SharePoint2010時Office Web App2010是一個讓人又愛又恨的產品,盡管能夠在WEB上查看與編輯文檔,甚至能夠多能協同編輯,但總會遇到兩個看似普通的需求卻需要給業務人員大費口舌去解釋的問題:
- 如何使用在線查看PDF文件,這個問題在2010時代的確比較糾結,盡管最后用開發手段實現了,但的確是一個心病。
- 如何在Web App在線查看文檔時控制不能復制、下載和打印,這個需求首先聯想到的是R文檔庫與RMS集成,通過SharePoint IRM 控制文檔內容訪問權限(這里我們也可以稱為訪問策略),集成后文檔管理,IRM權限控制本來是一切都正常的(客戶端中打開),但比較遺憾的是Web App2010不支持IRM加密文檔在線查看。
針對以上兩個問題Office Web App2013總算是解決掉了,第一個問題上篇已經提到,本文將針對第二個問題進行討論。
1.AD RMS 安裝
AD RMS安裝不能夠安裝在域控制器中,需單獨一台服務器。
安裝過程:服務器管理器---中選擇添加角色和功能,勾選“Active Directory Rights Management Services”,然后一步一步完成安裝
安裝完成后,需要進行配置,配置時需指定一個管理帳戶,此帳戶可以在活動目錄中專門建一個域帳戶,RMS數據庫可以直接使用 SharePoint中的數據庫服務,也可以選擇使用本地服務,配置地址時指定一個IIS地址和端口,如果綁定域名的話DNS服務器中需要對該域名添加解析,詳細配置過程略。
2.RMS 與SharePoint集成
進入SharePoint管理中心,點擊“安全性”--->“配置信息權限管理”,如下圖所示:
在配置時可以選擇“使用 Active Directory中指定的默認RMS服務器”,或者選擇“使用此RMS服務器”手工指定RMS服務器域名。
但配置時發現提示錯誤:在RMS服務器的c:\inetpub\wwwroot\_wmcs\certification文件夾下面找到Certification .asmx文件。然后添加SharePoint的應用程序池帳號或者SharePoint服務器的“讀取和執行”權限。
這個錯誤信息在2010時就遇到過,設置RMS WebService的訪問權限即可:
在RMS服務器的c:\inetpub\wwwroot\_wmcs\certification文件夾下面找到ServerCertification.asmx文件。然后添加SharePoint的應用程序池帳號(我這里是administrator)和 AD RMS Service Group組“讀取和執行”權限。
在RMS服務器計算機管理中,為組AD RMS Service Group添加成員 SharePoint服務器和SharePoint的應用程序池帳號,如下圖:
測試權限是否配置正確的方式是輸入WebService的地址,然后輸入sharepoint的帳戶和密碼,看看是否能夠正確顯示WebService。
此處權限配置方面的各種問題摘錄如下:
1.所需的 Windows Rights Management Client 存在,但服務器已拒絕訪問。在服務器授予權限之前,IRM 將不會運行。 XXXX mname$domain.com XXXX這樣的錯誤
這個錯誤是由於的權限設置問題,要在AD里頭把MOSS管理員(還有MOSS站點應用程序池的運行帳戶)加到 RMS 服務組里,然后把RMS服務組加到_wmcs\certification\ServerCertification.asmx上。
更正:要在AD里頭把MOSS管理員(MOSS站點應用程序池的運行帳戶),還有MOSS服務器(沒錯,就是機器!), 加到 RMS 服務組里,然后把RMS服務組,及 MOSS服務器 加到_wmcs\certification\ServerCertification.asmx上。
2.在對文檔進行發送到下載副本操作時出錯:異常來自 HRESULT:0x80041056。且直接在線打開文檔時WORD一片空白(應該說是一片空藍)
這個錯誤是由於當前登陸MOSS的用戶沒有正確的MAIL屬性,也有可能是AD里頭沒有設置MAIL屬性的時候用戶已經被導入到SSP里,后來AD里頭已經設置了,但是還沒有同步到SSP里。
3.下載文檔時半天彈不出下載框,直接打開時WORD也是顯示個下載的進度條。
這是由於MOSS訪問不了RMS服務器。檢查一下吧。。。。
4.在線打開文檔WORD一片空白
這個錯誤是群里一個朋友遇到的,后來也解決了並共享了出來,原因是由於IIS池用的是本地帳戶,無法和RMS進行交互導致。
3.文檔庫集成
在文檔庫中管理界面中,點擊“信息權限管理”,
勾選“下載時限制此庫的權限”,輸入策略的標題,對相關配置項進行勾選配置
在Web App中打開文檔,文檔內容不能再復制了,而且PDF文件也直接支持了該功能。
對比加密前后功能菜單差別,“編輯文檔”和“注釋”菜單不見了,而當前帳戶對文檔是有編輯權限的,這點沒弄明白,難道附加了IRM限制的文檔不支持在線編輯。
點擊“下載”按鈕時,系統提示錯誤,雖然不太友好,但功能上已經達到控制下載的目的。
在預覽窗口中,發覺文檔預覽不支持IRM文檔,這個也沒想通原因(可能是文檔預覽機制是采用緩存機制,該機制跟IRM權限存在矛盾)
SharePoint2013中關鍵亮點SkyDrive Pro悲劇了
4.存在的問題
- 上面提到的無法在線修改、無法預覽文檔,而且擁有編輯權限的用戶也無法下載副本(這點不太合乎常理,有待詳細考證),SkyDrive Pro無法同步。
- SharePoint一直以來都是只能在文檔庫級別設置IRM,而無法按文檔夾或文件單獨啟用這個功能,不知道是出於何種考慮。
- 文檔在下載的時候會聯系RMS服務器為文檔附加相關的憑據頭,而且文檔只附加了當前用戶權限的RMS憑據,這樣導致該文檔轉發給其他用戶時無法打開,只能從網上下載。
如,文檔在文檔庫中設置為:A用戶和B用戶都有查看權限,但A下載后,轉發給B,B用戶是無法打開的,因為文件在下載時,在文件頭里只附加了A的憑據及權限。這個其實不能說不合理,只是使用習慣問題,如果需要轉發,請轉發文檔在SharePoint中的鏈接,這是微軟推薦的做法。
5.總結
文檔庫是否開啟IRM權限控制,這個需要根據業務需求詳細考慮,IT領域的主要矛盾從來都是日益增長的安全性需求和滿足廣大人民群眾的易用性之間的矛盾,具體功能性取舍權衡要慎重。
參考資料: