Sharepoint Server 2007结合AD RMS提高企业信息安全

sher

　　Sharepoint Server 2007结合AD RMS提高企业信息安全
　　 导语
　　微软的RMS（AD RMS）是一种与应用程序协作来保护数字内容（不论其何去何从）的安全技术，专为那些需要保护敏感的 Web 内容、文档和电子邮件的用户而设计。用户可以严格规定哪些用户只能可以打开、读取、修改、打印和重新分发等特定内容。组织可以创建权限策略模板，以实施用户应用于内容的策略。企业可以根据自身需要进行二次开发，构造基于Microsoft RMS(AD RMS)的企业权限管理解决方案。在这里我们可以把AD RMS结合我们的MOSS使用从而实现保护敏感的 Web 内容！
　　环境介绍
　　三台服务器都处于AD环境下，AD域名空间我们采用我前面文章一样的shixun.com.AD RMS服务器为2008，其他两台为2003 R2.服务器角色和IP配置分别如下：

FQDN	角色	IP
DC.shixun.com	DC	172.16.0.1/16
ADRMS.shixun.com	AD RMS	172.16.0.14
Moss.shixun.com	MOSS 2007	172.16.0.3

　　正文
　　在ADRMS服务器上安装AD RMS角色服务：
　　由于在实验之前已经添加了角色，这里不再重复。另外，AD RMS的安装也不难,大家可以在网上搜索一下相关教程。
　　在MOSS服务器上添加AD RMS服务器，在Moss服务器上打开SharePoint 3.0管理中心

　　导航到“操作选项卡”

　　单击“安全性配置”下的“消息权限管理”，出现如下画面：

　　勾选“使用Active Directory中指定的默认RMS服务器”单选框，单击确定。这时会出现一个错误提示，如下：

　　这是由于MOSS服务器读取AD RMS服务器下的网页文件的权限问题导致的，所以我们必须到安装了AD RMS角色的服务器上赋予MOSS计算机对网页文件的适当权限。
　　在Win2K8-Server4服务器上导航到下面所示的路径，并点选“ServerCertification.asmx”文件：

　　鼠标右键|“属性”|“安全”

　　点击“高级”

　　点击“编辑”|“添加”|“对象类型”|“计算机”，并输入MOSS 2007的计算机名称，这里输入MOSS

　　单击“确定”，弹出如下对话框，在“权限列表”中点选“读取权限”和“更改权限”后一路确定下去直到退出设置。

　　打开命令提示符窗口，并输入以下命令，重新启动IIS服务

　　再回到MOSS服务器的管理中心，并导航到如下位置：

　　再次点选如下的单选框并确定，这是不会再报错了，而会跳转会上一级设置页面，如下所示：

　　到此MOSS服务器已经成功添加了AD RMS的服务器，并具备信息权限管理的功能。下面就对MOSS服务器启用该功能.
　　在IE中打开MOSS 2007的门户协作网站，用网站管理员或者有一定权限的用户登录。
　　成功登陆后进入到网站集或者子网站的任一文档库。这里我们以“文档中心”的文档库为例。

　　单击“设置”下的“文档库设置”|“信息权限管理”出现如下页面：

　　我们可以按照企业的安全策略进行相关设置。设置完成后单击“确定”退出设置页面。
　　测试
　　测试用户zhangs在客户机上登录MOSS协作站点，并在文档库下新建一word文档（前提：客户端计算机必须事先安装了微软的办公软件）：

　　弹出MOSS网站的验证对话框，输入相应凭据：

　　弹出AD RMS服务器的身份验证对话框，输入相应凭据:

　　出现如下提示，单击“确定”

　　在打开的新文档中出现了上面定义的策略，如下图：

　　单击“OFFICE”按钮，查看用户（zhangs）被禁止的权限，如下图，“打印”按钮为灰色，是不可用的，所以用户不具有打印的权限。

　　单击信息提示处的“查看权限”，弹出如下对话框，可知用户是具有编辑和复制的权限的。

　　用户编辑内容并进行复制：

　　成功复制。

　　单击“保存”
　　成功保存。