Udostępnij za pośrednictwem


Protect-RMSFile

Chroni określony plik lub pliki w określonym folderze przy użyciu usługi RMS.

Składnia

Protect-RMSFile
       [-File <String>]
       [-Folder <String>]
       [-InPlace]
       [-Recurse]
       [-TemplateID <String>]
       [-License <SafeInformationProtectionLicenseHandle>]
       [-DoNotPersistEncryptionKey <String>]
       [-OutputFolder <String>]
       [-OwnerEmail <String>]
       [<CommonParameters>]

Opis

Polecenie cmdlet Protect-RMSFile chroni plik lub wszystkie pliki w określonym folderze przy użyciu usługi Azure RMS lub AD RMS. Jeśli plik był wcześniej chroniony, będzie ponownie chroniony, aby zastosować wszelkie zmiany, takie jak te, które mogą zostać wprowadzone do szablonu używanego do ochrony pliku.

Wiele typów plików może być chronionych w taki sam sposób, w jaki klient usługi Azure Information Protection może chronić pliki w przypadku używania opcji "Klasyfikuj i chroń" po kliknięciu prawym przyciskiem myszy Eksplorator plików.

Różne poziomy ochrony są stosowane automatycznie (natywne lub ogólne) w zależności od typu pliku. Poziom ochrony można zmienić, edytując rejestr. Ponadto niektóre pliki zmieniają rozszerzenie nazwy pliku po ich ochronie przez usługę Rights Management. Aby uzyskać więcej informacji, zobacz sekcję Typy plików, dla których obsługiwana jest ochrona w podręczniku administratora klienta usługi Azure Information Protection.

Przed uruchomieniem tego polecenia cmdlet należy uruchomić polecenie Get-RMSTemplate , aby pobrać szablony na komputer. Jeśli szablon, którego chcesz użyć, został zmodyfikowany od uruchomienia tego polecenia cmdlet, uruchom go ponownie z parametrem -force , aby pobrać poprawiony szablon.

Po uruchomieniu tego polecenia cmdlet dostępne są następujące opcje:

  • Plik jest chroniony w bieżącej lokalizacji, zastępując oryginalny plik, który był niechroniony.

  • Oryginalny plik pozostaje niechroniony, a chroniona wersja pliku jest tworzona w innej lokalizacji.

  • Wszystkie pliki w określonym folderze są chronione w bieżącej lokalizacji, zastępując oryginalne pliki, które nie były chronione.

  • Wszystkie pliki w określonym folderze pozostają niechronione, a chroniona wersja każdego pliku jest tworzona w innej lokalizacji.

Nie można uruchomić tego polecenia jednocześnie, ale musi poczekać na ukończenie oryginalnego polecenia przed ponownym uruchomieniem. Jeśli spróbujesz uruchomić go ponownie przed zakończeniem poprzedniego polecenia, nowe polecenie zakończy się niepowodzeniem.

To polecenie cmdlet zapisuje w następujących plikach dziennika: Success.log, Failure.log i Debug.log w pliku %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.

Porada

Aby uzyskać instrukcje krok po kroku dotyczące używania tego polecenia cmdlet do ochrony plików w udziale plików systemu Windows Server, przy użyciu Resource Manager plików i infrastruktury klasyfikacji plików, zobacz Rms Protection with Windows Server File Classification Infrastructure (FCI).

Przykłady

Przykład 1. Ochrona i zastępowanie pojedynczego pliku przy użyciu szablonu

PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

To polecenie chroni pojedynczy plik o nazwie Test.docx przy użyciu szablonu i zastępuje oryginalny niechroniony plik. Właściciel usługi Rights Management pliku oraz adres e-mail, który może być wyświetlany użytkownikom podczas uzyskiwania dostępu do chronionego pliku, jest automatycznie ustawiany jako adres e-mail konta, na którym uruchomiono polecenie.

Przykład 2: Tworzenie chronionej kopii pojedynczego pliku przy użyciu szablonu

PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test-Copy.docx

To polecenie jest takie samo jak w poprzednim przykładzie, z tą różnicą, że nie używa parametru InPlace . Ponieważ nie używa również parametru OutputFolder , chroniony plik jest tworzony w bieżącym folderze z dołączonym do nazwy pliku ciągiem "-Copy". Oryginalny, niechroniony plik pozostaje w bieżącym folderze.

Przykład 3. Tworzenie chronionej wersji pliku przy użyciu szablonu

PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"

InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Temp\Test.ptxt

To polecenie chroni pojedynczy plik o nazwie Test.docx przy użyciu szablonu i umieszcza tę chronioną wersję pliku w folderze C:\Temp, pozostawiając oryginalny plik niechroniony w katalogu głównym dysku C: . Właściciel pliku usługi Rights Management i adres e-mail, który może być wyświetlany użytkownikom podczas uzyskiwania dostępu do chronionego pliku, jest przeznaczony dla administratora.

Przykład 4: Chronić wszystkie pliki w folderze przy użyciu szablonu

PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"

InputFile                        EncryptedFile

----------                       -------------
\\server1\Docs\Feb2015.docx      \\server1\Docs\Feb2015.docx

\\server1\Docs\Feb2015.txt       \\server1\Docs\Feb2015.ptxt

\\server1\Docs\Jan2015.docx      \\server1\Docs\Jan2015.docx

\\server1\Docs\Jan2015.txt       \\server1\Docs\Jan2015.ptxt

To polecenie chroni wszystkie pliki w udziale serwera (tylko jeden folder, a nie podfoldery), zastępując niechronione pliki. Adres e-mail, który jest wyświetlany użytkownikom, gdy nie ma dostępu, jest przeznaczony dla grupy działu IT, a ta grupa ma przyznane prawa użytkowania Pełna kontrola w szablonie, aby mogli zmienić prawa użytkowania chronionych plików.

Ponieważ ten scenariusz chroni pliki w imieniu innych osób, parametr DoNotPersistEncryptionKey jest używany do maksymalnej wydajności i zapobiega zapisywaniu nieużywanych plików na dysku.

Przykład 5: Chronione pliki z określonym rozszerzeniem nazwy pliku w folderze przy użyciu szablonu

PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}


InputFile                                   EncryptedFile

---------                                   -------------
\\server1\Docs\Feb2015.docx                 \\server1\Docs\Feb2015.docx

\\server1\Docs\Jan2015.docx                 \\server1\Docs\Jan2015.docx

\\server1\Docs\Reports\Feb2015.docx         \\server1\Docs\Reports\Feb2015.docx

\\server1\Docs\Reports\Jan2015.docx         \\server1\Docs\Reports\Jan2015.docx

To polecenie chroni tylko pliki, które mają .docx rozszerzenie nazwy pliku w folderze (i wszystkich podfolderach) w udziale serwera, zastępując niechronione pliki. Tak jak w poprzednim przykładzie, adres e-mail wyświetlany użytkownikom, gdy nie ma dostępu, jest przeznaczony dla działu IT.

Mimo że polecenie Protect-RMSFile nie obsługuje natywnie symboli wieloznacznych, można użyć Windows PowerShell, aby to osiągnąć, i zmienić rozszerzenie nazwy pliku w przykładzie, zgodnie z potrzebami.

Przykład 6. Ochrona pojedynczego pliku przy użyciu zasad praw ad hoc

PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Test.ptxt

Pierwsze polecenie tworzy zasady praw ad hoc, które udzielają uprawnień Do edycji do polecenia user1@contoso.com.

Drugie polecenie chroni pojedynczy plik o nazwie Test.txt przy użyciu właśnie utworzonych zasad praw ad hoc i zastępuje oryginalny plik niechroniony.

Pamiętaj, że jeśli twój adres e-mail to user1@contoso.com, nie będzie można wyłączyć ochrony tego pliku po zakończeniu polecenia, ponieważ nie masz do niego żadnych praw i nie jesteś właścicielem usługi Rights Management.

Jeśli chcesz później wyłączyć ochronę tego pliku, możesz dodać swoją nazwę i przyznać użytkownikowi i sobie prawo WYODRĘBNIJ lub WŁAŚCICIEL w zasadach praw ad hoc w pierwszym poleceniu. Jeśli nie chcesz, aby użytkownik mógł wyłączyć ochronę pliku, dodaj polecenie -OwnerEmail <swój adres> e-mail na końcu drugiego polecenia.

Parametry

-DoNotPersistEncryptionKey

Zapobiega zapisywaniu licencji użytkownika końcowego z uprawnieniami użytkownika końcowego dla wystawcy usługi Rights Management, gdy plik jest chroniony. Ta licencja umożliwia wystawcy usługi Rights Management otwarcie chronionego pliku bez uwierzytelniania w usłudze Rights Management. Pomaga to zapewnić, że osoba, która uruchomiła to polecenie cmdlet, zawsze może otwierać własne pliki, które chronią, nawet jeśli ta osoba jest w trybie offline. Powoduje to również minimalne opóźnienia otwarcia tych chronionych plików przez tego użytkownika.

Wystawca usługi Rights Management to konto, które chroni pliki. Aby uzyskać więcej informacji, zobacz Wystawca usługi Rights Management i Właściciel usługi Rights Management.

Domyślnie ta licencja użytkownika końcowego udzielana samodzielnie jest zapisywana zarówno w samym pliku, jak i na komputerze, z którego jest uruchamiane polecenie cmdlet. Nazwa pliku rozpoczyna się od EUL i jest tworzona w folderze %localappdata%\Microsoft\MSIPC. Użyj tego parametru, aby uniemożliwić zapisanie licencji użytkownika końcowego w pliku, na komputerze lub w obu tych przypadkach. Określenie tego parametru jest odpowiednie, jeśli chronisz pliki w imieniu innych osób, na przykład za pomocą jednostki FCI systemu Windows Server. W tym scenariuszu wystawca usługi Rights Management nie otworzy chronionych plików, dlatego utworzenie i zapisanie licencji użytkownika końcowego zmniejsza wydajność ochrony i niepotrzebnie generuje wiele plików, które mogą wypełnić dostępne miejsce na dysku.

Dopuszczalne wartości tego parametru:

  • Dysku: Licencja użytkownika końcowego dla wystawcy usługi Rights Management nie jest generowana dla każdego pliku w folderze %localappdata%\Microsoft\MSIPC.

  • Licencji: Licencja użytkownika końcowego dla wystawcy usługi Rights Management nie jest wstawiana do licencji publikowania pliku.

  • Wszystkie: Nie utworzono licencji użytkownika końcowego dla wystawcy usługi Rights Management i zapisano go, gdy plik jest chroniony.

Typ:String
Dopuszczalne wartości:all, disk, license
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-File

Określa ścieżkę i nazwę pliku do ochrony. Dla ścieżki można użyć litery dysku lub UNC.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Folder

Określa ścieżkę i folder, który ma być chroniony. Dla ścieżki można użyć litery dysku lub UNC.

Wszystkie pliki aktualnie w określonym folderze będą chronione. Nowe pliki dodane do folderu nie będą automatycznie chronione.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-InPlace

Plik lub pliki w określonym folderze są chronione w bieżącej lokalizacji, zastępując niechroniony oryginalny plik lub pliki. Ten parametr jest ignorowany, jeśli określono parametr OutputFolder .

Jeśli nie określono pliku InPlace ani OutputFolder, nowy plik zostanie utworzony w bieżącym katalogu z dołączonym ciągiem "-Copy" do nazwy pliku przy użyciu tej samej konwencji nazewnictwa, która Eksplorator plików używa, gdy plik jest kopiowany i wklejany do tego samego folderu. Jeśli na przykład plik z Document.docx nie jest chroniony, chroniona wersja nosi nazwę Document-Copy.docx. Jeśli plik o nazwie Document-Copy.docx już istnieje, zostanie utworzony plik Document-Copy(2).docx itd.

Typ:SwitchParameter
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-License

Określa nazwę zmiennej, która przechowuje zasady praw ad hoc, które zostały utworzone przy użyciu polecenia cmdlet New-RMSProtectionLicense . Te zasady praw ad hoc są używane zamiast szablonu do ochrony pliku lub plików.

Typ:SafeInformationProtectionLicenseHandle
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-OutputFolder

Określa ścieżkę i folder do umieszczania chronionych wersji oryginalnych plików, które pozostają niechronione. Zachowana jest oryginalna struktura folderów, co oznacza, że podfoldery mogą zostać utworzone dla określonej wartości.

Dla ścieżki można użyć litery dysku lub UNC.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-OwnerEmail

Określa właściciela usługi Rights Management chronionego pliku lub plików za pomocą adresu e-mail.

Domyślnie konto, na którym uruchomiono to polecenie cmdlet, jest zarówno wystawcą usługi Rights Management, jak i właścicielem chronionego pliku usługi Rights Management. Ten parametr umożliwia przypisanie innego właściciela usługi Rights Management do chronionego pliku, dzięki czemu określone konto ma wszystkie prawa użytkowania (Pełna kontrola) dla pliku i zawsze może uzyskać do niego dostęp. Właściciel usługi Rights Management jest niezależny od właściciela systemu plików systemu Windows. Aby uzyskać więcej informacji, zobacz Wystawca usługi Rights Management i Właściciel usługi Rights Management.

Jeśli nie określisz wartości tego parametru, polecenie cmdlet użyje adresu e-mail uwierzytelnionej sesji, aby zidentyfikować właściciela usługi Rights Management chronionego pliku lub plików. Jeśli używasz usług AD RMS lub Azure RMS z kontem użytkownika do ochrony plików, będzie to Twój adres e-mail. Jeśli używasz usługi Azure RMS z kontem jednostki usługi, ten adres e-mail będzie długi ciąg cyfr i liter. Ten adres e-mail jest wyświetlany użytkownikom, którzy nie mają uprawnień do wyświetlania chronionego dokumentu, aby mogli żądać uprawnień.

Jeśli uruchomisz to polecenie cmdlet dla usługi Azure RMS z kontem jednostki usługi, a użytkownik jest właścicielem chronionych plików lub plików, określ własny adres e-mail dla tego parametru. Jeśli uruchomisz to polecenie cmdlet dla usługi Azure RMS z kontem jednostki usługi, a jeden użytkownik jest właścicielem pliku lub wszystkich chronionych plików, określ ich adres e-mail, aby nie ograniczyć oryginalnego właściciela pliku do wprowadzania zmian w pliku i używania go zgodnie z oczekiwaniami.

Jeśli uruchomisz to polecenie cmdlet z wieloma plikami należącymi do różnych użytkowników, upewnij się, że ci użytkownicy mają przyznane prawa użytkowania Pełna kontrola i zastanów się, który adres e-mail ma zostać przypisany do tego parametru. Chociaż można określić adres e-mail grupy i ten adres jest wyświetlany w celu żądania uprawnień dostępu, członkowie grupy nie są właścicielami usługi Rights Management i domyślnie nie mają praw użytkowania do pliku ochrony. W tym scenariuszu wybierz, czy chcesz przypisać pojedynczego użytkownika (na przykład administratora), czy określić adres e-mail grupy, który również przypiszesz prawa użytkowania Pełna kontrola. W przypadku konfiguracji poczty e-mail grupy może to być na przykład Pomoc techniczna.

Ważne: Mimo że ten parametr jest opcjonalny, jeśli nie określisz go podczas ochrony plików przy użyciu usługi Azure RMS i jednostki usługi, adres e-mail widoczny dla użytkowników z klienta usługi Azure Information Protection nie będzie przydatny. W związku z tym zalecamy, aby zawsze określać ten parametr podczas ochrony plików przy użyciu usługi Azure RMS i jednostki usługi, a nie konta użytkownika.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Recurse

W przypadku użycia z parametrem Folder wskazuje, że wszystkie bieżące pliki w podfolderach będą chronione.

Typ:SwitchParameter
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-TemplateID

Określa identyfikator szablonu, który ma być używany do ochrony określonego pliku lub plików, jeśli nie używasz parametru Licencja dla zasad ad hoc. Jeśli nie znasz identyfikatora szablonu, którego chcesz użyć, użyj polecenia cmdlet Get-RMSTemplate .

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False