WindownServer2016部署AD RMS(保护重要文档)

于 2019-12-04 19:25:19 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: windows服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43973215/article/details/103380111
版权

博客目录
一、AD RMS是什么?
1、AD RMS简介
2、AD RMS群集概述
3、AD RMS客户端介绍
4、AD RMS环境为什么需要IIS?
5、AD RMS环境为什么需要数据库?
二、部署AD RMS服务
1、环境如下:
2、环境分析:
3、问题分析:
4、案例实施:
一、AD RMS是什么?
1、AD RMS简介
RMS(Rights Management Services,权限管理服务)早在Windows 2003中就已经存在,目的是为企业的信息数据提供最大的安全防护技术。

在Windows server 2016中,RMS服务得到了加强,其已经作为常用服务内置在操作系统当中,并正式被命名为AD RMS(Active Directory 权限管理服务)。它与支持AD RMS的应用成树协同工作,以防止在未经授权的情况下使用数字信息。AD RMS适用于需要保护好敏感信息和专有信息的组织。AD RMS通过永久使用策略提供对信息的保护,从而增强组织的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起。

2、AD RMS群集概述
AD RMS群集被定义为运行AD RMS的单一服务器,或共享来自AD RMS客户端的AD RMS发布和授权请求的一组服务器。在Active Directory林中设置第一个AD RMS服务器时,该服务器将成为AD RMS群集,可以随时设置更多服务器并将其添加到AD RMS群集中。

AD RMS有两种类型的群集:根群集和仅授权群集。
AD RMS安装中的第一个服务器通常被称为根群集。根群集处理其安装所在的active directory域服务(AD DS)、域的所有证书和授权请求。对于复杂环境,除根群集外,还可以创建仅授权群集。但是,建议使用一个根群集,然后将更多的AD RMS服务器加入此群集中。

3、AD RMS客户端介绍
AD RMS客户端随Windows 10和Windows server 2016操作系统一起提供。如果用户使用Windows xp、Windows 2000或Windows server 2003作为客户端操作系统,则可以从microsoft下载中心下载AD RMS客户端的兼容版本。

4、AD RMS环境为什么需要IIS?
因为客户端是通过HTTP或HTTPS协议与AD RMS服务器进行通信的,所以部署AD RMS服务器必须同时 安装IIS。

5、AD RMS环境为什么需要数据库?
数据库用于存储AD RMS的配置与策略等信息。可以使用SQL Server,也可以使用AD RMS内置的数据库。

二、部署AD RMS服务
1、环境如下:在这里插入图片描述

2.案例环境
在这里插入图片描述
3.问题分析:
要想成功部署并维护AD RMS,需要先对其工作机制有所了解,从文件所有者创建受保护的文件到最后要访问文件的用户通过验证访问到受保护文件的基本流程如下:

1)用户bob在执行第一次保护文件的工作时,会首先从AD RMS服务器获取一个CLC(客户端许可证书),通过该证书才可以执行后续的文件保护工作。

2)用户bob需要使用AD RMS客户端应用程序创建文件,并在创建文件的同时执行保护文件的工作,主要包括设置可使用此文件的用户及权限。同时,根据这些权限策略,生成发布许可证,发布许可证内包含着文件的使用权限和使用条件。

3)AD RMS客户端用对称密钥将原文件加密。

4)AD RMS客户端将对称密钥加入发布许可证内,然后用AD RMS服务器的公钥对其加密。

5)文件接收者tom用AD RMS客户端打开文件时,如果它的计算机中还没有RAC(权限账户证书),则会从AD RMS服务器获取一个RAC。

6)AD RMS客户端向AD RMS服务器发出索取使用许可证的请求,其中包含RAC和经过AD RMS服务器公钥加密的发布许可证(其中包含对称密钥)。

7)AD RMS服务器收到请求后,用自己的私钥解密发布许可证,得到权限策略和对称密钥。

8)AD RMS服务器用tom的公钥加密权限策略和对称密钥,生成使用许可证,然后发给接收者tom用户。

9)接收者tom用自己的私钥解密使用许可证,得到权限策略和对称密钥,进而解密原文件并按照权限策略的定义打开文件。

4、案例实施:
一、创建域账户
(1) 创建AD RMS服务账户adrmssrvc, 并将此域账户加入AD RMS服务器的本地管理员组。
(2) 创建普通域用户账户Bob和Tom.
(3) 为以上所有账户添加电子邮件地址,如图6.2所示.
在这里插入图片描述
二、安装并配置AD RMS服务
(1) 使用一个属于Enterprise Admins 组或同等组的账户登录AD RMS服务器,本案例使用域管理员账户Administrator。
(2) 打开‘ 服务器管理器”窗口,单击“添加角色和功能”。
(3) 在“添加角色和功能向导”的‘ 开始之前”界面中,单击“下一步” 按钮。

最低0.47元/天 解锁文章
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值