server 2016部署AD RMS（保護重要文檔）

博客目錄
一、AD RMS是什么？
1、AD RMS簡介
2、AD RMS群集概述
3、AD RMS客戶端介紹
4、AD RMS環(huán)境為什么需要IIS？
5、AD RMS環(huán)境為什么需要數(shù)據(jù)庫？
二、部署AD RMS服務(wù)
1、環(huán)境如下：
2、環(huán)境分析：
3、問題分析：
4、案例實施：

一、AD RMS是什么？

1、AD RMS簡介

RMS（Rights Management Services，權(quán)限管理服務(wù)）早在Windows 2003中就已經(jīng)存在，目的是為企業(yè)的信息數(shù)據(jù)提供最大的安全防護技術(shù)。

在Windows server 2016中，RMS服務(wù)得到了加強，其已經(jīng)作為常用服務(wù)內(nèi)置在操作系統(tǒng)當中，并正式被命名為AD RMS（Active Directory 權(quán)限管理服務(wù)）。它與支持AD RMS的應(yīng)用成樹協(xié)同工作，以防止在未經(jīng)授權(quán)的情況下使用數(shù)字信息。AD RMS適用于需要保護好敏感信息和專有信息的組織。AD RMS通過永久使用策略提供對信息的保護，從而增強組織的安全策略，無論信息移到何處，永久使用策略都保持與信息在一起。

2、AD RMS群集概述

AD RMS群集被定義為運行AD RMS的單一服務(wù)器，或共享來自AD RMS客戶端的AD RMS發(fā)布和授權(quán)請求的一組服務(wù)器。在Active Directory林中設(shè)置第一個AD RMS服務(wù)器時，該服務(wù)器將成為AD RMS群集，可以隨時設(shè)置更多服務(wù)器并將其添加到AD RMS群集中。

AD RMS有兩種類型的群集：根群集和僅授權(quán)群集。
AD RMS安裝中的第一個服務(wù)器通常被稱為根群集。根群集處理其安裝所在的active directory域服務(wù)（AD DS）、域的所有證書和授權(quán)請求。對于復(fù)雜環(huán)境，除根群集外，還可以創(chuàng)建僅授權(quán)群集。但是，建議使用一個根群集，然后將更多的AD RMS服務(wù)器加入此群集中。

3、AD RMS客戶端介紹

AD RMS客戶端隨Windows 10和Windows server 2016操作系統(tǒng)一起提供。如果用戶使用Windows xp、Windows 2000或Windows server 2003作為客戶端操作系統(tǒng)，則可以從microsoft下載中心下載AD RMS客戶端的兼容版本。

4、AD RMS環(huán)境為什么需要IIS？

因為客戶端是通過HTTP或HTTPS協(xié)議與AD RMS服務(wù)器進行通信的，所以部署AD RMS服務(wù)器必須同時 安裝IIS。

5、AD RMS環(huán)境為什么需要數(shù)據(jù)庫？

數(shù)據(jù)庫用于存儲AD RMS的配置與策略等信息。可以使用SQL Server，也可以使用AD RMS內(nèi)置的數(shù)據(jù)庫。

二、部署AD RMS服務(wù)

1、環(huán)境如下：

2、環(huán)境分析：

本案例自己提前準備域環(huán)境，客戶端提前準備office 2016，在這里我就不多說了，有需要的可以評論或者私信我。另外，為了降低成本，沒有使用獨立的SQL server服務(wù)器，而是使用了AD RMS自帶的內(nèi)置數(shù)據(jù)庫。

我這里就用兩臺server 2016和兩臺Windows 10
DC1安裝域環(huán)境，（我是提前安裝好的，在這就不截圖說明了）然后添加證書服務(wù)，添加域賬戶和客戶端兩個普通賬戶。
DC3加入域，安裝IIS和RMS服務(wù)。
windows 10提前安裝office 2016驗證權(quán)限使用。

3、問題分析：

要想成功部署并維護AD RMS，需要先對其工作機制有所了解，從文件所有者創(chuàng)建受保護的文件到最后要訪問文件的用戶通過驗證訪問到受保護文件的基本流程如下：

1）用戶bob在執(zhí)行第一次保護文件的工作時，會首先從AD RMS服務(wù)器獲取一個CLC（客戶端許可證書），通過該證書才可以執(zhí)行后續(xù)的文件保護工作。

2）用戶bob需要使用AD RMS客戶端應(yīng)用程序創(chuàng)建文件，并在創(chuàng)建文件的同時執(zhí)行保護文件的工作，主要包括設(shè)置可使用此文件的用戶及權(quán)限。同時，根據(jù)這些權(quán)限策略，生成發(fā)布許可證，發(fā)布許可證內(nèi)包含著文件的使用權(quán)限和使用條件。

3）AD RMS客戶端用對稱密鑰將原文件加密。

4）AD RMS客戶端將對稱密鑰加入發(fā)布許可證內(nèi)，然后用AD RMS服務(wù)器的公鑰對其加密。

5）文件接收者tom用AD RMS客戶端打開文件時，如果它的計算機中還沒有RAC（權(quán)限賬戶證書），則會從AD RMS服務(wù)器獲取一個RAC。

6）AD RMS客戶端向AD RMS服務(wù)器發(fā)出索取使用許可證的請求，其中包含RAC和經(jīng)過AD RMS服務(wù)器公鑰加密的發(fā)布許可證（其中包含對稱密鑰）。

7）AD RMS服務(wù)器收到請求后，用自己的私鑰解密發(fā)布許可證，得到權(quán)限策略和對稱密鑰。

8）AD RMS服務(wù)器用tom的公鑰加密權(quán)限策略和對稱密鑰，生成使用許可證，然后發(fā)給接收者tom用戶。

9）接收者tom用自己的私鑰解密使用許可證，得到權(quán)限策略和對稱密鑰，進而解密原文件并按照權(quán)限策略的定義打開文件。

4、案例實施：

DC1_AD服務(wù)器部署如下：

登錄AD服務(wù)器，配置IP地址、網(wǎng)關(guān)及DNS

域控制器里添加名為ADRMS的組織單位，新建管理AD RMS服務(wù)的用戶為adrms，設(shè)置賬戶為永不過期，添加隸屬于為domain admins組

創(chuàng)建兩個普通用戶分別是tom和bob，添加電子郵件地址，用于后面驗證AD RMS

打開“服務(wù)器管理器”窗口，單擊“添加角色和功能”。

在“添加角色和功能向?qū)А钡摹伴_始之前”界面中，單擊“下一步”按鈕。

在“安裝類型”界面中，保持默認，單擊“下一步”按鈕。（后續(xù)默認下一步的我就不一一截圖了）

在“服務(wù)器選擇”界面，保持默認，單擊“下一步”按鈕。

在“選擇服務(wù)器角色”界面中選擇“Active Directory證書服務(wù)”復(fù)選框，此時會彈出提示框，然后單擊“添加功能”及“下一步”按鈕。

在“角色服務(wù)”界面中選擇“證書頒發(fā)機構(gòu)web注冊”復(fù)選框，此時會彈出提示框，然后單擊“添加功能”及“下一步”按鈕。

開始安裝AD 證書服務(wù)

安裝完成后，開始配置證書服務(wù)，在“憑據(jù)”界面中保持默認單擊“下一步”按鈕。

在“角色服務(wù)”界面選擇“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)web注冊”復(fù)選框，然后單擊“下一步”按鈕。

在“設(shè)置類型”界面，選擇“企業(yè)CA”復(fù)選框，單擊“下一步”按鈕。




證書配置完成，我們要運行cmd敲一條“gpupdate /force”命令，更新一下策略，（DC3_RMS服務(wù)器也一樣更新一下）

至此DC1_AD服務(wù)器部署完成，開始部署DC3_RMS服務(wù)器

DC3_RMS服務(wù)器部署如下：
登錄DC3_RMS服務(wù)器，配置IP地址及DNS加入域

加入域

成功加入benet域，重新啟動計算機

運行cmd，敲一下“gpupdate /force”更新一下策略

安裝ASP.net4.6功能、Windows內(nèi)部數(shù)據(jù)庫及消息隊列（前面默認的步驟我就不截圖了，自行操作即可）

添加IIS（web）服務(wù)器，后面申請證書使用，默認安裝即可

打開IIS管理器

點開服務(wù)器證書

選擇創(chuàng)建域證書

創(chuàng)建證書

指定聯(lián)機證書頒發(fā)機構(gòu)和好記名稱完成重啟計算機即可

添加AD RMS服務(wù)

配置AD RMS

選擇新的根群集即可

選擇此服務(wù)器使用Windows內(nèi)部數(shù)據(jù)庫

指定域用戶

指定加密模式

保持默認下一步，創(chuàng)建群集密碼

保持默認下一步，指定群集地址，也就是剛才申請域證書的地址

安裝完成，重啟計算機即可

兩臺服務(wù)器已經(jīng)部署完成，客戶端加入域之后創(chuàng)建文檔設(shè)置權(quán)限即可。

客戶端部署如下：
將安裝好office的兩臺客戶端配置IP地址及DNS加入域

成功加入域，重啟計算機即可，win10_02客戶端同樣操作我就不截圖了，win10_02的IP地址配置為192.168.100.40即可，（自行規(guī)劃）

加入域重啟之后用本地管理員登錄，然后將域賬戶加入到本地管理員權(quán)限，禁用本地管理員登錄，域賬戶有權(quán)限管理當前計算機

將域賬戶添加到本地管理員權(quán)限

禁用本地管理員賬戶

注銷計算機，用bob登錄域即可，（第二臺客戶端也是同樣的配置，bob改成tom即可，注銷用tom登錄域，我在這就不截圖了）

兩臺客戶端部署完成，開始設(shè)置AD RMS權(quán)限，創(chuàng)建一個word文檔，開始設(shè)置權(quán)限，連接權(quán)限管理服務(wù)器，也就是所謂的DC3_AD RMS服務(wù)器

登錄賬戶輸入密碼獲取模板，設(shè)置權(quán)限

選擇限制訪問，設(shè)置權(quán)限

我就只給tom讀取權(quán)限了，等一下去tom賬戶的客戶端看一下效果

進入其他選項可以看出，bob是完全控制權(quán)限，而tom只給了讀取權(quán)限，

保存文檔，創(chuàng)建共享文件夾將word文檔共享給tom，tom訪問共享文件，下載訪問，此時就會看出tom對word文檔只有讀取權(quán)限

Tom登錄

會發(fā)現(xiàn)只有讀取權(quán)限，

我用的第三方截圖工具，我把截圖工具以管理員運行的話截屏直接截到的是黑屏，足以證明RMS對權(quán)限的細化和精確控制

—————— 本文至此結(jié)束，感謝閱讀 ——————