Windows Server 2008权限管理服务(AD RMS)

Server2008 RMS 測試1.系統需求a.Windows Server2008 AD(可選擇兼容win2003或者使用單獨的Win2003主機做AD)b.SQL 2005（SQL可以放在DC或者RMSServer，也可單獨放置）c.安裝證書服務(可選)2.系統架構3.安裝1.DC安裝（不詳細介紹，參看其他人員寫的配置文檔）2.RMS安裝a.安裝前的準備：首次在 Windows Server® 2008 上安裝 Active Directory 許可權管理服務(AD RMS) 之前，必須滿足幾個要求：•在將使用受許可權保護的內容的使用者帳戶所在的同一個 Active Directory 域服務 (AD DS) 域中，將 AD RMS 伺服器安裝為成員伺服器。

•創建一個要用作 AD RMS 服務帳戶的沒有額外許可權的域使用者帳戶。

•選擇用於安裝 AD RMS 的使用者帳戶，但具有以下限制：o安裝 AD RMS 的使用者帳戶必須與 AD RMS 服務帳戶不同。

o如果在安裝過程中註冊 AD RMS 服務連接點 (SCP)，則安裝 AD RMS 的使用者帳戶必須是 AD DS Enterprise Admins 組或同等組的成員。

o如果對 AD RMS 資料庫使用外部資料庫服務，則安裝 AD RMS 的使用者帳戶必須具有創建新資料庫的許可權。

如果使用 Microsoft SQLServer 2005，則使用者帳戶必須是系統管理員資料庫角色或同等角色的成員。

o安裝 AD RMS 的使用者帳戶必須有權查詢 AD DS 域。

•為將在 AD RMS 安裝的整個生存時間可用的 AD RMS 群集保留一個 URL。

請確保保留的 URL 與電腦名稱不同。

除了 AD RMS 的預先安裝要求，我們強烈建議您執行以下操作：•在單獨的電腦上安裝用於承載 AD RMS 資料庫的資料庫伺服器。

•使用安全通訊端層 (SSL) 證書安裝 AD RMS 群集。

Windows Server 2008 R2之23_AD RMS部署AD RMS的主要组件包括：AD RMS服务器：Windows Server 2008或R2AD RMS客户端：AD RMS 客户端随Windows Vista、Windows 7、Windows Server 2008 和Windows Server 2008 R2 操作系统一起提供。

如果您使用Windows XP、Windows 2000 或Windows Server 2003 作为客户端操作系统，则可以从Microsoft 下载中心下载AD RMS 客户端的兼容版本。

AD RMS应用程序：RMS支持的应用程序如Office 2003等。

AD RMS服务器的软件要求：操作系统： Windows Server 2008 R2文件系统：建议使用NTFS 文件系统消息：消息队列Web 服务： Internet 信息服务(IIS)。

必须启用。

AD： AD RMS 必须安装在Active Directory 域中，其中域控制器正在运行带有Service Pack 3 (SP3) 的Windows Server 2000、Windows Server 2003、Windows Server(R) 2008 或Windows Server 2008 R2。

使用AD RMS 获取许可证和发布内容的所有用户和组都必须在Active Directory 中配置电子邮件地址。

数据库服务器： AD RMS 需要使用数据库服务器（如Microsoft SQL Server 2005 或Microsoft SQL Server 2008）和存储的过程来执行操作。

Windows Server 2008 R2 上的AD RMS 服务角色不支持Microsoft SQL Server 2000。

实验环境：涉及到两台虚拟机服务器：R2ADMSServer,安装了Windows Server 2008 R2,DC,域名.客户机：RMSClient,安装了Windows 7,已加入域，安装Office 2007一、AD RMS服务器部署1、首先添加一ADRMS服务帐号RMSService，并将其加入到Domain Admins 组2、打开服务器管理器。

可以通过添加信任策略，让 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。

ADRMS信任策略包括以下几种：1、受信任的用户域。

如果用户的权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的，则通过添加可信用户域，AD RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。

通过导入要信任的AD RMS 群集的服务器许可方证书，可添加可信用户域。

2、受信任的发布域。

通过添加受信任的发布域，一个 AD RMS 群集可以根据由不同的 AD RMS 群集颁发的发布许可证来颁发使用许可证。

通过导入要信任的服务器的服务器许可方证书和私钥，可添加受信任的发布域。

3、Windows Live ID。

通过设置与 Microsoft 的联机 RMS 服务的信任关系，AD RMS 用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。

Windows Live ID 用户将能够使用来自已信任 Microsof t 的联机 RMS 服务的 AD RMS 群集的受权限保护内容，但是 Windows Live ID 用户不能创建由 AD RMS 群集进行权限保护的内容。

4、联合信任。

使用 Active Directory 联合身份验证服务，可以在两个林之间建立联合信任。

当一个林没有安装 AD RMS，但它的用户需要使用另一个林的受权限保护的内容时，这将非常有用。

以下通过实验介绍前两种信任的建立方法。

实验环境：林,服务器R2ADRMSServer,DC,已部署好AD RMS。

林,服务器YCRSRMSServer,DC,已部署好AD RMS。

在进行信任策略部署之前，分别在以上两台计算机建立了两个受保护文档hbycrsj.docx,ycrs.docx。

权限为EveryONE读取。

实验部署：一、部署可信任用户域：允许其它RMS体系结构中的用户向本地RMS服务器申请UL（用户许可）。

相对于传统的信息安全保护方案（防火墙、ACL、EFS等），Active Directory 权限管理服务它提供了与应用程序协作（如office 2007)保护数字内容的安全技术，它专门为那些需要保护的敏感文档、电子邮件和WEB内容而设计，可以严格地控制哪些用户可以打开、读取、修改和重新分发等权限。

RMS的最大优势在于它能对整个数字信息生命周期进行管理，权限伴随文档。

一、AD RMS的工作过程AD RMS的工作过程是一个相当复杂的过程。

我们可以用下面的四步来简单描述它的工作过程（尽管不够具体、准确）。

作者：1、创建受保护的文档。

2、授权并分发内容（作者会身RMS服务器请求发布许可，RMS服务器返回发布许可，支持RMS的应用程序将发布许可合并到受保护的文档）使用者：当使用都打开受保护的文档时，1、向RMS服务器请求使用许可。

2、服务器向使用者返回使用许可，使用者使用使用许可打开文档内容二、AD Rms证书和许可证服务器许可方证书 (SLC)在群集中的第一个服务器上安装和配置 AD RMS 服务器角色时会创建 SLC。

服务器会为自己生成唯一的 S LC，该 SLC 建立该服务器的标识，称为自注册，且有效期为 250 年。

这样可以将受权限保护的数据存档较长时间。

根群集既处理证书（通过发放权限帐户证书 (RAC)），又处理对受权限保护的内容的授权。

添加到根群集的其他服务器共享一个 SLC。

在复杂环境中，可以部署仅授权群集，这会生成它们自己的 SLC。

SLC 包含服务器的公钥。

（注意在Windows Server 2003中，SLC是通过向微软网站注册后而微软创建的）客户端许可方证书 (CLC)CLC 由 AD RMS 群集为响应客户端应用程序的请求而创建。

CLC 在客户端连接到组织的网络时会发送到客户端，并授予用户在客户端未连接时发布受权限保护的内容的权限。

CLC 与用户的 RAC 相关联，因此，如果 RAC 无效或不存在，用户将无法访问 AD RMS 群集。

Windows Server 2008 R2之26_AD RMS仅授权服务器仅授权服务器也称独立的授权服务器，它是AD RMS架构中可选的服务器。

它由根证书服务器授权，并颁发SLC（服务器许可方证书），它使用与根证书服务器不同的数据库。

它只负责授权服务器角色，主要颁发发布许可PL，使用许可UL，客户端授权证书（CLC）。

它不运行证书服务器角色，即不能为客户端颁发RAC，不能为其它从属服务器颁发SLC等。

在实际中，要尽可能避免从属授权服务器的使用，因为它增加了维护的开销，增加了配置和管理的复杂性。

它一般用在以下场景：1、独立的管理策略：独立的从属授权服务器管理维护不同的日志策略，单独的策略模板配置和管理。

2、为高使用率的RMS使用单独的授权服务器：避免局部的负载对全局的影响3、分支机构的慢速网络：在分支机构部署专用的授权服务器4、边界网络（DMZ）中部署从属授权服务器部署过程此实验用到两台虚拟机，一台服务机R2adrmsserver,dc，域名,安装好的AD RMS；另外一台服务器R2adrmsserver01。

这两台服务器都安装了Windows Server 2008操作系统。

1、以管理员登录计算机R2adrmsserver01，将计算机加入到域(过程略）2、重启计算机R2adrmsserver01，安装AD RMS.安装过程见Windows Server 2008 R2 之二十三AD RMS部署。

只是在下图选择新建ADRMS群集。

由于林中存在一台ADRMS根群集，所以这台ADRMS服务器将是一台仅授权群集。

3、重启计算机R2adrmsserver01，打开Active Directory Rights Management Services 控制台，从上图可能看出此台RMS负责授权，群集的URL许可指向本地服务器，认证指向另一台RMS服务器，林中的根群集服务器。

4、修改注册表，实现仅授权服务器由于R2adrmsserver01服务器上安装的是Office 2003,所以在[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\11.0\C ommon\DRM]下增加如下键值"CorpLicenseServer"="/_wmcs/licensing" "CorpCertificationServer"="/_wmcs/certification"如果是安装office 2007,则在[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM]增加5、打开IE，选择工具下的Internet选项，选择安全，将和增加到“本地Intranet”6、打开%userprofile%\AppData\Local\Microsoft\DRM将这个目录下的三个证书文件删除，如果建立过受限文档时，会产生三个证书文件。

Windows Server 2008 AD RMS 实战之安装部署用于Microsoft Windows Server 2003 操作系统系列产品的Microsoft Windows Rights Management 服务(RMS)，是一种与应用程序协作来保护数字内容（不论其何去何从）的安全技术，专为那些需要保护敏感的Web 内容、文档和电子邮件的用户而设计。

用户可以严格规定哪些用户可以打开、读取、修改和重新分发特定内容。

组织可以创建权限策略模板，以实施用户应用于内容的策略。

随着Windows Server 2008的发布，RMS也进行了相应的更新，并且命名为：Windows Server Active Directory Rights Management Services（AD RMS）。

相比RMS，AD RMS改变了不少，例如：AD RMS已经内建在Windows Server 2008中了，不需要下载才能安装了；还有不再需要连接到Microsoft去进行登记等等。

一、实验环境概述虚拟软件：VMware Workstation 6.0.2 build-59824域控制器：计算机名称：DC01操作系统：Windows Server 2003 R2 Enterprise Edition with SP2IP地址：192.168.8.1邮件服务器：计算机名称：ExchSrv操作系统：Windows Server 2003 R2 Enterprise Edition with SP2应用软件：Exchange Server 2003 whit SP2IP地址：192.168.8.3数据库服务器：计算机名称：SQL2005操作系统：Windows Server 2003 R2 Enterprise Edition with SP2应用软件：SQL Server 2005 with SP2IP地址：192.168.8.5AD RMS服务器：计算机名称：ADRMS操作系统：Windows Server 2008 EnterpriseIP地址：192.168.8.8二、创建并配置域控制器AD RMS必需和AD相结合，因此环境中需要有一台域控制器，具体的安装配置由于过程简单，就不详述，下面只给出几点相关说明。

概览:角色和功能之间的差别使用服务器管理器可以做些什么使用向导从命令行管理角色和功能贯穿在 Windows Server 2008 中的主题之一就是“简约”。

这并不意味着不必要地去除一些功能。

相反，这是简化和澄清角色和工具的一种策略，以便于您只安装所需的内容，多余的一概不安装。

服务器管理器是Windows Server® 2008 中这一概念的重要组成部分。

它包含两方面的内容。

首先是有关服务器角色和功能的最重要的概念，它们是 Window s Server 2008 的构建块。

其次是“服务器管理器”工具本身。

此工具不仅将取代 Window s Server 2003 中使用的多个工具，而且还在一个位置引入了多个功能，从而使得像您这样忙碌的管理员能够更快捷、更容易地完成更多工作。

角色和功能如果您曾阅读过有关 Windows Server 2008 的文章，则很可能会遇到一些以前在 Win dows® 上下文中没有听说过的术语，例如“工作负荷”和“角色”等。

首先我将解释这些术语对 IT 专业人员意味着什么。

在 Windows Server 2008 的开发周期伊始，我们花费了很多时间试图了解用户是如何使用我们的服务器产品的。

（顺便说一句，这种努力目前仍在继续。

）总的来说，我们发现人们部署我们的服务器一般都是做一些特定的事情。

这听起来可能并不是很难理解，但是对于我们中的一些人而言，当了解到人们没有使所购买的服务器充分发挥功效时，一定会感到惊奇不已。

更为重要的是，他们并不部署服务器来完成数量庞大的任务。

相反，他们希望一个服务器只执行特定的任务。

当然，也有一些例外情况，但是在大多数情况下，都是置备一个服务器来执行特定的功能。

针对这些体会，我们将“特定的事情”归组到宽泛的分类中，称为工作负荷。

例如，有一个数据库工作负荷和一个应用程序服务器工作负荷。

由于工作负荷很广泛并且有时有些含混，因此我们在工作负荷中创建了一些子类别，将其称之为角色。

Windows2008R2部署服务所需的权限应用到: Windows Server 2008, Windows Server 2008 R2本章概述了以下权限以及在适用时如何授予这些权限。

∙常规权限若要完全管理Windows 部署服务服务器，需要以下权限：∙Windows 部署服务服务器的本地管理员。

这可为您提供以下权限：o文件权限和RemoteInstall文件夹的权限（管理工具使用UNC 路径与映像存储交互）。

o注册表配置单元权限。

Windows 部署服务服务器的许多设置都存储在HKEY_LOCAL_MACHINE\System 中，而您需要对这些位置有适当的权限才能对其进行更改。

∙包含Windows 部署服务服务器的域的域管理员。

这为您提供对Windows 部署服务服务器的Active Directory 域服务(AD DS) 中服务控制点(SCP) 的权限。

服务器的一些配置设置存储在这里。

∙企业管理员（可选）。

这为您提供动态主机配置协议(DHCP) 授权权限。

如果启用了DHCP 授权，则必须在AD DS 中授权Windows 部署服务服务器，才能答复传入客户端PXE 请求。

DHCP 授权存储在AD DS 中的配置容器中。

在将Windows 部署服务服务器的管理委派给域管理员或企业管理员以外的帐户（并将这些常规权限授予委派的帐户）时，这通常十分有用。

委派的管理员帐户应是上面指定的本地和域管理员。

常见管理任务权限下表包含每个帐户所需的一些常见任务和权限。

备注客户端安装权限通常，执行客户端安装需要域用户权限。

但是，还可能需要其他权限，这取决于具体方案。

本节概述了执行常见安装任务所需的最小权限集。

重要事项服务器属性权限下一节概述了使用服务器属性页执行常见管理任务所需的最小权限集。

若要访问这些设置，请打开Windows 部署服务MMC 管理单元，右键单击该服务器并单击“属性”。

AD RMS服务文件安全是网络领域中最重要的课题之一，安全的威胁通常来自Internet和局域网内部两个方面。

"日防夜防，家贼难防"。

来自企业内部的攻击往往是最致命的，微软公司的RMS（Rights Management Services，权限管理服务）正是在这种环境下应运而生的。

它通过数字证书和用户身份验证技术对各种Office 文档的访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。

17.1 AD RMS概述对于RMS，很多用户并不陌生，并且可能已经应用到实际环境中。

AD RMS是在RMS基础上进行了一些改进，功能更加强大。

通过与Active Directory及其联合身份验证等服务的配合应用，不仅仍然具备原有的针对Offfice文档的各种权限保护，而且新增了通过MMC控制台管理AD RMS的功能，应用更加方便。

17.1.1 AD RMS的新特性AD RMS与RMS相比具有如下新特性。

（1）管理界面更加友好：在RMS 1.0中唯一的管理界面就是Web，而AD RMS则改用MMC嵌入式管理单元，操作更加方便。

（2）自动启用服务器授权凭证：在AD RMS中，根群集的服务器授权凭证（Server Licensor Certificate，SLC）可以自动启用，无须手动操作。

（3）与Active Directory联合身份验证服务（AD FS）配合使用：AD FS是Windows Server 2008的一项新功能，可以提供简单且安全的身份验证。

AD RMS与AD FS配合使用，可以允许企业之间共同使用一方的AD RMS群集，并且通过AD FS（使用HTTPS 协议）识别和验证自己域中的用户账户。

AD RMS的相关组件AD RMS仍然基于服务器/客户端的结构，其主要组件包括支持AD RMS的应用程序、AD RMS客户端和AD RMS服务器端三，三者缺一不可。

Windows server 2008服务器角色与功能以往，在Windows Server 2000/2003系统中，我们要增加或删除像DNS服务器这样的功能，需要用过"添加/删除Widnows组件"实现。

而在Windows Server 2008中，"添加/删除Widnows组件"再也不见了，取而代之的是通过服务器管理器里面的"角色"和"功能"实现。

像DNS服务器、文件服务器、打印服务等等都会被视为一种"角色"存在，而故障转移集群、组策略管理等等这样的任务则被视为"功能"。

通过角色与功能的增减，就可以实现几乎所有的服务器任务。

那么，在Windows Server 2008里面，服务器的角色与功能到底有什么不同呢？微软告诉我们，服务器角色指的是服务器的主要功能。

管理员可以选择整个计算机专用于一个服务器角色，或在单台计算机上安装多个服务器角色。

每个角色可以包括一个或多个角色服务。

比如上面提到的DNS服务器就是一个角色；而功能则提供对服务器的辅助或支持。

通常，管理员添加功能不会作为服务器的主要功能，但可以增强安装的角色的功能。

像故障转移集群，是管理员可以在安装了特定的服务器角色后安装的功能（如文件服务），以将冗余添加到文件服务并缩短可能的灾难恢复时间。

在Windows Server 2008中，随附了17个角色和35个功能，分别如下：服务器角色角色名称描述Active Directory 证书服务Active Directory(R) 证书服务(AD CS) 提供可自定义的服务，用于创建并管理在采用公钥技术的软件安全系统中使用的公钥证书。

组织可使用Active Directory 证书服务通过将个人、设备或服务的标识与相应的私钥进行绑定来增强安全性。

Active Directory 证书服务还包括允许在各种可伸缩环境中管理证书注册及吊销的功能。