AD-RMS企业文件版权管理

ADRMS(AD权限管理服务)能够确保企业内部数字文件的机密性，例如，用户即使有权限读取受保护的文件，但是如果未被许可，就无法复制与打印该文件。ADRMS概述虽然可以通过NTFS权限来设置用户的访问权限，然而NTFS权限还有不足之处，例如你开放用户可以读取某个包含机密数据的文件，此时用户就可以复制文件内容或将文件存储到其他位置，这样可能让这份机密文件泄露出去，尤其现在便携存储媒体盛行，用户可以轻易地将文件带离公司。ADRMS是一种信息保护技术，在搭配支持ADRMS的应用程序后，文件的所有者可以将其设置为版权保护文件，并授予其他用户读取，复制或打印。如果用户仅被授予读取权限，则他无法复制文件内容，也无法打印。发件人也可以限制收件人转发邮件。每个版权保护文件内都存储着保护信息，不论这个文件被移动，复制到何处，这些保护信息都仍然存在文件内，因此可以确保文件不会被未经许可的用户访问。ADRMS可以保护企业内部的机密文件，如财务报表，技术文件等。ADRMS的需求一个基本的ADRMS环境包含下图的组件。域控制器：ADRMS需要一个域环境，因此需要域控。ADRMS服务器：客户端需要证书与许可证才可以进行文件版权保护的工作，而ADRMS服务器就负责证书与许可证的发放。可以假设多台ADRMS服务器来提供排除和负载均衡功能，其中第一台服务器被称为ADRMS根群集服务器。由于客户端通过HTTP和HTTPS与ADRMS服务器通信，因此ADRMS服务器必须架设IIS。数据库服务器：用来存储ADRMS设置与策略等信息，可以使用MicrosoftSQLServer来架设数据库服务器。还可以直接使用ADRMS内置数据库，不过此时只架设一台ADRMS服务器。运行ADRMS-enabled应用程序的客户端用户：用户允许ADRMS-enabled应用程序（例如Word）并利用他来创建，编辑文件并将文件设置为受保护的文件，然后将此文件存储到其他用户可以访问到的地方，如网络共享文件夹，U盘等。ADRMS如何运行以下为简易流程，但是比较容易了解。当文件所有者第一次运行保护文件工作时，他会从ADRMS服务器获取证书，拥有证书后就可以运行保护文件的工作。文件所有者利用ADRMS-enabled应用程序创建文件，并且运行保护文件的步骤，也就是设置此文件的使用权限与使用条件，同时该应用程序会将此文件加密。接着会创建发布许可证，发布许可证内包含文件的权限，使用条件与解密密钥。注：权限包含读取，更改，打印，发送与复制等，权限可以搭配使用条件，例如可访问此文件的期限。系统管理员还可以通过ADRMS服务器的设置来限制某些应用程序或用户不可打开受保护的文件。文件所有者将受保护的文件（包含发布许可证）存储到可供文件接收者访问的地方，或将他直接发送给文件接收者。文件接收者利用ADRMS-enabled应用程序来打开文件时，会向ADRMS服务器发送索取使用许可证的要求。ADRMS服务器通过发布许可证的信息确认文件接收者有权访问此文件后，会创建用户要求的使用许可证（包含使用权限，使用条件与解密密钥），然后将使用许可证传给文件接收者。文件接收者的ADRMS-enabled应用程序接收到使用许可证后，会利用许可证内的解密密钥将受保护的文件解密并访问该文件。ADRMS实例演示我们将练习架设ADRMS企业版权管理环境。我们简化环境复杂程度，撤除了数据库服务器，改用ADRMS自带的数据库，同时将版权保护文件直接放置在域控DC的共享文件夹内，还有客户端方面只有一台Win8计算机，文件所有者和文件接收者都是这台计算机。准备好计算机按照上图创建三台机器，RMS需要域控环境，所以我们接着上次的contoso域环境继续。创建用户账户我们要在域控中创建文件所有者George与文件接收者Mary，还要创建一个用来启动ADRMS服务的账户ADRMS，则3个账户都是一般账户（名称随意命名），不需要给予特殊权限。我们登陆域控在市场部创建George和Mary，在users中创建ADRMS账户，并未george和mary设置邮箱。安装ActiveDirectoryRightsManagementServices请到服务器上利用Administrators身份登陆，然后通过添加服务器角色的方式安装RMS。注：安装ADRMS的用户必须隶属于本地组Administrators与域组EnterpriseAdmins，而当我们当前使用的域Administrators默认就隶属于这两个组。如果要利用其他域用户账户来登陆并安装ADRMS，先将此账户加入到这两个组中。默认安装RMS服务时会按照IIS执行其他配置出现RMS界面时单击下一步由图中可以得知可以架设两种群集：会发放证书与许可的根群集与仅发放许可证的仅许可证群集。安装的第一台服务器会成为根群集。

注：如果环境比较复杂，可以在架设根群集后，另外架设仅许可证群集，不过建议都使用根群集，然后将其他ADRMS服务器加入到此根群集，因为根群集与仅许可证群集无法用于同一个负载平衡池内。选择使用windows内部数据库注：因为我们选择内置数据库，因此只能够架设一台ADRMS服务器。如果要使用MicrosoftSQLServer数据库，请选择指定数据库服务器和数据库实例，该服务器必须加入域，同时用来安装ADRMS的域用户账户也需要隶属于该数据库服务器的本地Administrators组，这样才有权限在该数据库服务器内创建ADRMS所需要的数据库。选择指定的域用户账户来启动ADRMS服务下一步下一步为群集密钥设置一个密码当要将其他ADRMS服务器加入此群集时，必须提供此处设置的密码。ADRMS利用群集密钥来签署发放的证书与许可证。选择将IIS的DefaultWebSite当作群集网站选择要求客户端必须利用安装的https连接的群集网站，并设置网站。例如https：//,其中adrms为ADRMS服务器的计算机名。必须保证在dns服务器内创建的主机与ip地址记录。选择为ssl加密创建自签名证书后单击下一步建议仅在测试或小规模环境下才选用此选项，否则请选择第一个选项来选用向证书颁发机构所申请的证书。注：向证书颁发机构申请证书的步骤包含为网站创建证书申请文件，将此文件内容传给证书颁发机构，下载与安装证书。还可以使用AD证书服务来自行假设证书颁发机构。群集中的第一台ADRMS服务器会自行创建一个被称为服务器许可方证书的证书（ServerLicensorCerificate，SLC），拥有此证书就可以对客户端发放证书与许可证。下图为这个SLC命名，以便让客户端通过此名称来识别这个ADRMS群集（加入此群集的其他ADRMS服务器会共享这个SLC证书）。单击下一步，它会将ADRMS服务连接点(ServiceConnectionPoint，SCP)登录到ActiveDirctory数据库内，以便让客户端通过AD找到这台ADRMS服务器。注：用来将ADRMSSCP登陆到AD的用户账户必须隶属于域组EnterpriseAdmins，如果利用其他用户登录与安装ADRMS，则该用户必须先辈加入到EnterpriseAdmins组内，安装完成后，就可以将其从此组内删除。确认安装安装完成后，当前登录的用户账户（域Administrator）会被加入到本地ADRMSEnterprise系统管理员组内，此用户就有权限来管理ADRMS，不过此用户必须先注销再重新登陆才有效。注：注销后再登陆，才会更新用户的访问令牌（AccessToken），这样用户才具备本地ADRMSEnterprise系统管理员组的权限。创建存储版权保护文件的共享文件夹我们要创建一个共享文件夹，然后将文件所有者的版权保护文件放到此文件夹内，以便文件接收者可以到此共享文件夹来访问此文件。此范例要将共享文件夹创建在域控制器DC内（还可以创建在其他计算机内。）登陆到域控在c盘创建文件夹public选择文件夹设置权限赋予文件夹Everyone读写权限。测试ADRMS的功能我们先在客户端计算机上安装Word2012，然后利用George身份登陆与创建版权保护文件，最后利用Mary身份登陆来访问此文件。限制只能够读取文件，不可打印，复制文件登陆到客户计算机，安装office打开ie浏览器，在高级选项中添加本地intranet站点，将此网站添加到安全区域内。创建一个word文档，单击左上角文件-信息-保护文档-限制访问接下来会出现下图对话框，这时因为此时Word会连接群集网站，然而群集网站的证书是ADRMS自我发放的，而客户端计算机尚未信任有ADRMS自我发放的证书。可以直接单击是，不过以后每次客户端连接ADRMS服务器时都会出现此对话框。注：如果不想每次都出现此对话框，请通过以下步骤来信任有ADRMS说发放的证书：单击上图的查看证书-安装证书-将所有证书放入下列存储-浏览受信任的根证书颁发机构。勾选限制对此文档的权限，然后单击读取或更改按钮来开发权限，完成后单击确定。我们选择开放给用户mary@。如