windows服务器2008的活动目录权限管理服务(AD RMS)(从前的windows的RMS)是一个关键,以保护敏感信息。之前发布的windows服务器2008,与用户之外的企业网络共享的一个受RMS保护的文档,要求接受者的组织里有一个兼容的RMS服务器。或者,外面的用户可以在企业网络内给一个活动目录帐户,这个过程提出了具有挑战性的行政和安全等问题。微软的协作平台,在用户活动目录介绍基础上,共享点服务器2007也有能力对文档进行动态申请RMS保护。但是,这也需要一个本地活动目录帐户。
Windows server 2008能使用一种更全面和更易于管理的新方法保护敏感资料。由于在windows server 2003中,活动目录联邦服务(AD FS),能使一个组织与另一个组织建立起联邦信任。用户一旦登录到他们本地域,通过身份识别和进入联邦可以进入伙伴的域。因为在windows server 2008,AD RMS已与AD FS整合,现在联邦信任,允许AD RMS认可适合的至外部用户RMS许可,而不需要在当地登录或者拥有他们自己的AD RMS服务器。
这种情况就是所谓的"安全联邦协作"。从本质上讲,一家公司内部的管理员需要分享RMS保护信息,对外部用户不再需要维持独立的用户名和密码。外部户用需要一个单独的登录(SSO),使他们能够合适地获得RMS保护内容,而不需要保留多重身份。总之,安全分享机密信息-无论是和合作伙伴、供应商或顾客,已经变得更加容易。当外部用户认证,RMS将自动提供所有适当的许可,允许外部用户工作和分享组织的内部敏感内容。管理员获得单点控制,控制如何使外部用户与保护内容交互,包括定义模块能力,使之可以应用于成倍增加的伙伴关系。
在windows server 2008,AD FS与AD RMS共同工作,在联邦识别基础上,使用户在不同领域安全共享文档,而不是本地活动目录层面。这可以AD FS要求鉴别用户,并控制他们进入内容。当外部用户登录到他们本地AD领域,提供他们联邦要求,这要求包含应当予以认同的信任书和进入权利。
这创建立一个强大的新内容共享 - 联邦文档协作 - 对外部用户消除维护影子账户需要,并提供给这些用户单独登录进入RMS保护内容。一旦两个实体已经建立了联邦信任,用户可以分享和利用保护的内容几乎一样,如果他们在同一个域。在资源提供者 - 管理员可以控制一些优良点 - 他们有某种方法进入其他某种内容,而对个人用户无需管理身份。
持久性信息保护
在windows服务器2008,AD RMS可以与很多应用工作和进行跨平台的工作,且无论在哪里运行,它都将提供紧密集成的使用权和加密后续内容。它可以用来保护文档,电子数据表,内联网网站和电子邮件。它也为开发整合RMS功能与非RMS应用提供了必要的工具。而且,组织可以创建定自定义使用权利模块,可以即时使用。
AD RMS服务器和客户端系统处理过程,第一步:开始发行用户许可申请AD RMS内容许可。一旦有个用户通过rms服务器已经发出一份账户证书,用户可以保护内容。这使文档的RMS保护变得简单;RMS特点是内置到微软的应用产品,例如微软office? word和微软office ?Excel?。RMS服务器绑定的权利的信息内容和加密内容,以防止未经授权的访问。当用户试图查看或以其他方式使用受保护文档时,RMS服务器发出声响,并检查用户的权限,发出解密和使用许可,这是恰当的。
在windows服务器2008之前,一个外部用户需要进入RMS保护的内容必须有一个本地用户帐户。在简化外部帐户管理后,这不再必要