任何规模的组织都需要保护重要的数字信息,以避免由于疏忽引起误操作以及被恶意利用。此外,信息窃取行为的不断增多以及对保护数据的立法呼声的高涨,使得如何更好地保护数字信息这一需求变得更为强烈。现在,使用计算机来创建和处理以上类型的敏感信息的情况越来越多,通过专用网络和公共网络(包括 Internet)扩大连接也日益普及,而计算设备的功能正愈来愈强大,这一切都使得保护组织数据成为必需的安全事项。

数字内容的类型可能包括信息门户中的动态且由数据库驱动的报告、机密的电子邮件、战略计划文档、军事防御报告以及其他敏感的政府文件等。

RMS(Windows Rights Management Services) 提供了一个用于保护数字内容的统一的解决方案。RMS 还提供了工具,用于为 RMS 系统中的可信实体建立和配置服务器、客户端以及用户帐户。

以上来自Microsoft TecheNet。

有关RMS的详细部署,我以前发表过一篇文章在Cnfan.net第五期杂志上,有兴趣的话可以下载看看:http://www.cnfan.net/magazine/itpromagazine200605.rar

今天主要讨论一下如果企业中需要改变某些员工的Email地址,如企业成立子公司,一部分员工到子公司工作,Email地址将变更为子公司的Email地址时,原有受RMS保护的文档等如何处理?怎么访问?

我们都知道,RMS的权限加密是通过Email地址来进行的,如果变更了Email地址,原有通过RMS加密的文件将无法打开。所以,我们不能去改变原有的Email地址了。

这种情况下,有一个解决的办法:

一、如果企业中具备有Exchange邮件服务器:

我们可以添加分配多个Email地址来满足要求。例如我们原有的的账号为aaa,以前使用的邮件地址为aaa@aaa.com,并已经创建了RMS保护文档。然后如果想给aaa账号另一个邮件地址,不删除aaa@aaa.com邮件地址,而是增加一个邮件地址,而是增加一个bbb@aaa.com的邮件地址,并把bbb@aaa.com设为主用邮件地址,这样原来用aaa@aaa.com 保护的文档还是能正常打开。

这是我们只需要在Exchange管理控制台中添加电子邮件地址即可,如下:

image

二、如果企业中没有部署Exchange邮件服务器:

如果我们没有Exchange服务器,也可以实现,但这样做的缺点是多个邮件无法在AD中的用户属性中显示,会给以后的维护和管理带来一定的麻烦。
首先我们需要修改proxy-addresses schema 属性,然后修改账号所对应的mail和proxyAddresses的值。
1、修改proxy-addresses schema 属性
a、打开ADSI工具,展开Schema[FQDN of DC server]
b、找到CN=Proxy-Addresses,并编辑其属性,找到Attribute为 isMemberOfPartialAttributeSet的值,把它设为Ture。

image

image
2、修改账号所对应账号的mail和proxyAddresses的值
a、打开ADSIEDIT,展开Domain[FQDN of DC server].
b、选择某一个账号,编辑属性,例如user2账号的主用地址为user2@contoso.com ,备用为zhangyue@contoso.com ,我们需要编辑属性mail,值为user2@contoso.com,编辑属性proxyAddresses,值为SMTP:user2@contoso.com ;smtp:zhangyue@contoso.com(第一个SMTP一定要大写,大写的SMTP表示为首要的Email地址)

image

image

完成后,即可使用现有的Email地址进行访问原有加密的RMS文件了。