Window s Server 2008 R2 之25_AD RMS 信任策略 可以通过添加信任策略,让 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。AD RMS 信任策略包括以下几种: 1、受信任的用户域。如果用户的权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的,则通过添加可信用户域,AD RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。通过导入要信任的 AD RMS 群集的服务器许可方证书,可添加可信用户域。 2、受信任的发布域。通过添加受信任的发布域,一个 AD RMS 群集可以根据由不同的 AD RMS 群集颁发的发布许可证来颁发使用许可证。通过导入要信任的服务器的服务器许可方证书和私钥,可添加受信任的发布域。 3、Windows Live ID。通过设置与 Microsoft 的联机 RMS 服务的信任关系,AD RMS 用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。Windows Live ID 用户将能够使用来自已信任 Microsoft 的联机 RMS 服务的 AD RMS 群集的受权限保护内容,但是 Windows Live ID 用户不能创建由 AD RMS 群集进行权限保护的内容。 4、联合信任。使用 Active Directory 联合身份验证服务,可以在两个林之间建立联合信任。当一个林没有安装 AD RMS,但它的用户需要使用另一个林的受权限保护的内容时,这将非常有用。 以下通过实验介绍前两种信任的建立方法。 实验环境: 林 hbycrsj.com,服务器 R2ADRMSServer,DC,已部署好 AD RMS。 林 ycrs.com,服务器 YCRSRMSServer,DC,已部署好 AD RMS。 在进行信任策略部署之前,分别在以上两台计算机建立了两个受保护文档hbycrsj.docx,ycrs.docx。权限为 EveryONE 读取。 实验部署: 一、部署可信任用户域:允许其它 RMS 体系结构中的用户向本地 RMS 服务器申请UL(用户许可)。即其它 RMS 体系结构的中用户打开本地 RMS 体系结构中受保护文档。 在上面实验环境中,假如林 ycrsj.com 中的用户要打开林 hbycrsj.com 中的受保护文档 hbycrsj.docx. 这种信任策略一般用在以下场景:在一个大企业,企业在许多相互独立 RMS 结构,要在某一个子公司打开另外一子公司的受保护文档。 过程:(以林ycrsj.com中的用户要打开林hbycrsj.com中的受保护文档hbycrsj.docx为例) 1、在 YCRSRMSServer 服务器上导出其服务器许可方证书 SLC。打开 AD RMS管理控制台,右击服务器,选...
