假设有这样一个场景:公司财务部的员工发送一些机密资料,其他人只能够进行查看,其它权限一律不给。那么我们就可以给财务部创建一个模板,这样财务部的员工发送文件的时候就可以套用该模板进行发送,这样任何人收到文件后就只能进行查看,而无需财务部员工每次都自己进行权限的指定。

网络拓扑如下图

image

 

实验目标:Mark是财务部的一名员工,他使用公司AD RMS服务器上的策略模板给公司员工的Alice发送文件,Alice收到后只能读取该文件

 

实验思路:

1.在AD RMS上创建权限策略模板,该策略模板的权限为任何人只能查看

2.指定权限策略模板的UNC路径,让财务部的员工可以访问到该权限策略模板来利用该策略模板,我们需要在DC上安装office2010组策略模板

3.财务部员工套用权限策略模板发送文件

4.测试其它用户收到后是否只能读取文件

 

一.创建权限策略模板

如下图,选择“创建分布式权限策略模板”

image

 

选择添加,然后输入相关信息,然后选择下一步

image

 

在这里我们选择添加

image

 

选择“任何人”

image

 

任何人的权限是“查看”,但是如果他们想请求权限,可以给caiwu@abc.com发送请求  ,选择“下一步”

image

 

默认选择了永不过期,也就是文件到什么时候就可不能进行查看了

image

 

我们直接选择“完成”至于其他的“指定扩展策略”,“指定吊销策略”如果想使用请见AD RMS帮助

image

 

完成后视图如下

image

 

我们选择“查看权限摘要”

image

 

如下图,任何人只有查看权限

image

 

二.指定权限策略模板的UNC路径,并安装office2010组策略模板

如下图,在AD RMS服务器上的D盘创建一个共享文件夹AD RMS  template

image

 

该文件夹的权限是财务组可以读取(这个组我已经在CAIWU的组织单位中进行创建且该组的邮件地址是CAIWU@abc.com),AD RMS服务启动账户需要写入的权限,为什么AD RMS服务器账户需要写入权限,您可以不进行设置,然后看看后面报什么错误就知道为什么需要AD RMS服务启动帐户写入权限

image

 

如下图,完成共享

image

 

选择我们的创建的策略,选择“属性”

image

 

在这里我们选择“启用导出”复制UNC路径,然后选择应用,确定

image

 

如下图,DC上我的准备工作

image

 

为了让CAIWU部的员工可以使用创建的权限策略模板,我们必须在DC上安装office2010的组策略模板,如下图,我已经解压了该策略模板

image

 

对caiwu部的OU上创建一条组策略,选择“编辑”

image

 

我们定位到用户配置,选择“管理模板”,选择“添加/删除模板”

image

 

选择“添加”

image

 

我们定位到ADM,选择zh-cn

image

 

选择“office14”,选择打开,关闭

image

 

如下图,我们就可以管理office2010,我们定位到“管理受限权限”,选择“指定权限策略路径”

image

 

输入刚才的UNC路径,应用确定,然后刷新下DC上的组策略,这样用户登录后office2010就可以找到域中的策略模板,并使用该权限策略模板

image

 

3.财务部员工套用权限策略模板

如下图,Mark登录win701后打开Word,随便输入一些信息

image

 

如下图,在“按人员限制权限”中就有了我们创建的策略模板“权限仅读取”

image

 

如下图,非财务部员工Alice登录win702,打开Mark创建的word文件

image

 

同样的Alice需要连续到AD RMS服务器去下载权限

image

 

如下图,Alice输入用户名和密码后,打开该文档,查看权限只有“查看”权限

image

 

如果alice想要其它的权限,我们可以点击“请求附加权限”,这个时候会调用outlook

image

 

如下图,Alice登录后无法使用到权限策略模板,因为我们的office组策略只针对了caiwu部

image

 

 

以上,我们就完成了AD RMS权限策略模板的实验