|
在 Exchange 中可使用 IRM 功能对邮件和附件应用持久保护IRM 使用 Active Directory 权限管理服务 (AD RMS)这是 Windows Server 及更高版本中的一种信息保护技术借助 Exchange 中的 IRM 功能组织和用户可以控制收件人对电子邮件的权限IRM 还有助于允许或限制某些收件人操作例如向其他收件人转发邮件打印邮件或附件或者是通过复制和粘贴提取邮件或附件内容用户可在 Microsoft Outlook 或 Microsoft Office Outlook Web App 中应用 IRM 保护或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护与其他电子邮件加密解决方案不同IRM 还允许组织解密受保护的内容以强制执行策略遵从性 IRM 有助于执行以下操作 防止受 IRM 保护的内容的授权收件人转发修改打印传真保存或剪切和粘贴该内容 用与邮件相同的保护级别保护所支持的附件文件格式 支持受 IRM 保护的邮件和附件的过期使其在指定时间段之后无法再进行查看 防止使用 Microsoft Windows 中的截图工具复制受 IRM 保护的内容 但是IRM 无法防止使用以下方法复制信息 第三方屏幕捕获程序 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相 用户记住或手动抄录信息 步骤安装 AD RMS 服务器角色 我们可以在windows R server中或者是windows server 中安装RMS服务基于我们的AD和Exchange是全windows server 的环境我们这里选择一台windows server 的服务器安装RMS服务在服务管理器中选择添加角色和功能 下一步继续安装 选择基于角色或基于功能的安装下一步 选择你需要的服务器下一步 在选择服务器角色页中选中 Active Directory Rights Management Services 框 出现角色服务页提示 AD RMS 依赖的角色服务和功能确保列出了 Web 服务器 (IIS)Windows Process Activation Service (WPAS) 和消息队列然后单击添加必需的角色服务单击下一步连续几次下一步后出现安装 和Windows Server R有点不一样在 Windows Server 中添加 ADRMS 角色和配置 ADRMS 新群集是两个独立流程完成添加角色后需要进行其他配置以便部署 ADRMS 角色开始安装开始漫长的等待 安装完成后点击通知我们继续完成其他配置下一步 新建AD RMS群集下一步 选择在此服务器上使用windows内部数据库下一步 指定安装rms的用户 确定之后继续选择加密模式下一步选择AD RMS集中管理的密钥存储下一步输入AD RMS群集密钥密码 使用SSL加密连接(https://)完全限定的域名输入下一步 选择继续下一步 名称保持默认 选择立即注册SCP下一步 确认安装选择框出现确认我们的信息无误后点击安装 安装完后重启我们打开AD RMS服务正常至此安装完成 步骤AD RMS和exchange整合的相关设置 登陆到AD RMS服务器中打开iis管理控制台打开iis管理控制台展开默认站点点击Certification相关设置 找到ServerCertificationasmx打开其属性页面切换到安全然后点击编辑 添加活动目录中的Exchange ServersAD RMS Service Group组并设置为允许读取和读取及运行 RMS的超级用户组中成员可以不被限制地访问被IRM保护的数据RMS组的成员可以进行解密工作超级用户组默认是被禁用的需要手动启用同时这个组需要是一个启用了邮件功能的通用组系统邮箱FederatedEmailcfdbbfafae用户帐号需要加入到这个组中 我们打开收件人组新建一个通讯组 新建一个通讯组名称是rmsusers别名是rmsusers组织单位选择到users组 打开AD找到刚才新建的通讯组将FederatedEmailcfdbbfafae用户添加进rmsusers通讯组 下面回到RMS的服务器中打开AD RMS管理控制台展开安全策略启用超级用户完成启用后打开更改超级用户组把之前创建的rmsusers添加进去 下面登录到Exchange Server打开Exchange Management Shell运行SetIRMConfiguration InternalLicensingEnabled $true在Exchange组织内部启用RMS功能然后运行GetIRMConfiguration确保InternalLicensingEnabled为true 运行命令TestIRMConfiguration Sender cn来验证RMS与Exchange的集成 验证 AD RMS 与 Exchange Server 集成是否生效 使用帐户zp登陆 owa并发送一封 mail 给用户 richard和cmd设置为不可转发用帐户cmd 登陆 owa 可以看到邮件无法转发至此RMS和exchange功能集成功能部署完成 |
