Active Directory 權限管理服務應用

作者：刁勇 2010-06-03 11:35:18

由于網(wǎng)絡中安全事件的不斷發(fā)生,企業(yè)內部的文件數(shù)據(jù)安全性已經(jīng)成為網(wǎng)絡安全領域比較受關注的課題之一。網(wǎng)絡中安全的威脅通常來自于Internet和局域網(wǎng)絡內部，而來自企業(yè)內部的網(wǎng)絡攻擊往往是最致命的。

遭受攻擊的結果通常會導致企業(yè)內部敏感數(shù)據(jù)的大量泄漏，從而會對企業(yè)造成巨大的經(jīng)濟損失。微軟公司的RMS（Rights Management Services，權限管理服務）正是在這種環(huán)境下產(chǎn)生的。它通過數(shù)字證書和用戶身份驗證技術對各種支持 AD RMS 的應用程序文檔訪問權限加以限制，可以有效防止內部用戶通過各種途徑擅自泄露機密文檔內容，從而確保了數(shù)據(jù)文件訪問的安全性。

AD RMS 概述

隨著windows server 2008操作系統(tǒng)在企業(yè)中的不斷普及與應用，windows server 2008系統(tǒng)中的AD RMS服務也越來越被廣大IT管理人員所熟悉。

Windows Server 2008 操作系統(tǒng)的 Active Directory 權限管理服務 (AD RMS) 是一種信息保護技術，它與支持 AD RMS 的應用程序協(xié)同工作，以防止在企業(yè)內部的數(shù)字信息在未經(jīng)授權的情況下被非法使用。AD RMS 適用于需要保護敏感信息和專有信息（例如財務報表、產(chǎn)品說明、客戶數(shù)據(jù)和機密電子郵件消息）的組織。AD RMS 通過永久使用策略（也稱為使用權限和條件）提供對信息的保護，從而增強組織的安全策略，無論信息移到何處，永久使用策略都保持與信息在一起。AD RMS 永久保護任何二進制格式的數(shù)據(jù)，因此使用權限保持與信息在一起，而不是權限僅駐留在組織網(wǎng)絡中。這樣也使得使用權限在信息被授權的接收方訪問后得以強制執(zhí)行。

AD RMS 系統(tǒng)包括基于 Windows Server 2008的服務器（運行用于處理證書和授權的 Active Directory 權限管理服務服務器角色）、數(shù)據(jù)庫服務器以及 AD RMS 客戶端。最新版本的 AD RMS 客戶端作為 Windows 7 和 Windows Vista操作系統(tǒng)的一部分包括在內。AD RMS 系統(tǒng)的部署為組織提供以下優(yōu)勢：

保護敏感信息。如字處理器、電子郵件客戶端和行業(yè)應用程序等應用程序可以啟用 AD RMS，從而幫助保護敏感信息。用戶可以定義打開、修改、打印、轉發(fā)該信息或對該信息執(zhí)行其他操作的人員。組織可以創(chuàng)建子自定義的使用策略模板（如 “機密 - 只讀”），這些模板可直接應用于上述信息。

永久性保護。AD RMS 可以增強現(xiàn)有的基于外圍的安全解決方案（如防火墻和訪問控制列表 (ACL)），通過在文檔本身內部鎖定使用權限、控制如何使用信息（即使在目標收件人打開信息后）來更好地保護信息。

靈活且可自定義的技術。獨立軟件供應商 (ISV) 和開發(fā)人員可以使用啟用了 AD RMS 的任何應用程序或啟用其他服務器（如在 Windows 或其他操作系統(tǒng)上運行的內容管理系統(tǒng)或門戶服務器），與 AD RMS 結合使用來幫助保護敏感信息。啟用 ISV 的目的是為了將信息保護集成到基于服務器的解決方案（如文檔和記錄管理、電子郵件網(wǎng)關和存檔系統(tǒng)、自動工作流以及內容檢查）中。

AD RMS環(huán)境部署需求

圖示

域控制器:

AD RMS 必須安裝在 Active Directory 域中，其中域控制器正在運行帶有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 獲取許可證和發(fā)布內容的所有用戶和組都必須在 Active Directory 中配置電子郵件地址。

AD RMS服務器:

AD RMS客戶端需要證書與許可證才能進行文件版權保護的工作，以及訪問版權保護的文件，而AD RMS服務器就是負責證書與許可證發(fā)放的主機。用戶可以根據(jù)企業(yè)自身的需求架設多臺AD RMS服務器，以便提供故障轉移和負載平衡功能。其中的第一臺服務器被稱為AD RMS根群集服務器。

由于AD RMS客戶端是通過HTTPS或HTTP與AD RMS服務器通信，因此AD RMS服務器必須架設IIS站點。

數(shù)據(jù)庫服務器：

AD RMS 需要使用數(shù)據(jù)庫服務器和存儲的過程來執(zhí)行操作。該數(shù)據(jù)庫服務器用來存儲AD RMS的設置與策略等信息，企業(yè)可以使用Microsoft SQL Server來架設數(shù)據(jù)庫服務器。也可以使用AD RMS服務器的內置數(shù)據(jù)庫，不過需要注意如果使用AD RMS服務器的內置數(shù)據(jù)庫則只能架設一臺AD RMS服務器。

AD RMS客戶端：

Active Directory 權限管理服務 (AD RMS) 客戶端隨 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系統(tǒng)一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作為客戶端操作系統(tǒng)，則可以從 Microsoft 下載中心下載 AD RMS 客戶端的兼容版本。

AD RMS 客戶端可以與 Windows Server 2008 或 Windows Server 2008 R2 中包含的 AD RMS 服務器角色或者與 Windows Server 2003 上運行的以前版本的 RMS 一起使用。

AD RMS 客戶端會創(chuàng)建計算機證書，用于標識存儲當前用戶的密鑰對的密碼箱。您可以通過在計算機上查找 msdrm.dll 文件，來驗證該計算機上是否存在 AD RMS 客戶端。該文件在 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中由 Windows 資源保護來保護，除非通過正式的 Microsoft 更新進行修改,否則無法修改。

應用程序可以使用 AD RMS 客戶端將權限管理功能合并到它們的應用中。例如，Microsoft Office 2003、Microsoft Office 2007 和 Windows Mobile 6 使用 AD RMS 客戶端來支持信息權限管理功能，該功能為文檔、電子郵件、電子表格和幻燈片演示文檔提供權限管理。

AD RMS的工作過程

以圖為例

步驟一：當文件所有者第一次執(zhí)行文件的保護工作時，文件所有者會從AD RMS服務器獲取一個稱為

Client Licensor Certificate （CLC）的證書。擁有該證書今后便可以執(zhí)行文件的保護

工作。文件所有者只在第一次執(zhí)行文件保護工作時，才需要從AD RMS服務器獲取

CLC證書，今后即使該用戶處于離線狀態(tài)，仍然可以使用該證書進行文件保護工作。

步驟二：文件所有者使用Office 2007等AD RMS應用程序創(chuàng)建文件，并執(zhí)行文件保護的操作，

也就是根據(jù)需要設置此文件的使用策略，而這時會創(chuàng)建一個所謂的發(fā)布許可證

（Publish License），其內包含了此文件的使用策略。

步驟三：Office 2007等AD RMS應用程序使用對稱密鑰將此文件加密，這個密鑰會被加入到

發(fā)布許可證（Publish License）中，再將發(fā)布許可證（Publish License）連接到此文件。

系統(tǒng)會利用AD RMS服務器的公開密鑰將對稱密鑰和版權信息加密，此時只有AD

RMS服務器可以使用自己的私有密鑰將其解密。

步驟四：文件所有者將受保護的文件存儲到可供訪問的的位置，或直接將它發(fā)送給文件接收者。

步驟五：文件接收者使用相應的Office 2007等AD RMS應用程序將文件打開。

如果此時文件接收者所使用的計算機內沒有權限賬戶證書（Rights Account Certificate，

RAC），則它會從AD RMS服務器接收到一個RAC。

步驟六：文件接收者所使用的Office 2007等AD RMS應用程序會向AD RMS服務器發(fā)起索取

使用許可證（User License）的請求。該請求中包含RAC與發(fā)布許可證。

步驟七：AD RMS服務器接收到客戶端發(fā)送來的“索取使用許可證的請求”后，會將此請求

內的權限與對稱密鑰解密，然后將使用許可證傳遞給文件接收者，此使用許可證內

包含文件接收者的權限與對稱密鑰；并且會使用文件接收者的公開密鑰將這些信息

加密。

步驟八：文件接收者使用的Office 2007等AD RMS應用程序接收到使用許可證后，利用文件

接收者的私有密鑰將使用許可證內的對稱密鑰解密，之后就可以利用對稱密鑰將受

保護的文件解密。 #p#

AD RMS 證書

Active Directory 權限管理服務 (AD RMS) 的各個組件具有通過一組證書實現(xiàn)的受信任連接。強制執(zhí)行這些證書的有效性是 AD RMS 技術的核心功能。每項受權限保護的內容發(fā)布時都帶有許可證，該許可證表達該內容的使用規(guī)則；該內容的每個使用者都會收到唯一的許可證，用以閱讀、解釋和強制執(zhí)行這些使用規(guī)則。在此環(huán)境中，許可證是特定類型的證書。

AD RMS 使用的證書和許可證在層次結構中連接，這樣 AD RMS 客戶端可以始終遵循從特定證書或許可證到受信任證書、直到受信任密鑰對的鏈。

服務器許可證書 (SLC):

在群集中的第一個服務器上安裝和配置 AD RMS 服務器角色時會創(chuàng)建 SLC。服務器會為自己生成唯一的 SLC，該 SLC 建立該服務器的標識，稱為自注冊，且有效期為 250 年。這樣可以將受權限保護的數(shù)據(jù)存檔較長時間。根群集既處理證書（通過發(fā)放權限帳戶證書 (RAC)），又處理對受權限保護的內容的授權。添加到根群集的其他服務器共享一個 SLC。在復雜環(huán)境中，可以部署僅授權群集，這會生成它們自己的 SLC。SLC 內包含服務器的公鑰。

客戶端許可證書 (CLC):

CLC 由 AD RMS 群集為響應客戶端應用程序的請求而創(chuàng)建。CLC 在客戶端連接到組織的網(wǎng)絡時會發(fā)送到客戶端，并授予用戶在客戶端未連接時發(fā)布受權限保護的內容的權限。CLC 與用戶的 RAC 相關聯(lián)，因此，如果 RAC 無效或不存在，用戶將無法訪問 AD RMS 群集。CLC 包含客戶端許可方公鑰以及客戶端許可方私鑰，該私鑰由請求證書的用戶的公鑰加密。它還包含發(fā)放證書的群集的公鑰，該公鑰由發(fā)放證書的群集的私鑰簽名。客戶端許可方私鑰用于對發(fā)布許可證進行簽名。

計算機證書:

首次使用支持 AD RMS 的應用程序時，會在客戶端計算機上創(chuàng)建計算機證書。Windows Vista 和 Windows 7 中的 AD RMS 客戶端自動激活并注冊根群集，從而在客戶端計算機上創(chuàng)建此證書。此證書標識計算機或設備上與登錄用戶的配置文件相關的密碼箱。計算機證書包含已激活計算機的公鑰。該計算機的密碼箱包含對應的私鑰。

權限帳戶證書 (RAC):

RAC 在 AD RMS 系統(tǒng)中建立了用戶的標識。它由 AD RMS 根群集創(chuàng)建，并在首次嘗試打開受權限保護的內容時提供給用戶。

標準 RAC 在特定計算機或設備環(huán)境中使用帳戶憑據(jù)標識用戶，且具有以天數(shù)表示的有效時間。標準 RAC 的默認有效時間是 365 天。

臨時 RAC 僅基于帳戶憑據(jù)標識用戶，且具有以分鐘數(shù)表示的有效時間。臨時 RAC 的默認有效時間是 15 分鐘。

RAC 包含用戶的公鑰，以及用戶的使用已激活計算機的公鑰加密的私鑰。

發(fā)布許可證:

使用權限保護保存內容時，客戶端會創(chuàng)建發(fā)布許可證。它指定可以打開受權限保護的內容的用戶、用戶可以打開內容的條件，以及每個用戶對受權限保護的內容所具有的權限。發(fā)布許可證包含用于解密內容的對稱內容密鑰，該密鑰使用發(fā)放許可證的服務器的公鑰加密。

使用許可證:

使用許可證在特定的已驗證用戶的環(huán)境中指定應用于受權限保護的內容的權限。此許可證與 RAC 相關聯(lián)。如果 RAC 無效或不存在，則無法通過使用許可證打開內容。使用許可證包含用于解密內容的對稱內容密鑰，該密鑰使用用戶的公鑰加密。

AD RMS根服務器的安裝

安裝 AD RMS 的計算機必須是某個域中的成員服務器，或者它必須是域控制器。不能在屬于工作組的服務器上部署 AD RMS。如果要在域控制器上安裝 AD RMS，則必須將 AD RMS 服務帳戶添加到 Domain Admins 組。不建議將 AD RMS 服務帳戶添加到 Enterprise Admins 組。

AD RMS服務并不是Windows Server 2008系統(tǒng)默認安裝的組件，需要用戶手動添加。使用具有域管理權限的用戶賬戶登錄。運行"添加角色向導"。在"選擇服務器角色"對話框中，選中"Active Directory Rights Management Services"復選框，顯示如圖001所示對話框，提示是否添加所需的角色服務和功能

圖001

單擊"添加必需的角色服務"按鈕，顯示如圖002所示的"選擇服務器角色"對話框，選中"Active Directory Rights Management Services"復選框。

圖002

單擊"下一步"按鈕，顯示如圖003所示的"選擇角色服務"對話框。如果選中"聯(lián)合身份驗證支持"復選框，將同時安裝AD FS或與當前域中已有的AD FS關聯(lián)使用。它允許用戶使用當前域和其他域之間經(jīng)過聯(lián)合身份驗證的信任關系來建立用戶標識，并提供對其他組織創(chuàng)建的受保護信息的訪問權限。不需要聯(lián)合身份驗證的用戶建議不要選擇該復選框。

圖003

單擊"下一步"按鈕，顯示如圖004所示的"創(chuàng)建或加入AD RMS群集"對話框，系統(tǒng)默認選擇"新建AD RMS群集"單選按鈕。由于當前域中沒有其他AD RMS群集可供加入，所以"加入現(xiàn)有AD RMS群集"單選按鈕為灰色。安裝完成后創(chuàng)建的第1臺AD RMS服務器即為根群集，后來加入的AD RMS服務器為子服務器。

圖004

單擊"下一步"按鈕，顯示如圖005所示的"選擇配置數(shù)據(jù)庫"對話框。如果網(wǎng)絡中安裝有SQL Server服務器，可選擇"使用其他數(shù)據(jù)庫服務器"單選按鈕；如果要使用AD RMS自帶的數(shù)據(jù)庫，選擇"在此服務器上使用Windows內部數(shù)據(jù)庫"單選按鈕即可。

圖005

選擇支持AD RMS群集的專用數(shù)據(jù)庫時應注意記錄其數(shù)據(jù)庫實例，其他AD RMS服務器加入群集時也必須指定相同的實例名稱。

單擊"下一步"按鈕，顯示如圖006所示的"指定服務賬戶"對話框。該服務賬戶即將來要在AD RMS群集中使用的賬戶，可使用普通域成員賬戶，但必須區(qū)別于當前服務器登錄的域用戶賬戶。

圖006

單擊"下一步"按鈕，顯示如圖007所示的"配置AD RMS群集鍵存儲"對話框。系統(tǒng)默認選擇"使用AD RMS集中管理的密鑰存儲"單選按鈕，即由本地服務器自動生成并存儲密鑰。這里選擇該單選按鈕，這個密鑰主要用于當前根服務器及將來子服務器的災難恢復。選擇"使用CSP密鑰存儲"單選按鈕，需要由專用加密服務器產(chǎn)生并保管該密鑰，比較煩瑣，但安全性也相對較高。

圖007

單擊"下一步"按鈕，顯示如圖008所示的"指定AD RMS群集密鑰密碼"對話框。其他AD RMS服務器加入群集時也要使用此密碼，須妥善保存。

圖008

單擊"下一步"按鈕，顯示如圖009所示的"選擇AD RMS群集網(wǎng)站"對話框。在其中選擇管理AD RMS群集服務器時使用的站點，準備工作中必須安裝IIS就是為了在本地創(chuàng)建該站點，保留默認設置即可。

圖009

單擊"下一步"按鈕，顯示如圖010所示的"指定群集地址"對話框。群集地址可以使AD RMS客戶端通過網(wǎng)絡與群集通信，選擇"使用SSL加密的連接"單選按鈕。將使用SSL加密，客戶端只有得到并安裝服務器頒發(fā)的數(shù)字證書后才能建立連接。

在"完全限定的域名"文本框中輸入要使用的域名，如https://win-bm7xcnvcyln.contoso.com:443等。 SSL加密連接使用的默認傳輸端口是443，客戶端訪問時也必須使用完整域名；選擇"使用未加密的連接"單選按鈕，則使用普通傳輸方式。輸入域名，單擊"驗證"按鈕。

圖010

自定義端口可以提升網(wǎng)絡連接的安全性，不過客戶端訪問時也必須使用相同的端口。

單擊"驗證"按鈕，服務器自動驗證指定域名和端口的有效性。如果正確，則在"網(wǎng)絡中客戶端的群集地址預覽"下方顯示完整域名。

如果選擇"使用SSL加密的連接"單選按鈕，則單擊"下一步"按鈕會顯示如圖011所示的"選擇SSL加密的服務器身份驗證證書"對話框，在其中選擇使用的SSL加密方式。為了便于測試，此處選擇“為SSL加密創(chuàng)建自簽名證書”。

圖011

單擊"下一步"按鈕，顯示如圖012所示的"命名服務器許可方證書"對話框。其中顯示內容與上述選擇的"為SSL加密創(chuàng)建自簽名證書"單選按鈕是對應的，系統(tǒng)默認會以計算機名命名證書，保留默認設置即可。

圖012

單擊"下一步"按鈕，顯示如圖013所示的"注冊AD RMS服務連接點"對話框。選擇"立即注冊AD RMS服務連接點"單選按鈕，在安裝完成后立即開始使用此AD RMS群集。

單擊"下一步"按鈕，將顯示IIS的安裝對話框。這里不再贅述。在如圖014所示的"確認安裝選擇"對話框中顯示要安裝的組件信息，如果需要修改，單擊"上一步"按鈕返回。

圖013

圖014

單擊"安裝"按鈕開始安裝，完成后顯示如圖015所示的"安裝結果"對話框，提示安裝成功。

圖015

單擊"關閉"按鈕退出安裝向導。然后根據(jù)提示注銷當前系統(tǒng)并重新登錄。#p#

安裝 AD RMS 的重要注意事項

事項一:

首次在 Windows Server® 2008 上安裝 Active Directory 權限管理服務 (AD RMS) 之前，必須滿足以下幾個要求：

在將使用受權限保護的內容的用戶賬戶所在的同一個 Active Directory 域服務 (AD DS) 域中，將 AD RMS 服務器安裝為成員服務器。

創(chuàng)建一個要用作 AD RMS 服務賬戶的沒有額外權限的域用戶賬戶。

選擇用于安裝 AD RMS 的用戶賬戶，但具有以下限制：

o 安裝 AD RMS 的用戶賬戶必須與 AD RMS 服務賬戶不同。

o 如果在安裝過程中注冊 AD RMS 服務連接點 (SCP)，則安裝 AD RMS 的用戶賬戶必須是 AD DS Enterprise Admins 組或同等組的成員。

o 如果對 AD RMS 數(shù)據(jù)庫使用外部數(shù)據(jù)庫服務，則安裝 AD RMS 的用戶賬戶必須具有創(chuàng)建新數(shù)據(jù)庫的權限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008，則用戶賬戶必須是系統(tǒng)管理員數(shù)據(jù)庫角色或同等角色的成員。

o 安裝 AD RMS 的用戶賬戶必須有權查詢 AD DS 域。

為將在 AD RMS 安裝的整個生存時間可用的 AD RMS 群集保留一個 URL。請確保保留的 URL 與計算機名稱不同。

事項二:

除了滿足AD RMS 的安裝要求，強烈建議執(zhí)行以下操作：

在單獨的計算機上安裝用于承載 AD RMS 數(shù)據(jù)庫的數(shù)據(jù)庫服務器。

使用安全套接字層 (SSL) 證書安裝 AD RMS 群集。該證書應由受信任的根證書頒發(fā)機構頒發(fā)。

為 AD RMS 群集 URL 創(chuàng)建一個 DNS 別名 (CNAME) 記錄，并為承載 AD RMS 配置數(shù)據(jù)庫的計算機創(chuàng)建一個單獨的 CNAME 記錄。如果因硬件故障或計算機名稱被更改而導致 AD RMS 服務器注銷或丟失，可以更新 CNAME 記錄，而無需重新發(fā)布所有受權限保護的文件。

如果對 AD RMS 配置數(shù)據(jù)庫使用命名實例，在安裝 AD RMS 之前必須在數(shù)據(jù)庫服務器上啟動 SQL Server Browser 服務。否則，AD RMS 安裝將無法找到配置數(shù)據(jù)庫，安裝將失敗。

事項三：

自簽名證書應僅用于測試環(huán)境。對于試生產(chǎn)和生產(chǎn)環(huán)境，建議使用由受信任的證書頒發(fā)機構頒發(fā)的 SSL 證書。

帶有 AD RMS 的 Windows 內部數(shù)據(jù)庫僅用于測試環(huán)境。因為 Windows 內部數(shù)據(jù)庫不支持遠程連接，所以在此方案中不能將其他服務器添加到 AD RMS 群集。

如果要安裝 AD RMS 的 Active Directory 林中已經(jīng)存在 SCP，請確保該 SCP 中的群集 URL 與新安裝中的群集 URL 相同。如果不同，則在 AD RMS 安裝過程中不應注冊 SCP。

安裝 AD RMS 時，localhost不是受支持的群集 URL。

在安裝過程中指定 AD RMS 服務帳戶時，請確保尚未將智能卡插入計算機中。如果已將智能卡連接到計算機，您將收到錯誤消息，指出安裝 AD RMS 的用戶帳戶無權查詢 AD DS。

如果將新服務器加入現(xiàn)有 AD RMS 群集，則在 AD RMS 安裝開始之前，SSL 證書應該已經(jīng)存在于新服務器上。

Windows Server 2008 R2 不支持 Windows Rights Management Services (RMS) 客戶端版本 1。對此版本的客戶端的支持隨著 RMS 客戶端版本 1 的最新 Service Pack 的發(fā)行而結束。若要繼續(xù)創(chuàng)建和訪問受 AD RMS 保護的內容，運行 RMS 客戶端版本 1 的客戶端必須安裝最新的Service Pack。 #p#

AD RMS 客戶端服務發(fā)現(xiàn)

Active Directory 權限管理服務 (AD RMS) 客戶端服務發(fā)現(xiàn)是 AD RMS 客戶端用來發(fā)現(xiàn)AD RMS 群集的方法。AD RMS 客戶端服務發(fā)現(xiàn)有三種實現(xiàn)方法：

Active Directory 域服務 (AD DS) 服務連接點 (SCP) 自動服務發(fā)現(xiàn)。這是部署 AD RMS 環(huán)境的推薦方法。在此方案中，會在安裝了 AD RMS 群集的 Active Directory 林中創(chuàng)建 SCP。當 AD RMS 客戶端在計算機上嘗試用戶激活時，它會查詢該 SCP 以查找 AD RMS 群集并下載權限賬戶證書 (RAC)。使用自動服務發(fā)現(xiàn)，無需在 AD RMS 客戶端上進行任何其他配置。

AD RMS 客戶端注冊表替代。在復雜的 AD RMS 部署拓撲中，需要對 AD RMS 客戶端的更具體控制。對于在 Windows XP、Windows 2000 或 Windows Server 2003 上運行的 Rights Management Services (RMS) 客戶端版本，部署了多個 Active Directory 林的拓撲需要使用這些替代。可以使用客戶端注冊表替代的另一個示例是用于支持 Extranet 用戶。在這些情況下，會在 AD RMS 客戶端中創(chuàng)建客戶端注冊表替代，以強制執(zhí)行 AD RMS 群集中不同于在 SCP 中發(fā)布的受權限保護內容的證書或授權。AD RMS 客戶端注冊表替代用于替代在以下位置創(chuàng)建的 SCP：

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation。

客戶端注冊表替代項如下：

o Activation。此項用于替代在 SCP 中配置的默認 AD RMS 證書服務。此項的語法是 http(s)://<your cluster>/_wmcs/certification，其中 <your cluster> 是應該用于證書的根群集的 URL。

o EnterprisePublishing。此項用于替代 AD RMS 客戶端連接到的默認 AD RMS 授權服務。此項的語法是 http(s)://<your cluster>/_wmcs/licensing，其中 <your cluster> 是僅授權群集的 URL。

客戶端注冊表替代配置為注冊表項。這些注冊表項的值應添加到類型為REG_SZ 的注冊表項的默認項。

o 如果 AD RMS 客戶端計算機是使用聯(lián)合信任連接的，您必須配置聯(lián)合身份驗證主領域。注冊表項為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\Federation

在該注冊表項中，創(chuàng)建類型為 REG_SZ 的名為 FederationHomeRealm 的注冊表項。此注冊表項的值是聯(lián)合身份驗證服務URI。

檢查 Extranet URL 的頒發(fā)許可證。AD RMS 客戶端服務發(fā)現(xiàn)的最后一種方法是使用頒發(fā)許可證。發(fā)布受權限保護的內容時，Intranet 和 Extranet 授權服務 URL 將添加到頒發(fā)許可證中。當 AD RMS 客戶端首次打開受權限保護的內容且其他服務發(fā)現(xiàn)方法不可用時，該客戶端可以從頒發(fā)許可證中檢索授權 URL。

安裝和配置AD RMS客戶端

如果AD RMS客戶端運行Windows 2000/XP系統(tǒng)，則必須安裝客戶端程序如圖016所示。簡體中文版下載地址為：

下載之后即可安裝。另外，網(wǎng)絡管理員還可以通過組策略及SMS等方式來向客戶端統(tǒng)一分發(fā)客戶端安裝程序。如果客戶端數(shù)量較少，則可以通過手動安裝的方式實現(xiàn)。