AD RMS (AD权限管理服务)能够确保企业内部数字文件的机密性,例如,用户即使有权限读取受保护的文件,但是如果未被许可,就无法复制与打印该文件。

AD RMS概述

虽然可以通过NTFS权限来设置用户的访问权限,然而NTFS权限还有不足之处,例如你开放用户可以读取某个包含机密数据的文件,此时用户就可以复制文件内容或将文件存储到其他位置,这样可能让这份机密文件泄露出去,尤其现在便携存储媒体盛行,用户可以轻易地将文件带离公司。

AD RMS是一种信息保护技术,在搭配支持AD RMS的应用程序后,文件的所有者可以将其设置为版权保护文件,并授予其他用户读取,复制或打印。如果用户仅被授予读取权限,则他无法复制文件内容,也无法打印。发件人也可以限制收件人转发邮件。

每个版权保护文件内都存储着保护信息,不论这个文件被移动,复制到何处,这些保护信息都仍然存在文件内,因此可以确保文件不会被未经许可的用户访问。AD RMS可以保护企业内部的机密文件,如财务报表,技术文件等。

AD RMS的需求

一个基本的AD RMS环境包含下图的组件。

  • 域控制器:AD RMS需要一个域环境,因此需要域控。
  • AD RMS服务器:客户端需要证书与许可证才可以进行文件版权保护的工作,而AD RMS服务器就负责证书与许可证的发放。可以假设多台AD RMS服务器来提供排除和负载均衡功能,其中第一台服务器被称为AD RMS根群集服务器。由于客户端通过HTTP和HTTPS与AD RMS服务器通信,因此AD RMS服务器必须架设IIS。
  • 数据库服务器:用来存储AD RMS设置与策略等信息,可以使用Microsoft SQL Server来架设数据库服务器。还可以直接使用AD RMS内置数据库,不过此时只架设一台AD RMS服务器。
  • 运行AD RMS-enabled应用程序的客户端用户:用户允许AD RMS-enabled应用程序(例如Word)并利用他来创建,编辑文件并将文件设置为受保护的文件,然后将此文件存储到其他用户可以访问到的地方,如网络共享文件夹,U盘等。

AD RMS如何运行

以下为简易流程,但是比较容易了解。

  1. 当文件所有者第一次运行保护文件工作时,他会从AD RMS服务器获取证书,拥有证书后就可以运行保护文件的工作。
  2. 文件所有者利用AD RMS-enabled应用程序创建文件,并且运行保护文件的步骤,也就是设置此文件的使用权限与使用条件,同时该应用程序会将此文件加密。接着会创建发布许可证,发布许可证内包含文件的权限,使用条件与解密密钥。

注:权限包含读取,更改,打印,发送与复制等,权限可以搭配使用条件,例如可访问此文件的期限。系统管理员还可以通过AD RMS服务器的设置来限制某些应用程序或用户不可打开受保护的文件。

  1. 文件所有者将受保护的文件(包含发布许可证)存储到可供文件接收者访问的地方,或将他直接发送给文件接收者。
  2. 文件接收者利用AD RMS-enabled应用程序来打开文件时,会向AD RMS服务器发送索取使用许可证的要求。
  3. AD RMS服务器通过发布许可证的信息确认文件接收者有权访问此文件后,会创建用户要求的使用许可证(包含使用权限,使用条件与解密密钥),然后将使用许可证传给文件接收者。
  4. 文件接收者的AD RMS-enabled应用程序接收到使用许可证后,会利用许可证内的解密密钥将受保护的文件解密并访问该文件。

AD RMS实例演示

我们将练习架设AD RMS企业版权管理环境。我们简化环境复杂程度,撤除了数据库服务器,改用AD RMS自带的数据库,同时将版权保护文件直接放置在域控DC的共享文件夹内,还有客户端方面只有一台Win8计算机,文件所有者和文件接收者都是这台计算机。

准备好计算机

按照上图创建三台机器,RMS需要域控环境,所以我们接着上次的contoso域环境继续。

创建用户账户

我们要在域控中创建文件所有者George与文件接收者Mary,还要创建一个用来启动AD RMS服务的账户ADRMS,则3个账户都是一般账户(名称随意命名),不需要给予特殊权限。

我们登陆域控在市场部创建George和Mary,在users中创建ADRMS账户,并未george和mary设置邮箱。

安装Active Directory Rights Management Services

请到服务器上利用Administrators身份登陆,然后通过添加服务器角色的方式安装RMS。

:安装ADRMS的用户必须隶属于本地组Administrators与域组Enterprise Admins,而当我们当前使用的域Administrators默认就隶属于这两个组。如果要利用其他域用户账户来登陆并安装ADRMS,先将此账户加入到这两个组中。

  1. 默认安装RMS服务时会按照IIS

  1. 执行其他配置

  1. 出现RMS界面时单击下一步

由图中可以得知可以架设两种群集:会发放证书与许可的根群集与仅发放许可证的仅许可证群集。安装的第一台服务器会成为根群集。


注:如果环境比较复杂,可以在架设根群集后,另外架设仅许可证群集,不过建议都使用根群集,然后将其他AD RMS服务器加入到此根群集,因为根群集与仅许可证群集无法用于同一个负载平衡池内。

  1. 选择使用windows 内部数据库

注:因为我们选择内置数据库,因此只能够架设一台AD RMS服务器。如果要使用Microsoft SQL Server数据库,请选择指定数据库服务器和数据库实例,该服务器必须加入域,同时用来安装ADRMS的域用户账户也需要隶属于该数据库服务器的本地Administrators组,这样才有权限在该数据库服务器内创建AD RMS所需要的数据库。

  1. 选择指定的域用户账户来启动AD RMS服务

  1. 下一步

  1. 下一步

  1. 为群集密钥设置一个密码

当要将其他AD RMS服务器加入此群集时,必须提供此处设置的密码。AD RMS利用群集密钥来签署发放的证书与许可证。

  1. 选择将IIS的Default Web Site当作群集网站

选择要求客户端必须利用安装的https连接的群集网站,并设置网站。

例如https://rms.contoso.com,其中adrms为AD RMS服务器的计算机名。必须保证在dns服务器内创建的主机与ip地址记录。

  1. 选择为ssl加密创建自签名证书后单击下一步

建议仅在测试或小规模环境下才选用此选项,否则请选择第一个选项来选用向证书颁发机构所申请的证书。

注:向证书颁发机构申请证书的步骤包含为网站创建证书申请文件,将此文件内容传给证书颁发机构,下载与安装证书。还可以使用AD证书服务来自行假设证书颁发机构。

  1. 群集中的第一台AD RMS服务器会自行创建一个被称为服务器许可方证书的证书(Server Licensor Cerificate, SLC),拥有此证书就可以对客户端发放证书与许可证。下图为这个SLC命名,以便让客户端通过此名称来识别这个AD RMS群集(加入此群集的其他AD RMS服务器会共享这个SLC证书)。

  1. 单击下一步,它会将AD RMS服务连接点(Service Connection Point,SCP)登录到Active Dirctory数据库内,以便让客户端通过AD找到这台AD RMS服务器。

注:用来将AD RMS SCP登陆到AD的用户账户必须隶属于域组Enterprise Admins,如果利用其他用户登录与安装AD RMS,则该用户必须先辈加入到Enterprise Admins组内,安装完成后,就可以将其从此组内删除。

  1. 确认安装

安装完成后,当前登录的用户账户(域Administrator)会被加入到本地AD RMS Enterprise系统管理员组内,此用户就有权限来管理AD RMS,不过此用户必须先注销再重新登陆才有效。

注:注销后再登陆,才会更新用户的访问令牌(Access Token),这样用户才具备本地AD RMS Enterprise系统管理员组的权限。

创建存储版权保护文件的共享文件夹

我们要创建一个共享文件夹,然后将文件所有者的版权保护文件放到此文件夹内,以便文件接收者可以到此共享文件夹来访问此文件。此范例要将共享文件夹创建在域控制器DC内(还可以创建在其他计算机内。)

  1. 登陆到域控在c盘创建文件夹public

  1. 选择文件夹设置权限

赋予文件夹Everyone读写权限。

测试AD RMS的功能

我们先在客户端计算机上安装Word 2012,然后利用George身份登陆与创建版权保护文件,最后利用Mary身份登陆来访问此文件。

限制只能够读取文件,不可打印,复制文件

  1. 登陆到客户计算机,安装office
  2. 打开ie浏览器,在高级选项中添加本地intranet站点 https://rms.contoso.com,将此网站添加到安全区域内。

  3. 创建一个word文档,单击左上角文件-信息-保护文档-限制访问

接下来会出现下图对话框,这时因为此时Word会连接群集网站,然而群集网站的证书是AD RMS自我发放的,而客户端计算机尚未信任有AD RMS自我发放的证书。可以直接单击是,不过以后每次客户端连接AD RMS服务器时都会出现此对话框。

注:如果不想每次都出现此对话框,请通过以下步骤来信任有AD RMS说发放的证书:单击上图的查看证书-安装证书-将所有证书放入下列存储-浏览受信任的根证书颁发机构

  1. 勾选限制对此文档的权限,然后单击读取或更改按钮来开发权限,完成后单击确定。我们选择开放给用户mary@contoso.com。如果要进一步开放权限,请单击其他选项,然后通过下下图进行设置,我们可以看到还可以设置文档到期日,是否可打印文档内容,是否可以复制内容等。

  1. 单击另存为,将文件存储到共享文件夹\dc\public内。
  2. 注销,改用mary登陆。
  3. 也在intranet中添加站点。
  4. 打开word文件,并打开public中的文件。

  1. 已用mary打开但是不能修改。

限制邮件转发

如果要通过Outlook收发邮件,还可以限制收件人不可以转发邮件。

 

附注:RMS高级功能

RMS高级功能描述包括RMS的运行流程等等实在太多我不高兴写了,大家自己百度吧

AD RMS企业文件版权管理的更多相关文章

  1. AD RMS 配置指南 附结合SharePoint使用

    本文的 RMS配置 是独立安装的配置手册,如果要和SharePoint结合使用可以作为参考指南. SharePoint安装可参考 点击链接 同样可提供给Office使用,当然Exchange也可以使用 ...

  2. Active Directory、Exchange、单点登录,企业账号统一管理解决方案

    现在的公司一般都会有很多内部管理系统,比如OA.ERP.CRM.邮件系统等.员工入职之后如果每个系统都创建一个账号和密码,首先员工记系统账号就是一件非常头疼的事情,如果公司有一百个系统那就得创建一百个 ...

  3. SharePoint2013 中集成AD RMS 与Office Web App 2013集成

    SharePoint2010时Office Web App2010是一个让人又爱又恨的产品,尽管能够在WEB上查看与编辑文档,甚至能够多能协同编辑,但总会遇到两个看似普通的需求却需要给业务人员大费口舌 ...

  4. 整合AD RMS与EX 2010。

    1.点击开始菜单, 选择所有程 序,展开 Mi cros oft  Excha nge  Server  2010 ,打开Excha nge Ma na gement Cons ol e,选择收件人配 ...

  5. # openVPN+LDAP AD认证,组权限管理

    # openVPN+LDAP AD认证,组权限管理 原创内容http://www.cnblogs.com/elvi/p/7661178.html # openVPN+LDAP AD认证,组权限管理 # ...

  6. 配置AD RMS的一点心得

    基本上是按照下面的连接配置的,微软写的很好 AD RMS Step-by-Step Guide http://technet.microsoft.com/en-us/library/cc753531( ...

  7. [转译] AD RMS 安装最佳实践

    在安装活动目录权限管理服务(ADRMS)时,请牢记以下几点: 将 AD RMS服务单独安装在一台服务器上——将 AD RMS与域控制器.微软邮件服务器(Microsoft Exchange Serve ...

  8. AD RMS总结

    AD RMS 认识篇 AD RMS(Active Directory Right Mangement Servic)活动目录权限服务. 首先我通过了解AD RMS的用途去深入学习AD RMS.在过去用 ...

  9. K2 BPM_【解决方案】从流程梳理到落地,K2为企业打造流程管理闭环_全业务流程管理专家

    很多企业在进行流程管理体系建设的过程中,往往急于求成,还没有理清楚要“做什么”和“怎么做”,就开始大刀阔斧地进行改革优化.管理目标.建设标准的不统一,使得体系建设之间内容重复.要求冲突等现象层出不穷. ...

随机推荐

  1. AutowireCapableBeanFactory源码详解

    一.概述 对于想要拥有自动装配能力,并且想要把这种能力暴露给外部应用BeanFactory类需要实现此接口. 正常情况下不要使用此接口,应该更倾向于使用BeanFactory或者ListableBea ...

  2. spark work目录处理 And HDFS空间都去哪了?

    1.说在前面 过完今天就放假回家了(挺高兴),于是提前检查了下个服务集群的状况,一切良好.正在我想着回家的时候突然发现手机上一连串的告警,spark任务执行失败,spark空间不足.我的心突然颤抖了一 ...

  3. git 分支 branch 操作

    创建分支 git branch test: 基于当前commit创建test分支..git/HEAD 文件中记录了当前分支名字. 删除分支 git branch -d test:删除本地test分支 ...

  4. Spring源码分析:非懒加载的单例Bean初始化过程(上)

    上文[Spring源码分析]Bean加载流程概览,比较详细地分析了Spring上下文加载的代码入口,并且在AbstractApplicationContext的refresh方法中,点出了finish ...

  5. SQL Server T—SQL 基本编程

    一 定义变量 declare   @变量名   数据类型 例:declare  @a  int              -- 变量名前必须有 @ 二 赋值 set     @变量名 = 值 sele ...

  6. 安装jdk出现问题:Error opening registry key'software\Javasoft\Java Runti...

    重装系统后发现jdk没有了,重新安装了,装一个其实挺容易的,但是“java -version”回车的时候,“啪”,error: Error opening registry key'software\ ...

  7. 设计模式之构建者(Builder)模式

    在五大设计原则的基础上经过GOF(四人组)的总结,得出了23种经典设计模式,其中分为三大类:创建型(5种).结构型(7种).行为型(11种).今天对创建型中的构建者(Builder)模式的思想进行了一 ...

  8. 37.Linux驱动调试-根据oops的栈信息,确定函数调用过程

    上章链接入口: http://www.cnblogs.com/lifexy/p/8006748.html 在上章里,我们分析了oops的PC值在哪个函数出错的 本章便通过栈信息来分析函数调用过程 1. ...

  9. Java基础——泛型

    一.定义 泛型(generic)是指参数化类型的能力.可以定义带泛型类型的类或方法,随后编译器会用具体的类型来替换它(泛型实例化).使用泛型的主要优点是能够在编译时,而不是在运行时检测出错误.它是jd ...

  10. windows 下 MyEclipse 逆向工程生成hiberate 对应配置文件以及 javaBean。

    步骤1: 右边工具栏 ->  右击你的项目 -> 选中 MyEclipse  -> Project Facets -> install Hibernate Facet -> ...