1.1 實戰：部署權限管理

試驗目的：

在單域環境中部署活動目錄權限管理服務，實現文檔的保護。

試驗環境：

? DCServer安裝Windows Server 2008企業版，是ess.com的域控制器，安裝企業CA。

? RMSServer安裝Windows Server 2008企業版，是域ess.com中的計算機，安裝活動目錄權限管理服務。

? SQL Server安裝了Windows Server 2003企業版，是域ess.com中的計算機，安裝了SQL 2005。

? Vista安裝作公司文員辦公的計算機Windows Server 2008企業版，是ess.com域中的計算機，安裝了Office 2007。

1.1.1 在DCServer上的配置

任務：

? 安裝企業CA，可以為RMSServer頒發計算機證書

? 創建一個要用作 AD RMS 服務帳戶，即沒有額外權限的域用戶帳戶。

步驟:

1.?打開服務器管理器，點擊“添加角色”。

2.?在出現的開始之前對話框，點擊“下一步”。

3.?在出現的選擇服務器角色對話框，選中“Active Directory證書服務”，點擊“下一步”。

4.?在出現的Active Directory證書服務簡介對話框，點擊“下一步”。

5.?在出現的選擇角色服務對話框，選擇“證書頒發機構”，“選擇證書頒發機構Web注冊”，在出現的對話框，點擊“添加必須的角色服務”，選中“聯機響應程序”，點擊“下一步”。

6.?在出現的指定安裝類型對話框，選擇“企業”，點擊“下一步”。

7.?在出現的指定CA類型對話框，選擇“根CA”，點擊“下一步”。

8.?在出現的設置私鑰對話框，選擇“創建私鑰”，點擊“下一步”。

9.?在出現的為CA配置加密對話框，保持默認設置，點擊“下一步”。

10.?在出現的配置CA名稱對話框，保持默認名稱，點擊“下一步”。

11.?在出現的設置有效期，指定5年，點擊“下一步”。

12.?在出現的配置證書數據庫對話框，保持默認路徑，點擊“下一步”。

13.?在出現的Web服務器（IIS）對話框，點擊“下一步”。

14.?在出現的選擇角色服務對話框，保持默認選擇，點擊“下一步”

15.?在出現的確認選擇對話框，點擊“安裝”。

16.?在出現的安裝結果對話框，點擊“關閉”，完成安裝。

17.?打開Active Directory用戶和計算機管理工具，右擊“users”，點擊“新建”à“用戶”。

18.?在出現的新建對象—用戶對話框，輸入用戶名，用戶登錄名，點擊“下一步”。

19.?在出現的新建對象—用戶對話框，輸入用戶的密碼，選中“密碼永不過期”，點擊“下一步”。

20.?在出現的新建對象—用戶對話框，點擊“完成”。

1.1.2 在RMSServer上的配置

任務：

? 申請服務器證書

? 安裝活動目錄權限服務角色

步驟：

1.?以域管理員的身份登錄RMSServer，點擊“開始”à“運行”，輸入gpupdate /force刷新組策略。

2.?點擊“開始”à“運行”，輸入MMC，點擊“確定”，打開微軟管理控制臺。

3.?點擊“文件”à“添加/刪除管理單元”。

4.?在出現的添加刪除管理單元對話框，選中“證書”，點擊“添加”。

5.?在出現的證書管理單元，選擇“計算機用戶”，點擊“下一步”。

6.?在出現的選擇計算機對話框，選擇“本地計算機”，點擊“完成”。

7.?右擊“個人”，點擊“所有任務”à“申請新證書”。

8.?在出現的證書注冊對話框，點擊“下一步”。

9.?在出現的證書注冊對話框，選中“計算機”，點擊“下一步”。

10.?在出現的證書注冊對話框，點擊“完成”，完成證書申請。

11.?打開服務器管理器，點擊“添加角色”。

12.?在出現的開始之前對話框，點擊“下一步”。

13.?在出現的選擇服務器角色對話框，選中“Active Directory Rights Management Services”，在出現的對話框，點擊“添加必須的角色服務”，點擊“下一步”

14.?在出現的Active Directory Rights Management Services對話框，點擊“下一步”。

15.?在出現的選擇角色服務對話框，選中“Active Directory 權限管理服務”，點擊“下一步”。

16.?在出現的創建或加入AD RMS群集對話框，選擇“創建AD RMSServer群集”，點擊“下一步”。

17.?在出現的選擇配置數據庫對話框，選擇“使用其他數據庫服務器”，點擊“選擇”，輸入安裝SQL 2005的服務器，選擇默認數據實例，點擊“驗證”，點擊“下一步”。

18.?在出現的指定服務帳戶對話框，點擊“指定”，輸入在域中創建的RMS用戶帳戶和密碼，點擊“確定”。

19.?在出現的配置AD RMS群集鍵存儲對話框，選擇“使用AD RMS集中管理的密鑰存儲”，點擊“下一步”。

20.?在出現的指定AD RMS群集密鑰密碼對話框，輸入密碼和確認密碼，點擊“下一步”。

21.?在出現的指定AD RMS群集網站對話框，選擇“默認網站”，點擊“下一步”。

22.?在出現的指定群集地址對話框，選擇“使用SSL加密的連接”，輸入該服務器的完全限定域名RMSServer.ess.com，端口保持默認的443，點擊“驗證”，點擊“下一步”。

23.?在出現的選擇SSL加密的服務器身份驗證證書對話框，選擇剛才申請的服務器證書，點擊“下一步”。

24.?在出現的命名服務器許可證書對話框，輸入名稱，點擊“下一步”。

25.?在出現的注冊AD RMS服務連接點對話框，選擇“立即注冊AD RMS服務”，點擊“下一步”。

26.?在出現的Web服務器（IIS）對話框，點擊“下一步”。

27.?在出現的選擇角色服務對話框，保持默認選項，點擊“下一步”。

28.?在出現的確認安裝選擇對話框，點擊“安裝”。

29.?在出現的安裝結果對話框，點擊“關閉”，完成AD RMS的安裝。

30.?點擊“開始”à“管理工具”à“Active Directory Rights Management Services”，如圖提示失敗。您需要重新登錄，才能獲得AD RMS的管理權限。

31.?注銷當前用戶，再次以域管理員登錄。

32.?點擊“開始”à“程序”à“管理工具”à“Active Directory Rights Management Services”。

1.1.3 在SQL 2005查看創建的數據庫

在SQL2005上，點擊“開始”à“程序”à“Microsoft SQL Server 2005”à“SQL Server Management Studio”，打開SQL Server管理工具，身份驗證選擇“Windows身份驗證”，點擊“連接”。

可以看到安裝AD RMS時，創建的三個數據庫。

1.1.4 在DCServer上

任務：

? 創建帶有電子郵件的域用戶帳戶

步驟：

1.?打開活動目錄用戶和計算機管理工具，右擊ess.com域，點擊“新建”à“組織單位”。

2.?在出現的新建對象-組織單位對話框，輸入“銷售部”，點擊“確定”。

3.?右擊“銷售部”，點擊“新建”à“用戶”。

4.?在出現的新建用戶對話框，輸入姓名“張三”和用戶登錄名“zhangS”，點擊“下一步”。

5.?在出現的新建對象-用戶對話框，輸入密碼和確認密碼，點擊“下一步”，完成新用戶的創建。

6.?雙擊張三用戶帳戶，在出現的張三屬性對話框，輸入電子郵件的地址zhangs@ess.com。

7.?以同樣的方法在銷售部創建“李四”帳戶，設置電子郵件的地址為lisi@ess.com。

8.?也可以同時指定多個用戶帳戶的電子郵件地址。同時選定多個用戶，點擊“屬性”。

9.?在出現的多個項目屬性對話框，選中“電子郵件”，輸入%username%@ess.com，點擊“確定”。其中%username%是參數，會自動使用用戶的登錄名替代。

1.1.5 在Vista上測試

任務：

? 張三使用AD RMS保護文檔，授權李四只能讀取，不能打印和拷貝。

? 李四登錄驗證文檔保護。

步驟：

1.?以域用戶帳戶“張三”在Vista上登錄。

2.?打開Word 2007創建word文檔。

3.?點擊à“準備”à“權限限制”à“限制訪問”。

4.?在出現的選擇服務對話框，選擇“使用Microsoft Windows帳戶”，點擊“確定”。

5.?在出現的連接到RMSServer.ess.com的對話框，輸入zhangs@ess.com和密碼，點擊“確定”。

6.?出現正在驗證您的登錄信息以打開受限權限內容。

7.?在出現的權限對話框，選中“限制對此文檔的權限”， 點擊“”

8.?在出現的選擇用戶和組對話框，輸入“lisi”點擊“檢查名稱”，點擊“確定”。

9.?點擊“其他選項”。

10.?可以看到，能夠設置文件到期日期，是否允許打印，是否允許復制，安裝圖示設置，不選擇打印和復制，點擊“確定”。

11.?可以看到文件出現限制訪問的提示。

12.?將文件保存到e:\zhangs文件夾目錄下。

13.?點擊“開始”à“關機”，在出現的關閉Windows對話框，選擇“注銷”，點擊“確定”。

14.?按Ctrl+Alt+Insert，點擊“切花用戶”。

15.?點擊“其他用戶”。

16.?輸入ess\lisi和密碼，點擊“”登錄。

17.?打開E:\zhangs文件夾下的“張三的文檔.docx”，在出現的連接到RMSServer.ess.com對話框，輸入lisi@ess.com和密碼

18.?出現對話框，提示“此文檔的權限當前已被限制，Microsoft Office必須連接到https://rmsserver.ess.com:443/_wmcs/licensing驗證您的憑據并下載權限。”

19.?出現“正在檢查您的憑據以使用受限打開內容”對話框。

20.?可以看到該文件是受限訪問，點擊“查看權限”。

21.?在出現的我的權限對話框，可以看到只有查看的權限，點擊“確定”。

22.?選中一段文字，右擊“可以看到不能復制，粘貼”。

23.?點擊發現不能“保存”、“另存為”和“打印”。

24.?按PrintScrn，也不能打印屏幕。

1.1.6 在RMSServer查看

在RMSServer上，已域管理員登錄，點擊“開始”à“程序”à“管理工具”à“Active Directory Rights Management Services”。

點擊“報告”à“統計信息報告”，可以看到經過驗證的總用戶帳戶2，經過驗證的域用戶帳戶2.

本文轉自 onesthan 51CTO博客，原文鏈接：http://blog.51cto.com/91xueit/1133935，如需轉載請自行聯系原作者