WindowsServer2008R2之二十四ADRMS管理.doc

Windows?Server?2008?R2?之二十四AD?RMS管理 以下操作都在?Active Directory Rights Management Services 控制台 一、更改 AD RMS 服务帐户 若要运行“更改服务帐户”向导，必须使用对配置数据库具有管理权限的用户帐户以本地方式登录 AD RMS 服务器。进行此操作时，先前指定的帐户将自动从 AD RMS Service Group 中删除，新帐户将成为该组的成员。如果要在其中更改 AD RMS 服务帐户的 AD RMS 群集中有多个服务器，则必须在群集中的所有服务器上更改该服务帐户。二、AD RMS服务器属性 1、服务器证书选项 导出服务器许可方证书 (SLC) ，以便在建立可信发布域和可信用户域时使用 2、群集 URL 选项 Intranet URL连接到您组织的专用网络的支持 AD RMS 的客户端，使用这些 URL 连接到 AD RMS 群集中的证书和授权服务。Extranet URL通过 Internet 连接到群集的 AD RMS 客户端使用这些 URL。将根据这些 URL 创建授权和证书 URL。3、日志记录选项 启用和禁用 AD RMS 日志记录。 验证日志是否正写入数据库：登录 AD RMS 日志记录数据库的数据库服务器。在 SQL Server 企业管理器中，展开“数据库”，然后展开 AD RMS 日志记录数据库。展开“表”，右键单击 ServiceRequest，然后单击“打开表 - 返回所有行”。如果正在创建日志文件，将会在此表中看到一行或多行内容。 4、SCP 选项 AD RMS 的服务连接点 (SCP) 标识服务到组织中支持 AD RMS 的客户端的连接 URL。在 Active Directory 域服务 (AD DS) 中注册 SCP 后，客户端将能够发现 AD RMS 群集以请求使用许可证、发布许可证或权限帐户证书 (RAC)。 三、信任策略 Windows?Server?2008?R2?之二十五AD?RMS信任策略 四、权限策略模板 权限策略模板是在RMS服务器上创建的。它在服务器数据库和指定文件夹以XML件分别存放。在客户端机以XML文件形式存在本地或网络共享文件夹中。它支持动态更新，即新的模板不用重新应用以前用保护的内容上，当用户获取UL时，获取更新后的模板；它由受权服务器负责管理。 存档的模板不会导出到模板导出位置，也不会通过模板分发管道进行分发。在客户端计算机刷新其权限策略模板后，用户不能再使用存档的模板发布新内容。但是，存档的模板允许服务器继续为已经按照其发布的内容发放使用许可证。?存档的权限策略模板不会导出到共享模板文件夹。如果希望导出此模板，必须将其更改回分布式权限策略模板。 1、指定权限策略模板的位置 在服务器上创建将用于存储导出的权限策略模板的文件夹。它的共享权限为AD RMS Service Group和系统?修改权限；用户?读取。 打开 Active Directory Rights Management Services 控制台，并展开 AD RMS 群集。 在控制台树中，单击“权限策略模板”。 在“操作”窗格中，单击“属性”，然后选中“启用导出”复选框。 2、创建分布式权限策略模板 3、客户端配置可以通过组策略或注册表键值来配置客户端模板的位置?组策略配置 首先在微软网站上下载2007 Office system 管理模板文件 (ADM, ADMX, ADML) 和 Office 自定义工具 2.0 版。安装它，通过组策略管理器导入 Office12.adm后，便可以在“用户配置”、“管理模板”、Microsoft Office 2007 System、“管理受限权限”下找到 IRM 设置。请配置“指定权限策略路径”设置以反映客户端计算机上的本地模板存储 模板位置由启用了 RMS 的应用程序确定。对于 Office?2003 及更高版本，它作为用户设置存储在注册表中的下列位置： HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath -或- 对于 Microsoft Office?2007 为 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。 五、权限帐户证书策略? 六、排除策略 RMS服务器可以基于某些因素（用户、应用程序、密码箱的版本）拒绝对许可的请求。 应用程序排除 用户排除 查找公钥字符串的方法： 方法一：用XML编辑软件打开%