步骤 4:将 ADRMS-SRV 配置为使用 AD FS
将安全审核权限授予 AD RMS 服务帐户
使用 AD FS 时,AD RMS 服务帐户必须能生成安全审核事件。
将安全审核权限授予 AD RMS 服务帐户的步骤
1. 单击"开始",指向"管理工具",然后单击"本地安全策略"。
2. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
3. 展开"本地策略",然后单击"用户权限分配"。
4. 双击"生成安全审核"。
5. 单击"添加用户或组"。
6. 键入 cpandl\adrmssrvc,然后单击"确定"。
7. 单击"确定"关闭"生成安全审核"属性表。
添加 AD RMS Extranet 群集 URL
通过联合信任使用受权限保护的内容的启用 AD RMS 的客户端,使用 AD RMS Extranet 群集 URL 创建权限帐户证书。
小心:通过使用 服务器管理器 添加联合身份验证支持角色服务之前,必须添加 AD RMS 群集 URL。如果未添加群集 URL,则必须手动编辑 certificationexternal 和 licensingexternal 目录中的 web.config 文件。
添加 AD RMS Extranet 群集 URL 的步骤
1. 使用 CPANDL\ADRMSADMIN 帐户登录到 ADRMS-SRV
2. 打开 Active Directory Rights Management Services 控制台。单击"开始",指向"管理工具",然后单击 Active Directory Rights Management Services。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 右键单击 adrms-srv.cpandl.com,然后单击"属性"。
5. 单击"群集 URL"选项卡,然后选中 Extranet URL 复选框。
6. 对于许可,请单击 https://,然后键入 adrms-srv.cpandl.com。
7. 对于认证,请单击 https://,然后键入 adrms-srv.cpandl.com。
8. 单击"确定"。
添加 AD RMS 联合身份验证支持角色服务
下一步,通过服务器管理器添加联合身份验证支持角色服务。
添加联合身份验证支持角色服务的步骤
1. 使用 CPANDL\ADRMSADMIN 帐户登录到 ADRMS-SRV
2. 单击"开始",指向"管理工具",然后单击"服务器管理器"。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 在"角色摘要"框中,单击 Active Directory Rights Management Services,然后单击"添加角色服务"。
5. 选中"联合身份验证支持"复选框。确保将"声明感知代理角色服务"列为必需的角色服务,然后单击"添加必需的角色服务"。
6. 单击"下一步"。
7. 在"配置联合身份验证支持"上,键入 adfs-resource.cpandl.com,单击"验证",然后单击"下一步"。
8. 在"AD FS 简介"页上,单击"下一步"。
9. 在"AD FS 角色服务"页上,确认已选中"声明感知代理",然后单击"下一步"。
10. 单击"安装"将联合身份验证支持角色服务添加到 ADRMS-SRV 计算机。
11. 单击"完成"。
在 Active Directory Rights Management Services 控制台中启用联合身份验证支持
一旦启用联合身份验证支持,它就允许用户帐户将凭据(联合信任关系通过 Active Directory 联合身份验证服务 (AD FS) 建立)用作从 AD RMS 群集获取权限帐户证书的基础。
在 Active Directory Rights Management Services 控制台中启用 AD RMS 联合身份验证支持的步骤
1. 使用 CPANDL\ADRMSADMIN 帐户登录到 ADRMS-SRV
2. 打开 Active Directory Rights Management Services 控制台,并展开 AD RMS 群集。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 在控制台树中,展开"信任策略",然后单击"联合身份支持"。
5. 在"操作"窗格中,单击"启用联合身份支持"。
6. 在"操作"窗格中,单击"属性"。
7. 在"Active Directory 联合身份验证服务策略"选项卡中,在"联合身份证书有效期"中,键入 7。此为联合权限帐户证书将有效的天数。
8. 单击"确定"。
