企业中需要变更员工 Email 地址，如何确保原有受RMS保护的文档访问正常

任何规模的组织都需要保护重要的数字信息，以避免由于疏忽引起误操作以及被恶意利用。此外，信息窃取行为的不断增多以及对保护数据的立法呼声的高涨，使得如何更好地保护数字信息这一需求变得更为强烈。现在，使用计算机来创建和处理以上类型的敏感信息的情况越来越多，通过专用网络和公共网络（包括 Internet）扩大连接也日益普及，而计算设备的功能正愈来愈强大，这一切都使得保护组织数据成为必需的安全事项。

数字内容的类型可能包括信息门户中的动态且由数据库驱动的报告、机密的电子邮件、战略计划文档、军事防御报告以及其他敏感的政府文件等。

RMS（Windows Rights Management Services） 提供了一个用于保护数字内容的统一的解决方案。RMS 还提供了工具，用于为 RMS 系统中的可信实体建立和配置服务器、客户端以及用户帐户。

以上来自Microsoft TecheNet。

有关RMS的详细部署，我以前发表过一篇文章在Cnfan.net第五期杂志上，有兴趣的话可以下载看看：http://www.cnfan.net/magazine/itpromagazine200605.rar

今天主要讨论一下如果企业中需要改变某些员工的Email地址，如企业成立子公司，一部分员工到子公司工作，Email地址将变更为子公司的Email地址时，原有受RMS保护的文档等如何处理？怎么访问？

我们都知道，RMS的权限加密是通过Email地址来进行的，如果变更了Email地址，原有通过RMS加密的文件将无法打开。所以，我们不能去改变原有的Email地址了。

这种情况下，有一个解决的办法：

一、如果企业中具备有Exchange邮件服务器：

我们可以添加分配多个Email地址来满足要求。例如我们原有的的账号为aaa，以前使用的邮件地址为aaa@aaa.com，并已经创建了RMS保护文档。然后如果想给aaa账号另一个邮件地址，不删除aaa@aaa.com邮件地址，而是增加一个邮件地址，而是增加一个bbb@aaa.com的邮件地址，并把bbb@aaa.com设为主用邮件地址，这样原来用aaa@aaa.com 保护的文档还是能正常打开。

这是我们只需要在Exchange管理控制台中添加电子邮件地址即可，如下：

二、如果企业中没有部署Exchange邮件服务器：

如果我们没有Exchange服务器，也可以实现，但这样做的缺点是多个邮件无法在AD中的用户属性中显示，会给以后的维护和管理带来一定的麻烦。
首先我们需要修改proxy-addresses schema 属性，然后修改账号所对应的mail和proxyAddresses的值。
1、修改proxy-addresses schema 属性
a、打开ADSI工具，展开Schema[FQDN of DC server]
b、找到CN=Proxy-Addresses，并编辑其属性，找到Attribute为 isMemberOfPartialAttributeSet的值，把它设为Ture。

2、修改账号所对应账号的mail和proxyAddresses的值
a、打开ADSIEDIT，展开Domain[FQDN of DC server].
b、选择某一个账号，编辑属性，例如user2账号的主用地址为user2@contoso.com ，备用为zhangyue@contoso.com ，我们需要编辑属性mail，值为user2@contoso.com，编辑属性proxyAddresses，值为SMTP:user2@contoso.com ;smtp:zhangyue@contoso.com（第一个SMTP一定要大写，大写的SMTP表示为首要的Email地址）

完成后，即可使用现有的Email地址进行访问原有加密的RMS文件了。