none
Служба управления правами AD RMS RRS feed

  • Вопрос

  • Доброго дня,

    Столкнулась с вопросом обновления шаблонов пользователей. 

    ситуация следующая: 

    Есть шаблон, в нем есть несколько пользователей с назначенными правами. Один пользователь уходит в другой отдел и его нужно удалить из шаблона, чтобы он не смог пользоваться этим шаблоном. 

    Если добавить пользователя в новый шаблон, то права добавляются, обратная процедура не работает. удаляла шаблоны на локальном компьютере, все равно подтягиваются старые шаблоны с разрешенным доступом. 

    Как решить вопрос удаления прав пользователя в шаблоне?

    19 октября 2017 г. 8:36

Ответы

  • Привет,

    Посмотрте информацию по статье внизу:

    Modifying existing AD RMS Right Policy Templates

    So, what happens if I released a template named Money-Issues that gave read permissions to the users in the Finance group but later I
    decide that users in the Accounting group may also access documents
    protected with that template? Do I have to re-protect and re-distribute the
    document again? The answer is, no. The RMS administrator can modify the
    Money-Issues template on the RMS server adding read permissions to the
    Accounting group.

    But what if a few weeks later I decide that users in the Accounting
    group should no longer be able to access the information? Does removing the
    Accounting group from the template do the trick? Well, not really. When
    a user opens an RMS-protected document using, let’s say, Microsoft Word, the
    application contacts the company’s RMS server to request a Use License for that
    document. The server verifies the consumer credentials and issues a license that
    grants the user the ability to access the document. The problem is that Use
    Licenses are cached by default. While this allows clients to consume the
    document multiple times without having to contact the RMS server, it makes it
    impossible to restrict access to the document after the Use License has been
    granted. In our case, any user of the Accounting group that had
    accessed the document before the permissions were restricted can continue
    opening and read the document in the future.

    Fortunately, RMS servers can be configured to issue what I call one-time Use
    Licenses, requiring users to obtain a new license every time a document is
    consumed, what is often referred to as "disabling client-side caching". If our
    Money-Issues template had been configured to make users request a new
    license every time they needed to access the document, users of the
    Accounting group would no longer have access to documents protected
    with the template, as the RMS server would deny the license.

    После прочтения вышеуказанной информаций смотрите:

    AD RMS remove user rights after the user granted to access

    И как выключить caching:

    AD RMS Policy Templates


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    20 октября 2017 г. 6:40
    Модератор

Все ответы

  • Привет,

    Посмотрте информацию по статье внизу:

    Modifying existing AD RMS Right Policy Templates

    So, what happens if I released a template named Money-Issues that gave read permissions to the users in the Finance group but later I
    decide that users in the Accounting group may also access documents
    protected with that template? Do I have to re-protect and re-distribute the
    document again? The answer is, no. The RMS administrator can modify the
    Money-Issues template on the RMS server adding read permissions to the
    Accounting group.

    But what if a few weeks later I decide that users in the Accounting
    group should no longer be able to access the information? Does removing the
    Accounting group from the template do the trick? Well, not really. When
    a user opens an RMS-protected document using, let’s say, Microsoft Word, the
    application contacts the company’s RMS server to request a Use License for that
    document. The server verifies the consumer credentials and issues a license that
    grants the user the ability to access the document. The problem is that Use
    Licenses are cached by default. While this allows clients to consume the
    document multiple times without having to contact the RMS server, it makes it
    impossible to restrict access to the document after the Use License has been
    granted. In our case, any user of the Accounting group that had
    accessed the document before the permissions were restricted can continue
    opening and read the document in the future.

    Fortunately, RMS servers can be configured to issue what I call one-time Use
    Licenses, requiring users to obtain a new license every time a document is
    consumed, what is often referred to as "disabling client-side caching". If our
    Money-Issues template had been configured to make users request a new
    license every time they needed to access the document, users of the
    Accounting group would no longer have access to documents protected
    with the template, as the RMS server would deny the license.

    После прочтения вышеуказанной информаций смотрите:

    AD RMS remove user rights after the user granted to access

    И как выключить caching:

    AD RMS Policy Templates


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    20 октября 2017 г. 6:40
    Модератор
  • Спасибо за ответ. 

    Действительно, кэширование лицензий разрешало пользователям открывать файл защищенный шаблоном, где в шаблоне уже отсутствую права на просмотр. 

    Так же у меня есть еще один вопрос, который касается уже предоставления прав на доступ группе пользователей. 

    Мной была создана тестовая группа test_grp в нее входит пользователь test_usr

    права для группы были предоставлены только чтение. 

    отключено кэширование лицензий.

    в течение первых нескольких часов пользователь test_usr не мог открыть файл - система выдавала ошибку права на использования файла отсутствуют. После выходных права все-таки применились и пользователь открыл файл с указанными в шаблоне правами.  

    Так же после удаления пользователя из группы в течение нескольких часов у пользователя есть права для открытия файла. 

    подскажите чем обусловлена данная задержка во времени? и из каких составляющих этот промежуток может состоять (например время репликации между серверами и т.д.)  чтобы ориентировочно знать сколько времени потребуется для применения прав для групп пользователей. 

    30 октября 2017 г. 8:10