基于微軟ADRMS管理企業(yè)文件服務(wù)器文件安全

基于微軟ADRMS管理企業(yè)文件服務(wù)器文件安全FileserversecuritymanagementonenterprisebasedonMicrosoftADRMS學(xué)部：信息專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)工作單位：OPENLAB國際教育集團(tuán)畢業(yè)設(shè)計(jì)（論文）完成時(shí)間：自2012年12月至2013年5月摘要正所謂"日防夜防，家賊難防"。最致命的攻擊往往來自于企業(yè)內(nèi)部，微軟公司的RMS（RightsManagementServices，權(quán)限管理服務(wù)）正是為這種情況而生，通過安裝微軟ADRMS服務(wù),管理企業(yè)文件服務(wù)器，利用發(fā)布許可證、數(shù)字證書、身份驗(yàn)證、權(quán)限策略和各種密鑰對(duì)加密的方法,對(duì)支持ADRMS的應(yīng)用程序進(jìn)行管理，限制域數(shù)據(jù)庫內(nèi)用戶的訪問權(quán)限，從而保護(hù)那些敏感文檔、電子郵件和WEB內(nèi)容，可以嚴(yán)格地對(duì)用戶打開、讀取、修改和重新分發(fā)等權(quán)限進(jìn)行管理。保證了企業(yè)信息不外露。關(guān)鍵詞：活動(dòng)目錄，域，安全，訪問權(quán)限AbstractIstheso-called"onthenight,thegrotesque".Thedeadliestattackoftencomesfrominnerenterprise,theMicrosoftCorp'sRMS(RightsManagementServices,rightsmanagementservices)isbornforthissituation,wecanmanageenterprisefileserverbyinstallingMicrosoftADRMSservice,uselicensepublishing,digitalcertificate,authentication,authorizationstrategyandkeyencryptionmethodtocarryonthemanagementtotheapplicationswhichcansupportMicrosoftADRMS,restricttheuserdomaindatabaseaccess,therebyprotectingthesensitivedocuments,e-mailandWEBcontent,canstrictlymanageuserrightstoopen,read,modifyandredistribute.Toensuretheinformationisnotexposed.Keywords：ActiveDirectory,Domainservice,Security,Accessright.目錄TOC\h\z\t"畢設(shè)正文一級(jí)標(biāo)題,1,畢設(shè)正文二級(jí)標(biāo)題,2"引言 11.需求分析 11.1功能需求 11.2ADRMS的新特性 12.相關(guān)技術(shù)介紹 12.1運(yùn)行環(huán)境 12.2實(shí)驗(yàn)環(huán)境 12.3ADRMS的相關(guān)組件 22.4ADRMS服務(wù)器的軟件需求 23.實(shí)現(xiàn)原理 23.1ADRMS的實(shí)現(xiàn)原理 23.2ADRMS文檔發(fā)布過程 34.詳細(xì)設(shè)計(jì) 44.1ADRMS的創(chuàng)建過程 44.2ADRMS的工作過程 64.3ADRMS證書和許可證 64.4ADRMS數(shù)據(jù)庫 75.系統(tǒng)功能實(shí)現(xiàn)（功能截圖） 86.ADRMS管理 86.1更改ADRMS服務(wù)賬戶 86.2ADRMS服務(wù)器屬性 96.3信任策略 96.4權(quán)限策略模板 106.5排除策略 106.6安全策略 106.7備份RMS服務(wù)器 116.8恢復(fù)RMS服務(wù)器 116.9解除授權(quán) 11總結(jié) 11參考文獻(xiàn) 12致謝 13引言在網(wǎng)絡(luò)領(lǐng)域中，文件安全是最重要的課題之一，通常由Internet和局域網(wǎng)內(nèi)部兩個(gè)方面對(duì)安全有威脅。正所謂"日防夜防，家賊難防"。最致命的攻擊往往來自于企業(yè)內(nèi)部，微軟公司的RMS（RightsManagementServices，權(quán)限管理服務(wù)）正是為這種情況而生。它把數(shù)字證書和用戶身份驗(yàn)證技術(shù)相結(jié)合，從而限制各種Office文檔的訪問權(quán)限，達(dá)到防止內(nèi)部用戶泄露機(jī)密文檔內(nèi)容的效果，從而安全保護(hù)了數(shù)據(jù)文件。1.需求分析1.1功能需求相對(duì)于（防火墻、ACL、EFS等）傳統(tǒng)的信息安全保護(hù)方案，ActiveDirectory權(quán)限管理服務(wù)提供了很可靠的安全技術(shù)同時(shí)與應(yīng)用程序協(xié)作（如office2007)保護(hù)數(shù)字內(nèi)容，它專門保護(hù)那些的敏感文檔、電子郵件和WEB內(nèi)容，可以嚴(yán)格地對(duì)用戶打開、讀取、修改和重新分發(fā)等權(quán)限進(jìn)行管理。RMS能管理整個(gè)數(shù)字信息的生命周期，權(quán)限伴隨文檔，這是它的最大優(yōu)勢(shì)。1.2ADRMS的新特性ADRMS較RMS而言具有如下新特性。（1）更加有好的管理界面：在RMS1.0中Web是唯一的管理界面，而ADRMS則用嵌入式管理單元MMC，更加便于操作。（2）自動(dòng)啟用服務(wù)器授權(quán)憑證：在ADRMS中，根群集的服務(wù)器授權(quán)憑證（ServerLicensorCertificate，SLC）可以自動(dòng)啟用，無須手動(dòng)操作。（3）配合與ActiveDirectory聯(lián)合身份驗(yàn)證服務(wù)（ADFS）使用：WindowsServer2008推出了一項(xiàng)新功能ADFS，可以使身份驗(yàn)證變得簡(jiǎn)單且安全。ADRMS配合ADFS使用，可以允許企業(yè)之間共同使用一方的ADRMS群集，并且利用ADFS（使用HTTPS協(xié)議）對(duì)自己域中的用戶賬戶進(jìn)行識(shí)別和驗(yàn)證。2.相關(guān)技術(shù)介紹2.1運(yùn)行環(huán)境Windowsserver2008R2、Windows7、office2007及以上版本2.2實(shí)驗(yàn)環(huán)境涉及到兩臺(tái)虛擬機(jī)服務(wù)器：ADRMSServer,安裝了WindowsServer2008R2,DC,域名AD123客戶機(jī)：RMSClient,安裝了Windows7,已加入域，安裝Office20072.3ADRMS的相關(guān)組件ADRMS是基于服務(wù)器/客戶端的結(jié)構(gòu)，其主要組件由支持ADRMS的應(yīng)用程序、ADRMS客戶端和ADRMS服務(wù)器端組成，三者必備。若想生成被保護(hù)的文檔只有應(yīng)用程序支持ADRMS功能；ADRMS客戶端是安裝在客戶端上，負(fù)責(zé)與支持ADRMS的應(yīng)用程序進(jìn)行交互；ADRMS服務(wù)器則為信任實(shí)體頒發(fā)證書、授權(quán)服務(wù)器，并授權(quán)給使用ADRMS保護(hù)的文檔。若想將用戶賬戶和具體的一臺(tái)設(shè)備關(guān)聯(lián)起來可以使用權(quán)限賬戶證書，即每個(gè)賬戶在同一臺(tái)計(jì)算機(jī)上唯一的權(quán)限證書，或在不同的計(jì)算機(jī)上同一賬戶的權(quán)限證書也不相同。盡管用戶的權(quán)限賬戶證書不同，但是密鑰卻是相同的。企業(yè)中的第1臺(tái)ADRMS服務(wù)器頒發(fā)給該賬戶權(quán)限證書，所以在其他計(jì)算機(jī)上的密鑰對(duì)是相同的，當(dāng)用戶向ADRMS許可服務(wù)器請(qǐng)求許可時(shí)需要使用權(quán)限賬戶證書。ADRMS服務(wù)器：WindowsServer2008或R2ADRMS客戶端：ADRMS客戶端隨WindowsVista、Windows7、WindowsServer2008和WindowsServer2008R2操作系統(tǒng)一起提供。如果您使用WindowsXP、Windows2000或WindowsServer2003作為客戶端操作系統(tǒng)，則可以從Microsoft下載中心下載ADRMS客戶端的兼容版本。ADRMS應(yīng)用程序：RMS支持的應(yīng)用程序如Office2003等。2.4ADRMS服務(wù)器的軟件需求ADRMS服務(wù)器的軟件需求如下。（1）必須是域控制器、額外的域控制器或域成員服務(wù)器。（2）安裝IIS服務(wù)和ASP.Net組件。（3）安裝MSMQ（消息隊(duì)列）服務(wù)。（4）如果要?jiǎng)?chuàng)建ADRMS服務(wù)器群集，需要安裝SQLServer數(shù)據(jù)庫服務(wù)器或MSDE數(shù)據(jù)庫（建議選擇SQLServer）；否則可以直接使用ADRMS自帶的本地?cái)?shù)據(jù)庫。ADRMS服務(wù)器軟件需要提前安裝的Windows組件，在安裝過程中可以自動(dòng)安裝，用戶不必一一手動(dòng)準(zhǔn)備。3.實(shí)現(xiàn)原理3.1ADRMS的實(shí)現(xiàn)原理服務(wù)的發(fā)現(xiàn)服務(wù)的發(fā)現(xiàn)實(shí)際上是RMS客戶端發(fā)現(xiàn)ADRMS服務(wù)器的一個(gè)過程，該過程可以通過兩種方法來實(shí)現(xiàn)，一是通過注冊(cè)表；二是通過活動(dòng)目錄中的服務(wù)連接點(diǎn)（SCP），找到企業(yè)中的證書服務(wù)器的位置。通過ADRMS服務(wù)使RMS客戶端被激活，若使用該RMS客戶端，必須在ADRMS服務(wù)器第1次使用時(shí)激活該RMS客戶端，可以從ADRMS服務(wù)器上獲取權(quán)限管理賬戶證書等信息。3.2ADRMS文檔發(fā)布過程1．在線發(fā)布文檔過程RMS客戶端在線發(fā)送請(qǐng)求給授權(quán)服務(wù)器，發(fā)布過程如下。（1）由密碼箱生成對(duì)稱密鑰作為內(nèi)容密鑰。（2）內(nèi)容密鑰會(huì)被授權(quán)服務(wù)器的公鑰加密，目的是通過網(wǎng)絡(luò)將其發(fā)送給授權(quán)服務(wù)器。然后授權(quán)服務(wù)器能夠用自己的私鑰將這個(gè)內(nèi)容解出，而在傳送的過程中不會(huì)被他人截獲后獲取內(nèi)容密鑰。（3）加密的內(nèi)容密鑰和權(quán)限被發(fā)送給請(qǐng)求發(fā)布許可的授權(quán)服務(wù)器。（4）授權(quán)服務(wù)器使用其私鑰解開加密的內(nèi)容密鑰。（5）授權(quán)服務(wù)器使用其公鑰加密內(nèi)容密鑰和使用權(quán)限。（6）加密后的密鑰和使用權(quán)限被添加到發(fā)布許可中。（7）授權(quán)服務(wù)器使用私鑰簽署發(fā)布許可。（8）發(fā)布許可返回給申請(qǐng)的客戶端。（9）支持ADRMS的應(yīng)用程序?qū)l(fā)布許可合并到受保護(hù)的文檔中。2.離線發(fā)布文檔過程如果用戶使用筆記本電腦等移動(dòng)辦公設(shè)備，就不可能在自己的家中連接到公司的ADRMS服務(wù)器。必須要一個(gè)客戶端許可證書（CLC），才能訪問由ADRMS創(chuàng)建的文檔。保護(hù)過程如下：（1）由密碼箱生成對(duì)稱密鑰作為內(nèi)容密鑰。（2）客戶端從客戶端許可證書中取出授權(quán)服務(wù)器的公鑰。（3）客戶端使用服務(wù)器的公鑰加密內(nèi)容密鑰，加密的內(nèi)容密鑰只能由服務(wù)器的私鑰所解密。（4）客戶端使用客戶端許可證書的公鑰對(duì)內(nèi)容密鑰再進(jìn)行一次加密，從而再次獲得一個(gè)加密后的對(duì)稱密鑰。需要注意的是，在離線和在線發(fā)布不同是離線發(fā)布過程中對(duì)內(nèi)容進(jìn)行了兩次加密。（5）兩個(gè)加密后的對(duì)稱密鑰同時(shí)被放到發(fā)布許可中。（6）客戶端使用權(quán)限賬戶證書中的私鑰解密客戶端許可證書中的私鑰。（7）客戶端使用CLC的私鑰簽署發(fā)布許可。（8）支持ADRMS的應(yīng)用程序?qū)l(fā)布許可合到受保護(hù)的文檔中。3．使用受保護(hù)文檔的過程受保護(hù)文檔的具體使用過程如下。（1）客戶端將權(quán)限賬戶證書和文檔的發(fā)布許可發(fā)送到頒發(fā)發(fā)布許可的授權(quán)服務(wù)器。（2）授權(quán)服務(wù)器使用其私鑰解出發(fā)布許可中的內(nèi)容密鑰。（3）授權(quán)服務(wù)器使用權(quán)限賬戶證書中用戶的公鑰加密內(nèi)容密鑰。（4）把加密的內(nèi)容密鑰和用戶的使用權(quán)限添加到使用許可中。（5）授權(quán)服務(wù)器使用其私鑰簽署使用許可。（6）作為響應(yīng)，將該使用許可發(fā)送給客戶端。（7）密碼箱使用計(jì)算機(jī)的私鑰解密保存在權(quán)限賬戶證書中和用戶私鑰。（8）密碼箱使用用戶的私鑰解密內(nèi)容密鑰。（9）密碼箱使用內(nèi)容密鑰解密被加密的受保護(hù)內(nèi)容。使用服務(wù)器的公鑰所加密的內(nèi)容只能由服務(wù)器的私鑰來解開。（10）服務(wù)器將用戶的密鑰對(duì)存儲(chǔ)到ADRMS的數(shù)據(jù)庫中，該權(quán)限賬戶證書就是以后該用戶進(jìn)行申請(qǐng)各種使用許可的證書。4.詳細(xì)設(shè)計(jì)4.1ADRMS的創(chuàng)建過程4.2ADRMS的工作過程ADRMS的工作過程相當(dāng)復(fù)雜。我們可以概括為以下四步。作者：1、創(chuàng)建受保護(hù)的文檔。2、授權(quán)并分發(fā)內(nèi)容（作者會(huì)身RMS服務(wù)器請(qǐng)求發(fā)布許可，RMS服務(wù)器返回發(fā)布許可，支持RMS的應(yīng)用程序?qū)l(fā)布許可合并到受保護(hù)的文檔）使用者：當(dāng)使用或打開受保護(hù)的文檔時(shí)，1、向RMS服務(wù)器發(fā)送請(qǐng)求。2、服務(wù)器向使用者返回使用許可，使用者用該使用許可打開文檔內(nèi)容。4.3ADRMS證書和許可證4.3.1服務(wù)器許可方證書（SLC）SLC會(huì)在群集中的第一個(gè)服務(wù)器上安裝和配置ADRMS服務(wù)器角色時(shí)創(chuàng)建。服務(wù)器會(huì)為自己生成唯一的SLC，該服務(wù)器的標(biāo)識(shí)由SLC建立，稱為自注冊(cè)，且有效期為250年。可以長時(shí)間保存受權(quán)限保護(hù)的數(shù)據(jù)存檔。根群集既處理證書（通過發(fā)放權(quán)限帳戶證書(RAC)），又處理授權(quán)。添加到根群集的其他服務(wù)器同時(shí)使用一個(gè)SLC。在復(fù)雜環(huán)境中，若要生成它們自己的SLC，可以部署僅授權(quán)群集。SLC包含服務(wù)器的公鑰。4.3.2客戶端許可方證書（CLC）在ADRMS群集響應(yīng)客戶端應(yīng)用程序的請(qǐng)求時(shí)創(chuàng)建CLC。在客戶端連接到組織的網(wǎng)絡(luò)時(shí)會(huì)發(fā)送CLC到客戶端，并授予用戶在客戶端未連接時(shí)發(fā)布受權(quán)限保護(hù)的內(nèi)容的權(quán)限。用戶的RAC與CLC相關(guān)聯(lián)，所以，如果RAC無效或不存在，用戶將訪問不了ADRMS群集。CLC包含客戶端許可方公鑰以及私鑰，該私鑰被請(qǐng)求證書的用戶的公鑰加密。它還包含發(fā)放證書的群集的公鑰，該公鑰由發(fā)放證書的群集的私鑰簽名?？蛻舳嗽S可方私鑰用于對(duì)發(fā)布許可證進(jìn)行簽名。4.3.3計(jì)算機(jī)證書當(dāng)?shù)谝淮问褂弥С諥DRMS的應(yīng)用程序時(shí)，會(huì)創(chuàng)建計(jì)算機(jī)證書在客戶端計(jì)算機(jī)上。WindowsVista和Windows7中的ADRMS客戶端自動(dòng)激活并注冊(cè)根群集，從而在客戶端計(jì)算機(jī)上創(chuàng)建此證書。此證書標(biāo)識(shí)計(jì)算機(jī)或設(shè)備上與登錄用戶的配置文件相關(guān)的密碼箱。計(jì)算機(jī)證書包含已激活計(jì)算機(jī)的公鑰。該計(jì)算機(jī)的密碼箱包含對(duì)應(yīng)的私鑰。4.3.4權(quán)限賬戶證書（RAC）RAC在ADRMS系統(tǒng)中建立了用戶的標(biāo)識(shí)。它由ADRMS根群集創(chuàng)建，并在首次嘗試打開受權(quán)限保護(hù)的內(nèi)容時(shí)提供給用戶。標(biāo)準(zhǔn)RAC在特定計(jì)算機(jī)或設(shè)備環(huán)境中使用帳戶憑據(jù)標(biāo)識(shí)用戶，且具有以天數(shù)表示的有效時(shí)間。標(biāo)準(zhǔn)RAC的默認(rèn)有效時(shí)間是365天。臨時(shí)RAC僅基于帳戶憑據(jù)標(biāo)識(shí)用戶，且具有以分鐘數(shù)表示的有效時(shí)間。臨時(shí)RAC的默認(rèn)有效時(shí)間是15分鐘。RAC包含用戶的公鑰，以及用戶的使用已激活計(jì)算機(jī)的公鑰加密的私鑰。RAC和特定的計(jì)算機(jī)相關(guān)聯(lián)，每個(gè)用戶對(duì)每個(gè)設(shè)備都有唯一的RAC。在任何計(jì)算機(jī)上，RAC的密鑰對(duì)是相同的。RAC的產(chǎn)生過程：1、使用Windows集成身份驗(yàn)證向RMS服務(wù)器發(fā)送請(qǐng)求2、RMS服務(wù)器查詢數(shù)據(jù)庫，可能會(huì)使用已有的密鑰對(duì)或生成密鑰對(duì)3、RMS服務(wù)器將用戶的私鑰用計(jì)算機(jī)的公鑰進(jìn)行加密4、RMS服務(wù)器將用戶的公鑰和加密后的私鑰放在RAC中5、RAC被RMS服務(wù)器用私鑰進(jìn)行數(shù)字簽署6、RMS服務(wù)器將RAC發(fā)送給用戶7、RMS服務(wù)器將用戶的密鑰對(duì)存放在RMS數(shù)據(jù)庫中4.3.5發(fā)布許可證（PublishingLicense）使用權(quán)限保護(hù)保存內(nèi)容時(shí)，客戶端會(huì)創(chuàng)建發(fā)布許可證。它指定可以打開受權(quán)限保護(hù)的內(nèi)容的用戶、用戶可以打開內(nèi)容的條件，以及每個(gè)用戶對(duì)受權(quán)限保護(hù)的內(nèi)容所具有的權(quán)限。它由RMS授權(quán)服務(wù)器頒發(fā)。發(fā)布許可證包含：1、用于解密內(nèi)容的對(duì)稱內(nèi)容密鑰，該密鑰使用發(fā)放許可證的服務(wù)器的公鑰加密。2、使用都權(quán)限。以Email標(biāo)識(shí)用戶和相應(yīng)的權(quán)限，被發(fā)放許可證的服務(wù)器的公鑰加密。3、發(fā)布服務(wù)器的URL：使用者通過這個(gè)URL向服務(wù)器申請(qǐng)使用許可。4、發(fā)布服務(wù)器的數(shù)字簽署：證明發(fā)布許可證的有效性，防止篡改。4.3.6使用許可證（UsageLicense）使用許可證在特定的已驗(yàn)證用戶的環(huán)境中指定應(yīng)用于受權(quán)限保護(hù)的內(nèi)容的權(quán)限。此許可證與RAC相關(guān)聯(lián)。如果RAC無效或不存在，則無法通過使用許可證打開內(nèi)容。使用許可證包含用于解密內(nèi)容的對(duì)稱內(nèi)容密鑰，該密鑰使用用戶的公鑰加密和用戶對(duì)文檔的權(quán)限。使用許可證必由發(fā)布許可證的同一臺(tái)服務(wù)器頒發(fā)；每個(gè)文檔對(duì)每個(gè)用戶都對(duì)應(yīng)一個(gè)使用許可證；同時(shí)，如果用戶對(duì)文檔有寫權(quán)限時(shí)，使用許可證會(huì)被緩存到OFFICE文檔，對(duì)于電子郵件，會(huì)被OUTLOOK緩存。4.4ADRMS數(shù)據(jù)庫4.4.1配置數(shù)據(jù)庫ADRMS安裝的關(guān)鍵組件是配置數(shù)據(jù)庫，它可以存儲(chǔ)、共享和檢索您管理群集的帳戶證書、授權(quán)和發(fā)布服務(wù)所需的所有配置數(shù)據(jù)及其他數(shù)據(jù)。管理配置數(shù)據(jù)庫的方法將會(huì)直接影響受權(quán)限保護(hù)的內(nèi)容的安全性和可用性。每個(gè)ADRMS群集都有一個(gè)配置數(shù)據(jù)庫。Windows用戶標(biāo)識(shí)及其權(quán)限帳戶證書(RAC)的列表在根群集的配置數(shù)據(jù)庫內(nèi)。若群集密鑰由ADRMS集中管理，則證書密鑰對(duì)在存儲(chǔ)到該數(shù)據(jù)庫之前加密為ADRMS群集密鑰。僅授權(quán)群集的配置數(shù)據(jù)庫不包含此信息。4.4.2日志記錄數(shù)據(jù)庫對(duì)于每個(gè)根群集或僅授權(quán)群集，默認(rèn)情況下，ADRMS在承載配置數(shù)據(jù)庫的同一個(gè)數(shù)據(jù)庫服務(wù)器實(shí)例中安裝日志記錄數(shù)據(jù)庫。ADRMS還在ADRMS群集中的每個(gè)服務(wù)器上創(chuàng)建專用消息隊(duì)列，以用于消息隊(duì)列中的日志記錄。ADRMS日志記錄服務(wù)將數(shù)據(jù)從此消息隊(duì)列傳輸?shù)饺罩居涗洈?shù)據(jù)庫。4.4.3目錄服務(wù)數(shù)據(jù)庫此數(shù)據(jù)庫包含有關(guān)用戶、標(biāo)識(shí)符（如電子郵件地址）、安全I(xiàn)D(SID)、組成員身份和備用標(biāo)識(shí)符的信息。通過ADRMS授權(quán)服務(wù)對(duì)ActiveDirectory域服務(wù)(ADDS)全局編錄進(jìn)行輕型目錄訪問協(xié)議(LDAP)查詢，來獲得此信息。5.系統(tǒng)功能實(shí)現(xiàn)（功能截圖）圖2功能實(shí)現(xiàn)6.ADRMS管理6.1更改ADRMS服務(wù)賬戶若要運(yùn)行“更改服務(wù)帳戶”向?qū)?，必須使用?duì)配置數(shù)據(jù)庫具有管理權(quán)限的用戶帳戶以本地方式登錄ADRMS服務(wù)器。進(jìn)行此操作時(shí)，先前指定的帳戶將自動(dòng)從ADRMSServiceGroup中刪除，新帳戶將成為該組的成員。如果要在其中更改ADRMS服務(wù)帳戶的ADRMS群集中有多個(gè)服務(wù)器，則必須在群集中的所有服務(wù)器上更改該服務(wù)帳戶。6.2ADRMS服務(wù)器屬性1、服務(wù)器證書選項(xiàng)導(dǎo)出服務(wù)器許可方證書(SLC)，以便在建立可信發(fā)布域和可信用戶域時(shí)使用2、群集URL選項(xiàng)IntranetURL連接到您組織的專用網(wǎng)絡(luò)的支持ADRMS的客戶端，使用這些URL連接到ADRMS群集中的證書和授權(quán)服務(wù)。ExtranetURL通過Internet連接到群集的ADRMS客戶端使用這些URL。將根據(jù)這些URL創(chuàng)建授權(quán)和證書URL。3、日志記錄選項(xiàng)啟用和禁用ADRMS日志記錄。驗(yàn)證日志是否正寫入數(shù)據(jù)庫：登錄ADRMS日志記錄數(shù)據(jù)庫的數(shù)據(jù)庫服務(wù)器。在SQLServer企業(yè)管理器中，展開“數(shù)據(jù)庫”，然后展開ADRMS日志記錄數(shù)據(jù)庫。展開“表”，右鍵單擊ServiceRequest，然后單擊“打開表-返回所有行”。如果正在創(chuàng)建日志文件，將會(huì)在此表中看到一行或多行內(nèi)容。4、SCP選項(xiàng)ADRMS的服務(wù)連接點(diǎn)(SCP)標(biāo)識(shí)服務(wù)到組織中支持ADRMS的客戶端的連接URL。在ActiveDirectory域服務(wù)(ADDS)中注冊(cè)SCP后，客戶端將能夠發(fā)現(xiàn)ADRMS群集以請(qǐng)求使用許可證、發(fā)布許可證或權(quán)限帳戶證書(RAC)。6.3信任策略1、受信任的用戶域。如果用戶的權(quán)限帳戶證書(RAC)是由不同的ADRMS根群集頒發(fā)的，則通過添加可信用戶域，ADRMS根群集可以處理這些用戶的客戶端許可方證書或使用許可證請(qǐng)求。通過導(dǎo)入要信任的ADRMS群集的服務(wù)器許可方證書，可添加可信用戶域。2、受信任的發(fā)布域。通過添加受信任的發(fā)布域，一個(gè)ADRMS群集可以根據(jù)由不同的ADRMS群集頒發(fā)的發(fā)布許可證來頒發(fā)使用許可證。通過導(dǎo)入要信任的服務(wù)器的服務(wù)器許可方證書和私鑰，可添加受信任的發(fā)布域。3、WindowsLiveID。通過設(shè)置與Microsoft的聯(lián)機(jī)RMS服務(wù)的信任關(guān)系，ADRMS用戶可以將受權(quán)限保護(hù)的內(nèi)容發(fā)送到具有WindowsLiveID的用戶。WindowsLiveID用戶將能夠使用來自已信任Microsoft的聯(lián)機(jī)RMS服務(wù)的ADRMS群集的受權(quán)限保護(hù)內(nèi)容，但是WindowsLiveID用戶不能創(chuàng)建由ADRMS群集進(jìn)行權(quán)限保護(hù)的內(nèi)容。4、聯(lián)合信任。使用ActiveDirectory聯(lián)合身份驗(yàn)證服務(wù)，可以在兩個(gè)林之間建立聯(lián)合信任。當(dāng)一個(gè)林沒有安裝ADRMS，但它的用戶需要使用另一個(gè)林的受權(quán)限保護(hù)的內(nèi)容時(shí)，這將非常有用。6.4權(quán)限策略模板權(quán)限策略模板是在RMS服務(wù)器上創(chuàng)建的。它在服務(wù)器數(shù)據(jù)庫和指定文件夾以XML件分別存放。在客戶端機(jī)以XML文件形式存在本地或網(wǎng)絡(luò)共享文件夾中。它支持動(dòng)態(tài)更新，即新的模板不用重新應(yīng)用以前用保護(hù)的內(nèi)容上，當(dāng)用戶獲取UL時(shí)，獲取更新后的模板；它由受權(quán)服務(wù)器負(fù)責(zé)管理。存檔的模板不會(huì)導(dǎo)出到模板導(dǎo)出位置，也不會(huì)通過模板分發(fā)管道進(jìn)行分發(fā)。在客戶端計(jì)算機(jī)刷新其權(quán)限策略模板后，用戶不能再使用存檔的模板發(fā)布新內(nèi)容。但是，存檔的模板允許服務(wù)器繼續(xù)為已經(jīng)按照其發(fā)布的內(nèi)容發(fā)放使用許可證。

存檔的權(quán)限策略模板不會(huì)導(dǎo)出到共享模板文件夾。如果希望導(dǎo)出此模板，必須將其更改回分布式權(quán)限策略模板。6.5排除策略RMS服務(wù)器可以基于某些因素（用戶、應(yīng)用程序、密碼箱的版本）拒絕對(duì)許可的請(qǐng)求。6.6安全策略1、更改超級(jí)用戶設(shè)置

此選項(xiàng)允許您啟用或禁用ADRMS超級(jí)用戶組。此組可以解密由群集發(fā)布的所有內(nèi)容。2、重置密碼

如果群集的私鑰由ADRMS集中管理，則群集密鑰密碼將用于保護(hù)ADRMS群集的私鑰。3、更改解除授權(quán)設(shè)置

在從基礎(chǔ)結(jié)構(gòu)中刪除ADRMS之前會(huì)使用解除授權(quán)功能，而且需要解密受ADRMS保護(hù)的所有內(nèi)容。6.7備份RMS服務(wù)器1、備份RMS服務(wù)器：備份RMS根證書服務(wù)器的數(shù)據(jù)庫；備份每一臺(tái)RMS授權(quán)服務(wù)器的數(shù)據(jù)庫；備份每一臺(tái)RMS服務(wù)器的私鑰；2、備份數(shù)據(jù)庫的內(nèi)容：配置數(shù)據(jù)庫：包含配置信息和用戶的密鑰，必須備份目錄服務(wù)數(shù)據(jù)庫：活動(dòng)目錄緩存，可選擇備份或不備份日志數(shù)據(jù)庫：根據(jù)企業(yè)安全策略進(jìn)行備份6.8恢復(fù)RMS服務(wù)器如果恢復(fù)的是一臺(tái)根證書服務(wù)器，首先必須刪除AD中的SCP重新安裝操作系統(tǒng)和SQLSERVER安裝ADRMS恢復(fù)數(shù)據(jù)庫6.9解除授權(quán)解除授權(quán)是指從組織中刪除ADRMS群集及其相關(guān)數(shù)據(jù)庫的整個(gè)過程。通過此過程，可以在從基礎(chǔ)結(jié)構(gòu)刪除ADRMS之前將受權(quán)限保護(hù)的文件另存為一般文件，以便不會(huì)丟失對(duì)這些文件的訪問權(quán)限。總結(jié)ADRMS通過發(fā)布許可證、數(shù)字證書、身份驗(yàn)證、權(quán)限策略和各種密鑰對(duì)加密的方法對(duì)支持ADRMS的應(yīng)用程序進(jìn)行管理，對(duì)各種Office文檔的訪問權(quán)限加以限制，它專門保護(hù)那些