安装配置ADRMS[汇编].pdf

【AD RMS概述】 AD RMS（Active Directory Rights Management Services，活动目录权限管理服务）是微软推出的一种权限管理系统，用于增强组织内的信息安全，特别是针对Microsoft Office文档的保护。它结合了数字证书和用户身份验证技术，控制对敏感信息的访问，防止内部用户未经授权分享或泄露机密内容。 【AD RMS的新特性】 相较于早期的RMS，AD RMS引入了多项增强功能： 1. **友好的管理界面**：AD RMS不再依赖于Web界面，而是采用MMC（Microsoft Management Console）嵌入式管理单元，使系统管理员的操作更为简便。 2. **自动启用服务器授权凭证**：在AD RMS环境中，根群集的Server Licensor Certificate (SLC)能自动激活，无需手动干预。 3. **与AD FS的集成**：AD RMS可以与Active Directory Federation Services (AD FS)协同工作，提供跨域的身份验证，使企业间可以共享并信任对方的AD RMS集群，同时保证安全的HTTPS通信。 【AD RMS组件】 AD RMS系统主要由以下组件构成： 1. **支持AD RMS的应用程序**：这些应用程序能够生成受保护的文档，如Microsoft Office套件。 2. **AD RMS客户端**：安装在用户设备上，与支持AD RMS的应用程序交互，处理文档的加密和解密。 3. **AD RMS服务器**：负责证书颁发、授权服务以及受保护文档的访问控制。 【权限账户证书】 权限账户证书是AD RMS中的核心组件，它将用户账户与特定设备关联起来，确保每个账户在每台设备上有独特的权限证书。证书的生成流程包括： 1. 用户首次尝试打开AD RMS加密的文档时，向证书服务器请求权限账户证书。 2. 服务器根据数据库信息生成或应用用户的密钥对。 3. 私钥被服务器私钥加密，公钥与加密后的私钥放入权限账户证书。 4. 证书经服务器私钥数字签名，确保其完整性和来源。 5. 服务器将证书发送给用户，并在数据库中存储用户的密钥对。 6. 该证书用于后续的许可申请。 【服务发现与文档在线发布】 1. **服务发现**：RMS客户端通过SCP（Service Connection Point）在活动目录中查找证书服务器，或者通过注册表信息找到服务器位置，完成客户端的激活。 2. **文档在线发布**： - 内容密钥由密码箱生成，用授权服务器的公钥加密，确保传输安全。 - 加密内容密钥和权限信息发送至授权服务器。 - 授权服务器使用私钥解密内容密钥，然后重新加密并与使用权限一起放入发布许可。 - 加密的密钥和权限被返回给请求发布许可的客户端，允许客户端解密和访问文档。 总结来说，AD RMS是企业保护敏感信息的强大工具，它通过精细的权限管理和强大的安全机制，确保数据在内部流转时的安全性。通过与AD FS的集成，AD RMS还实现了跨域的身份验证，提高了协作安全性。理解和熟练运用AD RMS对于维护企业信息安全至关重要。