Protect-RMSFile

Schützt eine angegebene Datei oder die Dateien in einem angegebenen Ordner mithilfe von RMS.

Syntax

Protect-RMSFile
       [-File <String>]
       [-Folder <String>]
       [-InPlace]
       [-Recurse]
       [-TemplateID <String>]
       [-License <SafeInformationProtectionLicenseHandle>]
       [-DoNotPersistEncryptionKey <String>]
       [-OutputFolder <String>]
       [-OwnerEmail <String>]
       [<CommonParameters>]

Beschreibung

Das Cmdlet Protect-RMSFile schützt eine Datei oder alle Dateien in einem angegebenen Ordner mithilfe von Azure RMS oder AD RMS. Wenn die Datei zuvor geschützt wurde, wird sie erneut geschützt, um alle Änderungen anzuwenden, die möglicherweise an die Vorlage vorgenommen werden, die zum Schutz der Datei verwendet wird.

Mehrere Dateitypen können auf dieselbe Weise geschützt werden, wie der Azure Information Protection-Client Dateien schützen kann, wenn Sie die Option "Klassifizieren und schützen" von Explorer verwenden.

Je nach Dateityp werden je nach Dateityp automatisch verschiedene Schutzebenen (systemeigene oder generische) angewendet. Sie können die Schutzebene ändern, indem Sie die Registrierung bearbeiten. Darüber hinaus ändern einige Dateien die Dateinamenerweiterung, nachdem sie durch Rights Management geschützt sind. Weitere Informationen finden Sie im Administratorhandbuch zum Azure Information Protection-Client unter Für den Schutz unterstützte Dateitypen.

Bevor Sie dieses Cmdlet ausführen, müssen Sie Get-RMSTemplate ausführen, um die Vorlagen auf Ihren Computer herunterzuladen. Wenn die Vorlage, die Sie verwenden möchten, seit Sie dieses Cmdlet ausgeführt haben, geändert wurde, führen Sie sie erneut mit dem Parameter "-force " aus, um die überarbeitete Vorlage herunterzuladen.

Wenn Sie dieses Cmdlet ausführen, haben Sie die folgenden Optionen:

  • Die Datei ist am aktuellen Speicherort geschützt und ersetzt die ursprüngliche Datei, die nicht geschützt wurde.

  • Die ursprüngliche Datei bleibt nicht geschützt, und eine geschützte Version der Datei wird an einem anderen Speicherort erstellt.

  • Alle Dateien im angegebenen Ordner sind am aktuellen Speicherort geschützt, indem die ursprünglichen Dateien ersetzt werden, die nicht geschützt wurden.

  • Alle Dateien im angegebenen Ordner bleiben nicht geschützt, und eine geschützte Version jeder Datei wird an einem anderen Speicherort erstellt.

Sie können diesen Befehl nicht gleichzeitig ausführen, müssen aber warten, bis der ursprüngliche Befehl abgeschlossen ist, bevor sie erneut ausgeführt wird. Wenn Sie versuchen, es erneut auszuführen, bevor der vorherige Befehl abgeschlossen ist, schlägt der neue Befehl fehl.

Dieses Cmdlet schreibt in die folgenden Protokolldateien: Success.log, Failure.log und Debug.log.%localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>

Tipp

Schrittweise Anleitungen zum Schutz von Dateien in einer Windows Server-Dateifreigabe finden Sie unter RMS Protection with Windows Server File Classification Infrastructure (FCI) unter "File Resource Manager" und "File Classification Infrastructure".

Beispiele

Beispiel 1: Schützen und Ersetzen einer einzelnen Datei mithilfe einer Vorlage

PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

Dieser Befehl schützt eine einzelne Datei namens Test.docx mithilfe einer Vorlage und ersetzt die ursprüngliche nicht geschützte Datei. Der Besitzer der Rechteverwaltung der Datei und die E-Mail-Adresse, die benutzern angezeigt werden kann, wenn sie auf die geschützte Datei zugreifen, wird automatisch als E-Mail-Adresse für das Konto festgelegt, das den Befehl ausführt.

Beispiel 2: Erstellen einer geschützten Kopie einer einzelnen Datei mithilfe einer Vorlage

PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test-Copy.docx

Dieser Befehl ist identisch mit dem vorherigen Beispiel, außer dass er den InPlace-Parameter nicht verwendet. Da er auch den OutputFolder-Parameter nicht verwendet, wird die geschützte Datei im aktuellen Ordner erstellt, wobei "-Copy" an den Dateinamen angefügt wird. Die ursprüngliche, nicht geschützte Datei verbleibt im aktuellen Ordner.

Beispiel 3: Erstellen einer geschützten Version einer Datei mithilfe einer Vorlage

PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"

InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Temp\Test.ptxt

Dieser Befehl schützt eine einzelne Datei namens Test.docx mithilfe einer Vorlage und platziert diese geschützte Version der Datei in C:\Temp, wobei die ursprüngliche Datei im Stammverzeichnis des C:-Laufwerks nicht geschützt ist. Der Besitzer der Rechteverwaltung der Datei und die E-Mail-Adresse, die benutzern angezeigt werden kann, wenn sie auf die geschützte Datei zugreifen, ist für den Administrator vorgesehen.

Beispiel 4: Schützen aller Dateien in einem Ordner mithilfe einer Vorlage

PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"

InputFile                        EncryptedFile

----------                       -------------
\\server1\Docs\Feb2015.docx      \\server1\Docs\Feb2015.docx

\\server1\Docs\Feb2015.txt       \\server1\Docs\Feb2015.ptxt

\\server1\Docs\Jan2015.docx      \\server1\Docs\Jan2015.docx

\\server1\Docs\Jan2015.txt       \\server1\Docs\Jan2015.ptxt

Dieser Befehl schützt alle Dateien in einer Serverfreigabe (nur einzelne Ordner, nicht Unterordner), indem die nicht geschützten Dateien ersetzt werden. Die E-Mail-Adresse, die benutzern angezeigt wird, wenn sie keinen Zugriff haben, gilt für die IT-Abteilungsgruppe, und diese Gruppe erhält vollzugriffsbasierte Nutzungsrechte in der Vorlage, damit sie die Nutzungsrechte für die geschützten Dateien ändern können.

Da dieses Szenario Dateien im Namen anderer Personen schützt, wird der DoNotPersistEncryptionKey-Parameter für maximale Leistung verwendet und verhindert, dass nicht verwendete Dateien auf dem Datenträger gespeichert werden.

Beispiel 5: Geschützte Dateien mit einer bestimmten Dateinamenerweiterung in einem Ordner mithilfe einer Vorlage

PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}


InputFile                                   EncryptedFile

---------                                   -------------
\\server1\Docs\Feb2015.docx                 \\server1\Docs\Feb2015.docx

\\server1\Docs\Jan2015.docx                 \\server1\Docs\Jan2015.docx

\\server1\Docs\Reports\Feb2015.docx         \\server1\Docs\Reports\Feb2015.docx

\\server1\Docs\Reports\Jan2015.docx         \\server1\Docs\Reports\Jan2015.docx

Dieser Befehl schützt nur Dateien mit einer .docx Dateinamenerweiterung in einem Ordner (und allen Unterordnern) auf einer Serverfreigabe, wobei die nicht geschützten Dateien ersetzt werden. Wie im vorherigen Beispiel ist die E-Mail-Adresse, die Benutzern angezeigt wird, wenn sie keinen Zugriff haben, für die IT-Abteilung.

Obwohl der Befehl "Protect-RMSFile" nicht systemeigene Wildcards unterstützt, können Sie Windows PowerShell verwenden, um dies zu erreichen, und die Dateinamenerweiterung im Beispiel wie erforderlich ändern.

Beispiel 6: Schützen einer einzelnen Datei mithilfe einer Ad-hoc-Rechterichtlinie

PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile             EncryptedFile
---------             -------------
C:\Test.txt           C:\Test.ptxt

Der erste Befehl erstellt eine Ad-hoc-Rechterichtlinie, die Bearbeitungsrechte gewährt user1@contoso.com.

Der zweite Befehl schützt eine einzelne Datei namens Test.txt mithilfe dieser gerade erstellten Ad-hoc-Rechterichtlinie und ersetzt die ursprüngliche nicht geschützte Datei.

Beachten Sie, dass Sie, es sei denn, Ihre E-Mail-Adresse ist user1@contoso.com, können Sie diesen Schutz nach Abschluss des Befehls nicht aufheben, da Sie keine Rechte darauf haben und sie nicht der Rechteverwaltungsbesitzer sind.

Wenn Sie den Schutz dieser Datei später aufheben müssen, können Sie Ihren Namen hinzufügen und den Benutzer selbst entweder den EXTRAKT oder BESITZER in der Ad-hoc-Rechterichtlinie im ersten Befehl erteilen. Oder wenn Sie nicht möchten, dass der Benutzer den Schutz der Datei aufheben kann, fügen Sie Ihre E-Mail-Adresse <> am Ende des zweiten Befehls hinzu.

Parameter

-DoNotPersistEncryptionKey

Verhindert, dass eine selbst erteilte Endbenutzerlizenz für den Rechteverwaltungsherausgeber gespeichert wird, wenn eine Datei geschützt ist. Mit dieser Lizenz kann der Aussteller für die Rechteverwaltung die geschützte Datei öffnen, ohne sich an den Rechteverwaltungsdienst zu authentifizieren. Dadurch kann sichergestellt werden, dass die Person, die dieses Cmdlet ausgeführt hat, immer ihre eigenen Dateien öffnen kann, die sie geschützt haben, auch wenn diese Person offline ist. Es führt auch zu minimalen Verzögerungen, damit dieser Benutzer diese geschützten Dateien öffnen kann.

Der Aussteller für die Rechteverwaltung ist das Konto, das die Dateien schützt. Weitere Informationen finden Sie unter "Rights Management Issuer" und "Rights Management"-Besitzer.

Standardmäßig wird diese selbst erteilte Endbenutzerlizenz sowohl in der Datei selbst als auch auf dem Computer gespeichert, auf dem das Cmdlet ausgeführt wird. Der Dateiname beginnt mit EUL und wird in %localappdata%\Microsoft\MSIPC erstellt. Verwenden Sie diesen Parameter, um zu verhindern, dass diese Endbenutzerlizenz in der Datei, auf dem Computer oder beides gespeichert wird. Die Angabe dieses Parameters ist angemessen, wenn Sie Dateien im Namen anderer Personen schützen, z. B. mit Windows Server FCI. In diesem Szenario wird der Aussteller für die Rechteverwaltung nicht die geschützten Dateien öffnen und daher die Endbenutzerlizenz erstellt und speichert die Schutzleistung und generiert unnötig viele Dateien, die den verfügbaren Speicherplatz füllen können.

Die zulässigen Werte für diesen Parameter:

  • Datenträger: Für jede Datei in %localappdata%\Microsoft\MSIPC wird keine Endbenutzerlizenz für den Aussteller für die Rechteverwaltung generiert.

  • Lizenz: Eine Endbenutzerlizenz für den Rechteverwaltungsherausgeber wird nicht in die Veröffentlichungslizenz für die Datei eingefügt.

  • Alle: Es wird keine Endbenutzerlizenz für den Aussteller für die Rechteverwaltung erstellt und gespeichert, wenn eine Datei geschützt ist.

Type:String
Accepted values:all, disk, license
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-File

Gibt den Pfad und dateinamen an, der geschützt werden soll. Für den Pfad können Sie einen Laufwerkbuchstaben oder UNC verwenden.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Folder

Gibt den pfad und den Ordner an, der geschützt werden soll. Für den Pfad können Sie einen Laufwerkbuchstaben oder UNC verwenden.

Alle Dateien, die sich derzeit im angegebenen Ordner befinden, werden geschützt. Neue Dateien, die dem Ordner hinzugefügt wurden, werden nicht automatisch geschützt.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-InPlace

Die Datei oder die Dateien im angegebenen Ordner sind an dem aktuellen Speicherort geschützt, wobei die nicht geschützten Originaldateien oder Dateien ersetzt werden. Dieser Parameter wird ignoriert, wenn der OutputFolder-Parameter angegeben wird.

Wenn weder InPlace noch OutputFolder angegeben ist, wird die neue Datei im aktuellen Verzeichnis erstellt, wobei "-Copy" an den Dateinamen angefügt wird, wobei dieselbe Benennungskonvention verwendet wird, die Explorer verwendet wird, wenn eine Datei kopiert und in denselben Ordner eingefügt wird. Wenn beispielsweise eine Datei mit Document.docx nicht geschützt ist, wird die geschützte Version Document-Copy.docxbenannt. Wenn bereits eine Datei mit dem NamenDocument-Copy.docx vorhanden ist, wird document-Copy(2).docx erstellt usw.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-License

Gibt den Variablennamen an, der eine Ad-hoc-Rechterichtlinie speichert, die mithilfe des Cmdlets New-RMSProtectionLicense erstellt wurde. Diese Ad-hoc-Rechterichtlinie wird anstelle einer Vorlage verwendet, um die Datei oder Dateien zu schützen.

Type:SafeInformationProtectionLicenseHandle
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OutputFolder

Gibt den Pfad und den Ordner an, um geschützte Versionen der ursprünglichen Dateien zu platzieren, die nicht geschützt bleiben. Die ursprüngliche Ordnerstruktur wird verwaltet, was bedeutet, dass Unterordner für Ihren angegebenen Wert erstellt werden können.

Für den Pfad können Sie einen Laufwerkbuchstaben oder UNC verwenden.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-OwnerEmail

Gibt den Rechteverwaltungsbesitzer der geschützten Datei oder Dateien per E-Mail-Adresse an.

Standardmäßig ist das Konto, das dieses Cmdlet ausführt, sowohl der Rechteverwaltungsherausgeber als auch der Rechteverwaltungsbesitzer der geschützten Datei. Mit diesem Parameter können Sie der geschützten Datei einen anderen Rechteverwaltungsbesitzer zuweisen, sodass das angegebene Konto über alle Nutzungsrechte (Vollzugriff) für die Datei verfügt und immer darauf zugreifen kann. Der Rechteverwaltungsbesitzer ist unabhängig vom Windows-Dateisystembesitzer. Weitere Informationen finden Sie unter "Rights Management Issuer" und "Rights Management"-Besitzer.

Wenn Sie keinen Wert für diesen Parameter angeben, verwendet das Cmdlet die E-Mail-Adresse Ihrer authentifizierten Sitzung, um den Rechteverwaltungsbesitzer der geschützten Datei oder Dateien zu identifizieren. Wenn Sie AD RMS oder Azure RMS mit einem Benutzerkonto verwenden, um Dateien zu schützen, ist dies Ihre E-Mail-Adresse. Wenn Sie Azure RMS mit einem Dienstprinzipalkonto verwenden, ist diese E-Mail-Adresse eine lange Zeichenfolge von Zahlen und Buchstaben. Diese E-Mail-Adresse wird Benutzern angezeigt, die keine Permssionen zum Anzeigen des geschützten Dokuments haben, damit sie Berechtigungen anfordern können.

Wenn Sie dieses Cmdlet für Azure RMS mit einem Dienstprinzipalkonto ausführen und die datei oder dateien besitzen, die Sie schützen, geben Sie ihre eigene E-Mail-Adresse für diesen Parameter an. Wenn Sie dieses Cmdlet für Azure RMS mit einem Dienstprinzipalkonto ausführen, und ein einzelner Benutzer besitzt die Datei oder alle dateien, die Sie schützen, geben Sie deren E-Mail-Adresse an, damit Sie den ursprünglichen Dateibesitzer nicht daran hindern, Änderungen an der Datei vorzunehmen und wie vorgesehen zu verwenden.

Wenn Sie dieses Cmdlet mit mehreren Dateien ausführen, die zu verschiedenen Benutzern gehören, stellen Sie sicher, dass diesen Benutzern Vollzugriffsnutzungsrechte gewährt werden und welche E-Mail-Adresse für diesen Parameter zugewiesen werden soll. Obwohl Sie eine Gruppen-E-Mail-Adresse angeben können und diese Adresse angezeigt wird, um Zugriffsberechtigungen anzufordern, werden Mitglieder der Gruppe nicht zum Besitzer der Rechteverwaltung und standardmäßig keine Nutzungsrechte für die Schutzdatei haben. Wählen Sie in diesem Szenario aus, ob Sie einen einzelnen Benutzer (z. B. einen Administrator) zuweisen oder eine Gruppen-E-Mail-Adresse angeben möchten, die Sie auch Vollzugriffsnutzungsrechte zuweisen möchten. Für die Gruppen-E-Mail-Konfiguration kann dies beispielsweise Ihr Helpdesk sein.

Wichtig: Obwohl dieser Parameter optional ist, wenn Sie sie nicht angeben, wenn Sie Dateien mithilfe von Azure RMS und einem Dienstprinzipal schützen, ist die E-Mail-Adresse, die Benutzer aus dem Azure Information Protection-Client sehen, nicht hilfreich. Aus diesem Gründen wird empfohlen, diesen Parameter immer anzugeben, wenn Sie Dateien mithilfe von Azure RMS und einem Dienstprinzipal schützen, anstatt ihr Benutzerkonto.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Recurse

Wenn Sie mit dem Parameter Folder verwendet werden, wird angegeben, dass alle aktuellen Dateien in den Unterordnern geschützt werden.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-TemplateID

Gibt die ID der Vorlage an, die verwendet werden soll, um die angegebene Datei oder Dateien zu schützen, wenn Sie den Lizenzparameter nicht für eine Ad-hoc-Richtlinie verwenden. Wenn Sie die ID der zu verwendenden Vorlage nicht kennen, verwenden Sie das Cmdlet Get-RMSTemplate .

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False