使用 Active Directory Rights Management Services (AD RMS) 和 AD RMS 用戶端,可以透過持續使用原則來保護資訊,加強組織的安全性策略,不論資訊移到何處,原則都會和資訊保存在一起。您可以使用 AD RMS 協助防止機密資訊 (例如,財務報表、產品規格、客戶資料及機密電子郵件訊息) 經人為故意或意外地落入未授權者手中。

如需 AD RMS 的相關資訊,請參閱 Active Directory Rights Management Services TechCenter 網頁,網址是 https://go.microsoft.com/fwlink/?LinkId=80907 (可能為英文網頁)。

在下面各節中,您會深入了解 AD RMS、AD RMS 中的必要和選擇性功能,以及用於執行 AD RMS 的硬體和軟體。在本主題的最後,您會深入了解如何開啟 AD RMS 主控台,以及如何尋找更多 AD RMS 的相關資訊。

什麼是 Active Directory Rights Management Services?

AD RMS 系統包含執行 Active Directory Rights Management Services (AD RMS) 伺服器角色 (負責處理憑證與授權) 的 Windows Server® 2008 R2 伺服器、資料庫伺服器以及 AD RMS 用戶端。最新版的 AD RMS 用戶端為 Windows® 7 和 Windows Vista® 作業系統的一部分。AD RMS 系統的部署為組織提供下列好處:

  • 保護機密資訊。文書處理器、電子郵件用戶端及企業營運應用程式等應用程式可以利用 AD RMS,以協助保護機密資訊。使用者可以定義能夠開啟、修改、列印、轉送資訊或對資訊採取其他動作的人。組織可以建立自訂的使用原則範本 (例如「機密 - 唯讀」),這些範本可以直接套用至資訊。

  • 持續的保護。AD RMS 加強防火牆和存取控制清單 (ACL) 等現有的周邊型安全性解決方案,會在文件本身當中鎖定使用權限,並且甚至能夠在預定收件者開啟資訊後,控制使用資訊的方式,藉此提供更好的資訊保護。

  • 可自訂的彈性化技術。獨立軟體廠商 (ISV) 和開發人員可以為應用程式加上 AD RMS 功能,或者讓其他伺服器 (例如在 Windows 或其他作業系統上執行的內容管理系統或入口網站伺服器) 使用 AD RMS 以協助保護機密資訊。ISV 可以在文件與記錄管理、電子郵件閘道和封存系統、自動化工作流程及內容檢查等伺服器型解決方案中整合資訊保護功能。

AD RMS 提供開發人員工具以及業界安全性技術 (包括加密、憑證和驗證),來協助組織建立可靠的資訊保護解決方案。若要建立自訂的 AD RMS 解決方案,可以使用 AD RMS 軟體開發套件 (SDK)。

AD RMS 中的功能

使用伺服器管理員,可以設定 AD RMS 的下列元件:

  • Active Directory Rights Management Services。Active Directory Rights Management Services (AD RMS) 角色服務是必要的角色服務,它會安裝用於發佈和取用受權限保護之內容的 AD RMS 元件。

  • 識別身分同盟支援。識別身分同盟支援角色服務是選用的角色服務,允許同盟識別身分使用 Active Directory Federation Services 來取用受權限保護的內容。

  • Microsoft Federation Gateway 支援 。Microsoft Federation Gateway 是識別身分服務,此服務可透過網際網路執行,並做為組織或企業與組織要使用之外部服務的居中調節者。此閘道可將使用者與其識別身分連接到所使用的服務,因此組織只需要管理單一識別身分同盟關係,就能讓使用者利用其識別身分存取使用者想使用的所有 Microsoft 服務與 Microsoft 架構的服務。

硬體和軟體的考量

AD RMS 可在執行 Windows Server 2008 R2 作業系統的電腦上執行。安裝 AD RMS 伺服器角色時會安裝必要的服務,其中之一便是網際網路資訊服務 (IIS)。AD RMS 也需要 Microsoft SQL Server 之類的資料庫 (這個資料庫可以在與 AD RMS 相同的伺服器上或者在遠端伺服器上執行),以及 Active Directory 網域服務樹系。

下表說明執行具有 AD RMS 伺服器角色之 Windows Server 2008 R2 伺服器的最低硬體需求和建議。

需求 建議

一顆 Pentium 4 3 GHz 或更高規格的處理器

兩顆 Pentium 4 3 GHz 或更高規格的處理器

512 MB RAM

1024 MB RAM

40 GB 可用硬碟空間

80 GB 可用硬碟空間

附註
一組有限的伺服器角色適用於 Windows Server 2008 的伺服器核心安裝選項和 Itanium 型系統的 Windows Server 2008。

為了協助您規劃硬體,請使用實驗室測試報告、生產環境中現有硬體的資料,以及首度發行試驗,判斷您的伺服器需要的處理能力。

下表說明執行具有 AD RMS 伺服器角色之 Windows Server 2008 R2 伺服器的軟體需求。對於啟用作業系統上的功能就能滿足的需求,安裝 AD RMS 伺服器角色將會適當地設定這些功能 (如果尚未設定)。

軟體 需求

作業系統

Windows Server 2008 R2

檔案系統

建議使用 NTFS 檔案系統

訊息

訊息佇列

Web 服務

網際網路資訊服務 (IIS)。

必須啟用 ASP.NET。

Active Directory 或 Active Directory 網域服務

AD RMS 必須安裝在 Active Directory 網域中,網域中的網域控制站必須執行 Windows Server 2000 含 Service Pack 3 (SP3)、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 來取得授權並發佈內容的所有使用者和群組,在 Active Directory 中都必須設定好電子郵件地址。

資料庫伺服器

AD RMS 需要資料庫伺服器 (例如 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008) 和預存程序,才能執行作業。Windows Server 2008 R2 上的 AD RMS 伺服器角色不支援 Microsoft SQL Server 2000。

支援 AD RMS 的用戶端必須有支援 AD RMS 的瀏覽器或應用程式,例如 Microsoft Office 2007 的 Microsoft Word、Outlook 或 PowerPoint。支援 AD RMS 的用戶端必須有支援 AD RMS 的瀏覽器或應用程式,例如 Microsoft Office 2007 的 Microsoft Word、Outlook 或 PowerPoint。這些應用程式需要 Microsoft Office 2007 的 Enterprise、Professional Plus 或 Ultimate 版本,才能建立受版權保護的內容。 為提高安全性,可以將 AD RMS 與其他技術 (例如智慧卡) 整合。

預設 Windows 7 和 Windows Vista 包含 AD RMS 用戶端,但其他用戶端作業系統必須安裝 RMS 用戶端。您可以從 Microsoft 下載中心下載含 Service Pack 2 (SP2) 的 RMS 用戶端,並在 Windows Vista 和 Windows Server 2008 之前的用戶端作業系統版本上使用。

如需 AD RMS 之硬體和軟體考量的詳細資訊,請參閱 Windows Server 2008 技術文件庫上的<Active Directory Rights Management Services 的安裝前資訊>主題 (https://go.microsoft.com/fwlink/?LinkId=84733)。

安裝 AD RMS

安裝好作業系統之後,可以使用初始設定工作或伺服器管理員安裝伺服器角色。若要安裝 AD RMS,請在工作清單中按一下 [新增角色],然後按一下 [Active Directory Rights Management Services] 核取方塊。

如需在測試環境中安裝和設定 AD RMS 的詳細指示,請參閱《AD RMS 安裝逐步指南》(https://go.microsoft.com/fwlink/?LinkId=72134)。

管理 AD RMS

伺服器角色是使用 Microsoft Management Console (MMC) 嵌入式管理單元管理。使用 Active Directory Rights Management Services 主控台可以管理 AD RMS。若要開啟 Active Directory Rights Management 主控台,請按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory Rights Management Services]。

相關資訊

若要深入了解 AD RMS,您可以檢視伺服器上的 [說明]。若要這樣做,請開啟 Active Directory Rights Management Services 主控台然後按下 F1 鍵,或瀏覽 Active Directory Rights Management Services TechCenter (https://go.microsoft.com/fwlink/?LinkId=80907) (可能為英文網頁)。

目錄