[技术分享--RMS篇] 20130711, 请不要把 AD RMS 服务器安装到 DC 上
如果您当前打算在您的 AD 域环境部署 AD RMS 服务器,那么请切记不要把它安装到 DC 上,如果您坚持要这样做,我们目前发现的问题主要有两个:
1. 如果 AD RMS 服务器安装在域控 DC 上,我们需要添加 AD RMS 服务账号(通常我们会设置为 “Domain\adrmssrvc” )到 Domain Admin 组才能正常工作;而如果 AD RMS 安装在一台域成员服务器上,这个账号只需要是普通的 Domain Users 用户即可;
2. 安装好 AD RMS 服务器后,默认IIS站点仅赋予了 “Domain\Users” 这个默认容器的用户可以访问 AD RMS 的 Web 服务;
对于第1点来说,这可能带来一些安全上的问题,毕竟 Domain Admin 组设计来是为了管理整个 Domain 的;对于第2点来说,如果某个用户不属于 Users 这个默认容器,那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加不在“Domain\Users” 组的用户到 IIS 的安全访问列表里(参照下图),但是毕竟这带来了管理上的不便。
参考:
========
https://technet.microsoft.com/en-us/library/jj735304.aspx
Best practice rule |
Notes |
Use dedicated AD RMS servers. |
Installing AD RMS on the same server as a domain controller, Microsoft Exchange Server, Certification Authority, or Microsoft Office SharePoint Server is a poor security practice. |
Do not install AD RMS on a domain controller. |
If you do install AD RMS on a domain controller, you must add the AD RMS service account, which is normally configured with no additional permissions, to the Domain Admins group. |
https://blogs.technet.com/b/rmssupp/archive/2007/10/18/the-dos-and-don-ts-of-rms.aspx
DON'T put RMS on a domain controller. This is such a bad idea, that every time I see it, I want to go tell the person to go pick a switch and meet me behind the toolshed. You have to give the RMS_Service account admin rights on the machine to do this, and you agghhh.. Just don't!!
微软安全支持专家
Gary