Active Directory 权限管理服务应用-active directory 权限管理

遭受攻击的结果通常会导致企业内部敏感数据的大量泄漏，从而会对企业造成巨大的经济损失。微软公司的RMS（Rights Management Services，权限管理服务）正是在这种环境下产生的。它通过数字证书和用户身份验证技术对各种支持 AD RMS 的应用程序文档访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。

AD RMS 概述

随着windows server 2008操作系统在企业中的不断普及与应用，windows server 2008系统中的AD RMS服务也越来越被广大IT管理人员所熟悉。

Windows Server 2008 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术，它与支持 AD RMS 的应用程序协同工作，以防止在企业内部的数字信息在未经授权的情况下被非法使用。AD RMS 适用于需要保护敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息）的组织。AD RMS 通过永久使用策略（也称为使用权限和条件）提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据，因此使用权限保持与信息在一起，而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问后得以强制执行。

AD RMS 系统包括基于 Windows Server 2008的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务服务器角色）、数据库服务器以及 AD RMS 客户端。最新版本的 AD RMS 客户端作为 Windows 7 和 Windows Vista操作系统的一部分包括在内。AD RMS 系统的部署为组织提供以下优势：

保护敏感信息。如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS，从而帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织可以创建子自定义的使用策略模板（如 “机密 - 只读”），这些模板可直接应用于上述信息。

永久性保护。AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表 (ACL)），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器（如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器），与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

AD RMS环境部署需求

图示

域控制器:

AD RMS 必须安装在 Active Directory 域中，其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。

AD RMS服务器:

AD RMS客户端需要证书与许可证才能进行文件版权保护的工作，以及访问版权保护的文件，而AD RMS服务器就是负责证书与许可证发放的主机。用户可以根据企业自身的需求架设多台AD RMS服务器，以便提供故障转移和负载平衡功能。其中的第一台服务器被称为AD RMS根群集服务器。

由于AD RMS客户端是通过HTTPS或HTTP与AD RMS服务器通信，因此AD RMS服务器必须架设IIS站点。

数据库服务器：

AD RMS 需要使用数据库服务器和存储的过程来执行操作。该数据库服务器用来存储AD RMS的设置与策略等信息，企业可以使用Microsoft SQL Server来架设数据库服务器。也可以使用AD RMS服务器的内置数据库，不过需要注意如果使用AD RMS服务器的内置数据库则只能架设一台AD RMS服务器。

AD RMS客户端：

Active Directory 权限管理服务 (AD RMS) 客户端随 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系统一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作为客户端操作系统，则可以从 Microsoft 下载中心下载 AD RMS 客户端的兼容版本。

AD RMS 客户端可以与 Windows Server 2008 或 Windows Server 2008 R2 中包含的 AD RMS 服务器角色或者与 Windows Server 2003 上运行的以前版本的 RMS 一起使用。

AD RMS 客户端会创建计算机证书，用于标识存储当前用户的密钥对的密码箱。您可以通过在计算机上查找 msdrm.dll 文件，来验证该计算机上是否存在 AD RMS 客户端。该文件在 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中由 Windows 资源保护来保护，除非通过正式的 Microsoft 更新进行修改,否则无法修改。

应用程序可以使用 AD RMS 客户端将权限管理功能合并到它们的应用中。例如，Microsoft Office 2003、Microsoft Office 2007 和 Windows Mobile 6 使用 AD RMS 客户端来支持信息权限管理功能，该功能为文档、电子邮件、电子表格和幻灯片演示文档提供权限管理。

AD RMS的工作过程

以图为例

步骤一：当文件所有者第一次执行文件的保护工作时，文件所有者会从AD RMS服务器获取一个称为

Client Licensor Certificate （CLC）的证书。拥有该证书今后便可以执行文件的保护

工作。文件所有者只在第一次执行文件保护工作时，才需要从AD RMS服务器获取

CLC证书，今后即使该用户处于离线状态，仍然可以使用该证书进行文件保护工作。

步骤二：文件所有者使用Office 2007等AD RMS应用程序创建文件，并执行文件保护的操作，

也就是根据需要设置此文件的使用策略，而这时会创建一个所谓的发布许可证

（Publish License），其内包含了此文件的使用策略。

步骤三：Office 2007等AD RMS应用程序使用对称密钥将此文件加密，这个密钥会被加入到

发布许可证（Publish License）中，再将发布许可证（Publish License）连接到此文件。

系统会利用AD RMS服务器的公开密钥将对称密钥和版权信息加密，此时只有AD

RMS服务器可以使用自己的私有密钥将其解密。

步骤四：文件所有者将受保护的文件存储到可供访问的的位置，或直接将它发送给文件接收者。

步骤五：文件接收者使用相应的Office 2007等AD RMS应用程序将文件打开。

如果此时文件接收者所使用的计算机内没有权限账户证书（Rights Account Certificate，

RAC），则它会从AD RMS服务器接收到一个RAC。

步骤六：文件接收者所使用的Office 2007等AD RMS应用程序会向AD RMS服务器发起索取

使用许可证（User License）的请求。该请求中包含RAC与发布许可证。

步骤七：AD RMS服务器接收到客户端发送来的“索取使用许可证的请求”后，会将此请求

内的权限与对称密钥解密，然后将使用许可证传递给文件接收者，此使用许可证内

包含文件接收者的权限与对称密钥；并且会使用文件接收者的公开密钥将这些信息

加密。

步骤八：文件接收者使用的Office 2007等AD RMS应用程序接收到使用许可证后，利用文件

接收者的私有密钥将使用许可证内的对称密钥解密，之后就可以利用对称密钥将受

保护的文件解密。 #p#

AD RMS 证书

Active Directory 权限管理服务 (AD RMS) 的各个组件具有通过一组证书实现的受信任连接。强制执行这些证书的有效性是 AD RMS 技术的核心功能。每项受权限保护的内容发布时都带有许可证，该许可证表达该内容的使用规则；该内容的每个使用者都会收到唯一的许可证，用以阅读、解释和强制执行这些使用规则。在此环境中，许可证是特定类型的证书。

AD RMS 使用的证书和许可证在层次结构中连接，这样 AD RMS 客户端可以始终遵循从特定证书或许可证到受信任证书、直到受信任密钥对的链。

服务器许可证书 (SLC):

在群集中的第一个服务器上安装和配置 AD RMS 服务器角色时会创建 SLC。服务器会为自己生成唯一的 SLC，该 SLC 建立该服务器的标识，称为自注册，且有效期为 250 年。这样可以将受权限保护的数据存档较长时间。根群集既处理证书（通过发放权限帐户证书 (RAC)），又处理对受权限保护的内容的授权。添加到根群集的其他服务器共享一个 SLC。在复杂环境中，可以部署仅授权群集，这会生成它们自己的 SLC。SLC 内包含服务器的公钥。

客户端许可证书 (CLC):

CLC 由 AD RMS 群集为响应客户端应用程序的请求而创建。CLC 在客户端连接到组织的网络时会发送到客户端，并授予用户在客户端未连接时发布受权限保护的内容的权限。CLC 与用户的 RAC 相关联，因此，如果 RAC 无效或不存在，用户将无法访问 AD RMS 群集。CLC 包含客户端许可方公钥以及客户端许可方私钥，该私钥由请求证书的用户的公钥加密。它还包含发放证书的群集的公钥，该公钥由发放证书的群集的私钥签名。客户端许可方私钥用于对发布许可证进行签名。

计算机证书:

首次使用支持 AD RMS 的应用程序时，会在客户端计算机上创建计算机证书。Windows Vista 和 Windows 7 中的 AD RMS 客户端自动激活并注册根群集，从而在客户端计算机上创建此证书。此证书标识计算机或设备上与登录用户的配置文件相关的密码箱。计算机证书包含已激活计算机的公钥。该计算机的密码箱包含对应的私钥。

权限帐户证书 (RAC):

RAC 在 AD RMS 系统中建立了用户的标识。它由 AD RMS 根群集创建，并在首次尝试打开受权限保护的内容时提供给用户。

标准 RAC 在特定计算机或设备环境中使用帐户凭据标识用户，且具有以天数表示的有效时间。标准 RAC 的默认有效时间是 365 天。

临时 RAC 仅基于帐户凭据标识用户，且具有以分钟数表示的有效时间。临时 RAC 的默认有效时间是 15 分钟。

RAC 包含用户的公钥，以及用户的使用已激活计算机的公钥加密的私钥。

发布许可证:

使用权限保护保存内容时，客户端会创建发布许可证。它指定可以打开受权限保护的内容的用户、用户可以打开内容的条件，以及每个用户对受权限保护的内容所具有的权限。发布许可证包含用于解密内容的对称内容密钥，该密钥使用发放许可证的服务器的公钥加密。

使用许可证:

使用许可证在特定的已验证用户的环境中指定应用于受权限保护的内容的权限。此许可证与 RAC 相关联。如果 RAC 无效或不存在，则无法通过使用许可证打开内容。使用许可证包含用于解密内容的对称内容密钥，该密钥使用用户的公钥加密。

AD RMS根服务器的安装

安装 AD RMS 的计算机必须是某个域中的成员服务器，或者它必须是域控制器。不能在属于工作组的服务器上部署 AD RMS。如果要在域控制器上安装 AD RMS，则必须将 AD RMS 服务帐户添加到 Domain Admins 组。不建议将 AD RMS 服务帐户添加到 Enterprise Admins 组。

AD RMS服务并不是Windows Server 2008系统默认安装的组件，需要用户手动添加。使用具有域管理权限的用户账户登录。运行"添加角色向导"。在"选择服务器角色"对话框中，选中"Active Directory Rights Management Services"复选框，显示如图001所示对话框，提示是否添加所需的角色服务和功能

图001

单击"添加必需的角色服务"按钮，显示如图002所示的"选择服务器角色"对话框，选中"Active Directory Rights Management Services"复选框。

图002

单击"下一步"按钮，显示如图003所示的"选择角色服务"对话框。如果选中"联合身份验证支持"复选框，将同时安装AD FS或与当前域中已有的AD FS关联使用。它允许用户使用当前域和其他域之间经过联合身份验证的信任关系来建立用户标识，并提供对其他组织创建的受保护信息的访问权限。不需要联合身份验证的用户建议不要选择该复选框。

图003

单击"下一步"按钮，显示如图004所示的"创建或加入AD RMS群集"对话框，系统默认选择"新建AD RMS群集"单选按钮。由于当前域中没有其他AD RMS群集可供加入，所以"加入现有AD RMS群集"单选按钮为灰色。安装完成后创建的第1台AD RMS服务器即为根群集，后来加入的AD RMS服务器为子服务器。

图004

单击"下一步"按钮，显示如图005所示的"选择配置数据库"对话框。如果网络中安装有SQL Server服务器，可选择"使用其他数据库服务器"单选按钮；如果要使用AD RMS自带的数据库，选择"在此服务器上使用Windows内部数据库"单选按钮即可。

图005

选择支持AD RMS群集的专用数据库时应注意记录其数据库实例，其他AD RMS服务器加入群集时也必须指定相同的实例名称。

单击"下一步"按钮，显示如图006所示的"指定服务账户"对话框。该服务账户即将来要在AD RMS群集中使用的账户，可使用普通域成员账户，但必须区别于当前服务器登录的域用户账户。

图006

单击"下一步"按钮，显示如图007所示的"配置AD RMS群集键存储"对话框。系统默认选择"使用AD RMS集中管理的密钥存储"单选按钮，即由本地服务器自动生成并存储密钥。这里选择该单选按钮，这个密钥主要用于当前根服务器及将来子服务器的灾难恢复。选择"使用CSP密钥存储"单选按钮，需要由专用加密服务器产生并保管该密钥，比较烦琐，但安全性也相对较高。

图007

单击"下一步"按钮，显示如图008所示的"指定AD RMS群集密钥密码"对话框。其他AD RMS服务器加入群集时也要使用此密码，须妥善保存。

图008

单击"下一步"按钮，显示如图009所示的"选择AD RMS群集网站"对话框。在其中选择管理AD RMS群集服务器时使用的站点，准备工作中必须安装IIS就是为了在本地创建该站点，保留默认设置即可。

图009

单击"下一步"按钮，显示如图010所示的"指定群集地址"对话框。群集地址可以使AD RMS客户端通过网络与群集通信，选择"使用SSL加密的连接"单选按钮。将使用SSL加密，客户端只有得到并安装服务器颁发的数字证书后才能建立连接。

在"完全限定的域名"文本框中输入要使用的域名，如https://win-bm7xcnvcyln.contoso.com:443等。 SSL加密连接使用的默认传输端口是443，客户端访问时也必须使用完整域名；选择"使用未加密的连接"单选按钮，则使用普通传输方式。输入域名，单击"验证"按钮。

图010

自定义端口可以提升网络连接的安全性，不过客户端访问时也必须使用相同的端口。

单击"验证"按钮，服务器自动验证指定域名和端口的有效性。如果正确，则在"网络中客户端的群集地址预览"下方显示完整域名。

如果选择"使用SSL加密的连接"单选按钮，则单击"下一步"按钮会显示如图011所示的"选择SSL加密的服务器身份验证证书"对话框，在其中选择使用的SSL加密方式。为了便于测试，此处选择“为SSL加密创建自签名证书”。

图011

单击"下一步"按钮，显示如图012所示的"命名服务器许可方证书"对话框。其中显示内容与上述选择的"为SSL加密创建自签名证书"单选按钮是对应的，系统默认会以计算机名命名证书，保留默认设置即可。

图012

单击"下一步"按钮，显示如图013所示的"注册AD RMS服务连接点"对话框。选择"立即注册AD RMS服务连接点"单选按钮，在安装完成后立即开始使用此AD RMS群集。

单击"下一步"按钮，将显示IIS的安装对话框。这里不再赘述。在如图014所示的"确认安装选择"对话框中显示要安装的组件信息，如果需要修改，单击"上一步"按钮返回。

图013

图014

单击"安装"按钮开始安装，完成后显示如图015所示的"安装结果"对话框，提示安装成功。

图015

单击"关闭"按钮退出安装向导。然后根据提示注销当前系统并重新登录。#p#

安装 AD RMS 的重要注意事项

事项一:

首次在 Windows Server® 2008 上安装 Active Directory 权限管理服务 (AD RMS) 之前，必须满足以下几个要求：

在将使用受权限保护的内容的用户账户所在的同一个 Active Directory 域服务 (AD DS) 域中，将 AD RMS 服务器安装为成员服务器。

创建一个要用作 AD RMS 服务账户的没有额外权限的域用户账户。

选择用于安装 AD RMS 的用户账户，但具有以下限制：

o 安装 AD RMS 的用户账户必须与 AD RMS 服务账户不同。

o 如果在安装过程中注册 AD RMS 服务连接点 (SCP)，则安装 AD RMS 的用户账户必须是 AD DS Enterprise Admins 组或同等组的成员。

o 如果对 AD RMS 数据库使用外部数据库服务，则安装 AD RMS 的用户账户必须具有创建新数据库的权限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008，则用户账户必须是系统管理员数据库角色或同等角色的成员。

o 安装 AD RMS 的用户账户必须有权查询 AD DS 域。

为将在 AD RMS 安装的整个生存时间可用的 AD RMS 群集保留一个 URL。请确保保留的 URL 与计算机名称不同。

事项二:

除了满足AD RMS 的安装要求，强烈建议执行以下操作：

在单独的计算机上安装用于承载 AD RMS 数据库的数据库服务器。

使用安全套接字层 (SSL) 证书安装 AD RMS 群集。该证书应由受信任的根证书颁发机构颁发。

为 AD RMS 群集 URL 创建一个 DNS 别名 (CNAME) 记录，并为承载 AD RMS 配置数据库的计算机创建一个单独的 CNAME 记录。如果因硬件故障或计算机名称被更改而导致 AD RMS 服务器注销或丢失，可以更新 CNAME 记录，而无需重新发布所有受权限保护的文件。

如果对 AD RMS 配置数据库使用命名实例，在安装 AD RMS 之前必须在数据库服务器上启动 SQL Server Browser 服务。否则，AD RMS 安装将无法找到配置数据库，安装将失败。

事项三：

自签名证书应仅用于测试环境。对于试生产和生产环境，建议使用由受信任的证书颁发机构颁发的 SSL 证书。

带有 AD RMS 的 Windows 内部数据库仅用于测试环境。因为 Windows 内部数据库不支持远程连接，所以在此方案中不能将其他服务器添加到 AD RMS 群集。

如果要安装 AD RMS 的 Active Directory 林中已经存在 SCP，请确保该 SCP 中的群集 URL 与新安装中的群集 URL 相同。如果不同，则在 AD RMS 安装过程中不应注册 SCP。

安装 AD RMS 时，localhost不是受支持的群集 URL。

在安装过程中指定 AD RMS 服务帐户时，请确保尚未将智能卡插入计算机中。如果已将智能卡连接到计算机，您将收到错误消息，指出安装 AD RMS 的用户帐户无权查询 AD DS。

如果将新服务器加入现有 AD RMS 群集，则在 AD RMS 安装开始之前，SSL 证书应该已经存在于新服务器上。

Windows Server 2008 R2 不支持 Windows Rights Management Services (RMS) 客户端版本 1。对此版本的客户端的支持随着 RMS 客户端版本 1 的最新 Service Pack 的发行而结束。若要继续创建和访问受 AD RMS 保护的内容，运行 RMS 客户端版本 1 的客户端必须安装最新的Service Pack。 #p#

AD RMS 客户端服务发现

Active Directory 权限管理服务 (AD RMS) 客户端服务发现是 AD RMS 客户端用来发现AD RMS 群集的方法。AD RMS 客户端服务发现有三种实现方法：

Active Directory 域服务 (AD DS) 服务连接点 (SCP) 自动服务发现。这是部署 AD RMS 环境的推荐方法。在此方案中，会在安装了 AD RMS 群集的 Active Directory 林中创建 SCP。当 AD RMS 客户端在计算机上尝试用户激活时，它会查询该 SCP 以查找 AD RMS 群集并下载权限账户证书 (RAC)。使用自动服务发现，无需在 AD RMS 客户端上进行任何其他配置。

AD RMS 客户端注册表替代。在复杂的 AD RMS 部署拓扑中，需要对 AD RMS 客户端的更具体控制。对于在 Windows XP、Windows 2000 或 Windows Server 2003 上运行的 Rights Management Services (RMS) 客户端版本，部署了多个 Active Directory 林的拓扑需要使用这些替代。可以使用客户端注册表替代的另一个示例是用于支持 Extranet 用户。在这些情况下，会在 AD RMS 客户端中创建客户端注册表替代，以强制执行 AD RMS 群集中不同于在 SCP 中发布的受权限保护内容的证书或授权。AD RMS 客户端注册表替代用于替代在以下位置创建的 SCP：

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation。

客户端注册表替代项如下：

o Activation。此项用于替代在 SCP 中配置的默认 AD RMS 证书服务。此项的语法是 http(s)://<your cluster>/_wmcs/certification，其中 <your cluster> 是应该用于证书的根群集的 URL。

o EnterprisePublishing。此项用于替代 AD RMS 客户端连接到的默认 AD RMS 授权服务。此项的语法是 http(s)://<your cluster>/_wmcs/licensing，其中 <your cluster> 是仅授权群集的 URL。

客户端注册表替代配置为注册表项。这些注册表项的值应添加到类型为REG_SZ 的注册表项的默认项。

o 如果 AD RMS 客户端计算机是使用联合信任连接的，您必须配置联合身份验证主领域。注册表项为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\Federation

在该注册表项中，创建类型为 REG_SZ 的名为 FederationHomeRealm 的注册表项。此注册表项的值是联合身份验证服务URI。

检查 Extranet URL 的颁发许可证。AD RMS 客户端服务发现的最后一种方法是使用颁发许可证。发布受权限保护的内容时，Intranet 和 Extranet 授权服务 URL 将添加到颁发许可证中。当 AD RMS 客户端首次打开受权限保护的内容且其他服务发现方法不可用时，该客户端可以从颁发许可证中检索授权 URL。

安装和配置AD RMS客户端

如果AD RMS客户端运行Windows 2000/XP系统，则必须安装客户端程序如图016所示。简体中文版下载地址为：

下载之后即可安装。另外，网络管理员还可以通过组策略及SMS等方式来向客户端统一分发客户端安装程序。如果客户端数量较少，则可以通过手动安装的方式实现。