10.4 实战:使用权限策略模板保护文档
您可以针对企业某类文件创建权限策略模板进行保护,用户可以使用策略模板保护保护文档,简化权限保护的设置。
实战目标:
u 使用权限策略保护的文档
u 访问使用权限策略保护的文档
u 验证RMS设置的超级用户组访问文档的权限
实战环境:
u 授予研发人员能够读取归档的Word文档,权限是只能读取。
u 创建一个权限策略模板,授权研发组“research”只能读取。
u 域用户“王五”和“李四”是研发组“research”组的成员。
u 域用户“张三”创建一个文档,使用创建策略模板保护文档。
u 域用户“李四”隶属于“SupperGroup”,该组被设置成RMS服务的超级用户组。
10.4.1 在DCServer上的操作
任务:
u 为研发人员创建一个组“research”,设置该组的电子邮件地址。
u 把域用户帐户“王五”和“李四”添加到research组。
步骤:
1. 如图10-109所示,在研发部的组织单元中创建一个组“research”,并设置其电子邮件为research@ess.com。
2. 如图10-110所示,在研发部创建“王五”帐户,并设置电子邮件地址。
图10-109 创建组 图10-110 创建用户
3. 如图10-111所示,将“李四”和“王五”帐户添加到“Research”组。
图10-111 将用户添加到组
10.4.2 在RMSServer上的配置
任务:
u 创建权限策略模板,只允许researchGroup组中的用户只读文档。
u 指定模板存放的位置
步骤:
1. 如图10-112所示,打开Active Directory Rights Management Service管理工具,点击“创建分布式权限策略模板”。
2. 如图10-113所示,在出现的添加模板标识信息对话框,点击“添加”。
图10-112 创建策略模板 图10-113 添加标识信息
3. 如图10-114所示,在出现添加新的模板标识信息对话框,选择语言和输入名称“禁止复制”,输入描述“内部资料 禁止复制”,点击“添加”。
4. 如图10-115所示,在出现的添加模板标识对话框,点击“下一步”。
图10-114 输入标识信息 图10-115 添加标识信息
5. 如图10-116所示,在出现的添加用户权限对话框,点击“添加”。
6. 如图10-117所示,在出现的添加用户或组对话框,输入research组电子邮件地址research@ess.com,点击“确定”。
图10-116 添加用户 图10-117 选择用户或组
7. 如图10-118所示,选中用户research@ess.com,选中“查看”,选中“授予作者不会过期的控制权”,输入权限请求URL,点击“下一步”。
8. 如图10-119所示,在出现的指定过期策略对话框,选择到以下日期过期,点击“完成”,退出创建向导。
图10-118 指定权限 图10-119 设置过期时间
9. 如图10-120所示,点击“公布式权限策略模板”,新建的模板已经出现在列表中,此时虽然已经创建成功,但不能立即应用。
10. 如图10-121所示,右击模板,点击“查看权限摘要”。
11. 在出现的用户权限摘要对话框,可以看到所有者的权限是完全控制,research@ess.com只有查看权。
图10-120 查看权限摘要 图10-121 权限摘要
12. 如图10-122所示,右击禁止复制模板,点击“属性”。
13. 如图10-123所示,在出现的禁止复制属性对话框,在出现的过期策略标签下,可以更改到期时间。
图10-122 模板属性 图10-123 过期时间
14. 如图10-124所示,创建一个文件夹,右击点击“共享”。
15. 如图10-125所示,授予RMS的服务帐号对该文件夹具有共享权限具有参与者的权限。
图10-124 共享文档 图10-125 设置共享权限
16. 如图10-126所示,点中“权限策略模板”,点击“属性”。
17. 如图10-127所示,在出现的权限策略模板属性对话框,指定模板存放位置,选中“启用导出”。
图10-126 设置权限策略模板属性 图10-127 指定路径
18. 如图10-128所示,可以看到禁止复制的模板已经保存在出现的template目录中。
图10-128 保存的模板
10.4.3在DCServer上使用组策略为用户指定权限策略模板
客户端必须将服务器中创建的权限策略模板保存到本地计算机才可以使用,可以通过文件共享、网络传输及移动存储介质等方式获得。默认情况下,权限策略模板的保存位置为“未设置”。为了便于保存和用户使用,应在群集中指定一个公共文件夹,用于保存所有的策略模板。
一旦创建了此注册表项,必须手动从导出模板位置路径复制模板文件。如果使用 Windows Server 2008 作为 AD RMS 客户端,则在启用了自动权限策略模板管理功能的情况下将自动管理权限策略模板
任务:
u 使用组策略为研发部部门部署权限策略模板
步骤:
1. 在DCServer上登录。
2. 如图10-所示129,访问该网址下载管理模板
http://download.microsoft.com/download/8/0/e/80ea55f2-734f-4658-8dd0-14616954e30a/AdminTemplates.exe
3. 如图10-130所示,解压模板。
图10-129 下载的模板 图10-130 解压模板
4. 如图10-131所示,指定解压的目录,点击“确定”。
5. 如图10-132所示,点击“开始”à“运行”,输入dsa.msc,点击“确定”。打开活动目录管理工具。
图10-131 选择解压路径 图10-132 打开活动目录管理工具
6. 如图10-133所示,可以看到研发部的组织单元中有两个用户和一个组。
7. 点击“开始”à“运行”,输入gpmc.msc,打开组策略管理工具。
8. 如图10-134所示,右击“研发部”,点击“在出现的这个域中创建GPO并在出现的此处连接”。
图10-133 查看组织单位中对象 图10-134 创建GPO
9. 如图10-135所示,在出现的新建GPO对话框,输入名称,点击“确定”。
10. 如图10-136所示,右击researchGPO,点击“编辑”。
图10-135 输入GPO的名称 图10-136 编辑组策略
11. 如图10-137所示,在出现的组策略管理编辑器对话框,右击用户配置下的管理模板,点击“添加/删除模板”。
12. 如图10-138所示,在出现的添加/删除模板对话框,点击“添加”。
图10-137 添加/删除模板 图10-138 添加模板
13. 如图10-139所示,浏览到office12.adm,点击“打开”。
14. 如图10-140所示,在添加/删除模板对话框,点击“关闭”。
图10-139 选择模板 图10-140 关闭
15. 如图10-141所示,在用户配置à策略à管理模板:从本地计算机检索到的策略定义(ADMX文件)à经典管理模板(ADM)àMicrosoft Office System 2007à管理受限权限下,双击“指定权限策略路径”。
16. 如图10-142所示,在出现的指定权限策略路径属性对话框,选择“已启用”,输入权限策略模板的路径。
图10-141 指定权限策略路径 图10-142 指定路径
10.4.5 在Vista上使用权限策略模板设置权限
1. 如图10-143所示,已域用户zhangs登录到Vista。
2. 如图10-144所示,创建一个Word文档输入一些内容,点击“文件”à“准备”à“限制权限”,选择“禁止复制”。
图10-143 登录 图10-144 使用模板保护
3. 如图10-145所示,在出现的连接到RASServer.ess.com对话框,输入用户名和密码,点击“确定”。
4. 如图10-146所示,点击“查看权限”,可以看到当前用户的权限。
图10-145 输入凭据 图10-146 查看权限
10.4.6 在Vista上验证权限策略设置的权限
任务:
u 使用“王五”帐户验证权限
u 使用“李四”帐户验证RMS设置的超级用户权限
步骤:
1. 如图10-147所示,以wangw域帐号登录到Vista。
2. 如图10-148所示,打开受权限保护的文档,输入帐号和密码。
图10-147 登录 图10-148 输入凭据
3. 如图10-149所示,在出现的提示对话框,点击“确定”。
4. 如图10-150所示,点击“查看权限”,可以看到当前用户的权限“查看”。
图10-149 提示 图10-150 权限设置
5. 如图10-151所示,选中文档中的一段文字,右击,复制和剪切以及粘贴都是灰色的。
6. 如图10-152所示,点击“文件”,不能保存和另存为。
图10-151权限设置生效 图10-152 权限设置生效
7. 如图10-153所示,使用李四帐户登录
8. 如图10-154所示,打开文档,输入连接到Rmsserver.ess.com帐号和密码,点击“确定”。
图10-153 使用李四登录 图10-154 输入凭据
9. 如图10-155所示,可以看到验证凭据下载权限的对话框,点击“确定”。
10. 如图10-156所示,点击“查看权限”,在出现的我的权限对话框,有完全控制权。因为该用户是RMS的超级用户。
图10-155 提示 图10-156 超级管理员权限
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1133937,如需转载请自行联系原作者
