【IT168 专稿】Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

　　本文介绍RMS 的管理部分常见问题解答。

　　1、吊销离开组织的用户对文档的权限的非常好的方法是什么？

　　通常，最好授权 Active Directory 中定义的用户组而不是个人用户帐户使用文档。建议这么做是为了在某用户离开组织后，您可以从 Active Directory 组中删除该用户，该用户不能读取发送到该组的文档。但是，该用户仍然可以读取具有现有用户许可证的文档，除非这些文档的权限设置为每次打开文档时都需要用户获取用户许可证。如果未定义该权限，则唯一可以防止用户打开具有现有用户许可证的文档的方法是清除用户计算机上的用户许可证存储。

　　2、在两个组织之间建立信任以便交换 RMS 内容时，是否需要对传递到可信公司的任何 XrML 许可证证书进行特殊处理？

　　建立受信任的用户域或受信任的发布域时，您将选择信任伙伴组织来参与您的权限管理系统。因此，您要冒经过精确计算的风险，相信信任另一组织不会泄露您的信息。非常好的方案是，请求伙伴组织通过使用经过身份验证的通道（如 S/MIME 电子邮件）来发送其 RMS 服务器许可方证书，从而帮助缓解在将服务器许可方证书导入到 RMS 服务器之前该证书被篡改的风险。

　　3、RMS 如何处理漫游用户配置文件？

　　用于识别用户的权限帐户证书 (RAC) 是特定于计算机的。使用漫游配置文件时，在给定计算机上第一次使用 RMS 时将为该计算机上的用户创建一个新的 RAC。

　　4、组织为什么要取消 RMS 配置？

　　取消 RMS 配置将从基础结构中删除 RMS 服务器，并为用户提供了一种方法来在不采取保护措施的情况下保存受权限保护的内容。组织选择这样做的主要原因有三个：

　　简化体系结构设计，如将服务器合并到群集中。

　　将概念证明试验环境迁移到生产环境。

　　合并 RMS 服务器，如在收购后。

　　5、取消配置的全过程是什么？

　　通过启用取消配置服务来从 RMS 根群集中启动取消配置过程。启用取消配置服务时，所有其他服务（例如，授权和认证）都将被禁用。之后，在使用 RMS 功能时，每个用户的启用了 RMS 的应用程序需要被定向以连接到取消配置服务。Microsoft Office 2003 就是启用了 RMS 的应用程序的一个示例。在 Office 2003 中，通过使用注册表项将 RMS 客户端定向到 RMS 服务。一个特定注册表项标识取消配置服务。一旦此注册表项配置为将客户端定向到取消配置服务，RMS 群集就会向用户授予该内容的用户许可证，该许可证提供完整权限，包括读取、写入、复制、打印、编辑等等，而不考虑最初是否向用户授予了这些权限。然后，系统应指示用户从完全取消 RMS 群集的配置之后仍想要保留的任何文档中删除所有权限保护。完成此操作之后，就可以完全停止使用 RMS 群集。

　　非常好的方案是备份 RMS 群集的配置数据库，以防在停止使用该群集之后，需要恢复受权限保护的文档。如果没有 RMS 根群集的私钥，则仅文档的作者能够在删除服务器之后打开受权限保护的内容。