Exchange Server 2010与RMS集成之二:利用权限管理模板来保护邮件安全

Exchange Server 2010与RMS集成之二:利用权限管理模板来保护邮件安全

场景：一次没有硝烟的暗杀之四

主题：小张和小强都是经理，小张看上了一个姑娘小丽，但小张发现还有小强对小丽有兴趣，于是一场暗杀就这么开始了！（剧情纯属娱乐，如有雷同，纯属巧合）

之前已经有了三次的暗杀与反暗杀，最后的结局是小强反败为胜，因为小强在反暗杀阶段分别使用了RMS以及数字签名和加密，让小张彻底崩溃！但在实际的工作当中，他发现在使用RMS的时候总是需要手动的进行操作，有时候那面会遗忘去设置权限，这样又会给小张可乘之机，小强这次又跟资讯部交流了一下，希望能够真正的实现自动化，减轻压力！本着解放用户的思想，tony答应了帮忙，于是，新一轮的反暗杀有一次精彩的上演！

本次分为以下几个阶段

RMS安装（前面已经部署过了，这里省略）

RMS配置

RMS权限策略模板

传输规则

完成测试 

精彩继续

一 RMS配置

1.1  设置RMS的访问控制权限RMS通过Web Service方式来提供服务，默认情况下，这些Web service的权限是受限制的，Exchange服务器没有足够的权限来实现对RMS的调用，需要手动指定正确的权限，才能够实现Exchange与RMS的集成

1.2  首先在安装RMS的服务器上，打开资源管理器

1.3  浏览到%systemdrive%\inetpub\wwwroot\_wmcs\certification

1.4  选中Servercertification.asmx，打开其属性页面，切换到安全，然后编辑，添加Exchange Servers组，并给予读取和读取和执行

1.5  如果CAL列表中没有AD RMS Service Group(这是一个本地组)，那么请重复1.4，把这个组也加到CAL里，并给予读取和“读取和执行”

1.6  打开%systemdrive%\inetpub\wwwroot\_wmcs\licensing，查看publish.asmx的安全属性，是否有Exchange Server和AD RMS Service Group这2个群组，并确认权限是否一样，如果和上面的不同或者没有这2个群组，请添加并给予权限

1.7  设置RMS超级用户组，RMS的超级用户组中成员，可以不受限制地访问所有被IRM保护的数据，也就是说，该组的成员可以进行解密工作。默认情况下，超级用户组是禁用状态，需要手动进行启用。同时，这个组需要是一个启用了邮件功能的通用组（universal group ）。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中，这个帐号是系统邮箱，从Exchange Management Console中是看不到的，需要使用Exchange Management Shell命令行工具，通过Add-DistributionGroupMember 进行添加。

1.8  打开EMC-收件人配置-通讯组，新建一个RMS通讯组

1.9  打开Exchange Management Shell，输入命令

Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

1.10打开RMS管理控制台，展开安全策略，右键启用超级用户

1.11将前面建立的RMS组添加进去

  1.12打开Exchange Management Shell，运行命令Get-IRMConfiguration，确保其中的InternalLicensingEnabled是True状态。如果为false，则输入Set-IRMConfiguration -InternalLicensingEnable $true在Exchange组织内部启用RMS功能。

  1.13运行命令Test-IRMConfiguration -Sender xiaoqiang@mvp.net

  1.14 到此，Exchange与RMS的集成已经完成!

二 RMS配置权限模板

  2.1 打开RMS管理控制台，新建一个分布式权限策略模板

  2.2 设定名称以及描述

  2.3 小强发给小丽的邮件，默认情况下，小强不想小丽转发打印等，只给她查看就行了防止意外发生

  2.4 有效期，看个人需求了！后面的都默认，最后完成即可

三 配置传输规则

  3.1 打开EMC-组织配置—集线器传输，新建一条传输规则

  3.2 添加过滤条件，为了方便，他们之间已经商量了一个暗语，就是TT，所以就添加了一个关键字“TT”！

  3.3 这里我们选择“采用RMS模板的权限保护邮件”，并选择我们刚刚建立的“小强专用”模板

  3.4 后面的根据情况选择，最后完成！

四 最终测试

  4.1 打开小强的邮件，新建一封给小丽，特别要注意添加一个“TT”关键字

  4.2 我们打开小丽的邮箱，查看收到的邮件，提示输入账号进行验证！

  4.3 通过验证之后，可以看到，授权人是小强，响应的RMS模板是“小强专用”，也发现没有办法转发以及打印等操作！

4.4 有同学说可以截图，当然这个也是不可以的哈

  4.5 其实安全都是相对的，没有绝对的，用微软自身的截图软件肯定是不可以的，但你要是用第三方的，到现在为止还没有一个很好的方案！如果有的，可以留言，有时间测试一下！

总结，根据这一个案例，其实我们可以做很多事情的，比如主题中涉及到工资，商务等信息的可以自动为公司的需要进行授权只能查看，还有过期邮件等，不需要我们人工的在去考量这件事！希望大家可以举一反三！

累了，请允许我放松一下哈！ Music。。。。。

 附录：本篇解决论坛的问题：http://bbs.51cto.com/thread-1012884-1.html

 RMS的详细资料请参考：http://technet.microsoft.com/zh-cn/library/cc771307(WS.10).aspx

IT之梦---你---我---他

2013年1月16日星期三

本文转自 IT之梦 51CTO博客，原文链接:http://blog.51cto.com/itmydream/1120146