SharePoint2013 中集成AD RMS 与Office Web App 2013集成

SharePoint2010时Office Web App2010是一个让人又爱又恨的产品，尽管能够在WEB上查看与编辑文档，甚至能够多能协同编辑，但总会遇到两个看似普通的需求却需要给业务人员大费口舌去解释的问题：

1. 如何使用在线查看PDF文件，这个问题在2010时代的确比较纠结，尽管最后用开发手段实现了，但的确是一个心病。
2. 如何在Web App在线查看文档时控制不能复制、下载和打印，这个需求首先联想到的是R文档库与RMS集成，通过SharePoint IRM 控制文档内容访问权限（这里我们也可以称为访问策略），集成后文档管理，IRM权限控制本来是一切都正常的（客户端中打开），但比较遗憾的是Web App2010不支持IRM加密文档在线查看。

针对以上两个问题Office Web App2013总算是解决掉了，第一个问题上篇已经提到，本文将针对第二个问题进行讨论。

1.AD RMS 安装

AD RMS安装不能够安装在域控制器中，需单独一台服务器。

安装过程：服务器管理器---中选择添加角色和功能，勾选“Active Directory Rights Management Services”，然后一步一步完成安装

安装完成后，需要进行配置，配置时需指定一个管理帐户，此帐户可以在活动目录中专门建一个域帐户，RMS数据库可以直接使用 SharePoint中的数据库服务，也可以选择使用本地服务，配置地址时指定一个IIS地址和端口，如果绑定域名的话DNS服务器中需要对该域名添加解析，详细配置过程略。

2.RMS 与SharePoint集成

进入SharePoint管理中心，点击“安全性”--->“配置信息权限管理”，如下图所示：

在配置时可以选择“使用 Active Directory中指定的默认RMS服务器”，或者选择“使用此RMS服务器”手工指定RMS服务器域名。

但配置时发现提示错误：在RMS服务器的c:\inetpub\wwwroot\_wmcs\certification文件夹下面找到Certification .asmx文件。然后添加SharePoint的应用程序池帐号或者SharePoint服务器的“读取和执行”权限。

这个错误信息在2010时就遇到过，设置RMS WebService的访问权限即可：

在RMS服务器的c:\inetpub\wwwroot\_wmcs\certification文件夹下面找到ServerCertification.asmx文件。然后添加SharePoint的应用程序池帐号（我这里是administrator）和 AD RMS Service Group组“读取和执行”权限。

在RMS服务器计算机管理中，为组AD RMS Service Group添加成员 SharePoint服务器和SharePoint的应用程序池帐号，如下图：

测试权限是否配置正确的方式是输入WebService的地址，然后输入sharepoint的帐户和密码，看看是否能够正确显示WebService。

此处权限配置方面的各种问题摘录如下：

1.所需的 Windows Rights Management Client 存在，但服务器已拒绝访问。在服务器授予权限之前，IRM 将不会运行。 XXXX mname$domain.com XXXX这样的错误

这个错误是由于的权限设置问题，要在AD里头把MOSS管理员（还有MOSS站点应用程序池的运行帐户）加到 RMS 服务组里，然后把RMS服务组加到_wmcs\certification\ServerCertification.asmx上。

更正:要在AD里头把MOSS管理员（MOSS站点应用程序池的运行帐户）,还有MOSS服务器(没错,就是机器!), 加到 RMS 服务组里，然后把RMS服务组,及 MOSS服务器 加到_wmcs\certification\ServerCertification.asmx上。

2.在对文档进行发送到下载副本操作时出错：异常来自 HRESULT:0x80041056。且直接在线打开文档时WORD一片空白（应该说是一片空蓝）

这个错误是由于当前登陆MOSS的用户没有正确的MAIL属性，也有可能是AD里头没有设置MAIL属性的时候用户已经被导入到SSP里，后来AD里头已经设置了，但是还没有同步到SSP里。

3.下载文档时半天弹不出下载框，直接打开时WORD也是显示个下载的进度条。

这是由于MOSS访问不了RMS服务器。检查一下吧。。。。

4.在线打开文档WORD一片空白

这个错误是群里一个朋友遇到的，后来也解决了并共享了出来，原因是由于IIS池用的是本地帐户，无法和RMS进行交互导致。

3.文档库集成

在文档库中管理界面中，点击“信息权限管理”，

勾选“下载时限制此库的权限”，输入策略的标题，对相关配置项进行勾选配置

在Web App中打开文档，文档内容不能再复制了，而且PDF文件也直接支持了该功能。

对比加密前后功能菜单差别，“编辑文档”和“注释”菜单不见了，而当前帐户对文档是有编辑权限的，这点没弄明白，难道附加了IRM限制的文档不支持在线编辑。

点击“下载”按钮时，系统提示错误，虽然不太友好，但功能上已经达到控制下载的目的。

在预览窗口中，发觉文档预览不支持IRM文档，这个也没想通原因（可能是文档预览机制是采用缓存机制，该机制跟IRM权限存在矛盾）

SharePoint2013中关键亮点SkyDrive Pro悲剧了

4.存在的问题

• 上面提到的无法在线修改、无法预览文档，而且拥有编辑权限的用户也无法下载副本（这点不太合乎常理，有待详细考证），SkyDrive Pro无法同步。
• SharePoint一直以来都是只能在文档库级别设置IRM，而无法按文档夹或文件单独启用这个功能，不知道是出于何种考虑。
• 文档在下载的时候会联系RMS服务器为文档附加相关的凭据头，而且文档只附加了当前用户权限的RMS凭据，这样导致该文档转发给其他用户时无法打开，只能从网上下载。
  如，文档在文档库中设置为：A用户和B用户都有查看权限，但A下载后，转发给B，B用户是无法打开的，因为文件在下载时，在文件头里只附加了A的凭据及权限。这个其实不能说不合理，只是使用习惯问题，如果需要转发，请转发文档在SharePoint中的链接，这是微软推荐的做法。

5.总结

文档库是否开启IRM权限控制，这个需要根据业务需求详细考虑，IT领域的主要矛盾从来都是日益增长的安全性需求和满足广大人民群众的易用性之间的矛盾，具体功能性取舍权衡要慎重。

参考资料：

http://blog.sina.com.cn/s/blog_6856e03b0100yzig.html