Exchange 2016集成ADRMS系列-4:配置RMS角色2

(一)IIS权限设置

接下来我们需要手动配置RMS组件的相应的IIS权限。RMS依赖IIS服务,因此要配置IIS的相关权限,RMS的一些组件才能正常运行。

RMS服务端应用程序通过IIS的server certification组件申请RMS服务,需要在该对象上设置相应权限。

我们打开IIS控制台,定位到如下的位置。

右击certification,选择“浏览”。

然后选servercertification.asmx文件,右击选择“属性”。

切换到安全选项卡,可以看到默认该文件只有SYSTEM权限。

我们需要新增exchange server组、ADRMS服务组针对该文件的相应权限。

首先添加域组exchange server针对该文件的读取和执行、读取的权限。

然后添加本地的ADRMS服务组针对该文件的读取和执行、读取的权限。

(二)创建RMS超级管理组

ADRMS允许使用一个独立的exchange邮箱用户或者邮件通讯组成为超级管理员(超级用户)。出于维护的方便,建议使用通讯组作为超级用户。

超级用户组默认是禁用的需要手动启用。

首先登陆exchange 2016的管理中心,创建一个通讯组。

然后打开AD用户和计算机,定位到该通讯组,我们把RMS超级用户添加到该组中,因为我当前是用administrator做的测试,该用户默认就在组里了。

(三)在RMS服务器上启用超级用户(组)

打开ADRMS控制台,定位到超级用户节点。

选择上图右上角位置的“启用超级用户”,启用之后如图。

然后我们点击“更改超级用户组”。

浏览选择我们前面新建的RMSadmins通讯组。

RMS超级用户或组,可以无限制地访问被保护的数据,该组的成员可以进行解密工作。

启用完成后,如图。

时间: 2024-12-06 02:54:08

Exchange 2016集成ADRMS系列-4:配置RMS角色2的相关文章

Exchange 2016集成ADRMS系列-11:组策略分发RMS模板到客户端

在分发RMS的权限模板之前,我们需要先下载office的管理模板文件,导入到组策略控制台中,然后使用导入的office组策略模板去配置RMS的相关设置. 首先我们从下面的位置下载office 2010的组策略管理模板. Download Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download from Official Microsoft Download

Exchange 2016集成ADRMS系列-9:域内使用自定义的RMS模板

针对于OWA客户端来说,我们刚才部署的权限模板,已经可以正常使用了,不需要做任何额外的设置,如图. 我们发送一封测试邮件看看效果. 然后我们来到outlook 2016客户端,使用rmsuser1收进过权限加密的邮件. 第一次接收的时候,同样会联系RMS服务器. 然后就可以查看邮件了. 从下图可以看到,可以查看或答复该邮件.除此之外其他的权限都是no的. outlook 2016在联系过RMS服务器之后,已经可以使用我们之前的自定义模板了,如图所示,多了两个模板:"允许查看和答复"以及

Exchange 2016集成ADRMS系列-5:集成Exchange 2016

exchange服务器默认是禁用ADRMS的集成功能的,我们可以通过exchange 2016的powershell来查看. 可以看到InternalLicensingEnabled默认是false的. 如果不启用IRM集成,那即使部署了ADRMS功能,exchange也无法初始化连接到企业内部的RMS服务器,不能使用ADRMS的功能. 我们使用下面的命令来启用IRM功能. 设置完成后,再次查看确认. 配置完成后,我们测试一下配置,确保测试均通过. IRM部署成功后,默认只能使用两个ADRMS内

Exchange 2016集成ADRMS系列-1:先决条件准备

Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术,它与支持 AD RMS 的应用程序协同工作,以防止在未经授权的情况下使用数字信息(无论是联机和脱机,还是在防火墙内外).AD RMS 适用于需要保护敏感信息和专有信息(例如财务报表.产品说明.客户数据和机密电子邮件消息)的组织.AD RMS 通过永久使用策略(也称为使用权限和条件)提供对信息的保护,从而增强组织的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起.AD RMS 永久保护任何二进制格式的数

Exchange 2016集成ADRMS系列-6:域内OWA客户端测试

这里我们使用测试用户rmsuser1登录exchange 2016的OWA界面(exchange 2016里面是outlook web APP). 新建邮件的时候,我们选择默认的"不可转发"权限模板. 设置完成后,如图. 发送完成. 然后发送完成后,我们登录收件人mailuser20的邮箱,查看邮件. 打开之后,可以看到邮件是不允许转发的. 点开详细信息,可以看到转发的按钮是灰色的,但是可以答复,当然后期我们还可以自定义不可答复.只读等模板.

Exchange 2016集成ADRMS系列-3:配置RMS角色1

在上一小节中我们完成了ADRMS角色的启用,这一节我们来看看启用ADRMS之后的后续配置. 选择下图的"执行其他配置". 进入到ADRMS配置向导界面后,选择下一步. 选择创建新的ADRMS根群集. ADRMS支持以下两种类型的群集:用于认证和授权的根群集和仅授权的群集.若要部署ADRMS,必须首先在林中设置一个根群集.然后,即可在同一林中设置一个或多个仅授权群集. 由于是测试环境,我们只打算部署一台ADRMS,所以这里数据库可以选择第二项"在此服务器上使用Windows内部

Exchange 2016集成ADRMS系列-10:部署RMS模板共享文件夹

为了能够正常使用组策略推送RMS模板文件,我们需要首先创建一个共享文件夹,然后把导出的RMS模板放到共享文件夹里面. 在RMS服务器上创建一个rmsshare的文件夹,然后赋予everyone用户读取/写入的权限. 共享完成后,如图. 然后登陆到ADRMS控制台,右击"权限策略模板",选择"属性",如图. 勾选"启用导出",指定模板文件的UNC位置为我们刚才创建的共享位置,如图. 配置完成后,如图. 然后我们到目标共享文件夹查看,确认已经导出成功

Exchange 2016集成ADRMS系列-2:启用RMS角色

登录到RMS服务器,然后打开服务器管理器,我们进入到添加角色和功能向导,去安装RMS服务器角色. 勾选ADRMS角色. 在ADRMS服务的介绍页,选择下一步. 保持默认勾选"AD权限管理服务器"选项,然后下一步. 安装ADRMS依赖的IIS角色. 保持IIS角色的默认设置,然后下一步. 在确认界面,选择"安装". 安装完成后,如图所示. 角色安装完成后,我们需要进一步配置ADRMS服务器角色,具体如何配置,请见下一节分解.

Exchange 2016集成ADRMS系列-8:创建自定义RMS模板

IRM针对于企业邮件和文档能够提供很好的机密保护功能,比如针对邮件和附件设置转发.修改.打印.提取.保存.粘贴方面的限制. 但是有一些极端的情况,也是无法防范的,比如:手抄邮件内容.使用照相机进行照相等. 除了默认的两个模板之外,我们还可以通过RMS控制台去设置更多更灵活的权限策略模板. 为此我们需要登录到 RMS控制台,然后定位到"权限策略模板"节点,选择"创建分布式权限策略模板",如图. 然后会进入到创建分布式权限策略模板的向导,我们在"添加模板标识信