任何規模的組織都需要保護重要的數字信息,以避免由於疏忽引起誤操作以及被惡意利用。此外,信息竊取行爲的不斷增多以及對保護數據的立法呼聲的高漲,使得如何更好地保護數字信息這一需求變得更爲強烈。現在,使用計算機來創建和處理以上類型的敏感信息的情況越來越多,通過專用網絡和公共網絡(包括 Internet)擴大連接也日益普及,而計算設備的功能正愈來愈強大,這一切都使得保護組織數據成爲必需的安全事項。
數字內容的類型可能包括信息門戶中的動態且由數據庫驅動的報告、機密的電子郵件、戰略計劃文檔、軍事防禦報告以及其他敏感的政府文件等。
RMS(Windows Rights Management Services) 提供了一個用於保護數字內容的統一的解決方案。RMS 還提供了工具,用於爲 RMS 系統中的可信實體建立和配置服務器、客戶端以及用戶帳戶。
以上來自Microsoft TecheNet。
有關RMS的詳細部署,我以前發表過一篇文章在Cnfan.net第五期雜誌上,有興趣的話可以下載看看:http://www.cnfan.net/magazine/itpromagazine200605.rar
今天主要討論一下如果企業中需要改變某些員工的Email地址,如企業成立子公司,一部分員工到子公司工作,Email地址將變更爲子公司的Email地址時,原有受RMS保護的文檔等如何處理?怎麼訪問?
我們都知道,RMS的權限加密是通過Email地址來進行的,如果變更了Email地址,原有通過RMS加密的文件將無法打開。所以,我們不能去改變原有的Email地址了。
這種情況下,有一個解決的辦法:
一、如果企業中具備有Exchange郵件服務器:
我們可以添加分配多個Email地址來滿足要求。例如我們原有的的賬號爲aaa,以前使用的郵件地址爲[email protected],並已經創建了RMS保護文檔。然後如果想給aaa賬號另一個郵件地址,不刪除[email protected]郵件地址,而是增加一個郵件地址,而是增加一個[email protected]的郵件地址,並把[email protected]設爲主用郵件地址,這樣原來用[email protected] 保護的文檔還是能正常打開。
這是我們只需要在Exchange管理控制檯中添加電子郵件地址即可,如下:
二、如果企業中沒有部署Exchange郵件服務器:
如果我們沒有Exchange服務器,也可以實現,但這樣做的缺點是多個郵件無法在AD中的用戶屬性中顯示,會給以後的維護和管理帶來一定的麻煩。
首先我們需要修改proxy-addresses schema 屬性,然後修改賬號所對應的mail和proxyAddresses的值。
1、修改proxy-addresses schema 屬性
a、打開ADSI工具,展開Schema[FQDN of DC server]
b、找到CN=Proxy-Addresses,並編輯其屬性,找到Attribute爲 isMemberOfPartialAttributeSet的值,把它設爲Ture。
2、修改賬號所對應賬號的mail和proxyAddresses的值
a、打開ADSIEDIT,展開Domain[FQDN of DC server].
b、選擇某一個賬號,編輯屬性,例如user2賬號的主用地址爲[email protected] ,備用爲[email protected] ,我們需要編輯屬性mail,值爲[email protected],編輯屬性proxyAddresses,值爲SMTP:[email protected] ;smtp:[email protected](第一個SMTP一定要大寫,大寫的SMTP表示爲首要的Email地址)
完成後,即可使用現有的Email地址進行訪問原有加密的RMS文件了。