Sharepoint Server 2007结合AD RMS提高企业信息安全

导语

微软的RMS（AD RMS）是一种与应用程序协作来保护数字内容（不论其何去何从）的安全技术，专为那些需要保护敏感的 Web 内容、文档和电子邮件的用户而设计。用户可以严格规定哪些用户只能可以打开、读取、修改、打印和重新分发等特定内容。组织可以创建权限策略模板，以实施用户应用于内容的策略。企业可以根据自身需要进行二次开发，构造基于Microsoft RMS(AD RMS)的企业权限管理解决方案。在这里我们可以把AD RMS结合我们的MOSS使用从而实现保护敏感的 Web 内容！

环境介绍

三台服务器都处于AD环境下，AD域名空间我们采用我前面文章一样的shixun.com.AD RMS服务器为2008，其他两台为2003 R2.服务器角色和IP配置分别如下：

正文

在ADRMS服务器上安装AD RMS角色服务：

由于在实验之前已经添加了角色，这里不再重复。另外，AD RMS的安装也不难,大家可以在网上搜索一下相关教程。

在MOSS服务器上添加AD RMS服务器，在Moss服务器上打开SharePoint 3.0管理中心

导航到“操作选项卡”

单击“安全性配置”下的“消息权限管理”，出现如下画面：

勾选“使用Active Directory中指定的默认RMS服务器”单选框，单击确定。这时会出现一个错误提示，如下：

这是由于MOSS服务器读取AD RMS服务器下的网页文件的权限问题导致的，所以我们必须到安装了AD RMS角色的服务器上赋予MOSS计算机对网页文件的适当权限。

在Win2K8-Server4服务器上导航到下面所示的路径，并点选“ServerCertification.asmx”文件：

鼠标右键|“属性”|“安全”

点击“高级”

点击“编辑”|“添加”|“对象类型”|“计算机”，并输入MOSS 2007的计算机名称，这里输入MOSS

单击“确定”，弹出如下对话框，在“权限列表”中点选“读取权限”和“更改权限”后一路确定下去直到退出设置。

打开命令提示符窗口，并输入以下命令，重新启动IIS服务

再回到MOSS服务器的管理中心，并导航到如下位置：

再次点选如下的单选框并确定，这是不会再报错了，而会跳转会上一级设置页面，如下所示：

到此MOSS服务器已经成功添加了AD RMS的服务器，并具备信息权限管理的功能。下面就对MOSS服务器启用该功能.

在IE中打开MOSS 2007的门户协作网站，用网站管理员或者有一定权限的用户登录。

成功登陆后进入到网站集或者子网站的任一文档库。这里我们以“文档中心”的文档库为例。

单击“设置”下的“文档库设置”|“信息权限管理”出现如下页面：

我们可以按照企业的安全策略进行相关设置。设置完成后单击“确定”退出设置页面。

测试

测试用户zhangs在客户机上登录MOSS协作站点，并在文档库下新建一word文档（前提：客户端计算机必须事先安装了微软的办公软件）：

弹出MOSS网站的验证对话框，输入相应凭据：

弹出AD RMS服务器的身份验证对话框，输入相应凭据:

出现如下提示，单击“确定”

在打开的新文档中出现了上面定义的策略，如下图：

单击“OFFICE”按钮，查看用户（zhangs）被禁止的权限，如下图，“打印”按钮为灰色，是不可用的，所以用户不具有打印的权限。

单击信息提示处的“查看权限”，弹出如下对话框，可知用户是具有编辑和复制的权限的。

用户编辑内容并进行复制：

成功复制。

单击“保存”

成功保存。