umboy技术系列之RMS开发技术安装配置RMS-windows server2008版

WINDOWS SERVER 2008

安装配置AD RMS指南

本文档由umboy转载自微软公司文档，可以配合RMS论坛http://umboy.5d6d.com中的“umboy讲技术-视频”的“windows server2008上安装配置AD RMS指南”使用。本文不得在本人未经同意的情况下转载和发表。本文档的WORD版本可以去RMS开发 QQ群：24893581共享空间下载。

       Umboy:致力与信息安全与信息移动应用的研究。

BBS：http://umboy.5d6d.com

MSN：[email protected]

QQ：728634

BLOG：http://blog.csdn.net/umboy

RMS开发 QQ群：24893581

RMS开发 MSN群：[email protected]

MOSS开发 MSN群：[email protected]

目录

安装配置AD RMS指南............................................................................................... 1

目录........................................................................................................................... 3

安装AD RMS指南...................................................................................................... 5

关于指南................................................................................................................. 5

本指南不提供什么................................................................................................. 5

在测试环境中部署RMS............................................................................................ 6

步骤 1：设置基础结构................................................................................................. 7

配置域控制器 (CPANDL-DC)............................................................................... 8

配置承载 AD RMS 数据库的计算机 (ADRMS-DB).............................................. 13

配置承载 AD RMS 根群集的计算机 (ADRMS-SRV)............................................ 16

配置 AD RMS 客户端计算机 (ADRMS-CLNT).................................................... 18

步骤 2：在 ADRMS-SRV 上安装和配置 AD RMS...................................................... 20

步骤 3：在 ADRMS-CLNT 上验证 AD RMS 功能....................................................... 23

安装AD RMS指南        

关于指南

本循序渐进指南将引导您完成在测试环境中设置工作的 Active Directory 权限管理服务 (AD RMS) 基础结构的过程。在该过程中，将创建 Active Directory(R) 域，安装数据库服务器，安装 AD RMS 服务器角色，配置 AD RMS 群集，然后配置启用 AD RMS 的客户端计算机。

完成这些任务后，您可以使用测试实验室环境了解 Windows Server® 2008 上的 AD RMS 技术并评估如何在组织中部署。

l         完成本指南中的步骤后，您将：

l         准备 AD RMS 基础结构。

l          安装和配置 AD RMS。

l         在完成配置后验证 AD RMS 功能。

AD RMS 部署的目标是能够保护任何位置的信息。将 AD RMS 保护施加到数字文件后，将一直对该文件提供保护。默认情况下，只有内容所有者才能够取消对该文件的保护。所有者授予其他用户对内容执行操作的权限，如查看、复制或打印文件的能力。有关 AD RMS 部署蕴藏的商业因素的详细信息，请参阅白皮书“Windows Rights Management Services：帮助组织防止未经授权使用数字信息”(http://go.microsoft.com/fwlink/?LinkId=64636)（可能为英文网页）。

注：

 本指南只作为基本的 AD RMS 循序渐进指南。为 AD RMS 开发的所有其他循序渐进指南均假设用户已完成本指南。

本指南不提供什么

本指南不提供以下内容：

·   AD RMS 概述。有关 AD RMS 可以为您的组织带来好处的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=84726（可能为英文网页）。

·   在生产环境中设置和配置 AD RMS 的指南

·   AD RMS 的完整技术参考

在测试环境中部署RMS

建议您首先在测试实验室环境中执行本指南中提供的步骤。不一定必须使用循序渐进指南才能部署 Windows Server 功能，而不使用其他部署文档，应将其作为独立的文档谨慎使用。

完成本循序渐进指南后，您将有一个工作的 AD RMS 基础结构。然后，可以按照如下所示测试和验证 AD RMS 功能：

·         限制 Microsoft Office Word 2007 文档的权限

·          打开已授权用户并使用该文档。

·          让未经授权的用户尝试打开并使用该文档。

本指南中描述的测试环境包括四台计算机，它们已连接到专用网络，并且使用下列操作系统、应用程序和服务：

计算机名称	操作系统	应用程序和服务
ADRMS-SRV	Windows Server 2008	AD RMS、Internet Information Services (IIS) 7.0、万维网发布服务和消息队列
CPANDL-DC	带有 Service Pack 2 (SP2) 的 Windows Server 2003 注： Windows Server 2003 的 Service Pack 2 不是必需的，但本指南中会用到。	Active Directory，域名系统 (DNS)
ADRMS-DB	带有 SP2 的 Windows Server 2003 注： Windows Server 2003 的 Service Pack 2 不是必需的，但本指南中会用到。	带有 Service Pack 2 (SP2) 的 Microsoft SQL Server(TM) 2005 Standard Edition 注： SQL Server 2005 Standard Edition 的 Service Pack 2 不是必需的，但本指南中会用到。
ADRMS-CLNT	Windows Vista®	Microsoft Office Word 2007 Enterprise Edition

注意

有关安装 AD RMS 的系统要求的详细信息，请参阅http://go.microsoft.com/fwlink/?LinkId=84733（可能为英文网页）。

这些计算机构成了专用 Intranet，且通过常用集线器或第 2 层交换机进行连接。如果需要，可以在虚拟服务器环境中模拟此配置。此循序渐进练习在整个测试实验室配置中使用的是专用地址。为 Intranet 使用专用网络 ID 10.0.0.0/24。对于名为 cpandl.com 的域，域控制器命名为 CPANDL-DC。下图显示了测试环境的配置：

步骤 1：设置基础结构

若要在 CPANDL 域中准备 AD RMS 测试环境，必须完成以下任务：

·         配置域控制器 (CPANDL-DC)

·         配置承载 AD RMS 数据库的计算机 (ADRMS-DB)

·         配置承载 AD RMS 根群集的计算机 (ADRMS-SRV)

·         配置 AD RMS 客户端计算机 (ADRMS-CLNT)

设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置时，请参考下表。

在为计算机配置静态 Internet 协议 (IP) 地址之前，建议您在每台计算机仍然具有 Internet 连接时首先完成 Windows 产品激活。还应该从 Windows Update (http://go.microsoft.com/fwlink/?LinkID=47370 )（可能为英文网页）安装所有可用的重要安全更新。

计算机名称	操作系统要求	IP 设置	DNS 设置
CPANDL-DC	带有 Service Pack 2 (SP2) 的 Windows Server 2003	IP 地址： 10.0.0.1 子网掩码： 255.255.255.0	由 DNS 服务器角色配置。
ADRMS-SRV	Windows Server 2008	IP 地址： 10.0.0.2 子网掩码： 255.255.255.0	首选： 10.0.0.1
ADRMS-DB	带有 SP2 的 Windows Server 2003	IP 地址： 10.0.0.3 子网掩码： 255.255.255.0	首选： 10.0.0.1
ADRMS-CLNT	Windows Vista	IP 地址 10.0.0.4 子网掩码： 255.255.255.0	首选： 10.0.0.1

配置域控制器 (CPANDL-DC)

·         若要配置域控制器 CPANDL-DC，您必须：

·         安装带有 SP2 的 Windows Server 2003。

·         配置 TCP/IP 属性。

·         安装 Active Directory。

·         将 Active Directory 域功能级别提升至 Windows Server 2003。

·         创建用户帐户。

·         创建用户帐户组。

对于针对 AD RMS 配置的每个用户帐户和组，需要添加一个电子邮件地址，然后将用户分配到组。

首先，在独立服务器上安装带有 SP2 的 Windows Server 2003。

安装 Windows Server 2003 Standard Edition 的步骤

1. 使用 Windows Server 2003 产品 CD 启动计算机。（除 Web Edition 外，可以使用任何版本的 Windows Server 2003 建立域。） 2. 请按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，请键入 CPANDL-DC。

下一步配置 TCP/IP 属性，以便 CPANDL-DC 具有静态 IP 地址 10.0.0.1。此外，还要将 10.0.0.1 配置为 DNS 服务器的 IP 地址。

在 CPANDL-DC 上配置 TCP/IP 属性的步骤

1. 以本地 Administrators 组成员身份登录到 CPANDL-DC。 2. 单击“开始”，依次指向“控制面板”和“网络连接”，单击“本地连接”，然后单击“属性”。 3. 在“常规”选项卡上，单击“Internet 协议(TCP/IP)”，然后单击“属性”。 4. 单击“使用下面的 IP 地址”选项。在“IP 地址”框中，键入 10.0.0.1。在“子网掩码”框中，键入 255.255.255.0。 5. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。

下一步，将计算机配置为域控制器。

将 CPANDL-DC 配置为域控制器的步骤

1. 单击“开始”，然后单击“运行”。在“打开”框中，键入 dcpromo，然后单击“确定”。 2. 在 Active Directory 安装向导的“欢迎”页上，单击“下一步”。 3. 选择“新域的域控制器”选项，然后单击“下一步”。 4. 选择“在新林中的域”选项，然后单击“下一步”。 5. 选择“否，只在这台计算机上安装并配置 DNS”选项，然后单击“下一步”。 6. 在“新域的 DNS 全名”框中，键入 cpandl.com，然后单击“下一步”。 7. 在“域 NetBIOS 名称”框中，键入 CPANDL，然后单击“下一步”三次。 8. 选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”选项，然后单击“下一步”。 9. 在“还原模式密码”和“确认密码”框中，键入强密码。单击“下一步”。 10. 再次单击“下一步”。 11. Active Directory 安装向导完成后，单击“完成”。 12. 单击“立即重新启动”。

注：完成上述步骤后，必须重新启动计算机

下一步，必须将域功能级别提升至 Windows Server 2003，以便可以使用 Active Directory 通用组。

将域功能级别提升至 Windows Server 2003 的步骤

1. 使用 CPANDL/Administrator 帐户或 Domain Admins 组中的其他用户帐户登录到 CPANDL-DC。 2. 单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 3. 右键单击 cpandl.com，然后单击“提升域功能级别”。 4. 在“选择一个可用的域功能级别”下的列表中，单击 Windows Server 2003，然后单击“提升”。 5. 单击“确定”确认选择。注：提升域功能级别后，您将无法更改它。 6. 关闭“Active Directory 用户和计算机”控制台。

下一步，将下表中显示的用户帐户添加到 Active Directory。使用该表后面的步骤创建用户帐户。

帐户名	用户登录名	电子邮件地址	组
ADRMSSRVC	ADRMSSRVC
ADRMSADMIN	ADRMSADMIN	Enterprise Admins
Nicole Holliday	NHOLLIDA	[email protected]	Employees、Finance
Limor Henig	LHENIG	[email protected]	Employees、Marketing
Stuart Railson	SRAILSON	[email protected]	Employees、Engineering

添加新用户帐户的步骤

1. 单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 2. 在控制台树中，展开 cpandl.com。 3. 右键单击“用户”，指向“新建”，然后单击“用户”。 4. 在 “新建对象 - 用户”对话框中，在 “全名”和“用户登录名”框中键入 ADRMSSRVC，然后单击“下一步”。 5. 在“新建对象 - 用户”对话框中，键入在“密码”和“确认密码”框中选择的密码。清除“用户下次登录时须更改密码”复选框，单击“下一步”，然后单击“完成”。 6. 为以下每个用户执行步骤 3 到步骤 6：ADRMSADMIN、Nicole Holliday、Limor Henig 和 Stuart Railson。

下一步，为所有用户帐户添加电子邮件地址。

为用户帐户添加电子邮件地址的步骤

1. 在“Active Directory 用户和计算机”控制台中，右键单击 Nicole Holliday，单击“属性”，在“电子邮件”框中键入 [email protected]，然后单击“确定”。 2. 使用表中每个帐户的电子邮件地址，为 Limor Henig 和 Stuart Railson 重复步骤 1。 3. 关闭“Active Directory 用户和计算机”控制台。

创建用户帐户后，还应创建 Active Directory 通用组并将这些用户添加到这些组。下表列出了应添加到 Active Directory 的通用组。使用下表后的步骤创建通用组。

组名	电子邮件地址
Finance	[email protected]
Marketing	[email protected]
Engineering	[email protected]
Employees	[email protected]

将新组对象添加到 Active Directory 的步骤

1. 在“Active Directory 用户和计算机”控制台中，右键单击“用户”，指向“新建”，然后单击“组”。 2. 在“新建对象 - 组”对话框中，在“组名”中键入 Finance，选择“通用”选项作为“组作用域”，然后单击“确定”。 3. 为其余每个组执行上述步骤 1 到步骤 2：Marketing、Engineering 和 Employees。

下一步，为组对象添加电子邮件地址：

为组对象添加电子邮件地址的步骤

1. 在“Active Directory 用户和计算机”控制台中，双击“用户”，右键单击 Finance，然后单击“属性”。 2. 在“电子邮件”框中键入 [email protected]，然后单击“确定”。 3. 为其余每个组执行上述步骤 1 到步骤 2：Marketing、Engineering 和 Employees。

最后，将用户帐户添加到相应的组。在本指南中，将 Nicole Holliday、Limor Henig 和 Stuart Railson 添加到 Employees 组。然后，将 Nicole Holliday 添加到 Finance 组，将 Limor Henig 添加到 Marketing 组，最后将 Stuart Railson 添加到 Engineering 组。若要将用户帐户添加到各自的组中，应按照下列步骤进行操作：

将用户帐户添加到组的步骤

1. 在“Active Directory 用户和计算机”控制台中，双击“用户”，然后双击 Employees。 2. 单击“成员”，然后单击“添加”。 3. 键入 [email protected];[email protected];[email protected]，然后单击“确定”。 4. 按如下对应关系执行上述步骤 2 到 步骤 4，将成员添加到其余的每个组： l          Nicole Holliday - Finance l          Limor Henig - Marketing l          Stuart Railson - Engineering 5. 关闭“Active Directory 用户和计算机”控制台。

配置承载 AD RMS 数据库的计算机 (ADRMS-DB)

首先，在将要承载 AD RMS 数据库的计算机上安装 Windows Server 2003。

安装 Windows Server 2003 Standard Edition 的步骤

1. 使用 Windows Server 2003 产品 CD 启动计算机。（除 Web Edition 外，可以使用任何版本的 Windows Server 2003 建立域。） 2. 请按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，请键入 ADRMS-DB。

在该步骤中，将配置 TCP/IP 属性，以便 ADRMS-DB 具有静态 IP 地址 10.0.0.3。

在 ADRMS-DB 上配置 TCP/IP 属性的步骤

1. 使用 ADRMS-DB/Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADRMS-DB。 2. 单击“开始”，依次指向“控制面板”和“网络连接”，单击“本地连接”，然后单击“属性”。 3. 在“常规”选项卡上，单击“Internet 协议(TCP/IP)”，然后单击“属性”。 4. 单击“使用下面的 IP 地址”选项。在“IP 地址”框中，键入 10.0.0.3。在“子网掩码”框中，键入 255.255.255.0。 5. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。

下一步，将 AD RMS 数据库服务器 (ADRMS-DB) 计算机加入到 CPANDL 域：

将 ADRMS-DB 加入到 CPANDL 域的步骤

1. 单击“开始”，右键单击“我的电脑”，然后单击“属性”。 2. 单击“计算机名称”选项卡，单击“更改”。 3. 在“计算机名更改”对话框中，选择“域”选项，然后键入 cpandl.com。 4. 单击“详细信息”，然后在“此计算机的主 DNS 后缀”框中键入 cpandl.com。 5. 单击“确定”两次。 6. 当出现“计算机名更改”对话框提示您输入管理凭据时，请提供 CPANDL/Administrator 的凭据，然后单击“确定”。 7. 当出现“计算机名更改”对话框欢迎您进入 cpandl.com 域时，单击“确定”。 8. 当出现“计算机名更改”对话框提示必须重新启动计算机时，单击“确定”，然后单击“关闭”。 9. 单击“是”重新启动计算机。

下一步，安装 Microsoft SQL Server 2005 Standard Edition：

安装 Microsoft SQL Server 2005 的步骤

1. 使用 CPANDL/Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADRMS-DB。 2. 插入 Microsoft SQL Server 2005 产品 CD。将自动开始安装。 3. 单击“我接受许可条款和条件”复选框，然后单击“下一步”。 4. 在“安装必备组件”页上，单击“安装”。 5. 单击“下一步”。 6. 在“欢迎使用 Microsoft SQL Server 安装向导”页上，单击“下一步”，然后再次单击“下一步”。 7. 在“姓名”框中，键入您的姓名。在“公司”框中，键入组织的名称，然后键入相应的产品密钥。单击“下一步”。 8. 选中“SQL Server 数据库服务”、“工作站组件”和“联机丛书和开发工具”复选框，然后单击“下一步”。 9. 选择“默认实例”选项，然后单击“下一步”。 10. 选择“使用内置系统帐户”选项，然后单击“下一步”。 11. 选择“Windows 身份验证模式”选项，然后单击“下一步”。 12. 单击“下一步”，接受默认“排序规则设置”，然后再次单击“下一步”。 13. 单击“安装”。当选定组件的状态均为已完成时，单击“下一步”。 14. 单击“完成”。

下一步，将 ADRMSADMIN 添加到 ADRMS-DB 上的本地 Administrators 组。AD RMS 安装用户帐户需要使用该成员身份才能创建 AD RMS 数据库。安装 AD RMS 后，可以从该组中删除 ADRMSADMIN。

将 ADRMSADMIN 添加到本地 Administrators 组的步骤

1. 依次单击“开始”、“管理工具”，然后单击“计算机管理”。 2. 展开“系统工具”，再展开“本地用户和组”，然后单击“组”。 3. 右键单击 Administrators，单击“添加到组”，再单击“添加”，在“输入对象名称来选择(示例)”框中键入 ADRMSADMIN，然后单击“确定”。 4. 单击“确定”，然后关闭“计算机管理”。

最后，在 ADRMS-DB 上创建一个共享文件夹，以便其他用户能够找到保存到网络的文档。

创建能够被 CP&L 员工修改的共享网络文件夹的步骤

1. 单击“开始”，单击“我的电脑”，然后双击“本地磁盘(C:)”。 2. 单击“文件”，指向“新建”，然后单击“文件夹”。 3. 键入 Public 作为新文件夹的名称，然后按 Enter。 4. 右键单击 Public，然后单击“共享和安全”。 5. 选择“共享此文件夹”选项，确保 Public 位于“共享名”框中。 6. 单击“权限”。 7. 选中“每个人的权限”框的“允许”列中的“完全控制”复选框。 8. 单击“确定”两次。

配置承载 AD RMS 根群集的计算机 (ADRMS-SRV)

若要配置成员服务器 ADRMS-SRV，必须安装 Windows Server 2008，配置 TCP/IP 属性，然后将 ADRMS-SRV 加入到域 cpandl.com。还必须将帐户 ADRMSADMIN 作为成员添加到本地 Administrators 组。这是 ADRMSADMIN 将 AD RMS 安装到 ADRMS-SRV 上所必需的。

安装 AD RMS 服务器角色的同时还会安装 Internet Information Services (IIS) 7.0、消息队列和 Windows 内部数据库。

首先，安装 Windows Server 2008 作为独立服务器。

安装 Windows Server 2008 的步骤

1. 使用 Windows Server 2008 产品 CD 启动计算机。 2. 当提示选择安装类型时，选择“自定义安装”。 3. 当提示输入计算机名称时，键入 ADRMS-SRV。 4. 请按照屏幕上显示的其他说明完成安装。

下一步配置 TCP/IP 属性，以便 ADRMS-SRV 具有静态 IP 地址 10.0.0.2。此外，还要使用 CPANDL-DC 的 IP 地址 (10.0.0.1) 配置 DNS 服务器。

配置 TCP/IP 属性的步骤

1. 使用 ADRMS-SRV/Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADRMS-SRV。 2. 单击“开始”，单击“控制面板”，双击“网络和共享中心”，单击“管理网络连接”，右键单击“本地连接”，然后单击“属性”。 3. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。 4. 选择“使用下面的 IP 地址”选项。在“IP 地址”中，键入 10.0.0.2，在“子网掩码”中，键入 255.255.255.0。 5. 选择“使用下面的 DNS 服务器地址”选项。在“首选 DNS 服务器”中，键入 10.0.0.1。 6. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。

下一步，将 ADRMS-SRV 加入到 cpandl.com 域。

将 ADRMS-SRV 加入到 cpandl.com 域的步骤

1. 单击“开始”，右键单击“计算机”，然后单击“属性”。 2. 单击“更改设置”（位于“计算机名称、域和工作组设置”下方的右侧），然后单击“更改”。 3. 在“计算机名/域更改”对话框中，选择“域”选项，然后键入 cpandl.com。 4. 单击“更多”，并在“此计算机的主 DNS 后缀”框中键入 cpandl.com。 5. 单击“确定”，然后再次单击“确定”。 6. 当出现“计算机名/域更改”对话框提示输入管理凭据时，请提供 CPANDL/Administrator 的凭据，然后单击“确定”。 7. 当出现“计算机名/域更改”对话框欢迎您进入 cpandl.com 域时，单击“确定”。 8. 当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。 9. 单击“立即重新启动”。

重新启动计算机后，将 ADRMSADMIN 添加到 ADRMS-SRV 上的本地 Administrators 组中。

将 ADRMSADMIN 添加到本地 Administrators 组的步骤

1. 使用 CPANDL/Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADRMS-SRV。 2. 依次单击“开始”、“管理工具”，然后单击“计算机管理”。 3. 展开“系统工具”，再展开“本地用户和组”，然后单击“组”。 4. 右键单击 Administrators，单击“添加到组”，再单击“添加”，在“输入对象名称来选择(示例)”框中键入 ADRMSADMIN，然后单击“确定”。 5. 单击“确定”，然后关闭“计算机管理”。

配置 AD RMS 客户端计算机 (ADRMS-CLNT)

若要配置 ADRMS-CLNT，必须安装 Windows Vista，配置 TCP/IP 属性，然后将 ADRMS-CLNT 加入到域 cpandl.com。还必须安装启用 AD RMS的应用程序。在本示例中，在 ADRMS-CLNT 上安装了 Microsoft Office Word 2007 Enterprise Edition。

安装 Windows Vista 的步骤

1. 使用 Windows Vista 产品 CD 启动计算机。 2. 按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，请键入 ADRMS-CLNT。

下一步配置 TCP/IP 属性，以便 ADRMS-CLNT 具有静态 IP 地址 10.0.0.4。此外，配置 CPANDL-DC 的 DNS 服务器 (10.0.0.1)。

配置 TCP/IP 属性的步骤

1. 使用 ADRMS-CLNT/Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADRMS-CLNT。 2. 依次单击“开始”、“控制面板”以及“网络和 Internet”，然后单击“网络和共享中心”。 3. 单击“管理网络连接”，右键单击“本地连接”，然后单击“属性”。 4. 如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。 5. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。 6. 选择“使用下面的 IP 地址”选项。在“IP 地址”中，键入 10.0.0.4，在“子网掩码”中，键入 255.255.255.0。 7. 选择“使用下面的 DNS 服务器地址”选项。在“首选 DNS 服务器”中，键入 10.0.0.1。 8. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。

下一步，将 ADRMS-CLNT 加入到 cpandl.com 域。

将 ADRMS-CLNT 加入到 cpandl.com 域的步骤

1. 单击“开始”，右键单击“计算机”，然后单击“属性”。 2. 在“计算机名称、域和工作组设置”下，单击“更改设置”。 3. 如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。 4. 在“计算机名称”选项卡上，单击“更改”。 5. 在“计算机名/域更改”对话框中，选择“域”选项，然后键入 cpandl.com。 6. 单击“详细信息”，然后在“此计算机的主 DNS 后缀”框中键入 cpandl.com。 7. 单击“确定”，然后再次单击“确定”。 8. 当出现“计算机名/域更改”对话框提示输入管理凭据时，请提供相应凭据，然后单击“确定”。 9. 当出现“计算机名/域更改”对话框欢迎您进入 cpandl.com 域时，单击“确定”。 10. 当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。 11. 在“系统设置更改”对话框中，单击“是”重新启动计算机。

最后，安装 Microsoft Office Word 2007 Enterprise。

安装 Microsoft Office Word 2007 Enterprise 的步骤

1. 使用 CPANDL/Administrator 帐户或本地 Administrators 组中的其他用户帐户登录到 ADRMS-CLNT。 2. 双击 Microsoft Office 2007 Enterprise 产品光盘上的 setup.exe。 3. 单击“自定义”作为安装类型，将除 Microsoft Office Word 2007 Enterprise 之外的所有应用程序的安装类型设置为“不可用”，然后单击“现在安装”。这可能需要花费几分钟的时间才能完成。

重要事项：只有 Microsoft Office 2007 Ultimate、Professional Plus 和 Enterprise 版本允许创建受权限保护的内容。所有版本都允许使用受权限保护的内容。

步骤 2：在 ADRMS-SRV 上安装和配置 AD RMS

若要安装和配置 AD RMS，必须添加 AD RMS 服务器角色。

Windows Server 2008 包括通过 服务器管理器 将 AD RMS 安装为服务器角色的选项。AD RMS 的安装和配置都通过 服务器管理器 进行处理。AD RMS 环境中的第一个服务器是根群集。AD RMS 根群集由负载平衡环境中配置的一个或多个 AD RMS 服务器组成。本循序渐进指南将安装并配置一个单服务器 AD RMS 根群集。

注册 AD RMS 服务连接点 (SCP) 要求进行安装的用户帐户是 Active Directory Enterprise Admins 组的成员。

重要事项：只能在安装 AD RMS 时授予对 Enterprise Admins 组的访问权限。安装完成后，应从该组删除进行安装的用户帐户。

将 ADRMSADMIN 添加到 Enterprise Admins 组的步骤

1. 使用 cpandl/Administrator 帐户或 Domain Admins 组中的其他用户帐户登录到 CPANDL-DC。 2. 单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 3. 在控制台树中，展开 cpandl.com，双击“用户”，然后双击 Enterprise Admins。 4. 单击“成员”选项卡，然后单击“添加”。 5. 键入 [email protected]，然后单击“确定”。

安装 AD RMS 并将其配置为根群集。

添加 AD RMS 服务器角色的步骤

1. 以 cpandl/ADRMSADMIN 身份登录到 ADRMS-SRV。 2. 单击“开始”，指向“管理工具”，然后单击“服务器管理器”。 3. 如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。 4. 在“角色摘要”框中，单击“添加角色”。此时将打开“添加角色向导”。 5. 阅读“开始之前”部分，然后单击“下一步”。 6. 在“选择服务器角色”页上，选中 Active Directory Rights Management Services 复选框。 7. 此时会出现“角色服务”页，告知您 AD RMS 依赖的角色服务和功能。请确保列出了 Web 服务器 (IIS)、Windows Process Activation Service (WPAS) 和消息队列，然后单击“添加必需的角色服务”。单击“下一步”。 8. 阅读 AD RMS 简介页，然后单击“下一步”。 9. 在“选择角色服务”页中，确认已选中了 Active Directory Rights Management Server 复选框，然后单击“下一步”。 10. 选择“新建 AD RMS 群集”选项，然后单击“下一步”。 11. 选择“使用其他数据库服务器”选项。 12. 单击“选择”，在“选择计算机”对话框中键入 ADRMS-DB，然后单击“确定”。 13. 在“数据库实例”中，单击“默认”，然后单击“验证”。 14. 单击“下一步”。 15. 单击“指定”，键入 CPANDL/ADRMSSRVC，键入帐户密码，单击“确定”，然后单击“下一步”。 16. 确保选择了“使用 AD RMS 集中管理的密钥存储”选项，然后单击“下一步”。 17. 在“密码”框和“确认密码”框中键入强密码，然后单击“下一步”。 18. 选择要在其中安装 AD RMS 的网站，然后单击“下一步”。在使用默认设置的安装中，唯一可用的网站名称应该是“默认网站”。 19. 选择“使用 SSL 加密连接(https://)”选项。 20. 在“完全限定的域名”框中，键入 adrms-srv.cpandl.com，然后单击“验证”。如果验证成功，“下一步”按钮将可用。单击“下一步”。 21. 选择“为 SSL 加密选择现有证书”选项，单击已为该 AD RMS 群集导入的证书，然后单击“下一步”。 22. 在“友好名称”框中键入有助于标识 AD RMS 群集的名称，然后单击“下一步”。 23. 确保选择了“立即注册 AD RMS 服务连接点”选项，然后单击“下一步”即可在安装期间在 Active Directory 中注册 AD RMS 服务连接点 (SCP)。 24. 阅读“Web 服务器简介(IIS)”页，然后单击“下一步”。 25. 保留 Web 服务器默认复选框选择，然后单击“下一步”。 26. 单击“安装”在计算机上设置 AD RMS。完成安装可能需要多达 60 分钟。 27. 单击“完成”。 28. 注销该服务器，然后重新登录以更新已登录用户帐户的安全令牌。在安装 AD RMS 服务器角色时登录的用户帐户会自动成为 AD RMS Enterprise Administrators 本地组的成员。用户必须是该组的成员，才能管理 AD RMS。

注：此时，便可以从 ADRMS-DB 上的本地 Administrators 组中将 cpandl/ADRMSADMIN 删除。

现在，已经安装并配置了 AD RMS 根群集。

AD RMS 的进一步管理使用 Active Directory Rights Management Services 控制台来完成。

打开 Active Directory Rights Management Services 控制台的步骤

1. 单击“开始”，指向“管理工具”，然后单击 Active Directory Rights Management Services。 2. 如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。

从控制台中，可以配置信任策略，配置排除策略以及创建权限策略模板。

步骤 3：在 ADRMS-CLNT 上验证 AD RMS 功能

Windows Vista 和 Windows Server 2008 的默认安装中都包括 AD RMS 客户端。以前版本的客户端可用于下载一些较早版本的 Windows 操作系统。有关详细信息，请参阅 Microsoft Windows Server TechCenter 上的 Windows Server 2003 Rights Management Services 页 (http://go.microsoft.com/fwlink/?LinkId=68637 <script language="JavaScript" type="text/javascript"> if(typeof(IsPrinterFriendly) != "undefined") { var l = "http://go.microsoft.com/fwlink/?LinkId=68637"; var nl; var c = l.charAt(0); var o = document.getElementById("EGD"); switch (c){ case "/": nl=(" [http://" + document.domain + l + "]"); break case "#": nl=(""); break default: nl=" [" + l + "]" } if(o != null) o.innerHTML = nl; } </script> )（可能为英文网页）。

在可以使用受权限保护的内容之前，必须将 AD RMS 群集 URL 添加到“本地 Intranet”安全区域中。

为所有将使用受权限保护的内容的用户，将 AD RMS 群集 URL 添加到“本地 Intranet”安全区域中。

将 AD RMS 群集添加到“本地 Intranet”安全区域的步骤

1. 以 Nicole Holliday (cpandl/NHOLLIDA) 身份登录到 ADRMS-CLNT。 2. 单击“开始”、“所有程序”，然后单击 Internet Explorer。 3. 单击“工具”，然后单击“Internet 选项”。 4. 单击“安全”选项卡，单击“本地 Intranet”，然后单击“站点”。 5. 单击“高级”。 6. 在“将该网站添加到区域”中，键入 https://adrms-srv.cpandl.com，然后单击“添加”。 7. 单击“关闭”。 8. 对 Stuart Railson 和 Limor Henig 重复步骤 1-7。

若要验证 AD RMS 部署的功能，请以 Nicole Holliday 身份登录，然后限制一个 Microsoft Word 2007 文档的权限，以便 CP&L Engineering 组的成员能够读取该文档，但无法更改、打印和复制该文档。然后，以 Stuart Railson 身份登录，验证是否已授予读取该文档的适当权限，而没有其他权限。然后，以 Limor Henig 身份登录。因为 Limor 不是 Engineering 组的成员，所以他应该不能使用该受权限保护的文件。

限制 Microsoft Word 文档权限的步骤

1. 以 Nicole Holliday (cpandl/NHOLLIDA) 身份登录到 ADRMS-CLNT。 2. 单击“开始”，依次指向“所有程序”和 Microsoft Office，然后单击 Microsoft Office Word 2007。 3. 在空白文档页上键入“CP&L Engineering 组员工可以读取该文档，但无法更改、打印或复制该文档”。 4. 依次单击“Microsoft Office 按钮”、“准备”和“限制权限”，然后单击“权限访问”。 5. 单击“限制对此文档的权限”复选框。 6. 在“读取”框中，键入 [email protected]，然后单击“确定”关闭“权限”对话框。 7. 单击“Microsoft Office 按钮”，单击“另存为”，然后将该文件另存为 //ADRMS-DB/Public/ADRMS-TST.docx。 8. 以 Nicole Holliday 身份注销。

下一步，以 Stuart Railson 身份登录并打开文档 ADRMS-TST.docx。

查看受权限保护的文档的步骤

1. 以 Stuart Railson (cpandl/SRAILSON) 身份登录到 ADRMS-CLNT。 2. 单击“开始”，依次指向“所有程序”和 Microsoft Office，然后单击 Microsoft Office Word 2007。 3. 单击“Microsoft Office 按钮”，然后单击“打开”。 4. 在“文件名”框中，键入 //ADRMS-DB/Public/ADRMS-TST.docx，然后单击“打开”。 将显示以下消息：“此文档的权限当前受限制。Microsoft Office 必须连接到 https://adrms-srv.cpandl.com:443/_wmcs/licensing 验证您的凭据并下载权限。” 5. 单击“确定”。 将显示以下消息：“正在验证您的凭据以打开受权限限制的内容...”。 6. 打开文档后，单击 Microsoft Office 按钮。请注意，“打印”选项不可用。 7. 关闭 Microsoft Word。 8. 以 Stuart Railson 身份注销。

最后，以 Limor Henig 身份登录并确认他没有权限使用该受权限保护的文件。

尝试查看受权限保护的文档的步骤

1. 以 Limor Henig (cpandl/LHENIG) 身份登录到 ADRMS-CLNT。 2. 单击“开始”，依次指向“所有程序”和 Microsoft Office，然后单击 Microsoft Office Word 2007。 3. 单击“Microsoft Office 按钮”，单击“打开”，然后双击 //ADRMS-DB/Public/ADRMS-TST.docx。 将显示以下消息：“此文档的权限当前受限制。Microsoft Office 必须连接到 https://adrms-srv.cpandl.com:443/_wmcs/licensing 验证您的凭据并下载权限。” 4. 单击“确定”。 5. 将显示以下消息：“没有凭据允许您打开该文档。您可以向 [email protected] 申请更新的权限。是否要申请更新的权限？” 6. 单击“否”，然后关闭 Microsoft Word。

至此，您已通过将受限权限应用到 Microsoft Word 2007 文档这一简单情况，成功部署和演示了 AD RMS 的功能。还可以使用此部署，通过额外的配置和测试来开发 AD RMS 的某些其他功能。