6426C Lab6 部署和配置RMS

共5个练习

练习1:安装和配置AD RMS

(附加)练习A1:测试AD RMS的功能

练习2:配置AD RMS模板

练习3:配置AD RMS信任策略

练习4:测试AD RMS功能

练习5:生成AD RMS报告

 

练习1:安装和配置AD RMS

任务1:为AD RMS群集添加CNAME

  启动HQDC1服务器,以CONTOSO\Administrator登录。

  打开“管理工具”中的“DNS”,在Contoso.com正向查找区域添加一个别名(CNAME)。

  说明:在后续的添加RMS角色的步骤中,需要指定一个RMS群集网站,以及指定群集FQDN。如果跳过本步骤,那么群集的FQDN默认就是 https://HQDC2.contoso.com:443。为了便于操作以及增强可读性,建议创建CNAME,群集的FQDN就是 https://RMS.contoso.com:443 。

任务2:为AD RMS服务创建用户帐户

  打开“Active Directory用户和计算机”,添加一个名为“ADRMS-SVR”的用户帐户。注意:该帐户是普通用户帐户,仅用来启动AD RMS服务。

任务3:安装和配置AD RMS

  启动HQDC2服务器,以CONTOSO\Administrator登录。(注意:添加AD RMS角色操作时必须是Enterprise Admins)

  打开“服务器管理器”,添加角色,以及添加所需的角色服务。

 

 

  使用“添加角色向导”配置AD RMS角色。

 

 

 

  说明:可以创建2种群集:能发放认证和授权的根群集;仅发放授权的仅授权群集。这是安装的第一台服务器,在林中未发现根群集,所以此处只能创建根群集。在大型复杂环境中,应该先创建根群集,再创建仅授权群集。

  说明:本步骤选择了内部数据库,因此只能安装一台AD RMS服务器。如果选择使用SQL Server数据库,就可以安装多台AD RMS服务器,并可以组成一个负载均衡池(Load-Balancing Pool)。注意:SQL Server服务器也必须加入域,同时,用于安装AD RMS的帐户也必须是SQL Server的本地Administrators组的成员。

  说明:此密钥可用于灾难恢复,AD RMS发放的认证和签名都需要用到此密钥。

  说明:群集中的第一台AD RMS服务器会自动创建一个SLC(Server Licensor Certificate,即服务器许可方证书),拥有此证书就可以对客户端发放证书和许可证。客户端是通过SLC名称来识别AD RMS群集。

  说明:此步骤将AD RMS的SCP(Service Connection Point,即服务连接点)注册到AD数据库内,以便客户端通过AD找到这台RMS服务器。

任务4:检查安装结果

  安装完成之后,本操作所用的帐户Contoso\Administrator被添加到本地AD RMS Enterprise Administrators组,此用户就可以管理AD RMS。因此,在HQDC2服务器上注销,然后再次登录。

  打开“服务器管理器”,展开“配置”、“本地用户和组”、“组”,确认AD RMS的4个用户组。

 

 

  其他2个组的成员默认为空。

 

(附加)练习A1:测试AD RMS的功能

任务1:准备RMS客户端

  启动CL1客户端计算机。以Contoso\ZhangS登录。Windows 2008/Windows Vista及后续版本都直接集成了RMS客户端,因此可以直接测试。

  RMS需要用到用户帐户设置中的电子邮件。在HQDC1服务器上打开“Active Directory用户和计算机”,确认用户帐户的设置。

  如果没有为用户帐户设置电子邮箱,就会出现以下错误。

  RMS客户端是通过https访问RMS群集,因此在本地Internet Exploror中添加信任地址。

任务2:限制Word文档的权限

  在CL1客户端计算机,用户Contoso\ZhangS对一个Word文档进行RMS保护。

  说明:据说,只有Office 2010 Professional Plus 这个版本可以创建新的RMS保护文档,其他版本如Professional版本只能打开、查看、编辑现有的RMS保护文档,不能新建RMS保护文档,在Office菜单中也没有“保护文档”这个选项。 

  还可以单击“其他选项”按钮,进行更多设定。例如,添加文档的到期日期。

 

  确认RMS保护的文档。

 

任务3:受限用户访问Word文档

  以Contoso\LiS帐户登录CL1客户端计算机,打开被Contoso\ZhangS保护的文档。

 

  这时候可以有3个选择:

 (1)“更改用户”。可以临时使用另一个帐户打开此文档。

 

 

 

  以后再次打开这个RMS保护文档,就会直接使用列表中的所有凭据。如果要从列表中删除ZhangS的凭据,请在Word中打开“文件”、“信息”、“保护文档”选项。

 

 

 

(2)“”。将自动调用Outlook,可以向[email protected]发送一封请求邮件。 

(3)“”。关闭此文档。

 

任务4:对受限用户授权

  将Contoso\LiS加入到IT_Group组。

  在CL1客户端计算机上注销Contoso\LiS,再重新登录。此时用户有只读权限。

  将Contoso\LiS加入到ITAdmins组。

  在CL1客户端计算机上注销Contoso\LiS,再重新登录。此时用户有编辑权限。

 

练习2:配置AD RMS模板

任务1:配置RMS权限策略模板

  转到HQDC2,打开“管理工具”中的“Active Directory Rights Management Services”。修改属性以启用导出。

  添加一个新的分布式权限策略模板。

任务2:为Windows7 客户端配置RMS

  从管理员身份登入CL1客户端计算机。打开“控制面板”、“系统和安全”、“计划任务”。

  修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common,设置本地模板保存路径。

  说明:如果本机已经运行过RMS,则在左侧列表中已经创建了DRM项。

任务3:为Windows XP客户端配置RMS权限策略模板

  编辑组策略,添加一个Office2010的模板。

 

 

  修改模板,指定权限策略的路径。

 

练习3:配置AD RMS信任策略

任务1:导出/导入受信任的用户域

  将文件导出到指定的路径,或者从指定的路径导入。文件类型为 *.bin 。

任务2:导出/导入受信任的发布域

  将文件导出到指定的路径,或者从指定的路径导入。文件类型为 *.xml 。

 

练习4:测试AD RMS功能

任务1:创建一个有权限保护的文档

  以Contoso\ZhangS帐户登录CL1,建立一个受限制的word文档。

 

 

任务2:以非授权用户打开受保护的文档

  注销Contoso\ZhangS帐户,以Contoso\LiS帐户登录(此时,Lis不属于任何组)。再打开这个受限制的Word文档。

任务3:以授权用户打开受保护的文档

  再将Contoso\LiS加入到ITAdmins组,在CL1计算机注销后再次登录。再打开文档。

 

练习5:生成AD RMS报告

任务1:安装Microsoft Report Viewer

  AD RMS共有3个报告,其中“运行状况报告”和“疑难解答报告”需要Microsoft Report Viewer Redistributable 2005 Service Pack 1 。官网下载地址为 http://www.microsoft.com/zh-CN/download/details.aspx?id=4016 

  在HQDC2服务器安装Microsoft Report Viewer。然后打开“管理工具”中的“Active Directory Right Management Services”,展开“报告”。

任务2:查看统计信息报告

任务3:查看运行情况报告

 

 

  共有以下3种类型的摘要结果:

 

 

任务4:查看疑难解答报告

 

 

 

你可能感兴趣的:(rms)