[技术分享–RMS篇] 20130711, 请不要把 AD RMS 服务器安装到 DC 上


如果您当前打算在您的 AD 域环境部署 AD RMS 服务器,那么请切记不要把它安装到 DC 上,如果您坚持要这样做,我们目前发现的问题主要有两个:

1.     如果 AD RMS 服务器安装在域控 DC 上,我们需要添加 AD RMS 服务账号(通常我们会设置为 Domain\adrmssrvc” )到 Domain Admin 组才能正常工作;而如果 AD RMS 安装在一台域成员服务器上,这个账号只需要是普通的 Domain Users 用户即可;

2.     安装好 AD RMS 服务器后,默认IIS站点仅赋予了 Domain\Users 这个默认容器的用户可以访问 AD RMS Web 服务;


对于第1点来说,这可能带来一些安全上的问题,毕竟 Domain Admin 组设计来是为了管理整个 Domain 的;对于第2点来说,如果某个用户不属于 Users 这个默认容器,那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加不在Domain\Users 组的用户到 IIS 的安全访问列表里(参照下图),但是毕竟这带来了管理上的不便。

 

image

 

参考:

========

http://technet.microsoft.com/en-us/library/jj735304.aspx

Best practice rule

Notes

Use dedicated AD RMS servers.

Installing AD RMS on the same server as a domain controller, Microsoft Exchange Server, Certification Authority, or Microsoft Office SharePoint Server is a poor security practice.

Do not install AD RMS on a domain controller.

If you do install AD RMS on a domain controller, you must add the AD RMS service account, which is normally configured with no additional permissions, to the Domain Admins group.

http://blogs.technet.com/b/rmssupp/archive/2007/10/18/the-dos-and-don-ts-of-rms.aspx

DON'T put RMS on a domain controller. This is such a bad idea, that every time I see it, I want to go tell the person to go pick a switch and meet me behind the toolshed. You have to give the RMS_Service account admin rights on the machine to do this, and you agghhh.. Just don't!!

 

微软安全支持专家

Gary

 

Comments (0)

Skip to main content