Servertjänster i AD RMS gör det möjligt för AD RMS-aktiverade serverprogram att begära rights account certificates (RAC:er) å andra användares vägnar. Ett exempel på ett AD RMS-aktiverat serverprogram är Microsoft Exchange Server 2007. Det finns några saker som du bör vara medveten om när du konfigurerar servertjänster:

  • DACL (Discretionary Access Control List) i AD RMS-pipeline använder som standard de säkraste inställningarna. Du måste modifiera DACL:n när du använder servertjänster i AD RMS.

  • Om AD RMS-klienten är installerad på en Windows Server 2003-, Windows Server 2008- eller Windows Server 2008 R2-baserad server och Förbättrad säkerhetskonfiguration i Internet Explorer är aktiverad, måste du lägga till URL för AD RMS-kluster i säkerhetszonen Lokalt intranät i Internet Explorer.

  • Många servertjänster använder avancerade funktioner i Active Directory Domain Services (AD DS) som bara finns tillgängliga om alla AD DS-domänkontrollanter kör Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2. Om du använder några servertjänster rekommenderar vi att alla domänkontrollanter kör Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2 och att funktionsnivåerna för både domänen och skogens AD DS är minst Windows Server 2003.

I en standardinstallation av AD RMS är DACL för servercertifieringspipeline för AD RMS begränsad, vilket innebär att ett program inte kan erhålla certifikat och licenser för sina användare. Om du har ett AD RMS-aktiverat program för dessa datorer kan du dock aktivera dem för att delta i ditt AD RMS-system genom att konfigurera DACL:er i AD RMS-pipeline för servercertifiering.

AD RMS-aktiverade serverprogram kan ansluta till AD RMS-servercertifieringstjänsten genom att använda filen ServerCertification.asmx.

OBS

Om det finns mer än en AD RMS-server i AD RMS-klustret måste DACL på den servercertifieringstjänsten ändras på varje server i klustret.

Medlemskap i den lokala gruppen Administratörer eller liknande är minimikravet för att kunna slutföra den här proceduren.

Så här aktiverar du certifiering av servertjänster

  1. Öppna Utforskaren och navigera till den mapp där IIS (Internet Information Services) installerats. Standard är att mappsökvägen är mappen %systemenhet%\Inetpub\wwwroot\_wmcs\Certification.

  2. Om du vill aktivera servertjänsterna för att få tillgång till RAC:er högerklickar du på filen ServerCertification.asmx och klickar sedan på Egenskaper.

  3. Klicka på Lägg till på fliken Säkerhet och lägg sedan till datorkontoobjektet i det AD RMS-aktiverade serverprogrammet och i AD RMS-tjänstgrupp.

  4. Markera kryssrutan Tillåt för både behörigheten Läsa och Läsa och köra i listorna Behörigheter för grupperna och klicka sedan på OK.

    OBS

    Om flera servrar är värdar för AD RMS-aktiverade serverprogram ska du överväga att skapa en grupp, lägga till alla datorobjekt i den här gruppen och sedan lägga till gruppen i DACL för certifieringspipeline istället.

  5. Starta om IIS (Internet Information Services) genom att köra IISRESET i en kommandotolk för att implementera ändringarna på DACL:er på AD RMS-webbtjänsterna.

Ytterligare referensinformation

Innehåll