ExchangeServer2010與RMS整合之二:利用許可權管理模板來保護郵件安全

科技小能手發表於2017-11-12

Exchange Server 2010與RMS整合之二:利用許可權管理模板來保護郵件安全

場景：一次沒有硝煙的暗殺之四

主題：小張和小強都是經理，小張看上了一個姑娘小麗，但小張發現還有小強對小麗有興趣，於是一場暗殺就這麼開始了！（劇情純屬娛樂，如有雷同，純屬巧合）

之前已經有了三次的暗殺與反暗殺，最後的結局是小強反敗為勝，因為小強在反暗殺階段分別使用了RMS以及數字簽名和加密，讓小張徹底崩潰！但在實際的工作當中，他發現在使用RMS的時候總是需要手動的進行操作，有時候那面會遺忘去設定許可權，這樣又會給小張可乘之機，小強這次又跟資訊部交流了一下，希望能夠真正的實現自動化，減輕壓力！本著解放使用者的思想，tony答應了幫忙，於是，新一輪的反暗殺有一次精彩的上演！

本次分為以下幾個階段

RMS安裝（前面已經部署過了，這裡省略）

RMS配置

RMS許可權策略模板

傳輸規則

完成測試

精彩繼續

一 RMS配置

1.1 設定RMS的訪問控制許可權RMS通過Web Service方式來提供服務，預設情況下，這些Web service的許可權是受限制的，Exchange伺服器沒有足夠的許可權來實現對RMS的呼叫，需要手動指定正確的許可權，才能夠實現Exchange與RMS的整合

1.2 首先在安裝RMS的伺服器上，開啟資源管理器

1.3 瀏覽到%systemdrive%inetpubwwwroot\_wmcscertification

1.4 選中Servercertification.asmx，開啟其屬性頁面，切換到安全，然後編輯，新增Exchange Servers組，並給予讀取和讀取和執行

1.5 如果CAL列表中沒有AD RMS Service Group(這是一個本地組)，那麼請重複1.4，把這個組也加到CAL裡，並給予讀取和“讀取和執行”

1.6 開啟%systemdrive%inetpubwwwroot\_wmcslicensing，檢視publish.asmx的安全屬性，是否有Exchange Server和AD RMS Service Group這2個群組，並確認許可權是否一樣，如果和上面的不同或者沒有這2個群組，請新增並給予許可權

1.7 設定RMS超級使用者組，RMS的超級使用者組中成員，可以不受限制地訪問所有被IRM保護的資料，也就是說，該組的成員可以進行解密工作。預設情況下，超級使用者組是禁用狀態，需要手動進行啟用。同時，這個組需要是一個啟用了郵件功能的通用組（universal group ）。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042使用者帳號需要加入到這個組中，這個帳號是系統郵箱，從Exchange Management Console中是看不到的，需要使用Exchange Management Shell命令列工具，通過Add-DistributionGroupMember 進行新增。

1.8 開啟EMC-收件人配置–通訊組，新建一個RMS通訊組

1.9 開啟Exchange Management Shell，輸入命令

Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

1.10開啟RMS管理控制檯，展開安全策略，右鍵啟用超級使用者

1.11將前面建立的RMS組新增進去

1.12開啟Exchange Management Shell，執行命令Get-IRMConfiguration，確保其中的InternalLicensingEnabled是True狀態。如果為false，則輸入Set-IRMConfiguration -InternalLicensingEnable $true在Exchange組織內部啟用RMS功能。