在Windows Server 2008的服務(wù)器角色中,有提供過去可安裝在Windows Server 2003上的RMS服務(wù),簡稱為AD RMS服務(wù)器角色,來搭配應(yīng)用程序服務(wù)器角色,安裝設(shè)置全新的AD RMS的服務(wù),以提供客戶端Office文件內(nèi)容的加密功能,這樣,有效防范不合法文件的復(fù)制、打印等行為。
ADRMS(Active Directory Rights Management Services)必須通過與現(xiàn)有的Active Directory集成,來進(jìn)行用戶的身份驗(yàn)證與屬性確認(rèn)(包括E-mail地址與所屬群組),以及讓IRM的客戶端(Office 2003專業(yè)版以上版本、IE6以上瀏覽器)可以找到RMS所提供的服務(wù) 連 接 點(diǎn)(SCP,Service Connection Point),然 后開始進(jìn)行各種Office文件(Word、PowerPoint、Excel)的加密。接下來就讓我們一同來看看這部分的安裝設(shè)置。
圖4 設(shè)置數(shù)據(jù)庫
首先從“服務(wù)器管理員”界面中點(diǎn)擊“添加角色”連接,然后勾選“Active Directory Rights Management Services”。由于AD RMS的服務(wù)器角色安裝需要其他相關(guān)的組件,例如IIS網(wǎng)站組件、消息隊(duì)列服務(wù)等,因此,將會(huì)出現(xiàn)添加角色向?qū)ы撁妗?/p>
接 下 來,在“選 取 角色服務(wù)”頁面中,勾選“Active Directory Rights Management Services”項(xiàng),至于“識(shí)別身分同盟支持”組件的安裝,只有在與不同組織的Active Directory集成時(shí)才會(huì)用到。
在“創(chuàng)建或加入AD RMS群集”頁面中,勾選“創(chuàng)建新 的 AD RMS群 集”。 在“選取設(shè)置數(shù)據(jù)庫”的頁面中,必須設(shè)置AD RMS所要連接的后端SQL Server數(shù)據(jù)庫(如圖 4),在默認(rèn)的狀態(tài)下,系統(tǒng)會(huì)選擇使用Windows Server 2008內(nèi)置 的 SQL Server實(shí) 例(稱之 為Windows internal Database)。
在“選定服務(wù)賬戶”頁面中,點(diǎn)擊“選定”按鈕來設(shè)置一個(gè)用來負(fù)責(zé)啟動(dòng)AD RMS服務(wù)器服務(wù)的賬戶,此賬戶將會(huì)自動(dòng)被加入到AD RMS服務(wù)群組的成員之中。在“設(shè)置AD RMS群集密鑰儲(chǔ)存”頁面中,選取“使用AD RMS集中管理的密鑰儲(chǔ)存”項(xiàng)目即可。在“選定AD RMS群集密鑰密碼”頁面中,必須設(shè)置一組保護(hù)AD RMS群集密鑰的密碼。
由于AD RMS應(yīng)用程序是實(shí)施在IIS網(wǎng)站的基礎(chǔ)之下,因此在“選取AD RMS群集網(wǎng)站”頁面中,便需要選擇應(yīng)用程序存放的網(wǎng)站。接下來,在“選定群集地址”頁面中,首先必須決定要讓AD RMS與IRM客戶端聯(lián)機(jī)時(shí),所要采用的聯(lián)機(jī)方式(加密或未加密),在此當(dāng)然強(qiáng)烈建議選擇默認(rèn)的“使用SSL加密聯(lián)機(jī)”,緊接著,在下方輸入完整的內(nèi)部聯(lián)機(jī)網(wǎng)址與通訊端口,并點(diǎn)擊“驗(yàn)證”按鈕以確認(rèn)可以正常聯(lián)機(jī)網(wǎng)站。
在“選擇服務(wù)器驗(yàn)證證書進(jìn)行SSL加密”頁面中,需要挑選一個(gè)現(xiàn)有的服務(wù)器證書,或是改由選取“創(chuàng)建自我簽署證書進(jìn)行SSL加密”。不過,這種方式必須將這個(gè)簽署的證書也一并安裝在所有聯(lián)機(jī)的IRM客戶端計(jì)算機(jī)上。在“服務(wù)器授權(quán)人證書的名稱”頁面中,輸入一個(gè)用以識(shí)別此證書的識(shí)別名稱即可。在“登錄AD RMS服務(wù)聯(lián)機(jī)點(diǎn)”頁面中,請(qǐng)選取“立即登錄AD RMS服務(wù)聯(lián)機(jī)點(diǎn)”項(xiàng)。最后,連續(xù)點(diǎn)擊多次“下一步”即可完成安裝。
完成了AD RMS服務(wù)器角色的創(chuàng)建之后,它將以用來集成文件服務(wù)器、SharePoint Server網(wǎng)站、Exchange Server,讓所有機(jī)密性質(zhì)的Office文件,皆可自動(dòng)通過AD RMS服務(wù)來完成內(nèi)容加保護(hù),有效防止未經(jīng)授權(quán)的用戶通過E-mail、打印或是復(fù)制等方式,泄漏了企業(yè)的重要機(jī)密文件或郵件,造成嚴(yán)重的商業(yè)損失。
在此筆者以集成SharePoint Server 2010以上版本為例子,您只要SharePoint管理中心的網(wǎng)站上,開啟“信息版權(quán)管理”頁面,選取“使用在Active Directory中指定的預(yù)設(shè)RMS服務(wù)器”,然后點(diǎn)選“確定”即可進(jìn)行與AD RMS服務(wù)器的連接。
注意:如果在點(diǎn)選“確定”之后出現(xiàn)了紅色的錯(cuò)誤信息,一般來說便是兩種可能的問題。第一是AD RMS沒有啟用SCP登錄設(shè)置,第二則是AD RMS的網(wǎng)站文件夾安全性未被正確設(shè)置。
在完成了AD RMS服務(wù)的連接之后,便可以開始來設(shè)置所要進(jìn)行加密保護(hù)的SharePoint文檔庫。您只要在“文檔庫設(shè)置”頁面中點(diǎn)選“信息版權(quán)管理”超連接,然后依序完成設(shè)置“停止限制文檔庫訪問權(quán)的日期”,以及是否要禁止文件于網(wǎng)頁瀏覽器中開啟、是否允許檢視者打印、是否允許檢視者執(zhí)行程序碼、允許檢視者寫入下載文件的復(fù)本、文件被用戶下載后的開啟期限等保護(hù)設(shè)置。
Windows Server 2008除了提供最先進(jìn)的應(yīng)用系統(tǒng)操作系統(tǒng)之外,為應(yīng)對(duì)全球綠色I(xiàn)T與虛擬化世代的來臨,它更內(nèi)置提供了Hyper-V虛擬服務(wù)器的角色,不只讓W(xué)indows的應(yīng)用系統(tǒng)可以在虛擬化環(huán)境中運(yùn)行,也能夠讓現(xiàn)有異構(gòu)平臺(tái)的操作系統(tǒng)與應(yīng)用程序,遷移到虛擬化的運(yùn)作環(huán)境中來繼續(xù)提供企業(yè)IT服務(wù),為后來的Windows Server 2012、Windows Server 2016奠定了穩(wěn)固的發(fā)展基礎(chǔ)。從整體來看,在物理主機(jī)與虛擬機(jī)的集成之下,不僅可以讓客戶端使用者享有更加流暢與安全的新體驗(yàn),對(duì)于企業(yè)整體IT營運(yùn)來說,也大幅簡化了實(shí)施管理與維運(yùn)成本。