以下操作都在 Active Directory Rights Management Services 控制台
一、更改 AD RMS 服务帐户
若要运行“更改服务帐户”向导,必须使用对配置数据库具有管理权限的用户帐户以本地方式登录 AD RMS 服务器。进行此操作时,先前指定的帐户将自动从 AD RMS Service Group 中删除,新帐户将成为该组的成员。如果要在其中更改 AD RMS 服务帐户的 AD RMS 群集中有多个服务器,则必须在群集中的所有服务器上更改该服务帐户。
二、AD RMS服务器属性
1、服务器证书选项
导出服务器许可方证书 (SLC) ,以便在建立可信发布域和可信用户域时使用
2、群集 URL 选项
Intranet URL
连接到您组织的专用网络的支持 AD RMS 的客户端,使用这些 URL 连接到 AD RMS 群集中的证书和授权服务。
Extranet URL
通过 Internet 连接到群集的 AD RMS 客户端使用这些 URL。将根据这些 URL 创建授权和证书 URL。
3、日志记录选项
启用和禁用 AD RMS 日志记录。
验证日志是否正写入数据库:登录 AD RMS 日志记录数据库的数据库服务器。在 SQL Server 企业管理器中,展开“数据库”,然后展开 AD RMS 日志记录数据库。展开“表”,右键单击 ServiceRequest,然后单击“打开表 - 返回所有行”。如果正在创建日志文件,将会在此表中看到一行或多行内容。
4、SCP 选项
AD RMS 的服务连接点 (SCP) 标识服务到组织中支持 AD RMS 的客户端的连接 URL。在 Active Directory 域服务 (AD DS) 中注册 SCP 后,客户端将能够发现 AD RMS 群集以请求使用许可证、发布许可证或权限帐户证书 (RAC)。
三、信任策略
Windows Server 2008 R2 之二十五AD RMS信任策略
四、权限策略模板
权限策略模板是在RMS服务器上创建的。它在服务器数据库和指定文件夹以XML件分别存放。 在客户端机以XML文件形式存在本地或网络共享文件夹中。它支持动态更新,即新的模板不用重新应用以前用保护的内容上,当用户获取UL时,获取更新后的模 板;它由受权服务器负责管理。
存档的模板不会导出到模板导出位置,也不会通过模板分发管道进行分发。在客户端计算机刷新其权限策略模板后,用户不能再使用存档的模板发布新内容。但是,存档的模板允许服务器继续为已经按照其发布的内容发放使用许可证。
存档的权限策略模板不会导出到共享模板文件夹。如果希望导出此模板,必须将其更改回分布式权限策略模板。
1、指定权限策略模板的位置
在服务器上创建将用于存储导出的权限策略模板的文件夹。它的共享权限为AD RMS Service Group
和系统 修改权限;用户 读取。
打开 Active Directory Rights Management Services 控制台,并展开 AD RMS 群集。
在控制台树中,单击“权限策略模板”。
在“操作”窗格中,单击“属性”,然后选中“启用导出”复选框。
2、创建分布式权限策略模板
3、客户端配置
可以通过组策略或注册表键值来配置客户端模板的位置
组策略配置
首先在微软网站上下载2007 Office system 管理模板文件 (ADM, ADMX, ADML) 和 Office 自定义工具 2.0 版。安装它,通过组策略管理器导入 Office12.adm后,便可以在“用户配置”、“管理模板”、Microsoft Office 2007 System、“管理受限权限”下找到 IRM 设置。请配置“指定权限策略路径”设置以反映客户端计算机上的本地模板存储
模板位置由启用了 RMS 的应用程序确定。对于 Office 2003 及更高版本,它作为用户设置存储在注册表中的下列位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath
-或-
对于 Microsoft Office 2007 为 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。
五、权限帐户证书策略
六、排除策略
RMS服务器可以基于某些因素(用户、应用程序、密码箱的版本)拒绝对许可的请求。
应用程序排除
用户排除
查找公钥字符串的方法:
方法一:用XML编辑软件打开%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM文件夹下,以GIC开始的文件。
查找这个文件中的字符PUBLICKEY之后的字符即为RAC公钥。如下面的红色字符
S - 1 - 5 - 2 1 - 1 8 5 2 1 6 5 1 6 3 - 3 9 6 4 0 7 4 1 7 8 - 2 8 3 5 2 6 9 4 6 3 - 5 0 0 < / I D > < N A M E > a d m i n i s t r a t o r @ h b y c r s j . c o m < / N A M E > < / O B J E C T > < P U B L I C K E Y > < A L G O R I T H M > R S A < / A L G O R I T H M > < P A R A M E T E R n a m e = " p u b l i c - e x p o n e n t " > < V A L U E e n c o d i n g = " i n t e g e r 3 2 " > 6 5 5 3 7 < / V A L U E > < / P A R A M E T E R > < P A R A M E T E R n a m e = " m o d u l u s " > < V A L U E e n c o d i n g = " b a s e 6 4 " s i z e = " 1 0 2 4 " > E 1 s u d 5 Y v S F t r E D r D A 7 A F r m L 9 t I P O l z p 0 G r Z X X 0 D 3 V t Y I 8 0 X J k A s x D D a L C 3 s d Z q I y v k y U A S H J p w V 6 8 W n E E n L A P / a l s D 1 M + v 6 6 Q E z r v + L 4 x E q m D v n + 4 U Y k V W L s g 9 l j F M Q a 6 W o L s F 5 s 5 4 / e N W T / n v 9 F 7 n V k Q e x T j J Z c T Y n F 4 p 8 5 X c M = < / V A L U E > < / P A R A M E T E R > < / P U B L I C K E Y > < S E C U R I T Y L E V E L n a m e = " G r o u p - I d e n t i t y - C r e d e n t i a l - T y p e " v a l u e = " P e r s i s t e n t " / > < S E C U R I T Y L E V E L n a m e = " G r o u p - I d e n t i t y - T y p e "
方法二:在用户排除直接输入用户名@域名,然后选择这个用户,在操作栏选择将公钥复制到剪切板
七、安全策略
1、更改超级用户设置
此选项允许您启用或禁用 AD RMS 超级用户组。此组可以解密由群集发布的所有内容。
2、重置密码
如果群集的私钥由 AD RMS 集中管理,则群集密钥密码将用于保护 AD RMS 群集的私钥。
3、更改解除授权设置
在从基础结构中删除 AD RMS 之前会使用解除授权功能,而且需要解密受 AD RMS 保护的所有内容。
八、备份 RMS服务器
1、备份RMS服务器:备份RMS根证书服务器的数据库;备份每一台RMS授权服务器的数据库;备份每一台RMS服务器的私钥;
2、备份数据库的内容:
配置数据库:包含配置信息和用户的密钥,必须备份
目录服务数据库:活动目录缓存,可选择备份或不备份
日志数据库:根据企业安全策略进行备份
九、恢复RMS服务器
如果恢复的是一台根证书服务器,首先必须删除AD中的SCP
重新安装操作系统和SQL SERVER
安装AD RMS
恢复数据库
十、解除授权
解除授权是指从组织中删除 AD RMS 群集及其相关数据库的整个过程。通过此过程,可以在从基础结构删除 AD RMS 之前将受权限保护的文件另存为一般文件,以便不会丢失对这些文件的访问权限。
通过执行以下操作可以为 AD RMS 群集解除授权:
1、启用解除授权服务
解除授权服务会禁用群集中的所有其他 AD RMS 服务。启用解除授权服务后,AD RMS 客户端只能请求密钥以解密受权限保护的内容。
打开 Active Directory Rights Management Services管理控制台。
展开 AD RMS 群集,展开“安全策略”,然后单击“解除授权”。
在“操作”窗格中,单击“启用解除授权”。
单击“解除授权”。
警告:在 AD RMS 群集上启用解除授权之后,将无法还原。
2、设置解除授权管道上的权限
在 AD RMS 群集上启用解除授权服务之后,必须修改解除授权管道上的权限,以便 AD RMS 用户可以连接此管道。默认情况下,只有本地系统帐户有权访问该管道。应将对解除授权文件夹的读取和执行权限赋予 AD RMS 服务组。然后,在 decommission.asmx 文件中,应将读取和执行权限赋予每个用户。解除授权管道位于 %systemroot%\inetpub\wwwroot\_wmcs 文件夹中,其中 %systemroot% 是安装 Windows Server 2008 的卷。
AD RMS 群集在解除授权模式下运行时,所有用户(无论是否有权访问受权限保护的原始内容)都可以获取内容密钥和对该内容的所有权限。
3、配置启用 AD RMS 的应用程序以使用解除授权管道
AD RMS 群集在解除授权模式下运行时,必须配置启用 AD RMS 的应用程序以从解除授权服务获取内容密钥,并对受权限保护的内容进行永久解密。AD RMS 客户端本身并不涉及解除授权过程。
修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM。
右键单击 DRM,指向“新建”,然后单击“项”。
键入 Decommission 作为注册表项的名称,然后按 Enter。
右键单击 Decommission,指向“新建”,然后单击“字符串值”。
键入 https://r2adrmsserver.hbycrsj.com/_wmcs/licensing,然后按 Enter。
双击注册表项。
在“数值数据”框中,键入 https://r2adrmsserver.hbycrsj.com/_wmcs/decommission,然后单击“确定”。
4、验证
以其它用户打开受保护的文档(用户对文档读权限),单击“更改权限”按钮并清除“限制此文档的权限”复选框,然后单击“确定”。此时可以将文件另存为任何常见的其他文档。