WindownServer2016部署AD RMS（保护重要文档）

博客目录
一、AD RMS是什么？
1、AD RMS简介
2、AD RMS群集概述
3、AD RMS客户端介绍
4、AD RMS环境为什么需要IIS？
5、AD RMS环境为什么需要数据库？
二、部署AD RMS服务
1、环境如下：
2、环境分析：
3、问题分析：
4、案例实施：
一、AD RMS是什么？
1、AD RMS简介
RMS（Rights Management Services，权限管理服务）早在Windows 2003中就已经存在，目的是为企业的信息数据提供最大的安全防护技术。

在Windows server 2016中，RMS服务得到了加强，其已经作为常用服务内置在操作系统当中，并正式被命名为AD RMS（Active Directory 权限管理服务）。它与支持AD RMS的应用成树协同工作，以防止在未经授权的情况下使用数字信息。AD RMS适用于需要保护好敏感信息和专有信息的组织。AD RMS通过永久使用策略提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。

2、AD RMS群集概述
AD RMS群集被定义为运行AD RMS的单一服务器，或共享来自AD RMS客户端的AD RMS发布和授权请求的一组服务器。在Active Directory林中设置第一个AD RMS服务器时，该服务器将成为AD RMS群集，可以随时设置更多服务器并将其添加到AD RMS群集中。

AD RMS有两种类型的群集：根群集和仅授权群集。
AD RMS安装中的第一个服务器通常被称为根群集。根群集处理其安装所在的active directory域服务（AD DS）、域的所有证书和授权请求。对于复杂环境，除根群集外，还可以创建仅授权群集。但是，建议使用一个根群集，然后将更多的AD RMS服务器加入此群集中。

3、AD RMS客户端介绍
AD RMS客户端随Windows 10和Windows server 2016操作系统一起提供。如果用户使用Windows xp、Windows 2000或Windows server 2003作为客户端操作系统，则可以从microsoft下载中心下载AD RMS客户端的兼容版本。

4、AD RMS环境为什么需要IIS？
因为客户端是通过HTTP或HTTPS协议与AD RMS服务器进行通信的，所以部署AD RMS服务器必须同时 安装IIS。

5、AD RMS环境为什么需要数据库？
数据库用于存储AD RMS的配置与策略等信息。可以使用SQL Server，也可以使用AD RMS内置的数据库。

二、部署AD RMS服务
1、环境如下：

2.案例环境

3.问题分析：
要想成功部署并维护AD RMS，需要先对其工作机制有所了解，从文件所有者创建受保护的文件到最后要访问文件的用户通过验证访问到受保护文件的基本流程如下：

1）用户bob在执行第一次保护文件的工作时，会首先从AD RMS服务器获取一个CLC（客户端许可证书），通过该证书才可以执行后续的文件保护工作。

2）用户bob需要使用AD RMS客户端应用程序创建文件，并在创建文件的同时执行保护文件的工作，主要包括设置可使用此文件的用户及权限。同时，根据这些权限策略，生成发布许可证，发布许可证内包含着文件的使用权限和使用条件。

3）AD RMS客户端用对称密钥将原文件加密。

4）AD RMS客户端将对称密钥加入发布许可证内，然后用AD RMS服务器的公钥对其加密。

5）文件接收者tom用AD RMS客户端打开文件时，如果它的计算机中还没有RAC（权限账户证书），则会从AD RMS服务器获取一个RAC。

6）AD RMS客户端向AD RMS服务器发出索取使用许可证的请求，其中包含RAC和经过AD RMS服务器公钥加密的发布许可证（其中包含对称密钥）。

7）AD RMS服务器收到请求后，用自己的私钥解密发布许可证，得到权限策略和对称密钥。

8）AD RMS服务器用tom的公钥加密权限策略和对称密钥，生成使用许可证，然后发给接收者tom用户。

9）接收者tom用自己的私钥解密使用许可证，得到权限策略和对称密钥，进而解密原文件并按照权限策略的定义打开文件。

4、案例实施：
一、创建域账户
(1) 创建AD RMS服务账户adrmssrvc, 并将此域账户加入AD RMS服务器的本地管理员组。
(2) 创建普通域用户账户Bob和Tom.
(3) 为以上所有账户添加电子邮件地址，如图6.2所示.

二、安装并配置AD RMS服务
(1) 使用一个属于Enterprise Admins 组或同等组的账户登录AD RMS服务器，本案例使用域管理员账户Administrator。
(2) 打开‘ 服务器管理器”窗口，单击“添加角色和功能”。
(3) 在“添加角色和功能向导”的‘ 开始之前”界面中，单击“下一步” 按钮。
(4) 在‘ 选择服务器角色” 界面中选中、 Active Directory Rights Management Services" 复选框,此时会弹出提示框.提示ADRMS 依赖的一些功能.如必须安装Web服务器(IS). .NET Framework等.然后单击“添加功能”及“下一步”按钮，如图6.3所示.

(5) 在“选择功能”界面中保持默认.单击“下一步”按钮。
(6)阅读ADRMS简介页.单击“下一步”按钮,在“选择角色服务”界面中确认已选中"ActiveDirectory权限管理服务器”复选框， 如图6. 4所示，然后单击“下一步”按钮。

(7)阅读IS简介页,单击“下一步”按钮,在选择角色服务”界面中保持默认,然后单击“下一步”按钮，如图6.5所示。

(8) 在‘ 确认安装所选内容” 界面中可看到已选的角色、服务等，确认无误后,单击“安装”按钮，如图6.6所示.

(9)安装完成后，单击” 执行其他配置”，如图6.7所示，

(10) 在“AD RMS配置” 的简介界面中.单击“下一步”按钮。
(11)在"AD RMS群集”界面中选中、 创建新的AD RMS根群集”单选按钮.单击“下一-步”按钮，如图6.8 所示.

(12) 在“配置数据库”界面中选中。在此服务器 上使用Windows内部数据库”单选按钮， 单击“下一步”按钮，如图6.9所示.

(13) 在“服务账户”界面中单击指定”按钮,输入服务账户的域用户账户adrmssvc及其密码，单击“确定”按钮，然后单击“下一步”按钮，如图6.10所示。

(14) 在‘ 加密模式”界面中保持默认设置.单击“下一步”按钮.
(15)在‘ 群集密钥存储” 界面中确保选中了‘ 使用AD RMS集中管理的密钥存储”单选按钮.然后单击“下一步”按钮，如图6.11所示.群集密钥是AD RIMS群集颁发证书和许可证时签名所需的密钥，该密钥用于其他AD RMS服务器加入群集和进行灾难恢复。

(16) 在、 群集密钥密码”界面中的“密码”和‘ 确认密码”文本框中输入强密码,如图6.12所示，然后单击“下一步”按钮。此密码用于加密群集密钥。因此，当其他AD RMS服务器加入群集和进行灾难恢复而用到群集密钥时，需要此密码。

(17) 在群集网站”界面中选择要在其中安装AD RMS Web服务的网站，然后单击“下一步”按钮。在默认安装中，网站的名称应该是"Default Web Site" ，如图6.13 所示。

(18)在“群集地址”界面中选中“ 使用SSL加密的连接(https://)" 单选按钮，在”完全限定的域名”文本框中输入AD RMS群集的完全合格的域名,如图6.14所示。如果需要更改AD RMS进.行通信的默认端口，也可以在此界面进行更改。单击“下一步”按钮。

(19) 在‘ 服务器证书”界面中选择”为Ss加密创建自签名证书”。并单击“下一步”按钮。
(20)在“许可方证书” 界面中输入一个便于识别的证书名称,加入此群集的其他ADRMS服务器将共享这个证书，输入后单击“下一步”按钮.如图6.15所示.

(21)在“SCP注册” 界面中确保选中了“ 立即注册SCP"单选按钮.如图6.16所示,然后单击“下一步”按钮。此步骤用于在Active Directory域服务中创建AD RMS服务连接点(SCP). 以便让客户端通过AD定位这台AD RMS服务器。

(22) 在‘ 确认”界面中查看摘要信息，如图6.17所示，单击“安装”按钮，开始在计算机上安装ADRMS服务。

(23)安装成功后会显示-个安装结果页面,要求必须先注销并重新登录,才可以管理ADRMS,如图6.18所示.

(24) 重新用域管理员账户登录后在服务器管理器的”工具”菜单中选择”Active Directory RightsManagement Services" 选项,打开AD RMS管理控制台对AD RMS进行管理操作,如图6. 19所示。

三、配置AD RMS权限策略模板
1.创建用于保存权限策略模板的共享文件夹
因为客户端必须将服务器上创建的权限策略模板保存到本地计算机才能使用，所以应在群集中创建一个共享文件夹，用于保存权限策略模板。操作步骤如下。
(1)以域管理员账户在RMS服务器上登录,建立一个文件夹adrms (名称不固定,可以任意起).
(2) 右击该文件夹,在弹出的快捷菜单中选择“属性” →“共享”→° 高级共享”选项。
(3) 打开“高级选项"对话框,选中‘ 共享此文件夹“复选框,然后单击“权限”按钮。
(4) 在文件夹的权限对话框单击“添加”按钮，添加AD RMS服务账户adrmssrvc, 赋予adrmssvc账户更改权限和读取权限，如图6.20所示， 单击”确定” 按钮。

(5) 为此文件夹设置NTFS权限，添加adrmssrvc账户并为该账户赋予权限，如图6.21所示。

2. 创建权限策略模板
(1) 打开AD RMS管理控制台.选择‘ 权限策略模板”选项,显示‘ 分布式权限策略模板”界面，如图6.22所示。

(2)在AD RMS控制台右侧的"操作” 窗格中.单击、 创建分布式权限策略模板”链接,打开创建分布式权限策略模板”对话框， 如图6. 23所示。

(3)单击“添加”按钮.打开‘添加新的模板标识信息” 对话框。选择默认语言为“中文(中国)”，在“名称”文本框中输入新建模板的名称为"Tom专用”。 在描述”列表框中输入重要信息，禁止复制.”.如图6.24所示.单击“添加” 按钮.将所有设定好的信息添加到模板当中。回到“添加模板标识信息”界面.单击“下一步”按钮。

(4) 在“添加用户权限”界面中，为用户添加必需的权限，如图6.25所示。默认情况下,”用户和权限”列表框显示为空.这意味着只有信息的所有者或作者对该信息拥有永远不过期的权限，其他任何用户都没有权限来操作受AD RMS保护的信息。

(5)单击‘ 添加”按钮，将用户Tom的电子邮件添加到‘ 用户或组的电子邮件地址”文本框中，如图6.26所示，单击“确定” 按钮。 如果选中、任何人” 单选按钮，则意味着该模板对所有用户有效。

(6)在”用户和权限” 列表框中选择希望赋予用户的相关权限，这里只给用户Tom查看信息的.权限.所以在权限列表中，只选中“查看”复选框. 设置完后单击“下一步” 按钮,如图6.27所示。

(7)在”指定过期策略”界面中的“内容有效期限” 选项组中,选中口。 永不过期” 单选按钮.单击“下一步”按钮，如图6.28所示.

(8)在“指定扩展策略” 界面中，选中”使用户能够使用浏览器加载项查看受保护的内容”复选框，如图6. 29所示。该功能被选中后，即使用户Tom没有安装Office客户端，也可以通过安装一些相对应的插件在浏览器中查看受AD RMS保护的Office文件。单击“下一步”按钮。

(9)在“指定吊销策略” 界面中不需要设置任何内容，如图6.30所示，直接单击“完成”按钮。吊销策略是ADRMS中一项非常重要的功能.如果希望实施吊销策略功能，需要事先以手动的方式在服务器上创建一个吊 销列表(Crifiate RevocationList. CRL). 在生成吊销列表的同时,为吊销列表生成一组公/私钥. 用生成的私钥来签署吊销列表.同时.还需要为用户指定-一个URL地址或
UNC路径，以便于用户访问吊销列表。但在一般情况下. 并不需要AD RMS服务器的吊销。

3. 导出权限策略模板
   在创建新的‘分布式权限策略模板” 后，可以在AD RMS控制台中查看新创建的策略模板。但是策略创建后并不能马上生效，还需要将策略模板导出到共享文件夹。下面是具体的操作.
   (1)在ADRMS管理控制台的左侧窗格中,右击” 权限策略模板”, 在弹出的快捷菜单中选择“属性”选项,打开‘权限策略模板属性”对话框.选中”启用导出”复选框.指定模板文件的位置为之前创建的adrms共享文件夹.如图6.31所示,单击~确定”按钮。
   
   (2)在之前创建的共享文件夹adrms中可以看到,权限策略模板文件已经导出,如图6.32所示。
   
   四、 客户端测试
   在ADRMS群集服务器配置完成后,需要在客户端计算机上做相应的配置,然后就可以使用ADRMS来保护受访问的文件了.本案例使用Windows 10作为客户端计算机的操作系统, Microsoft OfficeWord 2016 作为客户端的应用程序。
   1.准备环境
   完成以下操作。
   (1)客户端计算机用本地管理员登录，安装Microsoft Office Word 2016。
   (2)将客户端计算机加入域,并重新启动。
   (3) 客户端计算机重新启动后，使用域账户Bob登录。
   (4) 运行命令regedit, 打开注册表编辑器， 并展开HKEY. _CURRENT. _USER\Software\Microsoft\Office\16 .0\Common\DIM文件夹,在右侧窗格空白处右击,在弹出的快捷菜单中选择“新建”→’字符串值”选项，如图6. 33所示。
   
   (5)新建一 个字符串值并命名为"AdminTemplatePath" .双击该字符串值.开始进行编辑,在”数值数据”文本框中输入在ADRMS服务器上保存权限策略模板的UNC路径.如图6. 34所示,确认无误后单击“确定”按钮。
   
   2.账户Bob创建受保护文件。
   (1) 选择“文件”→保护文档”→“限制访问”选项,可以在展开的菜单中看到从RMS服务器的共享文件夹中成功加载了名为"Tom专用” 的权限策略模板.如图6.35所示。
   
   (2)选择"Tom专用”权限策略模板.在打开的对话框中输入用户凭据Bob及其密码,如图6.36 所示，单击“确定”按钮。
   
   (3)保存并关闭此Word文档。文档被ADRMS保护后.权限不因物理位置的改变而改变。因此.可以将文档存储在客户端计算机本地.也可以存储在网络上的共享文件夹中。本案例将Word文档存储客户端计算机

3.账户Tom访问受保护文件
执行下面的操作。
(1) 使用域账户Tom登录客户端计算机。
(2)打开由账户Bob创建的受保护的Word文档。
(3)在打开的“Windows 安全”对话框中输入用户凭据 Tom及其密码.并单击“确定”按钮。
(4)在打开的对话框中提示此文档的权限受限制的相关信息,选中“连接到此AD RMS服务时不再显示此消息。”复选框，如图6.37所示,单击~确定”按钮。

(5）打开Word文档后，可以看到保存按钮和所有编辑类的按钮都是不可用状态，如图6.38所示，另外，也禁用了“另存为“ “打印”“复制”“粘贴”等功能。

(6) 单击图6.38中的“查看权限”按钮，在打开的“ 我的权限”对话框中显示出当前用户对该文档的权限.如图6.39所示。经过上述验证,说明ADRMS环境搭建正确.权限策略模板成功生效.

五、其他 AD RMS群集策略
除了权限策略模板以外. AD RMS群集还提供了一些策略.用于对访问行为进行更加精确的控制。在本案例中，可以根据用户的需求，随时对相应的策略进行设置.

AD RMS群集信任策略
AD RMS信任策略是不同的AD RMS群集.或者两个或者多个域林中的AD RMS服务器建立信任关系的唯一标准， 包含、受信任的用户域” 选项和、受信任的发布域” 选项， 如图6 .40所示。

1)受信任的用户域
只有在受信任的用户域中的用户才可以使用AD RMS服务器提供的权限保护服务对文件进行保护操作。不同的ADRMS群集或者两个或者多个域林中的ADRMS服务器是通过对方的许可证书来识别的。用户可以将其他的AD RMS群集中的信任用户域导出.并添加到本地的服务器中,如图6.41所示，这样本地服务器也就具备了为其他用户提供权限服务的功能。由于导出的信任用户域文件当中包含原有AD RMS服务器的许可证信息,因此只要原有的AD RMS服务器与本地的AD RMS服务器之间建立了信任关系,那么该域的用户就可以使用当前的AD RMS服务器提供的使用许可证对文件提供权限保护服务。

2)受信任的发布域
受信任的发布域主要用于定义AD RMS群集发布的许可证受到此群集的信任,通过导入其他群集的服务器许可方证书(SLC) 在本ADRMS群集与其他群集之间建立信任关系。与受信任的用户域正好相反,在受信任的发布域中的列表框中显示的是本地的服务器记录,如图6. 42所示.受信任的发布域文件的导入和导出与受信任的用户域的文件十分近似,但是要注意有以下两点不同。

➢发布域的文件类型为 XML格式，并包含要信任的AD RMS服务器许可证.群集的密钥和模板信息等。
➢发布域文件是受到密码保护的， 在导入发布文件的时候必须要输入原来的AD RMS服务器上使用的存储密码。

AD RMS权限账户证书策略
权限账户证书(RAC) 是AD RMS服务器分配给各用户的认证凭证.它将用户的账户与一个经过保护的密钥对相互关联，密钥对专门用于客户端用户计算机。用户可以通过分配给自己的权限账户证书来发布和使用受AD RMS保护的文件内容。每个证书中都会包含一个公钥，主要是明确用户可以使用有关信息的权限。由于在公司中应用环境不同(例如. 希望用户只在自己固定的计算机上查看相关的敏感信息或为了方便用户的访问.允许在不同位置使用ADRMS保护的文档).可以将权限账户证书策略分配为标准RAC和临时RAC.标准RAC的默认使用期限为1年，而临时RAC的默认使用期限为15分钟。管理员可以根据不同的需要来选择对应的权限账户证书策略。单击更改标准RAC有效期”按钮,在“标准RAC有效期(天)"文本框中输入需要的具体天数(有效期范围为1-9999天).如图6.43所示。

临时RAC的有效期限也是可以修改的，用户可以在权限账户证书策略的属性对话框中。切换到临时RAC"选项卡,在“临时 RAC的有效期(分)”文本框中输入需要的具体分钟数(有效期范围为0-600000分).如图6.44所示。

AD RMS排除策略
AD RMS排除策略主要是用来防止非授权的用户使用AD RMS服务。可以试想这样的场景，由于用户Bob的疏忽. ADRMS凭证被泄露,导致其他用户可以使用该凭证访问受ADRMS保护的信息。这时候最好的方式就是采用排除策略来排除Bob 账户的公钥信息。在排除该信息后，用户在下一次试图获得新内容的用户许可时，他的请求将会被拒绝。如果希望获得用户的许可证书，则必须使用新的密钥对来检索新的权限账户证书。
在AD RMS控制台中，选择‘排除策略” 选项， 可以设置用户排除.应用程序排除及密码箱版本排除.如图6. 45所示.

AD RMS安全策略
基于AD RMS自身安全的考虑，在AD RMS管理控制台中还设有‘安全策略“ 选项，主要包括超级用户”“群集密钥密码”‘ 解除授权”。 默认情况下这些策略都是禁用的,如果根据需要要配置这些安全策略，首先需要启用这些策略.
1)超级用户
如果将用户加入超级用户组，那么该用户在向AD RMS服务器请求用户许可证时,将被授予相当于所有者的用户许可证，在获得该许可证后,用户将可以使用该服务器上所有受到AD RMS保护的信息。
2)群集密钥密码
通过设置群集密钥密码，AD RMS将为服务器创建AD RMS私钥。该密钥将被加密并存储在配置数据库中，建议将私钥备份并存储在一个安全的位置. 如果AD RMS私钥不小心被泄露，则需要立刻在服务器.上取消AD RMS设置，然后重新设置AD RMS以获得新的私钥。
3)解除授权
解除授权是指撤销AD RMS服务器赋予指定用户对被保护文档的所有权限。也就是说,如果希望所有用户可以访问某些信息而不再受到权限的限制可以使用该项功能。此功能一般在 需要彻底撤销ADRMS服务的时候才会使用。在解除授权之后，还需要修改IS中的“解除 Web服务的授权”界面中的访问控制列表，使用户可以访问IS。具体方法:在"Internet Iformation Services (IS)管理器’窗口中选择“decommission” 选项,双击‘身份验证” 。在默认提供的4种身份验证中取消原有的身份验证方式，转而启用“匿名身份验证 ”，如图6.46所示。