Windows Server 2008 R2 之二十四AD RMS管理

以下操作都在 Active Directory Rights Management Services 控制台

一、更改 AD RMS 服務帳戶

若要運作“更改服務帳戶”向導，必須使用對配置資料庫具有管理權限的使用者帳戶以本地方式登入 AD RMS 伺服器。進行此操作時，先前指定的帳戶将自動從 AD RMS Service Group 中删除，新帳戶将成為該組的成員。如果要在其中更改 AD RMS 服務帳戶的 AD RMS 群集中有多個伺服器，則必須在群集中的所有伺服器上更改該服務帳戶。

二、AD RMS伺服器屬性

導出伺服器許可方證書 (SLC) ，以便在建立可信釋出域和可信使用者域時使用

2、群集 URL 選項

Intranet URL

連接配接到您組織的專用網絡的支援 AD RMS 的用戶端，使用這些 URL 連接配接到 AD RMS 群集中的證書和授權服務。

Extranet URL

通過 Internet 連接配接到群集的 AD RMS 用戶端使用這些 URL。将根據這些 URL 建立授權和證書 URL。

3、日志記錄選項

啟用和禁用 AD RMS 日志記錄。

驗證日志是否正寫入資料庫：登入 AD RMS 日志記錄資料庫的資料庫伺服器。在 SQL Server 企業管理器中，展開“資料庫”，然後展開 AD RMS 日志記錄資料庫。展開“表”，右鍵單擊 ServiceRequest，然後單擊“打開表 - 傳回所有行”。如果正在建立日志檔案，将會在此表中看到一行或多行内容。

4、SCP 選項

AD RMS 的服務連接配接點 (SCP) 辨別服務到組織中支援 AD RMS 的用戶端的連接配接 URL。在 Active Directory 域服務 (AD DS) 中注冊 SCP 後，用戶端将能夠發現 AD RMS 群集以請求使用許可證、釋出許可證或權限帳戶證書 (RAC)。

三、信任政策

四、權限政策模闆

權限政策模闆是在RMS伺服器上建立的。它在伺服器資料庫和指定檔案夾以XML件分别存放。在用戶端機以XML檔案形式存在本地或網絡共享檔案夾中。它支援動态更新，即新的模闆不用重新應用以前用保護的内容上，當使用者擷取UL時，擷取更新後的模闆；它由受權伺服器負責管理。

存檔的模闆不會導出到模闆導出位置，也不會通過模闆分發管道進行分發。在用戶端計算機重新整理其權限政策模闆後，使用者不能再使用存檔的模闆釋出新内容。但是，存檔的模闆允許伺服器繼續為已經按照其釋出的内容發放使用許可證。 

存檔的權限政策模闆不會導出到共享模闆檔案夾。如果希望導出此模闆，必須将其更改回分布式權限政策模闆。

1、指定權限政策模闆的位置

在伺服器上建立将用于存儲導出的權限政策模闆的檔案夾。它的共享權限為AD RMS Service Group

和系統 修改權限；使用者 讀取。

打開 Active Directory Rights Management Services 控制台，并展開 AD RMS 群集。

在控制台樹中，單擊“權限政策模闆”。

在“操作”窗格中，單擊“屬性”，然後選中“啟用導出”複選框。

2、建立分布式權限政策模闆

3、用戶端配置

可以通過組政策或系統資料庫鍵值來配置用戶端模闆的位置 

組政策配置

模闆位置由啟用了 RMS 的應用程式确定。對于 Office 2003 及更高版本，它作為使用者設定存儲在系統資料庫中的下列位置：

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath

-或-

對于 Microsoft Office 2007 為 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。

五、權限帳戶證書政策

六、排除政策

RMS伺服器可以基于某些因素（使用者、應用程式、密碼箱的版本）拒絕對許可的請求。

應用程式排除

使用者排除

查找公鑰字元串的方法：

方法一：用XML編輯軟體打開%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM檔案夾下，以GIC開始的檔案。

查找這個檔案中的字元PUBLICKEY之後的字元即為RAC公鑰。如下面的紅色字元

S - 1 - 5 - 2 1 - 1 8 5 2 1 6 5 1 6 3 - 3 9 6 4 0 7 4 1 7 8 - 2 8 3 5 2 6 9 4 6 3 - 5 0 0 < / I D > < N A M E > a d m i n i s t r a t o r @ h b y c r s j . c o m < / N A M E > < / O B J E C T > < P U B L I C K E Y > < A L G O R I T H M > R S A < / A L G O R I T H M > < P A R A M E T E R   n a m e = " p u b l i c - e x p o n e n t " > < V A L U E   e n c o d i n g = " i n t e g e r 3 2 " > 6 5 5 3 7 < / V A L U E > < / P A R A M E T E R > < P A R A M E T E R   n a m e = " m o d u l u s " > < V A L U E   e n c o d i n g = " b a s e 6 4 "   s i z e = " 1 0 2 4 " > E 1 s u d 5 Y v S F t r E D r D A 7 A F r m L 9 t I P O l z p 0 G r Z X X 0 D 3 V t Y I 8 0 X J k A s x D D a L C 3 s d Z q I y v k y U A S H J p w V 6 8 W n E E n L A P / a l s D 1 M + v 6 6 Q E z r v + L 4 x E q m D v n + 4 U Y k V W L s g 9 l j F M Q a 6 W o L s F 5 s 5 4 / e N W T / n v 9 F 7 n V k Q e x T j J Z c T Y n F 4 p 8 5 X c M = < / V A L U E > < / P A R A M E T E R > < / P U B L I C K E Y > < S E C U R I T Y L E V E L   n a m e = " G r o u p - I d e n t i t y - C r e d e n t i a l - T y p e "   v a l u e = " P e r s i s t e n t "   / > < S E C U R I T Y L E V E L   n a m e = " G r o u p - I d e n t i t y - T y p e " 

方法二：在使用者排除直接輸入使用者名@域名，然後選擇這個使用者，在操作欄選擇将公鑰複制到剪切闆

七、安全政策

1、更改超級使用者設定

 此選項允許您啟用或禁用 AD RMS 超級使用者組。此組可以解密由群集釋出的所有内容。

2、重置密碼

 如果群集的私鑰由 AD RMS 集中管理，則群集密鑰密碼将用于保護 AD RMS 群集的私鑰。

3、更改解除授權設定

 在從基礎結構中删除 AD RMS 之前會使用解除授權功能，而且需要解密受 AD RMS 保護的所有内容。

八、備份 RMS伺服器

1、備份RMS伺服器：備份RMS根證書伺服器的資料庫；備份每一台RMS授權伺服器的資料庫；備份每一台RMS伺服器的私鑰；

2、備份資料庫的内容：

配置資料庫：包含配置資訊和使用者的密鑰，必須備份

目錄服務資料庫：活動目錄緩存，可選擇備份或不備份

日志資料庫：根據企業安全政策進行備份

九、恢複RMS伺服器

如果恢複的是一台根證書伺服器，首先必須删除AD中的SCP

重新安裝作業系統和SQL SERVER

安裝AD RMS

恢複資料庫

十、解除授權

解除授權是指從組織中删除 AD RMS 群集及其相關資料庫的整個過程。通過此過程，可以在從基礎結構删除 AD RMS 之前将受權限保護的檔案另存為一般檔案，以便不會丢失對這些檔案的通路權限。

通過執行以下操作可以為 AD RMS 群集解除授權：

1、啟用解除授權服務

解除授權服務會禁用群集中的所有其他 AD RMS 服務。啟用解除授權服務後，AD RMS 用戶端隻能請求密鑰以解密受權限保護的内容。

打開 Active Directory Rights Management Services管理控制台。

展開 AD RMS 群集，展開“安全政策”，然後單擊“解除授權”。

在“操作”窗格中，單擊“啟用解除授權”。

單擊“解除授權”。

警告：在 AD RMS 群集上啟用解除授權之後，将無法還原。

2、設定解除授權管道上的權限

在 AD RMS 群集上啟用解除授權服務之後，必須修改解除授權管道上的權限，以便 AD RMS 使用者可以連接配接此管道。預設情況下，隻有本地系統帳戶有權通路該管道。應将對解除授權檔案夾的讀取和執行權限賦予 AD RMS 服務組。然後，在 decommission.asmx 檔案中，應将讀取和執行權限賦予每個使用者。解除授權管道位于 %systemroot%\inetpub\wwwroot\_wmcs 檔案夾中，其中 %systemroot% 是安裝 Windows Server 2008 的卷。

AD RMS 群集在解除授權模式下運作時，所有使用者（無論是否有權通路受權限保護的原始内容）都可以擷取内容密鑰和對該内容的所有權限。

3、配置啟用 AD RMS 的應用程式以使用解除授權管道

AD RMS 群集在解除授權模式下運作時，必須配置啟用 AD RMS 的應用程式以從解除授權服務擷取内容密鑰，并對受權限保護的内容進行永久解密。AD RMS 用戶端本身并不涉及解除授權過程。

修改系統資料庫

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM。

右鍵單擊 DRM，指向“建立”，然後單擊“項”。

鍵入 Decommission 作為系統資料庫項的名稱，然後按 Enter。

右鍵單擊 Decommission，指向“建立”，然後單擊“字元串值”。

輕按兩下系統資料庫項。

4、驗證

以其它使用者打開受保護的文檔（使用者對文檔讀權限），單擊“更改權限”按鈕并清除“限制此文檔的權限”複選框，然後單擊“确定”。此時可以将檔案另存為任何常見的其他文檔。

本文轉自ycrsjxy51CTO部落格，原文連結：http://blog.51cto.com/ycrsjxy/202910，如需轉載請自行聯系原作者