SharePoint Foundation 中的信息权限管理
上次修改时间: 2015年3月9日
适用范围: SharePoint Foundation 2010
本文内容
SharePoint Foundation 中的文件存储
对受保护的文档的用户访问
在 SharePoint Foundation 中启用 IRM
过去,只能通过限制对存储信息的网络或计算机的访问来控制敏感信息。不过,在为用户提供访问权限之后,对于可对内容执行的操作或可将内容发送到的用户没有任何限制。使用 Microsoft 信息权限管理 (IRM),可以创建一组与内容而非特定网络位置共存的持久性访问控件,这些控件可帮助您控制对文件的访问(即使这些文件已脱离您的直接控制)。
在 Microsoft SharePoint Foundation 2010 中,IRM 可用于位于文档库中并作为列表项附件存储的文件。网站管理员可以选择使用 IRM 来保护从文档库下载的内容。当用户尝试从该库中下载文件时,SharePoint Foundation 会验证用户是否具有给定文件的权限,并为用户颁发使其能够以适当权限级别访问该文件的许可。然后,SharePoint Foundation 会将文件以加密且受权限管理的文件格式下载到用户的计算机上。
IRM 是由管理员在文档库级别上启用的,并包括以下设置:
信息权限策略名称和说明。
用户是否可以打印受权限管理的文档。
备注
若要打印受权限管理的文档,用户必须具有"查看"或更高级别的权限。
用户是否可以在文件中运行 Microsoft Visual Basic for Applications (VBA) 和其他自定义代码。
许可证的有效天数。在指定天数过后,许可证将过期,用户必须重新从文档库下载文件。
是否允许用户上载不支持 IRM 的文件类型。
如果启用此选项,则 SharePoint Foundation 不允许用户上载其无法进行权限管理的文件。因此,用户无法上载:
此文档库的给定文件类型的文档,除非已向 SharePoint Foundation 注册该文件类型的 IRM 保护程序。
受 SharePoint Foundation 之外的任何应用程序权限管理的文档。例如,SharePoint Foundation 将不允许用户上载受客户端应用程序保护的文件。
(可选)停止限制对文档库的权限的日期。指定的日期过后,SharePoint Foundation 将移除对库中的文档的所有权限管理限制。
由于文档本身不包括此设置,因此在指定的停止日期之前下载的权限管理文档在客户端应用程序中仍受权限管理(甚至在指定日期之后)。不过,当用户在指定日期过后对文档进行检查之后,将移除文档保护。
例如,可能要求金融机构按季度将某些信息公开。不过,在此日期之前,该机构可能希望限制对包含这些信息的文件的访问,以防止信息过早泄露。
SharePoint Foundation 中的文件存储
由于公司经常会具有一些有关要求以未加密的格式存储文件的限制,所以 SharePoint Foundation 不会以加密的、受权限管理的文件格式存储文件。但是,每当用户下载文件时,SharePoint Foundation 都会调用 IRM 保护程序将存储的文件转换为加密的格式。类似地,当用户上载文件的权限管理副本时,在存储此副本之前,SharePoint Foundation 会调用适当的 IRM 保护程序将此副本转换为未加密的格式。
因此,无需创建自定义解决方案,即可对已启用 IRM 的文档库进行搜索或存档。以未加密的格式存储文件可确保当前搜索索引服务能够对服务器上存储的内容进行爬网。搜索结果已限制在用户权限范围内,因此用户绝不会看到包括他们不具有其访问权限的内容的搜索结果。
对受保护的文档的用户访问
SharePoint Foundation 基于用户的访问控制列表 (ACL) 项来确定要授予该用户的访问权限。表 1 列出了 ACL 中的用户权限级别和受 IRM 保护的文件的相应权限。
备注
列出的权限是累加的;每个权限级别均包括其下面的权限级别的访问权。
表 1. 用户 ACL 权限和相应的 IRM 权限
ACL 权限 |
IRM 权限 |
|---|---|
管理权限 管理 Web |
客户端应用程序定义的文档的完全控制。此控制通常允许用户读取、编辑、复制、保存和修改文档的权限。 |
编辑列表项 管理列表 添加和自定义网页 |
编辑、复制和保存权限。仅在将文档库 IRM 设置配置为允许打印文档时,用户才能打印该文档。 |
视图列表项 |
读取权限。用户可以读取文档,但不能复制或编辑其内容。仅在将文档库 IRM 设置配置为允许打印文档时,用户才能打印该文档。 |
所有其他 ACL 权限设置,例如编辑用户信息 |
不适用;无相应的 IRM 权限。 |
当用户请求权限管理文档时,SharePoint Foundation 会基于用户的访问权限为用户下载受保护的文件。此时,SharePoint Foundation 将成为受保护内容的主要所有者;具体说就是进程的所有者,SharePoint Foundation 将在该进程中成为权限管理文档的所有者。请求文档的用户将添加为文档的使用者,并能够获取授予正确权限的最终用户许可证 (EUL)。只有 SharePoint Foundation 和此用户具有下载的文件的所有权限。例如,用户不能将权限管理文件发送给其他人,即使此人员也能访问 SharePoint Foundation 文档库中的文件。相反,此人员将需要访问文档库并直接下载文档。
在 SharePoint Foundation 中启用 IRM
IRM 是在文档库级别启用的。但是,必须针对 SharePoint Foundation 将 IRM 作为一个整体进行配置,以使其成为文档库级别的选项。通常,为 SharePoint Foundation 启用 IRM 需要在每台前端 Web 服务器上安装权限管理平台,并确保 SharePoint Foundation 和任何关联的服务帐户在此平台上具有必要的权限。
在执行这些步骤之后,网站和文档库管理员可以在他们具有其适当权限的任何文档库上启用 IRM。
有关如何完成这些步骤的详细信息,请参阅 SharePoint Foundation IT 专业文档。
有关集成保护程序和自治保护程序的详细信息,请参阅自定义 IRM 保护程序。