 Q陋；Oilj 21（点击查看大图）图17-22 "受信任的发布域信息"窗口受信任的发布域用于定义那些 AD RMS群集发布的许可证受到此群集的信任，与受信 任的用户域恰恰相反，列表框中默认显示的是本地服务器的记录。受信任的发布域文件 的导出和

33、导入与受信任的用户域文件类似，不同的是发布域文件的类型为.XML，其中包括将要信任的 AD RMS服务器许可方证书、群集密钥和模板等信息。另外，发布域 文件本身是受密码保护的，导入时必须输入原AD RMS服务器上使用的存储密码。17.2.3 配置AD RMS服务器（2）2 配置权限策略模板发布机密程度不同的文档到客户端后设置的权限也有所不同，此时需要为该文档应用不同级别权限的策略模板。 权限策略模板是为定义用户的权限策略用的， 系统管理员 可以通过定制一些现成的策略模板让企业用户直接调用。创建权限策略模板的操作步骤如下在AD RMS控制台中单击"权限策略模板"选项，显示如图

34、17-23所示的"分布式权限策略模板"窗口-!二：-Ame? Drfettnrj- fiighti Uid b!彰 IE ®i+12聽側冃煦漣誰渗尙甘空权耕呻潮田盒師胡：.安兰商m JISS分布式权限策略複板麟、昶和戯It漕集酚布式維懸:棹H送 羊Active Birectozy Li.hts lu&ge*£iLt Serviiees膻逝姬赭魏K 日：H：占JWMrBHSEdUM IV I VaVWIIIirxjorr卿申瑕帧目；繚颁腮策鵬阪4顒SB&禮标懿®宣寺即諭菱"Q測（点击查看大图）图17-23 "分

35、布式权限策略模板"窗口单击"操作"栏中的"创建分布式权限策略模板"超级链接，启动创建向导，显示如图17-24 所示的"添加模板标识信息"对话框。（点击查看大图）图17-24 "添加模板标识信息"对话框单击"添加"按钮，显示如图17-25所示的"添加新的模板标识信息"对话框。在"名称"文本框中输入新建模板的名称，在 "描述"文本框中输入相关描述信息。单击 "添加"按钮, 将其添加至"模板标识&quo

36、t;列表框中。"语言"下拉列表框是专为使用不同语言的客户端设置的，如果客户端只支持英文显示， 则可以在"添加模板标识信息"对话框中再次单击"添加"按钮，并选择"英文"语言即可 需要注意的是，要想使选择的语言生效，必须首先在服务器上安装该语言。17.2.3 配置AD RMS服务器（3）单击"下一步"按钮，显示如图17-26所示的"添加用户权限"对话框。默认情况下"用 户和权限"列表框为空，即只"授予所有者不会过期的完全控制权限"，其他用户

37、账户没有 任何权限。（点击查看大图）图17-26 "添加用户权限"对话框单击"添加"按钮，显示如图17-27所示的"添加用户或组"对话框。选择"用户或组的电子 邮件地址"单选按钮，即可在下面的文本框中输入用户的电子邮件地址。也可以单击"浏览"按钮，打开"选择用户或组"对话框，直接从当前域控制器中查找添加。如果选择"任何人"单选按钮，则对当前域中的所有用户账户有效。图17-27 "添加用户或组"对话框如果要添加用户，应事先在域控制器上打开

38、用户属性对话框，为用户添加电子邮件地址，如图17-28所示。同样，如果要添加用户组，也要打开用户组属性添加电子邮件地址，如图17-29所示。hsliUL屋性拨入1挪境11会话t远程控制1线喘服劳国畫文件COW+當规1地址1咪户1配赛文件i电话i里位隶屈于ant福宗1取消 应用L”河鮒1（点击查看大图）图17-29添加用户组电子邮件地址17.2.3配置AD RMS服务器（4）单击"确定"按钮，将所选用户添加至列表框中，如图 17-30所示。重复操作，可添 加多个用户或组的电子邮件地址。然后在 "用户和权限"列表中选择赋予用户的权限，例 如要求做到"

39、;禁止复制"，则只选择"查看权限"复选框即可。（点击查看大图）图17-30添加用户"权限请求URL"是当模板赋予用户的权限无法完成相应工作或在模板权限规定的 时间和日期内没有完成工作时，用户可以通过此URL继续向管理员发出权限请求，以再次获得权限或附加权限。权限列表中给出的所有权限都是允许的，即只要选择某个选项，则表示要赋予用户 具有相应的权限。单击"下一步"按钮，显示如图17-31所示的"指定过期策略”对话框。在"内容有效期 限"选项区域中可以定义当前模板中的权限信息何时过期或有效期限等，默认

40、为"永不过期"。内容过期后，如果仍需要使用该策略信息，则必须重新发布一次。指帝河豹第临I. '就B©板标识信恵2 逵加用户&服3.指走対期策昭損定扩展策矚5指歸醫略量跖 如BG 件。才 黒群 讨该5 fl 旨必 鸞戸 曙用 传使存证内容有做期限氏到以F日期过期（ST广以下期限后过期氐20u：sl/127 I以下期瞑后过期決迎;I s- 荻者许 果期的 和讨書过RW上一步）|下一迪） 1O（点击查看大图）图17-31 "指定过期策略"对话框单击"下一步"按钮，显示如图17-32所示的"指定扩展策略&q

41、uot;对话框（点击查看大图）图17-32 "指定扩展策略"对话框17.2.3配置AD RMS服务器（5）在其中设置如下选项。使用户能够使用浏览器加载项查看受保护的内容：选择该复选框对于没有安装Office的客户端是非常实用的，只需安装相关插件即可在浏览器中查看受RMS保护的Office文档，建议选择该复选框。每次使用内容时需要更新使用许可证（禁用客户端缓存）：选择该复选框虽然可以 使被保护文档更安全，但客户端每次使用时就会非常烦琐。如果您要为信用AD RMS的应用程序指定其他信息，则可以在此处以名称-值对的形式指定：选中该复选框，可在下面的列表框中添加特定应用程序需要的名

42、称和权限值， 普通用户无须设置。单击"下一步"按钮，显示如图17-33所示的"指定吊销策略"对话框。吊销是AD RMS 的一项重要功能，实施之前必须手动创建一个吊销列表。并为每个吊销列表生成一个公钥/私钥对，然后使用私钥签署吊销列表。另外，还必须为吊销列表指定一个用户可以 访问的URL地址或UNC路径。通常情况下，不需要 AD RMS服务器吊销，即不选择 该复选框。（点击查看大图）图17-33 "指定吊销策略"对话框单击"完成"按钮，退出创建向导。返回"公布式权限策略模板"窗口，如图17-34所

43、示。 新创建的模板已经出现在列表中，此时虽然已经创建成功，但并不能立即应用。% Active Directory Ri this5 ervi ces文件操世®查看辺耕助二/ Active Durectory Rights M沁 ；> lhn述地）Fi _a信任策畴4i受信任的用户域屯賀信保的岌布無J权限策略模板©权限除户证书策瞩i丄排踪策略田J安全策略总3報告1JI ii分布式权限策略模板7|刨建.查看和修改此群集的分布式策略模板。I !权限策略檬板定買使用此梯柝保护的內容适用的规回和条件。a S 1 帛 击膏 HIT 1 中板 S S -箫 尊* 曝tt 鲁率 为档

44、 -鶴 畫击 I# 若克创建筑布己杞陌芾畴楝梔K 磔rffl4J U砧n胪耳洒営胡（点击查看大图）图17-34 "公布式权限策略模板"窗口选择新创建的策略模板，右击并选择快捷菜单中的"存档此分布式权限策略模板"选项将其本地存档，显示如图17-35所示的"存档权限策略模板"对话框。提示一旦保存，将不能再分发或导出该模板。单击"是"按钮保存设置。至此，新创建的权限策略模板才可以保存到本地模板库中备用存君权跟策略模板您诵宗矍存档此权眼第齡模板吗?（点击查看大图）图17-35 "存档权限策略模板"对话框

45、I 0存不存 口S1S 户板权用们 扫蚤或已 常1是A：亠1?耳.审£“17.2.3 配置AD RMS服务器（6）返回"分布式权限策略模板"窗口，单击"管理存档的权限策略模板"链接，所有已存 档的策略模板即可显示在"公布式权限策略模板"列表框中。系统管理员可以继续修改和 查看其各项属性信息，如图 17-36所示为新建策略模板的权限摘要。（点击查看大图）图17-36新建策略模板的权限摘要客户端必须将服务器中创建的权限策略模板保存到本地计算机才可以使用，可以通过文件共享、网络传输及移动存储介质等方式获得。默认情况下，权限策略模板

46、的保存 位置为"未设置"。为了便于保存和用户使用，应在群集中指定一个公共文件夹，用于保 存所有的策略模板。分发权限策略模板的操作步骤如下。在"公布式权限策略模板"窗口中，单击"操作"栏中的"管理分布式策略模板"超级链 接。在"分布式权限策略模板"窗口下方单击"更改分布式权限策略模板文件位置"超级链 接，打开如图17-37所示的"权限策略模板"对话框。选择"启用导出"复选框，在"指定模板文件位置"文本框中输入已经设置的

47、共享文件 夹路径，如图17-38所示。注意，这里必须使用 UNC格式，并且确定已经为指定用户 账户赋予了写入权限。权眼輦賂複橇榄板文件位養I权限策盼極板副本吋文件位孟:槃詈髒犧弊户机的誣翹癒貓询我强'井且路舷当前模扳文件SSOI）：i启用导出搞定模板菖件位盍映）$潮贤h1lLciini（点击查看大图）图17-37 "权限策略模板"对话框按扳交件位置|洁橡楓限策略複檯副本的文件悅畫。将配舌魏搦曄I容户机的管理员必顷$餉多访间该位養，并且路経必莹前棋桢文件位盂QP：|SIS应启用导出®指定欖櫃交件也畫皿怡】：|VMhncoolpta现览固m确定1取消应用3丄M

48、（点击查看大图）图17-38已经设置的共享文件夹路径单击"确定"按钮，然后单击"管理存档的权限策略模板"超级链接。选择想要分发的模板， 右击并选择快捷菜单中的"分发此权限策略模板"选项，显示如图17-40所示的"分发权限 策略模板"对话框。提示分发之后，用户即可使用此模板发布新内容。（点击查看大图）图17-39分发权限策略模板单击"是"按钮确认即可。如果模板是从另一台 RMS服务器迁移到此RMS服务器的，在使用之前必须由此服 务器签署，然后重新分发到客户端。当某个权限策略模板不再适用时可以将其删

49、除，删除的同时应删除用户计算机中的 该模板，以便用户试图使用由已撤销的权限策略模板发布内容时不会出现问题。当作者使用权限策略模板发布内容时，该发布请求将被发送到RMS服务器。RMS将使用数据库中存储的该权限策略模板的副本来响应该请求，如果数据库中不存在该权限策略模板，请求将失败。要保护重要的权限策略模板， 可以将配置数据库中的模板数据定期备份到存储介质中，并存放到安全的地方。这样当系统发生故障时，系统管理员就可以使用备份的副本来恢复权限策略模板。17.2.3配置AD RMS服务器（7）3 配置权限账户证书策略权限账户证书（RAC）是AD RMS服务器颁发给每个客户的认证凭证，该证书将 用户账户

50、与一个受保护的密钥对关联，而密钥对则专用于用户的计算机。用户可以通过这些证书来发布和使用受 AD RMS保护的内容，每个证书都包含一个公钥，以向用户 授予使用相关信息的权限。在"AD RMS控制台"窗口中的左窗格中单击"权限账户证书策略"选项，显示如图17-40所示的"权限账户证书策略"窗口。权限账户证书根据有效期的长短和应用环境的 不同，可分为标准 RAC和临时RAC。标准RAC的默认有效期限是365天，通常应用 于固定用户的计算机上； 临时RAC的默认有效期限为15分钟，主要是为了方便用户在 不同位置都可以使用受 AD RMS保护

51、的文档。权限账户证书的有效期限可以根据实际需要更改，单击 "更改标准RAC有效期"超 级链接，显示如图17-41所示的"权限账户证书策略"对话框。在"标准RAC的有效期（天） "文本框中输入合适数值即可，有效期的范围是 19 999天。打开如图17-42所示的"临时RAC"选项卡，或者在"权限账户证书策略"窗口中单击 "更改临时RAC有效期"超级链接，也可以更改临时 RAC的有效期。4 配置排除策略排除策略的功能是防止非授权用户使用AD RMS服务，可供用户使用的排除策略包括

52、用户、应用程序、密码箱版本和Windows版本。默认情况下这些策略都是不启用的，配置之前应先将其启用。排除策略排除某个实体后，AD RMS服务器创建的用户许可证将在排除列表中列出该实体。如果一段时间后决定删除某个以前包含在排除策略中 的实体，只需在"排除策略"窗口的相应列表框中将其删除即可，任何获取新证书的请求 或授权请求都不会将该实体当做已排除实体。（点击查看大图）图17-41 "权限账户证书策略"对话框（点击查看大图）图17-42 "临时RAC"选项卡17.2.3 配置AD RMS服务器（8）Windows版本排除。在AD RMS

53、控制台窗口中选择"排除策略"选项，显示如图17-43所示的"排除策略" 窗口，在其中可以设置用户、应用程序、密码箱及（点击查看大图）图17-43 "排除策略“窗口建议不要从排除策略中删除实体，除非可以确定在创建排除策略前颁发的所有证书 都已到期；否则新旧证书都将允许对内容解密，留下非常严重的安全隐患。用户排除可用于排除已经存在安全隐患的信任用户，如某用户账户原本是可信的。但其AD RMS凭证不慎泄露，其他非授权用户则可能通过此凭证使用受RMS保护的文档，此时就可以通过排除该用户的权限账户证书的公钥来排除该证书。排除权限账户证书后，下次该用户试图

54、获得新内容的用户许可证时，其请求将被拒绝。要获得用户许可 证，该用户必须使用新的密钥对来检索新的权限账户证书。要排除根认证服务器或群集上的权限账户证书，可以在根认证服务器的"排除策略"中指定用户的域账户，并且应当在通过注册子过程注册的所有服务器上同时排除其权限 账户证书。（1）在AD RMS的左窗格中展开"排除策略"选项，选择"用户"选项，显示如图17-44 所示的"用户排除信息"窗口。默认状态下，用户排除为禁用状态。（2）在右窗格的"操作"栏中单击"启用用户排除"超级链接，

55、即可启用用户排除策略， 如图17-45所示。Attive directory Ri fht5 ianaf«ent S ervi ces文件® 燥作®查看帮助:.Active Dirtctory liights 曰醫血Ct：地） 刃£ '言任策菇園权眼策弗嫌&权眼妹户证书最略 凰排隐輦畴Man用户排除工】启用用户排除可阻止特定用户从该群集接收梗F Q可证氏已禁用用尸排除*£应用程序 宅码縉通用可户 BT可用 0 ”的 户户牒 户赊已 3- 鬱一 .廿甲借 信5IIS-VIIH1 燥启娶 31 户曲蟄列Endows 瞬:+安全策菇J

56、报告P慕用用尸按昧吟 己排粽的用户列表不可用，±J（点击查看大图）图17-44 "用户排除信息"窗口Active Bixectorjr Bights RasaMemt Servic&s文件 提作总 查看辺 帮助$ Active Directory Ri-.豁lln磁地） 讯信任策瞩=1权限策瑙檯板E权眼抵户证书策略爲£9S k7应用程序 盘.匣码簷 药1 indows履貳银告Nan用户排除启用用户排除可阻止特罡用户从该群集接收使月E1+1+_已启用用户排除。WPA 4眉可 信暮 隼“的 釣已 定尸个 番_ 户盖Si -宀匕 可加炼 戶户中11启用

57、用户排除。（点击查看大图）图17-45启用用户排除策略17.2.3 配置AD RMS服务器（9）（3）单击"操作"栏中的"排除用户"超级链接，显示如图17-46所示的"添加要排除 的用户"对话框，可以通过用户名或者用户账户证书的公钥字符串排除。排赊用户添加要排除的用户诵加要排陆的用户,阻止特壮岸在此知RMS解上鑒瀏制枷R帐户述书的舟户容或甜脖际书ao 排证血 以户詐1)JA权吃用户户kc tiveeomjDirectory域腮勢帐户的内部jczcSODlpen浏览画馨驟驚髓隆噩严巧蝴瞬帐户的外瞬户的权眼 扯希孝苻串暹）：上一步官|下一、（点击查看大图）图17-46 "添加要排除的用户"对话框（4）单击"完成"按钮，用户排除成功。排除应用程序的主要依据是应用程序的类型及版本号范围，一旦配置应用程序排除策略，则将在每个用户许可证中添加一个条件限制。即如果请求该许可证的应用程序不 在已排除列表中，那么该许可证只能绑定到它所针对的受AD RMS保护的内容。应用程序排除在很多情况下都是非常实用的，通常情况下应用程序版本越低，其安全性也越