Windows Server 2008 R2 之二十四AD RMS管理

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath

-或-

对于 Microsoft Office 2007 为 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。

五、权限帐户证书策略

六、排除策略

RMS服务器可以基于某些因素（用户、应用程序、密码箱的版本）拒绝对许可的请求。

应用程序排除

用户排除

查找公钥字符串的方法：

方法一：用XML编辑软件打开%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM文件夹下，以GIC开始的文件。

查找这个文件中的字符PUBLICKEY之后的字符即为RAC公钥。如下面的红色字符

S - 1 - 5 - 2 1 - 1 8 5 2 1 6 5 1 6 3 - 3 9 6 4 0 7 4 1 7 8 - 2 8 3 5 2 6 9 4 6 3 - 5 0 0 < / I D > < N A M E > a d m i n i s t r a t o r @ h b y c r s j . c o m < / N A M E > < / O B J E C T > < P U B L I C K E Y > < A L G O R I T H M > R S A < / A L G O R I T H M > < P A R A M E T E R   n a m e = " p u b l i c - e x p o n e n t " > < V A L U E   e n c o d i n g = " i n t e g e r 3 2 " > 6 5 5 3 7 < / V A L U E > < / P A R A M E T E R > < P A R A M E T E R   n a m e = " m o d u l u s " > < V A L U E   e n c o d i n g = " b a s e 6 4 "   s i z e = " 1 0 2 4 " >  E 1 s u d 5 Y v S F t r E D r D A 7 A F r m L 9 t I P O l z p 0 G r Z X X 0 D 3 V t Y I 8 0 X J k A s x D D a L C 3 s d Z q I y v k y U A S H J p w V 6 8 W n E E n L A P / a l s D 1 M + v 6 6 Q E z r v + L 4 x E q m D v n + 4 U Y k V W L s g 9 l j F M Q a 6 W o L s F 5 s 5 4 / e N W T / n v 9 F 7 n V k Q e x T j J Z c T Y n F 4 p 8 5 X c M  = < / V A L U E > < / P A R A M E T E R > < / P U B L I C K E Y > < S E C U R I T Y L E V E L   n a m e = " G r o u p - I d e n t i t y - C r e d e n t i a l - T y p e "   v a l u e = " P e r s i s t e n t "   / > < S E C U R I T Y L E V E L   n a m e = " G r o u p - I d e n t i t y - T y p e " 

方法二：在用户排除直接输入用户名@域名，然后选择这个用户，在操作栏选择将公钥复制到剪切板

七、安全策略

1、更改超级用户设置
 此选项允许您启用或禁用 AD RMS 超级用户组。此组可以解密由群集发布的所有内容。
 
2、重置密码
 如果群集的私钥由 AD RMS 集中管理，则群集密钥密码将用于保护 AD RMS 群集的私钥。
 
3、更改解除授权设置
 在从基础结构中删除 AD RMS 之前会使用解除授权功能，而且需要解密受 AD RMS 保护的所有内容。
 

八、备份 RMS服务器

1、备份RMS服务器：备份RMS根证书服务器的数据库；备份每一台RMS授权服务器的数据库；备份每一台RMS服务器的私钥；

2、备份数据库的内容：

配置数据库：包含配置信息和用户的密钥，必须备份

目录服务数据库：活动目录缓存，可选择备份或不备份

日志数据库：根据企业安全策略进行备份

 

九、恢复RMS服务器

如果恢复的是一台根证书服务器，首先必须删除AD中的SCP

重新安装操作系统和SQL SERVER

安装AD RMS

恢复数据库

 

十、解除授权

解除授权是指从组织中删除 AD RMS 群集及其相关数据库的整个过程。通过此过程，可以在从基础结构删除 AD RMS 之前将受权限保护的文件另存为一般文件，以便不会丢失对这些文件的访问权限。

通过执行以下操作可以为 AD RMS 群集解除授权：

1、启用解除授权服务
解除授权服务会禁用群集中的所有其他 AD RMS 服务。启用解除授权服务后，AD RMS 客户端只能请求密钥以解密受权限保护的内容。
打开 Active Directory Rights Management Services管理控制台。
展开 AD RMS 群集，展开“安全策略”，然后单击“解除授权”。
在“操作”窗格中，单击“启用解除授权”。
单击“解除授权”。
警告：在 AD RMS 群集上启用解除授权之后，将无法还原。

2、设置解除授权管道上的权限
在 AD RMS 群集上启用解除授权服务之后，必须修改解除授权管道上的权限，以便 AD RMS 用户可以连接此管道。默认情况下，只有本地系统帐户有权访问该管道。应将对解除授权文件夹的读取和执行权限赋予 AD RMS 服务组。然后，在 decommission.asmx 文件中，应将读取和执行权限赋予每个用户。解除授权管道位于 %systemroot%\inetpub\wwwroot\_wmcs 文件夹中，其中 %systemroot% 是安装 Windows Server 2008 的卷。

AD RMS 群集在解除授权模式下运行时，所有用户（无论是否有权访问受权限保护的原始内容）都可以获取内容密钥和对该内容的所有权限。
 

3、配置启用 AD RMS 的应用程序以使用解除授权管道
AD RMS 群集在解除授权模式下运行时，必须配置启用 AD RMS 的应用程序以从解除授权服务获取内容密钥，并对受权限保护的内容进行永久解密。AD RMS 客户端本身并不涉及解除授权过程。
修改注册表

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM。
右键单击 DRM，指向“新建”，然后单击“项”。

键入 Decommission 作为注册表项的名称，然后按 Enter。

右键单击 Decommission，指向“新建”，然后单击“字符串值”。

键入  https://r2adrmsserver.hbycrsj.com/_wmcs/licensing，然后按 Enter。

双击注册表项。

在“数值数据”框中，键入  https://r2adrmsserver.hbycrsj.com/_wmcs/decommission，然后单击“确定”。

4、验证

以其它用户打开受保护的文档（用户对文档读权限），单击 “更改权限”按钮并清除 “限制此文档的权限”复选框，然后单击 “确定”。此时可以将文件另存为任何常见的其他文档。