Windows Server 2008：活动目录权限管理服务

windows服务器2008的活动目录权限管理服务（AD RMS）（从前的windows的RMS）是一个关键，以保护敏感信息。之前发布的windows服务器2008，与用户之外的企业网络共享的一个受RMS保护的文档，要求接受者的组织里有一个兼容的RMS服务器。或者，外面的用户可以在企业网络内给一个活动目录帐户，这个过程提出了具有挑战性的行政和安全等问题。微软的协作平台，在用户活动目录介绍基础上，共享点服务器2007也有能力对文档进行动态申请RMS保护。但是，这也需要一个本地活动目录帐户。

Windows server 2008能使用一种更全面和更易于管理的新方法保护敏感资料。由于在windows server 2003中，活动目录联邦服务（AD FS），能使一个组织与另一个组织建立起联邦信任。用户一旦登录到他们本地域，通过身份识别和进入联邦可以进入伙伴的域。因为在windows server 2008，AD RMS已与AD FS整合，现在联邦信任，允许AD RMS认可适合的至外部用户RMS许可，而不需要在当地登录或者拥有他们自己的AD RMS服务器。

这种情况就是所谓的"安全联邦协作"。从本质上讲，一家公司内部的管理员需要分享RMS保护信息，对外部用户不再需要维持独立的用户名和密码。外部户用需要一个单独的登录（SSO），使他们能够合适地获得RMS保护内容，而不需要保留多重身份。总之，安全分享机密信息-无论是和合作伙伴、供应商或顾客，已经变得更加容易。当外部用户认证，RMS将自动提供所有适当的许可，允许外部用户工作和分享组织的内部敏感内容。管理员获得单点控制，控制如何使外部用户与保护内容交互，包括定义模块能力，使之可以应用于成倍增加的伙伴关系。

在windows server 2008，AD FS与AD RMS共同工作，在联邦识别基础上，使用户在不同领域安全共享文档，而不是本地活动目录层面。这可以AD FS要求鉴别用户，并控制他们进入内容。当外部用户登录到他们本地AD领域，提供他们联邦要求，这要求包含应当予以认同的信任书和进入权利。

这创建立一个强大的新内容共享 - 联邦文档协作 - 对外部用户消除维护影子账户需要，并提供给这些用户单独登录进入RMS保护内容。一旦两个实体已经建立了联邦信任，用户可以分享和利用保护的内容几乎一样，如果他们在同一个域。在资源提供者 - 管理员可以控制一些优良点 - 他们有某种方法进入其他某种内容，而对个人用户无需管理身份。

持久性信息保护

在windows服务器2008，AD RMS可以与很多应用工作和进行跨平台的工作，且无论在哪里运行，它都将提供紧密集成的使用权和加密后续内容。它可以用来保护文档，电子数据表，内联网网站和电子邮件。它也为开发整合RMS功能与非RMS应用提供了必要的工具。而且，组织可以创建定自定义使用权利模块，可以即时使用。

AD RMS服务器和客户端系统处理过程，第一步：开始发行用户许可申请AD RMS内容许可。一旦有个用户通过rms服务器已经发出一份账户证书，用户可以保护内容。这使文档的RMS保护变得简单；RMS特点是内置到微软的应用产品，例如微软office? word和微软office ?Excel?。RMS服务器绑定的权利的信息内容和加密内容，以防止未经授权的访问。当用户试图查看或以其他方式使用受保护文档时，RMS服务器发出声响，并检查用户的权限，发出解密和使用许可，这是恰当的。

在windows服务器2008之前，一个外部用户需要进入RMS保护的内容必须有一个本地用户帐户。在简化外部帐户管理后，这不再必要。