none
Как настроить интеграцию с RMS правильно? Пользователь не может получить доступ к защищенным документам, в отличии от остальных. RRS feed

  • Вопрос

  • Добрый день,

    возникла проблема с доступом к файлам защищенных RMS путем управления доступом к данным. Есть библиотека, в ней включена защита через IRM. Группе пользователей предоставлен доступ на чтение этих файлов.

    Но по какой то причине, некоторые пользователи не имеют доступа к данным (не все, в частности тот которого я недавно создал пару дней назад), при открытии документа на портале пишет -

    "http://server/doc/doc_name.doc не существует. проверьте правильность введенных данных либо указать другой путь."

    или недопкустимый адрес Интернета "http://server/doc/doc_name.doc"

    Если скачать документ и попытаться открыть, пишет - "у вас нет учетных данных, которые позволили бы открыть этот файл документа. Можно запросить обновленные разрешения у http://server/doc" - выбор сменить пользователя, да или нет.

    Проверил службу профилей в административном узле, - импортирование не выполнялось давно, подправил загрузил полный импорт. Проверил есть ли пользователь в базе sharepointа. Все равно те же ошибки, ничего не изменилось.

    Если пользователю предоставить полный доступ к библиотеке, ничего не меняется. Отключив защиту через RMS для библиотеки, доступ разумеется появляется. Как только защищаю запрещая только печать, опять ошибки - те же.

    Другие пользователи с такими же правами, открывают документы защищенные RMS - но эти пользователи давно пользуются и проблем у них не возникает.

    Подскажите, что я делаю не так, в чем может быть загвоздка. Спасибо.

    20 февраля 2014 г. 14:24

Ответы

  • Доступ к документам, защищенным RMS, не зависит от настроек User Profile Service и проведенной синхронизации профилей. Все зависит от структуры AD и настроек службы Active Directory Rights Management Services.

    Ведь документ может лежать и не в библиотеке SharePoint, а мы тем не менее можем его защитить с помощью RMS. Ключевое действие у вас - добавление нового пользователя. Именно он и не может открыть.

    Забудьте временно о SharePoint, проблема не в нем.

    Создайте документ в сетевой папке и защитите его с помощью RMS. Создайте пользователя, добавьте его в список разрешенных (не в AD группу, а именно его в настройках документа)  и попробуйте открыть документ. Если нет доступа - значит надо смотреть структуру вашего леса AD и настройки ADRMS.

    У вас геораспределенная структура? Может репликация проходит с большой задержкой при неверном проектировании структуры? Сколько контроллеров домена? Какая конфигурация?

    Сделайте следующее:

    1. Убедитесь что новый пользователь находится на самом RMS сервере.
    2. Зайдите в ADRMS properties, вкладка Logging - включаем Enable Logging. Затем пробуем под этим пользователем открыть документ и делаем отчет по логу. Посмотрите было ли обращение этого пользователя к RMS и успешно оно или нет?
    3. Как вариант посмотрите настройки сертификатов.

    Отпишитесь о результате, лог сюда - дальше будем думать.


    • Предложено в качестве ответа Maxim Shusharin 21 февраля 2014 г. 1:35
    • Изменено Maxim Shusharin 21 февраля 2014 г. 2:33
    • Помечено в качестве ответа Denis.Pasternak 21 февраля 2014 г. 9:57
    20 февраля 2014 г. 23:58
    • Предложено в качестве ответа Maxim Shusharin 21 февраля 2014 г. 1:35
    • Помечено в качестве ответа Denis.Pasternak 21 февраля 2014 г. 9:57
    21 февраля 2014 г. 0:07

Все ответы

  • Доступ к документам, защищенным RMS, не зависит от настроек User Profile Service и проведенной синхронизации профилей. Все зависит от структуры AD и настроек службы Active Directory Rights Management Services.

    Ведь документ может лежать и не в библиотеке SharePoint, а мы тем не менее можем его защитить с помощью RMS. Ключевое действие у вас - добавление нового пользователя. Именно он и не может открыть.

    Забудьте временно о SharePoint, проблема не в нем.

    Создайте документ в сетевой папке и защитите его с помощью RMS. Создайте пользователя, добавьте его в список разрешенных (не в AD группу, а именно его в настройках документа)  и попробуйте открыть документ. Если нет доступа - значит надо смотреть структуру вашего леса AD и настройки ADRMS.

    У вас геораспределенная структура? Может репликация проходит с большой задержкой при неверном проектировании структуры? Сколько контроллеров домена? Какая конфигурация?

    Сделайте следующее:

    1. Убедитесь что новый пользователь находится на самом RMS сервере.
    2. Зайдите в ADRMS properties, вкладка Logging - включаем Enable Logging. Затем пробуем под этим пользователем открыть документ и делаем отчет по логу. Посмотрите было ли обращение этого пользователя к RMS и успешно оно или нет?
    3. Как вариант посмотрите настройки сертификатов.

    Отпишитесь о результате, лог сюда - дальше будем думать.


    • Предложено в качестве ответа Maxim Shusharin 21 февраля 2014 г. 1:35
    • Изменено Maxim Shusharin 21 февраля 2014 г. 2:33
    • Помечено в качестве ответа Denis.Pasternak 21 февраля 2014 г. 9:57
    20 февраля 2014 г. 23:58
    • Предложено в качестве ответа Maxim Shusharin 21 февраля 2014 г. 1:35
    • Помечено в качестве ответа Denis.Pasternak 21 февраля 2014 г. 9:57
    21 февраля 2014 г. 0:07
  • Спасибо за ответы. Но увы, все же есть какая то потайная связь с порталом. Что пробовал:

    1. По вашему совету создал одним пользователем защищенный файл, разместил один локально другой на сетевой ресурс, проблемным пользователям открываются оба без запинки

    2. По порталу, файлы на портале могут открывать пользователи (2-3-или все не знаю), но не новый пользователь:

    - ошибка при попытке загрузить файл на локальный диск: Exception from HRESULT: 0x80041056

    - ошибка при открытии на портале и при открытии локально (после того как под другим загрузил с портала) - такие как написал выше "файл не существует..." (если открывать с ссылкой на поптал)  и "вас нет учетных данных, которые позволили бы открыть этот файл документа..." - если открывать локально

    По ошибке HRESULT: 0x80041056 смотрел статьи, оба сервера добавлены в безопасность файла ServerCertification.asmx, тем более ошибка не у всех пользователей

    Логирование ошибка на скринщоте, так же есть события успешные:

    КАК бы не было странно, формируя отчет я выбираю промежуток между 9.00 - 11.00, а отчеты выдает за эту же дату, но время 7 утра... в описании отчета, стоит период с 7.00 - 11.00 - странно :)

    21 февраля 2014 г. 7:57
  • Если открывается локальный файл, значит смотрим дальше. (я же написал забыть о SP временно.)

    После загрузки в библиотеку SP в документ дописываются права доступа RMS определенные в настройках этой библиотеки. Посмотрите внимательно настройки, особенно разрешения групп AD.

    21 февраля 2014 г. 8:27
  • Смотрю разрешение файла на портале (права доступа) - проверка разрешений.

    Пользователь старый и новый - имеют одинаковый доступ:

    Ограниченный доступ
    Предоставлено через группу "Читатели ресурсов стилей"
    Чтение
    Предоставлены через группу "abc\g-sps-allusers (abc\g-sps-allusers)"

    Пользователи в обеих группа, - запрета так же нигде нет. Попробую создать еще одну учетную запись, новую дать ей права.


    21 февраля 2014 г. 8:51
  • Проблему не решил, но создал другую учетную запись добавил в стандартную группу имеющую право входит на портал (в ту же группу что и струю учетную запись). Все работает у новой учетной записи, хоть и членство и размещение в AD у обоих записей одинаковые.

    Так, что не знаю продолжать ли решать проблему, что не так с предыдущей учеткой без понятия.

    Спасибо, за ваше внимание и помощь, статья полезная возьму на заметку :) + настроил отчеты в RMS - что то же полезно.

    21 февраля 2014 г. 9:57
  • Не путайте настройки доступа к порталу/библиотеке и настройки RMS.
    22 февраля 2014 г. 5:39