[技术分享--RMS篇] 请不要把 AD RMS 服务器安装到 DC 上

如果您当前打算在您的 AD 域环境部署 ADRMS 服务器，那么请切记不要把它安装 DC 上，如果您坚持要这样做，我们目前发现的问题主要有两个：

1.如果 ADRMS 服务器安装在域控 DC 上，我们需要添加 AD RMS 服务账号（通常我们会设置为 “Domain\adrmssrvc” ）到 Domain Admin 组才能正常工作；而如果 AD RMS 安装在一台域成员服务器上，这个账号只需要是普通的 Domain Users 用户即可；

2.安装好 AD RMS 服务器后，默认 IIS 站点仅赋予了 “Domain\Users” 这个默认容器的用户可以访问 AD RMS 的 Web 服务；

对于第1点来说，这可能带来一些安全上的问题，毕竟 Domain Admin 组设计来是为了管理整个 Domain 的；对于第2点来说，如果某个用户不属于 Users 这个默认容器，那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加 “Domain\Domain Users” 到IIS 的安全访问列表里（参照下图），但是毕竟这带来了管理上的不便。

参考：

========

http://technet.microsoft.com/en-us/library/jj735304.aspx

Best practice rule	Notes
Use dedicated ADRMS servers.	Installing ADRMS on the same server as a domain controller, Microsoft Exchange Server, Certification Authority, or Microsoft Office SharePoint Server is a poor security practice.
Do not install ADRMS on a domain controller.	If you do install ADRMS on a domain controller, you must add the ADRMS service account, which is normally configured with no additional permissions, to the Domain Admins group.

http://blogs.technet.com/b/rmssupp/archive/2007/10/18/the-dos-and-don-ts-of-rms.aspx

DON'T put RMS on a domain controller. This issuch a bad idea, that every time I see it, I want to go tell the person to gopick a switch and meet me behind the toolshed. You have to give the RMS_Serviceaccount admin rights on the machine to do this, and you agghhh.. Just don't!!

微软安全支持专家

Gary