Поделиться через


Protect-RMSFile

Защищает указанный файл или файлы в указанной папке с помощью RMS.

Синтаксис

Protect-RMSFile
       [-File <String>]
       [-Folder <String>]
       [-InPlace]
       [-Recurse]
       [-TemplateID <String>]
       [-License <SafeInformationProtectionLicenseHandle>]
       [-DoNotPersistEncryptionKey <String>]
       [-OutputFolder <String>]
       [-OwnerEmail <String>]
       [<CommonParameters>]

Описание

Командлет Protect-RMSFile защищает файл или все файлы в указанной папке с помощью Azure RMS или AD RMS. Если файл ранее был защищен, он будет снова защищен, чтобы применить любые изменения, такие как те, которые могут быть внесены в шаблон, используемый для защиты файла.

Несколько типов файлов можно защитить так же, как клиент Azure Information Protection может защищать файлы при использовании параметра "Классификация и защита" правой кнопкой мыши из проводник.

Различные уровни защиты автоматически применяются (собственные или универсальные) в зависимости от типа файла. Уровень защиты можно изменить, изменив реестр. Кроме того, некоторые файлы изменяют расширение имени файла после их защиты с помощью Rights Management. Дополнительные сведения см. в разделе о типах файлов, поддерживающих защиту, в руководстве администратора клиента Azure Information Protection.

Перед запуском этого командлета необходимо запустить Get-RMSTemplate , чтобы скачать шаблоны на компьютер. Если шаблон, который вы хотите использовать, был изменен с момента запуска этого командлета, запустите его еще раз с параметром -force , чтобы скачать измененный шаблон.

При запуске этого командлета доступны следующие параметры:

  • Файл защищен в текущем расположении, заменив исходный файл, который был незащищен.

  • Исходный файл остается незащищенным, а защищенная версия файла создается в другом расположении.

  • Все файлы в указанной папке защищены в текущем расположении, заменив исходные файлы, которые были незащищены.

  • Все файлы в указанной папке остаются незащищенными и в другом расположении создается защищенная версия каждого файла.

Эту команду нельзя выполнить одновременно, но ее необходимо дождаться завершения исходной команды, прежде чем выполнять ее снова. Если вы попытаетесь запустить его еще раз до завершения предыдущей команды, новая команда завершится ошибкой.

Этот командлет записывает в следующие файлы журналов: Success.log, Failure.log и Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.

Совет

Пошаговые инструкции по использованию этого командлета для защиты файлов в общей папке Windows Server с помощью файловых Resource Manager и инфраструктуры классификации файлов см. в разделе "Защита RMS" с инфраструктурой классификации файлов Windows Server (FCI).

Примеры

Пример 1. Защита и замена одного файла с помощью шаблона

PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Эта команда защищает один файл с именемTest.docx с помощью шаблона и заменяет исходный незащищенный файл. Владелец файла Rights Management и адрес электронной почты, который может отображаться пользователям при доступе к защищенному файлу, автоматически задается в качестве адреса электронной почты для учетной записи, выполняющей команду.

Пример 2. Создание защищенной копии одного файла с помощью шаблона

PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test-Copy.docx

Эта команда аналогична предыдущему примеру, за исключением того, что она не использует параметр InPlace . Так как он также не использует параметр OutputFolder , защищенный файл создается в текущей папке с добавлением "-Copy" к имени файла. Исходный незащищенный файл остается в текущей папке.

Пример 3. Создание защищенной версии файла с помощью шаблона

PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"

InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Temp\Test.ptxt

Эта команда защищает один файл с именемTest.docx с помощью шаблона и помещает эту защищенную версию файла в C:\Temp, оставив исходный файл незащищенным в корне диска C: . Владелец файла Rights Management и адрес электронной почты, который может отображаться пользователям при доступе к защищенному файлу, предназначен для администратора.

Пример 4. Защита всех файлов в папке с помощью шаблона

PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"

InputFile                        EncryptedFile

----------                       -------------
\\server1\Docs\Feb2015.docx      \\server1\Docs\Feb2015.docx

\\server1\Docs\Feb2015.txt       \\server1\Docs\Feb2015.ptxt

\\server1\Docs\Jan2015.docx      \\server1\Docs\Jan2015.docx

\\server1\Docs\Jan2015.txt       \\server1\Docs\Jan2015.ptxt

Эта команда защищает все файлы в общей папке сервера (только одна папка, а не вложенные папки), заменив незащищенные файлы. Адрес электронной почты, отображаемый пользователям, если у них нет доступа, предназначен для группы ИТ-отдела, и эта группа предоставляет права на использование полного доступа в шаблоне, чтобы они могли изменять права на использование защищенных файлов.

Так как этот сценарий защищает файлы от имени других пользователей, параметр DoNotPersistEncryptionKey используется для максимальной производительности и для предотвращения сохранения неиспользуемых файлов на диск.

Пример 5. Защищенные файлы с определенным расширением имени файла в папке с помощью шаблона

PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}


InputFile                                   EncryptedFile

---------                                   -------------
\\server1\Docs\Feb2015.docx                 \\server1\Docs\Feb2015.docx

\\server1\Docs\Jan2015.docx                 \\server1\Docs\Jan2015.docx

\\server1\Docs\Reports\Feb2015.docx         \\server1\Docs\Reports\Feb2015.docx

\\server1\Docs\Reports\Jan2015.docx         \\server1\Docs\Reports\Jan2015.docx

Эта команда защищает только файлы с расширением имени файла .docx в папке (и во всех вложенных папках) в общей папке сервера, заменив незащищенные файлы. Как и в предыдущем примере, адрес электронной почты, отображаемый пользователям, когда у них нет доступа, предназначен для ИТ-отдела.

Хотя команда Protect-RMSFile изначально не поддерживает подстановочные знаки, вы можете использовать Windows PowerShell для этого и изменить расширение имени файла в примере по мере необходимости.

Пример 6. Защита одного файла с помощью политики нерегламентированных прав

PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Test.ptxt

Первая команда создает политику нерегламентированных прав, которая предоставляет права на редактированиеuser1@contoso.com.

Вторая команда защищает один файл с именем Test.txt с помощью созданной политики нерегламентированных прав и заменяет исходный незащищенный файл.

Обратите внимание, что если адрес электронной почты не указан user1@contoso.com, вы не сможете снять защиту с этого файла после завершения команды, так как у вас нет прав на него и вы не являетесь владельцем Rights Management.

Если вам потребуется снять защиту с этого файла позже, вы можете добавить свое имя и предоставить пользователю право EXTRACT или OWNER в нерегламентированной политике прав в первой команде. Если вы не хотите, чтобы пользователь мог снять защиту с файла, добавьте -OwnerEmail <ваш адрес> электронной почты в конец второй команды.

Параметры

-DoNotPersistEncryptionKey

Предотвращает сохранение самоподдергиваемой лицензии конечного пользователя издателя Rights Management при защите файла. Эта лицензия позволяет издателю Rights Management открыть защищенный файл без проверки подлинности в службе Rights Management. Это помогает гарантировать, что пользователь, выполнивший этот командлет, всегда может открывать собственные файлы, защищенные им, даже если этот пользователь находится в автономном режиме. Это также приводит к минимальным задержкам для того, чтобы этот пользователь открывал эти защищенные файлы.

Издатель Rights Management — это учетная запись, которая защищает файлы. Дополнительные сведения см. в разделе издателя Rights Management и владельца Rights Management.

По умолчанию эта самостоятельная лицензия пользователя сохраняется как в самом файле, так и на компьютере, с которого выполняется командлет. Имя файла начинается с EUL и создается в папке %localappdata%\Microsoft\MSIPC. Используйте этот параметр, чтобы запретить этому пользователю сохранять данные в файле, на компьютере или на обоих компьютерах. Указание этого параметра подходит, если вы защищаете файлы от имени других пользователей, например с помощью отказоустойчивого кластера Windows Server. В этом сценарии издатель Rights Management не открывает защищенные файлы и поэтому создает и сохраняет лицензию конечного пользователя снижает производительность защиты и ненужно создает большое количество файлов, которые могут заполнить доступное место на диске.

Допустимые значения для этого параметра:

  • Диск: Лицензия конечного пользователя для издателя Rights Management не создается для каждого файла в %localappdata%\Microsoft\MSIPC.

  • Лицензии: Лицензия конечного пользователя для издателя Rights Management не вставляется в лицензию на публикацию файла.

  • Все: Лицензия конечного пользователя для издателя Rights Management не создается и сохраняется при защите файла.

Тип:String
Допустимые значения:all, disk, license
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-File

Указывает путь и имя файла для защиты. Для пути можно использовать букву диска или UNC.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-Folder

Указывает путь и папку для защиты. Для пути можно использовать букву диска или UNC.

Все файлы, находящиеся в указанной папке, будут защищены. Новые файлы, добавленные в папку, не будут автоматически защищены.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-InPlace

Файл или файлы в указанной папке защищены в текущем расположении, заменив незащищенный исходный файл или файлы. Этот параметр игнорируется, если указан параметр OutputFolder .

Если не указано ни InPlace, ни OutputFolder, новый файл создается в текущем каталоге с добавлением "-Copy" к имени файла, используя то же соглашение об именовании, которое проводник используется при копировании и вставке файла в ту же папку. Например, если файл с Document.docx не защищен, защищенная версия называетсяDocument-Copy.docx. Если файл с именем Document-Copy.docx уже существует, создается .docxDocument-Copy(2) и т. д.

Тип:SwitchParameter
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-License

Указывает имя переменной, в которой хранится нерегламентированная политика прав, созданная с помощью командлета New-RMSProtectionLicense . Эта политика нерегламентированных прав используется вместо шаблона для защиты файла или файлов.

Тип:SafeInformationProtectionLicenseHandle
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-OutputFolder

Указывает путь и папку для размещения защищенных версий исходных файлов, которые остаются незащищенными. Исходная структура папок сохраняется, что означает, что вложенные папки могут быть созданы для указанного значения.

Для пути можно использовать букву диска или UNC.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-OwnerEmail

Указывает владельца Rights Management защищенного файла или файлов по адресу электронной почты.

По умолчанию учетная запись, запускающая этот командлет, является издателем Rights Management и владельцем rights Management защищенного файла. Этот параметр позволяет назначить другого владельца Rights Management защищенному файлу, чтобы указанная учетная запись имеет все права на использование (полный доступ) для файла и всегда может получить к нему доступ. Владелец Rights Management не зависит от владельца файловой системы Windows. Дополнительные сведения см. в разделе издателя Rights Management и владельца Rights Management.

Если значение этого параметра не указано, командлет будет использовать адрес электронной почты сеанса, прошедшего проверку подлинности, для идентификации владельца защищенного файла или файлов Rights Management. Если вы используете AD RMS или Azure RMS с учетной записью пользователя для защиты файлов, это будет ваш адрес электронной почты. Если вы используете Azure RMS с учетной записью субъекта-службы, этот адрес электронной почты будет длинной строкой чисел и букв. Этот адрес электронной почты отображается для пользователей, у которых нет пермссий для просмотра защищенного документа, чтобы они могли запрашивать разрешения.

Если вы запускаете этот командлет для Azure RMS с учетной записью субъекта-службы и владеете файлом или файлами, которые вы защищаете, укажите собственный адрес электронной почты для этого параметра. Если вы запускаете этот командлет для Azure RMS с учетной записью субъекта-службы, а один пользователь владеет файлом или всеми защищаемыми файлами, укажите свой адрес электронной почты, чтобы не ограничить исходный владелец файла вносить изменения в файл и использовать его в нужном виде.

При запуске этого командлета с несколькими файлами, принадлежащими разным пользователям, убедитесь, что этим пользователям предоставлены права на использование с полным доступом и учтите, какой адрес электронной почты следует назначить для этого параметра. Несмотря на то что можно указать адрес электронной почты группы и этот адрес отображается для запроса разрешений на доступ, члены группы не делают владельца Rights Management и по умолчанию не имеют прав на использование файла защиты. В этом сценарии выберите, следует ли назначить одного пользователя (например, администратора) или указать адрес электронной почты группы, который вы также назначаете права на использование полного доступа. Например, для конфигурации электронной почты группы это может быть служба технической поддержки.

Важно. Хотя этот параметр является необязательным, если он не указан при защите файлов с помощью Azure RMS и субъекта-службы, адрес электронной почты, который пользователи видят из клиента Azure Information Protection, не будут полезны. Поэтому мы рекомендуем всегда указывать этот параметр при защите файлов с помощью Azure RMS и субъекта-службы, а не учетной записи пользователя.

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-Recurse

При использовании с параметром Folder указывает, что все текущие файлы во вложенных папках будут защищены.

Тип:SwitchParameter
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False

-TemplateID

Указывает идентификатор шаблона, используемый для защиты указанного файла или файлов, если параметр лицензии не используется для нерегламентированной политики. Если вы не знаете идентификатор шаблона, который вы хотите использовать, используйте командлет Get-RMSTemplate .

Тип:String
Position:Named
Default value:None
Обязательно:False
Принять входные данные конвейера:False
Принять подстановочные знаки:False