假设有这样一个场景：公司财务部的员工发送一些机密资料，其他人只能够进行查看，其它权限一律不给。那么我们就可以给财务部创建一个模板，这样财务部的员工发送文件的时候就可以套用该模板进行发送，这样任何人收到文件后就只能进行查看，而无需财务部员工每次都自己进行权限的指定。

网络拓扑如下图

 

实验目标：Mark是财务部的一名员工，他使用公司AD RMS服务器上的策略模板给公司员工的Alice发送文件，Alice收到后只能读取该文件

 

实验思路：

1.在AD RMS上创建权限策略模板，该策略模板的权限为任何人只能查看

2.指定权限策略模板的UNC路径，让财务部的员工可以访问到该权限策略模板来利用该策略模板，我们需要在DC上安装office2010组策略模板

3.财务部员工套用权限策略模板发送文件

4.测试其它用户收到后是否只能读取文件

 

一.创建权限策略模板

如下图，选择“创建分布式权限策略模板”

 

选择添加，然后输入相关信息，然后选择下一步

 

在这里我们选择添加

 

选择“任何人”

 

任何人的权限是“查看”，但是如果他们想请求权限，可以给  ，选择“下一步”

 

默认选择了永不过期，也就是文件到什么时候就可不能进行查看了

 

我们直接选择“完成”至于其他的“指定扩展策略”，“指定吊销策略”如果想使用请见AD RMS帮助

 

完成后视图如下

 

我们选择“查看权限摘要”

 

如下图，任何人只有查看权限

 

二.指定权限策略模板的UNC路径，并安装office2010组策略模板

如下图，在AD RMS服务器上的D盘创建一个共享文件夹AD RMS  template

 

该文件夹的权限是财务组可以读取（这个组我已经在CAIWU的组织单位中进行创建且该组的邮件地址是），AD RMS服务启动账户需要写入的权限，为什么AD RMS服务器账户需要写入权限，您可以不进行设置，然后看看后面报什么错误就知道为什么需要AD RMS服务启动帐户写入权限

 

如下图，完成共享

 

选择我们的创建的策略，选择“属性”

 

在这里我们选择“启用导出”复制UNC路径，然后选择应用，确定

 

如下图，DC上我的准备工作

 

为了让CAIWU部的员工可以使用创建的权限策略模板，我们必须在DC上安装office2010的组策略模板，如下图，我已经解压了该策略模板

 

对caiwu部的OU上创建一条组策略，选择“编辑”

 

我们定位到用户配置，选择“管理模板”，选择“添加/删除模板”

 

选择“添加”

 

我们定位到ADM，选择zh-cn

 

选择“office14”，选择打开，关闭

 

如下图，我们就可以管理office2010，我们定位到“管理受限权限”，选择“指定权限策略路径”

 

输入刚才的UNC路径，应用确定，然后刷新下DC上的组策略，这样用户登录后office2010就可以找到域中的策略模板，并使用该权限策略模板

 

3.财务部员工套用权限策略模板

如下图，Mark登录win701后打开Word，随便输入一些信息

 

如下图，在“按人员限制权限”中就有了我们创建的策略模板“权限仅读取”

 

如下图，非财务部员工Alice登录win702，打开Mark创建的word文件

 

同样的Alice需要连续到AD RMS服务器去下载权限

 

如下图，Alice输入用户名和密码后，打开该文档，查看权限只有“查看”权限

 

如果alice想要其它的权限，我们可以点击“请求附加权限”，这个时候会调用outlook

 

如下图，Alice登录后无法使用到权限策略模板，因为我们的office组策略只针对了caiwu部

 

 

以上，我们就完成了AD RMS权限策略模板的实验