ADRMS权限管理服务器(四)---集成Exchange保护邮件安全

与权限管理服务(AD RMS)集成是Exchange Server 2010的新功能，也是一大亮点，在 Exchange Server 2010 中，可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。通过与RMS的集成，Exchange邮件用户可以控制收件人对电子邮件拥有的权限，允许或限制某些收件人操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容

 

1.设置RMS的访问控制权限

RMS通过Web Service方式来提供服务。默认情况下，这些Web Service的权限是受到限制的，Exchange服务器没有足够的权限来实现对RMS的调用。需要手动指定正确的权限，才能够实现Exchange与RMS的集成

浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification目录，选中ServerCertification.asmx，打开其属性页面，切换到安全，然后点击编辑

 

添加活动目录中的Exchange Servers组，并设置为允许【读取】和【读取及运行】

添加AD RMS Service Group组（这是一个本地组），权限同样设置为允许【读取】和【读取及运行】

 

2.设置RMS超级用户组

RMS的超级用户组中成员，可以不受限制地访问所有被IRM保护的数据，也就是说，该组的成员可以进行解密工作。默认情况下，超级用户组是禁用状态，需要手动进行启用

在Exchange管理控制台中新建一个通用安全组RMS_SuperUsers

 

将联盟邮箱账号【FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042】加入到这个组中，这个账号是系统邮箱，从Exchange Management Console中是看不到的，需要使用Exchange Management Shell命令行工具，通过Add-DistributionGroupMember 进行添加

打开Exchange Management Shell，运行Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

 

打开RMS管理控制台，展开【安全策略】，右键单击【超级用户】，选择【启用超级用户】

 

浏览并选择到已经建立的组RMS_SuperUsers

 

3.在Exchange组织内部启用RMS功能

打开Exchange Management Shell，运行命令Get-IRMConfiguration，确保其中的InternalLicensingEnabled是True状态

如果为false，则输入Set-IRMConfiguration -InternalLicensingEnable $true 来启用RMS功能

 

运行命令Test-IRMConfiguration �CSender [email protected] 来测试我们的整合是否成功

测试结果为：通过；这说明我们的Exchange与RMS整合是成功的

 

Exchange与RMS整合后，我们就可以在OWA中应用RMS权限策略模板了，下面来测试一下

销售部的用户wxt通过OWA登录到自己的邮箱中

 

新建一封邮件，这里可以看到权限下拉选项，如果Exchange与RMS不整合，这里是没有这项的，我选择在上节中创建的自定义权限策略模板【IT部只读】，收件人分别为IT部的jqq和人力资源部的zj，然后发送

 

首先用IT部的jqq用户登入邮箱

 

刚刚wxt发来的邮件已经收到了，打开看看

 

打开后可以看到，IT部的jqq用户对此邮件仅有查看权限，其余答复，转发按钮均为灰色

 

再用人力资源部的zj用户登入到邮箱

 

同样打开收到的这封邮件，这里提示没有权限查看，说明模板在OWA中应用成功