Freigeben über

Grundlegendes zu Nutzungseinschränkungen

  • Artikel

Wichtig

Versionen des Microsoft Rights Management Service SDK, das vor März 2020 veröffentlicht wurde, sind veraltet; Anwendungen mit früheren Versionen müssen aktualisiert werden, um die Version vom März 2020 zu verwenden. Ausführliche Informationen finden Sie in der Veraltetkeitshinweis.

Für das Microsoft Rights Management Service SDK sind keine weiteren Verbesserungen geplant. Wir empfehlen dringend die Einführung des Microsoft Information Protection SDK für Klassifizierung, Bezeichnung und Schutzdienste.

Für alle RMS-fähigen Anwendungen müssen Nutzungseinschränkungen erzwungen werden. Eine Verwendungseinschränkung ist eine Bedingung, die führt, wenn ein Benutzer versucht, eine Aktion zu ergreifen (z. B. das Drucken eines Dokuments), aber die RMS-Richtlinie für dieses Dokument erteilt ihnen keine Berechtigung oder das Recht, diese Aktion auszuführen (z. B. das DRUCKrecht).

Die Berechtigungen eines Benutzers für ein Dokument können mit der IpcAccessCheck-Funktion abgefragt werden.

Entwerfen mit Nutzungsbeschränkungen

  • Kennenlernen der standardmäßigen RMS-Rechte

    Eine Übersicht über alle RMS-Rechte, die von der Anwendung erzwungen werden können, finden Sie unter Referenz für die Nutzungseinschränkung.

    Beachten Sie hierbei, dass unter Umständen von der Anwendung definierte Rechte erstellt werden, die speziell für Ihre Situation gelten und über die standardmäßigen RMS-Rechte hinausreichen.

  • Identifizieren von Erzwingungspunkten für die Nutzungseinschränkung

    Ein Erzwingungspunkt für die Nutzungseinschränkung ist ein Punkt in der Ablaufsteuerung der Anwendung, an dem Sie eine Nutzungseinschränkung erzwingen müssen. Das Thema Referenz für die Nutzungseinschränkung enthält mehrere Beispiele für häufige Erzwingungspunkte.

    Bewerten Sie Ihre eigene Anwendung, um zu ermitteln, welche Erzwingungspunkte für die Nutzungseinschränkung gelten.

    In Ihrer Anwendung sind unter Umständen nicht alle Erzwingungspunkte erforderlich, die unter Referenz für die Nutzungseinschränkung beschrieben sind. Wenn Ihre Anwendung z. B. benutzern das Drucken von Inhalten nicht ermöglicht, muss sie nicht nach dem IPC_GENERIC_PRINT rechts suchen.

  • Aktualisieren des Codes zum Durchführen einer Zugriffsüberprüfung an jedem Erzwingungspunkt

    Eine Anleitung, wie Sie bestimmte Rechte durchsetzen, finden Sie unter Referenz für die Nutzungseinschränkung.

Referenz für die Nutzungseinschränkung

Nutzungsbeschränkungen werden durch folgende Konstanten definiert.

Jedes Benutzerrecht, das in der AD RMS-Rechtespalte aufgeführt wird, hat eine Beschreibung, einen Erzwingungspunkt und empfohlene Methoden für die Erzwingung.

AD RMS-Recht/Beschreibung Erzwingungsmethode
IPC_GENERIC_ALL

Erteilt dem Benutzer alle Rechte.

Allgemeine Erzwingungspunkte: Keine		 Dieses Recht wird vom System verwendet und sollte in der Regel nicht direkt aktiviert werden.

IpcAccessCheck verwendet diese Berechtigung, um zu bestimmen, ob dem Benutzer andere Zugriffsrechte als in diesem Beispiel erteilt werden sollen.

/* fAccessGranted is set to TRUE if either the IPC_GENERIC_WRITE or the IPC_GENERIC_ALL right is granted */

IpcAccessCheck(hKey, IPC_GENERIC_WRITE, &fAccessGranted);
IPC_GENERIC_READ

Das Recht, Dokumentinhalte zu lesen.

Allgemeine Erzwingungspunkte: Laden von Dokumenten		 Dokumentinhalte nicht laden oder darstellen.
IPC_GENERIC_WRITE

Das Recht, Dokumentinhalte zu bearbeiten

Allgemeine Erzwingungspunkte: Änderung von Dokumenten		 Alle UI-Steuerelemente, die verwendet werden können, um Dokumentinhalte zu ändern, mit einem Schreibschutz versehen.

Alle Menüelemente, die Dokumentänderungen auslösen, deaktivieren. Bearbeiten>Ausschneiden,>Einfügen und Einfügen sind typische Beispiele.

Alle Tastenkombinations-Menüelemente, die Dokumentänderungen auslösen, deaktivieren.
Kein AD RMS-Recht

Keine Beschreibung

Allgemeine Erzwingungspunkte: Speichern		 Deaktivieren Sie das Menü "Datei>speichern ".

Hinweis: Dieses Recht steuert nicht Datei>Speichern unter, da dieses Recht keine Änderung des ursprünglichen Dokuments darstellt.

Alle Tastenkombination deaktivieren, die zum Auslösen eines Speichervorgangs verwendet werden können (z. B. STRG + S).

Tipp: Eine bewährte Methode ist das Aktualisieren des Kerncodes von Datei>Speichern dahingehend, dass ein Fehler auftritt, wenn der Benutzer nicht über dieses Recht verfügt. Dies dient als Sicherheitsnetz, falls Sie UX-Mechanismen übersehen, die verwendet werden können, um einen Speichervorgang auszulösen.
IPC_GENERIC_EXTRACT

Das Recht zum Extrahieren des Inhalts aus einem geschützten Format und das Einfügen in einem ungeschützten Format.

Allgemeine Erzwingungspunkte: In Zwischenablage kopieren		 Deaktivieren Sie das Menü "Kopieren bearbeiten>" . Deaktivieren Sie dasMenü "Ausschneidenbearbeiten>".

Kopieren und Ausschneiden in allen Kontextmenüs deaktivieren.

Alle Tastenkombination deaktivieren, die zum Auslösen eines Kopiervorgangs verwendet werden können (z. B. STRG + C oder STRG + X).

Fenstermeldungshandler für WM_CUT aktualisieren, um das Kopieren von Daten abzulehnen, wenn der Benutzer nicht über dieses Recht verfügt. Wenn das Fenster den standardmäßigen, von Windows bereitgestellten Meldungshandler verwendet, dieses Fenster als Unterklasse markieren und eigene Handler für WM_COPY und WM_CUT bereitstellen.
Kein AD RMS-Recht

Keine Beschreibung

Allgemeine Erzwingungspunkte: Speichern unter		 Im Dialogfeld Speichern unter alle Dateiformate deaktivieren, die zu einem Speichern des Dokuments ohne RMS-Schutz führen würden.
Kein AD RMS-Recht

Keine Beschreibung

Allgemeine Erzwingungspunkte: ALT+DRUCK		 Rufen Sie IpcProtectWindow für alle Fenster auf, die Dokumentinhalte rendern.
IPC_GENERIC_EXPORT

Das Recht zum Extrahieren des Inhalts aus einem geschützten Format und das Einfügen in einem anderen durch AD RMS geschützten Format.

Allgemeine Erzwingungspunkte: Speichern unter		 Im Dialogfeld Speichern unter die Möglichkeit deaktivieren, in anderen Dateiformaten zu speichern.

Tipp: Eine bewährte Methode besteht darin, Ihren Kerncode von Datei>Speichern unter dahingehend zu aktualisieren, dass ein Fehler auftritt, wenn der Benutzer versucht, diese Datei in einem anderen Format zu speichern und nicht über dieses Recht verfügt. Dies dient als Sicherheitsnetz, falls Sie UX-Mechanismen übersehen, die verwendet werden können, um einen Speichern-unter-Vorgang auszulösen.
IPC_GENERIC_PRINT

Das Recht, Dokumentinhalte zu drucken

Allgemeine Erzwingungspunkte: Drucken		 Deaktivieren Sie dasMenü "Dateidruck>".

Alle Tastenkombination deaktivieren, die zum Auslösen eines Druckvorgangs verwendet werden können (z. B. STRG + P).

Alle Kontextmenüeinträge deaktivieren, die verwendet werden können, um einen Druck auszulösen.

Tipp: Eine bewährte Methode ist das Aktualisieren des Kerncodes von Datei>Drucken dahingehend, dass ein Fehler auftritt, wenn der Benutzer nicht über dieses Recht verfügt. Dies dient als Sicherheitsnetz, falls Sie UX-Mechanismen übersehen, die verwendet werden können, um einen Druckvorgang auszulösen.
IPC_GENERIC_COMMENT

Einige Programme unterstützen die Möglichkeit, Kommentare und Anmerkungen dem Dokument hinzuzufügen, ohne Dokumentkerninhalte zu aktualisieren.

Dieses Recht erteilt den Benutzer Zugriff auf diese Funktion.

Allgemeine Erzwingungspunkte:

Kommentar überprüfen >

Kommentar überprüfen >		 Alle Menüelemente deaktivieren, die zum Ändern von Dokumentkommentaren oder -anmerkungen verwendet werden können. Bewertung>Kommentar einfügenund> Kommentarüberprüfen, sind Beispiele.

Alle Tastenkombination deaktivieren, die Änderungen der Dokumentkommentare auslösen könnten.

Hinweis: Eine standardmäßige Implementierung setzt voraus, dass IPC_GENERIC_COMMENT und IPC_GENERIC_WRITE neue Kommentare in einer Datei beibehalten. Anwendungen können Unterstützung für den Fall hinzufügen, dass das IPC_GENERIC_COMMENT-Recht erteilt wird, das IPC_GENERIC_WRITE-Recht aber nicht. In diesem Fall ist es zulässig, das Speichern zu ermöglichen, sofern Dokumentänderungen nur auf Kommentare beschränkt sind.
IPC_VIEW_RIGHTS

Keine Beschreibung

Allgemeine Erzwingungspunkte: N/V		 Durch das System erzwungen. Das System lässt es nicht zu, dass der Entwickler die Liste mit Benutzerrechten aus einer Lizenz abfragt, sofern dieses Recht nicht erteilt wird.
IPC_EDIT_RIGHTS

Einige Anwendungen ermöglichen Benutzern das Ändern des Satzes aus Benutzern und Rechten für AD RMS-geschützte Inhalte.

Dieses Recht erteilt den Benutzer Zugriff auf diese Funktion.

Allgemeine Erzwingungspunkte: UI-Steuerelemente für das Bearbeiten von Anwendungsrechten		 Benutzerzugriff auf alle Steuerelemente, die verwendet werden können, um die RMS-Richtlinie für ein Dokument zu bearbeiten, deaktivieren.