AD RMS服務(wù)器角色簡介

在Windows Server 2008的服務(wù)器角色中，有提供過去可安裝在Windows Server 2003上的RMS服務(wù)，簡稱為AD RMS服務(wù)器角色，來搭配應(yīng)用程序服務(wù)器角色，安裝設(shè)置全新的AD RMS的服務(wù)，以提供客戶端Office文件內(nèi)容的加密功能，這樣，有效防范不合法文件的復(fù)制、打印等行為。

ADRMS（Active Directory Rights Management Services）必須通過與現(xiàn)有的Active Directory集成，來進(jìn)行用戶的身份驗(yàn)證與屬性確認(rèn)（包括E-mail地址與所屬群組），以及讓IRM的客戶端（Office 2003專業(yè)版以上版本、IE6以上瀏覽器）可以找到RMS所提供的服務(wù) 連 接 點(diǎn)（SCP，Service Connection Point），然 后開始進(jìn)行各種Office文件（Word、PowerPoint、Excel）的加密。接下來就讓我們一同來看看這部分的安裝設(shè)置。

圖4 設(shè)置數(shù)據(jù)庫

正確安裝設(shè)置AD RMS服務(wù)器角色

首先從“服務(wù)器管理員”界面中點(diǎn)擊“添加角色”連接，然后勾選“Active Directory Rights Management Services”。由于AD RMS的服務(wù)器角色安裝需要其他相關(guān)的組件，例如IIS網(wǎng)站組件、消息隊(duì)列服務(wù)等，因此，將會(huì)出現(xiàn)添加角色向?qū)ы撁妗?/p>

接 下 來，在“選 取 角色服務(wù)”頁面中，勾選“Active Directory Rights Management Services”項(xiàng)，至于“識(shí)別身分同盟支持”組件的安裝，只有在與不同組織的Active Directory集成時(shí)才會(huì)用到。

在“創(chuàng)建或加入AD RMS群集”頁面中，勾選“創(chuàng)建新 的 AD RMS群 集”。 在“選取設(shè)置數(shù)據(jù)庫”的頁面中，必須設(shè)置AD RMS所要連接的后端SQL Server數(shù)據(jù)庫（如圖 4），在默認(rèn)的狀態(tài)下，系統(tǒng)會(huì)選擇使用Windows Server 2008內(nèi)置 的 SQL Server實(shí) 例（稱之 為Windows internal Database）。

在“選定服務(wù)賬戶”頁面中，點(diǎn)擊“選定”按鈕來設(shè)置一個(gè)用來負(fù)責(zé)啟動(dòng)AD RMS服務(wù)器服務(wù)的賬戶，此賬戶將會(huì)自動(dòng)被加入到AD RMS服務(wù)群組的成員之中。在“設(shè)置AD RMS群集密鑰儲(chǔ)存”頁面中，選取“使用AD RMS集中管理的密鑰儲(chǔ)存”項(xiàng)目即可。在“選定AD RMS群集密鑰密碼”頁面中，必須設(shè)置一組保護(hù)AD RMS群集密鑰的密碼。

由于AD RMS應(yīng)用程序是實(shí)施在IIS網(wǎng)站的基礎(chǔ)之下，因此在“選取AD RMS群集網(wǎng)站”頁面中，便需要選擇應(yīng)用程序存放的網(wǎng)站。接下來，在“選定群集地址”頁面中，首先必須決定要讓AD RMS與IRM客戶端聯(lián)機(jī)時(shí)，所要采用的聯(lián)機(jī)方式（加密或未加密），在此當(dāng)然強(qiáng)烈建議選擇默認(rèn)的“使用SSL加密聯(lián)機(jī)”，緊接著，在下方輸入完整的內(nèi)部聯(lián)機(jī)網(wǎng)址與通訊端口，并點(diǎn)擊“驗(yàn)證”按鈕以確認(rèn)可以正常聯(lián)機(jī)網(wǎng)站。

在“選擇服務(wù)器驗(yàn)證證書進(jìn)行SSL加密”頁面中，需要挑選一個(gè)現(xiàn)有的服務(wù)器證書，或是改由選取“創(chuàng)建自我簽署證書進(jìn)行SSL加密”。不過，這種方式必須將這個(gè)簽署的證書也一并安裝在所有聯(lián)機(jī)的IRM客戶端計(jì)算機(jī)上。在“服務(wù)器授權(quán)人證書的名稱”頁面中，輸入一個(gè)用以識(shí)別此證書的識(shí)別名稱即可。在“登錄AD RMS服務(wù)聯(lián)機(jī)點(diǎn)”頁面中，請(qǐng)選取“立即登錄AD RMS服務(wù)聯(lián)機(jī)點(diǎn)”項(xiàng)。最后，連續(xù)點(diǎn)擊多次“下一步”即可完成安裝。

完成了AD RMS服務(wù)器角色的創(chuàng)建之后，它將以用來集成文件服務(wù)器、SharePoint Server網(wǎng)站、Exchange Server，讓所有機(jī)密性質(zhì)的Office文件，皆可自動(dòng)通過AD RMS服務(wù)來完成內(nèi)容加保護(hù)，有效防止未經(jīng)授權(quán)的用戶通過E-mail、打印或是復(fù)制等方式，泄漏了企業(yè)的重要機(jī)密文件或郵件，造成嚴(yán)重的商業(yè)損失。

在此筆者以集成SharePoint Server 2010以上版本為例子，您只要SharePoint管理中心的網(wǎng)站上，開啟“信息版權(quán)管理”頁面，選取“使用在Active Directory中指定的預(yù)設(shè)RMS服務(wù)器”，然后點(diǎn)選“確定”即可進(jìn)行與AD RMS服務(wù)器的連接。

注意：如果在點(diǎn)選“確定”之后出現(xiàn)了紅色的錯(cuò)誤信息，一般來說便是兩種可能的問題。第一是AD RMS沒有啟用SCP登錄設(shè)置，第二則是AD RMS的網(wǎng)站文件夾安全性未被正確設(shè)置。

在完成了AD RMS服務(wù)的連接之后，便可以開始來設(shè)置所要進(jìn)行加密保護(hù)的SharePoint文檔庫。您只要在“文檔庫設(shè)置”頁面中點(diǎn)選“信息版權(quán)管理”超連接，然后依序完成設(shè)置“停止限制文檔庫訪問權(quán)的日期”，以及是否要禁止文件于網(wǎng)頁瀏覽器中開啟、是否允許檢視者打印、是否允許檢視者執(zhí)行程序碼、允許檢視者寫入下載文件的復(fù)本、文件被用戶下載后的開啟期限等保護(hù)設(shè)置。

結(jié)論

Windows Server 2008除了提供最先進(jìn)的應(yīng)用系統(tǒng)操作系統(tǒng)之外，為應(yīng)對(duì)全球綠色I(xiàn)T與虛擬化世代的來臨，它更內(nèi)置提供了Hyper-V虛擬服務(wù)器的角色，不只讓W(xué)indows的應(yīng)用系統(tǒng)可以在虛擬化環(huán)境中運(yùn)行，也能夠讓現(xiàn)有異構(gòu)平臺(tái)的操作系統(tǒng)與應(yīng)用程序，遷移到虛擬化的運(yùn)作環(huán)境中來繼續(xù)提供企業(yè)IT服務(wù)，為后來的Windows Server 2012、Windows Server 2016奠定了穩(wěn)固的發(fā)展基礎(chǔ)。從整體來看，在物理主機(jī)與虛擬機(jī)的集成之下，不僅可以讓客戶端使用者享有更加流暢與安全的新體驗(yàn)，對(duì)于企業(yè)整體IT營運(yùn)來說，也大幅簡化了實(shí)施管理與維運(yùn)成本。