配置信息权限管理
更新时间: 2007年4月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
用户可以使用信息权限管理 (IRM) 在 2007 Microsoft Office system 中限制对内容文档和电子邮件的权限。您可以在组织中配置 IRM 选项,以便对 IRM 内容的文档属性进行加密,指定在没有支持 IRM 的软件的用户接收具有 IRM 权限的内容时出现的下层文本等等。
.gif "Note") 注意 |
|---|
| 本主题适用于 Office 管理员。若要了解如何使用 IRM 应用对 Office 文档或电子邮件的权限,请参阅 Office Online 上的信息权限管理 。 |
配置 IRM 组策略设置
您可以锁定很多设置以使用 Office 组策略模板 (Office12.adm) 自定义 IRM。您还可以使用 Office 自定义工具 (OCT) 来配置默认设置,这样可以使用户能够更改设置。OCT 设置位于 OCT 的“修改用户设置”页上相应的位置。此外,有一些 IRM 配置选项只能通过使用注册表项设置来配置。有关所有 IRM 注册表项的列表,请参阅配置 IRM 注册表项选项。
可从 Microsoft 下载中心上的 2007 Office system 管理模板 (ADM) 中下载 Outlook 模板和其他 ADM 文件。请访问自定义 2007 Office system 以详细了解如何使用 OCT。
在组策略中配置 IRM 选项
在组策略中,加载 2007 Office system模板 (Office12.adm) 并转到“用户配置”\“管理模板”\“Microsoft Office System 2007”\“管理受限权限”。
双击要配置的选项。例如,要防止用户在所有 Office 应用程序中应用 IRM 权限,请双击“禁用信息权限管理用户界面”。
单击“启用”。
单击“确定”。
下表列出了可以在组策略中以及可以通过使用 OCT 配置的 IRM 设置。
| IRM 选项 | 说明 |
|---|---|
禁止用户更改权限管理内容的权限 |
用户可以使用已包含 IRM 权限的内容,但不能将 IRM 权限应用于新的内容,也不能编辑对文档的权限。 |
向无法查看权限管理电子邮件的用户显示的消息 |
指定与权限管理电子邮件一起发送的封装程序电子邮件的文本。 |
文档模板位置的 URL,在应用程序找不到权限管理文档时显示 |
提供指向文件夹的路径,该文件夹包含的文档、电子表格和演示文稿文件将用作未加密封装程序的模板(用于包含早期版本 Office 用户收到的权限管理内容的文件)。 |
禁用信息权限管理用户界面 |
在所有 Office 应用程序的用户界面中禁用与权限管理相关的所有选项。 |
附加权限请求 URL |
指定用户可从中获取有关访问 IRM 内容的详细信息的位置。 |
允许使用 Office 早期版本的用户通过浏览器进行浏览... |
允许无 Microsoft Office System 2007 的用户使用 Windows Internet Explorer 权限管理加载项来查看权限管理内容。 |
始终需要用户进行连接 |
打开权限管理 Office 文档的用户必须连接到 Internet 或局域网,以通过 Passport 或 RMS 确认他们拥有有效的 IRM 许可。 |
限制文档权限时始终在 Office 中展开组 |
用户在“权限”对话框中选择组名以将权限应用于文档时,将自动展开组名以显示该组的所有成员。 |
限制文档权限时始终不允许用户指定组 |
当用户在“权限”对话框中选择组时返回一个错误:“您无法将内容发布到通讯组列表。只能为单独用户指定电子邮件地址”。 |
查询一个组扩展条目的 Active Directory 超时时间 |
指定展开组时查询 Active Directory 条目的超时值。 |
禁用具有受限权限内容的 Microsoft Passport 服务 |
用户无法打开由 Passport 身份验证帐户创建的内容。 |
指定权限策略路径 |
在“权限”对话框中显示在指定文件夹中找到的权限策略模板。 |
不允许用户升级信息权限管理配置 |
不允许用户运行修复来更改他们的信息权限管理配置。 |
您还可以配置 Office Outlook 2007 的一些 IRM 设置。有关为 Outlook 配置 IRM 的详细信息,请参阅在 Outlook 2007 中配置信息权限管理。
配置 IRM 注册表项选项
可以通过组策略、注册表项或组策略与注册表项来配置 IRM 设置。下表列出了 2007 Office system中的 IRM 注册表项设置,如果可以使用组策略锁定该设置,则还列出了相应的组策略设置。
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\12.0\Common\DRM 中。组策略设置位于“用户配置”\“Microsoft Office System 2007”\“管理受限权限”中。
| 注册表项的名称 | 注册表项类型 | 注册表项的值 | 组策略设置或说明 |
|---|---|---|---|
禁用 |
DWORD |
0 = 此注册表项不影响任何功能 1 = 删除所有 IRM 功能;IRM 处于禁用状态 |
禁用信息权限管理用户界面 |
DisableCreation |
DWORD |
1(或不为零)= 企业安装行为方式就像标准安装行为方式一样。用户无法创建 IRM 内容或编辑对文档的权限,但他们可以使用以前创建的内容。 0 = 当包括在产品 SKU 中时允许创建 IRM 内容 |
禁止用户更改权限管理内容的权限 |
IncludeHTML |
DWORD |
1 = 包括 HTML 流 0 = 不包括 HTML 流 |
允许早期版本的 Office 用户用浏览器来读取 |
DownlevelText |
字符串 |
封装程序电子邮件中显示的文本。默认文本为:如果您没有运行支持带有受限权限邮件的电子邮件应用程序(例如 Microsoft Office 2003 或 2007),可通过下载“Microsoft Internet Explorer 权限管理加载项”来查看此邮件,下载地址为:https://www.microsoft.com/downloads/details.aspx?familyid=b48f920b-5af0-46b4-994f-2f62582cc86f&displaylang=zh-cn。 超链接中的 CLID 已本地化为发件人的默认语言。 |
向无法查看权限管理电子邮件的用户显示的消息 |
DownlevelTemplatePath |
字符串 |
存储模板的目录的路径。模板是 Office 文档模板。 |
文档模板位置的 URL,在应用程序找不到权限管理文档时显示 |
CorpCertificationServer |
字符串 |
企业证书服务器的 URL |
没有相应的组策略设置。通常 AD 用于指定 RMS 服务器。此设置允许您针对证书重写在 Active Directory 中指定的 Windows RMS 的位置。 |
AdminTemplatePath |
字符串 |
RMS 模板路径。所有模板都应存储在同一个目录中。路径可以包含环境变量:例如“%userprofile%\application data”。 |
指定权限策略路径 |
DisablePassportCertification |
DWORD |
0 = 此注册表项不影响任何功能 1 = 禁用 Passport |
禁用具有受限权限内容的 Microsoft Passport 服务 |
RequestPermissionURL |
字符串 |
可以授予附加权限的人员的 URL。例如:mailto:someone@contoso.com。 |
附加权限请求 URL |
RequireConnection |
DWORD |
1 = 此框默认情况下处于选中状态,用户需要连接。 0 = 此框处于清除状态,用户不需要连接。 |
始终要求用户进行连接以验证权限 |
RequestPermission |
DWORD |
1 = 此框处于选中状态。 0 = 此框处于清除状态。 |
没有相应的组策略设置。此注册表项将切换“用户可以从此处请求附加权限:”复选框的默认值。 |
DoNotAcquireDRMLicenseOnSync |
DWORD |
1 = Outlook 将不会在邮件同步过程中尝试获取许可。 0 = 自动获取许可。 |
没有相应的组策略设置。Outlook 下载 IRM 电子邮件时,将自动获取查看 IRM 内容的许可。 |
NeverAllowDLs |
DWORD |
0 = 允许通讯组列表。 1 = 禁用通讯组列表。 |
限制文档权限时始终不允许用户指定组 |
CloudCertificationServer |
字符串 |
自定义群认证服务器 URL |
没有相应的组策略设置。 |
CloudLicenseServer |
字符串 |
授权服务器的 URL |
没有相应的组策略设置。 |
DRMPostSetupURL |
字符串 |
RMS 客户端的 URL |
用户可从中下载 Windows Rights Management Services 客户端的 URL。 |
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
没有相应的组策略设置。权限对话框使用 Outlook 验证在该对话框中输入的电子邮件地址。这将导致在限制权限时启动一个 Outlook 实例。请使用此注册表项禁用该选项。 |
DisableRepair |
DWORD |
0 = 修复工作正常。 1 = 修复处于禁用状态。 |
不允许用户升级信息权限管理配置 |
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\12.0\Common\DRM\AutoExpandDLs 中。相应的组策略设置在“用户配置”\“Microsoft Office System 2007”\“管理受限权限”中。
| 注册表项的名称 | 注册表项类型 | 注册表项的值 | 组策略设置 |
|---|---|---|---|
AutoExpandDLsEnable |
DWORD |
0 = 在“权限”对话框中不展开通讯组列表 1 = 在“权限”对话框中展开通讯组列表 |
限制文档权限时始终在 Office 中展开组 |
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers 中。没有任何相应的组策略设置。
| 注册表项的名称 | 注册表项类型 | 注册表项的值 | 说明 |
|---|---|---|---|
LicenseServers |
键/配置单元。包含具有许可证服务器名称的 DWORD 值。 |
设置为服务器 URL。如果此 DWORD 的值为 1,则 Office 将不提示获取许可证(它将直接获得许可证)。 如果值为零或者没有该服务器的注册表项,则 Office 将提示获取许可证。 |
示例:如果“http://foo/_wmcs/licensing = 1”是此设置的值,则用户在尝试从该服务器获取许可证以打开管理权限文档时,将不会提示获取许可证。 |
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\12.0\Common\Security 中。没有任何相应的组策略设置。
| 注册表项的名称 | 注册表项类型 | 注册表项的值 | 说明 |
|---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = 对文件元数据进行加密。 0 = 元数据是以明文形式存储的。默认值为 0。 |
指定是否对存储在权限管理文件内的所有元数据进行加密。 |
对于 2007 Office system Office Open XML 文件格式(例如 docx、xlsx、pptx 等等),用户可以决定对存储在权限管理文件内的 Office 元数据进行加密。用户可以对所有 Office 元数据(包括超链接引用)进行加密,或者使内容处于未加密状态以使其他应用程序能够访问数据。
用户可以选择通过设置注册表项来对元数据进行加密。您可以通过部署注册表设置为用户设置默认选项。没有用于对部分元数据进行加密的选项:要么对所有元数据进行加密,要么不对任何元数据进行加密。
此外,此注册表设置未确定是否对非 Office 客户端元数据存储(如 SharePoint 创建的存储)进行加密。
此加密选项不适用于 Microsoft Office 2003 或其他以前的文件格式。2007 Office system处理较早格式的方式与处理 Microsoft Office 2003 的方式相同。