AD RMS服務器部署RMS安裝
微軟的RMS(RightsManagementServices版權管理服務)服務器可以保護企業內的重要文件,授權只有特定用戶才能訪問這些文件(當然文件服務器的權限也可以做到這一點)。RMS還可以允許文件不能被複制,打印,轉發,甚至離開了公司就無法打開這些文件(這些功能靠文件服務器的權限就無法實現了吧,EFS也無能爲力)。
微軟的RMS(Rights Management Services 版權管理服務)服務器可以保護企業內的重要文件,授權只有特定用戶才能訪問這些文件(當然文件服務器的權限也可以做到這一點)。RMS還可以允許文件不能被複制,打印,轉發,甚至離開了公司就無法打開這些文件(這些功能靠文件服務器的權限就無法實現了吧,EFS也無能爲力)。
RMS要求用戶每次打開文件,都要在RMS服務器上申請憑據,然後才能打開被加密的文件內容。一旦文件離開了公司環境,訪問者就無法聯繫RMS服務器了,文件內容也就無法閱讀了。即使在公司內,RMS也可以允許用戶只能閱讀,無法打印,複製,通過郵件轉發,極大地提高了竊取機密內容的難度(當然,RMS不可能實現百分之百的安全,如果有人使用DC/DV把屏幕上的文件內容都錄製下來,或者直接用筆記錄下來,那文件內容的泄露還是不可避免的)。
安裝RMS
RMS部署前準備
RMS服務在部署之前要先做一些準備工作。首先,我們需要在域控制器上創建一個RMS管理員賬號,這是因爲RMS服務器安裝時不允許使用域中的administrator賬號。打開域控制器上的Active Directory用戶和計算機,創建一個名爲RMSADMIN的用戶。這個用戶也具有域管理員權限,我們要使用RMSADMIN用戶在RMSERVER上登錄。
創建RMS服務賬號rmsadmin 並將用戶rmsadmin加入到domain admins組之中
創建完用戶後,我們還需要爲RMS服務器申請一個服務器證書。我們以RMSADMIN的身份在RMSERVER上登錄,通過MMC控制檯定製出一個管理本地計算機證書的管理單元。然後通過申請證書任務爲RMSERVER在企業根CA上申請證書,如圖BJRMS.CONTOSO.COM的計算機證書,這個證書可以用於服務器驗證,也可以用於客戶機驗證,能夠滿足我們的實驗需求。
在服務器角色頁面,選中Active Directory Rights Management Services,在彈出的添加角色嚮導中,選擇添加所需的角色服務,點擊下一步
在Active Directory Rights Management Services頁面中,點擊下一步
在角色服務頁面,確認已經選中了Active Directory權限管理服務器,點擊下一步
在創建或加入AD RMS羣集頁面中,選擇新建AD RMS羣集,點擊下一步
在配置數據庫頁面,選擇在此服務器上使用Windows內部數據庫,點擊下一步
在服務賬戶頁面,選擇指定域用戶賬戶,並輸入之前創建的用戶rmsadmin,點擊下一步
在配置AD RMS羣集鍵存儲頁面,選擇使用AD RMS集中管理的密鑰存儲,點擊下一步
在羣集密鑰密碼頁面,輸入AD RMS羣集密碼
在羣集網站頁面,確認選擇爲虛擬目錄選擇網站爲 默認網站,點擊下一步
在指定羣集地址頁面,選擇使用SSL加密連接(https://),並且在完全限定的域名中,輸入bjrms.contoso.com,
並點擊驗證,看到網絡中客戶端的羣集地址預覽爲https:// bjrms. contoso.com,點擊下一步
在服務器身份驗證證書頁面,選擇爲SSL加密選擇現有證書(推薦),選擇證書列表中的BJRMS. contoso.com 點擊下一步
在命名許可方證書頁面,保持默認名稱BJRMS,點擊下一步
在註冊AD RMS服務連接點頁面,選擇立即註冊AD RMS服務連接點,點擊下一步
在Web服務器(IIS)頁面,點擊下一步
在選擇服務角色頁面,保持默認選擇,點擊下一步
在確認安裝選擇頁面,確認安裝設置與之前設置相同,點擊安裝開始AD RMS服務的安裝過程
確認所有安裝任務成功後,點擊關閉完成AD RMS的安裝過程