(一)IIS權限設定
接下來我們需要手動配置RMS元件的相應的IIS權限。RMS依賴IIS服務,是以要配置IIS的相關權限,RMS的一些元件才能正常運作。
RMS服務端應用程式通過IIS的server certification元件申請RMS服務,需要在該對象上設定相應權限。
我們打開IIS控制台,定位到如下的位置。
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiInBnauczM5QzQVx0RtEFMFFUQqhUeXhndKBjUjFTbvl2S39CXxEzLcZ0NvwlMw00LcJDMzZWe39CXt92Yu8GdjFTNuMzcvw1LcpDc0RHaiojIsJye.jpg)
右擊certification,選擇“浏覽”。
然後選servercertification.asmx檔案,右擊選擇“屬性”。
切換到安全頁籤,可以看到預設該檔案隻有SYSTEM權限。
我們需要新增exchange server組、ADRMS服務組針對該檔案的相應權限。
首先添加域組exchange server針對該檔案的讀取和執行、讀取的權限。
然後添加本地的ADRMS服務組針對該檔案的讀取和執行、讀取的權限。
(二)建立RMS超級管理組
ADRMS允許使用一個獨立的exchange郵箱使用者或者郵件通訊組成為超級管理者(超級使用者)。出于維護的友善,建議使用通訊組作為超級使用者。
超級使用者組預設是禁用的需要手動啟用。
首先登陸exchange 2016的管理中心,建立一個通訊組。
然後打開AD使用者和計算機,定位到該通訊組,我們把RMS超級使用者添加到該組中,因為我目前是用administrator做的測試,該使用者預設就在組裡了。
(三)在RMS伺服器上啟用超級使用者(組)
打開ADRMS控制台,定位到超級使用者節點。
選擇上圖右上角位置的“啟用超級使用者”,啟用之後如圖。
然後我們點選“更改超級使用者組”。
浏覽選擇我們前面建立的RMSadmins通訊組。
RMS超級使用者或組,可以無限制地通路被保護的資料,該組的成員可以進行解密工作。
啟用完成後,如圖。