ADRMS(AD權(quán)限管理服務(wù))能夠確保企業(yè)內(nèi)部數(shù)字文件的機(jī)密性，例如，用戶即使有權(quán)限讀取受保護(hù)的文件，但是如果未被許可，就無法復(fù)制與打印該文件。ADRMS概述雖然可以通過NTFS權(quán)限來設(shè)置用戶的訪問權(quán)限，然而NTFS權(quán)限還有不足之處，例如你開放用戶可以讀取某個(gè)包含機(jī)密數(shù)據(jù)的文件，此時(shí)用戶就可以復(fù)制文件內(nèi)容或?qū)⑽募鎯?chǔ)到其他位置，這樣可能讓這份機(jī)密文件泄露出去，尤其現(xiàn)在便攜存儲(chǔ)媒體盛行，用戶可以輕易地將文件帶離公司。ADRMS是一種信息保護(hù)技術(shù)，在搭配支持ADRMS的應(yīng)用程序后，文件的所有者可以將其設(shè)置為版權(quán)保護(hù)文件，并授予其他用戶讀取，復(fù)制或打印。如果用戶僅被授予讀取權(quán)限，則他無法復(fù)制文件內(nèi)容，也無法打印。發(fā)件人也可以限制收件人轉(zhuǎn)發(fā)郵件。每個(gè)版權(quán)保護(hù)文件內(nèi)都存儲(chǔ)著保護(hù)信息，不論這個(gè)文件被移動(dòng)，復(fù)制到何處，這些保護(hù)信息都仍然存在文件內(nèi)，因此可以確保文件不會(huì)被未經(jīng)許可的用戶訪問。ADRMS可以保護(hù)企業(yè)內(nèi)部的機(jī)密文件，如財(cái)務(wù)報(bào)表，技術(shù)文件等。ADRMS的需求一個(gè)基本的ADRMS環(huán)境包含下圖的組件。域控制器：ADRMS需要一個(gè)域環(huán)境，因此需要域控。ADRMS服務(wù)器：客戶端需要證書與許可證才可以進(jìn)行文件版權(quán)保護(hù)的工作，而ADRMS服務(wù)器就負(fù)責(zé)證書與許可證的發(fā)放?？梢约僭O(shè)多臺(tái)ADRMS服務(wù)器來提供排除和負(fù)載均衡功能，其中第一臺(tái)服務(wù)器被稱為ADRMS根群集服務(wù)器。由于客戶端通過HTTP和HTTPS與ADRMS服務(wù)器通信，因此ADRMS服務(wù)器必須架設(shè)IIS。數(shù)據(jù)庫服務(wù)器：用來存儲(chǔ)ADRMS設(shè)置與策略等信息，可以使用MicrosoftSQLServer來架設(shè)數(shù)據(jù)庫服務(wù)器。還可以直接使用ADRMS內(nèi)置數(shù)據(jù)庫，不過此時(shí)只架設(shè)一臺(tái)ADRMS服務(wù)器。運(yùn)行ADRMS-enabled應(yīng)用程序的客戶端用戶：用戶允許ADRMS-enabled應(yīng)用程序（例如Word）并利用他來創(chuàng)建，編輯文件并將文件設(shè)置為受保護(hù)的文件，然后將此文件存儲(chǔ)到其他用戶可以訪問到的地方，如網(wǎng)絡(luò)共享文件夾，U盤等。ADRMS如何運(yùn)行以下為簡易流程，但是比較容易了解。當(dāng)文件所有者第一次運(yùn)行保護(hù)文件工作時(shí)，他會(huì)從ADRMS服務(wù)器獲取證書，擁有證書后就可以運(yùn)行保護(hù)文件的工作。文件所有者利用ADRMS-enabled應(yīng)用程序創(chuàng)建文件，并且運(yùn)行保護(hù)文件的步驟，也就是設(shè)置此文件的使用權(quán)限與使用條件，同時(shí)該應(yīng)用程序會(huì)將此文件加密。接著會(huì)創(chuàng)建發(fā)布許可證，發(fā)布許可證內(nèi)包含文件的權(quán)限，使用條件與解密密鑰。注：權(quán)限包含讀取，更改，打印，發(fā)送與復(fù)制等，權(quán)限可以搭配使用條件，例如可訪問此文件的期限。系統(tǒng)管理員還可以通過ADRMS服務(wù)器的設(shè)置來限制某些應(yīng)用程序或用戶不可打開受保護(hù)的文件。文件所有者將受保護(hù)的文件（包含發(fā)布許可證）存儲(chǔ)到可供文件接收者訪問的地方，或?qū)⑺苯影l(fā)送給文件接收者。文件接收者利用ADRMS-enabled應(yīng)用程序來打開文件時(shí)，會(huì)向ADRMS服務(wù)器發(fā)送索取使用許可證的要求。ADRMS服務(wù)器通過發(fā)布許可證的信息確認(rèn)文件接收者有權(quán)訪問此文件后，會(huì)創(chuàng)建用戶要求的使用許可證（包含使用權(quán)限，使用條件與解密密鑰），然后將使用許可證傳給文件接收者。文件接收者的ADRMS-enabled應(yīng)用程序接收到使用許可證后，會(huì)利用許可證內(nèi)的解密密鑰將受保護(hù)的文件解密并訪問該文件。ADRMS實(shí)例演示我們將練習(xí)架設(shè)ADRMS企業(yè)版權(quán)管理環(huán)境。我們簡化環(huán)境復(fù)雜程度，撤除了數(shù)據(jù)庫服務(wù)器，改用ADRMS自帶的數(shù)據(jù)庫，同時(shí)將版權(quán)保護(hù)文件直接放置在域控DC的共享文件夾內(nèi)，還有客戶端方面只有一臺(tái)Win8計(jì)算機(jī)，文件所有者和文件接收者都是這臺(tái)計(jì)算機(jī)。準(zhǔn)備好計(jì)算機(jī)按照上圖創(chuàng)建三臺(tái)機(jī)器，RMS需要域控環(huán)境，所以我們接著上次的contoso域環(huán)境繼續(xù)。創(chuàng)建用戶賬戶我們要在域控中創(chuàng)建文件所有者George與文件接收者M(jìn)ary，還要?jiǎng)?chuàng)建一個(gè)用來啟動(dòng)ADRMS服務(wù)的賬戶ADRMS，則3個(gè)賬戶都是一般賬戶（名稱隨意命名），不需要給予特殊權(quán)限。我們登陸域控在市場部創(chuàng)建George和Mary，在users中創(chuàng)建ADRMS賬戶，并未george和mary設(shè)置郵箱。安裝ActiveDirectoryRightsManagementServices請(qǐng)到服務(wù)器上利用Administrators身份登陸，然后通過添加服務(wù)器角色的方式安裝RMS。注：安裝ADRMS的用戶必須隸屬于本地組Administrators與域組EnterpriseAdmins，而當(dāng)我們當(dāng)前使用的域Administrators默認(rèn)就隸屬于這兩個(gè)組。如果要利用其他域用戶賬戶來登陸并安裝ADRMS，先將此賬戶加入到這兩個(gè)組中。默認(rèn)安裝RMS服務(wù)時(shí)會(huì)按照IIS執(zhí)行其他配置出現(xiàn)RMS界面時(shí)單擊下一步由圖中可以得知可以架設(shè)兩種群集：會(huì)發(fā)放證書與許可的根群集與僅發(fā)放許可證的僅許可證群集。安裝的第一臺(tái)服務(wù)器會(huì)成為根群集。

注：如果環(huán)境比較復(fù)雜，可以在架設(shè)根群集后，另外架設(shè)僅許可證群集，不過建議都使用根群集，然后將其他ADRMS服務(wù)器加入到此根群集，因?yàn)楦杭c僅許可證群集無法用于同一個(gè)負(fù)載平衡池內(nèi)。選擇使用windows內(nèi)部數(shù)據(jù)庫注：因?yàn)槲覀冞x擇內(nèi)置數(shù)據(jù)庫，因此只能夠架設(shè)一臺(tái)ADRMS服務(wù)器。如果要使用MicrosoftSQLServer數(shù)據(jù)庫，請(qǐng)選擇指定數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫實(shí)例，該服務(wù)器必須加入域，同時(shí)用來安裝ADRMS的域用戶賬戶也需要隸屬于該數(shù)據(jù)庫服務(wù)器的本地Administrators組，這樣才有權(quán)限在該數(shù)據(jù)庫服務(wù)器內(nèi)創(chuàng)建ADRMS所需要的數(shù)據(jù)庫。選擇指定的域用戶賬戶來啟動(dòng)ADRMS服務(wù)下一步下一步為群集密鑰設(shè)置一個(gè)密碼當(dāng)要將其他ADRMS服務(wù)器加入此群集時(shí)，必須提供此處設(shè)置的密碼。ADRMS利用群集密鑰來簽署發(fā)放的證書與許可證。選擇將IIS的DefaultWebSite當(dāng)作群集網(wǎng)站選擇要求客戶端必須利用安裝的https連接的群集網(wǎng)站，并設(shè)置網(wǎng)站。例如https：//,其中adrms為ADRMS服務(wù)器的計(jì)算機(jī)名。必須保證在dns服務(wù)器內(nèi)創(chuàng)建的主機(jī)與ip地址記錄。選擇為ssl加密創(chuàng)建自簽名證書后單擊下一步建議僅在測試或小規(guī)模環(huán)境下才選用此選項(xiàng)，否則請(qǐng)選擇第一個(gè)選項(xiàng)來選用向證書頒發(fā)機(jī)構(gòu)所申請(qǐng)的證書。注：向證書頒發(fā)機(jī)構(gòu)申請(qǐng)證書的步驟包含為網(wǎng)站創(chuàng)建證書申請(qǐng)文件，將此文件內(nèi)容傳給證書頒發(fā)機(jī)構(gòu)，下載與安裝證書。還可以使用AD證書服務(wù)來自行假設(shè)證書頒發(fā)機(jī)構(gòu)。群集中的第一臺(tái)ADRMS服務(wù)器會(huì)自行創(chuàng)建一個(gè)被稱為服務(wù)器許可方證書的證書（ServerLicensorCerificate，SLC），擁有此證書就可以對(duì)客戶端發(fā)放證書與許可證。下圖為這個(gè)SLC命名，以便讓客戶端通過此名稱來識(shí)別這個(gè)ADRMS群集（加入此群集的其他ADRMS服務(wù)器會(huì)共享這個(gè)SLC證書）。單擊下一步，它會(huì)將ADRMS服務(wù)連接點(diǎn)(ServiceConnectionPoint，SCP)登錄到ActiveDirctory數(shù)據(jù)庫內(nèi)，以便讓客戶端通過AD找到這臺(tái)ADRMS服務(wù)器。注：用來將ADRMSSCP登陸到AD的用戶賬戶必須隸屬于域組EnterpriseAdmins，如果利用其他用戶登錄與安裝ADRMS，則該用戶必須先輩加入到EnterpriseAdmins組內(nèi)，安裝完成后，就可以將其從此組內(nèi)刪除。確認(rèn)安裝安裝完成后，當(dāng)前登錄的用戶賬戶（域Administrator）會(huì)被加入到本地ADRMSEnterprise系統(tǒng)管理員組內(nèi)，此用戶就有權(quán)限來管理ADRMS，不過此用戶必須先注銷再重新登陸才有效。注：注銷后再登陸，才會(huì)更新用戶的訪問令牌（AccessToken），這樣用戶才具備本地ADRMSEnterprise系統(tǒng)管理員組的權(quán)限。創(chuàng)建存儲(chǔ)版權(quán)保護(hù)文件的共享文件夾我們要?jiǎng)?chuàng)建一個(gè)共享文件夾，然后將文件所有者的版權(quán)保護(hù)文件放到此文件夾內(nèi)，以便文件接收者可以到此共享文件夾來訪問此文件。此范例要將共享文件夾創(chuàng)建在域控制器DC內(nèi)（還可以創(chuàng)建在其他計(jì)算機(jī)內(nèi)。）登陸到域控在c盤創(chuàng)建文件夾public選擇文件夾設(shè)置權(quán)限賦予文件夾Everyone讀寫權(quán)限。測試ADRMS的功能我們先在客戶端計(jì)算機(jī)上安裝Word2012，然后利用George身份登陸與創(chuàng)建版權(quán)保護(hù)文件，最后利用Mary身份登陸來訪問此文件。限制只能夠讀取文件，不可打印，復(fù)制文件登陸到客戶計(jì)算機(jī)，安裝office打開ie瀏覽器，在高級(jí)選項(xiàng)中添加本地intranet站點(diǎn)，將此網(wǎng)站添加到安全區(qū)域內(nèi)。創(chuàng)建一個(gè)word文檔，單擊左上角文件-信息-保護(hù)文檔-限制訪問接下來會(huì)出現(xiàn)下圖對(duì)話框，這時(shí)因?yàn)榇藭r(shí)Word會(huì)連接群集網(wǎng)站，然而群集網(wǎng)站的證書是ADRMS自我發(fā)放的，而客戶端計(jì)算機(jī)尚未信任有ADRMS自我發(fā)放的證書?？梢灾苯訂螕羰?，不過以后每次客戶端連接ADRMS服務(wù)器時(shí)都會(huì)出現(xiàn)此對(duì)話框。注：如果不想每次都出現(xiàn)此對(duì)話框，請(qǐng)通過以下步驟來信任有ADRMS說發(fā)放的證書：單擊上圖的查看證書-安裝證書-將所有證書放入下列存儲(chǔ)-瀏覽受信任的根證書頒發(fā)機(jī)構(gòu)。勾選限制對(duì)此文檔的權(quán)限，然后單擊讀取或更改按鈕來開發(fā)權(quán)限，完成后單擊確定。我們選擇開放給用戶mary@。如