SharePoint Integrar el servicio Information Rights Management en SharePoint

Pav Cherny
Descarga de cdigo disponible en: ChernySharePoint2009_05.exe (871 KB)
Produccin de RMS de Active Directory y jerarquas de preproduccin
Topologa de Active Directory RMS preproduccin
Configuracin del servidor preproduccin
Problemas de configuracin de IRM de SharePoint
Los problemas especficos de preproduccin
Compilacin y de registro
El protector IRM pruebas
Implementar protectores de documentos IRM personalizados
Conclusin
Microsoft Office SharePoint Server (MOSS) 2007 incluye protectores basados en el
marco de Information Rights Management (IRM). Estos proporcionan los usuarios de
Microsoft Office las ventajas de integracin de SharePoint con Active Directory Rights
Management Services (RMS de Active Directory). Desgraciadamente, Windows
SharePoint Services (WSS) 3.0 no incluye protectores IRM de fbrica. Sin embargo, hay
una solucin. Si examina las aplicaciones de ejemplo y los fragmentos de cdigo en la
galera de cdigo de MSDN, entre los gemas encontrar es la Cdigo fuente de
protectores de formato de archivo de Microsoft Office , que publicado por Microsoft en
agosto de 2008. El cdigo fuente incluye un no exclusivo, todo el mundo, libre de
regalas " como-es " licencia pblica de Microsoft (M-PL). Esto es una gran bsqueda
porque significa puede compilar el cdigo fuente y agregar estos componentes a WSS
3.0 tambin. De este modo, puede beneficiarse de Active Directory en funcin de RMS
caractersticas de seguridad y cumplimiento en cualquier entorno de SharePoint.
En esta columna, continuar discusin del mes pasado acerca de integracin de
SharePoint con AD RMS mostrndole cmo establecer un entorno de desarrollo de
preproduccin AD RMS, compilar los protectores IRM e integrar los componentes
compilados en WSS 3.0. No necesita realmente un entorno de preproduccin para
compilar los protectores IRM, pero es un ejercicio interesante porque resaltan algunos
problemas de configuracin AD RMS tpicos que pueden surgir en un entorno de
produccin. No es necesario que un desarrollador de C/C ++ para comprender los
conceptos alrededor de produccin de RMS de Active Directory y las jerarquas de
preproduccin y cmo afectan a la implementacin de Active Directory RMS, Microsoft
Office y WSS 3.0. Y no necesita experiencia de desarrollo de C/C ++ en compilar y
probar los protectores IRM. Temas de desarrollador, como extender el cdigo fuente o
convertir integradas protectores protectores autnomos, son ms all del alcance de
este artculo. La nica tarea de desarrollador que se encontrar afecta a la creacin de
un proyecto de instalacin con unos pocos clics del mouse (ratn) para simplificar la
implementacin de los componentes protector compilado en los servidores de
produccin WSS 3.0. Mayo material complementario (disponible en la pgina de
descarga de cdigo de TechNet Magazine) incluye las hojas de clculo y herramientas
que le gua por la implementacin, compilacin y probar procedimientos en equipos
que ejecutan la versin x 64 de Windows Server 2008.
Produccin de RMS de Active Directory y jerarquas de preproduccin
SharePoint, al igual que cualquier otra aplicacin que desea utilizar Active Directory
RMS para cifrar o descifrar el contenido, debe tener un manifiesto firmado digitalmente
que firma la aplicacin en la jerarqua de Active Directory RMS. Este manifiesto define
los mdulos que pueden y no se carga en el espacio de direcciones de la aplicacin
para crear un entorno seguro y proteger el contenido sin cifrar en la memoria. Para que
un manifiesto de ser vlido, se debe ser firmado digitalmente por una entidad emisora
de certificados (CA) que pertenece a una jerarqua de certificados AD RMS. Esto puede
1

ser la jerarqua de produccin con una entidad de CERTIFICACIN de firma de la

aplicacin controlado exclusivamente por Microsoft, o puede ser la jerarqua de
preproduccin que permite a los desarrolladores self-sign aplicacin manifiestos. Tenga
en cuenta que un manifiesto puede pertenecer a ser jerarqua, pero no ambos. Un
manifiesto firmado por una entidad emisora de CERTIFICADOS de produccin es no
vlido en la jerarqua de preproduccin y viceversa, porque las jerarquas tienen
entidades emisoras raz diferente. Manifiestos de aplicacin se tratan detalladamente
en el AD RMS SDK .
Cuando se instala el primer servidor de RMS de Active Directory en un bosque de Active
Directory, se establece implcitamente la jerarqua de Active Directory RMS. De forma
predeterminada, la rutina de instalacin de RMS de Active Directory utiliza una CA de
servicio de inscripcin a s mismo de Microsoft DRM Server para emitir el certificado de
licencia de servidor (SLC), que forma parte de la jerarqua que lleva a la raz de
produccin de DRM de Microsoft en la raz de confianza. la figura 1 muestra esta
cadena de certificacin, derivada de la SLC de un servidor RMS de Active Directory de
produccin. Si desea examinar la jerarqua de Active Directory RMS en su propio
entorno, consulte el material complementario, que incluye la herramienta de cadena de
certificados RMS de Active Directory (CertificateChain.exe).

Figura 1 el AD RMS aplicacin firma Certifi cate pertenece a la jerarqua de

preproduccin AD RMS.
La raz de produccin de DRM Microsoft establece la jerarqua de produccin, y
Microsoft requiere que todos los proveedores de software firmar un contrato de licencia
de produccin como un requisito previo para obtener un certificado de produccin y la
firma aplicaciones en la jerarqua de produccin. El propsito del certificado de
2

produccin es crear y firmar manifiestos para las aplicaciones publicadas. Para

propsitos de desarrollo, debe utilizar un certificado de preproduccin en su lugar.
Originalmente, proveedores de software firmar un contrato de licencia desarrollo para
obtener un certificado de preproduccin necesarios Microsoft tambin, pero una clave
pblica (ISVTier5AppSIgningPubKey.dat), clave privada (ISVTier5AppSigningPrivKey.dat)
y el del certificado de preproduccin correspondiente (ISVTier5AppSignSDK_Client.xml)
ahora se incluyen en el SDK de RMS de Active Directory para que se puedan firmar
manifiestos durante la fase de desarrollo sin tener que ponerse en contacto con
Microsoft. Como una nota al margen, las claves y certificados de preproduccin estn
tambin incluidos en los protectores de formato de archivo de Microsoft Office origen
cdigo paquete.
Firma un manifiesto de aplicacin con el certificado de preproduccin implica que la
aplicacin no puede usar en combinacin con un servidor de produccin AD RMS. Como
se muestra la figura 1 , el emisor raz de la cadena de certificados de
isvtier5appsignsdk_client.xml es Microsoft DRM ISV raz, que claramente no es la raz
de un servidor de produccin. Puede examinar isvtier5appsignsdk_client.xml con mi
herramienta de la cadena de certificados AD RMS. Se deduce que necesita un servidor
RMS de Active Directory con un SLC diferente que tenga la raz de proveedor de
software de DRM de Microsoft en la raz de confianza (consulte la figura 1 ). Para
implementar dicho un servidor de RMS de Active Directory, debe establecer un bosque
de Active Directory independiente para su entorno de desarrollo.
Topologa de Active Directory RMS preproduccin
Con un bosque de Active Directory independiente, es una buena idea para conceder a
algunas ideas a la topologa de preproduccin AD RMS. En concreto, debe decidir si
desea instalar RMS de Active Directory en un servidor independiente o directamente en
el controlador de dominio. En la mayora de los casos, una implementacin del
controlador de dominio basta para propsitos de desarrollo. Tenga en cuenta que no es
una recomendacin para los entornos de produccin. En un entorno de produccin, no
debe implementar Active Directory RMS en un controlador de dominio ya que la cuenta
de usuario de dominio especifique como la identidad de la red AD RMS, a continuacin,
se requieren permisos de administrador de dominio iniciar sesin localmente. Iniciar
sesin localmente es un privilegio de administrador en los controladores de dominio. En
un servidor miembro, la cuenta de usuario de dominio no necesita en todos los
permisos elevados. Si no sabe con certeza acerca de la pregunta de controlador de
dominio en los entornos de produccin, lea el artculo de blog de Jason Tyler" Los DOs y
DON'Ts de RMS ." Con respecto a la idea de poner RMS en un controlador de dominio,
Jason dice "se trata de una idea errnea, que cada vez verlo, desee ir indicar a la
persona que vaya elegir un modificador y cumplirme detrs de la toolshed."
La siguiente pregunta es si desean instalar WSS 3.0, Office 2007 y Visual Studio 2008
en el controlador de dominio. Aqu definitivamente debe utilizar un servidor
independiente, incluso en un entorno de desarrollo. Como que con el problema de RMS
de Active Directory, la configuracin de seguridad de WSS 3.0 vara de controladores de
dominio en comparacin con los servidores miembro. Mediante un servidor miembro,
se conserva una configuracin comparable a un entorno de produccin de WSS 3.0, que
ofrece resultados ms confiables cuando las pruebas compilan los componentes. Por
supuesto, puede mantener el controlador de dominio y el servidor miembro en un nico
equipo fsico si utilizas Microsoft Hyper-V Server 2008, como se ilustra en la figura 2 .
Hyper-V es la tecnologa de virtualizacin de 64 bits, por lo que puede utilizar la edicin
de 64 x de Windows Server 2008 en ambos equipos virtuales. Tenga en cuenta que
Hyper-V Server 2008 no incluye herramientas grficas de administracin, pero se
pueden instalar herramientas de administracin remota de Hyper-V Server en una
estacin de trabajo independiente de Windows Vista, tal y como se describe en la hoja
3

de clculo complementario "instalacin Hyper-V Server remota administracin en una

estacin de trabajo de Windows Vista."

La Figura 2 A pequea escala AD RMS entorno de desarrollo en un host. Hyper-V

Configuracin del servidor preproduccin

Antes de instalar la funcin de servicios de administracin de derechos de Active
Directory, debe configurar ciertas opciones del registro en el servidor para que la
instalacin de Active Directory RMS inscriba el servidor en la jerarqua de
preproduccin. Si se omite este paso de configuracin, le acabar con la jerarqua
incorrecta. Tenga en cuenta que no se puede mover un servidor RMS de Active
Directory entre jerarquas. Si el servidor est registrado en la jerarqua de produccin,
debe desinstalar RMS de Active Directory, eliminar el punto de conexin de servicio
(SCP) de AD RMS en Active Directory, configurar el registro y, a continuacin, instalar
de nuevo la funcin de servicios de administracin de derechos de Active Directory.
Figura 3 se muestran la configuracin del registro que determina la jerarqua de Active
Directory RMS en un equipo que ejecuta Windows Server 2008. Si se establece el
parmetro de la jerarqua en 1, activa la jerarqua de preproduccin. Un valor de 0 o la
ausencia de este parmetro indica que debe implementar Active Directory RMS en la
jerarqua de produccin. Existen otras opciones del registro para la compatibilidad con
versiones anteriores, pero esto no es un requisito en nuestro entorno de desarrollo.
Para obtener ms informacin, vea el tema "Configurar el registro" en el SDK de RMS
de Active Directory. En el siguiente cdigo se puede guardar como un archivo del
(registros. reg) para habilitar la jerarqua de preproduccin en un servidor RMS de
Active Directory.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRMS\2.0]
"Hierarchy"=dword:00000001

La figura 3 el cliente RMS de Active Directory cant acceso al servidor RMS de

Active Directory.
Problemas de configuracin de IRM de SharePoint
La implementacin de servidor de RMS de Active Directory y la configuracin es
relativamente uncomplicated. Ms complicada es la configuracin del servidor miembro
que ejecute WSS 3.0 para firmar SharePoint en la jerarqua de preproduccin. No se
puede simplemente iniciar la administracin central de SharePoint 3.0, cambiar a la
ficha operaciones haga clic en Information Rights Management y, a continuacin,
seleccione la opcin usar el servidor de RMS predeterminado especificado en Active
Directory. Al hacer clic en ACEPTAR dara como resultado slo la mensaje de error
aparece en Figure 3 . Como se muestra el mensaje, el cliente RMS de Active Directory
(msdrm.dll) est presente; se instala con Windows Server 2008 de forma
predeterminada, pero el servidor RMS de Active Directory es inaccesible.
Por desgracia, ni mensaje de error, ni el registro de seguimiento ni registro de eventos
de aplicacin revelar la naturaleza del problema es true. Una opcin para obtener
informacin ms detallada consiste en tener acceso a la direccin URL especificada en
el registro de seguimiento directamente en Internet Explorer, por ejemplo,
https://adrms.litware.com:443/_wmcs/certification. Lo ms probable es que Internet
Explorer le informa un "problema con certificado de seguridad de este sitio Web" si el
servidor de RMS de Active Directory preproduccin utiliza un certificado de capa (SSL)
5

con firma personal secure sockets que no confa el cliente. Para que se confa en el
certificado del servidor SSL, debe instalar el certificado SSL en el almacn de entidades
emisoras de certificados raz de confianza del equipo local. Asegrese de que coloca el
certificado en el almacn fsico del equipo local porque debe realizar el certificado
disponible para cuentas de seguridad de SharePoint todo, no slo su propia cuenta de
usuario. La hoja de clculo complementario "WSS01 de implementacin en el entorno
de preproduccin RMS Active Directory" describe los pasos.
En ocasiones, puede resultar difcil tratar con certificados autofirmados de SSL.
SharePoint determina la direccin URL del servicio Web de Active Directory RMS
certificados de por medio de la SCP de RMS de Active Directory en Active Directory. Si
ese SCP especifica una direccin URL con un nombre de host que difiera del nombre de
host en certificado SSL del servidor Web de, el servidor Web permanece no confianza
incluso despus de instalar el certificado SSL en el almacn Entidades emisoras raz de
confianza. la figura 4 muestra un escenario de configuracin comn que lleva a este
problema. La configuracin utiliza un alias en la URL RMS de Active Directory que
difiera del nombre de host real. Esto facilita el servidor de mantenimiento y
recuperacin ante desastres porque no puede cambiar la direccin URL de AD RMS
despus de la implementacin de un servidor RMS de Active Directory, pero el registro
CNAME permite punto la direccin URL en un servidor diferente si es necesario. Como
indican los cuatro pasos en la figura 4 , en primer lugar, el servidor de SharePoint
busca el atributo serviceBindingInformation de la SCP de RMS de Active Directory para
determinar la direccin URL de AD RMS. A continuacin, resuelve el adrms.litware.com
de nombre de host en dc01.litware.com basndose en el registro CNAME. SharePoint, a
continuacin, se conecta al dc01.litware.com, que devuelve el certificado SSL para
dc01.litware.com, y esto hace que el conflicto de direccin no coincidente.

La figura 4 SSL el certificado es de no confianza debido a un error coincidencia

nombre.
6

Para resolver este conflicto, emitir un certificado SSL para adrms.litware.com en el

servidor RMS de Active Directory mediante la herramienta SelfSSL disponible en el Kit
de recursos de Internet Information Services (IIS) 6.0. La hoja de clculo
complementario "DC01 de implementacin en el entorno de preproduccin RMS Active
Directory" incluye informacin de descarga y obtener instrucciones paso a paso.
Corregir SSL problemas de certificado es el primer paso hacia una configuracin de
funcionamiento, pero un certificado SSL de confianza no es el nico requisito. Si se
intenta configurar IRM sin concederle primero la cuenta de seguridad de la
administracin central de grupo de aplicaciones de lectura y acceso de ejecucin,
recibir el mensaje de error que IRM no funcionar hasta que el servidor concede
permiso. Nombre de cuenta de dominio utilizado: WSS01$@litware.com. Obtendr este
error porque el cliente debe llamar al mtodo Certify del servicio Web de certificacin
de RMS Active Directory para obtener un certificado de cuenta de derechos (RAC), que
se produce un error due to permisos de acceso que faltan en el archivo
ServerCertification.asmx. De forma predeterminada, slo la AD RMS cuenta del servidor
del sistema tiene acceso. La solucin recomendada es heredar permisos de la carpeta
certificados ServerCertification.asmx y, a continuacin, agregar las cuentas de equipo
de los servidores de WSS 3.0 con lectura y ejecucin as well permisos. Esto garantiza
que todas las cuentas de grupo de aplicacin posibles tengan los permisos necesarios.
Consulte dicha hoja complementario "DC01 de implementacin en el entorno de
preproduccin RMS Active Directory" para los detalles.
Los problemas especficos de preproduccin
En este momento, el marco IRM debe ser funcional, excepto cuando se encuentra en un
entorno de preproduccin. Recuerde que cliente RMS de Active Directory y las
aplicaciones, deben utilizar una cadena de certificados diferentes aqu. Si intenta
configurar el marco de IRM en la configuracin original, recibir el error "el requiere
Windows Rights Management cliente est presente pero no se pudo configurar
correctamente" y el registro de seguimiento incluye otra sugerencia til, "el equipo no
se ha activado." Esto es un indicador que el cliente RMS de Active Directory est
todava en la jerarqua de produccin. Puede comprobarlo en el Editor del registro.
Compruebe las claves del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\uDRM\Hierarchy y
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\uDRM\Hierarchy. Un valor de 0 designa la
jerarqua de produccin. Cambiar estos valores a 1 activa la jerarqua de preproduccin.
El cdigo siguiente muestra un archivo .reg para aplicar los cambios de configuracin
convenientemente.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\uDRM]
"Hierarchy"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\uDRM]
"Hierarchy"=dword:00000001
Sin embargo, no se sorprenda de que los cambios del registro no efectivos
inmediatamente. El error permanece porque el cliente RMS de Active Directory ya ha
generado un certificado de equipo incorrecto durante el primer intento incorrecto y
contina usar este certificado. En el servidor WSS, abra la carpeta
C:\ProgramData\Microsoft\DRM\Server y elimine todas las subcarpetas y archivos. Es
posible que tambin desea comprobar la carpeta %LOCALAPPDATA%\Microsoft. Si
incluye una subcarpeta \DRM, elimine la subcarpeta porque almacena las licencias de
cliente que no se puedan utilizables ya en la jerarqua de preproduccin. El cliente RMS
de Active Directory vuelve a crear estas subcarpetas y archivos de certificado dentro de
ellos como sea necesario.
7

Cambiar volver a Administracin central de SharePoint 3.0, vuelva a intentar configurar

IRM y no permita que la siguiente mensaje de error le engaen: es el mismo mensaje
de error como antes pero el motivo del error es realmente diferente. El registro de
seguimiento y encontrar que "produjo un problema al crear y inicializar un
environment segura" de comprobacin Ahora ste es un problema de manifiesto.
SharePoint sigue el manifiesto de produccin como la revela de herramienta de cadena
de certificados AD RMS si abre el archivo stsprtid.xml ubicado en la carpeta
%PROGRAMFILES%\Common comunes\Microsoft Shared\Web Server Extensions\12\Bin
(consulte la figura 5 ).

La figura 5 el manifiesto de produccin doesnt trabajar en la jerarqua de

preproduccin.
Debe eliminar (o cambiar el nombre de) la produccin stsprtid.xml archivo, generar un
nuevo manifiesto mediante la herramienta Genmanifest.exe incluida en el SDK del RMS
de Active Directory, as como en el paquete de descarga protectores de formato de
archivo de Microsoft Office y, a continuacin, reinicie IIS. Incluso el paquete de
descarga incluye un archivo de configuracin de SharePoint (sharepoint.mcf) y archivos
por lotes (genmft.bat y genmft.64.bat) para simplificar esta tarea. No obstante, el
archivo por lotes para entornos de 64 bits slo firma de aplicaciones de Microsoft Office
en la jerarqua de preproduccin y omite SharePoint. Para iniciar sesin en SharePoint
en un servidor de 64 bits, utilice el archivo Sharepoint.bat incluido en el material
complementario o utilice la herramienta Genmanifest.exe directamente. La sintaxis del
comando es la siguiente
Genmanifest.exe -chain isvtier5appsignsdk_client.xml sharepoint.mcf
Stsprtid.xml

Consulte tambin la pgina Genmanifest.exe en aspx msdn.microsoft.com/enus/library/aa362621 (VS.85).

Compilacin y de registro
Necesidad de reemplazar el archivo de manifiesto de SharePoint, puede completar
correctamente la configuracin de IRM. Se ha terminado la parte difcil. Ahora es
tiempo disfrutan de los incentivos compilar y probar los componentes del protector. Se
trata de una tarea sencilla. El cdigo fuente incluye proyectos de Visual Studio 2005
que se pueden actualizar a Visual Studio 2008 sin problemas. Sin embargo, tenga en
cuenta que trabaja en un servidor de 64 bits. Los proyectos de Visual Studio estn
configurados para un entorno de 32 bits. Debe cambiar esta configuracin para
compilar los componentes de la plataforma x 64, como se muestra en la figura 6 .
Consulte tambin la hoja de clculo complementario "Compiling, pruebas y protectores
de formato de implementar Microsoft Office archivos".

Figura 6 para utilizar los protectores IRM en un servidor WSS de 64 bits, compile el cdigo
fuente para la plataforma de x 64.

Visual Studio se encarga del registro de componentes COM en tiempo de compilacin,

pero todava debe registrar los protectores IRM en WSS 3.0. Registrar los componentes
con los identificadores de clase (CLSID) en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server
Extensions\12.0\IrmProtectors. Aqu es un archivo de registro que lleva a cabo este
paso:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server
Extensions\12.0\IrmProtectors]
"{2E4402B2-F2DA-4BC8-BB2C-41BECF0BDDDB}"="MsoIrmProtector"
"{81273702-956F-4CBD-9B16-43790558EE29}"="OpcIrmProtector"
9

Tambin puede comprobar el contenido del archivo IrmProtectors.reg en el material

complementario. Contiene claves adicionales fines informativos. Incluyen estas claves
porque los protectores IRM de MOSS 2007 tienen entradas similares. La nica diferencia
es que MOSS protectores realmente utilizan su configuracin mientras nuestros
protectores IRM utilizan valores codificados en su lugar.
El protector IRM pruebas
Ahora que WSS es consciente de los protectores IRM, puede reiniciar IIS, abra el sitio de
SharePoint, configurar una directiva AD RMS de una biblioteca de documentos y, a
continuacin, crear, cargar y descargar los documentos para comprobar que funcionan
los protectores IRM. Sin embargo, esto puede ser mucho tiempo si se esfuerzan con
problemas de registro COM bsicos. Por ejemplo, si ha olvidado activar la x 64,
plataforma de bits en Visual Studio, el proceso de compilacin finaliza sin errores, pero
el registro de COM permanece incompleto, WSS no puede cargar los protectores de, y
no podr comprobar proteccin AD RMS. Puede ahorrar tiempo comprobando el registro
de COM en primer lugar y realizar pruebas en SharePoint slo si la comprobacin de
registro muestra xito completa. Figura 7 muestra un script bsico para comprobar el
registro de COM. Simplemente se carga los componentes COM y se muestra un cuadro
de mensaje con los resultados.
On Error Resume Next
set MsoIrmProtector=NOTHING
set OpcIrmProtector=NOTHING
set MsoIrmProtector=CreateObject("MsoIrmProtector.MsoIrmProtector")
set OpcIrmProtector=CreateObject("OpcIrmProtector.OpcIrmProtector")
IF MsoIrmProtector IS NOTHING AND OpcIrmProtector IS NOTHING THEN
Wscript.Echo "Unable to load MsoIrmProtector and OpcIrmProtector."
ELSEIF MsoIrmProtector IS NOTHING THEN
Wscript.Echo "OpcIrmProtector loaded successfully, but
unable to load MsoIrmProtector."
ELSEIF OpcIrmProtector IS NOTHING THEN
Wscript.Echo "MsoIrmProtector loaded successfully, but
unable to load OpcIrmProtector."
ELSE
Wscript.Echo "MsoIrmProtector and OpcIrmProtector loaded
succes
sfully."
END IF
La figura 7 hacer seguro IRM protectores estn registrados correctamente como
componentes COM antes de comprobar los protectores en SharePoint.
Con configuracin de registro adecuada, el componente de OpcIrmProtector para
formatos de documento de Office 2007 est la de la inmediatamente funcional. Sin
embargo, el componente MsoIrmProtector para formatos de Office antiguos tiene un
requisito adicional. La carpeta que contiene el MsoIrmProtector.dll tambin debe
contener una subcarpeta \1033 con archivos de plantilla. Los archivos de plantilla
incluyen el cdigo fuente y se encuentran en la carpeta \MsoIrmProtector\Templates.
Debe copiar estos archivos en la subcarpeta \1033 para que el componente
MsoIrmProtector puede incluirlos en documentos RMSprotected de Active Directory
para la compatibilidad con versiones anteriores con las aplicaciones de Office que no
admiten RMS de Active Directory, como Office 2000 y Office XP. De lo contrario, no
podr abrir documentos de Office antiguos. Por ejemplo, recibir el error que aparece
en la figura 8 cuando intenta crear un nuevo documento de Word en una biblioteca de
documentos.

10

Figura 8 que Word cant leer este documento porque el MsoIrmProtector est no se puede
crear el documento en formato correcto sin los archivos de plantilla.

Implementar protectores de documentos IRM personalizados

Enhorabuena! Ha correctamente integrado, registrado y probado personalizados
protectores IRM para WSS 3.0. Ahora, cmo se obtener estos componentes en los
servidores de produccin de WSS 3.0? Despus de todo, debe instalar los protectores
IRM en todos los servidores si desea utilizar estos componentes en el entorno de
produccin. Realizar manualmente la implementacin sera tediosas y propensas. Es
ms conveniente generar un proyecto de instalacin, incluir los archivos DLL y
documentos de plantilla dentro de la estructura del archivo requerido, importar la
configuracin del registro necesarias para integrar los componentes en WSS 3.0 y, a
continuacin, utilizar el archivo de Microsoft Windows Installer (.msi) resultante para
implementacin.
Tambin es una buena idea probar la implementacin en un sistema de referencia.
Entre otras cosas, la tales pruebas revelan importantes los requisitos previos que debe
cumplir antes de implementar los componentes. En concreto, Visual Studio 2008
agrega las dependencias de Service Pack 1 de Microsoft .NET Framework 3.5 a
Setup.exe y los componentes del protector requieren un paquete redistribuible de
Microsoft Visual C++. Esto es un requisito estndar para archivos ejecutables y DLL
compiladas con Visual C++. Asegrese de que el paquete redistribuible coincide con la
versin que utilice en su entorno de desarrollo. Por ejemplo, si usa Microsoft Visual
Studio 2008 SP1, a continuacin, implementar los de Microsoft Visual C++ con SP1 en
2008 Redistributable (x 64) . La hoja de clculo complementario "probar la Microsoft
Office archivos formato protectores de implementacin" muestra cmo probar la
implementacin de protector IRM en un nico servidor.
Conclusin
11

Proteccin de IRM, en funcin de los documentos de Microsoft Office utiliza para

requerir MOSS 2007, pero al compilar el protectores de formato de archivo de Microsoft
Office cdigo fuente disponible en la galera de cdigo MSDN puede integrar
componentes adecuados de protector IRM en WSS 3.0, as. Tambin puede modificar el
cdigo de origen para implementar caractersticas personalizadas si tiene
conocimientos de C/C ++ y han implementado SharePoint en un entorno de
preproduccin AD RMS. Tenga en cuenta que las modificaciones afectan a todos los
bibliotecas de documentos RMSenabled de Active Directory. SE recomienda dejar el
cdigo fuente sin modificaciones y la comprobacin de la galera de cdigo de MSDN de
forma regular para las actualizaciones y versiones nuevas, quizs, con caractersticas
adicionales, a menos que sea un desarrollador buscar un ejemplo excelente para
integrar sus propias aplicaciones con el marco IRM. En este caso, el cdigo de origen es
un excelente punto de partida.
Recuerde que Microsoft no disear el marco IRM para proteger los elementos de
contenido de las bases de datos de SharePoint. Por ejemplo, no debe cambiar las
rutinas de descifrado, o es posible que los usuarios de SharePoint no pueda abrir los
documentos porque el marco IRM concede slo la cuenta del grupo de aplicaciones y el
usuario actual AD RMS permisos de acceso al proteger el contenido. Tambin tenga
presente que algunos protectores requieren otros protectores crear un sistema
completamente funcional. Por ejemplo, el protector MsoIrmProtector para formatos de
documento de Office antiguos y el protector OpcIrmProtector para formatos de 2007 de
Office pertenecer juntos. Si ha implementado el protector MsoIrmProtector sin la
OpcIrmProtector, un usuario de Word 2007 puede crear un nuevo documento mediante
la plantilla de contenido plantilla.doc en SharePoint, base de datos al guardar el archivo
como Doc1.docx. El protector MsoIrmProtector aplica proteccin AD RMS a plantilla.doc,
por lo que Doc1.docx podra acabar en la biblioteca de documentos en formulario
rights-protected porque no hay ningn protector OpcIrmProtector para descifrar el
contenido en la carga. La cuenta del grupo de aplicaciones y los del usuario actual se
conservan las entidades slo que pueden abrir este documento. Hay otras formas para
proteger documentos en bases de datos contenidos de SharePoint a travs de RMS de
Active Directory, como mediante la interfaz COM de ISPExternalBinaryStorage.

12