如果您当前打算在您的 AD 域环境部署 ADRMS 服务器,那么请切记不要把它安装 DC 上,如果您坚持要这样做,我们目前发现的问题主要有两个:
1.如果 ADRMS 服务器安装在域控 DC 上,我们需要添加 AD RMS 服务账号(通常我们会设置为 “Domain\adrmssrvc” )到 Domain Admin 组才能正常工作;而如果 AD RMS 安装在一台域成员服务器上,这个账号只需要是普通的 Domain Users 用户即可;
2.安装好 AD RMS 服务器后,默认 IIS 站点仅赋予了 “Domain\Users” 这个默认容器的用户可以访问 AD RMS 的 Web 服务;
对于第1点来说,这可能带来一些安全上的问题,毕竟 Domain Admin 组设计来是为了管理整个 Domain 的;对于第2点来说,如果某个用户不属于 Users 这个默认容器,那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加 “Domain\Domain Users” 到IIS 的安全访问列表里(参照下图),但是毕竟这带来了管理上的不便。
参考:
========
http://technet.microsoft.com/en-us/library/jj735304.aspx
Best practice rule | Notes |
Use dedicated ADRMS servers. | Installing ADRMS on the same server as a domain controller, Microsoft Exchange Server, Certification Authority, or Microsoft Office SharePoint Server is a poor security practice. |
Do not install ADRMS on a domain controller. | If you do install ADRMS on a domain controller, you must add the ADRMS service account, which is normally configured with no additional permissions, to the Domain Admins group. |
http://blogs.technet.com/b/rmssupp/archive/2007/10/18/the-dos-and-don-ts-of-rms.aspx
DON'T put RMS on a domain controller. This issuch a bad idea, that every time I see it, I want to go tell the person to gopick a switch and meet me behind the toolshed. You have to give the RMS_Serviceaccount admin rights on the machine to do this, and you agghhh.. Just don't!!
微软安全支持专家
Gary
6619
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
