引言：Office文檔在企業(yè)中的應(yīng)用極為廣泛，對于包含重要信息的文檔，是不允許無關(guān)人員隨意接觸的。雖然可以對文檔進(jìn)行加密保護(hù)，不過一旦密碼設(shè)置的比較簡單的話，使用專用的破解工具還是可以破解的。能否有更加完善的保護(hù)機(jī)制，讓文檔只能由指定的用戶瀏覽或者編輯，而且只能在內(nèi)網(wǎng)環(huán)境中操作，即使將其泄漏出去，也無法對其訪問呢？

Office文檔在企業(yè)中的應(yīng)用極為廣泛，對于包含重要信息的文檔，是不允許無關(guān)人員隨意接觸的。雖然可以對文檔進(jìn)行加密保護(hù)，不過一旦密碼設(shè)置的比較簡單的話，使用專用的破解工具還是可以破解的。能否有更加完善的保護(hù)機(jī)制，讓文檔只能由指定的用戶瀏覽或者編輯，而且只能在內(nèi)網(wǎng)環(huán)境中操作，即使將其泄漏出去，也無法對其訪問呢？使用AD RMS權(quán)限管理服務(wù)，就可以非常輕松的解決上述問題。在企業(yè)內(nèi)網(wǎng)域環(huán)境中，使用AD RMS服務(wù)可以指派專用的賬戶訪問指定的文檔，即使將其復(fù)制到企業(yè)外部，因?yàn)闄?quán)限問題是無法訪問文檔內(nèi)容的。而且管理員只要將目標(biāo)域賬戶刪除或者停用，可以徹底阻止其接觸任何文檔。

AD RMS加密原理

ADRMS是Windows Server 2008/2012中的一項(xiàng)系統(tǒng)服務(wù)，可以對Office文件進(jìn)行加密和認(rèn)證。其支持Office 2003/2007/2010/2013等版本，而且只支持Word，Excel，PowerPoint，Outlook，InfoPath組件。對于Office 2003來說，因?yàn)槠鋬?nèi)置的證書存在過期問題，所以必須安裝特定的補(bǔ)丁才可以使用ADRMS保護(hù)功能。當(dāng)打開ADRMS保護(hù)的文檔時，必須經(jīng)過身份驗(yàn)證操作，使用者的權(quán)限實(shí)際上存儲在ADRMS數(shù)據(jù)庫中，而不是存儲在本地，只有當(dāng)身份驗(yàn)證符合文檔要求時，才可以將權(quán)限信息下載到本地。之后根據(jù)對應(yīng)的權(quán)限，來獲取相應(yīng)的訪問權(quán)。例如，如果只擁有只讀權(quán)限，那么使用者就只能讀取文檔內(nèi)容。如果擁有寫入/修改的權(quán)限，就可以對文檔進(jìn)行修改操作。如果沒有任何權(quán)限，就拒絕訪問文檔。因?yàn)锳DRMS是活動在域環(huán)境中的，因此，只要將使用者的域賬戶禁用，其就無法訪問受到ADRMS保護(hù)的文檔。下載地址：https://support.microsoft.com/zhcn/kb/978551。

在Internet上體驗(yàn)AD RMS保護(hù)功能

其實(shí)，在Internet上 也可以體驗(yàn)ADRMS保護(hù)功能。例如，在Word 2010中編輯某個文檔，點(diǎn)擊菜單“文件”→“信息”項(xiàng)，在打開面板中點(diǎn)擊“保護(hù)文檔”項(xiàng)，在分支菜單中點(diǎn)擊“按人員限制權(quán)限”→“管理憑據(jù)”項(xiàng)，如果您擁有Windows Live ID賬號，可以在向?qū)Ы缑嬷羞x擇“是，我希望注冊使用Microsoft的這一免費(fèi)服務(wù)”項(xiàng)，表示使用信息權(quán)限管理服務(wù)。點(diǎn)擊“下一項(xiàng)”按鈕，選擇“是，我有Microsoft賬戶”項(xiàng)，在下一步窗口中輸入電子郵件地址（例如“xxx@hotmail.com”）和密碼。

點(diǎn)擊登錄按鈕，在選擇計(jì)算機(jī)類型窗口中選擇“此計(jì)算機(jī)是私人計(jì)算機(jī)”項(xiàng)，點(diǎn)擊“我接受”按鈕，Word 2010就會連接到Internet上的證書服務(wù)器，下載所需的證書，用來保護(hù)文檔安全，點(diǎn)擊“完成”按鈕，在“選擇用戶”窗口中顯示您的Windows Live ID賬號，點(diǎn)擊確定按鈕，在權(quán)限窗口中選擇“限制對此文檔的權(quán)限”項(xiàng)，在“讀取”欄中輸入允許讀取該文檔的用戶ID（例如“auserrl@hotmail.com”等，彼此之間以分號隔離），在“更改”欄中輸入允許編輯該文檔的用戶ID。點(diǎn)擊“其他選項(xiàng)”按鈕，在彈出窗口中選擇“此文檔的到期日期為”列表中選擇目標(biāo)日期，當(dāng)達(dá)到該日期后，就無法訪問該文檔了。選擇“打印內(nèi)容”項(xiàng)，表示可以打印其內(nèi)容。選擇“允許具有讀取權(quán)限的用戶復(fù)制內(nèi)容”項(xiàng)，對于擁有只讀權(quán)限的用戶來說，可以復(fù)制文檔內(nèi)容。選擇“用戶可以從此處請求附加權(quán)限”項(xiàng)，輸入“mailto:xxx@hotmail.com”之類的郵件地址，允許無關(guān)用戶向該郵箱發(fā)送請求權(quán)限的郵件。點(diǎn)擊確定按鈕，保存配置信息。由此可以看到，ADRMS的特點(diǎn)是權(quán)限信息統(tǒng)一存儲在ADRMS數(shù)據(jù)庫中，當(dāng)用戶訪問文檔時，必須先通過身份驗(yàn)證，之后才可以將權(quán)限信息下載到本地，之后據(jù)此比較當(dāng)前用戶身份，來確定其具體的訪問權(quán)限。

準(zhǔn)備AD RMS 安裝環(huán)境

雖然在Internet上可以體驗(yàn)微軟提供的文檔保護(hù)功能，不過其只能免費(fèi)使用120天。因此，在域環(huán)境中，想充分發(fā)揮ADRMS的文檔保護(hù)功能，必須安裝和部署該服務(wù)。對于服務(wù)器端來說，需要有活動目錄的支持，提供所需的證書，安裝消息服務(wù)隊(duì)列、SQL Server數(shù)據(jù)庫或者系統(tǒng)內(nèi)置的數(shù)據(jù)庫、IIS和ADRMS組件。對于客戶端來說，對于Vista/Windows7/8等系統(tǒng)來說，已經(jīng)內(nèi)置了RMS Client客戶端程序，對于XP來說，需要下載安裝RMS Client客戶端程序。

例如在本例中，在域環(huán)境中存在DC服務(wù)器，ADRMS服務(wù)器以及客戶端主機(jī)，在服務(wù)器上安裝的是Windows Server 2008 R2。 在DC控制器上打開服務(wù)器管理器，在左側(cè)的“角色”項(xiàng)的右鍵菜單上點(diǎn)擊“添加角色”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory證書服務(wù)”項(xiàng)，點(diǎn)擊下一步按鈕，在選擇角色服務(wù)窗口中選擇“證書頒發(fā)機(jī)構(gòu)”和“證書頒發(fā)機(jī)構(gòu)Web注冊”項(xiàng)，之后依次點(diǎn)擊“下一步”按鈕，完成證書服務(wù)的安裝操作。提供證書服務(wù)的目的在于ADRMS服務(wù)需要證書支持，當(dāng)客戶端下載文檔訪問權(quán)限信息時，依靠的是HTTPS協(xié)議，而證書是捆綁在IIS組件中的。

為了便于使用ADRMS服務(wù)，需要為其配置賬戶信息。在DC上打開Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“域名”→“Users”項(xiàng)，在工具欄上點(diǎn)擊新建賬戶按鈕，在彈出窗口中輸入賬戶名（例如“gladrms”）和密碼。注意需要選擇“密碼永不過期”項(xiàng)，這是因?yàn)樵撡~戶用戶管理ADRMS服務(wù)，按照默認(rèn)的安全策略，當(dāng)經(jīng)過一段時間后，密碼就存在過期的問題，一旦過期的話ADRMS服務(wù)就會停止。實(shí)際上，所有用于啟動服務(wù)（例如SQL Server服務(wù)等）的賬戶，都應(yīng)該采取上述設(shè)置。

在該賬戶的右鍵菜單上點(diǎn)擊“添加到組”項(xiàng)，在“輸入對象名稱欄選擇”欄中輸入“domain admins”，點(diǎn)擊確定按鈕，將其添加到域管理員賬戶，使其擁有合適的管理權(quán)限。為了便于說明，可以在Active Directory用戶和計(jì)算機(jī)窗口選定某個OU，在其中創(chuàng)建名為“user1”和“user2”的賬戶，并為其設(shè)置密碼。注意，為了在ADRMS中正確標(biāo)識用戶信息，必須為其設(shè)置郵箱信息。例如，打開“User1”賬戶的屬性窗口，在“常規(guī)”面板中的“電子郵件”欄中輸入其Email地址（例如“user1yx@xxx.com”，可以隨意輸入）。

安裝和配置 ADRMS

因?yàn)锳DRMS服務(wù)器已經(jīng)加入到域環(huán)境，所以在該機(jī)上打開CMD窗口，執(zhí)行“gpupdate /force”命令，通過刷新組策略，來獲得根信任證書。運(yùn)行“mmc”程序，在控制臺窗口中點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，在窗口左側(cè)選擇“證書”→“受信任的證書頒發(fā)機(jī)構(gòu)”→“證書”項(xiàng)，可以看到上述根證書信息。在ADRMS服務(wù)器中打開服務(wù)器管理器，按照同樣的方法，安裝Web服務(wù)器（IIS）角色，注意必須選擇其中的“ASP.NET”組件。

在服務(wù)器管理器左側(cè)的“功能”項(xiàng)的右鍵菜單上點(diǎn)擊“添加功能”項(xiàng)，在向?qū)Т翱谥羞x擇“Windows內(nèi)部數(shù)據(jù)庫”和“消息隊(duì)列”項(xiàng)，點(diǎn)擊下一步按鈕，完成安裝操作。注意，如果要實(shí)現(xiàn)ADRMS服務(wù)的容錯功能，必須安裝SQL Server 2005 SP3以上版本的數(shù)據(jù)庫。這里使用的是Windows內(nèi)部數(shù)據(jù)庫，表示僅僅部署將其部署在單機(jī)上，不提供容錯功能。之后必須注銷并登錄服務(wù)器，ADRMS服務(wù)才能掛載Windows內(nèi)部數(shù)據(jù)庫。

在IIS管理器中雙擊“服務(wù)器證書”項(xiàng)，在打開窗口右側(cè)點(diǎn)擊“創(chuàng)建域證書”鏈接，在創(chuàng)建證書窗口中輸入通用名，組織，組織單位，城市/地點(diǎn)，省/市/自治區(qū)，國家/地區(qū)等內(nèi)容，在下一步窗口中點(diǎn)擊選擇按鈕，選擇根證書頒發(fā)機(jī)構(gòu)名稱，輸入證書的好記名稱，點(diǎn)擊“完成”按鈕，得到所需的證書。準(zhǔn)備好安裝條件后，按照上述方法，安裝“Active Directory Rights Management Services”角色，在向?qū)Т翱谥羞x擇“Active Directory權(quán)限管理服務(wù)器”和“聯(lián)合身份驗(yàn)證支持”項(xiàng)，前者是ADRMS的核心服務(wù)，后者用于在公網(wǎng)上提供ADRMS服務(wù)。當(dāng)用戶處于Internet環(huán)境，必須通過VPN撥號連接，登錄到內(nèi)網(wǎng)后，才可以提交身份驗(yàn)證請求。

點(diǎn)擊“下一步”按鈕，選擇“新建 ADRMS 群集”項(xiàng)，表示創(chuàng)建單臺ADRMS服務(wù)器。如果創(chuàng)建ADRMS群集，提供容錯功能的話，在創(chuàng)建第二臺ADRMS服務(wù)器時，可以選擇“加入現(xiàn)有AD RMS群集”項(xiàng)。在下一步窗口中選擇“在此服務(wù)器上使用Windows內(nèi)部數(shù)據(jù)庫”項(xiàng)，如果安裝了SQL Server數(shù)據(jù)庫，則可以選擇“使用其他數(shù)據(jù)庫服務(wù)器”項(xiàng)，選擇數(shù)據(jù)庫服務(wù)名和數(shù)據(jù)庫實(shí)例。在下一步的指定服務(wù)賬戶窗口中點(diǎn)擊“指定”按鈕，輸入上述管理賬戶（例如“gladrms”）和密碼。點(diǎn)擊“下一步”按鈕，選擇“使用AD RMS集中管理的密鑰存儲”項(xiàng)，表示所有的密鑰全部存在ADRMS數(shù)據(jù)庫中。

點(diǎn)擊“下一步”按鈕，輸入ADRMS后臺管理密鑰。在指定群集地址窗口中選擇“使用SSL加密連接”項(xiàng)，為客戶端下載ADRMS密鑰提供了網(wǎng)絡(luò)接口。在“內(nèi)部地址”欄中輸入合適的域名，例如“https://adrms.xxx.com”，默認(rèn)端口為443。注意，需要在DC域控制器上打開DNS管理器，選擇“DNS”→“主機(jī)名”→“正向查找區(qū)域”→“xxx.com”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建主機(jī)（A或AAAA）”項(xiàng)，在新建主機(jī)窗口中的“名稱”欄中輸入“admrs”，這需要和上述域名對應(yīng)。在“IP”欄中輸入ADRMS服務(wù)器的地址，點(diǎn)擊“添加主機(jī)”按鈕，添加所需的域名信息。在上述指定群集地址窗口中點(diǎn)擊“驗(yàn)證”按鈕，當(dāng)驗(yàn)證域名通過后，在下一步窗口中選擇證書，證書已經(jīng)在上述步驟中準(zhǔn)備完畢。在下一步窗口中輸入許可方證書名稱，默認(rèn)為ADRMS服務(wù)器主機(jī)名。

點(diǎn)擊“下一步”按鈕，選擇“立即注冊AD RMS服務(wù)連接點(diǎn)”項(xiàng)，執(zhí)行SCP的注冊操作。點(diǎn)擊“完成”按鈕，執(zhí)行ADRMS角色的安裝動作。之后執(zhí)行注銷操作，才可以正常使用ADRMS管理工具。注意，DC會自動將SCP提交給域成員，讓其知道究竟是哪個服務(wù)器提供ADRMS服務(wù)。對于多臺ADRMS服務(wù)器來說，只能有一臺服務(wù)器可以注冊SCP。因此，如果重新安裝ADRMS服務(wù)器時，可能面臨出錯的情況，原因在于前一臺ADRMS服務(wù)器已經(jīng)向域注冊過SCP，必須將活動目錄數(shù)據(jù)庫中的相關(guān)注冊信息刪除，才可以順利安裝該ADRMS服務(wù)器。

例如，在DC上執(zhí)行“ADSIEDIT.msc” 程序，在ADSI編輯器窗口左側(cè)的“ADSI編輯器”項(xiàng)的右鍵菜單上點(diǎn)擊“連接到”項(xiàng)，在連接設(shè)置窗口中選擇“選擇一個已知命名上下文”項(xiàng)，在列表中選擇“配置”項(xiàng)，點(diǎn)擊確定按鈕，在窗口左側(cè)選擇“ADSI編輯器”→“配置[具體的域名]”→“CN”→“CN=Services”→“CN=RightsManag ementServices”→“CN=CAP”項(xiàng)，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中可以看到 以“https://adrms.xxx.com:443”之類網(wǎng)址開頭的項(xiàng)目，這就是域SCP對應(yīng)的注冊信息。只有將該項(xiàng)目刪除，才可以重新安裝ADRMS服務(wù)器。

使用AD RMS保護(hù)文檔安全

在域中的某臺Windows 7客戶機(jī)上以“user1”賬戶登錄，使用Word 2010編輯并保存所需的文檔，之后點(diǎn)擊菜單“文件”→“信息”項(xiàng)，在打開面板中點(diǎn)擊“保護(hù)文檔”項(xiàng)，在分支菜單中點(diǎn)擊“按人員限制權(quán)限”→“管理憑據(jù)”項(xiàng)，Word 2010即可和域中的ADRMS服務(wù)器進(jìn)行通訊，在彈出的Windows安全窗口中輸入合適的賬戶名（例如“user1”）和密碼，點(diǎn)擊“確定”按鈕，Word 2010提示正在配置您的計(jì)算機(jī)以用于信息權(quán)限管理的信息。

注意，為了加速連接操作，操作可以順利進(jìn)行，需要在DC上執(zhí)行“gpmc.msc”程序，在組策略管理器左側(cè)選擇“林”→“域”→“域名” →“Default Domain”項(xiàng)，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“公鑰策略”項(xiàng)，在右側(cè)雙擊“證書路徑驗(yàn)證設(shè)置”項(xiàng)，在其屬性窗口中的“網(wǎng)絡(luò)檢索”面板中選擇“定義這些策略設(shè)置”和“自動更新Microsoft根證書程序中的證書（推薦）”項(xiàng)，將“默認(rèn)URL檢索超時”和“默認(rèn)路徑驗(yàn)證累計(jì)檢索超時”項(xiàng)的值均設(shè)置為1秒。同時取消“允許在路徑驗(yàn)證期間進(jìn)行頒發(fā)者證書（ATA）檢索”項(xiàng)的選擇狀態(tài)，點(diǎn)擊確定按鈕保存配置信息。

如果在連接過程中，出現(xiàn)“打開受信息權(quán)限管理保護(hù)的內(nèi)容時出現(xiàn)問題”的提示，需要在IE選項(xiàng)窗口中的“安全”面板中選擇“本地Intranet”項(xiàng)，點(diǎn)擊“站點(diǎn)”按鈕，在彈出窗口中點(diǎn)擊“高級”按鈕，在“將該網(wǎng)址添加到區(qū)域”欄中輸入ADRMS服務(wù)器的網(wǎng)址，例如“rmsserver.xxx.com”。點(diǎn)擊“添加”按鈕，將其添加到信任列表中，就可以很好的解決該問題。

這樣，就可以減小客戶機(jī)到Internet上驗(yàn)證Office內(nèi)置證書的時間，大大提高連接的速度。之后在客戶機(jī)上執(zhí)行“gpupdate /force”命令，來刷新組策略。當(dāng)連接完成后，選擇對應(yīng)的賬戶名，點(diǎn)擊“確定”按鈕，在權(quán)限窗口中選擇“限制對此文檔的權(quán)限”項(xiàng)，在“讀取”欄中輸入允許讀取該文檔的用戶的郵箱地址（例如“user2@xxx.com”等）名稱，在“更改”欄中輸入允許編輯該文檔的用戶的郵箱地址（例如“user3@xxx.com”等）。點(diǎn)擊“其他選項(xiàng)”按鈕，可以設(shè)置附加的安全選項(xiàng)。

當(dāng)保存該文檔后，如果“user2”用戶將其復(fù)制到其他主機(jī)，并使用“user2”賬戶登錄到域，當(dāng)其將其打開時，必須在彈出的Windows安全窗口中輸入自己的賬戶（例如“user2”）和密碼。系統(tǒng)會彈出“此文檔的權(quán)限當(dāng)前已被限制，Microsoft Office必須連接到https://adrms.xxx.com:443/_wmcs/licensing驗(yàn)證您的憑據(jù)并下載權(quán)限”的提示信息?？梢钥吹?，當(dāng)前文檔已經(jīng)被ADRMS審核，并且通過SCP注冊信息，從指定的網(wǎng)址下載權(quán)限信息，即用戶的權(quán)限信息存儲在ADRMS數(shù)據(jù)庫中，處于ADRMS的統(tǒng)一管理之下。

點(diǎn)擊“確定”按鈕?？梢詮腁DRMS服務(wù)器上下載權(quán)限信息，并與當(dāng)前登錄賬戶進(jìn)行對比，來確定當(dāng)前使用者操作該文檔的具體權(quán)限。當(dāng)文檔打開后，在“限制訪問”工具欄上點(diǎn)擊“查看權(quán)限”按鈕，在我的權(quán)限窗口中顯示具體的權(quán)限信息，包括查看，編輯，復(fù)制，打印，保存，導(dǎo)出，以程序手段訪問文檔，完全控制等。以“user2”用戶為例，其只擁有查看的權(quán)限。如果點(diǎn)擊“請求附加權(quán)限”鏈接，則可以打開客戶端郵件（例如OutLook等），向預(yù)設(shè)郵箱發(fā)送請求更多權(quán)限的郵件。

當(dāng)該用戶在Word 2010中查看文檔時，會發(fā)現(xiàn)絕大多數(shù)得菜單項(xiàng)均處于不可用狀態(tài)，使其只能查看文檔，無法執(zhí)行打印，復(fù)制，編輯等操作，即使使用HyperSnap等專業(yè)的抓圖工具，也是不允許抓取文檔內(nèi)容的。使用“user3”賬戶登錄域環(huán)境，就可以編輯該文檔。如果使用其他的不在權(quán)限管理范圍賬戶登錄的話當(dāng)其試圖打開該文檔時，系統(tǒng)因?yàn)樵贏DRMS服務(wù)器上找不到對應(yīng)的權(quán)限信息，所以會顯示“您沒有允許打開文檔的憑據(jù)”的警告信息，禁止該用戶訪問受到權(quán)限保護(hù)的Office文檔。

使用權(quán)限模版，提高保護(hù)效率

當(dāng)然，在實(shí)際應(yīng)用中，不同部門的不同用戶對于文檔擁有不同的權(quán)限，例如主管可以完全控制文檔，而一般員工只能查看文檔等。采用一般的方法，只能手工的逐一配置權(quán)限信息。這樣就會造成操作效率底下的問題。其實(shí)，利用權(quán)限模板，就可以輕松解決該問題，讓權(quán)限的分配變得更加輕松。首先在DC上打開Active Directory用戶和計(jì)算機(jī)窗口，選定某個OU，在其中創(chuàng)建一個名為“yhzu”的安全組，將所需的賬戶（例如上面談到的“user1”等）全部添加進(jìn)來。

注意，在該組的屬性窗口中的“電子郵件”欄中必須設(shè)定Email地址（例如“yhzu@xxx.com”），否則無法配置權(quán)限模板。在ADRMS服務(wù)器上創(chuàng)建一個名為“moban”的共享文件夾，允許Everyone賬戶對其擁有讀寫權(quán)限。打開管理工具菜單，啟動Active Directory Rights Management Services程 序，在其管理程序左側(cè)選擇“主機(jī)名”→“信任策略”→“權(quán)限策略模板”項(xiàng)，在右側(cè)點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中選擇“啟用導(dǎo)出”項(xiàng)，在“指定模板文件位置”欄中輸入模板文件存放路徑，例如“\rmsserver.xxx.commoban”，其中的“rmsserver.xxx.com”表示ADRMS服務(wù)器的UNC路徑，這需要在DNS服務(wù)中進(jìn)行設(shè)定，“moban”表示上述共享文件夾。點(diǎn)擊確定按鈕，就可以將共享模板文件存放到上述共享文件夾中。

在上述窗口右側(cè)點(diǎn)擊“創(chuàng)建分布式權(quán)限模板”鏈接，在彈出窗口中點(diǎn)擊“添加”按鈕，輸入該模板的名稱（例如“adrmspolicy”）和描述信息，保存之后點(diǎn)擊下一步按鈕，在添加用戶權(quán)限窗口中點(diǎn)擊“添加”按鈕，輸入相關(guān)賬戶的郵箱信息（例如“user1@xxx.com”），在權(quán)限列表中為其設(shè)定權(quán)限，包括完全控制，查看，編輯，保存，導(dǎo)出，全部答復(fù)，提取，允許宏，查看權(quán)限，編輯權(quán)限等，可以根據(jù)需要進(jìn)行選擇，例如為其選擇“完全控制”項(xiàng)使其可以擁有文檔控制權(quán)。例如添加的郵箱為“yhzu@xxx.com”，針對該組設(shè)置權(quán)限，例如只選擇“查看”和“查看權(quán)限”項(xiàng)，那么該組中沒有單獨(dú)指派權(quán)限的賬戶將統(tǒng)一擁有該權(quán)限。在“請求權(quán)限URL”欄中輸入合適的Email地址，允許無關(guān)用戶向其申請權(quán)限。點(diǎn)擊“下一步”按鈕，指定過期策略。默認(rèn)情況下，該權(quán)限模板永不過期。當(dāng)然，您可以實(shí)際需要，來設(shè)定具體的過期時間。之后點(diǎn)擊“完成”按鈕，完成該權(quán)限策略的創(chuàng)建。打開“模板”共享文件夾，可以看到所創(chuàng)建的模板文件（后綴為“.xml”）。為了便于分發(fā)該權(quán)限模板，需要使用Office 2010中的一個和組策略相關(guān)的策略模板，這需要從網(wǎng)上下載名為“AdminTemplated_64bit.exe”的文件。

在DC上執(zhí)行該程序，將其內(nèi)容釋放到指定的目錄中。進(jìn)入該目錄中的“ADM”目錄，打開其中的“zh→cn”文件夾，找到名為“office14.adm”文件，這就是所需的模板。之后在組策略管理器中選擇“林”→“域”→“域名→“xxx”項(xiàng)，“xxx”表示具體的OU（例如某個部門等），在其右鍵菜單上點(diǎn)擊“在這個域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，輸入該GPO的名稱（例如“adrms_policy”），點(diǎn)擊確定按鈕保存配置。之后選擇“adrms_policy”項(xiàng)，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“用戶配置”→“策略”→“管理模板”項(xiàng)，在其右鍵菜單上點(diǎn)擊“添加/刪除模板”項(xiàng)，在彈出窗口中點(diǎn)擊“添加”按鈕，選擇上述“office14.adm”文件，完成該模板的添加操作。

完成后選擇“用戶配置”→“策略”→“管理模板”→“經(jīng)典管理模板”→“Microsoft Office 2010”項(xiàng)，可以看到大量的和Officce 2010相關(guān)的設(shè)置項(xiàng)目。實(shí)際上，在這里就可以完全控制相關(guān)域用戶中Office 2010的使用權(quán)限。在本例中選擇“管理受限權(quán)限”項(xiàng)，在右側(cè)雙擊“指定權(quán)限策略模板”項(xiàng)，選擇“已啟用”項(xiàng)，在“輸入內(nèi)容權(quán)限策略模板的路徑”欄中輸入“\rmsserver.xxx.commoban”，指定存儲權(quán)限模板的共享文件夾。點(diǎn)擊“確定”按鈕，保存配置信息。之后在客戶端上打開CMD窗口，執(zhí)行“gpupdate/force”命令刷新組策略。在域中的某臺Windows 7客戶機(jī)上以“user1”賬戶登錄，使用Word 2010編輯并保存所需的文檔。

點(diǎn)擊菜單“文件”→“信息”項(xiàng)，點(diǎn)擊“保護(hù)文檔”項(xiàng)，點(diǎn)擊“按人員限制權(quán)限”項(xiàng)，在分支菜單中就會顯示上述名為“adrmspolicy”的模板權(quán)限菜單項(xiàng)，當(dāng)然，使用者必須是組策略中指定部門的用戶。當(dāng)點(diǎn)擊該菜單項(xiàng)后，系統(tǒng)就會根據(jù)該模板中預(yù)設(shè)的信息，根據(jù)當(dāng)前的使用者的身份，自動為文檔設(shè)置對應(yīng)相應(yīng)保護(hù)權(quán)限，而無需手工來設(shè)置所需的保護(hù)功能。例如對于“user1”用戶來說，可以自動為文檔設(shè)置完全控制的權(quán)限，而對于上述組中的其他的用戶來說，在文檔中設(shè)置的是查看權(quán)限。這樣，就大大提高了操作的靈活性。