微软的RMS(Rights Management Services 版权管理服务)服务器可以保护企业内的重要文件,授权只有特定用户才能访问这些文件(当然文件服务器的权限也可以做到这一点)。RMS还可以允许文件不能被复制,打印,转发,甚至离开了公司就无法打开这些文件(这些功能靠文件服务器的权限就无法实现了吧,EFS也无能为力)。
RMS要求用户每次打开文件,都要在RMS服务器上申请凭据,然后才能打开被加密的文件内容。一旦文件离开了公司环境,访问者就无法联系RMS服务器了,文件内容也就无法阅读了。即使在公司内,RMS也可以允许用户只能阅读,无法打印,复制,通过邮件转发,极大地提高了窃取机密内容的难度(当然,RMS不可能实现百分之百的安全,如果有人使用DC/DV把屏幕上的文件内容都录制下来,或者直接用笔记录下来,那文件内容的泄露还是不可避免的)。
安装RMS
RMS部署前准备
RMS服务在部署之前要先做一些准备工作。首先,我们需要在域控制器上创建一个RMS管理员账号,这是因为RMS服务器安装时不允许使用域中的administrator账号。打开域控制器上的Active Directory用户和计算机,创建一个名为RMSADMIN的用户。这个用户也具有域管理员权限,我们要使用RMSADMIN用户在RMSERVER上登录。
创建RMS服务账号rmsadmin 并将用户rmsadmin加入到domain admins组之中
创建完用户后,我们还需要为RMS服务器申请一个服务器证书。我们以RMSADMIN的身份在RMSERVER上登录,通过MMC控制台定制出一个管理本地计算机证书的管理单元。然后通过申请证书任务为RMSERVER在企业根CA上申请证书,如图BJRMS.CONTOSO.COM的计算机证书,这个证书可以用于服务器验证,也可以用于客户机验证,能够满足我们的实验需求。
在服务器角色页面,选中Active Directory Rights Management Services,在弹出的添加角色向导中,选择添加所需的角色服务,点击下一步
在Active Directory Rights Management Services页面中,点击下一步
在角色服务页面,确认已经选中了Active Directory权限管理服务器,点击下一步
在创建或加入AD RMS群集页面中,选择新建AD RMS群集,点击下一步
在配置数据库页面,选择在此服务器上使用Windows内部数据库,点击下一步
在服务账户页面,选择指定域用户账户,并输入之前创建的用户rmsadmin,点击下一步
在配置AD RMS群集键存储页面,选择使用AD RMS集中管理的密钥存储,点击下一步
在群集密钥密码页面,输入AD RMS群集密码
在群集网站页面,确认选择为虚拟目录选择网站为 默认网站,点击下一步
在指定群集地址页面,选择使用SSL加密连接(https://),并且在完全限定的域名中,输入bjrms.contoso.com,并点击验证,看到网络中客户端的群集地址预览为https:// bjrms. contoso.com,点击下一步
在服务器身份验证证书页面,选择为SSL加密选择现有证书(推荐),选择证书列表中的BJRMS. contoso.com 点击下一步
在命名许可方证书页面,保持默认名称BJRMS,点击下一步
在注册AD RMS服务连接点页面,选择立即注册AD RMS服务连接点,点击下一步
在Web服务器(IIS)页面,点击下一步
在选择服务角色页面,保持默认选择,点击下一步
在确认安装选择页面,确认安装设置与之前设置相同,点击安装开始AD RMS服务的安装过程
确认所有安装任务成功后,点击关闭完成AD RMS的安装过程
