Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术，它与支持 AD RMS 的应用程序协同工作，以防止在未经授权的情况下使用数字信息（无论是联机和脱机，还是在防火墙内外）。AD RMS 适用于需要保护敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息）的组织。AD RMS 通过永久使用策略（也称为使用权限和条件）提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据，因此使用权限保持与信息在一起，而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问（无论是联机和脱机，还是在防火墙内外）后得以强制执行。AD RMS 可以建立以下必要元素，通过永久使用策略来帮助保护信息：

• 受信任的实体。组织可以指定实体，包括作为 AD RMS 系统中受信任参与者的 个人、用户组、计算机和应用程序。通过建立受信任的实体，AD RMS 可以通过将访问权限仅授予适当的受信任参与者来帮助保护信息。

• 使用权限和条件。组织和个人可以指定定义了特定受信任实体如何可以使用受权限保护的内容的使用权限和条件。读取、复制、打印、保存、转发和编辑的权限都是使用权限。使用权限可以附加条件，例如这些权限何时过期。组织可以阻止应用程序和实体访问受权限保护的内容。

• 加密。加密是通过使用电子密钥锁定数据的过程。AD RMS 可加密信息，使访问建立在成功验证受信任实体的条件之上。一旦信息被锁定，只有在指定条件（如果有）下授予了使用权限的受信任实体可以在支持 AD RMS 的应用程序或浏览器中对信息解除锁定或解密。随后应用程序将强制执行已定义的使用权限和条件。

具体可以参考：

本次系列文章来讨论如何结合ADRMS保护exchange 2016邮件通讯。

（一）准备操作系统

本次我们部署RMS使用的系统是Windows server 2012 R2操作系统。加入到了demo.com测试域中。

（二）证书服务器准备

这里我使用内网的私有CA，该CA在测试环境中并置在DC服务器上，生产环境建议CA和DC分开部署。

为RMS服务器申请一张专用的计算机证书。

登录到RMS服务器，使用MMC加载证书控制台进行申请。

选择申请证书。

完成后，如图。

（三）RMS服务账户准备

生产环境建议为RMS创建单独的服务账户。如果RMS和DC是分开部署的，只需要将服务账户加入到RMS服务器的本地管理员组中，权限是domain user即可。

同时设置密码永不过期，账户永不过期。

加入到RMS服务器的本地管理员组。