整合RMS与Exchange 2010
点击开始菜单,选择所有程序,展开Microsoft Exchange Server 2010,打开Exchange Management Console,选择收件人配置—通讯组,在右侧操作窗口中选择新建通讯组,在新建通讯组页面,选择新建组,并点击下一步
在组信息页面,将组类型设置为安全,指定组的名称及别名为RMS,点击下一步
在新建通讯组页面点击新建
以域管理员账号登录到域控上,点击开始菜单,选择管理工具,选择Active Directory用户和计算机,展开contoso—users,找到用户FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04,将该用户加入到RMS组中。
注:默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试,因此需要将该用户加入到AD RMS用户组之中,才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选。
以用户contoso.com\rmsadmin,登录RMS服务器,打开开始菜单,选择管理工具,选择Active Directory Rights Management Services,展开AD RMS群集,展开安全策略—超级用户,右键点击超级用户,选择启用超级用户
在中间窗口选择更改超级用户组,选择浏览,指定RMS为超级用户组
点击开始菜单,选择管理工具,点击Internet信息服务(IIS)管理器,展开 网站—Default Web
Site--_wmcs—certification ,右键点击certification,选择浏览
在certification文件夹中,右键点击ServerCertification.asmx文件,选择属性—安全,在ServerCertification.asmx属性—安全选项中,点击继续
在ServerCertification.asmx的权限页面,点击添加,添加Authenticated Users组,确保Authenticated Users组对ServerCertification.asmx文件有读取和执行的权限,点击确定完成权限的设置 。
注:Exchange OWA在使用RMS权限设置时,会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息,默认仅有System对ServerCertification.asmx文件具有读取权限,因此需要为Authenticated Users组赋予对该文件的读取权限,以确保在Exchange OWA中可以正常使用RMS功能。
以用户contoso.com\exadmin,登录Exchange服务器,点击开始菜单,选择所有程序,展开Microsoft Exchange Server 2010,选择Exchange Management Shell,在Exchange Management Shell中输入get-IRMConfiguration,查看当前Exchange组织的权限管理设置情况
输入Set-IRMConfiguration – InternalLicensingEnable $true在Exchange组织内部启用RMS功能
再使用get-IRMConfiguration查看Exchange组织的RMS配置情况,确保设置为InternalLicensingEnable: True
RMS对文件的保护
安装RMS客户端
XP客户机上必须安装RMS客户端软件,才可以发挥RMS的作用。RMS客户端软件Office可以自动下载。在XP客户机上打开Word2010,点击Word2010左上角的 开始 按钮,依次
“信息”—“保护文档”—“按人员限制权限”—“限制访问”
Office提示我们由于没有安装RMS客户端软件,无法使用限制访问的功能。如果想自动下载RMS客户端软件,点击“是”。
文件保护测试
XP客户机上安装了RMS客户端后,我们准备了两个用户user1、user2用于测试。需要注意的是,用户都需要有电子邮件地址。在Exchange服务器,为两个用户各自创建一个邮箱。
同时在文件服务器上创建一个用于测试的doc文档。
以user1身份登录XP客户机,并打开测试文档,选择“限制访问”选项。
XP客户端通过HtTPS协议访问RMS服务器,RMS服务器要求用户进行身份验证,输入user1的账号进行身份验证
通过身份验证后,在RMS权限设置界面,我们为user2设置了读取权限。
注意,描述user2时需要使用电子邮件地址 user2@ contoso.com。
如果我们希望对user2进行更详细的权限设置,可以点击左下角的“其他选项”。
如图所示,除了给user2分配读取权限,还可以限制是否可以对文件内容进行打印,是否允许对文件内容进行复制。甚至文件的到期时间也可以设置,时间到期后文件内容对访问者就彻底关闭。还有一个人性化的设计,访问者如果发现权限不够,还可以通过电子邮件向文件的所有者申请更多的权限。
设置完成后,我们以user2的身份登录XP客户机,测试user2对被限制文件的访问状况
登陆后,打开文件服务器的测试文档,RMS客户端自动使用HTTPS协议连接到RMS服务器。RMS服务器要求访问者进行身份验证,输入user2的身份凭证进行身份验证。
身份验证之后, RMS客户端提示由于此文档已经被限制访问,访问者必须连接到RMS服务器去下载访问许可证,才可以访问被限制的文档。(从中我们可以推断,如果文件被带出公司,访问者是无法从RMS服务器获得许可证的。即使在公司内部,访问者从RMS服务器下载许可证,也要通过RMS服务器的身份验证才可以)。综合这些因素,我们看出RMS对文件的保护还是非常到位的。
从RMS服务器下载许可证后,就可以看到文件的内容,user2获得了读取文档的权限。
查看能否对文件内容进行复制,右键菜单中的复制操作已经变为灰色不可选取。
查看能否对文件内容也无法进行打印,文件菜单中的打印操也变为灰色不可选取。
RMS对电子邮件的保护
以user1的身份在XP客户机上登录
登录邮箱后给user2发送一封测试邮件,内容是“RMS测试”
在“选项”菜单中的“权限”下拉菜单中选择“不可转发”,不允许邮件接收者擅自把邮件内容转发给第三者。
对邮件进行限制后,可以在Outlook2010中看到邮件被标示为只能被读取内容,不允许转发。复制和打印。点击“发送”按钮,把邮件发送user2。
以user2的身份在XP客户机上登录
登录邮箱后,在邮箱中看到user1发来的测试邮件。打开测试邮件时,Outlook2010要求连接到RMS服务器进行身份验证,我们输入user2的用户名和口令完成身份验证。
查看邮件的内容,邮件中提示,user2不能转发邮件,也不能对邮件内容进行复制和打印。
