Protect-RMSFile
Chrání zadaný soubor nebo soubory v zadané složce pomocí RMS.
Syntax
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]
Description
Rutina Protect-RMSFile chrání soubor nebo všechny soubory v zadané složce pomocí Azure RMS nebo AD RMS. Pokud byl soubor dříve chráněný, bude znovu chráněn, aby se použily všechny změny, jako jsou ty, které se můžou provést v šabloně, která se používá k ochraně souboru.
Více typů souborů je možné chránit stejným způsobem, jako může klient Azure Information Protection chránit soubory, když použijete možnost Klasifikovat a chránit kliknutím pravým tlačítkem myši z Průzkumník souborů.
V závislosti na typu souboru se automaticky použijí různé úrovně ochrany (nativní nebo obecné). Úroveň ochrany můžete změnit úpravou registru. Některé soubory navíc změní příponu názvu souboru po jejich chráněné službě Rights Management. Další informace najdete v tématu Typy souborů s podporou ochrany v příručce pro správce klienta Azure Information Protection.
Před spuštěním této rutiny musíte spustit Get-RMSTemplate a stáhnout šablony do počítače. Pokud se šablona, kterou chcete použít, od spuštění této rutiny změnila, spusťte ji znovu pomocí parametru -force ke stažení revidované šablony.
Při spuštění této rutiny máte následující možnosti:
Soubor je chráněný v aktuálním umístění a nahradí původní soubor, který byl nechráněný.
Původní soubor zůstane nechráněný a chráněná verze souboru se vytvoří v jiném umístění.
Všechny soubory v zadané složce jsou chráněny v aktuálním umístění a nahrazují původní soubory, které byly nechráněné.
Všechny soubory v zadané složce zůstanou nechráněné a chráněná verze každého souboru se vytvoří v jiném umístění.
Tento příkaz nelze spustit souběžně, ale musíte počkat, až se původní příkaz dokončí, než ho znovu spustíte. Pokud se ho pokusíte spustit znovu před dokončením předchozího příkazu, nový příkaz selže.
Tato rutina zapíše do následujících souborů protokolů: Success.log, Failure.log a Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>
.
Tip
Podrobné pokyny k použití této rutiny k ochraně souborů ve sdílené složce Systému Windows Server pomocí souborových Resource Manager a infrastruktury klasifikace souborů najdete v tématu Ochrana RMS s infrastrukturou klasifikace souborů systému Windows Server (FCI).
Příklady
Příklad 1: Ochrana a nahrazení jednoho souboru pomocí šablony
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Tento příkaz chrání jeden soubor s názvem Test.docx pomocí šablony a nahradí původní nechráněný soubor. Vlastník souboru Rights Management a e-mailová adresa, která se může uživatelům zobrazovat při přístupu k chráněnému souboru, se automaticky nastaví jako e-mailová adresa pro účet, na kterém je spuštěný příkaz.
Příklad 2: Vytvoření chráněné kopie jednoho souboru pomocí šablony
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docx
Tento příkaz je stejný jako v předchozím příkladu s tím rozdílem, že nepoužívá parametr InPlace . Protože také nepoužívá parametr OutputFolder , chráněný soubor se vytvoří v aktuální složce s připojeným textem -Copy k názvu souboru. Původní nechráněný soubor zůstane v aktuální složce.
Příklad 3: Vytvoření chráněné verze souboru pomocí šablony
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxt
Tento příkaz chrání jeden soubor s názvem Test.docx pomocí šablony a umístí tuto chráněnou verzi souboru do složky C:\Temp a ponechá původní soubor nechráněný v kořenovém adresáři jednotky C: . Vlastník souboru Rights Management a e-mailová adresa, která se může uživatelům zobrazovat při přístupu k chráněnému souboru, je pro správce.
Příklad 4: Chráněné všechny soubory ve složce pomocí šablony
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxt
Tento příkaz chrání všechny soubory ve sdílené složce serveru (pouze jedna složka, ne podsložky), přičemž nahradí nechráněné soubory. E-mailová adresa, která se uživatelům zobrazí, když nemají přístup, je určená pro skupinu IT oddělení a tato skupina má v šabloně udělená práva k používání úplné kontroly, aby mohli změnit práva na používání chráněných souborů.
Vzhledem k tomu, že tento scénář chrání soubory jménem jiných uživatelů, používá se parametr DoNotPersistEncryptionKey k maximálnímu výkonu a k zabránění uložení nepoužívaných souborů na disk.
Příklad 5: Chráněné soubory s konkrétní příponou názvu souboru ve složce pomocí šablony
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docx
Tento příkaz chrání pouze soubory, které mají příponu názvu souboru .docx ve složce (a všechny podsložky) na sdílené složce serveru a nahradí nechráněné soubory. Stejně jako v předchozím příkladu je e-mailová adresa, která se uživatelům zobrazí, když nemají přístup, pro IT oddělení.
I když příkaz Protect-RMSFile nativně nepodporuje zástupné cardy, můžete k tomu použít Windows PowerShell a podle potřeby změnit příponu názvu souboru.
Příklad 6: Ochrana jednoho souboru pomocí ad hoc zásad práv
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxt
První příkaz vytvoří ad hoc zásadu práv, která uděluje práva user1@contoso.compro úpravy .
Druhý příkaz chrání jeden soubor s názvem Test.txt pomocí této zásady ad hoc práv právě vytvořené a nahradí původní nechráněný soubor.
Upozorňujeme, že pokud není user1@contoso.comvaše e-mailová adresa , nebudete moct tento soubor po dokončení příkazu zrušit, protože nemáte žádná práva k němu a nejste vlastníkem služby Rights Management.
Pokud potřebujete později tento soubor odemknout, můžete přidat své jméno a udělit uživateli a sami sobě právo EXTRAHOVAT nebo VLASTNÍKa v zásadách ad hoc práv v prvním příkazu. Nebo pokud nechcete, aby uživatel mohl zrušit ochranu souboru, přidejte -OwnerEmail <e-mailovou adresu> na konec druhého příkazu.
Parametry
-DoNotPersistEncryptionKey
Zabrání uložení licence koncového uživatele pro vydavatele Rights Management, pokud je soubor chráněný. Tato licence umožňuje vystavitele Rights Management otevřít chráněný soubor bez ověřování ve službě Rights Management. To pomáhá zajistit, aby osoba, která tuto rutinu spustila, vždy otevřela své vlastní soubory, které chránila, i když je tato osoba offline. Výsledkem je také minimální zpoždění, aby tento uživatel tyto chráněné soubory otevřel.
Vystavitel služby Rights Management je účet, který chrání soubory. Další informace najdete v tématu Vystavitel rights Management a vlastník Rights Management.
Ve výchozím nastavení se tato samoobslužná licence koncového uživatele uloží do samotného souboru i do počítače, ze kterého se rutina spouští. Název souboru začíná euL a vytvoří se v %localappdata%\Microsoft\MSIPC. Tento parametr použijte, pokud chcete zabránit uložení této licence koncového uživatele do souboru, na počítači nebo v obou. Určení tohoto parametru je vhodné, pokud chráníte soubory jménem jiných uživatelů, například pomocí Windows Serveru FCI. V tomto scénáři vystavitel služby Rights Management nebude otevírat chráněné soubory, a proto vytváří a ukládá licenci koncového uživatele, snižuje výkon ochrany a zbytečně generuje velké množství souborů, které mohou vyplnit dostupné místo na disku.
Přijatelné hodnoty pro tento parametr:
Disku: Pro každý soubor v %localappdata%\Microsoft\MSIPC se negeneruje licence koncového uživatele vystavitele Rights Management.
Licence: Licence koncového uživatele pro vystavitele Rights Management není vložena do licence pro publikování souboru.
Všechny: Při chráněném souboru se nevytvořila a neuložila žádná licence koncového uživatele pro vystavitele Rights Management.
Type: | String |
Accepted values: | all, disk, license |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-File
Určuje cestu a název souboru, které se mají chránit. Pro cestu můžete použít písmeno jednotky nebo UNC.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Folder
Určuje cestu a složku, které se mají chránit. Pro cestu můžete použít písmeno jednotky nebo UNC.
Všechny soubory, které jsou aktuálně v zadané složce, budou chráněné. Nové soubory přidané do složky nebudou automaticky chráněny.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InPlace
Soubor nebo soubory v zadané složce jsou chráněny v aktuálním umístění a nahradí nechráněný původní soubor nebo soubory. Tento parametr se ignoruje, pokud je zadán parametr OutputFolder .
Pokud není zadán žádný InPlace ani OutputFolder, vytvoří se nový soubor v aktuálním adresáři s připojeným názvem souboru -Copy pomocí stejné konvence pojmenování, kterou Průzkumník souborů používá, když se soubor zkopíruje a vloží do stejné složky. Pokud je například soubor s Document.docx nechráněný, bude chráněná verze pojmenována Document-Copy.docx. Pokud soubor s názvem Document-Copy.docx již existuje, vytvoří se .docxDocument-Copy(2) atd.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-License
Určuje název proměnné, která ukládá zásady ad hoc práv, které byly vytvořeny pomocí rutiny New-RMSProtectionLicense . Tato zásada ad hoc práv se používá místo šablony k ochraně souboru nebo souborů.
Type: | SafeInformationProtectionLicenseHandle |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-OutputFolder
Určuje cestu a složku pro umístění chráněných verzí původních souborů, které zůstanou nechráněné. Původní struktura složek je zachována, což znamená, že pro zadanou hodnotu se můžou vytvořit podsložky.
Pro cestu můžete použít písmeno jednotky nebo UNC.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-OwnerEmail
Určuje vlastníka služby Rights Management chráněného souboru nebo souborů e-mailovou adresou.
Ve výchozím nastavení je účet, na kterém je tato rutina spuštěná, vystavitel služby Rights Management i vlastník chráněného souboru Rights Management. Tento parametr umožňuje přiřadit k chráněnému souboru jiného vlastníka služby Rights Management, aby měl zadaný účet všechna práva k používání souboru (Úplné řízení) a vždy k němu měl přístup. Vlastník služby Rights Management je nezávislý na vlastníkovi systému souborů Windows. Další informace najdete v tématu Vystavitel rights Management a vlastník Rights Management.
Pokud pro tento parametr nezadáte hodnotu, rutina použije e-mailovou adresu ověřené relace k identifikaci vlastníka chráněného souboru nebo souborů služby Rights Management. Pokud k ochraně souborů používáte službu AD RMS nebo Azure RMS s uživatelským účtem, bude to vaše e-mailová adresa. Pokud používáte Azure RMS s účtem instančního objektu, bude tato e-mailová adresa dlouhý řetězec čísel a písmen. Tato e-mailová adresa se zobrazí uživatelům, kteří nemají oprávnění k zobrazení chráněného dokumentu, aby mohli požádat o oprávnění.
Pokud spustíte tuto rutinu pro Azure RMS s účtem instančního objektu a vlastníte soubor nebo soubory, které chráníte, zadejte vlastní e-mailovou adresu pro tento parametr. Pokud spustíte tuto rutinu pro Azure RMS s účtem instančního objektu a jeden uživatel vlastní soubor nebo všechny soubory, které chráníte, zadejte jejich e-mailovou adresu, abyste původního vlastníka souboru neomezili provádění změn v souboru a jeho používání podle zamýšleného účelu.
Pokud tuto rutinu spustíte s více soubory, které patří různým uživatelům, ujistěte se, že těmto uživatelům jsou udělena práva k používání úplné kontroly a zvažte, kterou e-mailovou adresu má tento parametr přiřadit. I když můžete zadat e-mailovou adresu skupiny a tato adresa se zobrazí, aby požádali o přístupová oprávnění, členové skupiny nejsou vlastníkem služby Rights Management a ve výchozím nastavení nemají žádná práva k používání chráněného souboru. V tomto scénáři zvolte, jestli chcete přiřadit jednoho uživatele (například správce) nebo zadat e-mailovou adresu skupiny, kterou také přiřadíte práva k používání úplné kontroly. Pro konfiguraci e-mailu skupiny to může být například helpdesk.
Důležité: I když je tento parametr volitelný, pokud ho nezadáte při ochraně souborů pomocí Azure RMS a instančního objektu, e-mailová adresa, kterou uživatelé uvidí z klienta Azure Information Protection, nebudou užitečné. Proto doporučujeme, abyste tento parametr vždy zadali při ochraně souborů pomocí Azure RMS a instančního objektu místo uživatelského účtu.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Recurse
Při použití s parametrem Folder označuje, že budou chráněné všechny aktuální soubory v podsložkách.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-TemplateID
Určuje ID šablony, které se má použít k ochraně zadaného souboru nebo souborů, pokud pro zásady ad hoc nepoužíváte parametr licence . Pokud neznáte ID šablony, kterou chcete použít, použijte rutinu Get-RMSTemplate .
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |