WINDOWS 2008 AD权限管理服务(ADRMS)彻底攻略

         在windows2003 中，有RMS的存在，可是须要另外下载，在WINDOWS2008中这一服务被微软件进行了改进和提高，被称之为 AD RMS（Active Directory Rights Management Services）活动目录权限管理服务，相对于2003下的RMS有了较大的改进与提高，例如：不须要单独下载便可安装、再也不须要链接到Microsoft去进行登记等等，这个服务是一个相对比较复杂的服务，咱们须要花费必定的时间才能比较好的了解和使用它。

       1、ADRMS系统的做用：

－ 保护敏感信息。如WORD文档、电子邮件客户端和行业应用程序等。应用程序能够启用 ADRMS，以帮助保护敏感信息。用户能够定义打开、修改、打印、转发该对象的人员。组织能够建立自定义的使用策略模板（如"机密 - 只读"），这些模板可直接应用于上述对象。

－ 永久性保护。ADRMS 能够加强现有的基于外围的安全解决方案（如防火墙和访问控制列表 (ACL)），经过在文档自己内部锁定使用权限、控制如何使用信息（即便在目标收件人打开信息后）来更好地保护信息。

－ 灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可使用启用了 AD RMS 的任何应用程序或启用其余服务器，与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工做流以及内容检查）中。

      2、布署ADRMS服务器.

在Windows Server 2008中，ADRMS所起的做用，简单来讲就是保证文档等内容在共享使用过程当中的安全。使文档内容可以在正确的时间，被正确的人以正确的方式使用,本文以实验的方式重点阐述ADRMS权限策略模板的建立和部署。

1.ADRMS安装环境要求

  硬件最低要求

软件要求

2.测试环境

ADRMS 系统并非一个单纯的服务，它包括如下四种角色：

(1).用于身份验证的域控制器、

(2).基于 Windows Server  2008 的ADRMS服务器、

(3).数据库服务器、

(4).AD RMS 客户端（本测试环境使用已经安装了office2007的windows2008客户端）

可将数据库与ADRMS放在同一服务器上。

3.测试需求：

要求在192.168.196.69上搭建ADRMS服务器，完成AD RMS权限策略模板的建立和部署。

4.安装ADRMS服务器：

(1).在域成员机(196.69)上安装ADRMS服务器(要使用属于本地administrators组的域成员登陆该计算机，此例中直接使用域管理员)

     因为安装该服务必须有web和asp.net以及消息服务的支持，在安装时会自动添加所需服务。

(2).选择相应组件

－ Active Directory Rights Management Services:是一项必需的角色服务，用于安装发布和使用授权限保护的内容所用的 AD RMS 组件。

－ 联合身份验证支持:联合身份验证支持角色服务是一项可选的角色服务，容许联合身份借助 Active Directory 联合身份验证服务来使用授权限保护的内容。（此例中不选）

(3).配置数据库：

可选择域中其它计算机为指定数据库服务器，如选择使用windows内部数据库，则没法建立ADRMS群集，在测试环境下选择该项便可，如需使用多个服务器建立群集则指定专用的数据库服务器。

(4).指定一个标准域帐户以管理ADRMS服务

(5).选择密钥存储方式并设置密码。

(6)选择群集地址，这里使用未加密联接，若是有证书服务器的状况下使用HTTPS(输入的域名必须为dns能够解析的名称)

(7).选择注册服务链接点，下一步后开始安装。

(8).安装完成后，可从管理工具中找到ADRMS管理工具来进行管理操做。

至此ADRMS安装操做完成。

3、建立权限策略模板

(1).在ADRMS服务器上建立一个共享文件夹adrmstemp,设置域用户jzt.com/user对其共享和ntfs权限均为修改。

(2).在ADRMS管理器左边选择”权限策略模板”--右键属性--勾上启用导出--输入adrmstemp所在位置的UNC路径

(3).选择建立分布式权限策略模板--添加--输入相关信息

(4).选择添加输入 users@jzt.com,并设置给该组查看权限，则该组可对任何使用本权限模板建立的文档有查看权限。

至此，权限策略模板建立完成。

四.配置ADRMS客户端,为授权限保护的内容建立文件夹

(1).以管理员身份登陆ADRMS客户机，新建名为adrmsdoc的文件夹，并设置权限为容许jzt.com\user修改

(2).在ADRMS客户机上以user身份登陆并修改注册表

     a.展开HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM项，若是DRM不存在，则需手工建立.

     b.选择 DRM，单击"编辑"，指向"新建"，单击"可扩充字符串值"，而后键入 AdminTemplatePath

     c.双击 AdminTemplatePath 注册表值并在"值数据"框中键入 %UserProfile%\AppData\Microsoft\DRM\Templates--"肯定"。

(3).验证C:\Users\nhollida\AppData\Microsoft\DRM\Templates\ 是否有效,若是无效，请建立相应的文件夹。

     从 \\win2k82\adrmstemp目录下将模板文件复制到新建立的目录下。

 

(4).建立一个office2007文档，选择准备--限制权限—jzt.com cc

(5).选择限制对此文档权限，输入要限制的用户名称，及设置的权限，修改后，只有指定用户才能对文档进行相应操做，在文档上方可看到限制访问选项.

至此，咱们成功使用ADRMS服务器将权限策略模板应用于 Microsoft Word 2007 文档。