Windows 2008的活动目录权限管理服务

熟悉Windows Server 2003的朋友,相信对RMS(权限管理服务)都不会陌生,它能够有效的保护我们 的数字资产在相应授权范围之外不会泄露。在Windows Server 2008中,这一重要特性得以改进和提升, 微软把它称之为AD RMS(Active Directory Rights Management Services),即活动目录权限管理服务 。相对于2003下的RMS有了较大的改进与提升,例如:不需要单独下载即可安装、不再需要连接到 Microsoft去进行登记等等。

AD RMS 系统包括基于 Windows Server 2008 的服务器(运行用于处理证书和授权的 Active Directory 权限管理服务 (AD RMS) 服务器角色)、数据库服务器以及 AD RMS 客户端。AD RMS 系统的 部署为组织提供以下优势:

- 保护敏感信息。如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS,从而 帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织 可以创建子自定义的使用策略模板(如"机密 - 只读"),这些模板可直接应用于上述信息。

- 永久性保护。AD RMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表 (ACL) ),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保 护信息。

- 灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用 程序或启用其他服务器(如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器),与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案( 如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。

AD RMS 中的功能

在Windows Server 2008中,通过使用 服务器管理器,可以设置 AD RMS 的以下组件:

- Active Directory Rights Management Services。Active Directory 权限管理服务 (AD RMS) 角 色服务是一项必需的角色服务,用于安装发布和使用受权限保护的内容所用的 AD RMS 组件。

- 联合身份验证支持。联合身份验证支持角色服务是一项可选的角色服务,允许联合身份借助 Active Directory 联合身份验证服务来使用受权限保护的内容。

简要部署AD RMS

(一)硬件和软件注意事项

安装 AD RMS 服务器角色时,系统会同时安装必需的服务,其中的一项就是 Internet 信息服务 (IIS)。AD RMS 还需要一个数据库(如 Microsoft SQL Server),该数据库可与 AD RMS 在同一服务器 上运行,也可以在远程服务器和 Active Directory 域服务林中运行。

下表介绍了运行具有 AD RMS 服务器角色的基于 Windows Server 2008 服务器的最低硬件要求和建议 。

时间: 2016-01-19

Windows 2008的活动目录权限管理服务的相关文章

Windows Server 2008的活动目录权限管理服务

windows服务器2008的活动目录权限管理服务(AD RMS)(从前的windows的RMS)是一个关键,以保护敏感信息.之前发布的windows服务器2008,与用户之外的企业网络 共享的一个受RMS保护的文档,要求接受者的组织里有一个兼容的RMS服务器.或者,外面的用户可以在企业网络内给一个活动目录帐户,这个过程提出了具有挑战性的行政 和安全等问题.微软的协作平台,在用户活动目录介绍基础上,共享点服务器2007也有能力对文档进行动态申请RMS保护.但是,这也需要一个本地活动目录帐户. W

Windows 2008 R2活动目录的AD Recycle Bin功能

在Windows 2008或Windows 2003中,你必须用备份恢复的方法才能恢复一个被误删的AD对象.这个方法非常麻烦.现在,Windows 2008 R2引入一个新的功能:AD Recycle Bin.就如同普通的回收站一样,这个工具暂时保留了被删除对象,你可以随时从回收站中取回. 需要注意的几点注意事项: 1) 这是Windows 2008 R2才有的新功能 2) 这个功能默认是关闭的:必须手动启动. 3) 启用AD回收站的这个操作不可逆转(irrersible),也就是说,Enabl

Windows 2008 R2实战之三:管理活动目录数据库

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;  活动目录数据库包括数据库文件NTDS.dit和日志文件.考虑到最佳性能,在生产环境推荐将日志文件和数据库文件在单独的硬盘驱动器中或RAID中,同时要根据网络的规模,保证磁盘上有充足的剩余空间.由于活动目录数据库是一个自我维护的系统,一般来说不需要日常维护(除备份外).然而有时出现下列情况,可能对其进行管理: 磁盘空间低.当前硬件失败.在全局编辑大量删除或移除后需要

《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

2.3 验证第一台域控制器是否成功部署 第一台AD DS域控制器完成后,需要对域控制器进行验证,确认AD DS域服务是否安装成功. 2.3.1 验证"AD DS域服务" 自Windows Server 2008版本发布之后,AD DS域服务成为一个普通的服务,通过"服务"控制台可以查看AD DS域服务运行状态,可以同普通服务一样启动.停止.暂停.重新启动服务,不需要和Windows Server 2008之前的版本一样,只有在重新启动域控制器并进入到"目录

《Windows Server 2012活动目录管理实践》——第 2 章 部署第一台域控制器2.1 案例任务

第 2 章 部署第一台域控制器 如果企业部署全新的Windows网络,管理员可以直接部署Windows Server 2012 AD DS域服务.部署过程中注意DNS服务器设置,管理员可以创建独立的DNS服务器,也可以创建Active Directory"集成区域DNS服务".如果部署Active Directory集成区域DNS服务器,设置服务器参数时,需要将"首选DNS服务器"设置为本机的IP地址.本章详细介绍网络中第一台域控制器的部署方法. 2.1 案例任务

管理Windows Server 2003活动目录树系

我们的公司有跨越了三个州的三个分离的Windows Server 2003树.我们最近使用了多协议标记交换的虚拟专用网络(MPLS VPN)隧道把两个远程站点到我们的公司站点.我最终的目的是像一个树(forest)那样管理网络,并且把两个远程站点作为公司的一个子域.我知道通过删除这两个站点上的活动目录,然后作为子域加入公司的域就很容易做到,但是这样仍然需要重新建立用户帐户,而且还要访问所有的机器把它们重新添加到新的域中.我知道会有其他的方法,请告诉我,谢谢. 我会建议你关注一下活动目录迁移工具(

《Windows Server 2012活动目录管理实践》——1.5 管理域控制器需要注意的问题

1.5 管理域控制器需要注意的问题 域控制器在网络中的位置十分重要,和成员服务器.独立服务器截然不同,因此在使用过程中建议注意以下问题. 1.5.1 禁止在域控制器任意安装软件 域控制器在域构架网络中的作用十分重要,高可用性.性能要求都比较高.因此,建议不要在域控制器中安装应用程序(例如Microsoft Office系列应用程序等),娱乐性质的应用一定不要安装.建议在域控制器中仅安装AD DS域服务以及DNS服务,其他基础服务(WINS.DHCP.CA等)不要安装在域控制器中.网络中至少部署2

Windows Server 2008 R2活动目录回收站

一.先决条件 更新活动目录架构 1.在架构操作主控(schema master operations master)角色的DC运行adprep /forestprep 2.在http://www.aliyun.com/zixun/aggregation/13748.html">基础架构主控 infrastructure operations master 角色的DC上运行adprep /domainprep /gpprep 一般来说,活动目录的五种角色会放在一台DC上,可以通过命令netd

Windows 2008客户端移动设备权限统一管理

作为微软最 新的服务器平台,Windows Server 2008确实强大.基于Server 2008D的AD功能更强劲,管理更加细化,特别是在组策略方面有了不少改进.比如,笔者将要和大家分享的这两例应用,在实践中就能帮你解决很多难题. 使用过http://www.aliyun.com/zixun/aggregation/15470.html">Vista的用户应该知道,通过组策略可以在本地主机实现对移动磁盘(USB存储设备\光驱\移动硬盘)的权限管理.如果要统一实现对所有客户端(Vist