【IT168 专稿】Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

　　本文介绍RMS的有关权限策略模板部分常见问题解答。

　　1、是否可以对组织中创建的所有内容强制实施默认 RMS 模板，以便企业可以确保具有一组最低权限？

　　是。通过使用 Rights Management Services SDK，可以开发一个自定义应用程序来强制实施需要的模板。但是，Office 2003 及更高版本中的信息权限管理实施不支持对内容强制实施模板。

　　2、RMS 策略模板位于何处？

　　模板位置由启用了 RMS 的应用程序确定。对于 Office 2003 及更高版本，它作为用户设置存储在注册表中的下列位置：

　　HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM\AdminTemplatePath

　　-或-

　　对于 Microsoft Office 2007 为 HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM\AdminTemplatePath。

　　注意

　　如果此注册表项指向客户端上的一个本地文件夹，则必须将模板文件复制到该客户端。如果它指向一个网络共享文件夹，则当用户脱机时，模板文件不可用。

　　3、创建模板时，用户别名和通讯组列表 (DL) 将绑定到这些模板。多部门组织如何提供具有相同基本权限的模板，又如何根据内容向不同的组授予这些权限？

　　此方案有两种解决方案：

　　创建一个名称为"公司机密"的模板，授权业务单位中的所有员工使用该模板，然后在电子邮件中使用该模板，并将电子邮件发送给特定人员。其优点是要求每个业务单位使用一个电子邮件模板，并可根据电子邮件的发送对象限制用户。缺点是组以外的原来接收了邮件的人员仍可以阅读该电子邮件。

　　另一种办法是创建多个模板，每个通讯组列表一个模板。尽管这样可以提供更精确的控制，但同时意味着 IT 部门必须支持多个模板。

　　4、应用于文档的权限是静态的吗？如果发送了文件，并且以后需要更改权限，那么当发布许可证嵌入在文件中，而不在 RMS "策略"服务器上时，是否可以在发送文件后更改权限？

　　是，使用 RMS 策略模板时可以实现此操作：使用 RMS 策略模板发布内容时，策略的定义保留在服务器中，管理员可以在发布内容之后更改它。当用户请求内容的许可证时，许可证将根据服务器中定义的当前策略授权。如果在将用户许可证颁发给用户之后更改了权限，则将会继续授予该用户颁发用户许可证时有效的那些权限。要能够在发布内容之后应用新的权限策略模板，请对模板启用过期策略，然后指定选项"必须为内容续订用户许可证的间隔时间：n 天"。对于 n，指定用户必须在多少天后请求新的用户许可证。