server 2016部署AD RMS（保護重要文檔）

博客目錄
1、AD RMS是什麼？
一、AD RMS簡介
二、AD RMS羣集概述
三、AD RMS客戶端介紹
四、AD RMS環境爲何須要IIS？
五、AD RMS環境爲何須要數據庫？
2、部署AD RMS服務
一、環境以下：
二、環境分析：
三、問題分析：
四、案例實施：

1、AD RMS是什麼？

一、AD RMS簡介

RMS（Rights Management Services，權限管理服務）早在Windows 2003中就已經存在，目的是爲企業的信息數據提供最大的安全防禦技術。

在Windows server 2016中，RMS服務獲得了增強，其已經做爲經常使用服務內置在操做系統當中，並正式被命名爲AD RMS（Active Directory 權限管理服務）。它與支持AD RMS的應用成樹協同工做，以防止在未經受權的狀況下使用數字信息。AD RMS適用於須要保護好敏感信息和專有信息的組織。AD RMS經過永久使用策略提供對信息的保護，從而加強組織的安全策略，不管信息移到何處，永久使用策略都保持與信息在一塊兒。

二、AD RMS羣集概述

AD RMS羣集被定義爲運行AD RMS的單一服務器，或共享來自AD RMS客戶端的AD RMS發佈和受權請求的一組服務器。在Active Directory林中設置第一個AD RMS服務器時，該服務器將成爲AD RMS羣集，能夠隨時設置更多服務器並將其添加到AD RMS羣集中。

AD RMS有兩種類型的羣集：根羣集和僅受權羣集。
AD RMS安裝中的第一個服務器一般被稱爲根羣集。根羣集處理其安裝所在的active directory域服務（AD DS）、域的全部證書和受權請求。對於複雜環境，除根羣集外，還能夠建立僅受權羣集。可是，建議使用一個根羣集，而後將更多的AD RMS服務器加入此羣集中。

三、AD RMS客戶端介紹

AD RMS客戶端隨Windows 10和Windows server 2016操做系統一塊兒提供。若是用戶使用Windows xp、Windows 2000或Windows server 2003做爲客戶端操做系統，則能夠從microsoft下載中心下載AD RMS客戶端的兼容版本。

四、AD RMS環境爲何須要IIS？

由於客戶端是經過HTTP或HTTPS協議與AD RMS服務器進行通訊的，因此部署AD RMS服務器必須同時 安裝IIS。

五、AD RMS環境爲何須要數據庫？

數據庫用於存儲AD RMS的配置與策略等信息。可使用SQL Server，也可使用AD RMS內置的數據庫。

2、部署AD RMS服務

一、環境以下：

二、環境分析：

本案例本身提早準備域環境，客戶端提早準備office 2016，在這裏我就很少說了，有須要的能夠評論或者私信我。另外，爲了下降成本，沒有使用獨立的SQL server服務器，而是使用了AD RMS自帶的內置數據庫。

我這裏就用兩臺server 2016和兩臺Windows 10
DC1安裝域環境，（我是提早安裝好的，在這就不截圖說明了）而後添加證書服務，添加域帳戶和客戶端兩個普通帳戶。
DC3加入域，安裝IIS和RMS服務。
windows 10提早安裝office 2016驗證權限使用。

三、問題分析：

要想成功部署並維護AD RMS，須要先對其工做機制有所瞭解，從文件全部者建立受保護的文件到最後要訪問文件的用戶經過驗證訪問到受保護文件的基本流程以下：

1）用戶bob在執行第一次保護文件的工做時，會首先從AD RMS服務器獲取一個CLC（客戶端許可證書），經過該證書才能夠執行後續的文件保護工做。

2）用戶bob須要使用AD RMS客戶端應用程序建立文件，並在建立文件的同時執行保護文件的工做，主要包括設置可以使用此文件的用戶及權限。同時，根據這些權限策略，生成發佈許可證，發佈許可證內包含着文件的使用權限和使用條件。

3）AD RMS客戶端用對稱密鑰將原文件加密。

4）AD RMS客戶端將對稱密鑰加入發佈許可證內，而後用AD RMS服務器的公鑰對其加密。

5）文件接收者tom用AD RMS客戶端打開文件時，若是它的計算機中尚未RAC（權限帳戶證書），則會從AD RMS服務器獲取一個RAC。

6）AD RMS客戶端向AD RMS服務器發出索取使用許可證的請求，其中包含RAC和通過AD RMS服務器公鑰加密的發佈許可證（其中包含對稱密鑰）。

7）AD RMS服務器收到請求後，用本身的私鑰解密發佈許可證，獲得權限策略和對稱密鑰。

8）AD RMS服務器用tom的公鑰加密權限策略和對稱密鑰，生成使用許可證，而後發給接收者tom用戶。

9）接收者tom用本身的私鑰解密使用許可證，獲得權限策略和對稱密鑰，進而解密原文件並按照權限策略的定義打開文件。

四、案例實施：

DC1_AD服務器部署以下：

登陸AD服務器，配置IP地址、網關及DNS

域控制器裏添加名爲ADRMS的組織單位，新建管理AD RMS服務的用戶爲adrms，設置帳戶爲永不過時，添加隸屬於爲domain admins組

建立兩個普通用戶分別是tom和bob，添加電子郵件地址，用於後面驗證AD RMS

打開「服務器管理器」窗口，單擊「添加角色和功能」。

在「添加角色和功能嚮導」的「開始以前」界面中，單擊「下一步」按鈕。

在「安裝類型」界面中，保持默認，單擊「下一步」按鈕。（後續默認下一步的我就不一一截圖了）

在「服務器選擇」界面，保持默認，單擊「下一步」按鈕。

在「選擇服務器角色」界面中選擇「Active Directory證書服務」複選框，此時會彈出提示框，而後單擊「添加功能」及「下一步」按鈕。

在「角色服務」界面中選擇「證書頒發機構web註冊」複選框，此時會彈出提示框，而後單擊「添加功能」及「下一步」按鈕。

開始安裝AD 證書服務

安裝完成後，開始配置證書服務，在「憑據」界面中保持默認單擊「下一步」按鈕。

在「角色服務」界面選擇「證書頒發機構」和「證書頒發機構web註冊」複選框，而後單擊「下一步」按鈕。

在「設置類型」界面，選擇「企業CA」複選框，單擊「下一步」按鈕。




證書配置完成，咱們要運行cmd敲一條「gpupdate /force」命令，更新一下策略，（DC3_RMS服務器也同樣更新一下）

至此DC1_AD服務器部署完成，開始部署DC3_RMS服務器

DC3_RMS服務器部署以下：
登陸DC3_RMS服務器，配置IP地址及DNS加入域

加入域

成功加入benet域，從新啓動計算機

運行cmd，敲一下「gpupdate /force」更新一下策略

安裝ASP.net4.6功能、Windows內部數據庫及消息隊列（前面默認的步驟我就不截圖了，自行操做便可）

添加IIS（web）服務器，後面申請證書使用，默認安裝便可

打開IIS管理器

點開服務器證書

選擇建立域證書

建立證書

指定聯機證書頒發機構和好記名稱完成重啓計算機便可

添加AD RMS服務

配置AD RMS

選擇新的根羣集便可

選擇此服務器使用Windows內部數據庫

指定域用戶

指定加密模式

保持默認下一步，建立羣集密碼

保持默認下一步，指定羣集地址，也就是剛纔申請域證書的地址

安裝完成，重啓計算機便可

兩臺服務器已經部署完成，客戶端加入域以後建立文檔設置權限便可。

客戶端部署以下：
將安裝好office的兩臺客戶端配置IP地址及DNS加入域

成功加入域，重啓計算機便可，win10_02客戶端一樣操做我就不截圖了，win10_02的IP地址配置爲192.168.100.40便可，（自行規劃）

加入域重啓以後用本地管理員登陸，而後將域帳戶加入到本地管理員權限，禁用本地管理員登陸，域帳戶有權限管理當前計算機

將域帳戶添加到本地管理員權限

禁用本地管理員帳戶

註銷計算機，用bob登陸域便可，（第二臺客戶端也是一樣的配置，bob改爲tom便可，註銷用tom登陸域，我在這就不截圖了）

兩臺客戶端部署完成，開始設置AD RMS權限，建立一個word文檔，開始設置權限，鏈接權限管理服務器，也就是所謂的DC3_AD RMS服務器

登陸帳戶輸入密碼獲取模板，設置權限

選擇限制訪問，設置權限

我就只給tom讀取權限了，等一下去tom帳戶的客戶端看一下效果

進入其餘選項能夠看出，bob是徹底控制權限，而tom只給了讀取權限，

保存文檔，建立共享文件夾將word文檔共享給tom，tom訪問共享文件，下載訪問，此時就會看出tom對word文檔只有讀取權限

Tom登陸

會發現只有讀取權限，

我用的第三方截圖工具，我把截圖工具以管理員運行的話截屏直接截到的是黑屏，足以證實RMS對權限的細化和精確控制

—————— 本文至此結束，感謝閱讀 ——————