Windows Server 2008 R2 之二十四AD RMS管理

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:
以下操作都在  Active Directory Rights Management Services 控制台
一、更改 AD RMS 服务帐户
若要运行“更改服务帐户”向导,必须使用对配置数据库具有管理权限的用户帐户以本地方式登录 AD RMS 服务器。进行此操作时,先前指定的帐户将自动从 AD RMS Service Group 中删除,新帐户将成为该组的成员。如果要在其中更改 AD RMS 服务帐户的 AD RMS 群集中有多个服务器,则必须在群集中的所有服务器上更改该服务帐户。
二、AD RMS服务器属性
1、服务器证书选项
导出服务器许可方证书 (SLC) ,以便在建立可信发布域和可信用户域时使用
2、群集 URL 选项
Intranet URL
连接到您组织的专用网络的支持 AD RMS 的客户端,使用这些 URL 连接到 AD RMS 群集中的证书和授权服务。
Extranet URL
通过 Internet 连接到群集的 AD RMS 客户端使用这些 URL。将根据这些 URL 创建授权和证书 URL。
3、日志记录选项
启用和禁用 AD RMS 日志记录。
验证日志是否正写入数据库:登录 AD RMS 日志记录数据库的数据库服务器。在 SQL Server 企业管理器中,展开“数据库”,然后展开 AD RMS 日志记录数据库。展开“表”,右键单击 ServiceRequest,然后单击“打开表 - 返回所有行”。如果正在创建日志文件,将会在此表中看到一行或多行内容。
4、SCP 选项
AD RMS 的服务连接点 (SCP) 标识服务到组织中支持 AD RMS 的客户端的连接 URL。在 Active Directory 域服务 (AD DS) 中注册 SCP 后,客户端将能够发现 AD RMS 群集以请求使用许可证、发布许可证或权限帐户证书 (RAC)。
三、信任策略
四、权限策略模板
权限策略模板是在RMS服务器上创建的。它在服务器数据库和指定文件夹以XML件分别存放。在客户端机以XML文件形式存在本地或网络共享文件夹中。它支持动态更新,即新的模板不用重新应用以前用保护的内容上,当用户获取UL时,获取更新后的模板;它由受权服务器负责管理。
存档的模板不会导出到模板导出位置,也不会通过模板分发管道进行分发。在客户端计算机刷新其权限策略模板后,用户不能再使用存档的模板发布新内容。但是,存档的模板允许服务器继续为已经按照其发布的内容发放使用许可证。 
存档的权限策略模板不会导出到共享模板文件夹。如果希望导出此模板,必须将其更改回分布式权限策略模板。
1、指定权限策略模板的位置
在服务器上创建将用于存储导出的权限策略模板的文件夹。它的共享权限为AD RMS Service Group
和系统  修改权限;用户  读取。
打开 Active Directory Rights Management Services 控制台,并展开 AD RMS 群集。
在控制台树中,单击“权限策略模板”。
在“操作”窗格中,单击“属性”,然后选中“启用导出”复选框。
2、创建分布式权限策略模板
3、客户端配置
可以通过组策略或注册表键值来配置客户端模板的位置 
组策略配置
首先在微软网站上下载 2007 Office system 管理模板文件 (ADM, ADMX, ADML) 和 Office 自定义工具 2.0 版。安装它,通过组策略管理器导入 Office12.adm后,便可以在“用户配置”、“管理模板”、Microsoft Office 2007 System、“管理受限权限”下找到 IRM 设置。请配置“指定权限策略路径”设置以反映客户端计算机上的本地模板存储
模板位置由启用了 RMS 的应用程序确定。对于 Office 2003 及更高版本,它作为用户设置存储在注册表中的下列位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath
-或-
对于 Microsoft Office 2007 为 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。
五、权限帐户证书策略
六、排除策略
RMS服务器可以基于某些因素(用户、应用程序、密码箱的版本)拒绝对许可的请求。
应用程序排除
用户排除
查找公钥字符串的方法:
方法一:用XML编辑软件打开%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM文件夹下,以GIC开始的文件。
查找这个文件中的字符PUBLICKEY之后的字符即为RAC公钥。如下面的红色字符
S - 1 - 5 - 2 1 - 1 8 5 2 1 6 5 1 6 3 - 3 9 6 4 0 7 4 1 7 8 - 2 8 3 5 2 6 9 4 6 3 - 5 0 0 < / I D > < N A M E > a d m i n i s t r a t o r @ h b y c r s j . c o m < / N A M E > < / O B J E C T > < P U B L I C K E Y > < A L G O R I T H M > R S A < / A L G O R I T H M > < P A R A M E T E R     n a m e = " p u b l i c - e x p o n e n t " > < V A L U E     e n c o d i n g = " i n t e g e r 3 2 " > 6 5 5 3 7 < / V A L U E > < / P A R A M E T E R > < P A R A M E T E R     n a m e = " m o d u l u s " > < V A L U E     e n c o d i n g = " b a s e 6 4 "     s i z e = " 1 0 2 4 " >  E 1 s u d 5 Y v S F t r E D r D A 7 A F r m L 9 t I P O l z p 0 G r Z X X 0 D 3 V t Y I 8 0 X J k A s x D D a L C 3 s d Z q I y v k y U A S H J p w V 6 8 W n E E n L A P / a l s D 1 M + v 6 6 Q E z r v + L 4 x E q m D v n + 4 U Y k V W L s g 9 l j F M Q a 6 W o L s F 5 s 5 4 / e N W T / n v 9 F 7 n V k Q e x T j J Z c T Y n F 4 p 8 5 X c M  = < / V A L U E > < / P A R A M E T E R > < / P U B L I C K E Y > < S E C U R I T Y L E V E L     n a m e = " G r o u p - I d e n t i t y - C r e d e n t i a l - T y p e "     v a l u e = " P e r s i s t e n t "     / > < S E C U R I T Y L E V E L     n a m e = " G r o u p - I d e n t i t y - T y p e " 
方法二:在用户排除直接输入用户名@域名,然后选择这个用户,在操作栏选择将公钥复制到剪切板
七、安全策略
1、更改超级用户设置
  此选项允许您启用或禁用 AD RMS 超级用户组。此组可以解密由群集发布的所有内容。
 
2、重置密码
  如果群集的私钥由 AD RMS 集中管理,则群集密钥密码将用于保护 AD RMS 群集的私钥。
 
3、更改解除授权设置
  在从基础结构中删除 AD RMS 之前会使用解除授权功能,而且需要解密受 AD RMS 保护的所有内容。
 
八、备份  RMS服务器
1、备份RMS服务器:备份RMS根证书服务器的数据库;备份每一台RMS授权服务器的数据库;备份每一台RMS服务器的私钥;
2、备份数据库的内容:
配置数据库:包含配置信息和用户的密钥,必须备份
目录服务数据库:活动目录缓存,可选择备份或不备份
日志数据库:根据企业安全策略进行备份
 
九、恢复RMS服务器
如果恢复的是一台根证书服务器,首先必须删除AD中的SCP
重新安装操作系统和SQL SERVER
安装AD RMS
恢复数据库
 
十、解除授权
解除授权是指从组织中删除 AD RMS 群集及其相关数据库的整个过程。通过此过程,可以在从基础结构删除 AD RMS 之前将受权限保护的文件另存为一般文件,以便不会丢失对这些文件的访问权限。
通过执行以下操作可以为 AD RMS 群集解除授权:

1、启用解除授权服务
解除授权服务会禁用群集中的所有其他 AD RMS 服务。启用解除授权服务后,AD RMS 客户端只能请求密钥以解密受权限保护的内容。
打开 Active Directory Rights Management Services管理控制台。
展开 AD RMS 群集,展开“安全策略”,然后单击“解除授权”。
在“操作”窗格中,单击“启用解除授权”。
单击“解除授权”。
警告:在 AD RMS 群集上启用解除授权之后,将无法还原。
2、设置解除授权管道上的权限
在 AD RMS 群集上启用解除授权服务之后,必须修改解除授权管道上的权限,以便 AD RMS 用户可以连接此管道。默认情况下,只有本地系统帐户有权访问该管道。应将对解除授权文件夹的读取和执行权限赋予 AD RMS 服务组。然后,在 decommission.asmx 文件中,应将读取和执行权限赋予每个用户。解除授权管道位于 %systemroot%\inetpub\wwwroot\_wmcs 文件夹中,其中 %systemroot% 是安装 Windows Server 2008 的卷。
AD RMS 群集在解除授权模式下运行时,所有用户(无论是否有权访问受权限保护的原始内容)都可以获取内容密钥和对该内容的所有权限。
 
3、配置启用 AD RMS 的应用程序以使用解除授权管道
AD RMS 群集在解除授权模式下运行时,必须配置启用 AD RMS 的应用程序以从解除授权服务获取内容密钥,并对受权限保护的内容进行永久解密。AD RMS 客户端本身并不涉及解除授权过程。
修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM。
右键单击 DRM,指向“新建”,然后单击“项”。
键入 Decommission 作为注册表项的名称,然后按 Enter。
右键单击 Decommission,指向“新建”,然后单击“字符串值”。
双击注册表项。
在“数值数据”框中,键入  https://r2adrmsserver.hbycrsj.com/_wmcs/decommission,然后单击“确定”。
4、验证
以其它用户打开受保护的文档(用户对文档读权限),单击 “更改权限”按钮并清除 “限制此文档的权限”复选框,然后单击 “确定”。此时可以将文件另存为任何常见的其他文档。


















本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/202910 ,如需转载请自行联系原作者

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
3天前
|
监控 安全 网络安全
Windows Server管理:配置与管理技巧
Windows Server管理:配置与管理技巧
19 3
|
7天前
|
存储 安全 网络安全
Windows Server 本地安全策略
由于广泛使用及历史上存在的漏洞,Windows服务器成为黑客和恶意行为者的主要攻击目标。这些系统通常存储敏感数据并支持关键服务,因此组织需优先缓解风险,保障业务的完整性和连续性。常见的威胁包括勒索软件、拒绝服务攻击、内部威胁、恶意软件感染等。本地安全策略是Windows操作系统中用于管理计算机本地安全性设置的工具,主要包括用户账户策略、安全选项、安全设置等。实施强大的安全措施,如定期补丁更新、网络分段、入侵检测系统、数据加密等,对于加固Windows服务器至关重要。
|
28天前
|
人工智能 JavaScript 网络安全
ToB项目身份认证AD集成(三完):利用ldap.js实现与windows AD对接实现用户搜索、认证、密码修改等功能 - 以及针对中文转义问题的补丁方法
本文详细介绍了如何使用 `ldapjs` 库在 Node.js 中实现与 Windows AD 的交互,包括用户搜索、身份验证、密码修改和重置等功能。通过创建 `LdapService` 类,提供了与 AD 服务器通信的完整解决方案,同时解决了中文字段在 LDAP 操作中被转义的问题。
|
1月前
|
数据安全/隐私保护 Windows
安装 Windows Server 2019
安装 Windows Server 2019
|
1月前
|
网络协议 Windows
Windows Server 2019 DHCP服务器搭建
Windows Server 2019 DHCP服务器搭建
|
1月前
|
安全 网络协议 数据安全/隐私保护
Windows Server 2019 搭建并加入域
Windows Server 2019 搭建并加入域
|
6月前
|
开发框架 .NET API
在Windows Server 2008 R2上运行.Net 8应用
在Windows Server 2008 R2上成功运行.Net 8程序,需安装三个补丁:Windows Server 2008 R2 SP1 (KB976932)是基础更新;VC_redist.x64提供MSVC库支持;KB3063858解决.NET运行时加载`kernel.dll`的路径问题。KB3063858可能需要KB2533623。详细信息和下载链接在文中给出。
475 4
|
11月前
|
存储 安全 Apache
2023-10 适用于基于 x64 的系统的 Windows Server 2012 R2 月度安全质量汇总(KB5031419)
2023-10 适用于基于 x64 的系统的 Windows Server 2012 R2 月度安全质量汇总(KB5031419)
879 2
|
6月前
|
关系型数据库 MySQL C++
Windows Server 2012R2 安装mysql 丢失VCRUNTIME140_1.dll------亲测
Windows Server 2012R2 安装mysql 丢失VCRUNTIME140_1.dll------亲测
168 0
|
缓存 JavaScript 前端开发
Windows7压缩包安装node.js 报错提示windows Server 2012 R2 和安装React脚手架 最详细教程
对于Windows 7安装node.js 提示“This application is only supported on wWindows 8.1,windows Server 2012 R2, or higher.”类似这种情况的,该问题是因为node.js官方在 x12版本后就不支持win7系统了。