Windows-Server-2008-R2-AD-DS架构(完整版)

活动目录权限管理服务(ADRMS)ADRMS功能与运作建置与管理ADRMS与OfficeSharePointServer2007整合FirewallFileServerFirewall隔离内部、外部网络限制存取。Share、NTFSPermission限制特定文件夹或档案的存取。EFS确保档案数据储存的安全性。IPSec、VPN、SSL协助传输时加以保全数字内容。SharePermissionNTFSPermission档案加密系统（EFS）因特网通讯协议安全性（IPSec）虚拟专用网（VPN）安全套接字层级（SSL）Internet访问权限管控防火墙管控授权的使用者未授权的人员(内部)信息外泄未授权的人员(外部)No并未对文件持续进行保护相对于传统的信息安全保护方案（防火墙、ACL、EFS等），ActiveDirectory权限管理服务它提供了与应用程序协作（如office2007)保护数字内容的安全技术，它专门为那些需要保护的敏感文档、电子邮件和WEB内容而设计，可以严格地控制哪些用户可以打开、读取、修改和重新分发等权限。RMS的最大优势在于它能对整个数字信息生命周期进行管理，权限伴随文档。WindowsServer2008内建使用ASP.NET2.0安装时自动选取所需要的组件(如：IIS、WAS、MSMQ、WindowsInternalDatabase等)可整合ADFS进行跨企业合作自行登记-不需连通MicrosoftMMC中嵌入的管理单元(可远程管理)HealthReport、TroubleshootingReport客户端计算机RMS客户端软件支援RMS的应用程序使用者凭证计算机凭证授权丛集RMSWebServices:•发行•授权IIS,ASP.NET2.0NLB取得授权SQLActiveDirectory•身份识别•提供SCP取得授权取得凭证ADRMS根丛集IIS,ASP.NET2.0根丛集数据库管理:•安全性设定•原则范本•记录设定•SCP注册运作:ADRMSWebServices•凭证、发行、授权SQLServer•组态设定•记录&快取部署提供RMS服务器群集与安装RMS客户端使用者验证取得RAC与CLC，启用使用者使用RMS的能力发行文件产生PL对文件进行保护授权取得UL，授权用户使用受保护的文件使用受保护的信息应用程序使用RMSclient来管制功能的使用服务器与客户端计算机完成启用部署客户端1.安装RMSClient(SP2)2.产生SPCADRMS客户端ADRMS根丛集服务器部署与提供1.安装ADRMS2.产生SLC1.透过服务连接点(SCP)探索ADRMS服务地址2.Windows验证1.RAC(用户密钥对)•使用者身份识别•RAC用以對CLC加密•由SLC签署并以SPC加密发送给用户2.CLC(授权密钥对)•授权用户发行文件•CLC用以对PL签署•由SLC签署并以SPC加密发送给用户ADRMS服务丛集ADRMS客户端SLC（RMS服务器密钥对）SPC（RMS客户端密钥对）用户完成发行与使用信息的准备ADRMS以使用原则保护文件a.产生加密文件的Contentkeyb.以Contentkey加密文件c.产生PL•记载本文件的使用原则(RightsInfo)•以SLC对ContentKey加密•使用CLC对PL签署•由应用程序对信息进行组合散布受保护的信息ADRMS客户端CLC信息已受保护•UL•让使用者使用受保护的文件•以RAC加密ContentKey•以SLC签署收到已保护的信息ADRMS客户端ADRMS服务丛集RACPL用户被授权使用信息应用程序使用ADRMSClient进行1.评估UL是否被授权2.使用SecurityProcessor与SPC解密RACprivatekey3.使用RAC解密ULContentkey4.使用Contentkey解密受保护的文件5.授权用户能对这份文件进行哪些操作客户端•受保护的文件•UL•RAC•SecurityProcessor文件已可被使用并且应用程序强制控管使用的权限命名采取:数据库类型(DRMS_Config,DRMS_DirectorySerivces,DRMS_Logging)_RMS名_服务端口ADRMS使用以下数据库：配置数据库:可存储、共享和检索您管理群集的帐户证书、授权和发布服务所需的所有配置数据及其他数据。日志记录数据库:ADRMS日志记录服务将数据从此消息队列传输到日志记录数据库。目录服务数据库:包含有关用户、标识符（如电子邮件地址）、安全ID(SID)、组成员身份和备用标识符的信息。ActiveDirectoryWindowsServer2008、WinSrv2003或Win2000SrvSP3(含以上)DatabaseServerSQLServer2000SP4或SQLServer2005ADRMS服务器的需求WindowsServer2008(WindowsWebServer2008除外)安装MSMQ、IIS7.0、ASP.NET2.0NTFS文件系统(建议)若无SQLServer，可使用WindowsInternalDatabase，但不能使用MSDE客户端WindowsServer2008与Vista/windows7内建Win2000SP3、WinXPPro与Win2003需安装RMSClientSP2OfficeProfessional2003或OfficeEnterprise2007等ADRMSServer安装及管理账号域的DomainUsers与ADRMSEnterpriseAdministrators群组成员ADRMSServer本机的Administrators群组成员在SQLServer为SystemAdministratorsroleADRMSServer服务账号不能与用来安装ADRMS的域账号相同ADRMSServiceGroup及DomainUsers群组成员需具备登入ADRMSServer本机的权限使用者及群组账号必需设定电子邮件属性ADRMS是使用丛集的方式建构的一部ADRMS服务器=ADRMS丛集中的单一节点最低需求建议配备Pentium43.0GHz单CPUPentium43.0GHz双CPU512MB的内存1GB的内存40GB的可用硬盘空间80GB的可用硬盘空间ADRMSClusterNLBHSMRMSWebServices•Certification•Publishing•LicensingLogDB一个AD树系(Forest)1个根丛集可0~n个授权丛集提供容错与负载分散使用DNS为同一FQDN设定多个A记录使用NLB让多部计算机使用相同的丛集IP地址必需使用相同版本的ADRMS共用同一组数据库(组态、记录、快取)若使用https同一丛集的所有节点(服务器)，应安装相同的凭证RMS客户端藉由『服务连接点』找到ADRMS以索取帐户认证、发布许可证与用户许可证必需是EnterpriseAdmins的群组成员才有足够权限帐户认证、发布许可证与用户许可证ADRMSActiveDirectory目录服务识别ADRMS服务ADRMS联机URL简化信息作者对保护文件的繁琐设定可依据不同的语言提供不同的权限原则范本应依据信息内容的机密等级或用户的分类进行设定，不宜过多建立后需散布至信息作者可存取到的文件夹(UNC)权限至少应为ADRMS服务帐户可写入、信息作者可读取客户端应用程序需知道此散布位置HKCU\Software\Microsoft\Office\12.0\Common\DRMAdminTemplatePathOfficeProfessional2003也支持的产品Word、Excel、PowerPoint、OutlookOfficeEnterprise2007新支持的产品InfoPathOutlook更清楚得知邮件是否启用版权管理将ADRMS丛集URL加入近端内部网站若使用https，请信任跟证书授权单位Policy未加密已受保护使用IE将SharePointSite加入近端内部网站在SharePoint3.0管理中心授予用户存取在ADRMS授予MOSS2007ComputerAccount对certificationpipeline存取权在SharePoint3.0管理中心启用MOSS2007的信息版权管理在SharePoint站台使用ADRMS限制权限使用IE将SharePointSite加入近端内部网站在SharePoint3.0管理中心授予用户存取在ADRMS授予MOSS2007ComputerAccount对certificationpipeline存取权在SharePoint3.0管理中心启用MOSS2007的信息版权管理在SharePoint站台使用ADRMS限制权限使用IE将SharePointSite加入近端内部网站在SharePoint3.0管理中心授予用户存取在ADRMS授予MOSS2007ComputerAccount对certificationpipeline存取权在SharePoint3.0管理中心启用MOSS2007的信息版权管理在SharePoint站台使用ADRMS限制权限使用IE将SharePointSite加入近端内部网站在SharePoint3.0管理中心授予用户存取在ADRMS授予MOSS2007ComputerAccount对certificationpipeline存取权在SharePoint3.0管理中心启用MOSS2007的信息版权管理在SharePoint站台使用ADRMS限制权限使用ADRMS与OfficeEnterprise2007保护您的敏感数据使用ADRMS(IFS)与ADFS整合达成同盟企业单方部署ADRMS当然，双方都部署ADRMS也很好使用MOSS2007(IRM)与ADRMS整合保护内部或分享的文件不需文件作者对每一份文件设定保护安装ADRMS根丛集活动目录联合服务ADFS身份识别联合身份识别-ADFSADRMS与ADFS整合提示与主体已确立关联的宣告(claims)声明主体的身份IP地址账号/密码生物特征智能卡护照/身份证相片姓名、地址、电话号码、移动电话等…身份识别签发单位主体宣告提高存取安全性验证、加密、签章支援OCSP在线凭证状态协议降低整体成本EnterpriseCA与AD整合简化凭证管理使用MMC嵌入式管理单元凭证、CA、证书模板自动部署使用组策略自行管理与验证同盟企业自行管理自己的用户用户仍在自己企业进行初始验证联合识别透过同盟信任(FederationTrust)使用SAML安全令牌宣告对应将双方各自的宣告进行转换更加安全不需VPN使用SSL(https)安全使用HTTPS(大多数的企业不需变更防火墙设定)不需连通对方DC与FS不会曝露内部授权信息真正单一签入(SingleSignOn)存取多个站台与网站程序只需登入一次使用sessioncookie现有网站应用程序支持宣告感知型应用程序NT令牌型应用程序账户储存区ActiveDirectoryADLDS(ADAM)TCP/IP网络与DNS服务AD或ADLDS(ADAM)账户储存区证书颁发机构单位(选择性)商业CA自行架设的CA无CA,自行签发凭证WindowsServer2008(或2003R2)操作系统FederationServiceFederationServiceProxyADFSWebAgent客户端IE5/5.5/6/7、Firefox等客户端IISWebServerADFSWebAgentWebApplicationHTTPSHTTPSHTTPS应用程序FederationServiceProxyFederationServiceAccountStoreHTTPS也称为SecurityTokenService（STS）宣告（Claims）对应产生securitytokens管理federationtrustpolicy安