原文地址：Windows?Server?2008?R2?之二十五AD?RMS信任策略作者：從心開始

可以通過添加信任策略，讓 AD RMS 可以處理由不同的 AD RMS 群集進行權限保護的內容的授權請求。AD RMS信任策略包括以下幾種：

1、受信任的用戶域。如果用戶的 權限帳戶證書 (RAC) 是由不同的 AD RMS 根群集頒發的，則通過添加可信用戶域，AD RMS 根群集可以處理這些用戶的客戶端許可方證書或使用許可證請求。通過導入要信任的 AD RMS 群集的服務器許可方證書，可添加可信用戶域。

2、受信任的發布域。通過添加受信任的發布域，一個 AD RMS 群集可以根據由不同的 AD RMS 群集頒發的發布許可證來頒發使用許可證。通過導入要信任的服務器的服務器許可方證書和私鑰，可添加受信任的發布域。

3、Windows Live ID。通過設置與 Microsoft 的聯機 RMS 服務的信任關系，AD RMS 用戶可以將受權限保護的內容發送到具有 Windows Live ID 的用戶。Windows Live ID 用戶將能夠使用來自已信任 Microsoft 的聯機 RMS 服務的 AD RMS 群集的受權限保護內容，但是 Windows Live ID 用戶不能創建由 AD RMS 群集進行權限保護的內容。

4、聯合信任。使用 Active Directory 聯合身份驗證服務，可以在兩個林之間建立聯合信任。當一個林沒有安裝 AD RMS，但它的用戶需要使用另一個林的受權限保護的內容時，這將非常有用。

?

以下通過實驗介紹前兩種信任的建立方法。

實驗環境：

林hbycrsj.com,服務器R2ADRMSServer,DC,已部署好AD RMS。

林ycrs.com,服務器YCRSRMSServer,DC,已部署好AD RMS。

在進行信任策略部署之前，分別在以上兩臺計算機建立了兩個受保護文檔hbycrsj.docx,ycrs.docx。權限為EveryONE讀取。

?

實驗部署：

一、部署可信任用戶域：允許其它RMS體系結構中的用戶向本地RMS服務器申請UL（用戶許可）。即其它RMS體系結構的中用戶打開本地RMS體系結構中受保護文檔。

在上面實驗環境中，假如林ycrsj.com中的用戶要打開林hbycrsj.com中的受保護文檔hbycrsj.docx.

這種信任策略一般用在以下場景：在一個大企業，企業在許多相互獨立RMS結構，要在某一個子公司打開另外一子公司的受保護文檔。

過程：（以林ycrsj.com中的用戶要打開林hbycrsj.com中的受保護文檔hbycrsj.docx為例）

1、在YCRSRMSServer服務器上導出其服務器許可方證書SLC。打開AD RMS管理控制臺，右擊服務器，選擇屬性，選擇“服務器證書”。如下圖導出文件名為ycrsj.bin。

2、在服務器R2ADRMSServer導入ycrs.com域的SLC文件(即上一步操作導出ycrs.bin文件）。打開AD RMS管理控制臺，選擇受保護的用戶域，選擇“導入受信任的用戶域”。如下圖

3、在服務器R2ADRMSServer將IIS服務器中Licensing虛擬目錄“匿名身份認證”方式打開。

4、增加Everyone對Licensing虛擬目錄下的license.asmx文件讀取權限。操作方法如下圖

現在在ycrsrmsserver服務器就能打開hbycrsj.docx文件了。

?

二、部署受信任的發布域：允許本地服務器為其它RMS服務器發布的受保護的文檔發布UL。

應用場景：公司合并，需要整合現有獨立的RMS基礎架構，取消多余的RMS授權服務器。

例如：要將ycrs.com中的RMS合并到hbycrsj.com中，即在hbycrsj.com打開ycrs.com中受保護的文檔ycrs.docx.

過程：

1、在ycrsrmsserver服務器上，導出服務器的私鑰。

文件名ycrs.xml.

2、在r2adrmsserver導入受信任發布域的服務器私鑰(ycrs.xml)

3、修改相應的記錄以便打開ycrs.com受保護的文件時將請求發送到本地的RMS服務器。可以在hbycrsj.com域中的hosts文件，增加一條記錄重定向到ycrsrmsserver。

192.168.1.13? YCRSRMSSERVER.YCRS.COM

192.168.1.13? 是hbycrsj.com中RMS服務器的IP地址。

4、關閉ycrsrmsserver服務器，在r2adrmsserver服務器打開ycrs.docx成功。

?

?

本文使用Blog_Backup未注冊版本導出，請到soft.pt42.com注冊。

轉載于:https://www.cnblogs.com/lvcisco/p/4041929.html

總結

以上是生活随笔為你收集整理的[转载]Windowsnbsp;Servernbsp;2008nbsp;R2nbsp;之二十五ADnbsp;RMS信任策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。