Sharepoint Server 2007结合AD RMS提高企业信息安全
Sharepoint Server 2007结合AD RMS提高企业信息安全导语
微软的RMS(AD RMS)是一种与应用程序协作来保护数字内容(不论其何去何从)的安全技术,专为那些需要保护敏感的 Web 内容、文档和电子邮件的用户而设计。用户可以严格规定哪些用户只能可以打开、读取、修改、打印和重新分发等特定内容。组织可以创建权限策略模板,以实施用户应用于内容的策略。企业可以根据自身需要进行二次开发,构造基于Microsoft RMS(AD RMS)的企业权限管理解决方案。在这里我们可以把AD RMS结合我们的MOSS使用从而实现保护敏感的 Web 内容!
环境介绍
三台服务器都处于AD环境下,AD域名空间我们采用我前面文章一样的shixun.com.AD RMS服务器为2008,其他两台为2003 R2.服务器角色和IP配置分别如下: FQDN
角色
IP
DC.shixun.com
DC
172.16.0.1/16
ADRMS.shixun.com
AD RMS
172.16.0.14
Moss.shixun.com
MOSS 2007
172.16.0.3
正文
在ADRMS服务器上安装AD RMS角色服务:
由于在实验之前已经添加了角色,这里不再重复。另外,AD RMS的安装也不难,大家可以在网上搜索一下相关教程。
在MOSS服务器上添加AD RMS服务器,在Moss服务器上打开SharePoint 3.0管理中心
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995856NQQQ.jpg
导航到“操作选项卡”
http://johncai.blog.运维网.com/attachment/201111/11/1447637_13209958589V2s.jpg
单击“安全性配置”下的“消息权限管理”,出现如下画面:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995859fuNY.jpg
勾选“使用Active Directory中指定的默认RMS服务器”单选框,单击确定。这时会出现一个错误提示,如下:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_13209958611sbe.jpg
这是由于MOSS服务器读取AD RMS服务器下的网页文件的权限问题导致的,所以我们必须到安装了AD RMS角色的服务器上赋予MOSS计算机对网页文件的适当权限。
在Win2K8-Server4服务器上导航到下面所示的路径,并点选“ServerCertification.asmx”文件:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995863XmFc.jpg
鼠标右键|“属性”|“安全”
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995865MVGb.jpg
点击“高级”
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995867yUcp.jpg
点击“编辑”|“添加”|“对象类型”|“计算机”,并输入MOSS 2007的计算机名称,这里输入MOSS
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995869vfEV.jpg
单击“确定”,弹出如下对话框,在“权限列表”中点选“读取权限”和“更改权限”后一路确定下去直到退出设置。
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995871c71N.jpg
打开命令提示符窗口,并输入以下命令,重新启动IIS服务
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995873w7V7.jpg
http://johncai.blog.运维网.com/attachment/201111/11/1447637_13209958747JDq.jpg
再回到MOSS服务器的管理中心,并导航到如下位置:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995876NsMP.jpg
再次点选如下的单选框并确定,这是不会再报错了,而会跳转会上一级设置页面,如下所示:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995878lZ9g.jpg
到此MOSS服务器已经成功添加了AD RMS的服务器,并具备信息权限管理的功能。下面就对MOSS服务器启用该功能.
在IE中打开MOSS 2007的门户协作网站,用网站管理员或者有一定权限的用户登录。
成功登陆后进入到网站集或者子网站的任一文档库。这里我们以“文档中心”的文档库为例。
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995881LgE5.png
单击“设置”下的“文档库设置”|“信息权限管理”出现如下页面:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995886pXt2.png
我们可以按照企业的安全策略进行相关设置。设置完成后单击“确定”退出设置页面。
测试
测试用户zhangs在客户机上登录MOSS协作站点,并在文档库下新建一word文档(前提:客户端计算机必须事先安装了微软的办公软件):
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995890QRCM.png
弹出MOSS网站的验证对话框,输入相应凭据:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995893xpg6.jpg
弹出AD RMS服务器的身份验证对话框,输入相应凭据:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995895sh2j.jpg
出现如下提示,单击“确定”
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995896TMcd.jpg
在打开的新文档中出现了上面定义的策略,如下图:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995898mago.jpg
单击“OFFICE”按钮,查看用户(zhangs)被禁止的权限,如下图,“打印”按钮为灰色,是不可用的,所以用户不具有打印的权限。
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995900Sb6M.jpg
单击信息提示处的“查看权限”,弹出如下对话框,可知用户是具有编辑和复制的权限的。
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995901TWEU.jpg
用户编辑内容并进行复制:
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995903HxBR.jpg
成功复制。
http://johncai.blog.运维网.com/attachment/201111/11/1447637_1320995905sJtT.jpg
单击“保存”
成功保存。
页:
[1]