博客目录
一、AD RMS是什么?
1、AD RMS大发红黑简介
2、AD RMS群集概述
3、AD RMS客户端介绍
4、AD RMS环境为什么需要IIS?
5、AD RMS环境为什么需要数据库?
二、部署AD RMS大发红黑服务
1、环境如下:
2、环境分析:
3、问题分析:
4、案例实施:

一、AD RMS是什么?

1、AD RMS大发红黑简介

RMS(Rights Management Services,权限管理大发红黑服务 )早在大发红黑Win dows 2003中就已经存在,目的是为大发红黑企业 的信息数据提供最大的安全防护大发红黑技术 。

在大发红黑Win dows server 2016中,RMS大发红黑服务 得到了加强,其已经作为常用大发红黑服务 内置在操作系统当中,并正式被命名为AD RMS(Active Directory 权限管理大发红黑服务 )。它与支持AD RMS的应用成树协同工作,以防止在未经授权的情况下使用数字信息。AD RMS适用于需要保护好敏感信息和专有信息的大发红黑组织 。AD RMS通过永久使用策略提供对信息的保护,从而增强大发红黑组织 的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起。

2、AD RMS群集概述

AD RMS群集被定义为运行AD RMS的单一大发红黑服务 器,或共享来自AD RMS客户端的AD RMS发布和授权请求的一组大发红黑服务 器。在Active Directory林中设置第一个AD RMS大发红黑服务 器时,该大发红黑服务 器将成为AD RMS群集,可以随时设置大发红黑更多 大发红黑服务 器并将其添加到AD RMS群集中。

AD RMS有两种类型的群集:根群集和仅授权群集
AD RMS安装中的第一个大发红黑服务 器通常被称为根群集。根群集处理其安装所在的active directory域大发红黑服务 (AD DS)、域的所有证书和授权请求。对于复杂环境,除根群集外,还可以创建仅授权群集。但是,建议使用一个根群集,然后将大发红黑更多 的AD RMS大发红黑服务 器加入此群集中。

3、AD RMS客户端介绍

AD RMS客户端随大发红黑Win dows 10和大发红黑Win dows server 2016操作系统一起提供。如果用户使用大发红黑Win dows xp、大发红黑Win dows 2000或大发红黑Win dows server 2003作为客户端操作系统,则可以从microsoft大发红黑下载 中心大发红黑下载 AD RMS客户端的兼容版本。

4、AD RMS环境为什么需要IIS?

因为客户端是通过HTTP或HTTPS协议与AD RMS大发红黑服务 器进行通信的,所以部署AD RMS大发红黑服务 器必须同时 安装IIS。

5、AD RMS环境为什么需要数据库?

数据库用于存储AD RMS的配置与策略等信息。可以使用SQL Server,也可以使用AD RMS内置的数据库。

二、部署AD RMS大发红黑服务

1、环境如下:

server 2016部署AD RMS(保护重要文档)

2、环境分析:

本案例自己提前准备域环境,客户端提前准备office 2016,在这里大发红黑我 就不多说了,有需要的可以评论或者私信大发红黑我 。另外,为了降低成本,没有使用独立的SQL server大发红黑服务 器,而是使用了AD RMS自带的内置数据库。

大发红黑我 这里就用两台server 2016和两台大发红黑Win dows 10
DC1安装域环境,(大发红黑我 是提前安装好的,在这就不截图说明了)然后添加证书大发红黑服务 ,添加域账户和客户端两个普通账户。
DC3加入域,安装IIS和RMS大发红黑服务 。
大发红黑Win dows 10提前安装office 2016验证权限使用。

3、问题分析:

要想成功部署并维护AD RMS,需要先对其工作机制有所了解,从文件所有者创建受保护的文件到最后要访问文件的用户通过验证访问到受保护文件的基本流程如下:

1)用户bob在执行第一次保护文件的工作时,会首先从AD RMS大发红黑服务 器获取一个CLC(客户端许可证书),通过该证书才可以执行后续的文件保护工作。

2)用户bob需要使用AD RMS客户端应用程序创建文件,并在创建文件的同时执行保护文件的工作,主要包括设置可使用此文件的用户及权限。同时,根据这些权限策略,生成发布许可证,发布许可证内包含着文件的使用权限和使用条件。

3)AD RMS客户端用对称密钥将原文件加密。

4)AD RMS客户端将对称密钥加入发布许可证内,然后用AD RMS大发红黑服务 器的公钥对其加密。

5)文件接收者tom用AD RMS客户端打开文件时,如果它的计算机中还没有RAC(权限账户证书),则会从AD RMS大发红黑服务 器获取一个RAC。

6)AD RMS客户端向AD RMS大发红黑服务 器发出索取使用许可证的请求,其中包含RAC和经过AD RMS大发红黑服务 器公钥加密的发布许可证(其中包含对称密钥)。

7)AD RMS大发红黑服务 器收到请求后,用自己的私钥解密发布许可证,得到权限策略和对称密钥。

8)AD RMS大发红黑服务 器用tom的公钥加密权限策略和对称密钥,生成使用许可证,然后发给接收者tom用户。

9)接收者tom用自己的私钥解密使用许可证,得到权限策略和对称密钥,进而解密原文件并按照权限策略的定义打开文件。

4、案例实施:

DC1_AD大发红黑服务 器部署如下:

登录AD大发红黑服务 器,配置IP大发红黑地址 、网关及DNS
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

域控制器里添加名为ADRMS的大发红黑组织 单位,新建管理AD RMS大发红黑服务 的用户为adrms,设置账户为永不过期,添加隶属于为domain admins组
server 2016部署AD RMS(保护重要文档)

创建两个普通用户分别是tom和bob,添加电子邮件大发红黑地址 ,用于后面验证AD RMS
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

打开“大发红黑服务 器管理器”窗口,单击“添加角色和功能”。
server 2016部署AD RMS(保护重要文档)

在“添加角色和功能向导”的“开始之前”界面中,单击“下一步”按钮。
server 2016部署AD RMS(保护重要文档)

在“安装类型”界面中,保持默认,单击“下一步”按钮。(后续默认下一步的大发红黑我 就不一一截图了)
server 2016部署AD RMS(保护重要文档)

在“大发红黑服务 器选择”界面,保持默认,单击“下一步”按钮。
server 2016部署AD RMS(保护重要文档)

在“选择大发红黑服务 器角色”界面中选择“Active Directory证书大发红黑服务 ”复选框,此时会弹出提示框,然后单击“添加功能”及“下一步”按钮。
server 2016部署AD RMS(保护重要文档)

在“角色大发红黑服务 ”界面中选择“证书颁发机构web注册”复选框,此时会弹出提示框,然后单击“添加功能”及“下一步”按钮。
server 2016部署AD RMS(保护重要文档)

开始安装AD 证书大发红黑服务
server 2016部署AD RMS(保护重要文档)

安装完成后,开始配置证书大发红黑服务 ,在“凭据”界面中保持默认单击“下一步”按钮。
server 2016部署AD RMS(保护重要文档)

在“角色大发红黑服务 ”界面选择“证书颁发机构”和“证书颁发机构web注册”复选框,然后单击“下一步”按钮。
server 2016部署AD RMS(保护重要文档)

在“设置类型”界面,选择“大发红黑企业 CA”复选框,单击“下一步”按钮。
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
证书配置完成,大发红黑大发红黑我 们 要运行cmd敲一条“gpupdate /force”命令,更新一下策略,(DC3_RMS大发红黑服务 器也一样更新一下)
server 2016部署AD RMS(保护重要文档)
至此DC1_AD大发红黑服务 器部署完成,开始部署DC3_RMS大发红黑服务 器

DC3_RMS大发红黑服务 器部署如下:
登录DC3_RMS大发红黑服务 器,配置IP大发红黑地址 及DNS加入域
server 2016部署AD RMS(保护重要文档)

加入域
server 2016部署AD RMS(保护重要文档)

成功加入benet域,重新启动计算机

运行cmd,敲一下“gpupdate /force”更新一下策略
server 2016部署AD RMS(保护重要文档)

安装ASP.net4.6功能、大发红黑Win dows内部数据库及消息队列(前面默认的步骤大发红黑我 就不截图了,自行操作即可)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

server 2016部署AD RMS(保护重要文档)

server 2016部署AD RMS(保护重要文档)

添加IIS(web)大发红黑服务 器,后面申请证书使用,默认安装即可
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

打开IIS管理器
server 2016部署AD RMS(保护重要文档)

点开大发红黑服务 器证书
server 2016部署AD RMS(保护重要文档)

选择创建域证书
server 2016部署AD RMS(保护重要文档)

创建证书
server 2016部署AD RMS(保护重要文档)

指定联机证书颁发机构和好记名称完成重启计算机即可
server 2016部署AD RMS(保护重要文档)

添加AD RMS大发红黑服务
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

配置AD RMS
server 2016部署AD RMS(保护重要文档)

选择新的根群集即可
server 2016部署AD RMS(保护重要文档)

选择此大发红黑服务 器使用大发红黑Win dows内部数据库
server 2016部署AD RMS(保护重要文档)

指定域用户
server 2016部署AD RMS(保护重要文档)

指定加密模式
server 2016部署AD RMS(保护重要文档)

保持默认下一步,创建群集密码
server 2016部署AD RMS(保护重要文档)

保持默认下一步,指定群集大发红黑地址 ,也就是刚才申请域证书的大发红黑地址
server 2016部署AD RMS(保护重要文档)

server 2016部署AD RMS(保护重要文档)

安装完成,重启计算机即可
server 2016部署AD RMS(保护重要文档)
两台大发红黑服务 器已经部署完成,客户端加入域之后创建文档设置权限即可。

客户端部署如下:
将安装好office的两台客户端配置IP大发红黑地址 及DNS加入域
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

成功加入域,重启计算机即可,大发红黑Win 10_02客户端同样操作大发红黑我 就不截图了,大发红黑Win 10_02的IP大发红黑地址 配置为192.168.100.40即可,(自行规划)
server 2016部署AD RMS(保护重要文档)

加入域重启之后用大发红黑本地 管理员登录,然后将域账户加入到大发红黑本地 管理员权限,禁用大发红黑本地 管理员登录,域账户有权限管理当前计算机
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

将域账户添加到大发红黑本地 管理员权限
server 2016部署AD RMS(保护重要文档)
server 2016部署AD RMS(保护重要文档)

禁用大发红黑本地 管理员账户
server 2016部署AD RMS(保护重要文档)

注销计算机,用bob登录域即可,(第二台客户端也是同样的配置,bob改成tom即可,注销用tom登录域,大发红黑我 在这就不截图了)
server 2016部署AD RMS(保护重要文档)

两台客户端部署完成,开始设置AD RMS权限,创建一个word文档,开始设置权限,连接权限管理大发红黑服务 器,也就是所谓的DC3_AD RMS大发红黑服务 器
server 2016部署AD RMS(保护重要文档)

登录账户输入密码获取模板,设置权限
server 2016部署AD RMS(保护重要文档)

选择限制访问,设置权限
server 2016部署AD RMS(保护重要文档)

大发红黑我 就只给tom读取权限了,等一下去tom账户的客户端看一下效果
server 2016部署AD RMS(保护重要文档)

进入其他选项可以看出,bob是完全控制权限,而tom只给了读取权限,
server 2016部署AD RMS(保护重要文档)

保存文档,创建共享文件夹将word文档共享给tom,tom访问共享文件,大发红黑下载 访问,此时就会看出tom对word文档只有读取权限
server 2016部署AD RMS(保护重要文档)

Tom登录
server 2016部署AD RMS(保护重要文档)

会发现只有读取权限,
server 2016部署AD RMS(保护重要文档)

大发红黑我 用的第三方截图大发红黑工具 ,大发红黑我 把截图大发红黑工具 以管理员运行的话截屏直接截到的是黑屏,足以证明RMS对权限的细化和精确控制
server 2016部署AD RMS(保护重要文档)

—————— 本文至此结束,感谢阅读 ——————