ADRMS权限管理服务器(一)---部署

ADRMS权限服务器是Windows Server 2008中的一种信息保护技术，它适用于需要保护企业的敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息），传统的文件服务器只能对文档实现只读，写入等权限，即使是只读文档，我们同样可以将内容复制到一份新的文档中进行编辑，不能保障信息安全，而ADRMS则将权限划分得非常细，比如我们只想文档被某特定的用户或组进行查看，但不能复制，编辑，打印甚至转发，而这只需要通过权限模板即可实现，用户再根据凭证获取相应的权限，权限模板还可以自定义，非常灵活，但ADRMS也非万能，通过第三方截图工具，拍照等手段，ADRMS也是无能为力的

 

 

1.新建账号

由于部署ADRMS不能够使用Administrator账号，所以在这里需要新建一个账号RMSAdmin，并将它做为企业管理员组成员，然后再新建一个普通权限的账号RMSService，用于运行RMS服务

 

2.证书申请

在bjrms这台服务器上，在IE中通过Administrator账号访问内部CA网站，点击【申请证书】

 

点击【高级证书申请】

 

点击【创建并向此CA提交一个申请】

 

选择【服务器身份验证】证书模板，姓名相当于证书公共名，此处的域名要和安装ADRMS时的站点名保持一致

注意：在企业根CA环境中，默认情况下是没有【服务器身份验证】证书模板的的，需要创建这个模板，具体创建方法，请参考 http://jqq1982.blog.51cto.com/515663/998052

 

安装证书

 

打开MMC，发现安装后的证书存储在【当前用户】中，我们要将他导出到【本地计算机】存储中

 

导出私钥

 

选择导出路径

 

在【本地计算机】存储中导入证书

 

选择导入路径

 

导入完毕

 

3.部署ADRMS

添加角色

 

安装ADRMS需要IIS组件的支持

 

勾选【Active Directory 权限管理服务器】

 

选择【新建 AD RMS 群集】

 

选择【在此服务器上使用Windows 内部数据库】

 

指定服务账号RMSService

 

选择【使用 AD RMS 集中管理的密钥存储】

 

指定群集密钥密码

 

选择【默认网站】

 

指定ADRMS站点的域名，这里的域名要和证书上的公共名保持一致，并且客户端能够通过此域名解析到ADRMS服务器

 

选择证书

 

为证书指定一个容易记忆的名称

 

选择【立即注册 AD RMS 服务连接点】

 

自动勾选上了IIS相关组件

 

开始安装

 

注意： 部署完成后，需要注销服务器重新登入后才能正常使用ADRMS

 

4.禁用ADRMS缓存

有时候在AD中对用户改动不会在RMS查询中立即生效，这是因为ADRMS缓存的原因，要禁用掉ADRMS缓存首先需要下载SQLManagementStudioExpress工具来管理Windows内部数据库，从中禁用掉ADRMS缓存

下载地址

http://download.microsoft.com/download/E/0/8/E08BDDD3-0D6D-4813-8068-F1E809D2F827/SQLManagementStudio_x64_CHS.exe

 

以管理员身份运行SQLManagementStudioExpress工具，注意这里Windows内部数据库的实例名称为 \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query

 

打开数据库DRMS_Config_bjrms_zf_com_443，打开表DRMS_ClusterPolicies，将UseDirectoryServicesCacheDatabase与EnableNoRightsCaching都设置为0

 

 

修改完成后重启IIS