SharePoint 2016 中集成AD RMS 与Office Online Server集成
AD RMS 过程如下,我是安装在域控服务器上。。
安装ADRMS的用户必须隶属于本地组Administrators与域组Enterprise Admins,而当我们当前使用的域Administrators默认就隶属于这两个组。如果要利用其他域用户账户来登陆并安装ADRMS,先将此账户加入到这两个组中。
- 安装过程:服务器管理器---中选择添加角色和功能,勾选“Active Directory Rights Management Services”。
- 然后下一步,在ADRMS 权限的位置,选择AD权限管理服务器。下一步。
- 安装完成后执行其他配置
在AD RMS 配置页面里选择,创建新的AD RMS 跟群集
- 选择指定数据库服务器和数据库实例。
- 下面几步是介绍,在OOS服务器上安装AD RMS 的方法(方法二)
- 添加到现有的AD RMS 群集。然后在,服务器位置选择,服务器
- 对象模型选择计算机,录入SharePoint服务器名称,如下图6
- 然选择数据库
- 指定账户
- 然后下一步,在指定录入密码的地方录入密码
选择AD RMS 群集网站
- 到完全域名限定位置录入你的IIS域名。
下一步
立即注册
- 然后一直下一步,到安装
- 安装完成重启动
当在安装过程中发现问题,请参考如下操作;
https://social.technet.microsoft.com/wiki/contents/articles/13130.ad-rms-troubleshooting-guide.aspx
- 安装成功之后,左侧信息栏有如下内容。
安装完成后,开始配置,配置时需指定一个管理帐户,在AD中创建一个帐号,RMS数据库可以直接使用 SharePoint中的数据库服务,也可以选择使用本地服务,配置地址时指定一个IIS地址和端口,如果绑定域名的话DNS服务器中需要对该域名添加解析,详细配置过程略。
2.RMS 与SharePoint集成
- 到管理中心--安全性--配置信息权限管理,如下图:
- 在配置时可以选择“使用 Active Directory中指定的默认RMS服务器”,或者选择“使用此RMS服务器”手工指定RMS服务器域名。
- 在配置中,如果发现如下问题:
在RMS服务器的c:\inetpub\wwwroot\_wmcs\certification文件夹下面找到Certification .asmx文件。然后添加SharePoint的应用程序池帐号或者SharePoint服务器的“读取和执行”权限。
这个错误信息在2010时就遇到过,设置RMS WebService的访问权限即可:
在RMS服务器的c:\inetpub\wwwroot\_wmcs\certification文件夹下面找到ServerCertification.asmx文件。
注意:如果此文件夹不存在,则证明没有配置成功,请重新配置。
然后添加SharePoint的应用程序池帐号(我这里是administrator)和 AD RMS Service Group组“读取和执行”权限。
然后再安全--高级--权限--单击启用继承如下图,
- 在AD RMS Service Group 添加 SharePoint server 服务器名称。
操作步骤,单击添加--对象模型选择计算机,录入sharePoint 计算机名称。然后确认。
安全--权限编辑完成之后,如下图;
在AD 组中找到AD RMS Service Group添加成员 SharePoint 服务器和SharePoint的应用程序池帐号,如下图:
权限配置完成之后,就验证一下,是否有权限查看。其他配置方式都几乎一样,我先从博客园复制了,Janet sharePoint 配置截图。麻烦的地方就是配置AD RMS和CertificationWebService 授权。
测试权限是否配置正确的方式是输入WebService的地址,然后输入sharepoint的帐户和密码,看看是否能够正确显示WebService。
此处权限配置方面的各种问题摘录如下:
1.所需的 Windows Rights Management Client 存在,但服务器已拒绝访问。在服务器授予权限之前,IRM 将不会运行。 XXXX mname$domain.com XXXX这样的错误
这个错误是由于的权限设置问题,要在AD里头把MOSS管理员(还有MOSS站点应用程序池的运行帐户)加到 RMS 服务组里,然后把RMS服务组加到_wmcs\certification\ServerCertification.asmx上。
更正:要在AD里头把MOSS管理员(MOSS站点应用程序池的运行帐户),还有MOSS服务器(没错,就是机器!), 加到 RMS 服务组里,然后把RMS服务组,及 MOSS服务器 加到_wmcs\certification\ServerCertification.asmx上。
2.在对文档进行发送到下载副本操作时出错:异常来自 HRESULT:0x80041056。且直接在线打开文档时WORD一片空白(应该说是一片空蓝)
这个错误是由于当前登陆MOSS的用户没有正确的MAIL属性,也有可能是AD里头没有设置MAIL属性的时候用户已经被导入到SSP里,后来AD里头已经设置了,但是还没有同步到SSP里。
3.下载文档时半天弹不出下载框,直接打开时WORD也是显示个下载的进度条。
这是由于MOSS访问不了RMS服务器。检查一下吧。。。。
4.在线打开文档WORD一片空白
这个错误是群里一个朋友遇到的,后来也解决了并共享了出来,原因是由于IIS池用的是本地帐户,无法和RMS进行交互导致。
3.文档库集成
在文档库中管理界面中,点击“信息权限管理”,
勾选“下载时限制此库的权限”,输入策略的标题,对相关配置项进行勾选配置
在Web App中打开文档,文档内容不能再复制了,而且PDF文件也直接支持了该功能。
对比加密前后功能菜单差别,“编辑文档”和“注释”菜单不见了,而当前帐户对文档是有编辑权限的,这点没弄明白,难道附加了IRM限制的文档不支持在线编辑。
点击“下载”按钮时,系统提示错误,虽然不太友好,但功能上已经达到控制下载的目的。
在预览窗口中,发觉文档预览不支持IRM文档,这个也没想通原因(可能是文档预览机制是采用缓存机制,该机制跟IRM权限存在矛盾)
SharePoint2013中关键亮点SkyDrive Pro悲剧了
4.存在的问题
- 上面提到的无法在线修改、无法预览文档,而且拥有编辑权限的用户也无法下载副本(这点不太合乎常理,有待详细考证),SkyDrive Pro无法同步。
- SharePoint一直以来都是只能在文档库级别设置IRM,而无法按文档夹或文件单独启用这个功能,不知道是出于何种考虑。
- 文档在下载的时候会联系RMS服务器为文档附加相关的凭据头,而且文档只附加了当前用户权限的RMS凭据,这样导致该文档转发给其他用户时无法打开,只能从网上下载。
如,文档在文档库中设置为:A用户和B用户都有查看权限,但A下载后,转发给B,B用户是无法打开的,因为文件在下载时,在文件头里只附加了A的凭据及权限。这个其实不能说不合理,只是使用习惯问题,如果需要转发,请转发文档在SharePoint中的链接,这是微软推荐的做法。
5.总结
文档库是否开启IRM权限控制,这个需要根据业务需求详细考虑,IT领域的主要矛盾从来都是日益增长的安全性需求和满足广大人民群众的易用性之间的矛盾,具体功能性取舍权衡要慎重。