SharePoint2013 中集成AD RMS 與Office Web App 2013集成

SharePoint2010時Office Web App2010是一個讓人又愛又恨的產品，儘管可以在WEB上查看與編輯文檔，甚至可以多能協同編輯，但總會遇到兩個看似普通的需求卻須要給業務人員大費口舌去解釋的問題：

1. 如何使用在線查看PDF文件，這個問題在2010時代的確比較糾結，儘管最後用開發手段實現了，但的確是一個心病。
2. 如何在Web App在線查看文檔時控制不能複製、下載和打印，這個需求首先聯想到的是R文檔庫與RMS集成，經過SharePoint IRM 控制文檔內容訪問權限（這裏咱們也能夠稱爲訪問策略），集成後文檔管理，IRM權限控制原本是一切都正常的（客戶端中打開），但比較遺憾的是Web App2010不支持IRM加密文檔在線查看。

針對以上兩個問題Office Web App2013總算是解決掉了，第一個問題上篇已經提到，本文將針對第二個問題進行討論。

1.AD RMS 安裝

    AD RMS安裝不可以安裝在域控制器中，需單獨一臺服務器。

安裝過程：服務器管理器---中選擇添加角色和功能，勾選「Active Directory Rights Management Services」，而後一步一步完成安裝

安裝完成後，須要進行配置，配置時需指定一個管理賬戶，此賬戶能夠在活動目錄中專門建一個域賬戶，RMS數據庫能夠直接使用 SharePoint中的數據庫服務，也能夠選擇使用本地服務，配置地址時指定一個IIS地址和端口，若是綁定域名的話DNS服務器中須要對該域名添加解析，詳細配置過程略。

2.RMS 與SharePoint集成

進入SharePoint管理中心，點擊「安全性」--->「配置信息權限管理」，以下圖所示：

在配置時能夠選擇「使用 Active Directory中指定的默認RMS服務器」，或者選擇「使用此RMS服務器」手工指定RMS服務器域名。

但配置時發現提示錯誤：在RMS服務器的c:\inetpub\wwwroot\_wmcs\certification文件夾下面找到Certification .asmx文件。而後添加SharePoint的應用程序池賬號或者SharePoint服務器的「讀取和執行」權限。

這個錯誤信息在2010時就遇到過，設置RMS WebService的訪問權限便可：

在RMS服務器的c:\inetpub\wwwroot\_wmcs\certification文件夾下面找到ServerCertification.asmx文件。而後添加SharePoint的應用程序池賬號（我這裏是administrator）和 AD RMS Service Group組「讀取和執行」權限。

在RMS服務器計算機管理中，爲組AD RMS Service Group添加成員 SharePoint服務器和SharePoint的應用程序池賬號，以下圖：

測試權限是否配置正確的方式是輸入WebService的地址，而後輸入sharepoint的賬戶和密碼，看看是否可以正確顯示WebService。

 

此處權限配置方面的各類問題摘錄以下：

1.所需的 Windows Rights Management Client 存在，但服務器已拒絕訪問。在服務器授予權限以前，IRM 將不會運行。 XXXX mname$domain.com XXXX這樣的錯誤

這個錯誤是因爲的權限設置問題，要在AD裏頭把MOSS管理員（還有MOSS站點應用程序池的運行賬戶）加到 RMS 服務組裏，而後把RMS服務組加到_wmcs\certification\ServerCertification.asmx上。

更正:要在AD裏頭把MOSS管理員（MOSS站點應用程序池的運行賬戶）,還有MOSS服務器(沒錯,就是機器!), 加到 RMS 服務組裏，而後把RMS服務組,及 MOSS服務器 加到_wmcs\certification\ServerCertification.asmx上。

2.在對文檔進行發送到下載副本操做時出錯：異常來自 HRESULT:0x80041056。且直接在線打開文檔時WORD一片空白（應該說是一片空藍）

這個錯誤是因爲當前登錄MOSS的用戶沒有正確的MAIL屬性，也有多是AD裏頭沒有設置MAIL屬性的時候用戶已經被導入到SSP裏，後來AD裏頭已經設置了，可是尚未同步到SSP裏。

3.下載文檔時半天彈不出下載框，直接打開時WORD也是顯示個下載的進度條。

這是因爲MOSS訪問不了RMS服務器。檢查一下吧。。。。

4.在線打開文檔WORD一片空白

這個錯誤是羣裏一個朋友遇到的，後來也解決了並共享了出來，緣由是因爲IIS池用的是本地賬戶，沒法和RMS進行交互致使。

3.文檔庫集成

在文檔庫中管理界面中，點擊「信息權限管理」，

 

勾選「下載時限制此庫的權限」，輸入策略的標題，對相關配置項進行勾選配置

在Web App中打開文檔，文檔內容不能再複製了，並且PDF文件也直接支持了該功能。

 

對比加密先後功能菜單差異，「編輯文檔」和「註釋」菜單不見了，而當前賬戶對文檔是有編輯權限的，這點沒弄明白，難道附加了IRM限制的文檔不支持在線編輯。

 

點擊「下載」按鈕時，系統提示錯誤，雖然不太友好，但功能上已經達到控制下載的目的。

在預覽窗口中，發覺文檔預覽不支持IRM文檔，這個也沒想通緣由（多是文檔預覽機制是採用緩存機制，該機制跟IRM權限存在矛盾）

SharePoint2013中關鍵亮點SkyDrive Pro悲劇了

4.存在的問題

• 上面提到的沒法在線修改、沒法預覽文檔，並且擁有編輯權限的用戶也沒法下載副本（這點不太合乎常理，有待詳細考證），SkyDrive Pro沒法同步。
• SharePoint一直以來都是隻能在文檔庫級別設置IRM，而沒法按文檔夾或文件單獨啓用這個功能，不知道是出於何種考慮。
• 文檔在下載的時候會聯繫RMS服務器爲文檔附加相關的憑據頭，並且文檔只附加了當前用戶權限的RMS憑據，這樣致使該文檔轉發給其餘用戶時沒法打開，只能從網上下載。
  如，文檔在文檔庫中設置爲：A用戶和B用戶都有查看權限，但A下載後，轉發給B，B用戶是沒法打開的，由於文件在下載時，在文件頭裏只附加了A的憑據及權限。這個其實不能說不合理，只是使用習慣問題，若是須要轉發，請轉發文檔在SharePoint中的連接，這是微軟推薦的作法。

5.總結

文檔庫是否開啓IRM權限控制，這個須要根據業務需求詳細考慮，IT領域的主要矛盾歷來都是日益增加的安全性需求和知足廣大人民羣衆的易用性之間的矛盾，具體功能性取捨權衡要慎重。

參考資料：

http://blog.sina.com.cn/s/blog_6856e03b0100yzig.html