Protect-RMSFile
Skyddar en angiven fil eller filerna i en angiven mapp med hjälp av RMS.
Syntax
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]Description
Cmdleten Protect-RMSFile skyddar en fil eller alla filer i en angiven mapp med hjälp av Azure RMS eller AD RMS. Om filen tidigare har skyddats skyddas den igen för att tillämpa ändringar som de som kan göras på mallen som används för att skydda filen.
Flera filtyper kan skyddas på samma sätt som Azure Information Protection-klienten kan skydda filer när du använder högerklicksalternativet Klassificera och skydda från Utforskaren.
Olika skyddsnivåer tillämpas automatiskt (inbyggda eller generiska), beroende på filtyp. Du kan ändra skyddsnivån genom att redigera registret. Dessutom ändrar vissa filer filnamnstillägget när de har skyddats av Rights Management. Mer information finns i avsnittet Filtyper som stöds för skydd i administrationshandboken för Azure Information Protection-klienten.
Innan du kör den här cmdleten måste du köra Get-RMSTemplate för att ladda ned mallarna till datorn. Om mallen som du vill använda har ändrats sedan du körde den här cmdleten kör du den igen med parametern -force för att ladda ned den ändrade mallen.
När du kör den här cmdleten har du följande alternativ:
Filen skyddas på den aktuella platsen och ersätter den ursprungliga filen som var oskyddad.
Den ursprungliga filen förblir oskyddad och en skyddad version av filen skapas på en annan plats.
Alla filer i den angivna mappen skyddas på den aktuella platsen och ersätter de ursprungliga filerna som var oskyddade.
Alla filer i den angivna mappen förblir oskyddade och en skyddad version av varje fil skapas på en annan plats.
Du kan inte köra det här kommandot samtidigt, men du måste vänta tills det ursprungliga kommandot har slutförts innan du kör det igen. Om du försöker köra det igen innan föregående kommando har slutförts misslyckas det nya kommandot.
Den här cmdleten skriver till följande loggfiler: Success.log, Failure.log och Debug.log i %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>.
Tips
Stegvisa instruktioner för hur du använder den här cmdleten för att skydda filer på en Windows Server-filresurs med hjälp av fil Resource Manager och filklassificeringsinfrastruktur finns i RMS Protection med Windows Server File Classification Infrastructure (FCI).
Exempel
Exempel 1: Skydda och ersätta en enskild fil med hjälp av en mall
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docxDet här kommandot skyddar en enda fil med namnet Test.docx med hjälp av en mall och ersätter den ursprungliga oskyddade filen. Rights Management-ägaren av filen och den e-postadress som kan visas för användare när de kommer åt den skyddade filen anges automatiskt som e-postadress för det konto som kör kommandot.
Exempel 2: Skapa en skyddad kopia av en enskild fil med hjälp av en mall
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docxDet här kommandot är samma som i föregående exempel, förutom att det inte använder InPlace-parametern . Eftersom den inte heller använder parametern OutputFolder skapas den skyddade filen i den aktuella mappen med "-Copy" som läggs till i filnamnet. Den ursprungliga, oskyddade filen finns kvar i den aktuella mappen.
Exempel 3: Skapa en skyddad version av en fil med hjälp av en mall
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxtDet här kommandot skyddar en enda fil med namnet Test.docx med hjälp av en mall och placerar den här skyddade versionen av filen i C:\Temp, vilket lämnar den ursprungliga filen oskyddad i roten på C:-enheten. Rights Management-ägaren av filen och den e-postadress som kan visas för användare när de kommer åt den skyddade filen är för administratören.
Exempel 4: Skyddade alla filer i en mapp med hjälp av en mall
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxtDet här kommandot skyddar alla filer i en serverresurs (endast en mapp, inte undermappar) och ersätter de oskyddade filerna. E-postadressen som visas för användare när de inte har åtkomst är för IT-avdelningsgruppen och den här gruppen beviljas fullständig behörighet för användning i mallen så att de kan ändra användningsrättigheterna för de skyddade filerna.
Eftersom det här scenariot skyddar filer åt andra används parametern DoNotPersistEncryptionKey för maximal prestanda och för att förhindra att oanvända filer sparas på disk.
Exempel 5: Skyddade filer med ett specifikt filnamnstillägg i en mapp med hjälp av en mall
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docxDet här kommandot skyddar endast filer som har ett .docx filnamnstillägg i en mapp (och alla undermappar) på en serverresurs och ersätter de oskyddade filerna. Precis som i föregående exempel gäller den e-postadress som visas för användare när de inte har åtkomst till IT-avdelningen.
Även om kommandot Protect-RMSFile inte har inbyggt stöd för jokertecken kan du använda Windows PowerShell för att uppnå detta och ändra filnamnstillägget i exemplet efter behov.
Exempel 6: Skydda en enskild fil med hjälp av en ad hoc-rättighetsprincip
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxtDet första kommandot skapar en ad hoc-rättighetsprincip som ger Redigeringsrättigheter till user1@contoso.com.
Det andra kommandot skyddar en enda fil med namnet Test.txt med hjälp av den här ad hoc-rättighetsprincipen som just skapats och ersätter den ursprungliga oskyddade filen.
Observera att om inte din e-postadress är user1@contoso.comkan du inte ta bort skyddet av den här filen när kommandot har slutförts eftersom du inte har några rättigheter till den och du inte är Rights Management-ägare.
Om du behöver kunna ta bort skyddet från den här filen senare kan du lägga till ditt namn och ge användaren och dig själv antingen extraherings- eller ÄGAR-rättigheten i ad hoc-rättighetsprincipen i det första kommandot. Eller om du inte vill att användaren ska kunna ta bort skyddet från filen lägger du till -OwnerEmail <din e-postadress> i slutet av det andra kommandot.
Parametrar
-DoNotPersistEncryptionKey
Förhindrar att en självbekänd slutanvändarlicens för Rights Management-utfärdaren sparas när en fil skyddas. Med den här licensen kan Rights Management-utfärdaren öppna den skyddade filen utan att autentisera till Rights Management-tjänsten. Detta hjälper till att säkerställa att den person som körde den här cmdleten alltid kan öppna sina egna filer som de skyddade, även när personen är offline. Det resulterar också i minimala fördröjningar för användaren att öppna dessa skyddade filer.
Rights Management-utfärdaren är det konto som skyddar filerna. Mer information finns i Rights Management-utfärdare och Rights Management-ägare.
Som standard sparas den här självbegivna slutanvändarlicensen både i själva filen och på den dator som cmdleten körs från. Filnamnet börjar med EUL och skapas i %localappdata%\Microsoft\MSIPC. Använd den här parametern för att förhindra att slutanvändarlicensen sparar i filen, på datorn eller båda. Det är lämpligt att ange den här parametern om du skyddar filer för andras räkning, till exempel med Windows Server FCI. I det här scenariot kommer Rights Management-utfärdaren inte att öppna de skyddade filerna och därför minskar skapandet och sparandet av slutanvändarlicensen skyddsprestandan och genererar i onödan många filer som kan fylla upp det tillgängliga diskutrymmet.
Godkända värden för den här parametern:
Disk: En slutanvändarlicens för Rights Management-utfärdaren genereras inte för varje fil i %localappdata%\Microsoft\MSIPC.
Licens: En slutanvändarlicens för Rights Management-utfärdaren infogas inte i publiceringslicensen för filen.
Alla: Ingen slutanvändarlicens för Rights Management-utfärdaren skapas och sparas när en fil skyddas.
| Type: | String |
| Accepted values: | all, disk, license |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-File
Anger sökvägen och filnamnet som ska skyddas. För sökvägen kan du använda en enhetsbeteckning eller UNC.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Folder
Anger sökvägen och mappen som ska skyddas. För sökvägen kan du använda en enhetsbeteckning eller UNC.
Alla filer som för närvarande finns i den angivna mappen kommer att skyddas. Nya filer som läggs till i mappen skyddas inte automatiskt.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InPlace
Filen eller filerna i den angivna mappen skyddas på den aktuella platsen och ersätter den oskyddade ursprungliga filen eller filerna. Den här parametern ignoreras om parametern OutputFolder har angetts.
Om varken InPlace eller OutputFolder anges skapas den nya filen i den aktuella katalogen med "-Copy" som läggs till i filnamnet, med samma namngivningskonvention som Utforskaren använder när en fil kopieras och klistras in i samma mapp. Om till exempel en fil med Document.docx är oskyddad heter den skyddade versionen Document-Copy.docx. Om det redan finns en fil med namnet Document-Copy.docx skapas Document-Copy(2).docx och så vidare.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-License
Anger variabelnamnet som lagrar en ad hoc-rättighetsprincip som skapades med hjälp av cmdleten New-RMSProtectionLicense . Den här ad hoc-rättighetsprincipen används i stället för en mall för att skydda filen eller filerna.
| Type: | SafeInformationProtectionLicenseHandle |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OutputFolder
Anger sökvägen och mappen för att placera skyddade versioner av de ursprungliga filerna som förblir oskyddade. Den ursprungliga mappstrukturen upprätthålls, vilket innebär att undermappar kan skapas för det angivna värdet.
För sökvägen kan du använda en enhetsbeteckning eller UNC.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OwnerEmail
Anger Rights Management-ägaren av den skyddade filen eller filerna via e-postadress.
Som standard är kontot som kör den här cmdleten både Rights Management-utfärdaren och Rights Management-ägaren av den skyddade filen. Med den här parametern kan du tilldela en annan Rights Management-ägare till den skyddade filen så att det angivna kontot har alla användningsrättigheter (fullständig kontroll) för filen och alltid kan komma åt den. Rights Management-ägaren är oberoende av Windows-filsystemets ägare. Mer information finns i Rights Management-utfärdare och Rights Management-ägare.
Om du inte anger något värde för den här parametern använder cmdleten e-postadressen för din autentiserade session för att identifiera Rights Management-ägaren av den skyddade filen eller filerna. Om du använder AD RMS eller Azure RMS med ett användarkonto för att skydda filer är detta din e-postadress. Om du använder Azure RMS med ett konto för tjänstens huvudnamn är den här e-postadressen en lång sträng med siffror och bokstäver. Den här e-postadressen visas för användare som inte har begränsningar för att visa det skyddade dokumentet, så att de kan begära behörigheter.
Om du kör den här cmdleten för Azure RMS med ett konto för tjänstens huvudnamn och du äger filen eller filerna som du skyddar anger du din egen e-postadress för den här parametern. Om du kör den här cmdleten för Azure RMS med ett konto för tjänstens huvudnamn, och en enskild användare äger filen eller alla filer som du skyddar, anger du deras e-postadress så att du inte begränsar den ursprungliga filägaren från att göra ändringar i filen och använda den som avsett.
Om du kör den här cmdleten med flera filer som tillhör olika användare kontrollerar du att dessa användare har behörighet att använda fullständig kontroll och överväger vilken e-postadress som ska tilldelas för den här parametern. Även om du kan ange en grupps e-postadress och den här adressen visas för att begära åtkomstbehörigheter, blir medlemmar i gruppen inte Rights Management-ägare och har som standard inga användningsrättigheter för skyddsfilen. I det här scenariot väljer du om du vill tilldela en enskild användare (till exempel en administratör) eller ange en grupp-e-postadress som du också tilldelar användningsrättigheter för fullständig kontroll. För e-postkonfigurationen för gruppen kan detta till exempel vara supportavdelningen.
Viktigt! Även om den här parametern är valfri, är den e-postadress som användarna ser från Azure Information Protection-klienten inte användbar om du inte anger den när du skyddar filer med hjälp av Azure RMS och ett huvudnamn för tjänsten. Därför rekommenderar vi att du alltid anger den här parametern när du skyddar filer med hjälp av Azure RMS och ett huvudnamn för tjänsten i stället för ditt användarkonto.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Recurse
När den används med parametern Mapp anger att alla aktuella filer i undermapparna kommer att skyddas.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TemplateID
Anger ID:t för mallen som ska användas för att skydda den angivna filen eller filerna om du inte använder licensparametern för en ad hoc-princip. Om du inte känner till ID:t för mallen som du vill använda använder du cmdleten Get-RMSTemplate .
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |