使用 Active Directory 权限管理服务 (AD RMS) 和 AD RMS 客户端,可通过永久使用策略(始终随信息一同存在,无论是否移动信息)保护信息,从而增强组织的安全策略。可以使用 AD RMS 来帮助防止敏感信息(如财务报表、产品说明、客户数据及机密电子邮件)被有意或意外地用于不当用途。
有关 AD RMS 的信息,请参阅位于
在以下各部分中,了解有关 AD RMS、AD RMS 中的必需和可选功能以及用于运行 AD RMS 的硬件和软件的详细信息。在本主题结尾,了解如何打开 AD RMS 控制台以及如何查找有关 AD RMS 的详细信息。
什么是 Active Directory Rights Management Services?
AD RMS 系统包括基于 Windows Server® 2008 R2 的服务器(运行用于处理证书和授权的 Active Directory 权限管理服务 (AD RMS) 服务器角色)、数据库服务器以及 AD RMS 客户端。最新版本的 AD RMS 客户端作为 Windows® 7 和 Windows Vista® 操作系统的一部分包括在内。AD RMS 系统的部署为组织提供以下优势:
-
保护敏感信息。如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS,从而帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织可以创建子自定义的使用策略模板(如“机密 - 只读”),这些模板可直接应用于上述信息。
-
永久保护。AD RMS 可以增强现有基于外围的安全解决方案(如防火墙和访问控制列表 (ACL)),通过在文档内部锁定使用权限、控制如何使用信息(即使目标收件人打开信息后)来更好地保护信息。
-
灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器(如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器),与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。
AD RMS 提供开发人员工具和行业安全技术(包括加密、证书和身份验证),可帮助组织创建可靠的信息保护解决方案。为创建自定义的 AD RMS 解决方案,可以使用 AD RMS 软件开发工具包 (SDK)。
AD RMS 中的功能
通过使用服务器管理器,可以设置 AD RMS 的以下组件:
-
Active Directory Rights Management Services。Active Directory 权限管理服务 (AD RMS) 角色服务是一项必需的角色服务,用于安装发布和使用受权限保护的内容所用的 AD RMS 组件。
-
联合身份验证支持。联合身份验证支持角色服务是一项可选的角色服务,允许联合身份借助 Active Directory 联合身份验证服务来使用受权限保护的内容。
-
Microsoft 联合身份验证网关支持
。Microsoft Federation Gateway 是一种在 Internet 上运行并在组织(或企业)及其要使用的外部服务之间起中介作用的标识服务。该网关可将用户和其他标识连接到其使用的服务,因此,组织只需管理单个标识关系即可让其标识能够访问它们希望使用的所有 Microsoft 和基于 Microsoft 的服务。
硬件和软件注意事项
AD RMS 在运行 Windows Server 2008 R2 操作系统的计算机上运行。安装 AD RMS 服务器角色时,系统会同时安装必需的服务,其中的一项就是 Internet 信息服务 (IIS)。AD RMS 还需要一个数据库(如 Microsoft SQL Server),该数据库可与 AD RMS 在同一服务器上运行,也可以在远程服务器和 Active Directory 域服务林中运行。
下表介绍了运行具有 AD RMS 服务器角色的基于 Windows Server 2008 R2 服务器的最低硬件要求和建议。
| 要求 | 建议 |
|---|---|
|
一个 Pentium 4 3 GHz 处理器或更高级处理器 |
两个 Pentium 4 3 GHz 处理器或更高级处理器 |
|
512 MB 的 RAM |
1024 MB 的 RAM |
|
40 GB 的可用硬盘空间 |
80 GB 的可用硬盘空间 |
 注意 |
|---|
|
可用于 Windows Server 2008 的 Server Core 安装选项以及面向基于 Itanium 的系统的 Windows Server 2008 的一组有限服务器角色。
|
为了帮助您了解硬件注意事项,可以在实验室环境中进行测试,获得生产环境中现有硬件的数据,并通过展示性实验来确定服务器需要的容量。
下表介绍了运行具有 AD RMS 服务器角色的基于 Windows Server 2008 R2 服务器的软件要求。对于通过启用操作系统上的功能可以满足的要求,可通过安装 AD RMS 服务器角色根据需要配置这些功能(如果尚未配置这些功能)。
| 软件 | 要求 |
|---|---|
|
操作系统 |
Windows Server 2008 R2 |
|
文件系统 |
建议使用 NTFS 文件系统 |
|
消息 |
消息队列 |
|
Web 服务 |
Internet 信息服务 (IIS)。 必须启用 ASP.NET。 |
|
Active Directory 或 Active Directory 域服务 |
AD RMS 必须安装在 Active Directory 域中,其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。 |
|
数据库服务器 |
AD RMS 需要使用数据库服务器(如 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008)和存储的过程来执行操作。Windows Server 2008 R2 上的 AD RMS 服务角色不支持 Microsoft SQL Server 2000。 |
启用 AD RMS 的客户端必须具有启用 AD RMS 的浏览器或应用程序(如 Microsoft Office 2007 中的 Microsoft Word、Outlook 或 PowerPoint)。启用 AD RMS 的客户端必须具有启用 AD RMS 的浏览器或应用程序(如 Microsoft Office 2007 中的 Microsoft Word、Outlook 或 PowerPoint)。这些应用程序需要具备 Microsoft Office 2007 Enterprise、Professional Plus 或 Ultimate,才能创建受权限保护的内容。 为获得附加安全性,可以将 AD RMS 与其他技术(如智能卡)集成在一起。
默认情况下,Windows 7 和 Windows Vista 包括 AD RMS 客户端,但其他客户端操作系统必须安装 RMS 客户端。带有 Service Pack 2 (SP2) 的 RMS 客户端可从 Microsoft 下载中心下载,并且可以在早于 Windows Vista 和 Windows Server 2008 的客户端操作系统版本上工作。
有关 AD RMS 的硬件和软件注意事项的详细信息,请参阅 Windows Server 2008 技术库网站 (
安装 AD RMS
完成操作系统安装后,可以使用 初始配置任务 或 服务器管理器 安装服务器角色。若要安装 AD RMS,请在任务列表中单击“添加角色”,然后单击“Active Directory Rights Management Services”复选框。
有关在测试环境中安装和配置 AD RMS 的详细说明,请参阅《AD RMS 安装循序渐进指南》(
管理 AD RMS
服务器角色使用 Microsoft 管理控制台 (MMC) 管理单元来进行管理。使用 Active Directory Rights Management Services 控制台可以管理 AD RMS。若要打开“Active Directory Rights Management”控制台,请单击「开始」,指向“管理工具”,然后单击“Active Directory Rights Management Services”。
详细信息
若要了解有关 AD RMS 的详细信息,可以查看服务器上的帮助。若要执行此操作,请打开“Active Directory Rights Management Services”控制台,然后按 F1,或者访问 Active Directory Rights Management Services 技术中心 (