Exchange Server 2010與RMS集成之二:利用權限管理模板來保護郵件安全

場景：一次沒有硝煙的暗殺之四

主題：小張和小強都是經理，小張看上了一個姑娘小麗，但小張發現還有小強對小麗有興趣，於是一場暗殺就這麼開始了！（劇情純屬娛樂，如有雷同，純屬巧合）

之前已經有了三次的暗殺與反暗殺，最後的結局是小強反敗爲勝，因爲小強在反暗殺階段分別使用了RMS以及數字簽名和加密，讓小張徹底崩潰！但在實際的工作當中，他發現在使用RMS的時候總是需要手動的進行操作，有時候那面會遺忘去設置權限，這樣又會給小張可乘之機，小強這次又跟資訊部交流了一下，希望能夠真正的實現自動化，減輕壓力！本着解放用戶的思想，tony答應了幫忙，於是，新一輪的反暗殺有一次精彩的上演！

本次分爲以下幾個階段

RMS安裝（前面已經部署過了，這裏省略）

RMS配置

RMS權限策略模板

傳輸規則

完成測試

精彩繼續

一 RMS配置

1.1 設置RMS的訪問控制權限RMS通過Web Service方式來提供服務，默認情況下，這些Web service的權限是受限制的，Exchange服務器沒有足夠的權限來實現對RMS的調用，需要手動指定正確的權限，才能夠實現Exchange與RMS的集成

1.2 首先在安裝RMS的服務器上，打開資源管理器

1.3 瀏覽到%systemdrive%\inetpub\wwwroot\_wmcs\certification

1.4 選中Servercertification.asmx，打開其屬性頁面，切換到安全，然後編輯，添加Exchange Servers組，並給予讀取和讀取和執行

1.5 如果CAL列表中沒有AD RMS Service Group(這是一個本地組)，那麼請重複1.4，把這個組也加到CAL裏，並給予讀取和“讀取和執行”

1.6 打開%systemdrive%\inetpub\wwwroot\_wmcs\licensing，查看publish.asmx的安全屬性，是否有Exchange Server和AD RMS Service Group這2個羣組，並確認權限是否一樣，如果和上面的不同或者沒有這2個羣組，請添加並給予權限

1.7 設置RMS超級用戶組，RMS的超級用戶組中成員，可以不受限制地訪問所有被IRM保護的數據，也就是說，該組的成員可以進行解密工作。默認情況下，超級用戶組是禁用狀態，需要手動進行啓用。同時，這個組需要是一個啓用了郵件功能的通用組（universal group ）。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用戶帳號需要加入到這個組中，這個帳號是系統郵箱，從Exchange Management Console中是看不到的，需要使用Exchange Management Shell命令行工具，通過Add-DistributionGroupMember 進行添加。

1.8 打開EMC-收件人配置-通訊組，新建一個RMS通訊組

1.9 打開Exchange Management Shell，輸入命令

Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

1.10打開RMS管理控制檯，展開安全策略，右鍵啓用超級用戶

1.11將前面建立的RMS組添加進去

1.12打開Exchange Management Shell，運行命令Get-IRMConfiguration，確保其中的InternalLicensingEnabled是True狀態。如果爲false，則輸入Set-IRMConfiguration -InternalLicensingEnable $true在Exchange組織內部啓用RMS功能。