Microsoft 提供了帐户证书服务,该服务使用 Windows Live ID 建立用户的 权限帐户证书 (RAC)。如果希望用户(具有通过该服务建立的 RAC)能够从 Active Directory 权限管理服务 (AD RMS) 群集获取使用许可证,则需要设置接受来自 Microsoft 的联机 RMS 服务的用户凭据的可信用户域。

若要使用此功能,则必须配置 Internet 信息服务 (IIS) 以允许访问 AD RMS 授权服务,例如,通过允许匿名访问。此步骤很重要,因为默认情况下授权服务配置为使用 Windows 集成身份验证。如果 IIS 没有配置为允许访问 AD RMS 授权服务,则具有基于 Windows Live ID 的 RAC 的用户将无法获取许可证。

如有必要,在配置了 Internet 信息服务后,可以根据该服务的用户电子邮件地址筛选出(允许或阻止)这些用户。

本地 Administrators 组中的成员身份或同等身份是完成此过程的最低要求。

启用对 AD RMS 授权服务匿名访问的步骤

  1. 登录到 AD RMS 群集中的服务器。

  2. 打开 Internet 信息服务 (IIS) 管理器控制台,并展开承载 AD RMS 的服务器。

  3. 在控制台树中,展开“网站”,然后展开已配置了 AD RMS 的网站。默认情况下,这是“默认网站”

  4. 在控制台树中,展开 _wmcs 网站,然后选择“授权”虚拟目录。

  5. 在结果窗格中,双击“身份验证”打开“身份验证”页。

  6. 选择“匿名身份验证”,再在“任务”下选中“启用”复选框,然后单击“保存”

  7. 对 AD RMS 群集中的每个服务器重复步骤 1-6。

本地 AD RMS Enterprise Administrators组中的成员身份或同等身份是完成此过程的最低要求。

信任基于 Windows Live ID 的权限帐户证书

  1. 登录到 AD RMS 群集中的服务器。

  2. 打开 Active Directory Rights Management Services 控制台,并展开 AD RMS 群集。

  3. 在控制台树中,展开“信任策略”,然后单击“受信任的用户域”

  4. “操作”窗格中,单击“信任 Windows Live ID”。Windows Live ID 证书将出现在结果窗格中的“可信用户域”列表中。

本地 AD RMS Enterprise Administrators组中的成员身份或同等身份是完成此过程的最低要求。

指定要允许或阻止的 Windows Live ID 电子邮件用户和域的步骤

  1. 登录到 AD RMS 群集中的服务器。

  2. 打开 AD RMS 管理单元,并展开 AD RMS 群集。

  3. 在控制台树中,展开“信任策略”,然后单击“受信任的用户域”

  4. 在结果窗格中选择 Windows Live ID 证书,然后在“操作”窗格中单击“属性”

  5. 单击“筛选出的 Windows Live ID”选项卡。

  6. 执行下列操作之一:

    • 要创建一个可以接收许可证的用户和域的列表,请单击“允许”

    • 要创建一个将阻止接收许可证的用户和域的列表,请单击“阻止”

  7. 键入要添加到筛选器列表中的用户电子邮件地址(格式为 user@domain.com)或域名(格式为 domain.com),然后单击“添加”。您还可以使用星号 (*) 来指定所有用户和域。

  8. 对于应该允许或阻止的所有电子邮件用户和域,重复以上步骤。

  9. 单击“确定”将筛选器列表应用于群集。

其他参考

目录