受限客户端应用被保护文档

AD RMS策略模板主要是为了限制某些客户端针对文档享有的权限,因此当这些受限客户端应用被保护文档时,必须连接到AD RMS服务器进行凭据验证并下载相应权限许可证后才可以打开。这里仍以上述应用为例介绍。

(1)用户lhn@coolpen.net创建了文档并应用了限制用户tjl@coolpen.net复制和更改的权限,当用户tjl@coolpen.net取得文档并查看时显示如图17-72所示的提示框。

 

 
(点击查看大图)图17-72  提示框

(2)单击"确定"按钮,客户端开始向AD RMS服务器提交身份验证并获得相应的权限。最终打开文档,提示文档是"只读"状态,并且不允许用户执行"复制"命令,或按PrtSc键抓取屏幕,如图17-73所示。这是因为当前被保护文档应用的权限策略模板已经屏蔽了Windows的这些功能,关闭受保护文档则一切恢复正常,用户使用时应注意。

 
(点击查看大图)图17-73  文档为"只读"状态

 

 

(3)单击"查看我的权限"超级链接,打开如图17-74所示的"我的权限"对话框。其中只有"查看"一项处于"是"状态,其他均为"否"。

(4)单击"更改用户"按钮,打开如图17-75所示的"选择服务"对话框。如果当前拥有的权限无法正常完成工作,可以选择其中一种方式添加其他有足够权限的用户账户。选择"使用Microsoft .NET Passport账户"单选按钮,可以凭借有效的Microsoft .NET Passport账户从Microsoft获得一个证书实现相应目的,这与AD RMS服务器的设置有关。如果添加了.NET Passport类型的可信任用户域,则客户端可以使用这种方式;否则无效。选择"使用Microsoft Windows账户"单选按钮,即可从当前域中选择其他用户账户来完成相应操作。

图17-74  "我的权限"对话框
图17-75  "选择服务"对话框
如果上述方法仍不能获得相应权限,则可以在"我的权限"对话框中单击"请求附加权限"按钮,向AD RMS服务器申请相关权限,打开如图17-76所示的"申请权限"窗口。"收件人"文本框中为AD RMS服务器上设定的接收申请的电子邮件地址,保持默认即可。根据实际需要,说明要请求的权限即可。
 
(点击查看大图)图17-76  "申请权限"窗口
需要应用此功能时,必须首先在网络中配置Exchange或其他邮件服务器。虽然在AD RMS系统中用到E-mail地址的地方非常多,但是多数情况下是作为一种用户标识并非真正地用来传递信息,所以网络中的邮件服务器也就可有可无。如果确实需要传递信息,则必须搭建邮件服务器。