Настройка управления правами на доступ к данным
Обновлено: Апрель 2007
Назначение: Office Resource Kit
Последнее изменение раздела: 2015-03-09
Пользователи могут ограничить разрешения доступа к документам с содержимым и сообщениям электронной почты в Выпуск 2007 системы Microsoft Office с помощью службы управления правами на доступ к данным (IRM). Параметры IRM в организации можно настроить так, чтобы зашифровать свойства документов с содержимым IRM, указать текст нижнего уровня, который отображается, когда пользователи без программного обеспечения с поддержкой IRM получают содержимое с разрешениями IRM, и т.д.
.gif "Note") Примечание: |
|---|
| Эта тема предназначена для администраторов Office. Информацию о том, как с помощью IRM применять разрешения к документам Office или сообщениям электронной почты, см. в разделе Служба управления правами на доступ к данным на веб-сайте Office Online. |
Выбор настроек групповой политики IRM
Многие настройки можно заблокировать, и настроить IRM с помощью шаблона групповой политики Office (Office12.adm). Кроме того, настройки по умолчанию можно настроить с помощью программы настройки Office (OCT). При этом пользователи смогут менять настройки. Настройки OCT находятся в соответствующих областях страницы Изменение пользовательских параметров OCT. Кроме того, существуют параметры конфигурации IRM, которые можно выбрать только с помощью настроек раздела реестра. Список всех разделов реестра IRM см. в разделе Выбор параметров ключа реестра IRM.
Шаблон Outlook и другие файлы ADM можно загрузить на странице Административные шаблоны (ADM) выпуска 2007 системы Office центра загрузки Microsoft. Узнайте больше об использовании центра развертывания Office в документе Настройка выпуска 2007 системы Microsoft Office.
Настройка параметров IRM в групповой политике
В групповой политике загрузите шаблон Выпуск 2007 системы Office (Office12.adm) и перейдите к параметру Конфигурация пользователя\Административные шаблоны\система Microsoft Office 2007\Управление ограниченными разрешениями.
Дважды щелкните параметр, который нужно настроить. Например, чтобы запретить пользователям применять разрешения IRM во всех приложениях Office, дважды щелкнитеDisable Information Rights Management User Interface.
Щелкните Разрешено.
Нажмите кнопку ОК .
В следующей таблице перечислены настройки IRM, которые можно выбрать в групповой политике и с помощью OCT.
| Параметр IRM | Описание |
|---|---|
Prevent users from changing permission on rights managed content |
Пользователи могут пользоваться содержимым, в которое уже включены разрешения IRM, но не могут применять разрешения IRM к новому содержимому или редактировать права на доступ к документу. |
Message displayed to users who cannot view a rights-managed e-mail |
Введите текст дополнительного сообщения, которое отправляется вместе с сообщением электронной почты с настроенными правами. |
URL for location of document templates displayed when applications do not recognize rights-managed documents |
Укажите путь к папке с файлами документа, таблицы и презентации, которые будут использоваться в качестве шаблонов нешифрованной врезки файлов с содержимым с настроенными правами, которую получают пользователи, у которых установлены предыдущие версии Office. |
Disable Information Rights Management User Interface |
Отключение всех параметров, относящихся к управлению правами и включенных в интерфейс всех приложений Office. |
Additional permissions request URL |
Укажите место, где пользователь сможет получить дополнительную информацию о доступе к содержимому IRM. |
Allow users with earlier versions of Office to read with browsers… |
Предоставление пользователям без системы Microsoft Office 2007 разрешения просматривать содержимое с настроенными правами с помощью надстройки управления правами для Windows Internet Explorer. |
Always required users to connect |
Пользователи, которые открывают документ Office с настроенными правами, должны подключиться к Интернет или локальной сети и с помощью Passport или RMS подтвердить, что у них есть действующая лицензия IRM. |
Always expand groups in Office when restriction permission for documents |
Когда пользователи применяют разрешения к документу, выбирая имя группы в диалоговом окне "Разрешения", имя группы автоматически расширяется для отображения всех членов группы. |
Never allow users to specify groups when restricting permission for documents |
Когда пользователи выбирают группу в диалоговом окне "Разрешения", возвращается сообщение об ошибке: ''Невозможно опубликовать содержимое в списках рассылки. Можно только указать адреса электронной почты отдельных пользователей''. |
Active Directory timeout for querying one entry for group expansion |
Укажите время ожидания при передаче запроса к записи Active Directory при расширении группы. |
Disable Microsoft Passport service for content with restricted permission |
Пользователи не могут открывать содержимое, созданное с помощью учетной записи с проверкой подлинности Passport. |
Specify Permission Policy Path |
Отображение в диалоговом окне "Разрешение" шаблонов политики разрешений из указанной папки. |
Do not allow users to upgrade Information Rights Management configuration |
Do not allow users to run repair to change their Information Rights Management configuration. |
Кроме того, можно выбрать некоторые настройки IRM Office Outlook 2007. Дополнительную информацию о настройке IRM для Outlook см. в разделе Настройка управления правами на доступ к данным в Outlook 2007.
Настройка параметров раздела реестра IRM
Настройки IRM можно выбрать с использованием групповой политики, раздела реестра, или и того, и другого. В следующих таблицах перечислены настройки раздела реестра IRM из Выпуск 2007 системы Office и соответствующие настройки групповой политики (если их можно заблокировать с использованием групповой политики).
Следующие настройки реестра IRM хранятся в разделе HKCU\Software\Microsoft\Office\12.0\Common\DRM. Настройки групповой политики находятся в разделе Настройки пользователей\система Microsoft Office 2007\Manage Restricted Permissions.
| Имя записи реестра | Тип записи реестра | Значения для записи реестра | Настройка групповой политики или описания |
|---|---|---|---|
Отключить |
DWORD |
0 = данный раздел реестра не влияет на функции 1 = все функции IRM удаляются; IRM отключается |
Disable Information Rights Management User Interface |
DisableCreation |
DWORD |
1 (или ненулевое значение) = корпоративная установка действует так же, как и стандартная. Пользователи не могут создавать содержимое IRM или редактировать права на доступ к документу, но могут пользоваться ранее созданным содержимым 0 = создание содержимого IRM разрешено, если функция входит в SKU продукта |
Prevent users from changing permissions on rights managed content |
IncludeHTML |
DWORD |
1 = включить поток HTML 0 = не включать поток HTML |
Allow Users With Earlier Version of Office to Read With Browsers |
DownlevelText |
Строка |
Текст отображается в дополнительном сообщении электронной почты. Текст по умолчанию следующий: "Если приложение электронной почты, поддерживающее сообщения с ограниченными разрешениями, например, Microsoft Office Outlook 2003 или 2007 не используется, сообщения можно будет просматривать после загрузки надстройки управления правами для Microsoft Internet Explorer с сайта https://www.microsoft.com/downloads/details.aspx?familyid=b48f920b-5af0-46b4-994f-2f62582cc86f&displaylang=ru . CLID из гиперссылки локализован в соответствии с выбранным по умолчанию языков отправителя. |
Message displayed to users who cannot view a rights-managed e-mail |
DownlevelTemplatePath |
Строка |
Путь к каталогу, где хранятся шаблоны документов Office. |
URL for location of document templates displayed when applications do not recognize rights-managed documents |
CorpCertificationServer |
Строка |
URL-адрес корпоративного сервера сертификации |
Отсутствуют соответствующие параметры групповой политики. Обычно AD обозначает сервер RMS. Настройка позволяет обойти место хранения Windows RMS, которое указано в Active Directory для целей сертификации. |
AdminTemplatePath |
Строка |
Путь к шаблонам RMS. Все шаблоны должны храниться в одном и том же каталоге. Путь может содержать переменные среды, например, %userprofile%\application data. |
Specify Permission Policy Path |
DisablePassportCertification |
DWORD |
0 = этот раздел реестра не влияет на функции 1 = passport отключается |
Disable Microsoft Passport service for content with restricted permission |
RequestPermissionURL |
Строка |
URL-адрес лица, которое может предоставлять дополнительные разрешения, например: mailto:кто-то@contoso.com. |
Additional Permissions Request URL |
RequireConnection |
DWORD |
1 = по умолчанию в поле стоит флажок, подключение необходимо. 0 = флажок удаляется; пользователям не нужно подключение. |
Always require users to connect to verify permissions |
RequestPermission |
DWORD |
1 = в поле стоит флажок. 0 = флажка нет. |
Отсутствуют соответствующие параметры групповой политики. Этот раздел реестра переключает выбранное по умолчанию состояние флажка "Users can request additional permissions from". |
DoNotAcquireDRMLicenseOnSync |
DWORD |
1 = в процессе синхронизации Outlook не пытается получать лицензии. 0 = лицензия получается автоматически. |
Отсутствуют соответствующие параметры групповой политики. Когда Outlook загружает сообщение электронной почты IRM, лицензия на просмотр содержимого IRM получается автоматически. |
NeverAllowDLs |
DWORD |
0 = списки рассылки разрешены. 1 = списки рассылки отключены |
Never allow users to specify groups when restricting permission for documents |
CloudCertificationServer |
Строка |
URL-адрес пользовательского сервера сертификации из глобальной сети |
Отсутствуют соответствующие параметры групповой политики. |
CloudLicenseServer |
Строка |
URL-адрес сервера лицензирования |
Отсутствуют соответствующие параметры групповой политики. |
DRMPostSetupURL |
Строка |
URL-адрес клиента RMS |
URL where users can download the Windows Rights Management Services client. |
DoNotUseOutlookByDefault |
DWORD |
0 = Outlook используется 1 = Outlook не используется |
Отсутствуют соответствующие параметры групповой политики. Диалог разрешения с помощью Outlook проверяет введенный адрес электронной почты. После этого при наличии ограниченных разрешений запускается экземпляр Outlook. Раздел позволяет отключить параметр. |
DisableRepair |
DWORD |
0 = восстановление работает нормально 1 = восстановление отключено |
Do not allow users to upgrade Information Rights Management configuration |
Следующие настройки реестра IRM находятся в разделе HKCU\Software\Microsoft\Office\12.0\Common\DRM\AutoExpandDLs. Соответствующие настройки групповой политики находятся в разделе Конфигурация пользователя\система Microsoft Office 2007\Manage Restricted Permissions.
| Имя записи реестра | Тип записи реестра | Значения для записи реестра | Настройки групповой политики |
|---|---|---|---|
AutoExpandDLsEnable |
DWORD |
0 = не расширять списки рассылки в диалоговом окне "Разрешения" 1 = расширять списки рассылки в диалоговом окне "Разрешения" |
Always expand groups in Office when restricting permissions for documents |
Следующая настройка реестра IRM находится в разделе HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers. Соответствующей настройки групповой политики нет.
| Имя записи реестра | Тип записи реестра | Значения для записи реестра | Описание |
|---|---|---|---|
LicenseServers |
Key/Hive. Содержит значения DWORD с именем сервера лицензий. |
Устанавливает URL-адрес сервера. Если значение DWORD — 1, Office не предлагает получить лицензию (она просто получается). Если значение нулевое или в реестре нет записи для этого сервера, Office запрашивает лицензию. |
Пример: если ‘http://foo/_wmcs/licensing = 1’ является значением этой настройки, пользователь, который попытается запросить лицензию с этого сервера для открытия документа с настроенными правами, не получит запроса лицензии. |
Следующая настройка реестра IRM находится в разделе HKCU\Software\Microsoft\Office\12.0\Common\Security. Соответствующей настройки групповой политики нет.
| Имя записи реестра | Тип записи реестра | Значения для записи реестра | Описание |
|---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = метаданные файла шифруются. 0 = метаданные сохраняются в простом текстовом формате. Значение по умолчанию равно 0. |
Укажите, нужно ли шифровать все метаданные, которые хранятся в файле с настроенными правами. |
Для открытых форматов файлов Office XML (например, docx, xlsx, pptx и т.д.)Выпуск 2007 системы Office пользователи могут выбирать шифрование метаданных Office, которые хранятся в файле с настроенными правами. Пользователи могут шифровать все метаданные Office, включая гиперссылки, или оставить содержимое без шифрования, чтобы к нему можно было подключаться из других приложений.
При желании можно зашифровать метаданные, настроив раздел реестра. Развернув настройку реестра, можно установить для пользователей параметры по умолчанию.
Кроме того, эта настройка реестра не определяет, шифруется ли хранилище метаданных клиента, не относящегося к Office (например, созданного SharePoint).
Эти настройки шифрования не относятся к Microsoft Office 2003 и прочим форматам файла предыдущих версий. Выпуск 2007 системы Office обращается с ранними форматами так же, как Microsoft Office 2003.