1.1 实战：部署权限管理

试验目的：

在单域环境中部署活动目录权限管理服务，实现文档的保护。

试验环境：

? DCServer安装Windows Server 2008企业版，是ess.com的域控制器，安装企业CA。

? RMSServer安装Windows Server 2008企业版，是域ess.com中的计算机，安装活动目录权限管理服务。

? SQL Server安装了Windows Server 2003企业版，是域ess.com中的计算机，安装了SQL 2005。

? Vista安装作公司文员办公的计算机Windows Server 2008企业版，是ess.com域中的计算机，安装了Office 2007。

1.1.1 在DCServer上的配置

任务：

? 安装企业CA，可以为RMSServer颁发计算机证书

? 创建一个要用作 AD RMS 服务帐户，即没有额外权限的域用户帐户。

步骤:

1. 打开服务器管理器，点击“添加角色”。

2. 在出现的开始之前对话框，点击“下一步”。

3. 在出现的选择服务器角色对话框，选中“Active Directory证书服务”，点击“下一步”。

4. 在出现的Active Directory证书服务简介对话框，点击“下一步”。

5. 在出现的选择角色服务对话框，选择“证书颁发机构”，“选择证书颁发机构Web注册”，在出现的对话框，点击“添加必须的角色服务”，选中“联机响应程序”，点击“下一步”。

6. 在出现的指定安装类型对话框，选择“企业”，点击“下一步”。

7. 在出现的指定CA类型对话框，选择“根CA”，点击“下一步”。

8. 在出现的设置私钥对话框，选择“创建私钥”，点击“下一步”。

9. 在出现的为CA配置加密对话框，保持默认设置，点击“下一步”。

10. 在出现的配置CA名称对话框，保持默认名称，点击“下一步”。

11. 在出现的设置有效期，指定5年，点击“下一步”。

12. 在出现的配置证书数据库对话框，保持默认路径，点击“下一步”。

13. 在出现的Web服务器（IIS）对话框，点击“下一步”。

14. 在出现的选择角色服务对话框，保持默认选择，点击“下一步”

15. 在出现的确认选择对话框，点击“安装”。

16. 在出现的安装结果对话框，点击“关闭”，完成安装。

17. 打开Active Directory用户和计算机管理工具，右击“users”，点击“新建”à“用户”。

18. 在出现的新建对象—用户对话框，输入用户名，用户登录名，点击“下一步”。

19. 在出现的新建对象—用户对话框，输入用户的密码，选中“密码永不过期”，点击“下一步”。

20. 在出现的新建对象—用户对话框，点击“完成”。

1.1.2 在RMSServer上的配置

任务：

? 申请服务器证书

? 安装活动目录权限服务角色

步骤：

1. 以域管理员的身份登录RMSServer，点击“开始”à“运行”，输入gpupdate /force刷新组策略。

2. 点击“开始”à“运行”，输入MMC，点击“确定”，打开微软管理控制台。

3. 点击“文件”à“添加/删除管理单元”。

4. 在出现的添加删除管理单元对话框，选中“证书”，点击“添加”。

5. 在出现的证书管理单元，选择“计算机用户”，点击“下一步”。

6. 在出现的选择计算机对话框，选择“本地计算机”，点击“完成”。

7. 右击“个人”，点击“所有任务”à“申请新证书”。

8. 在出现的证书注册对话框，点击“下一步”。

9. 在出现的证书注册对话框，选中“计算机”，点击“下一步”。

10. 在出现的证书注册对话框，点击“完成”，完成证书申请。

11. 打开服务器管理器，点击“添加角色”。

12. 在出现的开始之前对话框，点击“下一步”。

13. 在出现的选择服务器角色对话框，选中“Active Directory Rights Management Services”，在出现的对话框，点击“添加必须的角色服务”，点击“下一步”

14. 在出现的Active Directory Rights Management Services对话框，点击“下一步”。

15. 在出现的选择角色服务对话框，选中“Active Directory 权限管理服务”，点击“下一步”。

16. 在出现的创建或加入AD RMS群集对话框，选择“创建AD RMSServer群集”，点击“下一步”。

17. 在出现的选择配置数据库对话框，选择“使用其他数据库服务器”，点击“选择”，输入安装SQL 2005的服务器，选择默认数据实例，点击“验证”，点击“下一步”。

18. 在出现的指定服务帐户对话框，点击“指定”，输入在域中创建的RMS用户帐户和密码，点击“确定”。

19. 在出现的配置AD RMS群集键存储对话框，选择“使用AD RMS集中管理的密钥存储”，点击“下一步”。

20. 在出现的指定AD RMS群集密钥密码对话框，输入密码和确认密码，点击“下一步”。

21. 在出现的指定AD RMS群集网站对话框，选择“默认网站”，点击“下一步”。

22. 在出现的指定群集地址对话框，选择“使用SSL加密的连接”，输入该服务器的完全限定域名RMSServer.ess.com，端口保持默认的443，点击“验证”，点击“下一步”。

23. 在出现的选择SSL加密的服务器身份验证证书对话框，选择刚才申请的服务器证书，点击“下一步”。

24. 在出现的命名服务器许可证书对话框，输入名称，点击“下一步”。

25. 在出现的注册AD RMS服务连接点对话框，选择“立即注册AD RMS服务”，点击“下一步”。

26. 在出现的Web服务器（IIS）对话框，点击“下一步”。

27. 在出现的选择角色服务对话框，保持默认选项，点击“下一步”。

28. 在出现的确认安装选择对话框，点击“安装”。

29. 在出现的安装结果对话框，点击“关闭”，完成AD RMS的安装。

30. 点击“开始”à“管理工具”à“Active Directory Rights Management Services”，如图提示失败。您需要重新登录，才能获得AD RMS的管理权限。

31. 注销当前用户，再次以域管理员登录。

32. 点击“开始”à“程序”à“管理工具”à“Active Directory Rights Management Services”。

1.1.3 在SQL 2005查看创建的数据库

在SQL2005上，点击“开始”à“程序”à“Microsoft SQL Server 2005”à“SQL Server Management Studio”，打开SQL Server管理工具，身份验证选择“Windows身份验证”，点击“连接”。

可以看到安装AD RMS时，创建的三个数据库。

1.1.4 在DCServer上

任务：

? 创建带有电子邮件的域用户帐户

步骤：

1. 打开活动目录用户和计算机管理工具，右击ess.com域，点击“新建”à“组织单位”。

2. 在出现的新建对象-组织单位对话框，输入“销售部”，点击“确定”。

3. 右击“销售部”，点击“新建”à“用户”。

4. 在出现的新建用户对话框，输入姓名“张三”和用户登录名“zhangS”，点击“下一步”。

5. 在出现的新建对象-用户对话框，输入密码和确认密码，点击“下一步”，完成新用户的创建。

6. 双击张三用户帐户，在出现的张三属性对话框，输入电子邮件的地址zhangs@ess.com。

7. 以同样的方法在销售部创建“李四”帐户，设置电子邮件的地址为lisi@ess.com。

8. 也可以同时指定多个用户帐户的电子邮件地址。同时选定多个用户，点击“属性”。

9. 在出现的多个项目属性对话框，选中“电子邮件”，输入%username%@ess.com，点击“确定”。其中%username%是参数，会自动使用用户的登录名替代。

1.1.5 在Vista上测试

任务：

? 张三使用AD RMS保护文档，授权李四只能读取，不能打印和拷贝。

? 李四登录验证文档保护。

步骤：

1. 以域用户帐户“张三”在Vista上登录。

2. 打开Word 2007创建word文档。

3. 点击à“准备”à“权限限制”à“限制访问”。

4. 在出现的选择服务对话框，选择“使用Microsoft Windows帐户”，点击“确定”。

5. 在出现的连接到RMSServer.ess.com的对话框，输入zhangs@ess.com和密码，点击“确定”。

6. 出现正在验证您的登录信息以打开受限权限内容。

7. 在出现的权限对话框，选中“限制对此文档的权限”， 点击“”

8. 在出现的选择用户和组对话框，输入“lisi”点击“检查名称”，点击“确定”。

9. 点击“其他选项”。

10. 可以看到，能够设置文件到期日期，是否允许打印，是否允许复制，安装图示设置，不选择打印和复制，点击“确定”。

11. 可以看到文件出现限制访问的提示。

12. 将文件保存到e:\zhangs文件夹目录下。

13. 点击“开始”à“关机”，在出现的关闭Windows对话框，选择“注销”，点击“确定”。

14. 按Ctrl+Alt+Insert，点击“切花用户”。

15. 点击“其他用户”。

16. 输入ess\lisi和密码，点击“”登录。

17. 打开E:\zhangs文件夹下的“张三的文档.docx”，在出现的连接到RMSServer.ess.com对话框，输入lisi@ess.com和密码

18. 出现对话框，提示“此文档的权限当前已被限制，Microsoft Office必须连接到https://rmsserver.ess.com:443/_wmcs/licensing验证您的凭据并下载权限。”

19. 出现“正在检查您的凭据以使用受限打开内容”对话框。

20. 可以看到该文件是受限访问，点击“查看权限”。

21. 在出现的我的权限对话框，可以看到只有查看的权限，点击“确定”。

22. 选中一段文字，右击“可以看到不能复制，粘贴”。

23. 点击发现不能“保存”、“另存为”和“打印”。

24. 按PrintScrn，也不能打印屏幕。

1.1.6 在RMSServer查看

在RMSServer上，已域管理员登录，点击“开始”à“程序”à“管理工具”à“Active Directory Rights Management Services”。

点击“报告”à“统计信息报告”，可以看到经过验证的总用户帐户2，经过验证的域用户帐户2.

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1133935，如需转载请自行联系原作者