Active Directory 权限管理服务概述

发布日期： 2016年9月

适用于： Windows Server 2012 R2,Windows Server 2012

你是否知道 Microsoft Azure 在云中提供类似的功能？ 了解有关 Microsoft Azure 标识解决方案的详细信息。 在 Microsoft Azure 中创建混合身份解决方案： - 了解 Azure 权限管理。 - 部署 Azure 权限管理连接器。

本文档提供对 Windows Server® 2012 中 Active Directory Rights Management Services (AD RMS) 的概述。 AD RMS 是可提供一些采用了行业安全技术（包括加密、认证和身份验证技术）的管理和开发工具的服务器角色，以帮助组织创建可靠的信息保护方案。

是否就是…

• Active Directory 证书服务概述

• Active Directory 域服务概述

• Active Directory 联合身份验证服务概述

• Active Directory 轻型目录服务概述

角色描述

AD RMS 通过运用信息权限管理 (IRM) 保护文档，为组织增强安全策略。

AD RMS 允许个人和管理员通过 IRM 策略指定对文档、工作簿和演示的访问权限。 这就有助于防止敏感信息被未经授权的人打印、转发或复制。 在允许通过使用 IRM 文件限制文件后，无论信息在什么位置都会强制执行访问和使用限制，因为文件的权限存储在文档文件内。

AD RMS 和 IRM 帮助个人强制执行自己对于个人或私人信息传输的偏好。 它们还可帮助组织强制执行用于掌管机密或专有信息控制和分发的企业策略。

实际的应用程序

AD RMS 启用的 IRM 解决方案用于帮助提供以下内容：

• 无论信息在什么位置被移动、发送或转发都与信息伴随的永久性使用策略。

• 一个额外的隐私层，用于防止敏感信息 - 如财务报表、产品说明、客户数据及机密电子邮件 - 被有意或意外地用于不当用途。

• 防止未经授权的受限内容收件人转发、复制、修改、打印、传真或粘贴内容进行未经授权的使用

• 防止通过使用 Microsoft Windows 中的打印屏幕功能复制受限内容

• 支持文件过期，这样文档中的内容在经过指定时间段后就不能再被查看

• 强制执行用于掌管企业内内容控制和分发的企业策略

AD RMS 支持的基于 IRM 解决方案无法在所有情况下阻止对敏感文档安全的所有威胁类型或防止屏幕可读信息被披露。 例如，以下是一些 AD RMS 无法解决或缓解的文档安全威胁类型。

• 内容被特洛伊木马、击键记录程序和某些类型的间谍软件等恶意程序擦除、盗取或捕捉和传输

• 内容因计算机病毒的作用被丢失或损坏

• 受限制内容从收件人屏幕上显示的内容被手抄或重新键入

• 收件人将屏幕上显示的受限制内容拍摄数码相片

• 使用第三方屏幕抓图程序复制受限制内容

有关如何使用 AD RMS 设计安全文档协作的详细信息，请参阅 AD RMS 体系结构设计和安全协作方案。

有关 AD RMS 如何保护所有文件类型的信息，请参阅 RMS 如何通过使用 RMS 共享应用保护所有文件类型。

新功能和更改的功能

Windows Server 2012 版本的 AD RMS 经过了一些改进。 可以联机搜索文章 AD RMS 中的新增功能来了解这些增强功能

服务器管理器信息

可通过服务器管理器执行 AD RMS 角色服务的安装。 可安装以下角色服务：

升级或迁移

如果正在运行要升级或迁移到最新版本的 Rights Management 版本，请使用以下资源：

• 若要升级或迁移到 Active Directory Rights Management (AD RMS)：RMS 到 AD RMS 迁移和升级指南

• 若要迁移到 Azure 权限管理 (Azure RMS)：从 AD RMS 迁移到 Azure 权限管理

另请参阅

下表提供用于评估 AD RMS 的其他资源。