Windows Server R2 之21 AD RMS管理Word文件下载.docx

Windows Server R2 之21 AD RMS管理Word文件下载.docx

《Windows Server R2 之21 AD RMS管理Word文件下载.docx》由会员分享，可在线阅读，更多相关《Windows Server R2 之21 AD RMS管理Word文件下载.docx（17页珍藏版）》请在冰豆网上搜索。

3、日志记录选项

启用和禁用ADRMS日志记录。

验证日志是否正写入数据库：

登录ADRMS日志记录数据库的数据库服务器。

在SQLServer企业管理器中，展开“数据库”，然后展开ADRMS日志记录数据库。

展开“表”，右键单击ServiceRequest，然后单击“打开表-返回所有行”。

如果正在创建日志文件，将会在此表中看到一行或多行内容。

4、SCP选项

ADRMS的服务连接点（SCP）标识服务到组织中支持ADRMS的客户端的连接URL。

在ActiveDirectory域服务（ADDS）中注册SCP后，客户端将能够发现ADRMS群集以请求使用许可证、发布许可证或权限帐户证书（RAC）。

三、信任策略

请查看

四、权限策略模板

权限策略模板是在RMS服务器上创建的。

它在服务器数据库和指定文件夹以XML件分别存放。

在客户端机以XML文件形式存在本地或网络共享文件夹中。

它支持动态更新，即新的模板不用重新应用以前用保护的内容上，当用户获取UL时，获取更新后的模板；

它由受权服务器负责管理。

存档的模板不会导出到模板导出位置，也不会通过模板分发管道进行分发。

在客户端计算机刷新其权限策略模板后，用户不能再使用存档的模板发布新内容。

但是，存档的模板允许服务器继续为已经按照其发布的内容发放使用许可证。

存档的权限策略模板不会导出到共享模板文件夹。

如果希望导出此模板，必须将其更改回分布式权限策略模板。

1、指定权限策略模板的位置

在服务器上创建将用于存储导出的权限策略模板的文件夹。

它的共享权限为ADRMSServiceGroup

和系统 

修改权限；

用户 

读取。

打开ActiveDirectoryRightsManagementServices控制台，并展开ADRMS群集。

在控制台树中，单击“权限策略模板”。

在“操作”窗格中，单击“属性”，然后选中“启用导出”复选框。

2、创建分布式权限策略模板

3、客户端配置

可以通过组策略或注册表键值来配置客户端模板的位置 

组策略配置

首先在微软网站上下载2007Officesystem管理模板文件（ADM,ADMX,ADML）和Office自定义工具2.0版。

安装它，通过组策略管理器导入Office12.adm后，便可以在“用户配置”、“管理模板”、MicrosoftOffice2007System、“管理受限权限”下找到IRM设置。

请配置“指定权限策略路径”设置以反映客户端计算机上的本地模板存储

模板位置由启用了RMS的应用程序确定。

对于Office 

2003及更高版本，它作为用户设置存储在注册表中的下列位置：

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath

-或-

对于MicrosoftOffice 

2007为HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。

五、权限帐户证书策略

六、排除策略

RMS服务器可以基于某些因素（用户、应用程序、密码箱的版本）拒绝对许可的请求。

应用程序排除

用户排除

查找公钥字符串的方法：

方法一：

用XML编辑软件打开%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\DRM文件夹下，以GIC开始的文件。

查找这个文件中的字符PUBLICKEY之后的字符即为RAC公钥。

如下面的红色字符

S-1-5-21-1852165163-3964074178-2835269463-500<

/ID>

<

NAME>

administrator@hbycrsj.com<

/NAME>

/OBJECT>

PUBLICKEY>

ALGORITHM>

RSA<

/ALGORITHM>

PARAMETER 

name="

public-exponent"

>

VALUE 

encoding="

integer32"

65537<

/VALUE>

/PARAMETER>

modulus"

base64"

size="

1024"

E1sud5YvSFtrEDrDA7AFrmL9tIPOlzp0GrZXX0D3VtYI80XJkAsxDDaLC3sdZqIyvkyUASHJpwV68WnEEnLAP/alsD1M+v66QEzrv+L4xEqmDvn+4UYkVWLsg9ljFMQa6WoLsF5s54/eNWT/nv9F7nVkQexTjJZcTYnF4p85XcM=<

/PUBLICKEY>

SECURITYLEVEL 

Group-Identity-Credential-Type"

value="

Persistent"

/>

Group-Identity-Type"

方法二：

在用户排除直接输入用户名@域名，然后选择这个用户，在操作栏选择将公钥复制到剪切板

七、安全策略

1、更改超级用户设置

此选项允许您启用或禁用ADRMS超级用户组。

此组可以解密由群集发布的所有内容。

2、重置密码

如果群集的私钥由ADRMS集中管理，则群集密钥密码将用于保护ADRMS群集的私钥。

3、更改解除授权设置

在从基础结构中删除ADRMS之前会使用解除授权功能，而且需要解密受ADRMS保护的所有内容。

八、备份 

RMS服务器

1、备份RMS服务器：

备份RMS根证书服务器的数据库；

备份每一台RMS授权服务器的数据库；

备份每一台RMS服务器的私钥；

2、备份数据库的内容：

配置数据库：

包含配置信息和用户的密钥，必须备份

目录服务数据库：

活动目录缓存，可选择备份或不备份

日志数据库：

根据企业安全策略进行备份

九、恢复RMS服务器

如果恢复的是一台根证书服务器，首先必须删除AD中的SCP

重新安装操作系统和SQLSERVER

安装ADRMS

恢复数据库

十、解除授权

解除授权是指从组织中删除ADRMS群集及其相关数据库的整个过程。

通过此过程，可以在从基础结构删除ADRMS之前将受权限保护的文件另存为一般文件，以便不会丢失对这些文件的访问权限。

通过执行以下操作可以为ADRMS群集解除授权：

1、启用解除授权服务

解除授权服务会禁用群集中的所有其他ADRMS服务。

启用解除授权服务后，ADRMS客户端只能请求密钥以解密受权限保护的内容。

打开ActiveDirectoryRightsManagementServices管理控制台。

展开ADRMS群集，展开“安全策略”，然后单击“解除授权”。

在“操作”窗格中，单击“启用解除授权”。

单击“解除授权”。

警告：

在ADRMS群集上启用解除授权之后，将无法还原。

2、设置解除授权管道上的权限

在ADRMS群集上启用解除授权服务之后，必须修改解除授权管道上的权限，以便ADRMS用户可以连接此管道。

默认情况下，只有本地系统帐户有权访问该管道。

应将对解除授权文件夹的读取和执行权限赋予ADRMS服务组。

然后，在decommission.asmx文件中，应将读取和执行权限赋予每个用户。

解除授权管道位于%systemroot%\inetpub\wwwroot\_wmcs文件夹中，其中%systemroot%是安装WindowsServer2008的卷。

ADRMS群集在解除授权模式下运行时，所有用户（无论是否有权访问受权限保护的原始内容）都可以获取内容密钥和对该内容的所有权限。

3、配置启用ADRMS的应用程序以使用解除授权管道

ADRMS群集在解除授权模式下运行时，必须配置启用ADRMS的应用程序以从解除授权服务获取内容密钥，并对受权限保护的内容进行永久解密。

ADRMS客户端本身并不涉及解除授权过程。

修改注册表

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM。

右键单击DRM，指向“新建”，然后单击“项”。

键入Decommission作为注册表项的名称，然后按Enter。

右键单击Decommission，指向“新建”，然后单击“字符串值”。

键入Enter。

双击注册表项。

在“数值数据”框中，键入

4、验证

以其它用户打开受保护的文档（用户对文档读权限），单击“更改权限”按钮并清除“限制此文档的权限”复选框，然后单击“确定”。

此时可以将文件另存为任何常见的其他文档。