[技术分享--RMS篇] 请不要把 AD RMS 服务器安装到 DC 上
来源:互联网 发布:访客网络设置限速多少 编辑:程序博客网 时间:2024/04/28 18:05
如果您当前打算在您的 AD 域环境部署 ADRMS 服务器,那么请切记不要把它安装 DC 上,如果您坚持要这样做,我们目前发现的问题主要有两个:
1. 如果 ADRMS 服务器安装在域控 DC 上,我们需要添加 AD RMS 服务账号(通常我们会设置为 “Domain\adrmssrvc” )到 Domain Admin 组才能正常工作;而如果 AD RMS 安装在一台域成员服务器上,这个账号只需要是普通的 Domain Users 用户即可;
2. 安装好 AD RMS 服务器后,默认 IIS 站点仅赋予了 “Domain\Users” 这个默认容器的用户可以访问 AD RMS 的 Web 服务;
对于第1点来说,这可能带来一些安全上的问题,毕竟 Domain Admin 组设计来是为了管理整个 Domain 的;对于第2点来说,如果某个用户不属于 Users 这个默认容器,那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加不在 “Domain\Users” 组的用户到 IIS 的安全访问列表里(参照下图),但是毕竟这带来了管理上的不便。
参考:
========
http://technet.microsoft.com/en-us/library/jj735304.aspx
Best practice rule
Notes
Use dedicated AD RMS servers.
Installing AD RMS on the same server as a domain controller, Microsoft Exchange Server, Certification Authority, or Microsoft Office SharePoint Server is a poor security practice.
Do not install AD RMS on a domain controller.
If you do install AD RMS on a domain controller, you must add the AD RMS service account, which is normally configured with no additional permissions, to the Domain Admins group.
http://blogs.technet.com/b/rmssupp/archive/2007/10/18/the-dos-and-don-ts-of-rms.aspx
DON'T put RMS on a domain controller. This issuch a bad idea, that every time I see it, I want to go tell the person to gopick a switch and meet me behind the toolshed. You have to give the RMS_Serviceaccount admin rights on the machine to do this, and you agghhh.. Just don't!!
微软安全支持专家
Gary
- [技术分享--RMS篇] 请不要把 AD RMS 服务器安装到 DC 上
- [技术分享--RMS篇] 迁移 AD RMS SQL 数据库
- [技术分享 - RMS 篇] 关于 RMS 服务器的缓存
- [技术分享 - RMS 篇] 如何注销 RMS 服务器的 SCP
- [技术分享 - RMS 篇] 升级RMS 1.0 SP1 服务器到 SP2 时的除错秘技
- [技术分享 - RMS 篇] 关于 RMS 服务器的缓存 Part II: RMS 2.0 ADRMS
- [技术分享--RMS篇] AD RMS 自我排错分析篇
- [技术分享 - RMS] ADRMS/RMS 连不上后台 SQL 服务器
- [技术分享 – RMS 篇] 如何安装 RMS 预生产环境
- [技术分享 – RMS 篇] 怎样清除 RMS 客户端缓存
- [技术分享 – RMS 篇] 怎样清除 RMS 客户端缓存
- Azure上搭建AD RMS环境系列二 -- RMS群集安装及内网测试
- AD RMS个人技术博客记录
- [技术分享 - RMS 篇] 如何在企业域环境内简化 RMS 认证过程
- [技术分享 – RMS 篇] RMS 终于露“面”了…
- [技术分享 – RMS 篇] RMS 的服务连接点在哪里?
- [技术分享--RMS篇] 使用 RMS 保护任何文件类型的文档
- AD RMS安装过程中报错的问题
- linux 之umask命令
- 第65天的交易(2013-7-8)(-100)(-260)
- 单核双核多线程的简单问题
- Revit MEP中如何利用API实现把弯头链接到风管上
- 一个简单的实现复制文件并修改文件扩展名的小程序
- [技术分享--RMS篇] 请不要把 AD RMS 服务器安装到 DC 上
- Java中参数以by value方式而非by reference 方式传递(值传递)
- Tomcat简介
- 博客长草了,该整理收拾了
- RAW_SOCKET
- 袁军晓专家提示:8种早餐吃法最错误 油条早餐会致癌
- 用Eclipse生成jar文件
- 使用POI读写Excel文件
- [文字工具] Beyond Compare 3.3.5