可以通过添加信任策略,让 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。AD RMS信任策略包括以下几种:
1、受信任的用户域。如果用户的 权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的,则通过添加可信用户域,AD RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。通过导入要信任的 AD RMS 群集的服务器许可方证书,可添加可信用户域。
2、受信任的发布域。通过添加受信任的发布域,一个 AD RMS 群集可以根据由不同的 AD RMS 群集颁发的发布许可证来颁发使用许可证。通过导入要信任的服务器的服务器许可方证书和私钥,可添加受信任的发布域。
3、Windows Live ID。通过设置与 ">Microsoft 的联机 RMS 服务的信任关系,AD RMS 用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。Windows Live ID 用户将能够使用来自已信任 Microsoft 的联机 RMS 服务的 AD RMS 群集的受权限保护内容,但是 Windows Live ID 用户不能创建由 AD RMS 群集进行权限保护的内容。
4、联合信任。使用 Active Directory 联合身份验证服务,可以在两个林之间建立联合信任。当一个林没有安装 AD RMS,但它的用户需要使用另一个林的受权限保护的内容时,这将非常有用。
以下通过实验介绍前两种信任的建立方法。
实验环境:
林hbycrsj.com,服务器R2ADRMSServer,DC,已部署好AD RMS。
林ycrs.com,服务器YCRSRMSServer,DC,已部署好AD RMS。
在进行信任策略部署之前,分别在以上两台计算机建立了两个受保护文档hbycrsj.docx,ycrs.docx。权限为EveryONE读取。
实验部署:
一、部署可信任用户域:允许其它RMS体系结构中的用户向本地RMS服务器申请UL(用户许可)。即其它RMS体系结构的中用户打开本地RMS体系结构中受保护文档。
在上面实验环境中,假如林ycrsj.com中的用户要打开林hbycrsj.com中的受保护文档hbycrsj.docx.
这种信任策略一般用在以下场景:在一个大企业,企业在许多相互独立RMS结构,要在某一个子公司打开另外一子公司的受保护文档。
过程:(以林ycrsj.com中的用户要打开林hbycrsj.com中的受保护文档hbycrsj.docx为例)
1、在YCRSRMSServer服务器上导出其服务器许可方证书SLC。打开AD RMS管理控制台,右击服务器,选择属性,选择“服务器证书”。如下图导出文件名为ycrsj.bin。