AD RMS 解除授权循序渐进指南

ADRMS解除授权循序渐进指南更新时间:2008年3月应用到:WindowsServer2008,WindowsServer2008R2关于本指南本循序渐进指南将引导您完成在组织中解除授权ActiveDirectory权限管理服务(ADRMS)的过程。删除ADRMS要求从ADRMS群集删除所有服务器之前，对您希望可以使用的所有受权限保护的内容进行解密。完成这些任务后，您可以使用测试实验室环境了解WindowsServer®2008上的ADRMS解除授权情况并评估如何在组织中进行部署。完成本指南中的步骤后，您将：解除ADRMS群集的授权。在完成配置后验证已删除ADRMS功能。本指南假定您已完成“WindowsServerActiveDirectoryRightsManagementServices循序渐进指南"中的步骤(/fwlink/?LinkId=72134)，并且已部署下列组件：ADRMS服务器ADRMS数据库服务器一台启用ADRMS的客户端一台ActiveDirectory域控制器本指南未提供的内容本指南未提供以下内容：ADRMS概述。有关ADRMS可以为您的组织带来好处的详细信息，请参阅/fwlink/?LinkId=84726。在生产环境中设置和配置ADRMS的指南。ADRMS的完整技术参考。在测试环境中部署ADRMS建议您首先在测试实验室环境中执行本指南中提供的步骤。不一定必须使用循序渐进指南才能部署WindowsServer功能，而不使用其他部署文档，应将其作为独立的文档谨慎使用。

完成本循序渐进指南后，您将有一个解除授权的ADRMS基础结构。然后，通过打开受权限保护的文档并确保文档已解密，可以测试并验证ADRMS的功能。本指南中描述的测试环境包括四台计算机，它们已连接到专用网络，并且使用下列操作系统、应用程序和服务：计算机名称操作系统应用程序和服务ADRMS-SRVWindowsServer2008ADRMS、InternetInformationServices(IIS)7.0、万维网发布服务和消息队列CPANDL-DCWindowsServer2008或WindowsServerActiveDirectory或ActiveDirectory域服务2003ServicePack2(SP2)(ADDS)、域名系统(DNS)占备注WindowsServer2003ServicePack2不是必需的，但本指南中会用到。ADRMS-DBWindowsServer2003SP2MicrosoftSQLServer®2005StandardEditionServicePack2(SP2)出备注SQLServer出备注SQLServer2005StandardEditionServicePack2不是必需的，但本指南中会用到。WindowsServer2003ServicePack2不是必需的，但本指南中会用到。ADRMS-CLNTWindowsVista®MicrosoftOfficeWord2007EnterpriseEdition＜备注有关安装ADRMS的系统要求的详细信息，请参阅/fwlink/?LinkId=84733。这些计算机构成了专用Intranet,且通过常用集线器或第2层交换机进行连接。如果需要，可以在虚拟服务器环境中模拟此配置。此循序渐进练习在整个测试实验室配置中使用的是专用地址。为Intranet使用专用网络ID/24。对于名为的域，域控制器命名为CPANDL-DC。下图显示了测试环境的配置：第1步：解除ADRMS根群集授权更新时间:2008年3月应用到:WindowsServer2008,WindowsServer2008R2解除授权是指从组织中删除ADRMS群集及其相关数据库的整个过程。通过此过程，可以在从基础结构删除ADRMS之前将受权限保护的文件另存为一般文件，以便不会丢失对这些文件的访问权限。通过执行以下操作可以为ADRMS群集解除授权：启用解除授权服务。修改解除授权管道上的权限。配置启用ADRMS的应用程序以使用解除授权管道。启用解除授权服务解除授权服务会禁用群集中的所有其他ADRMS服务。启用解除授权服务后，ADRMS客户端只能请求密钥以解密受权限保护的内容。使用ActiveDirectoryRightsManagementServices控制台可以启用解除授权服务。启用解除授权服务的步骤以cpandl\adrmsadmin身份登录到ADRMS-SRV。单击「开始」，指向“管理工具”，然后单击ActiveDirectoryRightsManagementServices。如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。展开ADRMS群集，展开“安全策略”，然后单击“解除授权”。在“操作”窗格中，单击“启用解除授权”。单击“解除授权”。单击“是”确认要为ADRMS群集解除授权。设置解除授权管道上的权限在ADRMS群集上启用解除授权服务之后，必须修改解除授权管道上的权限，以便ADRMS用户可以连接此管道。默认情况下，只有本地系统帐户有权访问该管道。应将对解除授权文件夹的读取和执行权限赋予ADRMS服务组。然后，在decommission.asmx文件中，应将读取和执行权限赋予每个用户。解除授权管道位于％systemroot%\inetpub\wwwroot\_wmcs文件夹中，其中％systemroot%是安装WindowsServer2008的卷。修改解除授权管道上的权限的步骤以cpandl\administrator身份登录到ADRMS-SRV。单击「开始」，在“开始搜索"框中键入%systemdrive%\inetpub\wwwroot\_wmcs，然后按Enter。右键单击“解除授权”文件夹，然后单击“属性”。单击“安全"选项卡，单击“编辑"，然后单击“添加"。在“选择用户、计算机或组”框中，键入ADRMS-SRV\ADRMSServiceGroup，然后单击“确定”。单击两次“确定"关闭“解除授权"属性。双击“解除授权"文件夹，右键单击decommission.asmx，然后单击"属性”。单击“安全”选项卡，单击“编辑”，然后单击“添加”。在“选择用户、计算机或组”框中，键入Everyone，然后单击“确定”。在“Windows安全”对话框中，输入cpandl\administrator帐户的名称和密码。单击两次“确定”关闭属性表。配置启用ADRMS的应用程序以使用解除授权管道ADRMS群集在解除授权模式下运行时，必须配置启用ADRMS的应用程序以从解除授权服务获取内容密钥，并对受权限保护的内容进行永久解密。ADRMS客户端本身并不涉及解除授权过程。配置启用ADRMS的应用程序以使用解除授权管道的步骤以cpandl\nhollida身份登录ADRMS-CLNT。2.单击「开始」，在“开始搜索”框中键入regedit，然后按Enter。导航到HKEY_CURRENT_USER\Software\Microsoft\0ffice\12.0\Common\DRM。右键单击DRM,指向“新建”，然后单击“项"。键入Decommission作为注册表项的名称，然后按Enter。右键单击Decommission，指向“新建”，然后单击“字符串值”。键入/_wmcs/licensing，然后按Enter。双击注册表项。在“数值数据”框中，键入/_wmcs/decommission，然后单击“确定"。关闭注册表编辑器。对StuartRailson和LimorHenig重复步骤ITO。第2步：验证ADRMS功能更新时间:2008年3月应用到:WindowsServer2008,WindowsServer2008R2解密内容之后，用户应将内容保存为不受ADRMS保护的格式。若要使用解除授权服务，用户必须之前已在ADRMS基础结构中注册。未激活ADRMS客户端的用户无法使用解除授权服务来获取对受权限保护内容的访问权限。如果解除授权服务正常运行，则域中在计算机上使用启用了ADRMS的应用程序(配置为使用解除授权服务)的所有用户都可以打开由解除授权的ADRMS群集进行权限保护的任何文件，也可以删除权限保护并保存文件。若要验证此功能，请以LimorHenig的身份登录，打开在"WindowsServerActiveDirectoryRightsManagementServices循序渐进指南”中使用权限保护创建的ADRMS-TST.docx文件，删除该权限保护并保存文件。保存不受权限保护的文档的步骤以LimorHenig(cpandl\lhenig)身份登录到ADRMS-CLNT。单击「开始」，依次指向“所有程序”和MicrosoftOffice，然后单击MicrosoftOfficeWord2007。单击MicrosoftOffice按钮，单击“打开”，然后键入\\ADRMS-DB\PUBLIC\ADRMS-TST.docx。文档打开后，单击“更改权限”按钮