Win2012 AD RMS OFFICE安装配置测试过程

AD RMS服务文件安全是网络领域中最重要的课题之一，安全的威胁通常来自Internet和局域网内部两个方面。

"日防夜防，家贼难防"。

来自企业内部的攻击往往是最致命的，微软公司的RMS（Rights Management Services，权限管理服务）正是在这种环境下应运而生的。

它通过数字证书和用户身份验证技术对各种Office 文档的访问权限加以限制，可以有效防止内部用户通过各种途径擅自泄露机密文档内容，从而确保了数据文件访问的安全性。

17.1 AD RMS概述对于RMS，很多用户并不陌生，并且可能已经应用到实际环境中。

AD RMS是在RMS基础上进行了一些改进，功能更加强大。

通过与Active Directory及其联合身份验证等服务的配合应用，不仅仍然具备原有的针对Offfice文档的各种权限保护，而且新增了通过MMC控制台管理AD RMS的功能，应用更加方便。

17.1.1 AD RMS的新特性AD RMS与RMS相比具有如下新特性。

（1）管理界面更加友好：在RMS 1.0中唯一的管理界面就是Web，而AD RMS则改用MMC嵌入式管理单元，操作更加方便。

（2）自动启用服务器授权凭证：在AD RMS中，根群集的服务器授权凭证（Server Licensor Certificate，SLC）可以自动启用，无须手动操作。

（3）与Active Directory联合身份验证服务（AD FS）配合使用：AD FS是Windows Server 2008的一项新功能，可以提供简单且安全的身份验证。

AD RMS与AD FS配合使用，可以允许企业之间共同使用一方的AD RMS群集，并且通过AD FS（使用HTTPS 协议）识别和验证自己域中的用户账户。

AD RMS的相关组件AD RMS仍然基于服务器/客户端的结构，其主要组件包括支持AD RMS的应用程序、AD RMS客户端和AD RMS服务器端三，三者缺一不可。

Windows Server 2012的安装图解
一、准备阶段
1、计算机名称的修改
服务器管理器，本地服务器，计算机名
计算机名称也可以在设置，服务器信息里，计算机名称修改（和windows 2008一样）
2、IP地址的修改
服务器管理器，本地服务器，以太网
计算机名称和IP地址的修改也可以在计算机
二、安装阶段
1、服务器管理器，仪表板，点击“添加角色和功能”
2、添加角色和功能向导
3、基于角色或基于功用的安装
4、从服务器池中选择服务器
5、选择Active Directory域服务
6、添加某些AD需要的功能，一起安装
7、下一步
8、
9、如果需要，自动重新启动目标服务器
10、点击“安装”，功能安装会有进程条。

11、提示”需要配置，已在DC上安装成功”
12、仪表板，上面你会看到旗子有一叹号，表示有任务要继续，那是因为windows 2012的域服务器，不单单是安装,而是分2步走，第2步需要配置。

13、点击“将此服务器提升为域控制器”
14、选择“添加新林”
15、选择功能级别和指定域控，输入还原模式DSRM密码。

16、因为没有安装DNS，所以有报警，可以无需理会。

17、输入NetBIOS域名
18、选择SYSVOL的日志文件
19、在这里可以看到，域的安装会自动安装DNS
20、
21、安装过程，中间会自动重启
22、安装完成，打开服务器管理器，可以看到
AD DS 和DNS都会出现在服务器管理器的左边，但这里不是管理界面，需要管理最好是进入开始菜单，登陆，里面的操作的windows 2008一样，不再重复，你可以自己体验。

实验二十一：RDS服务安装部署和配置需求一：RDS服务基本证书配置环境：一台12DC作证书服务器192.168.1.2一台12Server1作为RDS目标服务器192.168.1.10一台Win8-1作为客户端192.168.1.10112Server1和Win8-1属于工作组环境12DC安装证书服务打开证书颁发机构在12Server1和Win8-1中做证书颁发机构的信任打开mmc，添加“证书”管理单元，导入trust证书在12Server1上开启远程桌面在12Server1上安装IIS角色IIS角色添加后，打开IIS管理器将创建的证书申请文本打开，复制内容打开IIS管理器中的服务器证书，完成证书申请在12Server1上运行CMD，输入命令“wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”THUMBPRINT””这里的THUMBPRINT参数在下图中查看在Win8-1的host文件里添加一条记录需求二：Windows Server 2012上的RDS服务标准配置需要域环境12DC DC/CA 192.168.1.212Server1 RD会话主机192.168.1.10 加入域12Server2 RD连接代理192.168.1.20 加入域12Server3 RD Web访问192.168.1.30 加入域WIN8-1 客户端192.168.1.150 加入域12DC上安装好CA，CA为企业CA，具体配置可查看实验十八中的CA服务器配置。

安装好CA服务后请在所有服务器上运行下“gpupdate /force”。

12Server1添加12Server2和12Server3服务器，建一个服务器组重启后打开服务器管理器，创建会话集合发布APP和上面的快速部署案例中发布APP一样客户端IE访问“https:///RDWEB”，因为12Server3是RD Web访问。

1、准备安装光盘，设置BIOS 从光盘启动。

2、系统从光盘启动，进入Windows server 2012 安装界面。

3、进入以下界面，分别对安装语言、时间和货币样式、键盘和输入法进行设置（一般默认设置），设置完毕，单击下一步。

4、第一次安装选择“现在安装”，如果系统破坏可以选择“修复计算机”选项，等待。

（5-10 秒）
5、选择安装的操作系统。

根据需求选择安装的操作系统版本。

6、选择“我接受许可条款”，（不接受就不能安装），单击下一步。

7、选择安装类型，选自“自定义”，（需要升级更高版本选择“升级”-例如：Windows server 2008 升级Windows server 2012 ）.
8、选择安装盘符，（在此可以对硬盘进行分区操作）
9.1 将硬盘分两个区。

（1）选中分区盘符号，选择“驱动器选项（高级）”，
（2）单击“新建”按钮
（3）、设置分区大小，单击“应用”按钮。

在弹出对话框中选择“确定”。

对剩下空间重复进行操作。

(4)、分区结束后，效果如下图。

10、选中安装的分区2，单击“下一步”。

11、进行文件拷贝，等待。

12、数据拷贝完后，单击“立即重启”，该步骤可省略。

13、重启动后，设置密码。

设置完毕单击“完成”按钮。

14、系统安装完毕。

15、登录系统，
16、系统界面，系统安装成功。

11。

WINDOWSSERVER2012证书服务安装配置首先需要下载一个windows server 2012的镜像，安装虚拟机，来进行证书服务安装之前的准备在进行安装证书服务之前，首先应该安装配置域服务，否则安装证书服务无法正常安装配置，并且应注意在安装配置域服务之前，不能安装其他非主机自带的服务，否则会出现域服务无法正确配置的情况。

接下来进行安装配置一、域服务1、安装1）打开服务器管理器，如下图：2）添加角色和功能，并且默认下一步3）选择基于角色和功能的安装，并且默认下一步4）从服务器池中选择服务器，默认本机，所以直接下一步5）选择Active Directory域服务，并且添加默认功能6）默认下一步之后，功能选择项直接选择下一步7）AD DS界面直接选择下一步，然后确认界面选择安装8）安装成功，准备配置2、配置1）打开域配置界面，点开右上角黄色的小旗子，点击功能安装的蓝色字体，出现界面，并选择将此服务器配置为域服务器进行配置2）选择添加新的林，名称可以自己随意设定3）接着设置密码，但要注意前面的功能级别一定要为服务器主机的型号，默认会是自己服务器的型号，但有时也会不一样4）DNS设置提示无法设置，直接选择下一步，在后面安装过程中会默认自动安装DNS服务器5）NetBIOS名称系统会自己设定，可以直接选择下一步6）路径也可以直接使用自己默认指定的路径，直接下一步7）查看选项，直接下一步，从查看脚本中，可以看到脚本中会自动安装前面没有安装的DNS8）先决条件检查无误，直接下一步进行安装，这一步如果出现错误，可以根据报错来进行修改，一般都是有其他服务运行出现冲突的结果9）安装配置这里安装需要一段时间，配置完成后，主机会自动重启，并且自动开机后，会使用一段时间来更新配置。

3、将域服务器添加到要管理的本地服务器中1）选择要添加的其他服务器2）点击后，会查找到服务器，双击选择添加3）从本地服务器中，可以看到域已经变成了刚才设置的域至此，域配置成功，接下来安装配置证书服务二、证书服务1、安装步骤和安装域服务类似，所以这里只放截图和一些必要的说明，没有修改的便不写说明了。

打开服务器管理器，点击添加角色和功能点击下一步基于角色或基于功能的安装，点击下一步点击下一步勾选Web服务器（IIS）点击添加功能展开文件和存储服务—文件和iSCSI服务，勾选工作文件夹点击添加功能，然后点击下一步点击下一步点击安装安装完成后这里可以找到工作文件夹了。

点击若要为工作文件夹创建同步共享，请启动新建同步共享向导点击下一步根据实际情况选择，这里选择输入本地路径选择好后点击下一步选择用户别名，点击下一步，（单域环境选择用户别名，多域环境选择用户别名@域，只同步以下子文件夹可以根据需要同步哪些内容）默认点击下一步，也可以更改名称和写描述点击添加添加用户去掉禁用继承权限的√，要不管理员也不可以访问，点击下一步根据需要选择，默认即可，点击下一步点击创建创建完成，点击关闭这里可以看到刚刚创建的文件夹需要安装一个证书服务器打开运行，输入mmc，点击确定打开控制台，点击文件—添加删除管理单元，选择证书，添加选择计算机账户，点击下一步选择个人右键—所有任务—申请新证书点击下一步勾选计算机，点击注册点击完成这里可以看到申请的证书点击绑定如下配置，点击确定点击工具-组策略管理如图，右键点击编辑展开计算机配置--策略—管理模板—Windows组件—工作文件夹，双击强制为所有用户自动设置选择已启用，点击应用—确定展开用户配置—策略—管理模板—Windows组件-工作文件夹—双击指定工作文件夹设置选择已启用，配置工作文件夹URL，点击应用—确定在cmd中gpupdate /force。

51cto学院-Windows Server 2012 AD RMS 文档安全管理适用人群中级IT从业人员课程简介本课程基于Windows Server 2012 和Windows 8 平台，为大家说明如何利用AD RMS技术保证文档在分发过程后如何保证安全性,将从零开始，着力于原理和操作，结合企业实际应用，说明AD RMS 是如何实现这样的一个目标的。

课程1课程简介[免费观看]4分钟在这一节当中，我们将为大家说明课程章节安排。

2快速部署[免费观看]16分钟在这一节中，我们将以最快的速度为大家部署一个RMS 的基本运行环境，为大家展示RMS的基本功能和基本效果，让大家对RMS 的最终效果有一个感性的认识，您也可以依据视频中的操作，快速上手，构建一个基本的RMS 运行环境。

3组件和原理13分钟在这一节当中，我们将为大家介绍RMS 中的基本组件，认证和授权的过程，明确RMS 服务器，数据库，客户端，应用程序之间的关系和协作过程，最终实现文档加密和访问限制的目标。

4基本管理14分钟在这一节当中，我们将为大家介绍如何委派用户管理RMS 服务，查看RMS 服务器的状态，通过群集URL 将RMS 服务发布给用户使用。

5策略模板17分钟通过策略模板的使用，就可以简化最终用户使用RMS 服务的过程，用户不需要了解目标用户的帐号名，也不需要了解权限的意义，便可以轻松地创建加密的文档，并精确地指定特定的用户有特定的访问权限。

6信任策略16分钟能过信任策略的配置，我们就可以将RMS 提供的文档加密服务提供给合作伙伴的用户，合作伙伴的用户就可以使用自己的帐号完成文档的加密和文档查看的目的，而不需要在为他们额外的创建域用户帐号。

7安全策略14分钟在这一节当中，我们将为大家介绍RMS 中的安全策略功能，包括用户、应用程序、密码箱等排除，还包括所有文档加密系统中标准配置的解除授权特性。

8群集部署17分钟在这一节当中，我们将为大家介绍在实际的生产环境中部署RMS 服务的考虑，说明RMS 群集的两种模式，部署RMS 群集的几个关键点，并且演示如何完成RMS 群集服务的部署。

2012服务器安装
安装要求：安装并配置DNS、DHCP、AD、IIS服务器、制作磁盘管理
需要：VM12虚拟机 server2012镜像
新建虚拟机选择典型然后点击“下一步”。

进入虚拟机：
配置服务器
添加角色和功能
添加服务器
选择服务器角色
选择服务器功能
添加DNS服务器，点击“下一步”
确认所添加的服务器，点击“下一步”
再次配置新的服务器
选择安装类型
选择要安装的服务器
选择安装在所选服务器上的角色，然后点击“下一步”
选择安装在所选服务器上的功能，点击“下一步”
选择AD DS，然后点击“下一步”
选择“确认”，然后点击“下一步”
点击“安装”
查看服务器安装配置。

点击“下一步”
设置密码
设置域名
设置路径
查看选项，点击“下一步”
点击“下一步”
注销登陆
重新启动虚拟机。