最近在尝试用sharepoint+rms创建权限受控的文档库,本文主要描述文档库的创建过程,rms服务器的安装配置暂时不包含在本文中。

sharepoint中有两种方式控制office文档权限,

方法1:管理员在office文档中设置文件权限,然后上传到sharepoint文档库中,这种方法有一个缺点,因为上传的文档已经加密,所以sharepoint无法对文档进行索引,所以上传的文件不能通过搜索找到。

方法2:管理员在上传文档的时候不做权限设置,在sharepoint级别做权限设置,文档在下载的时候通过rms加密,用这种方式的文档可以在sharepoint中搜索到,缺点是这种权限控制只能做到库级别,不能针对单个文件做设置。

我们使用了第二种方案。

首先需要在sharepoint中配置rms服务器,在我们的环境中,moss服务器和RMS服务器都是AD的成员,所以在moss服务器中做如下操作:

打开sharepoint管理中心,在安全性中选择配置信息安全管理,

选择使用AD中默认的RMS即可。

下面简单记录一下建立受控文档库的步骤:

一. 新建用户组

1. 建立相关的用户组并设置权限、添加成员:

A. 在文控中心这一级点击网站设置,选择人员和组:

B. 新建用户组,按照页面提示填写,如图所示:

用户组所有者必须为人员的邮箱帐号,不能为安全组或通讯组。网站权限选择读取权限。点击创建。创建完成以后会出现如下视图:

C. 把相关的人员加入到新建的用户组中

二. 创建子文档库

sharepoint中有两种库可以选择,一种是文件中心(相当于子网站,在sharepoint中是一个数据库,可以单独授权),另外一种是文档库(在sharepoint中是库中的一个表,一般继承上一级网站的权限)。我们的系统中采用新建文档库的方式,但也使用了独立授权。

1. 点击文控中心-库,如下所示:

2. 选择网站类型为文档库,在右边栏填写网站名称,点击创建。出现如下视图:

库工具中选择库,选择库权限,默认情况下新建的文档库继承上级网站权限,我们采用不继承方式,点击中断继承,把无关的组选中,然后删除权限即可。

3. 添加管理员权限:

如需要添加文档库的管理员,选中管理员组,点击编辑权限,勾选完全控制即可

4. 添加RMS权限。如下图所示:

在库工具栏中选择库,然后选择库设置,出现如下视图:

选择信息权限管理,如下所示:

按照图示的信息填写,选中不允许用户上传不支持IRM的文档。点击确定。

配置完成。

集成了rms以后,文档库就可以对权限进行控制了,测试发现,文档库中文件的权限和sharepoint分配给文档库用户的权限相关,对文档库有完全控制权限的管理员下载的文档管理员拥有所有的权限,而读取用户下载的文档则没有打印、另存为等权限,对于只读用户则不能下载文档,只可以在线阅读。

最后还有一点需要注意,rms权限和AD关联,所有需要下载阅读文档的用户必须是AD域用户,所以在上rms之前必须对所有用户完成加域。