AD RMS服务器部署（二）整合Exchange2010及保护测试

luobo2ni

　　整合RMS与Exchange 2010
　　点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，打开Exchange Management Console，选择收件人配置—通讯组，在右侧操作窗口中选择新建通讯组，在新建通讯组页面，选择新建组，并点击下一步

　　在组信息页面，将组类型设置为安全，指定组的名称及别名为RMS，点击下一步

　　在新建通讯组页面点击新建

　　以域管理员账号登录到域控上，点击开始菜单，选择管理工具，选择Active Directory用户和计算机，展开contoso—users，找到用户FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04，将该用户加入到RMS组中。
　　注：默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试，因此需要将该用户加入到AD RMS用户组之中，才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选。

　　以用户contoso.com\rmsadmin，登录RMS服务器，打开开始菜单，选择管理工具，选择Active Directory Rights Management Services，展开AD RMS群集，展开安全策略—超级用户，右键点击超级用户，选择启用超级用户

　　在中间窗口选择更改超级用户组，选择浏览，指定RMS为超级用户组

　　点击开始菜单，选择管理工具，点击Internet信息服务（IIS）管理器，展开 网站—Default Web
　　Site--_wmcs—certification ,右键点击certification，选择浏览

　　在certification文件夹中，右键点击ServerCertification.asmx文件，选择属性—安全，在ServerCertification.asmx属性—安全选项中，点击继续

　　在ServerCertification.asmx的权限页面，点击添加，添加Authenticated Users组，确保Authenticated Users组对ServerCertification.asmx文件有读取和执行的权限，点击确定完成权限的设置 。
　　注：Exchange OWA在使用RMS权限设置时，会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息，默认仅有System对ServerCertification.asmx文件具有读取权限，因此需要为Authenticated Users组赋予对该文件的读取权限，以确保在Exchange OWA中可以正常使用RMS功能。

　　以用户contoso.com\exadmin，登录Exchange服务器，点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，选择Exchange Management Shell，在Exchange Management Shell中输入get-IRMConfiguration，查看当前Exchange组织的权限管理设置情况

　　输入Set-IRMConfiguration – InternalLicensingEnable $true在Exchange组织内部启用RMS功能

　　再使用get-IRMConfiguration查看Exchange组织的RMS配置情况，确保设置为InternalLicensingEnable： True

　　RMS对文件的保护
　　安装RMS客户端
　　XP客户机上必须安装RMS客户端软件，才可以发挥RMS的作用。RMS客户端软件Office可以自动下载。在XP客户机上打开Word2010，点击Word2010左上角的 开始 按钮，依次
　　“信息”—“保护文档”—“按人员限制权限”—“限制访问”

　　Office提示我们由于没有安装RMS客户端软件，无法使用限制访问的功能。如果想自动下载RMS客户端软件，点击“是”。

　　文件保护测试
　　XP客户机上安装了RMS客户端后，我们准备了两个用户user1、user2用于测试。需要注意的是，用户都需要有电子邮件地址。在Exchange服务器，为两个用户各自创建一个邮箱。
　　同时在文件服务器上创建一个用于测试的doc文档。

　　以user1身份登录XP客户机，并打开测试文档，选择“限制访问”选项。

　　XP客户端通过HtTPS协议访问RMS服务器，RMS服务器要求用户进行身份验证，输入user1的账号进行身份验证

　　通过身份验证后，在RMS权限设置界面，我们为user2设置了读取权限。
　　注意，描述user2时需要使用电子邮件地址 user2@ contoso.com。

　　如果我们希望对user2进行更详细的权限设置，可以点击左下角的“其他选项”。

　　如图所示，除了给user2分配读取权限，还可以限制是否可以对文件内容进行打印，是否允许对文件内容进行复制。甚至文件的到期时间也可以设置，时间到期后文件内容对访问者就彻底关闭。还有一个人性化的设计，访问者如果发现权限不够，还可以通过电子邮件向文件的所有者申请更多的权限。
　　设置完成后，我们以user2的身份登录XP客户机，测试user2对被限制文件的访问状况

　　登陆后，打开文件服务器的测试文档，RMS客户端自动使用HTTPS协议连接到RMS服务器。RMS服务器要求访问者进行身份验证，输入user2的身份凭证进行身份验证。

　　身份验证之后， RMS客户端提示由于此文档已经被限制访问，访问者必须连接到RMS服务器去下载访问许可证，才可以访问被限制的文档。（从中我们可以推断，如果文件被带出公司，访问者是无法从RMS服务器获得许可证的。即使在公司内部，访问者从RMS服务器下载许可证，也要通过RMS服务器的身份验证才可以）。综合这些因素，我们看出RMS对文件的保护还是非常到位的。

　　从RMS服务器下载许可证后，就可以看到文件的内容，user2获得了读取文档的权限。

　　查看能否对文件内容进行复制，右键菜单中的复制操作已经变为灰色不可选取。

　　查看能否对文件内容也无法进行打印，文件菜单中的打印操也变为灰色不可选取。

　　RMS对电子邮件的保护
　　以user1的身份在XP客户机上登录

　　登录邮箱后给user2发送一封测试邮件，内容是“RMS测试”

　　在“选项”菜单中的“权限”下拉菜单中选择“不可转发”，不允许邮件接收者擅自把邮件内容转发给第三者。

　　对邮件进行限制后，可以在Outlook2010中看到邮件被标示为只能被读取内容，不允许转发。复制和打印。点击“发送”按钮，把邮件发送user2。

　　以user2的身份在XP客户机上登录

　　登录邮箱后，在邮箱中看到user1发来的测试邮件。打开测试邮件时，Outlook2010要求连接到RMS服务器进行身份验证，我们输入user2的用户名和口令完成身份验证。
　　查看邮件的内容，邮件中提示，user2不能转发邮件，也不能对邮件内容进行复制和打印。