AD RMS企業文件版權管理

AD RMS (AD權限管理服務)能夠確保企業內部數字文件的機密性，例如，用戶即使有權限讀取受保護的文件，但是如果未被許可，就無法復制與打印該文件。

AD RMS概述

雖然可以通過NTFS權限來設置用戶的訪問權限，然而NTFS權限還有不足之處，例如你開放用戶可以讀取某個包含機密數據的文件，此時用戶就可以復制文件內容或將文件存儲到其他位置，這樣可能讓這份機密文件泄露出去，尤其現在便攜存儲媒體盛行，用戶可以輕易地將文件帶離公司。

AD RMS是一種信息保護技術，在搭配支持AD RMS的應用程序后，文件的所有者可以將其設置為版權保護文件，並授予其他用戶讀取，復制或打印。如果用戶僅被授予讀取權限，則他無法復制文件內容，也無法打印。發件人也可以限制收件人轉發郵件。

每個版權保護文件內都存儲着保護信息，不論這個文件被移動，復制到何處，這些保護信息都仍然存在文件內，因此可以確保文件不會被未經許可的用戶訪問。AD RMS可以保護企業內部的機密文件，如財務報表，技術文件等。

AD RMS的需求

一個基本的AD RMS環境包含下圖的組件。

• 域控制器：AD RMS需要一個域環境，因此需要域控。
• AD RMS服務器：客戶端需要證書與許可證才可以進行文件版權保護的工作，而AD RMS服務器就負責證書與許可證的發放。可以假設多台AD RMS服務器來提供排除和負載均衡功能，其中第一台服務器被稱為AD RMS根群集服務器。由於客戶端通過HTTP和HTTPS與AD RMS服務器通信，因此AD RMS服務器必須架設IIS。
• 數據庫服務器：用來存儲AD RMS設置與策略等信息，可以使用Microsoft SQL Server來架設數據庫服務器。還可以直接使用AD RMS內置數據庫，不過此時只架設一台AD RMS服務器。
• 運行AD RMS-enabled應用程序的客戶端用戶：用戶允許AD RMS-enabled應用程序（例如Word）並利用他來創建，編輯文件並將文件設置為受保護的文件，然后將此文件存儲到其他用戶可以訪問到的地方，如網絡共享文件夾，U盤等。

AD RMS如何運行

以下為簡易流程，但是比較容易了解。

1. 當文件所有者第一次運行保護文件工作時，他會從AD RMS服務器獲取證書，擁有證書后就可以運行保護文件的工作。
2. 文件所有者利用AD RMS-enabled應用程序創建文件，並且運行保護文件的步驟，也就是設置此文件的使用權限與使用條件，同時該應用程序會將此文件加密。接着會創建發布許可證，發布許可證內包含文件的權限，使用條件與解密密鑰。

注：權限包含讀取，更改，打印，發送與復制等，權限可以搭配使用條件，例如可訪問此文件的期限。系統管理員還可以通過AD RMS服務器的設置來限制某些應用程序或用戶不可打開受保護的文件。

1. 文件所有者將受保護的文件（包含發布許可證）存儲到可供文件接收者訪問的地方，或將他直接發送給文件接收者。
2. 文件接收者利用AD RMS-enabled應用程序來打開文件時，會向AD RMS服務器發送索取使用許可證的要求。
3. AD RMS服務器通過發布許可證的信息確認文件接收者有權訪問此文件后，會創建用戶要求的使用許可證（包含使用權限，使用條件與解密密鑰），然后將使用許可證傳給文件接收者。
4. 文件接收者的AD RMS-enabled應用程序接收到使用許可證后，會利用許可證內的解密密鑰將受保護的文件解密並訪問該文件。

AD RMS實例演示

我們將練習架設AD RMS企業版權管理環境。我們簡化環境復雜程度，撤除了數據庫服務器，改用AD RMS自帶的數據庫，同時將版權保護文件直接放置在域控DC的共享文件夾內，還有客戶端方面只有一台Win8計算機，文件所有者和文件接收者都是這台計算機。

准備好計算機

按照上圖創建三台機器，RMS需要域控環境，所以我們接着上次的contoso域環境繼續。

創建用戶賬戶

我們要在域控中創建文件所有者George與文件接收者Mary，還要創建一個用來啟動AD RMS服務的賬戶ADRMS，則3個賬戶都是一般賬戶（名稱隨意命名），不需要給予特殊權限。

我們登陸域控在市場部創建George和Mary，在users中創建ADRMS賬戶，並未george和mary設置郵箱。

安裝Active Directory Rights Management Services

請到服務器上利用Administrators身份登陸，然后通過添加服務器角色的方式安裝RMS。

注：安裝ADRMS的用戶必須隸屬於本地組Administrators與域組Enterprise Admins，而當我們當前使用的域Administrators默認就隸屬於這兩個組。如果要利用其他域用戶賬戶來登陸並安裝ADRMS，先將此賬戶加入到這兩個組中。

1. 默認安裝RMS服務時會按照IIS

1. 執行其他配置

1. 出現RMS界面時單擊下一步

由圖中可以得知可以架設兩種群集：會發放證書與許可的根群集與僅發放許可證的僅許可證群集。安裝的第一台服務器會成為根群集。

注：如果環境比較復雜，可以在架設根群集后，另外架設僅許可證群集，不過建議都使用根群集，然后將其他AD RMS服務器加入到此根群集，因為根群集與僅許可證群集無法用於同一個負載平衡池內。

1. 選擇使用windows 內部數據庫

注：因為我們選擇內置數據庫，因此只能夠架設一台AD RMS服務器。如果要使用Microsoft SQL Server數據庫，請選擇指定數據庫服務器和數據庫實例，該服務器必須加入域，同時用來安裝ADRMS的域用戶賬戶也需要隸屬於該數據庫服務器的本地Administrators組，這樣才有權限在該數據庫服務器內創建AD RMS所需要的數據庫。

1. 選擇指定的域用戶賬戶來啟動AD RMS服務

1. 下一步

1. 下一步

1. 為群集密鑰設置一個密碼

當要將其他AD RMS服務器加入此群集時，必須提供此處設置的密碼。AD RMS利用群集密鑰來簽署發放的證書與許可證。

1. 選擇將IIS的Default Web Site當作群集網站

選擇要求客戶端必須利用安裝的https連接的群集網站，並設置網站。

例如https：//rms.contoso.com,其中adrms為AD RMS服務器的計算機名。必須保證在dns服務器內創建的主機與ip地址記錄。

1. 選擇為ssl加密創建自簽名證書后單擊下一步

建議僅在測試或小規模環境下才選用此選項，否則請選擇第一個選項來選用向證書頒發機構所申請的證書。

注：向證書頒發機構申請證書的步驟包含為網站創建證書申請文件，將此文件內容傳給證書頒發機構，下載與安裝證書。還可以使用AD證書服務來自行假設證書頒發機構。

1. 群集中的第一台AD RMS服務器會自行創建一個被稱為服務器許可方證書的證書（Server Licensor Cerificate， SLC），擁有此證書就可以對客戶端發放證書與許可證。下圖為這個SLC命名，以便讓客戶端通過此名稱來識別這個AD RMS群集（加入此群集的其他AD RMS服務器會共享這個SLC證書）。

1. 單擊下一步，它會將AD RMS服務連接點(Service Connection Point，SCP)登錄到Active Dirctory數據庫內，以便讓客戶端通過AD找到這台AD RMS服務器。

注：用來將AD RMS SCP登陸到AD的用戶賬戶必須隸屬於域組Enterprise Admins，如果利用其他用戶登錄與安裝AD RMS，則該用戶必須先輩加入到Enterprise Admins組內，安裝完成后，就可以將其從此組內刪除。

1. 確認安裝

安裝完成后，當前登錄的用戶賬戶（域Administrator）會被加入到本地AD RMS Enterprise系統管理員組內，此用戶就有權限來管理AD RMS，不過此用戶必須先注銷再重新登陸才有效。

注：注銷后再登陸，才會更新用戶的訪問令牌（Access Token），這樣用戶才具備本地AD RMS Enterprise系統管理員組的權限。

創建存儲版權保護文件的共享文件夾

我們要創建一個共享文件夾，然后將文件所有者的版權保護文件放到此文件夾內，以便文件接收者可以到此共享文件夾來訪問此文件。此范例要將共享文件夾創建在域控制器DC內（還可以創建在其他計算機內。）

1. 登陸到域控在c盤創建文件夾public

1. 選擇文件夾設置權限

賦予文件夾Everyone讀寫權限。

測試AD RMS的功能

我們先在客戶端計算機上安裝Word 2012，然后利用George身份登陸與創建版權保護文件，最后利用Mary身份登陸來訪問此文件。

限制只能夠讀取文件，不可打印，復制文件

1. 登陸到客戶計算機，安裝office
2. 打開ie瀏覽器，在高級選項中添加本地intranet站點 https://rms.contoso.com，將此網站添加到安全區域內。

   

3. 創建一個word文檔，單擊左上角文件-信息-保護文檔-限制訪問

接下來會出現下圖對話框，這時因為此時Word會連接群集網站，然而群集網站的證書是AD RMS自我發放的，而客戶端計算機尚未信任有AD RMS自我發放的證書。可以直接單擊是，不過以后每次客戶端連接AD RMS服務器時都會出現此對話框。

注：如果不想每次都出現此對話框，請通過以下步驟來信任有AD RMS說發放的證書：單擊上圖的查看證書-安裝證書-將所有證書放入下列存儲-瀏覽受信任的根證書頒發機構。

1. 勾選限制對此文檔的權限，然后單擊讀取或更改按鈕來開發權限，完成后單擊確定。我們選擇開放給用戶mary@contoso.com。如果要進一步開放權限，請單擊其他選項，然后通過下下圖進行設置，我們可以看到還可以設置文檔到期日，是否可打印文檔內容，是否可以復制內容等。

1. 單擊另存為，將文件存儲到共享文件夾\dc\public內。
2. 注銷，改用mary登陸。
3. 也在intranet中添加站點。
4. 打開word文件，並打開public中的文件。

1. 已用mary打開但是不能修改。

限制郵件轉發

如果要通過Outlook收發郵件，還可以限制收件人不可以轉發郵件。

 

附注：RMS高級功能

RMS高級功能描述包括RMS的運行流程等等實在太多我不高興寫了，大家自己百度吧