Windows Server 2008权限管理服务(AD RMS)

• 发布受保护的内容时，作者从本地计算机上可用
• 已经创建了新模板分发管道，AD RMS 客户端可
以轮询该管道以获得对权限策略模板的更新。如 果添加、更改或删除了某个权限策略模板，客户 端会检测到这些更改，并在它下次刷新期间更新 本地权限策略模板。
户端上，权限策略模板本地存储在 %localappdata%\Microsoft\DRM\templates 文件夹中。对于 Windows XP、Windows 2000 和 Windows Server 2003，路径为 %appdata%\Microsoft\DRM\templates。
server 2008 包括 AD RMS 客户端，但其他客 户端操作系统必须安装有 RMS 客户端。带有 Service Pack 2 (SP2) 的 RMS 客户端可从 Microsoft 下载中心下载，并且可以在早于 Windows Vista 和 Windows Server 2008 的客 户端操作系统版本上工作。
下限制：
安装
AD RMS 的用户帐户必须与 AD RMS 服务帐户 不同。 AD RMS 服务连接点 (SCP)， 则安装 AD RMS 的用户帐户必须是 AD DS Enterprise Admins 组或同等组的成员。 AD RMS 数据库使用外部数据库服务，则安装 AD RMS 的用户帐户必须具有创建新数据库的权限。 如果使用 Microsoft SQL Server 2005，则用户帐户 必须是系统管理员数据库角色或同等角色的成员。 AD RMS 的用户帐户必须有权查询 AD DS 域。
• 在运行 Windows Server 2008 的 AD RMS 客
在早期版本的 Windows 中安装 AD RMS 客户 端
• 对于 Windows Vista 和 Windows Server 2008
，AD RMS 客户端的名称已经更改为 Active Directory 权限管理服务 (AD RMS) 客户端，并 且集成到操作系统中，因此不需要单独的安装。 在早期版本的 Windows 中，该客户端命名为 Microsoft Windows Rights Management Services (RMS) 客户端，可作为单独的可下载 组件从 Microsoft 下载中心获得。RMS 客户端 可以安装在 Windows 2000、Windows XP 和 Windows Server 2003 操作系统中。
如果对
从 RMS 升级到新 AD RMS 之前
• 备份 RMS 数据库并将其存储在一个安全的位置。
• 如果已使用脱机注册选项来设置 RMS，请确保
在升级到 AD RMS 之前注册已经完成。
• 如果过去一直使用 MSDE 承载 RMS 数据库，则
在将 RMS 群集升级到 AD RMS 之前，必须将 该数据库升级到 Microsoft SQL Server。不支 持使用 MSDE 数据库升级 RMS 版本。
• AD RMS 永久保护任何二进制格式的数据，因此
使用权限保持与信息在一起，而不是权限仅驻留 在组织网络中。这样也使得使用权限在信息被授 权的接收方访问（无论是联机和脱机，还是在防 火墙内外）后得以强制执行。
AD RMS 系统的部署为组织提供的优势
• 保护敏感信息。如文字处理器、电子邮件客户端
Microsoft Office 2007 Enterprise、 Professional Plus 或 Ultimate。 术（如智能卡）集成在一起。
• 为了创建受权限保护的内容，需要具备
• 为获得附加安全性，可以将 AD RMS 与其他技
• 默认情况下，Windows Vista和windows
如果在安装过程中注册
如果对
安装
• 为将在 AD RMS 安装的整个生存时间可用的
AD RMS 群集保留一个 URL。确保保留的 URL 与计算机名称不同。
在单独的计算机上安装用于承载
• 微软强烈建议：
据库服务器。 AD RMS 数据库的数
使用安全套接字层
(SSL) 证书安装 AD RMS 群集。该 证书应由受信任的根证书颁发机构颁发。
SQL Server），该数据库可与 AD RMS 在同一 服务器上运行，也可以在远程服务器和 Active Directory 域服务林中运行。
AD RMS客户端要求
• 启用了 AD RMS 的客户端必须具有启用了
AD RMS 的浏览器或应用程序（如 Microsoft Office 2007 中的 Microsoft Word、Outlook 或 PowerPoint）。
• AD RMS 群集的自注册。AD RMS 群集无需连
权限策略模版
• 权限策略模板用于控制用户或组对受权限保护的
特定内容所具有的权限。AD RMS 在配置数据库 中存储权限策略模板。或者，它在您指定的共享 文件夹中保留所有权限策略模板的副本。
的模板中选择要应用的权限策略模板。若要使权 限策略模板可用于脱机发布，管理员必须从共享 文件夹将它们部署到用户计算机。在 Windows Server 2008 中，权限策略模板由 AD RMS 客 户端自动管理。
安装AD RMS前的准备工作
• 在将使用受权限保护的内容的用户帐户所在的同
一个 Active Directory 域服务 (AD DS) 域中， 将 AD RMS 服务器安装为成员服务器。
权限的域用户帐户。
• 创建一个要用作 AD RMS 服务帐户的没有额外 • 选择用于安装 AD RMS 的用户帐户，但具有以
• 永久性保护。AD RMS 可以增强现有的基于外围
• 灵活且可自定义的技术。独立软件供应商 (ISV)
和开发人员可以使用启用了 AD RMS 的任何应 用程序或启用其他服务器（如在 Windows 或其 他操作系统上运行的内容管理系统或门户服务 器），与 AD RMS 结合使用来帮助保护敏感信 息。启用 ISV 的目的是为了将信息保护集成到基 于服务器的解决方案（如文档和记录管理、电子 邮件网关和存档系统、自动工作 群集 URL 创建一个 DNS 别名 (CNAME) 记录，并为承载 AD RMS 配置数据库的计算机创建一 个单独的 CNAME 记录。如果因硬件故障或计算机名 称被更改而导致 AD RMS 服务器注销或丢失，可以更 新 CNAME 记录，而无需重新发布所有受权限保护的 文件。 AD RMS 配置数据库使用命名实例，在安装 AD RMS 之前必须在数据库服务器上启动 SQL Server Browser 服务。否则，AD RMS 安装将无法找到配置 数据库，安装将失败。
• 联合身份验证支持。联合身份验证支持角色服务
硬件和软件注意事项
• AD RMS 在运行 Windows Server 2008 操作系
统的计算机上运行。
• 安装 AD RMS 服务器角色时，系统会同时安装
必需的服务，其中的一项就是 Internet 信息服 务 (IIS)。
• AD RMS 还需要一个数据库（如 Microsoft
• RMS 客户端（x86 版本）：
• RMS 客户端（x64 版本）：
• RMS 客户端（Itanium 版本）：
Demo
• 实验室
• 结合现有测试环境搭建一套微软数字安全加密的
解决方案
• 刷新 RMS 消息队列以确保所有消息都写入 RMS
日志记录数据库。
AD RMS的增强功能
• 与 AD FS 集成。AD RMS 已经与 AD FS 集成，
因此，企业可以使用现有的联合关系与外部伙伴 合作。
• 新的 AD RMS 管理角色。在任何企业环境中都
需要将 AD RMS 任务委派给不同管理员的能力， 这种能力已包括在本版本的 AD RMS 中。已创 建了三个管理员角色：AD RMS 企业管理员、 AD RMS 模板管理员和 AD RMS 审核员。
和行业应用程序等应用程序可以启用 AD RMS， 从而帮助保护敏感信息。用户可以定义打开、修 改、打印、转发该信息或对该信息执行其他操作 的人员。组织可以创建子自定义的使用策略模板 （如“机密 - 只读”），这些模板可直接应用于 上述信息。
的安全解决方案（如防火墙和访问控制列表 (ACL)），通过在文档本身内部锁定使用权限、 控制如何使用信息（即使在目标收件人打开信息 后）来更好地保护信息。
• 改进了安装和管理体验。AD RMS 包含在
Windows Server 2008 中并作为服务器角色安 装。此外，AD RMS 管理还可以通过 MMC 完 成，这与早期版本中提供的网站管理不同。
接到 Microsoft 注册服务即可注册。通过使用服 务器自注册证书，注册过程可完全在本地计算机 上完成。
• RMS 客户端支持三种不同的体系结构：x86、
x64 和 Itanium。每个版本的 RMS 客户端的下 载位置如下：
/fwlink/?LinkId=768 80 /fwlink/?LinkId=768 82 /fwlink/?LinkId=768 84
AD RMS 中的功能组件
• Active Directory Rights Management
Services。Active Directory 权限管理服务 (AD RMS) 角色服务是一项必需的角色服务，用 于安装发布和使用受权限保护的内容所用的 AD RMS 组件。
是一项可选的角色服务，允许联合身份借助 Active Directory 联合身份验证服务来使用受权 限保护的内容。
• 权限管理服务
• AD RMS
Active Directory Rights Management Services
• Windows Server 2008 操作系统的 Active
Directory 权限管理服务 (AD RMS) 是一种信息 保护技术，它与支持 AD RMS 的应用程序协同 工作，以防止在未经授权的情况下使用数字信息 （无论是联机和脱机，还是在防火墙内外）。 AD RMS 适用于需要保护敏感信息和专有信息 （例如财务报表、产品说明、客户数据和机密电 子邮件消息）的组织。AD RMS 通过永久使用策 略（也称为使用权限和条件）提供对信息的保护， 从而增强组织的安全策略，无论信息移到何处， 永久使用策略都保持与信息在一起。