Protect-RMSFile
Protege un archivo especificado o los archivos de una carpeta especificada mediante RMS.
Sintaxis
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]
Description
El cmdlet Protect-RMSFile protege un archivo o todos los archivos de una carpeta especificada mediante Azure RMS o AD RMS. Si el archivo se protegió anteriormente, se volverá a proteger para aplicar los cambios, como los que se pueden realizar en la plantilla que se usa para proteger el archivo.
Se pueden proteger varios tipos de archivo de la misma manera que el cliente de Azure Information Protection puede proteger los archivos cuando se usa la opción de clic derecho "Clasificar y proteger" de Explorador de archivos.
Los distintos niveles de protección se aplican automáticamente (nativo o genérico), en función del tipo de archivo. Puede cambiar el nivel de protección editando el Registro. Además, algunos archivos cambian su extensión de nombre de archivo después de que estén protegidos por Rights Management. Para más información, vea Tipos de archivo compatibles para protección en la guía para administradores del cliente de Azure Information Protection.
Antes de ejecutar este cmdlet, debe ejecutar Get-RMSTemplate para descargar las plantillas en el equipo. Si la plantilla que desea usar se ha modificado desde que ejecutó este cmdlet, vuelva a ejecutarla con el parámetro -force para descargar la plantilla revisada.
Al ejecutar este cmdlet, tiene las siguientes opciones:
El archivo está protegido en la ubicación actual, reemplazando el archivo original que estaba desprotegido.
El archivo original permanece desprotegido y se crea una versión protegida del archivo en otra ubicación.
Todos los archivos de la carpeta especificada están protegidos en la ubicación actual, reemplazando los archivos originales que no estaban protegidos.
Todos los archivos de la carpeta especificada permanecen desprotegidos y se crea una versión protegida de cada archivo en otra ubicación.
No puede ejecutar este comando simultáneamente, pero debe esperar a que se complete el comando original antes de volver a ejecutarlo. Si intenta volver a ejecutarlo antes de que finalice el comando anterior, se producirá un error en el nuevo comando.
Este cmdlet escribe en los siguientes archivos de registro: Success.log, Failure.log y Debug.log en %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>
.
Sugerencia
Para obtener instrucciones paso a paso para usar este cmdlet para proteger archivos en un recurso compartido de archivos de Windows Server, mediante file Resource Manager y infraestructura de clasificación de archivos, consulte RMS Protection with Windows Server File Classification Infrastructure (FCI) (Protección de RMS con la infraestructura de clasificación de archivos de Windows Server [FCI]).
Ejemplos
Ejemplo 1: Proteger y reemplazar un único archivo mediante una plantilla
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docx
Este comando protege un único archivo denominado Test.docx mediante una plantilla y reemplaza el archivo desprotegido original. El propietario de Rights Management del archivo y la dirección de correo electrónico que se puede mostrar a los usuarios cuando acceden al archivo protegido, se establece automáticamente como la dirección de correo electrónico de la cuenta que ejecuta el comando.
Ejemplo 2: Creación de una copia protegida de un único archivo mediante una plantilla
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docx
Este comando es el mismo que el ejemplo anterior, salvo que no usa el parámetro InPlace . Dado que tampoco usa el parámetro OutputFolder , el archivo protegido se crea en la carpeta actual con "-Copy" anexado al nombre de archivo. El archivo original desprotegido permanece en la carpeta actual.
Ejemplo 3: Creación de una versión protegida de un archivo mediante una plantilla
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxt
Este comando protege un único archivo denominado Test.docx mediante una plantilla y coloca esta versión protegida del archivo en C:\Temp, dejando el archivo original desprotegido en la raíz de la unidad C: . El propietario de Rights Management del archivo y la dirección de correo electrónico que pueden mostrarse a los usuarios cuando acceden al archivo protegido, es para el administrador.
Ejemplo 4: Protección de todos los archivos de una carpeta mediante una plantilla
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxt
Este comando protege todos los archivos de un recurso compartido de servidor (solo carpeta única, no subcarpetas), reemplazando los archivos no protegidos. La dirección de correo electrónico que se muestra a los usuarios cuando no tienen acceso, es para el grupo de departamento de TI y a este grupo se le conceden derechos de uso de Control total en la plantilla para que puedan cambiar los derechos de uso de los archivos protegidos.
Dado que este escenario protege los archivos en nombre de otros, el parámetro DoNotPersistEncryptionKey se usa para un rendimiento máximo y para evitar que los archivos no usados se guarden en el disco.
Ejemplo 5: Archivos protegidos con una extensión de nombre de archivo específica en una carpeta mediante una plantilla
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docx
Este comando protege solo los archivos que tienen una extensión de nombre de archivo .docx en una carpeta (y todas las subcarpetas) de un recurso compartido de servidor, reemplazando los archivos no protegidos. Como en el ejemplo anterior, la dirección de correo electrónico que se muestra a los usuarios cuando no tienen acceso es para el departamento de TI.
Aunque el comando Protect-RMSFile no admite de forma nativa caracteres comodín, puede usar Windows PowerShell para lograrlo y cambiar la extensión de nombre de archivo en el ejemplo, según sea necesario.
Ejemplo 6: Protección de un único archivo mediante una directiva de derechos ad hoc
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxt
El primer comando crea una directiva de derechos ad hoc que concede derechos de edición a user1@contoso.com.
El segundo comando protege un único archivo denominado Test.txt mediante esta directiva de derechos ad hoc recién creada y reemplaza el archivo desprotegido original.
Tenga en cuenta que, a menos que la dirección de correo electrónico sea user1@contoso.com, no podrá desproteger este archivo una vez completado el comando porque no tiene derechos para él y no es el propietario de Rights Management.
Si necesita poder desproteger este archivo más adelante, puede agregar su nombre y conceder al usuario y usted mismo el derecho EXTRACT o OWNER en la directiva de derechos ad hoc en el primer comando. O bien, si no desea que el usuario pueda desproteger el archivo, agregue -OwnerEmail <su dirección> de correo electrónico al final del segundo comando.
Parámetros
-DoNotPersistEncryptionKey
Impide que se guarde una licencia de usuario final autoconcedida para el emisor de Rights Management cuando se protege un archivo. Esta licencia permite al emisor de Rights Management abrir el archivo protegido sin autenticarse en el servicio Rights Management. Esto ayuda a garantizar que la persona que ejecutó este cmdlet siempre puede abrir sus propios archivos protegidos, incluso cuando esa persona está sin conexión. También da lugar a retrasos mínimos para que ese usuario abra estos archivos protegidos.
El emisor de Rights Management es la cuenta que protege los archivos. Para obtener más información, consulte El emisor de Rights Management y el propietario de Rights Management.
De forma predeterminada, esta licencia de usuario final autoconcedida se guarda en el propio archivo y en el equipo desde el que se ejecuta el cmdlet. El nombre de archivo comienza con EUL y se crea en %localappdata%\Microsoft\MSIPC. Use este parámetro para evitar que esta licencia de usuario final guarde en el archivo, en el equipo o en ambos. Especificar este parámetro es adecuado si va a proteger los archivos en nombre de otros, por ejemplo, con la FCI de Windows Server. En este escenario, el emisor de Rights Management no abrirá los archivos protegidos y, por lo tanto, crear y guardar la licencia del usuario final reduce el rendimiento de la protección y genera innecesariamente una gran cantidad de archivos que pueden rellenar el espacio disponible en disco.
Los valores aceptables para este parámetro:
Disco: No se genera una licencia de usuario final para el emisor de Rights Management para cada archivo de %localappdata%\Microsoft\MSIPC.
Licencia: No se inserta una licencia de usuario final para el emisor de Rights Management en la licencia de publicación del archivo.
Todo: No se crea ninguna licencia de usuario final para el emisor de Rights Management y se guarda cuando se protege un archivo.
Tipo: | String |
Valores aceptados: | all, disk, license |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-File
Especifica la ruta de acceso y el nombre de archivo que se va a proteger. Para la ruta de acceso, puede usar una letra de unidad o UNC.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-Folder
Especifica la ruta de acceso y la carpeta que se va a proteger. Para la ruta de acceso, puede usar una letra de unidad o UNC.
Todos los archivos que se encuentran actualmente en la carpeta especificada se protegerán. Los nuevos archivos agregados a la carpeta no se protegerán automáticamente.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-InPlace
El archivo o los archivos de la carpeta especificada están protegidos en la ubicación actual, reemplazando el archivo o los archivos originales no protegidos. Este parámetro se omite si se especifica el parámetro OutputFolder .
Si no se especifica InPlace ni OutputFolder, el nuevo archivo se crea en el directorio actual con "-Copy" anexado al nombre de archivo, utilizando la misma convención de nomenclatura que Explorador de archivos usa cuando se copia y pega un archivo en la misma carpeta. Por ejemplo, si un archivo con Document.docx no está protegido, la versión protegida se denomina Document-Copy.docx. Si ya existe un archivo denominado Document-Copy.docx , se crea document-copy(2).docx , etc.
Tipo: | SwitchParameter |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-License
Especifica el nombre de la variable que almacena una directiva de derechos ad hoc que se creó mediante el cmdlet New-RMSProtectionLicense . Esta directiva de derechos ad hoc se usa en lugar de una plantilla para proteger el archivo o los archivos.
Tipo: | SafeInformationProtectionLicenseHandle |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-OutputFolder
Especifica la ruta de acceso y la carpeta para colocar versiones protegidas de los archivos originales que permanecen desprotegidos. Se mantiene la estructura de carpetas original, lo que significa que se pueden crear subcarpetas para el valor especificado.
Para la ruta de acceso, puede usar una letra de unidad o UNC.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-OwnerEmail
Especifica el propietario de Rights Management del archivo o archivos protegidos por dirección de correo electrónico.
De forma predeterminada, la cuenta que ejecuta este cmdlet es el emisor de Rights Management y el propietario de Rights Management del archivo protegido. Este parámetro le permite asignar un propietario de Rights Management diferente al archivo protegido para que la cuenta especificada tenga todos los derechos de uso (Control total) para el archivo y siempre pueda acceder a él. El propietario de Rights Management es independiente del propietario del sistema de archivos de Windows. Para obtener más información, consulte El emisor de Rights Management y el propietario de Rights Management.
Si no especifica un valor para este parámetro, el cmdlet usará la dirección de correo electrónico de la sesión autenticada para identificar al propietario de Rights Management del archivo o archivos protegidos. Si usa AD RMS o Azure RMS con una cuenta de usuario para proteger los archivos, será su dirección de correo electrónico. Si usa Azure RMS con una cuenta de entidad de servicio, esta dirección de correo electrónico será una cadena larga de números y letras. Esta dirección de correo electrónico se muestra a los usuarios que no tienen permsiones para ver el documento protegido, de modo que puedan solicitar permisos.
Si ejecuta este cmdlet para Azure RMS con una cuenta de entidad de servicio y posee el archivo o los archivos que va a proteger, especifique su propia dirección de correo electrónico para este parámetro. Si ejecuta este cmdlet para Azure RMS con una cuenta de entidad de servicio y un único usuario posee el archivo o todos los archivos que va a proteger, especifique su dirección de correo electrónico para que no restrinja al propietario del archivo original para realizar cambios en el archivo y usarlo según lo previsto.
Si ejecuta este cmdlet con varios archivos que pertenecen a distintos usuarios, asegúrese de que a esos usuarios se les conceden derechos de uso de Control total y tenga en cuenta qué dirección de correo electrónico asignar para este parámetro. Aunque puede especificar una dirección de correo electrónico de grupo y esta dirección se muestra para solicitar permisos de acceso, los miembros del grupo no se convierten en el propietario de Rights Management y, de forma predeterminada, no tienen derechos de uso para el archivo de protección. En este escenario, elija si desea asignar un solo usuario (por ejemplo, un administrador) o especificar una dirección de correo electrónico de grupo que también asigne derechos de uso de Control total. Para la configuración de correo electrónico de grupo, puede ser el departamento de soporte técnico, por ejemplo.
Importante: Aunque este parámetro es opcional, si no lo especifica al proteger archivos mediante Azure RMS y una entidad de servicio, la dirección de correo electrónico que ven los usuarios desde el cliente de Azure Information Protection no será útil. Por este motivo, se recomienda especificar siempre este parámetro al proteger los archivos mediante Azure RMS y una entidad de servicio en lugar de la cuenta de usuario.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-Recurse
Cuando se usa con el parámetro Folder , indica que todos los archivos actuales de las subcarpetas se protegerán.
Tipo: | SwitchParameter |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-TemplateID
Especifica el identificador de la plantilla que se va a usar para proteger el archivo o los archivos especificados si no usa el parámetro License para una directiva ad hoc. Si no conoce el identificador de la plantilla que desea usar, use el cmdlet Get-RMSTemplate .
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |