WINDOWS 2008 AD權限管理服務(ADRMS)徹底攻略

         在windows2003 中，有RMS的存在，可是須要另外下載，在WINDOWS2008中這一服務被微軟件進行了改進和提高，被稱之爲 AD RMS（Active Directory Rights Management Services）活動目錄權限管理服務，相對於2003下的RMS有了較大的改進與提高，例如：不須要單獨下載便可安裝、再也不須要鏈接到Microsoft去進行登記等等，這個服務是一個相對比較複雜的服務，咱們須要花費必定的時間才能比較好的瞭解和使用它。

       1、ADRMS系統的做用：

－ 保護敏感信息。如WORD文檔、電子郵件客戶端和行業應用程序等。應用程序能夠啓用 ADRMS，以幫助保護敏感信息。用戶能夠定義打開、修改、打印、轉發該對象的人員。組織能夠建立自定義的使用策略模板（如"機密 - 只讀"），這些模板可直接應用於上述對象。

－ 永久性保護。ADRMS 能夠加強現有的基於外圍的安全解決方案（如防火牆和訪問控制列表 (ACL)），經過在文檔自己內部鎖定使用權限、控制如何使用信息（即便在目標收件人打開信息後）來更好地保護信息。

－ 靈活且可自定義的技術。獨立軟件供應商 (ISV) 和開發人員可使用啓用了 AD RMS 的任何應用程序或啓用其餘服務器，與 AD RMS 結合使用來幫助保護敏感信息。啓用 ISV 的目的是爲了將信息保護集成到基於服務器的解決方案（如文檔和記錄管理、電子郵件網關和存檔系統、自動工做流以及內容檢查）中。

      2、佈署ADRMS服務器.

在Windows Server 2008中，ADRMS所起的做用，簡單來講就是保證文檔等內容在共享使用過程當中的安全。使文檔內容可以在正確的時間，被正確的人以正確的方式使用,本文以實驗的方式重點闡述ADRMS權限策略模板的建立和部署。

1.ADRMS安裝環境要求

  硬件最低要求

軟件要求

2.測試環境

ADRMS 系統並非一個單純的服務，它包括如下四種角色：

(1).用於身份驗證的域控制器、

(2).基於 Windows Server  2008 的ADRMS服務器、

(3).數據庫服務器、

(4).AD RMS 客戶端（本測試環境使用已經安裝了office2007的windows2008客戶端）

可將數據庫與ADRMS放在同一服務器上。

3.測試需求：

要求在192.168.196.69上搭建ADRMS服務器，完成AD RMS權限策略模板的建立和部署。

4.安裝ADRMS服務器：

(1).在域成員機(196.69)上安裝ADRMS服務器(要使用屬於本地administrators組的域成員登陸該計算機，此例中直接使用域管理員)

     因爲安裝該服務必須有web和asp.net以及消息服務的支持，在安裝時會自動添加所需服務。

(2).選擇相應組件

－ Active Directory Rights Management Services:是一項必需的角色服務，用於安裝發佈和使用授權限保護的內容所用的 AD RMS 組件。

－ 聯合身份驗證支持:聯合身份驗證支持角色服務是一項可選的角色服務，容許聯合身份藉助 Active Directory 聯合身份驗證服務來使用授權限保護的內容。（此例中不選）

(3).配置數據庫：

可選擇域中其它計算機爲指定數據庫服務器，如選擇使用windows內部數據庫，則沒法建立ADRMS羣集，在測試環境下選擇該項便可，如需使用多個服務器建立羣集則指定專用的數據庫服務器。

(4).指定一個標準域帳戶以管理ADRMS服務

(5).選擇密鑰存儲方式並設置密碼。

(6)選擇羣集地址，這裏使用未加密聯接，若是有證書服務器的狀況下使用HTTPS(輸入的域名必須爲dns能夠解析的名稱)

(7).選擇註冊服務鏈接點，下一步後開始安裝。

(8).安裝完成後，可從管理工具中找到ADRMS管理工具來進行管理操做。

至此ADRMS安裝操做完成。

3、建立權限策略模板

(1).在ADRMS服務器上建立一個共享文件夾adrmstemp,設置域用戶jzt.com/user對其共享和ntfs權限均爲修改。

(2).在ADRMS管理器左邊選擇」權限策略模板」--右鍵屬性--勾上啓用導出--輸入adrmstemp所在位置的UNC路徑

(3).選擇建立分佈式權限策略模板--添加--輸入相關信息

(4).選擇添加輸入 users@jzt.com,並設置給該組查看權限，則該組可對任何使用本權限模板建立的文檔有查看權限。

至此，權限策略模板建立完成。

四.配置ADRMS客戶端,爲授權限保護的內容建立文件夾

(1).以管理員身份登陸ADRMS客戶機，新建名爲adrmsdoc的文件夾，並設置權限爲容許jzt.com\user修改

(2).在ADRMS客戶機上以user身份登陸並修改註冊表

     a.展開HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM項，若是DRM不存在，則需手工建立.

     b.選擇 DRM，單擊"編輯"，指向"新建"，單擊"可擴充字符串值"，而後鍵入 AdminTemplatePath

     c.雙擊 AdminTemplatePath 註冊表值並在"值數據"框中鍵入 %UserProfile%\AppData\Microsoft\DRM\Templates--"肯定"。

(3).驗證C:\Users\nhollida\AppData\Microsoft\DRM\Templates\ 是否有效,若是無效，請建立相應的文件夾。

     從 \\win2k82\adrmstemp目錄下將模板文件複製到新建立的目錄下。

 

(4).建立一個office2007文檔，選擇準備--限制權限—jzt.com cc

(5).選擇限制對此文檔權限，輸入要限制的用戶名稱，及設置的權限，修改後，只有指定用戶才能對文檔進行相應操做，在文檔上方可看到限制訪問選項.

至此，咱們成功使用ADRMS服務器將權限策略模板應用於 Microsoft Word 2007 文檔。