可以通過(guò)添加信任策略，讓 AD RMS 可以處理由不同的 AD RMS 群集進(jìn)行權(quán)限保護(hù)的內(nèi)容的授權(quán)請(qǐng)求。AD RMS信任策略包括以下幾種：

1、受信任的用戶域。如果用戶的 權(quán)限帳戶證書 (RAC) 是由不同的 AD RMS 根群集頒發(fā)的，則通過(guò)添加可信用戶域，AD RMS 根群集可以處理這些用戶的客戶端許可方證書或使用許可證請(qǐng)求。通過(guò)導(dǎo)入要信任的 AD RMS 群集的服務(wù)器許可方證書，可添加可信用戶域。

2、受信任的發(fā)布域。通過(guò)添加受信任的發(fā)布域，一個(gè) AD RMS 群集可以根據(jù)由不同的 AD RMS 群集頒發(fā)的發(fā)布許可證來(lái)頒發(fā)使用許可證。通過(guò)導(dǎo)入要信任的服務(wù)器的服務(wù)器許可方證書和私鑰，可添加受信任的發(fā)布域。

3、Windows Live ID。通過(guò)設(shè)置與 Microsoft 的聯(lián)機(jī) RMS 服務(wù)的信任關(guān)系，AD RMS 用戶可以將受權(quán)限保護(hù)的內(nèi)容發(fā)送到具有 Windows Live ID 的用戶。Windows Live ID 用戶將能夠使用來(lái)自已信任 Microsoft 的聯(lián)機(jī) RMS 服務(wù)的 AD RMS 群集的受權(quán)限保護(hù)內(nèi)容，但是 Windows Live ID 用戶不能創(chuàng)建由 AD RMS 群集進(jìn)行權(quán)限保護(hù)的內(nèi)容。

4、聯(lián)合信任。使用 Active Directory 聯(lián)合身份驗(yàn)證服務(wù)，可以在兩個(gè)林之間建立聯(lián)合信任。當(dāng)一個(gè)林沒(méi)有安裝 AD RMS，但它的用戶需要使用另一個(gè)林的受權(quán)限保護(hù)的內(nèi)容時(shí)，這將非常有用。

 

以下通過(guò)實(shí)驗(yàn)介紹前兩種信任的建立方法。

實(shí)驗(yàn)環(huán)境：

林hbycrsj.com,服務(wù)器R2ADRMSServer,DC,已部署好AD RMS。

林ycrs.com,服務(wù)器YCRSRMSServer,DC,已部署好AD RMS。

在進(jìn)行信任策略部署之前，分別在以上兩臺(tái)計(jì)算機(jī)建立了兩個(gè)受保護(hù)文檔hbycrsj.docx,ycrs.docx。權(quán)限為EveryONE讀取。

 

實(shí)驗(yàn)部署：

一、部署可信任用戶域：允許其它RMS體系結(jié)構(gòu)中的用戶向本地RMS服務(wù)器申請(qǐng)UL（用戶許可）。即其它RMS體系結(jié)構(gòu)的中用戶打開本地RMS體系結(jié)構(gòu)中受保護(hù)文檔。

在上面實(shí)驗(yàn)環(huán)境中，假如林ycrsj.com中的用戶要打開林hbycrsj.com中的受保護(hù)文檔hbycrsj.docx.

這種信任策略一般用在以下場(chǎng)景：在一個(gè)大企業(yè)，企業(yè)在許多相互獨(dú)立RMS結(jié)構(gòu)，要在某一個(gè)子公司打開另外一子公司的受保護(hù)文檔。

過(guò)程：（以林ycrsj.com中的用戶要打開林hbycrsj.com中的受保護(hù)文檔hbycrsj.docx為例）

1、在YCRSRMSServer服務(wù)器上導(dǎo)出其服務(wù)器許可方證書SLC。打開AD RMS管理控制臺(tái)，右擊服務(wù)器，選擇屬性，選擇“服務(wù)器證書”。如下圖導(dǎo)出文件名為ycrsj.bin。

2、在服務(wù)器R2ADRMSServer導(dǎo)入ycrs.com域的SLC文件(即上一步操作導(dǎo)出ycrs.bin文件）。打開AD RMS管理控制臺(tái)，選擇受保護(hù)的用戶域，選擇“導(dǎo)入受信任的用戶域”。如下圖

3、在服務(wù)器R2ADRMSServer將IIS服務(wù)器中Licensing虛擬目錄“匿名身份認(rèn)證”方式打開

4、增加Everyone對(duì)Licensing虛擬目錄下的license.asmx文件讀取權(quán)限。操作方法如下圖

現(xiàn)在在ycrsrmsserver服務(wù)器就能打開hbycrsj.docx文件了。

 

二、部署受信任的發(fā)布域：允許本地服務(wù)器為其它RMS服務(wù)器發(fā)布的受保護(hù)的文檔發(fā)布UL。

應(yīng)用場(chǎng)景：公司合并，需要整合現(xiàn)有獨(dú)立的RMS基礎(chǔ)架構(gòu)，取消多余的RMS授權(quán)服務(wù)器。

例如：要將ycrs.com中的RMS合并到hbycrsj.com中，即在hbycrsj.com打開ycrs.com中受保護(hù)的文檔ycrs.docx.

過(guò)程：

1、在ycrsrmsserver服務(wù)器上，導(dǎo)出服務(wù)器的私鑰。

文件名ycrs.xml.

2、在r2adrmsserver導(dǎo)入受信任發(fā)布域的服務(wù)器私鑰(ycrs.xml)

3、修改相應(yīng)的記錄以便打開ycrs.com受保護(hù)的文件時(shí)將請(qǐng)求發(fā)送到本地的RMS服務(wù)器。可以在hbycrsj.com域中的hosts文件，增加一條記錄重定向到y(tǒng)crsrmsserver。

192.168.1.13  YCRSRMSSERVER.YCRS.COM

192.168.1.13  是hbycrsj.com中RMS服務(wù)器的IP地址。

4、關(guān)閉ycrsrmsserver服務(wù)器，在r2adrmsserver服務(wù)器打開ycrs.docx成功。