[技术分享--RMS篇] 请不要把 AD RMS 服务器安装到 DC 上_微软大中华区安全团队

http://blog.sina.com.cn/u/1793371113

首页博文目录关于我

个人资料

微博

加好友发纸条

写留言加关注

博客等级：
博客积分：

博客访问：
关注人气：
获赠金笔：0支
赠出金笔：0支
荣誉徽章：

正文字体大小：大中小

[技术分享--RMS篇] 请不要把 AD RMS 服务器安装到 DC 上

(2013-07-11 10:58:47)

标签：

杂谈

分类： [技术分享-RMS篇]

如果您当前打算在您的 AD 域环境部署 AD RMS 服务器，那么请切记不要把它安装到 DC 上，如果您坚持要这样做，我们目前发现的问题主要有两个：

1. 如果 AD RMS 服务器安装在域控 DC 上，我们需要添加 AD RMS 服务账号（通常我们会设置为 “Domain\adrmssrvc” ）到 Domain Admin 组才能正常工作；而如果 AD RMS 安装在一台域成员服务器上，这个账号只需要是普通的 Domain Users 用户即可；

2. 安装好 AD RMS 服务器后，默认 IIS 站点仅赋予了 “Domain\Users” 这个默认容器的用户可以访问 AD RMS 的 Web 服务；

对于第1点来说，这可能带来一些安全上的问题，毕竟 Domain Admin 组设计来是为了管理整个 Domain 的；对于第2点来说，如果某个用户不属于 Users 这个默认容器，那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加不是 “Domain\ Users”组的用户到 IIS 的安全访问列表里（参照下图），但是毕竟这带来了管理上的不便。

参考：

========

http://technet.microsoft.com/en-us/library/jj735304.aspx

Best practice rule	Notes
Use dedicated AD RMS servers.	Installing AD RMS on the same server as a domain controller, Microsoft Exchange Server, Certification Authority, or Microsoft Office SharePoint Server is a poor security practice.
Do not install AD RMS on a domain controller.	If you do install AD RMS on a domain controller, you must add the AD RMS service account, which is normally configured with no additional permissions, to the Domain Admins group.

http://blogs.technet.com/b/rmssupp/archive/2007/10/18/the-dos-and-don-ts-of-rms.aspx

DON'T put RMS on a domain controller. This is such a bad idea, that every time I see it, I want to go tell the person to go pick a switch and meet me behind the toolshed. You have to give the RMS_Service account admin rights on the machine to do this, and you agghhh.. Just don't!!

微软安全支持专家

Gary

阅读┊ 收藏 ┊ 喜欢 ▼ ┊打印┊举报/Report

前一篇：20130710，微软7月10日发布7个安全补丁

后一篇：微软安全新闻聚焦-双周刊第三十五期

新浪BLOG意见反馈留言板　欢迎批评指正