Protect-RMSFile
Az RMS használatával védi a megadott fájlt vagy egy adott mappában lévő fájlokat.
Syntax
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]Description
A Protect-RMSFile parancsmag az Azure RMS vagy az AD RMS használatával védi a megadott mappában lévő fájlokat vagy az összes fájlt. Ha a fájl korábban védett volt, a rendszer ismét védelemmel nyitja meg a fájlt, hogy a fájl védelmére használt sablonon végrehajtott módosításokhoz hasonló módosításokat alkalmazzon.
Több fájltípus is védhető ugyanúgy, mint az Azure Information Protection-ügyfél a fájlok védelmére, ha a "Besorolás és védelem" jobb gombbal kattint a Fájlkezelő.
A fájltípustól függően a rendszer automatikusan alkalmazza a különböző védelmi szinteket (natív vagy általános). A védelmi szintet a beállításjegyzék szerkesztésével módosíthatja. Emellett egyes fájlok a Rights Management által védett fájlnévkiterjesztést is módosítják. További tájékoztatást az Azure Information Protection-ügyfél rendszergazdai útmutatójának a védelem szempontjából támogatott fájlokat ismertető szakaszában talál.
A parancsmag futtatása előtt futtatnia kell a Get-RMSTemplate parancsmagot a sablonok számítógépre való letöltéséhez. Ha a használni kívánt sablont a parancsmag futtatása óta módosították, futtassa újra a -force paraméterrel a módosított sablon letöltéséhez.
A parancsmag futtatásakor a következő lehetőségek közül választhat:
A fájl védett az aktuális helyen, lecserélve a védelem nélküli eredeti fájlt.
Az eredeti fájl védelem nélküli marad, és a fájl védett verziója egy másik helyen jön létre.
A megadott mappában lévő összes fájl védett az aktuális helyen, lecserélve a védelem nélküli eredeti fájlokat.
A megadott mappában lévő összes fájl védelem nélküli marad, és minden fájl védett verziója egy másik helyen jön létre.
Ezt a parancsot nem futtathatja egyszerre, de meg kell várnia, amíg az eredeti parancs befejeződik, mielőtt újra futtatja. Ha az előző parancs befejeződése előtt próbálja meg újra futtatni, az új parancs sikertelen lesz.
Ez a parancsmag a következő naplófájlokat írja: Success.log, Failure.log és Debug.log in %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.
Tipp
A Windows Server-fájlmegosztásokon lévő fájlok Windows Server-fájlmegosztáson, a Fájl Resource Manager és a Fájlbesorolási infrastruktúra használatával történő védelmére szolgáló parancsmag részletes útmutatását lásd: RMS Protection with Windows Server File Classification Infrastructure (FCI).
Példák
1. példa: Egyetlen fájl védelme és cseréje sablon használatával
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docxEz a parancs egyetlen Test.docx nevű fájlt véd sablon használatával, és lecseréli az eredeti nem védett fájlt. A fájl Rights Management-tulajdonosa és a felhasználók számára a védett fájl elérésekor esetleg megjelenő e-mail-cím automatikusan a parancsot futtató fiók e-mail-címeként van beállítva.
2. példa: Egyetlen fájl védett másolatának létrehozása sablon használatával
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docxEz a parancs megegyezik az előző példával, azzal a kivételt leszámítva, hogy nem használja az InPlace paramétert. Mivel az OutputFolder paramétert sem használja, a védett fájl az aktuális mappában jön létre a fájlnévhez fűzött "-Copy" utótaggal. Az eredeti, nem védett fájl az aktuális mappában marad.
3. példa: Fájl védett verziójának létrehozása sablon használatával
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxtEz a parancs egyetlen ,Test.docx nevű fájlt véd egy sablon használatával, és ezt a védett verziót a C:\Temp mappába helyezi, így az eredeti fájl nem lesz védve a C: meghajtó gyökerében. A fájl Rights Management-tulajdonosa és a felhasználók számára a védett fájl elérésekor esetleg megjelenő e-mail-cím a rendszergazda feladata.
4. példa: Egy mappában lévő összes fájl védelme sablon használatával
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxtEz a parancs egy kiszolgálómegosztás összes fájlját védi (csak egyetlen mappát, nem almappákat), lecserélve a nem védett fájlokat. Az e-mail-cím, amely akkor jelenik meg a felhasználóknak, ha nem rendelkeznek hozzáféréssel, az informatikai részleg csoportjához tartozik, és ez a csoport teljes hozzáférésű használati jogosultságokat kap a sablonban, hogy módosíthassák a védett fájlok használati jogosultságát.
Mivel ez a forgatókönyv mások nevében védi a fájlokat, a DoNotPersistEncryptionKey paraméter a maximális teljesítmény érdekében és a nem használt fájlok lemezre mentésének megakadályozására szolgál.
5. példa: Adott fájlnévkiterjesztéssel rendelkező védett fájlok egy mappában sablon használatával
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docxEz a parancs csak azokat a fájlokat védi, amelyek .docx fájlnévkiterjesztéssel rendelkeznek egy kiszolgálómegosztás mappájában (és minden almappájában), lecserélve a nem védett fájlokat. Ahogy az előző példában is, az informatikai részlegnek kell megadnia azt az e-mail-címet, amely akkor jelenik meg a felhasználóknak, ha nincs hozzáférésük.
Bár a Protect-RMSFile parancs natív módon nem támogatja a helyettesítő karaktereket, ehhez használhatja a Windows PowerShell, és szükség szerint módosíthatja a fájlnévkiterjesztést a példában.
6. példa: Egyetlen fájl védelme alkalmi jogosultsági szabályzat használatával
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxtAz első parancs létrehoz egy alkalmi jogházirendet, amely szerkesztési jogosultságot biztosít.user1@contoso.com
A második parancs egyetlen, Test.txt nevű fájlt véd ezzel az imént létrehozott alkalmi jogosultsági házirenddel, és lecseréli az eredeti nem védett fájlt.
Vegye figyelembe, hogy ha az e-mail-címe nem, user1@contoso.coma parancs befejeződése után nem tudja feloldani a fájl védelmét, mert nem rendelkezik jogosultságokkal, és nem Ön a Rights Management tulajdonosa.
Ha később meg kell tudnia szüntetni a fájl védelmét, hozzáadhatja a nevét, és megadhatja a felhasználónak és magának a EXTRACT vagy a OWNER jogosultságot az alkalmi jogosultsági szabályzatban az első parancsban. Vagy ha nem szeretné, hogy a felhasználó feloldhassa a fájl védelmét, adja hozzá az -OwnerEmail <e-mail-címét> a második parancs végéhez.
Paraméterek
-DoNotPersistEncryptionKey
Megakadályozza, hogy a Rights Management-kibocsátó saját végfelhasználói licence mentve legyen egy fájl védett állapotában. Ez a licenc lehetővé teszi, hogy a Rights Management-kibocsátó a Rights Management szolgáltatás hitelesítése nélkül nyissa meg a védett fájlt. Ez segít biztosítani, hogy a parancsmagot futtató személy mindig megnyithassa a saját védett fájljait, még akkor is, ha az adott személy offline állapotban van. Emellett minimális késést eredményez, hogy a felhasználó megnyissa ezeket a védett fájlokat.
A Rights Management-kibocsátó a fájlok védelmét biztosító fiók. További információ: Rights Management-kibocsátó és Rights Management-tulajdonos.
Alapértelmezés szerint ez az önkiszolgáló végfelhasználói licenc mind magában a fájlban, mind azon a számítógépen van mentve, amelyen a parancsmag fut. A fájlnév EUL-val kezdődik, és a %localappdata%\Microsoft\MSIPC fájlban jön létre. Ezzel a paramétert használva megakadályozhatja, hogy ez a végfelhasználói licenc a fájlba, a számítógépre vagy mindkettőbe mentsen. Ennek a paraméternek a megadása akkor megfelelő, ha mások nevében, például a Windows Server FCI-vel védi a fájlokat. Ebben a forgatókönyvben a Rights Management-kibocsátó nem nyitja meg a védett fájlokat, ezért a végfelhasználói licenc létrehozása és mentése csökkenti a védelmi teljesítményt, és szükségtelenül sok olyan fájlt generál, amely kitölti a rendelkezésre álló lemezterületet.
A paraméter elfogadható értékei:
Lemez: A Rights Management-kiállító végfelhasználói licence nem jön létre a %localappdata%\Microsoft\MSIPC fájlhoz.
Engedély: A Rights Management-kiállító végfelhasználói licence nem kerül be a fájl közzétételi licencbe.
Minden: A Rights Management-kibocsátóhoz nem jön létre és nem lesz mentve végfelhasználói licenc a fájlok védelmekor.
| Type: | String |
| Accepted values: | all, disk, license |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-File
Megadja a védeni kívánt elérési utat és fájlnevet. Az elérési úthoz használhat meghajtóbetűjelet vagy UNC-t.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Folder
Megadja a védeni kívánt elérési utat és mappát. Az elérési úthoz használhat meghajtóbetűjelet vagy UNC-t.
A megadott mappában jelenleg található összes fájl védett lesz. A mappához hozzáadott új fájlok nem lesznek automatikusan védve.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InPlace
A fájl vagy a megadott mappában lévő fájlok az aktuális helyen vannak védve, lecserélve a nem védett eredeti fájlt vagy fájlokat. A rendszer figyelmen kívül hagyja ezt a paramétert, ha az OutputFolder paraméter meg van adva.
Ha sem az InPlace, sem az OutputFolder nincs megadva, az új fájl az aktuális könyvtárban jön létre a fájlnévhez hozzáfűzve a "-Copy" paranccsal, ugyanazzal az elnevezési konvencióval, amelyet Fájlkezelő használ, amikor egy fájlt másolnak és illesztenek be ugyanabba a mappába. Ha például egy Document.docx fájl nem védett, a védett verzió neve Document-Copy.docx. Ha már létezik Document-Copy.docx nevű fájl, létrejön a Document-Copy(2).docx stb.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-License
Megadja azt a változónevet, amely a New-RMSProtectionLicense parancsmaggal létrehozott alkalmi jogosultsági szabályzatot tárolja. A rendszer ezt az alkalmi jogosultsági szabályzatot használja a fájl vagy fájlok védelmére szolgáló sablon helyett.
| Type: | SafeInformationProtectionLicenseHandle |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OutputFolder
Megadja azt az elérési utat és mappát, amellyel az eredeti fájlok védett verziói védtelenek maradnak. Az eredeti mappastruktúra megmarad, ami azt jelenti, hogy a megadott értékhez almappák hozhatók létre.
Az elérési úthoz használhat meghajtóbetűjelet vagy UNC-t.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OwnerEmail
Megadja a védett fájl vagy fájlok Rights Management-tulajdonosát e-mail-cím alapján.
Alapértelmezés szerint a parancsmagot futtató fiók a Rights Management-kibocsátó és a védett fájl Rights Management-tulajdonosa is. Ez a paraméter lehetővé teszi, hogy egy másik Rights Management-tulajdonost rendeljen a védett fájlhoz, hogy a megadott fiók a fájl összes használati jogosultságával (teljes hozzáféréssel) rendelkezhessen, és mindig hozzáférhessen. A Rights Management tulajdonosa független a Windows fájlrendszer tulajdonosától. További információ: Rights Management-kibocsátó és Rights Management-tulajdonos.
Ha nem ad meg értéket ehhez a paraméterhez, a parancsmag a hitelesített munkamenet e-mail-címével azonosítja a védett fájl vagy fájlok Rights Management-tulajdonosát. Ha az AD RMS-t vagy az Azure RMS-t felhasználói fiókkal használja a fájlok védelmére, ez lesz az e-mail-címe. Ha az Azure RMS-t szolgáltatásnév-fiókkal használja, ez az e-mail-cím hosszú számokat és betűket tartalmazó sztring lesz. Ez az e-mail-cím azoknak a felhasználóknak jelenik meg, akik nem rendelkeznek engedélyekkel a védett dokumentum megtekintéséhez, hogy engedélyeket kérhessenek.
Ha ezt a parancsmagot az Azure RMS-hez egy egyszerű szolgáltatásfiókkal futtatja, és Ön a védett fájl vagy fájlok tulajdonosa, adja meg a saját e-mail-címét ehhez a paraméterhez. Ha ezt a parancsmagot az Azure RMS-hez egy egyszerű szolgáltatásfiókkal futtatja, és egyetlen felhasználó birtokolja a fájlt vagy az összes védett fájlt, adja meg az e-mail-címét, hogy ne korlátozza az eredeti fájltulajdonost abban, hogy módosítsa a fájlt, és a kívánt módon használja azt.
Ha ezt a parancsmagot több fájllal futtatja, amelyek különböző felhasználókhoz tartoznak, győződjön meg arról, hogy ezek a felhasználók teljes hozzáférésű használati jogosultságokkal rendelkeznek, és fontolja meg, hogy melyik e-mail-címet kell hozzárendelni ehhez a paraméterhez. Bár megadhat egy csoport e-mail-címét, és ez a cím jelenik meg a hozzáférési engedélyek igényléséhez, a csoport tagjai nem lesznek a Rights Management-tulajdonos, és alapértelmezés szerint nem rendelkeznek használati jogosultságokkal a védelmi fájlhoz. Ebben a forgatókönyvben válassza ki, hogy egyetlen felhasználót (például egy rendszergazdát) szeretne-e hozzárendelni, vagy adjon meg egy csoport e-mail-címét, amelyhez teljes hozzáférés használati jogosultságot is hozzárendel. A csoport e-mail-konfigurációjához például ez lehet az Ügyfélszolgálat.
Fontos: Bár ez a paraméter nem kötelező, ha nem adja meg, amikor az Azure RMS és egy szolgáltatásnév használatával védi a fájlokat, a felhasználók által az Azure Information Protection-ügyfélről látható e-mail-cím nem lesz hasznos. Ezért azt javasoljuk, hogy mindig ezt a paramétert adja meg, amikor a felhasználói fiók helyett az Azure RMS és egy szolgáltatásnév használatával védi a fájlokat.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Recurse
A Mappa paraméterrel együtt használva azt jelzi, hogy az almappákban lévő összes aktuális fájl védett lesz.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TemplateID
Megadja annak a sablonnak az azonosítóját, amelyet a megadott fájl vagy fájlok védelmére kíván használni, ha nem használja a Licenc paramétert alkalmi szabályzathoz. Ha nem tudja a használni kívánt sablon azonosítóját, használja a Get-RMSTemplate parancsmagot.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |