此文章為大家介紹的是一款簡單，好用，免費，效果還不錯的安全軟件，屬於Windows Server系統中的一個角色，那就是ADRMS，微軟文檔安全管理服務(RMS)：Right Management Service，主要針對於office文檔的加密和權限控制，比如：打開這些文檔時多了一部身份驗證的過程，意味著對這些文檔的安全性有一個很好的掌控，唯一遺憾是，RMS與Windows Live ID集成功能因為一個不可解決的問題，官方已經關閉了此服務。

【正文】

RMS最開始從Windows Server 2003引入，在2003系統使用RMS需要獨立安裝。從Windows Server 2008開始，RMS的環境整合到AD中，從而RMS也稱ADRMS，ADRMS可以支持office的應用程序，也可以支持PDF等應用程序。

1      部署簡述

ADRMS的部署存在基本運行環境，同時運行ADRMS做一個管理時是以群集為單元，所以在RMS部署中會部署RMS群集，群集中包含兩台不同的服務器，從而實現負載平衡以及冗余的功能，一般可通過DNS輪詢來實現。
在構建好RMS群集環境後，便可查看最終用戶是如何使用RMS運行環境，從而去實現對文檔權限的控制，即使文檔被拷貝出去，對文檔的權限設置依然是處於有效狀態。

2       原理及架構介紹

RMS基礎架構如下：

首先我們打開的office文檔要能支持RMS的應用程序，企業中必須存在RMS服務器，在打開文檔需要輸入用戶名和密碼的情況，實際上就是連接到RMS服務器。其中，RMS的權限配置信息也會保存在數據庫中。

假設場景進行說明，更為容易理解其工作過程：

a.用戶名A設置

在此基礎架構中，用戶A使用RMS保存加密文檔，需要使用自己的用戶登陸到RMS，首次登錄時，RMS會為用戶A頒發兩張證書：客戶端證書（CLC）和權限用戶證書（RAC），這兩張證書的信息會保存到RMS數據庫和客戶端本機上。
此時，用戶A就可以選擇指定用戶對指定的文件做特定的訪問。

b.用戶A設置完成並保存後，文檔處理過程

階段一：
文檔會使用隨機的密鑰key（128位，AES加密方式）將文檔變成密文---此隨機的密鑰key會由RMS服務器證書SLC（該證書在創建和配置RMS時自己生成的自簽名證書）進行加密。
階段二：
在完成文件加密過程後，對於文件來說，需要做一個權限訪問列表，例如：哪些用戶可以訪問、哪些用戶可以打印、哪些用戶可以復制。對於該權限列表，在保存文檔時（該列表在本地也是存在的）也會使用RMS服務器證書SLC對該列表也會進行加密，除了SLC，還有客戶端證書CLC的公鑰對如上所說的整體做加密。
加密完成後，訪問的信息也在文件當中。最終用戶保存的文件便是如此：密文以及加密的key也做了加密，訪問的權限也做了加密。
c.文件傳播後
用戶B得到該文件，能夠正常看到該文件（因為該文檔程序支持RMS，因此可以讀懂這些信息，可以看到該文檔為加密）----然後可以讀取RMS服務器地址（也就是找到許可訪問的入口）----RMS服務器查看文件的訪問的信息，因為這些信息也會保存在數據庫中，所以可以通過數據庫查看這些信息。
用戶B首次打開文檔也要輸入用戶名和密碼進行登陸，登陸時也會有自己的客戶端證書（CLC）和用戶證書（RAC），獲取這些證書後，請求打開用戶A傳遞過來的文檔，所以會把自己的RAC提交（也就是個人用戶信息）到服務器。
RMS服務器先去解密訪問列表：該列表會和需要去打開該文檔的用戶B進行對比，發現列表當中是有用戶B，接下來對文件進行解密。然後把解密的這部分信息通過網絡傳遞（傳遞前先做解密，解密後再用RAC公鑰做一次加密）到RMS服務器上，最終傳遞到用戶B的計算機上。
傳遞完成後，RAC的私鑰會對文件進行解密，解密後即可獲得用戶B自己的訪問權限。