与权限管理服务(AD RMS)集成是Exchange Server 2010的新功能,也是一大亮点,在 Exchange Server 2010 中,可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。通过与RMS的集成,Exchange邮件用户可以控制收件人对电子邮件拥有的权限,允许或限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容
1.设置RMS的访问控制权限
RMS通过Web Service方式来提供服务。默认情况下,这些Web Service的权限是受到限制的,Exchange服务器没有足够的权限来实现对RMS的调用。需要手动指定正确的权限,才能够实现Exchange与RMS的集成
浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification目录,选中ServerCertification.asmx,打开其属性页面,切换到安全,然后点击编辑
添加活动目录中的Exchange Servers组,并设置为允许【读取】和【读取及运行】
添加AD RMS Service Group组(这是一个本地组),权限同样设置为允许【读取】和【读取及运行】
2.设置RMS超级用户组
RMS的超级用户组中成员,可以不受限制地访问所有被IRM保护的数据,也就是说,该组的成员可以进行解密工作。默认情况下,超级用户组是禁用状态,需要手动进行启用
在Exchange管理控制台中新建一个通用安全组RMS_SuperUsers
将联盟邮箱账号【FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042】加入到这个组中,这个账号是系统邮箱,从Exchange Management Console中是看不到的,需要使用Exchange Management Shell命令行工具,通过Add-DistributionGroupMember 进行添加
打开Exchange Management Shell,运行Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
打开RMS管理控制台,展开【安全策略】,右键单击【超级用户】,选择【启用超级用户】
浏览并选择到已经建立的组RMS_SuperUsers
3.在Exchange组织内部启用RMS功能
打开Exchange Management Shell,运行命令Get-IRMConfiguration,确保其中的InternalLicensingEnabled是True状态
如果为false,则输入Set-IRMConfiguration -InternalLicensingEnable $true 来启用RMS功能
测试结果为:通过;这说明我们的Exchange与RMS整合是成功的
Exchange与RMS整合后,我们就可以在OWA中应用RMS权限策略模板了,下面来测试一下
销售部的用户wxt通过OWA登录到自己的邮箱中
新建一封邮件,这里可以看到权限下拉选项,如果Exchange与RMS不整合,这里是没有这项的,我选择在上节中创建的自定义权限策略模板【IT部只读】,收件人分别为IT部的jqq和人力资源部的zj,然后发送
首先用IT部的jqq用户登入邮箱
刚刚wxt发来的邮件已经收到了,打开看看
打开后可以看到,IT部的jqq用户对此邮件仅有查看权限,其余答复,转发按钮均为灰色
再用人力资源部的zj用户登入到邮箱
同样打开收到的这封邮件,这里提示没有权限查看,说明模板在OWA中应用成功