AD RMS服务 文件安全是网络领域中最重要的课题之一,安全的威胁通常来自 Internet 和局域网内部两个方面。"日防夜防,家贼难防"。来自企业内部的攻击往往是最致命的,微软公司的 RMS(Rights Management Services,权限管理服务)正是在这种环境下应运而生的。它通过数字证书和用户身份验证技术对各种 Office 文档的访问权限加以限制,可以有效防止内部用户通过各种途径擅自泄露机密文档内容,从而确保了数据文件访问的安全性。 17.1 AD RMS概述 对于 RMS,很多用户并不陌生,并且可能已经应用到实际环境中。AD RMS 是在RMS 基础上进行了一些改进,功能更加强大。通过与Active Directory及其联合身份验证等服务的配合应用,不仅仍然具备原有的针对 Offfice 文档的各种权限保护,而且新增了通过 MMC 控制台管理 AD RMS 的功能,应用更加方便。 17.1.1 AD RMS的新特性 AD RMS 与RMS 相比具有如下新特性。 (1)管理界面更加友好:在 RMS 1.0 中唯一的管理界面就是 Web,而 AD RMS 则改用 MMC 嵌入式管理单元,操作更加方便。 (2)自动启用服务器授权凭证:在 AD RMS 中,根群集的服务器授权凭证(Server Licensor Certificate,SLC)可以自动启用,无须手动操作。 (3)与Active Directory联合身份验证服务(AD FS)配合使用:AD FS 是 Windows Server 2008 的一项新功能,可以提供简单且安全的身份验证。AD RMS 与AD FS 配合使用,可以允许企业之间共同使用一方的 AD RMS 群集,并且通过 AD FS(使用 HTTPS协议)识别和验证自己域中的用户账户。 AD RMS的相关组件 AD RMS 仍然基于服务器/客户端的结构,其主要组件包括支持AD RMS 的应用程序、AD RMS 客户端和 AD RMS 服务器端三,三者缺一不可。只有支持AD RMS 的应用程序才能生成被保护的文档;AD RMS 客户端是安装在客户端上,与支持AD RMS的应用程序交互;AD RMS 服务器负责为信任实体颁发证书、授权服务器,并为使用AD RMS 保护的文档授权。 使用权限账户证书可以将用户账户和具体的一台设备关联起来,即每个不同的账户在同一台计算机上存在唯一的权限证书,或同一账户在不同的计算机上的权限证书也不相同。虽然在不同用户的权限账户证书不同,但是其中所包含的密钥却是相同的。该权限账户证书是由企业中的第 1 台AD RMS服务器所颁发的,即在任何计算机上的用户的密钥对相同,当用户向 AD RMS...
