我们知道AD RMS可以用来保护我们的office应用程序,但是并非所有的office应用程序都可以使用AD RMS来进行保护,且AD RMS对office的版本也有要求,此外操作系统必须安装AD RMS客户端,也就是说早期的像XP,2003的话需要下载AD RMS客户端进行安装。

 

Office支持的版本:2003,2007,2013

office支持的应用程序:Word,Excel,Outlook,Infopath

AD RMS客户端:

Active Directory 权限管理服务 (AD RMS) 客户端随 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系统一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作为客户端操作系统,则可以从 Microsoft 下载中心下载 AD RMS 客户端的兼容版本。

 

具体见微软连接:http://technet.microsoft.com/zh-cn/library/cc731051.aspx

image

 

注意事项如果您的公司使用office2003通过AD RMS进行保护,请安装补丁:KB978551,该补丁链接地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=7882,这个补丁是解决AD RMS保护office2003中遇到的问题

 

部署AD RMS的要求,这个我们可以在AD RMS的帮助中找到,其中有一点很重要必须要电子邮件地址,此外我们还需要给AD RMS申请一张证书,当然域环境也是必须的。

image

 

网络拓扑如下图

image

 

部署思路:

1.安装活动目录,安装企业CA

2.AD RMS申请一张证书

3.AD RMS服务启动需要一个域账户,创建普通域账户即可且密码要永不过期

4.部署AD RMS,AD RMS需要的数据库直接使用Windows 2008 R2自带的

5.部署完AD RMS必须先注销再登陆后打开AD RMS管理控制台

 

一.比较简单顾不进行演示

 

二.AD RMS申请一张证书,这张证书主要是用来让客户端通过加密连接到AD RMS群集

如下图,我们在AD RMS服务器上打开运行输入“MMC”

image

 

选择“添加/删除管理单元”

image

 

选择证书进行添加

image

 

选择“计算机账户”

image

 

选择“本地计算机”完成

image

 

在MMC个人右击,选择“申请新证书”

image

 

选择“下一步”

image

 

选择“Active Directory注册策略”

image

 

选择“计算机”进行注册

image

 

注册成功

image

 

完成后视图如下

image

 

三.创建一个普通域账户,但是密码必须永不过期,因为该账户是用来启动AD RMS服务的

如下图,我创建了一个AD RMS的组织单位,创建了一个域用户ADRMS

image

 

完成后视图如下

image

 

四.部署AD RMS

如下图,选择“添加角色”

image

 

选择“Active Directory Rights Managment Services”默认选择这个后就自动选择了安装AD RMS必备的组件,我们直接下一步

image

 

在AD RMS告诉我们部署AD RMS后该服务器的名称就不能进行更改

image

 

这里我们直接默认即可

image

 

默认选择“新建AD RMS群集”,我们直接下一步

image

 

我们直接使用此服务器上的内部数据库

image

 

如下图,域用户账户输入我们刚才创建的普通域账户ADRMS即可,在这里建议大家读下上面的文字说明

image

 

默认选择“使用AD RMS集中管理的密钥存储”

image

 

这个密码用于其它AD RMS服务器加入该群集,这个密码非常的重要,恢复AD RMS群集的时候也要使用该密码

image

 

直接默认,下一步

image

 

这个域名必须和我们证书上申请的域名一致,这点很重要,然后选择“验证”

image

 

验证成功后,选择“下一步”

image

 

先前我们申请的证书,在这里就自动识别到了

image

 

识别名称我们直接保持默认即可

image

 

这里是注册SCP,要注册该SCP必须是企业管理组的成员,假设您以后把AD RMS服务器给格式化了,您再次安装会发现AD RMS装不上,原因就在于林中只能有一个SCP而您格式化后并没有在AD活动目录中进行删除,顾再次安装注册SCP不成功,导致SCP无法注册

image

 

保持默认

image

 

IIS这里我们不需要更改默认就帮我们搞定了,其中有ASP.NET

image

 

选择“安装”

image

 

安装的完成后,告诉我们必须注销服务器,然后登陆服务器再打开AD RMS管理器,这是为什么?

image

 

如下图,安装完AD RMS在本地管理组中创建了如下的一些组,我们可以通过说明知道这样组是干什么用的,其中我们的abc\adrms成员就被添加到了启动AD RMS服务的组中

image

 

因为安装完AD RMS这些组是刚刚创建的所有我们要注销下服务器,这样用户才可以更新权限,具体见下图解释

image

 

部署完成后视图如下

image

 

以上,我们就完成了AD RMS的部署