Windows Server 2008 R2 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术,它与支持 AD RMS 的应用程序协同工作,以防止在未经授权的情况下使用数字信息(无论是联机和脱机,还是在防火墙内外)。AD RMS 适用于需要保护敏感信息和专有信息(例如财务报表、产品说明、客户数据和机密电子邮件消息)的组织。AD RMS 通过永久使用策略(也称为使用权限和条件)提供对信息的保护,从而增强组织的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据,因此使用权限保持与信息在一起,而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问(无论是联机和脱机,还是在防火墙内外)后得以强制执行。

使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。

AD RMS 客户端随 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系统一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作为客户端操作系统,则可以从 Microsoft 下载中心下载 AD RMS 客户端的兼容版本。

本次实验用到的虚拟机总共有四台

DC、AD RMS:Windows Server 2008 R2

SQL Server 2008 R2:Windows Server 2008 R2

Exchange 2010 SP2:Windows Server 2008 R2

Client: Windows 7

1、在AD RMS服务器上安装角色

p_w_picpath

2、点击下一步

p_w_picpath

3、选择角色服务

p_w_picpath

4、选择新建AD RMS 群集

p_w_picpath

5、选择数据库,我这个环境中搭建了SQL Server 2008 R2,所以我这里选择SQL服务器

6、指定服务账户,我这里选择事先建好的服务账号(此账户加入到Domain admins组)

p_w_picpath

7、选择使用AD RMS集中管理的密钥存储

p_w_picpath

8、输入群集密码

p_w_picpath

9、指定群集网站

p_w_picpath

10、我在环境中搭建了证书服务器,所以这里我选择使用SSL加密连接

p_w_picpath

11、选择加密的服务器身份验证证书

p_w_picpath

12、输入证书名称

p_w_picpath 

13、选择以后注册AD RMS服务连接点

p_w_picpath 

14、点击安装

p_w_picpath

15、安装完所后AD RMS管理控制台的初始界面

p_w_picpath

16、右击服务器名称,选择属性,选择SCP选项卡,勾选更改SCP

p_w_picpath

17、点击是

p_w_picpath 

18、在DC上打开ADSI编辑器,右击ADSI编辑器,选择连接到,选择配置

p_w_picpath

19、依照下图查看,增加了SCP

p_w_picpath

20、或着打开AD站点和服务,点击查看,点击显示服务节点

21、选择服务,以下图查看,增加了SCP

p_w_picpath 

22、在win7客户端上,以test2@example.com用户登录,打开IE浏览器,选择工具-internet选项,打开安全选项卡,选择本地intranet,将AD RMS服务器名加入到区域

p_w_picpath

23、打开WORD,文件-信息,选择保护文档,选择按人员限制权限,选择限制访问

p_w_picpath

24、开始配置信息权限管理

p_w_picpath

25、添加test1@example.com用户为读取

p_w_picpath

26、以test1@example.com用户登录,打开test2建立的文档,可以看到test1只有查看的权限

p_w_picpath