Windows 2008的活動目錄許可權管理服務

熟悉Windows Server 2003的朋友，相信對RMS（許可權管理服務）都不會陌生，它能夠有效保護我們 的數字資產在相應授權範圍之外不會泄露。在Windows Server 2008中，這一重要特性得以改進和提升， 微軟把它稱之為AD RMS（Active Directory Rights Management Services），即活動目錄許可權管理服務 。相對於2003下的RMS有了較大的改進與提升，例如：不需要單獨下載即可安裝、不再需要串連到 Microsoft去進行登記等等。

AD RMS 系統包括基於 Windows Server 2008 的伺服器（運行用於處理認證和授權的 Active Directory 許可權管理服務 (AD RMS) 伺服器角色）、資料庫伺服器以及 AD RMS 用戶端。AD RMS 系統的 部署為組織提供以下優勢：

－ 保護敏感資訊。如文書處理器、電子郵件用戶端和行業應用程式等應用程式可以啟用 AD RMS，從而 協助保護敏感資訊。使用者可以定義開啟、修改、列印、轉寄該資訊或對該資訊執行其他動作的人員。組織 可以建立子自訂的使用原則模板（如"機密 - 唯讀"），這些模板可直接應用於上述資訊。

－ 永久性保護。AD RMS 可以增強現有的基於外圍的安全解決方案（如防火牆和存取控制清單 (ACL) ），通過在文檔本身內部鎖定使用許可權、控制如何使用資訊（即使在目標收件者開啟資訊後）來更好地保 護資訊。

－ 靈活且可自訂的技術。獨立軟體廠商 (ISV) 和開發人員可以使用啟用了 AD RMS 的任何應用 程式或啟用其他伺服器（如在 Windows 或其他動作系統上啟動並執行內容管理系統或門戶伺服器），與 AD RMS 結合使用來協助保護敏感資訊。啟用 ISV 的目的是為了將資訊保護整合到基於伺服器的解決方案（ 如文檔和記錄管理、電子郵件網關和存檔系統、自動工作流程以及內容檢查）中。

AD RMS 中的功能

在Windows Server 2008中，通過使用 伺服器管理員，可以設定 AD RMS 的以下組件：

－ Active Directory Rights Management Services。Active Directory 許可權管理服務 (AD RMS) 角 色服務是一項必需的角色服務，用於安裝發布和使用受許可權保護的內容所用的 AD RMS 組件。

－ 識別身分同盟支援。識別身分同盟支援角色服務是一項可選的角色服務，允許聯合身份藉助 Active Directory 同盟服務來使用受許可權保護的內容。

簡要部署AD RMS

(一)硬體和軟體注意事項

安裝 AD RMS 伺服器角色時，系統會同時安裝必需的服務，其中的一項就是 Internet 資訊服務 (IIS)。AD RMS 還需要一個資料庫（如 Microsoft SQL Server），該資料庫可與 AD RMS 在同一伺服器 上運行，也可以在遠程伺服器和 Active Directory 網域服務林中運行。

下表介紹了運行具有 AD RMS 伺服器角色的基於 Windows Server 2008 伺服器的最低硬體要求和建議 。