AD RMS 系統包括基於 Windows Server 2008 的服務器(運行用於處理證書和授權的 Active Directory 權限管理服務 (AD RMS) 服務器角色)、數據庫服務器以及 AD RMS 客戶端。AD RMS 系統的部署爲組織提供以下優勢:
- 保護敏感信息。如字處理器、電子郵件客戶端和行業應用程序等應用程序可以啓用 AD RMS,從而幫助保護敏感信息。用戶可以定義打開、修改、打印、轉發該信息或對該信息執行其他操作的人員。組織可以創建子自定義的使用策略模板(如"機密 - 只讀"),這些模板可直接應用於上述信息。
- 永久性保護。AD RMS 可以增強現有的基於外圍的安全解決方案(如防火牆和訪問控制列表 (ACL)),通過在文檔本身內部鎖定使用權限、控制如何使用信息(即使在目標收件人打開信息後)來更好地保護信息。
- 靈活且可自定義的技術。獨立軟件供應商 (ISV) 和開發人員可以使用啓用了 AD RMS 的任何應用程序或啓用其他服務器(如在 Windows 或其他操作系統上運行的內容管理系統或門戶服務器),與 AD RMS 結合使用來幫助保護敏感信息。啓用 ISV 的目的是爲了將信息保護集成到基於服務器的解決方案(如文檔和記錄管理、電子郵件網關和存檔系統、自動工作流以及內容檢查)中。
AD RMS 中的功能
在Windows Server 2008中,通過使用 服務器管理器,可以設置 AD RMS 的以下組件:
- Active Directory Rights Management Services。Active Directory 權限管理服務 (AD RMS) 角色服務是一項必需的角色服務,用於安裝發佈和使用受權限保護的內容所用的 AD RMS 組件。
- 聯合身份驗證支持。聯合身份驗證支持角色服務是一項可選的角色服務,允許聯合身份藉助 Active Directory 聯合身份驗證服務來使用受權限保護的內容。
簡要部署AD RMS
注:
注:啓用了 AD RMS 的客戶端必須具有啓用了 AD RMS 的瀏覽器或應用程序(如 Microsoft Office 2007 中的 Microsoft Word、Outlook 或 PowerPoint)。爲了創建受權限保護的內容,需要具備 Microsoft Office 2007 Enterprise、Professional Plus 或 Ultimate。爲獲得附加安全性,可以將 AD RMS 與其他技術(如智能卡)集成在一起。
(二)正式部署AD RMS
- 保護敏感信息。如字處理器、電子郵件客戶端和行業應用程序等應用程序可以啓用 AD RMS,從而幫助保護敏感信息。用戶可以定義打開、修改、打印、轉發該信息或對該信息執行其他操作的人員。組織可以創建子自定義的使用策略模板(如"機密 - 只讀"),這些模板可直接應用於上述信息。
- 永久性保護。AD RMS 可以增強現有的基於外圍的安全解決方案(如防火牆和訪問控制列表 (ACL)),通過在文檔本身內部鎖定使用權限、控制如何使用信息(即使在目標收件人打開信息後)來更好地保護信息。
- 靈活且可自定義的技術。獨立軟件供應商 (ISV) 和開發人員可以使用啓用了 AD RMS 的任何應用程序或啓用其他服務器(如在 Windows 或其他操作系統上運行的內容管理系統或門戶服務器),與 AD RMS 結合使用來幫助保護敏感信息。啓用 ISV 的目的是爲了將信息保護集成到基於服務器的解決方案(如文檔和記錄管理、電子郵件網關和存檔系統、自動工作流以及內容檢查)中。
AD RMS 中的功能
在Windows Server 2008中,通過使用 服務器管理器,可以設置 AD RMS 的以下組件:
- Active Directory Rights Management Services。Active Directory 權限管理服務 (AD RMS) 角色服務是一項必需的角色服務,用於安裝發佈和使用受權限保護的內容所用的 AD RMS 組件。
- 聯合身份驗證支持。聯合身份驗證支持角色服務是一項可選的角色服務,允許聯合身份藉助 Active Directory 聯合身份驗證服務來使用受權限保護的內容。
簡要部署AD RMS
(一)硬件和軟件注意事項
安裝 AD RMS 服務器角色時,系統會同時安裝必需的服務,其中的一項就是 Internet 信息服務 (IIS)。AD RMS 還需要一個數據庫(如 Microsoft SQL Server),該數據庫可與 AD RMS 在同一服務器上運行,也可以在遠程服務器和 Active Directory 域服務林中運行。
下表介紹了運行具有 AD RMS 服務器角色的基於 Windows Server 2008 服務器的最低硬件要求和建議。
注:
可用於 Windows Server 2008 的 Server Core 安裝選項以及面向基於 Itanium 的系統的 Windows Server 2008 的一組有限服務器角色。
下表介紹了運行具有 AD RMS 服務器角色的基於 Windows Server 2008 服務器的軟件要求。對於通過啓用操作系統上的功能可以滿足的要求,可通過安裝 AD RMS 服務器角色根據需要配置這些功能。
注:啓用了 AD RMS 的客戶端必須具有啓用了 AD RMS 的瀏覽器或應用程序(如 Microsoft Office 2007 中的 Microsoft Word、Outlook 或 PowerPoint)。爲了創建受權限保護的內容,需要具備 Microsoft Office 2007 Enterprise、Professional Plus 或 Ultimate。爲獲得附加安全性,可以將 AD RMS 與其他技術(如智能卡)集成在一起。
(二)正式部署AD RMS
接下來,開始正式配置安裝AD RMS服務器。
1. 安裝一臺Windows Server 2008,計算機名稱爲"WS2008-ADRMS"。
2. 配置TCP/IP屬性登錄系統後,單擊"開始",單擊"控制面板",雙擊"網絡和共享中心",單擊"查看狀態"。單擊"屬性"。在"本地連接 屬性"窗口中雙擊"Internet協議版本4(TCP/IPv4)"。輸入相關信息。
3. 將WS2008-ADRMS加入到域。單擊"開始",右鍵點擊"我的電腦",單擊"屬性"。單擊"改變設置"。在"系統屬性"窗口中單擊"更改"。輸入要加入的域名,單擊"確定"。輸入一個有權限加入域的用戶和密碼。最後進行確認並重啓計算機即可。
4. 將用戶"ADRMS-admin"添加到本地Administrators(管理員)組中。
5. 添加 AD RMS Server 角色使用" ADRMS-admin "登錄到"ADRMS"服務器上。單擊"開始",點擊"管理工具",單擊"服務器管理器"。在"用戶帳戶控制"窗口單擊"繼續"。單擊"添加角色";在"添加角色嚮導"中單擊"下一步";
6.勾選"Active Directory Rights Management Services"後單擊"添加必需的角色服務"。系統自動勾選相關的服務,單擊"下一步",出現"Active Directory Rights Management Services簡介",單擊"下一步"。選擇安裝的角色服務,默認爲"Active Directory僅限管理服務器",單擊"下一步"。選擇"新建AD RMS羣集",單擊"下一步"。
7. 在"配置數據庫"頁面,選擇"使用其他數據庫服務器",單擊"選擇",輸入數據庫服務器名稱後單擊"確定"。在"數據庫實例"中選擇"默認",並單擊"驗 證"。最後單擊"下一步"。在"服務帳戶"頁面中,單擊"指定"。在"添加角色嚮導"窗口輸入前面創建的用戶和密碼。單擊"確定"。
8.在"羣集鍵存儲"頁面,保持默認選擇"使用AD RMS集中管理的密鑰存儲",單擊"下一步"。在"羣集密鑰密碼"頁面輸入一個密碼。在"羣集網站"頁面,選擇"默認網站",單擊"下一步"。在"羣集地址"頁面,選中"使用未加密的連接(https://)", "端口"採用默認的"80",單擊"驗證"。最後單擊"下一步"。
9.在"許可證證書名稱"頁面輸入一個名稱。在"SCP註冊"頁面,保持默認的"立即註冊AD RMS服務連接點"。出現"Web服務器簡介(IIS)"頁面,單擊"下一步"。系統列出相關的web服務器的角色服務。單擊"下一步"。在"確認"頁面 對相關信息進行總覽,沒問題的話就單擊"安裝"。系統會顯示正在進行安裝的過程。成功後會顯示一個信息頁面,其中要求必須註銷後再重新登錄纔可以管理AD RMS。單擊"關閉"並註銷系統。
重新登錄後,單擊"開始",單擊"管理工具",單擊"Active Directory Rights Management Services"。在"用戶帳戶控制"窗口單擊"繼續"。打開AD RMS管理器。在此可對AD RMS進行相關的管理操作。
至此,整個服務器RMS安裝部署完成。
管理 AD RMS
在Windows Server 2008中,由於有了服務器管理器的存在,衆多任務的管理已經變得相當簡單。服務器角色使用 Microsoft 管理控制檯 (MMC) 管理單元來進行管理。使用 Active Directory Rights Management Services 控制檯可以管理 AD RMS。具體打開方式爲:單擊"開始",指向"管理工具",然後單擊"Active Directory Rights Management Services"即可。
©著作權歸作者所有:來自51CTO博客作者itxiong的原創作品,如需轉載,請註明出處,否則將追究法律責任
