Exchange 2010 与 RMS（集成权限管理服务）集成

与权限管理服务（Rights Management Services/RMS）集成是Exchange Server 2010的新功能，也是一大亮点。随着RMS还会提到一个名词是IRM，即：信息权限管理/Information Rights Management。实际上，RMS是服务，而IRM是具体实现。安装RMS之后，才可以使用IRM。在 Exchange Server 2010 中，可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。

通过与RMS的集成，Exchange邮件用户可以控制收件人对电子邮件拥有的权限，允许或限制某些收件人操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容。

用户可在 Microsoft Outlook 或 Outlook Web App 中应用 IRM 保护，或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同，IRM 还允许组织解密受保护的内容，以强制执行策略遵从性。

IRM 可以实现：

但是，IRM 无法防止：

Exchange Server 2010与RMS集成，可以应用在以下几个方面：

1、传输保护规则

可以根据传输规则中定义的筛选条件，为满足条件的邮件自动应用指定的RMS模板，以利用IRM来保护邮件信息；

2、传输解密

被IRM保护的邮件可以被解密并进行防病毒扫描，之后再次加密进行后续传递；

3、日记报告解密

被IRM保护的邮件，如果被日记规则归档，可以先解密再归档；

4、为Exchange Search实现IRM解密

使Exchange Search能够搜索受IRM保护的邮件内容；

5、OWA/Outlook

用户可以在Outlook和OWA中发送/接收利用IRM保护的邮件，而不需要额外安装任何插件；

6、保护语音邮件

可以利用IRM来保护语音邮件，特别是私人的语言邮件，可以设置“不可转发(Do not forward)”模板进行保护；

7、预授权

在受IRM保护的邮件中，插入一个RMS的预授权。这样可以实现客户端的脱机浏览，而不需要联系RMS服务器来获取授权；

8、Outlook保护规则（需要Outlook 2010/Exchange Server 2010 SP1）

在发送邮件之前，通过应用 Outlook 2010 中的RMS模板，来使用信息权限管理 (IRM) 保护邮件。

要使用RMS，特别是进行解密工作，需要特殊的权限；Exchange为了简化管理，并且减少Exchange与RMS直接的访问请求（用于获得RMS授权），在安装Exchange Server 2010时，会在活动目录中创建一个专门的用户帐号，显示名称为FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到RMS的Super Users组中即可获得相应的权限。后面会再作说明。

Exchange中文站（http://www.exchangecn.com）

Exchange与RMS的集成主要分为3个步骤：

在Windows Server 2008/R2中，RMS是作为操作系统的组件直接提供的，不再像Windows Server 2003中需要额外下载并安装。要实现Exchange Server 2010与RMS的集成，运行RMS的操作系统需要是Windows Server 2008 R2，或者Windows Server 2008 SP2，并且安装了KB973247补丁。通过Windows Server 2008/R2的服务器管理控制台，通过添加角色菜单，启动RMS的安装向导。

1、选择Active Directory Rights Management Services，向导会提示需要安装IIS角色，点击Add Required Role Services进行添加。

2、复核需要安装的角色

3、在RMS介绍页面点击Next，进入到选择RMS的服务页面，如下图所示。其中没有核选的Identity Federation Support是用于与ADFS集成的。

4、选择创建一个新的AD RMS Cluster

5、RMS将使用SQL数据库作为存储。可以使用Windows自带的数据库引擎，也可以指定一个已经安装好的SQL实例。

6、指定RMS服务的运行帐号，这个帐号需要是域帐号，不能是域管理员帐号，并且已经加入到本机的Local Administrators组里。

7、选择RMS Cluster的密钥存放位置

8、输入用于灾难恢复的密码。

9、指定RMS使用的IIS站点名称。

10、指定RMS的发布位置和访问方式。

11、指定RMS使用的服务器证书友好名称

12、后面是关于IIS的组件安装，接受默认配置即可。

13、检查配置信息，点击Install开始安装

14、如果已经在其它服务器上安装了RMS Cluster，需要额外添加一台服务器，可以在前面第4步时，选择Join an existing AD RMS cluster。

15、输入已经存在的RMS服务器所使用的SQL数据库信息。

16、输入已经安装的RMS上，用于密钥保护的密码

17、输入本机用于运行RMS服务的帐号。

18、选择本机上用于发布RMS的IIS站点

19、接受关于IIS的默认配置

20、复核配置信息，点击Install开始安装

需要注意的是，不支持在实际生产环境中，将RMS与Exchange安装在同一台服务器上。

安装好RMS后，打开管理工具中的RMS管理控制台，打开服务器的属性页面后，切换到SCP页面，可以看到SCP的值，这是一个URL，RMS的用户将使用这个URL来进行访问：

这个属性会被记录到活动目录的Configuration中，位置如下：

RMS通过Web Service方式来提供服务。默认情况下，这些Web Service的权限（Discretionary Access Control List /DACL）是受到限制的，Exchange服务器没有足够的权限来实现对RMS的调用。需要手动指定正确的权限，才能够实现Exchange与RMS的集成。步骤如下：

1、在安装了RMS的服务器上，打开资源管理器

2、浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification

3、选中ServerCertification.asmx，打开其属性页面，切换到安全，然后点击编辑

4、添加活动目录中的Exchange Servers组，并设置为允许“读取”和“读取及运行”（”Read & execute” 和 “Read”）

5、如果访问控制列表中没有AD RMS Service Group组（这是一个本地组），那么重复第4步，添加该组，权限也是允许“读取”和“读取及运行”

6、应用更改后，关闭属性对话框

7、如果RMS Cluster中有多个成员，需要在每个成员上重复前面的操作

RMS的Super Users组中成员，可以不受限制地访问所有被IRM保护的数据，也就是说，该组的成员可以进行解密工作。默认情况下，Super Users组是禁用状态，需要手动进行启用。同时，这个组需要是一个启用了邮件功能的通用组（universal group ）。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中，这个帐号是系统邮箱，从Exchange Management Console中是看不到的，需要使用Exchange Management Shell命令行工具，通过Add-DistributionGroupMember 进行添加。

1、在Exchange Management Console中，创建一个名为RMS_SuperUsers的通讯组

2、打开Exchange Management Shell，输入命令

Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

3、打开RMS管理控制台，展开Security Policies，右键单击Super Users，选择Enable Super Users

4、将前面创建的RMS_SuperUsers组选入

配置好前面的步骤后，Exchange Server 2010就可以实现利用RMS进行邮件数据保护的功能了。使用前，可以检查一下配置是否正确。

1、打开Exchange Management Shell

2、运行命令Get-IRMConfiguration，确保其中的InternalLicensingEnabled是True状态。

3、运行命令Test-IRMConfiguration -Sender User@Sample.com

其中的User@Sample.com是一个Exchange邮件用户的邮件地址

现在，就可以确定 Exchange 与 RMS 的集成成功了。后面会讨论用户如何使用RMS来保证邮件安全。

发布于：2014年11月30日 浏览：8692 次