AD RMS 权限策略模板创建和部署攻略

　　实验环境：

　　本文需要的测试环境包括三台连接到专用网络的计算机以及使用以下操作系统、应用程序和服务，如下：

　　这些计算机构成了专用 Intranet，且通过二层交换机进行连接。也可以在虚拟服务器环境中模拟此配置。为 Intranet 使用专用网络 ID 10.0.0.0/24。域控制器名为 CPANDL-DC，域名为 cpandl.com。

　　下图显示了测试环境的配置：

　　第 1 步：在 AD RMS 群集上创建共享文件夹

　　1.　以 CPANDLAdministrator 身份登录到 ADRMS-SRV。

　　2.　依次单击"开始"、"计算机"，然后双击"本地磁盘(C:)"。

　　3.　新建一个名为 ADRMSTemplates 的文件夹。依次单击"组织"、"新建文件夹"，键入名称 ADRMSTemplates，然后按 Enter。

　　4.　右键单击 ADRMSTemplates 文件夹，然后单击"属性"。

　　5.　单击"共享"选项卡，然后单击"高级共享"。

　　6.　选中"共享此文件夹"复选框，然后单击"权限"。

　　7.　单击"添加"，在"输入对象名称来选择"框中键入 CPANDLADRMSSRVC，然后单击"确定"。

8.　在"组或用户名"框中，单击 ADRMSSRVC (ADRMSSRVC@cpandl.com)，然后在"ADRMSSRVC 的权限"框中，选中"允许"列中的"更改"复选框。

　　9.　单击"确定"两次。

　　10.　单击"安全"选项卡，然后单击"编辑"。

　　11.　单击"添加"，在"输入对象名称来选择"框中键入 CPANDLADRMSSRVC，然后单击"确定"。

　　12.　单击 ADRMSSRVC (ADRMSSRVC@cpandl.com)，然后在"ADRMSSRVC 的权限"框中，选中"允许"列中的"修改"复选框，然后单击"确定"。

　　13.　单击"关闭"。

　　注：AD RMS 服务帐户必须具有对权限策略模板共享文件夹的写入访问权限，才能使权限策略模板的导出功能正常工作。

　　第 2 步：创建 AD RMS 权限策略模板

　　1.　打开 Active Directory Rights Management Services 管理控制台。单击"开始"，指向"管理工具"，然后单击 Active Directory Rights Management Services。

　　2.　在 Active Directory Rights Management Services 管理控制台中，单击 LocalHost。

　　3.　在"结果"窗格的"任务"框中，单击"管理权限策略模板"。

　　4.　若要启用 AD RMS 权限策略模板的导出，请单击"操作"窗格中的"属性"。

　　5.　选中"启用导出"复选框，在"指定模板文件位置(UNC)"框中键入 adrms-srvADRMSTemplates，然后单击"确定"。

　　6.　在"操作"窗格中，单击"创建分布式权限策略模板"以启动"创建分布式权限策略模板"向导

　7.　单击"添加"。

　　8.　在"语言"列表中，为权限策略模板选择合适的语言。

　　9.　在"名称"框中键入 CPANDL.COM CC。

　　10.　在"描述"框中键入 CPANDL.COM Company Confidential，然后单击"添加"。

　　11.　单击"下一步"。

　　12.　单击"添加"，在"用户或组的电子邮件地址"框中键入 employees@cpandl.com，然后单击"确定"。

　　13.　选中"查看"复选框，以授予 EMPLOYEES@CPANDL.COM 组对使用此 AD RMS 权限策略模板创建的任何文档具有读取访问权限。

　　14.　单击"完成"。

　　第 3 步：配置 AD RMS 客户端

　　为受权限保护的内容创建文件夹的步骤

　　1.　以管理员身份登录 ADRMS-CLNT。

　　2.　单击"开始"，然后单击"计算机"。

　　3.　双击"本地磁盘(C:)"。

　　4.　新建一个名为 ADRMSDocs 的文件夹。依次单击"组织"、"新建文件夹"，然后为文件夹名称键入 ADRMSDocs。

　　5.　双击 ADRMSDocs 文件夹，然后单击"属性"。

　　6.　单击"安全"选项卡，然后单击"编辑"。

　　7.　单击"用户(ADRMS-SRV用户)"，然后在"用户的权限"框中，选中"允许"列中的"修改"复选框。

　　8.　单击"确定"两次。

　　为了 AD RMS 客户端计算机能够查找模板，还必须添加一个注册表项并在本地复制 AD RMS 权限策略模板。为此，需要完成以下步骤，然后才能对文档进行权限保护：

　　使 AD RMS 模板可用于 ADRMS-CLNT 上用户的步骤

　1.　以 Nicole Holliday (nhollida@cpandl.com) 身份登录 ADRMS-CLNT。

　　2.　单击"开始"，在"开始搜索"框中键入 regedit.exe，然后单击"程序"下的 regedit.exe 图标。

　　3.　展开以下注册表项：

　　HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0CommonDRM

　　注：

　　如果 DRM 尚未作为该注册表项的一部分创建，则必须手动创建它。

　　4.　选择 DRM，单击"编辑"，指向"新建"，单击"可扩充字符串值"，然后键入 AdminTemplatePath。

　　5.　双击 AdminTemplatePath 注册表值并在"值数据"框中键入 %UserProfile%AppDataMicrosoftDRMTemplates，其中 %UserProfile% 等于 C:Users<用户名>，然后单击"确定"。

　　6.　关闭注册表编辑器。

　　7.　验证路径 C:UsersnhollidaAppDataMicrosoftDRMTemplates 是否有效。如果无效，请创建相应的文件夹。

　　8.　单击"开始"，在"开始搜索"框中键入 ADRMS-SRVADRMSTemplates，然后按 Enter。

　　9.　将导出的 AD RMS 权限策略模板从 ADRMS-SRVADRMSTemplates 复制到 C:UsersnhollidaAppDataMicrosoftDRMTemplates。

　　注：

　　如果权限策略模板不必在脱机时可用，则不需要将 AD RMS 权限策略模板复制到客户端计算机。

　　第 4 步：使用 ADRMS-CLNT 验证 AD RMS 功能

　　限制 Microsoft Word 2007 文档权限的步骤

　　1.　以 Nicole Holliday (nhollida@cpandl.com) 身份登录 ADRMS-CLNT。

　　2.　依次单击"开始"、"所有程序"、Microsoft Office，然后单击 Microsoft Office Word 2007
3.　在空白的文档页上，键入 CP&L 员工不能打印此文档，单击 Microsoft Office 按钮，依次指向"完成"、"限制权限"，单击"限制权限身份"，然后选择"选择用户"对话框中的 nhollida@cpandl.com，然后单击"确定"。

　　4.　在"权限"对话框中，选中"限制此文档的权限"复选框，单击"读取"，然后键入要限制的用户或组的名称。在本例中，键入 employees@cpandl.com，然后单击"确定"两次。

　　5.　单击 Microsoft Office 按钮，单击"另存为"，然后将该文件另存为 ADRMS-DBpublicADRMS-TST.docx。

　　6.　以 Nicole Holliday 身份注销。

　　下一步，以 Stuart Railson 身份登录并打开文档 ADRMS-TST.docx。

　　查看受保护文档的步骤

　　1.　以 Stuart Railson (srailson@cpandl.com) 身份登录。

　　2.　单击"开始"，依次指向"所有程序"和 Microsoft Office，然后单击 Microsoft Office Word 2007。

　　3.　依次单击 Microsoft Office 按钮、"打开"，导航到 ADRMS-DBpublic，然后双击 ADRMS-TST.docx。

　　将显示以下消息："此文档的权限当前受限制。Microsoft Office 必须连接到 https://adrms-srv.cpandl.com/_wmcs/licensing 验证您的凭据并下载权限。"

　　4.　单击"确定"。

　　将显示以下消息："正在验证使用受限制的权限打开内容的凭据..."

　　5.　文档打开时，单击 Microsoft Office 按钮。请注意，"打印"选项不可用。

　　6.　单击消息栏中的"查看权限"。此时，应该看到 AD RMS 权限策略模板已应用于该文档。

　　7.　单击"确定"关闭"我的权限"对话框，然后关闭 Microsoft Word。