WINDOWS 2008 AD权限管理服务(ADRMS)完全攻略

简介:
        在windows2003 中,有RMS的存在,但是需要另外下载,在WINDOWS2008中这一服务被微软件进行了改进和提升,被称之为 AD RMS(Active Directory Rights Management Services)活动目录权限管理服务,相对于2003下的RMS有了较大的改进与提升,例如:不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等,这个服务是一个相对比较复杂的服务,我们需要花费一定的时间才能比较好的了解和使用它。
       一、ADRMS系统的作用:
-  保护敏感信息。如WORD文档、电子邮件客户端和行业应用程序等。应用程序可以启用 ADRMS,以帮助保护敏感信息。用户可以定义打开、修改、打印、转发该对象的人员。组织可以创建自定义的使用策略模板(如"机密 - 只读"),这些模板可直接应用于上述对象。
-  永久性保护。ADRMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表 (ACL)),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保护信息。
-  灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器,与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。
      二、布署ADRMS服务器.
在Windows Server 2008中,ADRMS所起的作用,简单来说就是保证文档等内容在共享使用过程中的安全。使文档内容能够在正确的时间,被正确的人以正确的方式使用,本文以实验的方式重点阐述ADRMS权限策略模板的创建和部署。
1.ADRMS安装环境要求
  硬件最低要求
image
软件要求
image
2.测试环境
ADRMS 系统并不是一个单纯的服务,它包括以下四种角色:
(1).用于身份验证的域控制器、
(2).基于 Windows Server  2008 的ADRMS服务器、
(3).数据库服务器、
(4).AD RMS 客户端(本测试环境使用已经安装了office2007的windows2008客户端)
可将数据库与ADRMS放在同一服务器上。
image
3.测试需求:
要求在192.168.196.69上搭建ADRMS服务器,完成AD RMS权限策略模板的创建和部署。
4.安装ADRMS服务器:
(1).在域成员机(196.69)上安装ADRMS服务器(要使用属于本地administrators组的域成员登录该计算机,此例中直接使用域管理员)
     由于安装该服务必须有web和asp.net以及消息服务的支持,在安装时会自动添加所需服务。
image
(2).选择相应组件
- Active Directory Rights Management Services:是一项必需的角色服务,用于安装发布和使用受权限保护的内容所用的 AD RMS 组件。
- 联合身份验证支持:联合身份验证支持角色服务是一项可选的角色服务,允许联合身份借助 Active Directory 联合身份验证服务来使用受权限保护的内容。(此例中不选)
image
(3).配置数据库:
可选择域中其它计算机为指定数据库服务器,如选择使用windows内部数据库,则无法创建ADRMS群集,在测试环境下选择该项即可,如需使用多个服务器创建群集则指定专用的数据库服务器。
image
(4).指定一个标准域账户以管理ADRMS服务
image
(5).选择密钥存储方式并设置密码。
image
(6)选择群集地址,这里使用未加密联接,如果有证书服务器的情况下使用HTTPS(输入的域名必须为dns可以解析的名称)
image
(7).选择注册服务连接点,下一步后开始安装。
image
(8).安装完成后,可从管理工具中找到ADRMS管理工具来进行管理操作。
image
至此ADRMS安装操作完成。
三、创建权限策略模板
(1).在ADRMS服务器上创建一个共享文件夹adrmstemp,设置域用户jzt.com/user对其共享和ntfs权限均为修改。
image
(2).在ADRMS管理器左边选择”权限策略模板”--右键属性--勾上启用导出--输入adrmstemp所在位置的UNC路径
image
(3).选择创建分布式权限策略模板--添加--输入相关信息
image
(4).选择添加输入 users@jzt.com,并设置给该组查看权限,则该组可对任何使用本权限模板创建的文档有查看权限。
image
至此,权限策略模板创建完成。
四.配置ADRMS客户端,为受权限保护的内容创建文件夹
(1).以管理员身份登录ADRMS客户机,新建名为adrmsdoc的文件夹,并设置权限为允许jzt.com\user修改
image
(2).在ADRMS客户机上以user身份登录并修改注册表
     a.展开HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM项,如果DRM不存在,则需手工创建.
     b.选择 DRM,单击"编辑",指向"新建",单击"可扩充字符串值",然后键入 AdminTemplatePath
     c.双击 AdminTemplatePath 注册表值并在"值数据"框中键入 %UserProfile%\AppData\Microsoft\DRM\Templates--"确定"。
image
(3).验证C:\Users\nhollida\AppData\Microsoft\DRM\Templates\ 是否有效,如果无效,请创建相应的文件夹。
     从 \\win2k82\adrmstemp目录下将模板文件复制到新创建的目录下。
image 
(4).创建一个office2007文档,选择准备--限制权限—jzt.com cc
image
(5).选择限制对此文档权限,输入要限制的用户名称,及设置的权限,修改后,只有指定用户才能对文档进行相应操作,在文档上方可看到限制访问选项.
image
至此,我们成功使用ADRMS服务器将权限策略模板应用于 Microsoft Word 2007 文档。




     本文转自ttzztt 51CTO博客,原文链接:http://blog.51cto.com/tianzt/165988 ,如需转载请自行联系原作者

相关文章
|
2月前
|
NoSQL Redis Windows
windows服务器重装系统之后,Redis服务如何恢复?
windows服务器重装系统之后,Redis服务如何恢复?
72 6
|
7天前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。
|
1月前
|
边缘计算 安全 网络安全
|
1月前
|
人工智能 JavaScript 网络安全
ToB项目身份认证AD集成(三完):利用ldap.js实现与windows AD对接实现用户搜索、认证、密码修改等功能 - 以及针对中文转义问题的补丁方法
本文详细介绍了如何使用 `ldapjs` 库在 Node.js 中实现与 Windows AD 的交互,包括用户搜索、身份验证、密码修改和重置等功能。通过创建 `LdapService` 类,提供了与 AD 服务器通信的完整解决方案,同时解决了中文字段在 LDAP 操作中被转义的问题。
|
1月前
|
开发框架 .NET API
Windows Forms应用程序中集成一个ASP.NET API服务
Windows Forms应用程序中集成一个ASP.NET API服务
96 9
|
1月前
|
应用服务中间件 Apache Windows
免安装版的Tomcat注册为windows服务
免安装版的Tomcat注册为windows服务
120 3
|
1月前
|
Java 关系型数据库 MySQL
java控制Windows进程,服务管理器项目
本文介绍了如何使用Java的`Runtime`和`Process`类来控制Windows进程,包括执行命令、读取进程输出和错误流以及等待进程完成,并提供了一个简单的服务管理器项目示例。
39 1
|
2月前
|
消息中间件 Java Kafka
windows服务器重装系统之后,Kafka服务如何恢复?
windows服务器重装系统之后,Kafka服务如何恢复?
33 8
|
1月前
|
弹性计算 关系型数据库 网络安全
阿里云国际版无法连接和访问Windows服务器中的FTP服务
阿里云国际版无法连接和访问Windows服务器中的FTP服务
|
2月前
|
安全 Windows
电脑进入桌面后操作无响应?不妨试试禁用Windows Search服务
电脑进入桌面后操作无响应?不妨试试禁用Windows Search服务
下一篇
无影云桌面