受限用戶端應用被保護文檔

 受限用戶端應用被保護文檔

AD RMS政策模闆主要是為了限制某些用戶端針對文檔享有的權限，是以當這些受限用戶端應用被保護文檔時，必須連接配接到AD RMS伺服器進行憑據驗證并下載下傳相應權限許可證後才可以打開。這裡仍以上述應用為例介紹。

（1）使用者[email protected]建立了文檔并應用了限制使用者[email protected]複制和更改的權限，當使用者[email protected]取得文檔并檢視時顯示如圖17-72所示的提示框。

（點選檢視大圖）圖17-72  提示框

（2）單擊"确定"按鈕，用戶端開始向AD RMS伺服器送出身份驗證并獲得相應的權限。最終打開文檔，提示文檔是"隻讀"狀态，并且不允許使用者執行"複制"指令，或按PrtSc鍵抓取螢幕，如圖17-73所示。這是因為目前被保護文檔應用的權限政策模闆已經屏蔽了Windows的這些功能，關閉受保護文檔則一切恢複正常，使用者使用時應注意。

（點選檢視大圖）圖17-73  文檔為"隻讀"狀态

（3）單擊"檢視我的權限"超級連結，打開如圖17-74所示的"我的權限"對話框。其中隻有"檢視"一項處于"是"狀态，其他均為"否"。

（4）單擊"更改使用者"按鈕，打開如圖17-75所示的"選擇服務"對話框。如果目前擁有的權限無法正常完成工作，可以選擇其中一種方式添加其他有足夠權限的使用者賬戶。選擇"使用Microsoft .NET Passport賬戶"單選按鈕，可以憑借有效的Microsoft .NET Passport賬戶從Microsoft獲得一個證書實作相應目的，這與AD RMS伺服器的設定有關。如果添加了.NET Passport類型的可信任使用者域，則用戶端可以使用這種方式；否則無效。選擇"使用Microsoft Windows賬戶"單選按鈕，即可從目前域中選擇其他使用者賬戶來完成相應操作。

圖17-74  "我的權限"對話框

圖17-75  "選擇服務"對話框

如果上述方法仍不能獲得相應權限，則可以在"我的權限"對話框中單擊"請求附權重限"按鈕，向AD RMS伺服器申請相關權限，打開如圖17-76所示的"申請權限"視窗。"收件人"文本框中為AD RMS伺服器上設定的接收申請的電子郵件位址，保持預設即可。根據實際需要，說明要請求的權限即可。

（點選檢視大圖）圖17-76  "申請權限"視窗

需要應用此功能時，必須首先在網絡中配置Exchange或其他郵件伺服器。雖然在AD RMS系統中用到E-mail位址的地方非常多，但是多數情況下是作為一種使用者辨別并非真正地用來傳遞資訊，是以網絡中的郵件伺服器也就可有可無。如果确實需要傳遞資訊，則必須搭建郵件伺服器。