本文共 3340 字,大约阅读时间需要 11 分钟。
共5个练习
练习1:安装和配置AD RMS
(附加)练习A1:测试AD RMS的功能
练习2:配置AD RMS模板
练习3:配置AD RMS信任策略
练习4:测试AD RMS功能
练习5:生成AD RMS报告
练习1:安装和配置AD RMS
任务1:为AD RMS群集添加CNAME
启动HQDC1服务器,以CONTOSO\Administrator登录。
打开“管理工具”中的“DNS”,在Contoso.com正向查找区域添加一个别名(CNAME)。
说明:在后续的添加RMS角色的步骤中,需要指定一个RMS群集网站,以及指定群集FQDN。如果跳过本步骤,那么群集的FQDN默认就是 https://HQDC2.contoso.com:443。为了便于操作以及增强可读性,建议创建CNAME,群集的FQDN就是 https://RMS.contoso.com:443 。
任务2:为AD RMS服务创建用户帐户
打开“Active Directory用户和计算机”,添加一个名为“ADRMS-SVR”的用户帐户。注意:该帐户是普通用户帐户,仅用来启动AD RMS服务。
任务3:安装和配置AD RMS
启动HQDC2服务器,以CONTOSO\Administrator登录。(注意:添加AD RMS角色操作时必须是Enterprise Admins)
打开“服务器管理器”,添加角色,以及添加所需的角色服务。
使用“添加角色向导”配置AD RMS角色。
说明:可以创建2种群集:能发放认证和授权的根群集;仅发放授权的仅授权群集。这是安装的第一台服务器,在林中未发现根群集,所以此处只能创建根群集。在大型复杂环境中,应该先创建根群集,再创建仅授权群集。
说明:本步骤选择了内部数据库,因此只能安装一台AD RMS服务器。如果选择使用SQL Server数据库,就可以安装多台AD RMS服务器,并可以组成一个负载均衡池(Load-Balancing Pool)。注意:SQL Server服务器也必须加入域,同时,用于安装AD RMS的帐户也必须是SQL Server的本地Administrators组的成员。
说明:此密钥可用于灾难恢复,AD RMS发放的认证和签名都需要用到此密钥。
说明:群集中的第一台AD RMS服务器会自动创建一个SLC(Server Licensor Certificate,即服务器许可方证书),拥有此证书就可以对客户端发放证书和许可证。客户端是通过SLC名称来识别AD RMS群集。
说明:此步骤将AD RMS的SCP(Service Connection Point,即服务连接点)注册到AD数据库内,以便客户端通过AD找到这台RMS服务器。
任务4:检查安装结果
安装完成之后,本操作所用的帐户Contoso\Administrator被添加到本地AD RMS Enterprise Administrators组,此用户就可以管理AD RMS。因此,在HQDC2服务器上注销,然后再次登录。
打开“服务器管理器”,展开“配置”、“本地用户和组”、“组”,确认AD RMS的4个用户组。
其他2个组的成员默认为空。
(附加)练习A1:测试AD RMS的功能
任务1:准备RMS客户端
启动CL1客户端计算机。以Contoso\ZhangS登录。Windows 2008/Windows Vista及后续版本都直接集成了RMS客户端,因此可以直接测试。
RMS需要用到用户帐户设置中的电子邮件。在HQDC1服务器上打开“Active Directory用户和计算机”,确认用户帐户的设置。
如果没有为用户帐户设置电子邮箱,就会出现以下错误。
RMS客户端是通过https访问RMS群集,因此在本地Internet Exploror中添加信任地址。
任务2:限制Word文档的权限
在CL1客户端计算机,用户Contoso\ZhangS对一个Word文档进行RMS保护。
说明:据说,只有Office 2010 Professional Plus 这个版本可以创建新的RMS保护文档,其他版本如Professional版本只能打开、查看、编辑现有的RMS保护文档,不能新建RMS保护文档,在Office菜单中也没有“保护文档”这个选项。
还可以单击“其他选项”按钮,进行更多设定。例如,添加文档的到期日期。
确认RMS保护的文档。
任务3:受限用户访问Word文档
以Contoso\LiS帐户登录CL1客户端计算机,打开被Contoso\ZhangS保护的文档。
这时候可以有3个选择:
(1)“更改用户”。可以临时使用另一个帐户打开此文档。
以后再次打开这个RMS保护文档,就会直接使用列表中的所有凭据。如果要从列表中删除ZhangS的凭据,请在Word中打开“文件”、“信息”、“保护文档”选项。
(2)“是”。将自动调用Outlook,可以向ZhangS@contoso.com发送一封请求邮件。
(3)“否”。关闭此文档。
任务4:对受限用户授权
将Contoso\LiS加入到IT_Group组。
在CL1客户端计算机上注销Contoso\LiS,再重新登录。此时用户有只读权限。
将Contoso\LiS加入到ITAdmins组。
在CL1客户端计算机上注销Contoso\LiS,再重新登录。此时用户有编辑权限。
练习2:配置AD RMS模板
任务1:配置RMS权限策略模板
转到HQDC2,打开“管理工具”中的“Active Directory Rights Management Services”。修改属性以启用导出。
添加一个新的分布式权限策略模板。
任务2:为Windows7 客户端配置RMS
从管理员身份登入CL1客户端计算机。打开“控制面板”、“系统和安全”、“计划任务”。
修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common,设置本地模板保存路径。
说明:如果本机已经运行过RMS,则在左侧列表中已经创建了DRM项。
任务3:为Windows XP客户端配置RMS权限策略模板
编辑组策略,添加一个Office2010的模板。
修改模板,指定权限策略的路径。
练习3:配置AD RMS信任策略
任务1:导出/导入受信任的用户域
将文件导出到指定的路径,或者从指定的路径导入。文件类型为 *.bin 。
任务2:导出/导入受信任的发布域
将文件导出到指定的路径,或者从指定的路径导入。文件类型为 *.xml 。
练习4:测试AD RMS功能
任务1:创建一个有权限保护的文档
以Contoso\ZhangS帐户登录CL1,建立一个受限制的word文档。
任务2:以非授权用户打开受保护的文档
注销Contoso\ZhangS帐户,以Contoso\LiS帐户登录(此时,Lis不属于任何组)。再打开这个受限制的Word文档。
任务3:以授权用户打开受保护的文档
再将Contoso\LiS加入到ITAdmins组,在CL1计算机注销后再次登录。再打开文档。
练习5:生成AD RMS报告
任务1:安装Microsoft Report Viewer
AD RMS共有3个报告,其中“运行状况报告”和“疑难解答报告”需要Microsoft Report Viewer Redistributable 2005 Service Pack 1 。官网下载地址为
在HQDC2服务器安装Microsoft Report Viewer。然后打开“管理工具”中的“Active Directory Right Management Services”,展开“报告”。
任务2:查看统计信息报告
任务3:查看运行情况报告
共有以下3种类型的摘要结果:
任务4:查看疑难解答报告
转载地址:http://fymax.baihongyu.com/