实验:配置和管理RMS

  • 内容
  • 评论
  • 相关

配置DNS和RMS服务账户

首先我们创建好RMS的服务器并且完成加域

然后登陆到我们的DC1服务器,创建一个叫Service Accounts的OU,并且创建下面的用户ADRMSSVC

在 Users 容器中创建一个新的 global security group,名称为 ADRMS_SuperUsers, 组的电子邮件设置为 ADRMS_SuperUsers@contoso.com

在 Users 容器中创建一个新的 global security group,名称为 executives, 组的电子邮件设置为executives@contoso.com

新建用户账户并用户帐户 rms1 及 rms2 加入 Executives 组内。

在新建一个user2账户,默认组

添加DNS解析

安装及配置 AD RMS 服务器角色

安装AD RMS角色

使用域administrator管理员账户登陆rms1服务器

然后添加Active Directory Rights Management Services角色

后面的内容都是默认下一步,等待安装即可

安装完成后点击执行其他配置

配置AD RMS

创建新的AD RMS根群集,由于是域内的第一台,所以我们是创建新的,如果后续还有就是选择加入了

使用内部WID数据库,如果环境大那还是使用SQL吧

输入我们前面的adrmssvc的账户和密码

使用加密模式2更加安全,如果域内有xp的机器那么还是使用加密模式1

用rms来管理密钥

这个密码和域控还原密码差不多,新的rms要加入进来也要输入这个密码,请记住了别丢了,其他rms服务加入进来需要这个密码

默认网站

没弄ssl证书,所以事http

使用 Internet Information Services(IIS) Manager 控制台,启用 Anonymous Authentication在 Default Web Site\_wmcs 和 Default Web Site\_wmcs\licensing 虚拟目录。

注销RMS1-srv

您必须先注销才能够开始管理 AD RMS ,这个练习为求方便使用 80 端口,在生产制造的环境, 您要使用加密连接来协助保护 AD RMS 。

配置 AD RMS 超级用户组

登录 rms1-srv,使用帐户 contoso\Administrator

从服务器管理器, 工具-打开 AD RMS 控制台, 然后启用 Super Users 。

将 ADRMS_SuperUsers@contoso.com 组设置为超级用户组。

完成后,您应已安装并配置完成 AD RMS 。

配置 AD RMS 模板

部署好 AD RMS 服务器之后,您现在必须要为组织配置权限策略模板及排除策略。

配置一个新的权限策略模板

在 rms1-srv,使用 AD RMS 控制台的 权限策略模板节点, 创建一个分布的权限策略模板

配置权限策略模板的发布

在 RMS1-srv, 打开一个 Windows PowerShell 命令提示字符输入下列指令,然后在每行指令之后按Enter:

New-Item c:\rmstemplates -ItemType Directory

New-SmbShare -Name RMSTEMPLATES -Path c:\rmstemplates -FullAccess contoso\ADRMSSVC

New-Item c:\docshare -ItemType Directory

New-SmbShare -Name docshare -Path c:\docshare -FullAccess Everyone

在 AD RMS 控制台, 配置权限策略模板文件位置为 \\rms1-srv\RMSTEMPLATES 。

打开 File Explorer, 然后查看 C:\rmstemplates 文件夹。确认 ReadOnly.xml 模板存在文件夹内。

配置一个排除策略

在 LON-SVR1, 在 AD RMS 控制台中,启用 Application Exclusion 。

在排除应用程序对话框, 输入下列信息:

o Application File name: Powerpnt.exe

o Minimum version: 14.0.0.0

o Maximum version: 16.0.0.0

完成此练习后,您应该已经配置完成 AD RMS 模板。

在客户端使用 AD RMS

创建一个权限受保护的文件

我们登陆我们原来的Win10的计算机先用administrator安装下office,然后用原来的user1账户登陆,

从 Start 菜单, 打开 Internet Explorer,然后将 http://adrms.contoso.com 加入到 local intranet sites。

打开 Word 2016,然后创建一份文件命名为 Executives Only,在此文件中,输入下列文字内容:

This document is for executives only, and it should not be modified。从 Permissions section,选择限制访问, 应用 ReadOnly 权限模板于此文件。将此文件存储在共享 \\file-srv\docshare,命名为 Executives Only.docx。

注销win10。

验证已授权的用户对 AD RMS 保护内容的内部访问

登录 Win10 ,使用帐户 rms1

从 Start 菜单, 打开 Internet Explorer,然后将 http://adrms.contoso.com 加入到 local intranet sites。

在 \\ file-srv \docshare 文件夹, 打开 Executives Only 文件。

确认您不能修改或存储此文件。

选取此文件内文的某一行,然后以鼠标右键单击它。确认您不能修改此文件内容。

查看此文件的权限。

注销 win10。

以未授权的用户打开权限保护的文件

登录win10 ,使用帐户user2。

从 Start 菜单, 打开 Internet Explorer,然后将 http://adrms.contoso.com 加入到”本地intranet 站点” 。

在 \\file-srv \docshare 文件夹,尝试打开 Executives Only 文件。

确认 user2没有权限打开此文件。

注销 win10。