server 2016部署AD RMS（保护重要文档）

博客目录
1、AD RMS是什么？
一、AD RMS简介
二、AD RMS群集概述
三、AD RMS客户端介绍
四、AD RMS环境为何须要IIS？
五、AD RMS环境为何须要数据库？
2、部署AD RMS服务
一、环境以下：
二、环境分析：
三、问题分析：
四、案例实施：

1、AD RMS是什么？

一、AD RMS简介

RMS（Rights Management Services，权限管理服务）早在Windows 2003中就已经存在，目的是为企业的信息数据提供最大的安全防御技术。

在Windows server 2016中，RMS服务获得了增强，其已经做为经常使用服务内置在操做系统当中，并正式被命名为AD RMS（Active Directory 权限管理服务）。它与支持AD RMS的应用成树协同工做，以防止在未经受权的状况下使用数字信息。AD RMS适用于须要保护好敏感信息和专有信息的组织。AD RMS经过永久使用策略提供对信息的保护，从而加强组织的安全策略，不管信息移到何处，永久使用策略都保持与信息在一块儿。

二、AD RMS群集概述

AD RMS群集被定义为运行AD RMS的单一服务器，或共享来自AD RMS客户端的AD RMS发布和受权请求的一组服务器。在Active Directory林中设置第一个AD RMS服务器时，该服务器将成为AD RMS群集，能够随时设置更多服务器并将其添加到AD RMS群集中。

AD RMS有两种类型的群集：根群集和仅受权群集。
AD RMS安装中的第一个服务器一般被称为根群集。根群集处理其安装所在的active directory域服务（AD DS）、域的全部证书和受权请求。对于复杂环境，除根群集外，还能够建立仅受权群集。可是，建议使用一个根群集，而后将更多的AD RMS服务器加入此群集中。

三、AD RMS客户端介绍

AD RMS客户端随Windows 10和Windows server 2016操做系统一块儿提供。若是用户使用Windows xp、Windows 2000或Windows server 2003做为客户端操做系统，则能够从microsoft下载中心下载AD RMS客户端的兼容版本。

四、AD RMS环境为何须要IIS？

由于客户端是经过HTTP或HTTPS协议与AD RMS服务器进行通讯的，因此部署AD RMS服务器必须同时 安装IIS。

五、AD RMS环境为何须要数据库？

数据库用于存储AD RMS的配置与策略等信息。可使用SQL Server，也可使用AD RMS内置的数据库。

2、部署AD RMS服务

一、环境以下：

二、环境分析：

本案例本身提早准备域环境，客户端提早准备office 2016，在这里我就很少说了，有须要的能够评论或者私信我。另外，为了下降成本，没有使用独立的SQL server服务器，而是使用了AD RMS自带的内置数据库。

我这里就用两台server 2016和两台Windows 10
DC1安装域环境，（我是提早安装好的，在这就不截图说明了）而后添加证书服务，添加域帐户和客户端两个普通帐户。
DC3加入域，安装IIS和RMS服务。
windows 10提早安装office 2016验证权限使用。

三、问题分析：

要想成功部署并维护AD RMS，须要先对其工做机制有所了解，从文件全部者建立受保护的文件到最后要访问文件的用户经过验证访问到受保护文件的基本流程以下：

1）用户bob在执行第一次保护文件的工做时，会首先从AD RMS服务器获取一个CLC（客户端许可证书），经过该证书才能够执行后续的文件保护工做。

2）用户bob须要使用AD RMS客户端应用程序建立文件，并在建立文件的同时执行保护文件的工做，主要包括设置可以使用此文件的用户及权限。同时，根据这些权限策略，生成发布许可证，发布许可证内包含着文件的使用权限和使用条件。

3）AD RMS客户端用对称密钥将原文件加密。

4）AD RMS客户端将对称密钥加入发布许可证内，而后用AD RMS服务器的公钥对其加密。

5）文件接收者tom用AD RMS客户端打开文件时，若是它的计算机中尚未RAC（权限帐户证书），则会从AD RMS服务器获取一个RAC。

6）AD RMS客户端向AD RMS服务器发出索取使用许可证的请求，其中包含RAC和通过AD RMS服务器公钥加密的发布许可证（其中包含对称密钥）。

7）AD RMS服务器收到请求后，用本身的私钥解密发布许可证，获得权限策略和对称密钥。

8）AD RMS服务器用tom的公钥加密权限策略和对称密钥，生成使用许可证，而后发给接收者tom用户。

9）接收者tom用本身的私钥解密使用许可证，获得权限策略和对称密钥，进而解密原文件并按照权限策略的定义打开文件。

四、案例实施：

DC1_AD服务器部署以下：

登陆AD服务器，配置IP地址、网关及DNS

域控制器里添加名为ADRMS的组织单位，新建管理AD RMS服务的用户为adrms，设置帐户为永不过时，添加隶属于为domain admins组

建立两个普通用户分别是tom和bob，添加电子邮件地址，用于后面验证AD RMS

打开“服务器管理器”窗口，单击“添加角色和功能”。

在“添加角色和功能向导”的“开始以前”界面中，单击“下一步”按钮。

在“安装类型”界面中，保持默认，单击“下一步”按钮。（后续默认下一步的我就不一一截图了）

在“服务器选择”界面，保持默认，单击“下一步”按钮。

在“选择服务器角色”界面中选择“Active Directory证书服务”复选框，此时会弹出提示框，而后单击“添加功能”及“下一步”按钮。

在“角色服务”界面中选择“证书颁发机构web注册”复选框，此时会弹出提示框，而后单击“添加功能”及“下一步”按钮。

开始安装AD 证书服务

安装完成后，开始配置证书服务，在“凭据”界面中保持默认单击“下一步”按钮。

在“角色服务”界面选择“证书颁发机构”和“证书颁发机构web注册”复选框，而后单击“下一步”按钮。

在“设置类型”界面，选择“企业CA”复选框，单击“下一步”按钮。




证书配置完成，咱们要运行cmd敲一条“gpupdate /force”命令，更新一下策略，（DC3_RMS服务器也同样更新一下）

至此DC1_AD服务器部署完成，开始部署DC3_RMS服务器

DC3_RMS服务器部署以下：
登陆DC3_RMS服务器，配置IP地址及DNS加入域

加入域

成功加入benet域，从新启动计算机

运行cmd，敲一下“gpupdate /force”更新一下策略

安装ASP.net4.6功能、Windows内部数据库及消息队列（前面默认的步骤我就不截图了，自行操做便可）

添加IIS（web）服务器，后面申请证书使用，默认安装便可

打开IIS管理器

点开服务器证书

选择建立域证书

建立证书

指定联机证书颁发机构和好记名称完成重启计算机便可

添加AD RMS服务

配置AD RMS

选择新的根群集便可

选择此服务器使用Windows内部数据库

指定域用户

指定加密模式

保持默认下一步，建立群集密码

保持默认下一步，指定群集地址，也就是刚才申请域证书的地址

安装完成，重启计算机便可

两台服务器已经部署完成，客户端加入域以后建立文档设置权限便可。

客户端部署以下：
将安装好office的两台客户端配置IP地址及DNS加入域

成功加入域，重启计算机便可，win10_02客户端一样操做我就不截图了，win10_02的IP地址配置为192.168.100.40便可，（自行规划）

加入域重启以后用本地管理员登陆，而后将域帐户加入到本地管理员权限，禁用本地管理员登陆，域帐户有权限管理当前计算机

将域帐户添加到本地管理员权限

禁用本地管理员帐户

注销计算机，用bob登陆域便可，（第二台客户端也是一样的配置，bob改为tom便可，注销用tom登陆域，我在这就不截图了）

两台客户端部署完成，开始设置AD RMS权限，建立一个word文档，开始设置权限，链接权限管理服务器，也就是所谓的DC3_AD RMS服务器

登陆帐户输入密码获取模板，设置权限

选择限制访问，设置权限

我就只给tom读取权限了，等一下去tom帐户的客户端看一下效果

进入其余选项能够看出，bob是彻底控制权限，而tom只给了读取权限，

保存文档，建立共享文件夹将word文档共享给tom，tom访问共享文件，下载访问，此时就会看出tom对word文档只有读取权限

Tom登陆

会发现只有读取权限，

我用的第三方截图工具，我把截图工具以管理员运行的话截屏直接截到的是黑屏，足以证实RMS对权限的细化和精确控制

—————— 本文至此结束，感谢阅读 ——————