Руководство по планированию установки Microsoft Office 2010 для ИТ-специалистов Корпорация Майкрософт Опубликовано: сентябрь 2010 г. Автор: рабочая группа серверов и Office System (Microsoft) (itspdocs@microsoft.com) Аннотация В данной книге содержатся сведения о развертывании Microsoft Office 2010. Книга предназначена для ИТ-инженеров, сотрудников службы поддержки и развертывания, администраторов почтовых систем, консультантов и других ИТ-специалистов. Содержимое этой книги является копией материалов технической библиотеки комплекта ресурсов Office 2010 (http://go.microsoft.com/fwlink/?linkid=181453&clcid=0x419) на дату публикации. Более новые сведения см. в технической библиотеке в Интернете. 1 Этот документ предоставляется на условиях "как есть". Сведения и мнения, представленные в данном документе, включая URL-адреса и другие ссылки на веб-сайты в Интернете, могут изменяться без уведомления. Риск, связанный с использованием таких сведений, лежит на вас. Некоторые примеры приведены только в качестве иллюстрации и являются вымышленными. Никакой связи с реально существующими объектами не предполагается и не подразумевается. Данный документ не дает вам каких-либо юридических прав на любую интеллектуальную собственность в любых продуктах Майкрософт. Разрешается копирование и использование данного документа для внутренних справочных целей. © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены. Microsoft, Access, Active Directory, Backstage, Excel, Groove, Hotmail, InfoPath, Internet Explorer, Outlook, PerformancePoint, PowerPoint, SharePoint, Silverlight, Windows, Windows Live, Windows Mobile, Windows PowerShell, Windows Server и Windows Vista являются охраняемыми товарными знаками корпорации Майкрософт в США и других странах. Сведения, приведенные в данном документе, отражают позицию корпорации Майкрософт по обсуждаемым вопросам на момент публикации документа. Поскольку корпорация Майкрософт обязана реагировать на изменяющиеся рыночные условия, этот документ не следует рассматривать как обязательство со стороны корпорации Майкрософт. Кроме того, корпорация Майкрософт не может гарантировать точность каких-либо сведений, представленных после даты публикации данного документа. 2 Содержание Получение справки ................................................................................................................................ 20 Планирование развертывания Office 2010 .......................................................................................... 21 Обзор архитектуры установки для Office 2010 .................................................................................... 22 Процесс установки ............................................................................................................................. 23 Последовательность установки для событий .............................................................................. 23 запуск программы установки; ..................................................................................................... 24 Проверка наличия необходимых компонентов ......................................................................... 24 Чтение XML-данных..................................................................................................................... 25 Построение дерева компонентов ............................................................................................... 27 Создание локального источника установки на компьютере пользователя ............................ 27 Установка системы Office ............................................................................................................ 28 Применение файла настройки ................................................................................................... 28 Применение обновлений программного обеспечения ............................................................. 29 Включение в точку установки нескольких продуктов ................................................................... 29 Интерактивный запуск программы установки .............................................................................. 30 Не зависящая от языка конструкция ................................................................................................. 30 Языковые версии Office .................................................................................................................. 31 Языковые пакеты для Office ........................................................................................................... 32 Эффективная модель настройки ...................................................................................................... 32 Использование центра развертывания Office .............................................................................. 33 Настройка новой установки ............................................................................................................ 33 Внесение изменений в существующую установку системы Office ............................................. 34 Использование файла Config.xml для настройки системы Office ............................................... 34 Использование параметров командной строки программы установки ...................................... 35 Использование групповой политики .............................................................................................. 36 Обязательный локальный источник установки ............................................................................ 36 Создание локального источника установки на компьютерах пользователей ........................ 37 Самостоятельное развертывание локального источника установки ...................................... 38 Консолидированный процесс обновления.................................................................................... 39 Применение обновлений Office во время новых установок .................................................... 39 Обновление существующих установок Office ........................................................................... 40 См. также ............................................................................................................................................. 40 Планирование стратегии переноса и обновления Office 2010 .......................................................... 41 Планирование обновления Office 2010 ................................................................................................ 42 Обзор процесса обновления ............................................................................................................. 42 Сравнение вариантов обновления и понятие переноса данных ................................................... 43 3 Перенос документов........................................................................................................................... 44 См. также ............................................................................................................................................. 45 Перенос разделов реестра данных пользователя в Office 2010 ....................................................... 46 Параметры Microsoft Office 2003 ....................................................................................................... 46 Параметры Microsoft Office 2007 ....................................................................................................... 54 Выбор варианта развертывания Office 2010 ....................................................................................... 61 Параметры размещения .................................................................................................................... 61 Общая сетевая папка ..................................................................................................................... 61 Скрипты запуска групповой политики ........................................................................................... 61 Управляемое развертывание......................................................................................................... 62 Виртуализация приложений ........................................................................................................... 62 Виртуализация представления ...................................................................................................... 62 Планирование конфигураций настольных компьютеров для Office 2010 ........................................ 63 Планирование для OneNote 2010......................................................................................................... 65 Общие сведения о планировании ..................................................................................................... 65 Оценка требований организации ...................................................................................................... 66 Требования к системе для OneNote 2010 ..................................................................................... 66 Обновление до OneNote 2010 ........................................................................................................ 66 Вопросы безопасности ................................................................................................................... 66 Требования для многоязычной поддержки................................................................................... 66 Обзор изменений в OneNote 2010 .................................................................................................... 67 Проверка вопросов, связанных с переносом ................................................................................... 67 Планирование обновлений OneNote ................................................................................................ 67 Обновление с OneNote 2007 .......................................................................................................... 67 Обновление с OneNote 2003 .......................................................................................................... 68 Планирование для OneNote Web App .............................................................................................. 68 Требования к системе для Office Web Apps ................................................................................. 69 Ресурсы, посвященные развертыванию и использованию Office Web Apps ............................ 70 Рекомендации по использованию приложения OneNote с продуктами SharePoint ..................... 70 Отключение параметра "Требовать извлечения" ........................................................................ 70 Управление версиями ..................................................................................................................... 71 Смешанные среды с Microsoft Office OneNote 2007 .................................................................... 71 См. также ............................................................................................................................................. 72 Планирование для Outlook 2010........................................................................................................... 73 Обзор планирования для Outlook 2010 ................................................................................................ 74 Определение потребностей организации ........................................................................................ 74 Обновление или первая установка ............................................................................................... 74 Перенос данных .............................................................................................................................. 74 Удаленные и мобильные пользователи ....................................................................................... 75 4 Требования к нескольким языкам .................................................................................................. 75 Клиентская платформа и платформа сервера обмена сообщениями....................................... 76 Выбор времени и способа установки Outlook .................................................................................. 76 Настройка параметров и профилей Outlook ................................................................................. 76 Настройка подписки и других функций общего доступа.............................................................. 77 Использование Outlook со службой терминалов ......................................................................... 78 Зависимости объектов данных совместной работы .................................................................... 78 Автоархивация ................................................................................................................................ 78 Файлы данных Outlook (PST) ......................................................................................................... 79 Политики хранения ......................................................................................................................... 79 Вопросы безопасности и конфиденциальности .............................................................................. 79 Центр управления безопасностью для Office ............................................................................... 79 Ограничение вирусов и нежелательной почты для пользователей .......................................... 80 Настройка возможностей шифрования ......................................................................................... 81 Ограничение разрешений на сообщения электронной почты .................................................... 81 Outlook 2010 и протоколы и серверы электронной почты ........................................................... 81 Обновление более ранней версии Outlook ...................................................................................... 82 Обновление с включенным режимом кэширования Exchange ................................................... 82 Дополнительные вопросы, решаемые во время планирования обновления ............................... 83 Обновление других программ почты и планирования .................................................................... 83 См. также ............................................................................................................................................. 84 Определение времени установки Outlook 2010 .................................................................................. 85 Установка Outlook вместе с Office..................................................................................................... 85 Установка Outlook перед Office ......................................................................................................... 85 Преимущества установки Outlook перед Office ............................................................................ 86 Недостатки установки Outlook перед Office .................................................................................. 86 Установка Outlook после Office ......................................................................................................... 86 Преимущества установки Outlook после Office ............................................................................ 87 Недостатки установки Outlook после Office .................................................................................. 87 Поэтапное развертывание Outlook ................................................................................................... 87 Преимущества поэтапного развертывания .................................................................................. 88 Недостатки поэтапного развертывания ........................................................................................ 88 См. также ............................................................................................................................................. 88 Определение компонентов, которые требуется включить или настроить, в Outlook 2010 ............. 89 Автоархивация .................................................................................................................................... 90 Карточки контактов ............................................................................................................................. 91 Карточка контакта ........................................................................................................................... 92 Вкладка контакта ............................................................................................................................. 93 Представление беседы ...................................................................................................................... 97 Синхронизация с глобальным списком адресов ............................................................................. 99 Коррекции контактов Outlook во время синхронизации с глобальным списком адресов ........ 99 5 Настройка синхронизации с глобальным списком адресов ...................................................... 100 Интернет-календари......................................................................................................................... 103 Мгновенный поиск ............................................................................................................................ 104 Область навигации ........................................................................................................................... 106 Outlook Social Connector ................................................................................................................... 109 Папки поиска ..................................................................................................................................... 113 Надстройка SharePoint Server "Коллега" ........................................................................................ 115 См. также ........................................................................................................................................... 117 Планирование развертывания режима кэширования данных Exchange в Outlook 2010 .............. 118 Обзор ................................................................................................................................................. 118 Выбор между режимом кэширования данных Exchange и интерактивным режимом ................ 119 Когда использовать режим кэширования данных Exchange ..................................................... 119 Когда использовать интерактивный режим ................................................................................ 120 Особые требования ...................................................................................................................... 121 Повышение эффективности работы с Outlook при применении режима кэширования данных Exchange ........................................................................................................................................ 122 Функции Outlook, снижающие эффективность режима кэширования данных Exchange .......... 123 Вопросы синхронизации, дискового пространства и производительности ................................. 125 Больше нет необходимости вручную синхронизировать учетные записи Exchange ............. 125 Преимущества доступа с помощью автономной адресной книги ............................................ 125 Рекомендации по использованию автономной папки (OST-файл) .......................................... 126 Управление вопросами производительности ............................................................................. 127 Управление общим доступом к папкам Outlook ......................................................................... 127 Вопросы использования общей папки "Избранное" .................................................................. 128 Управление поведением Outlook для обнаруженных медленных подключений........................ 128 Параметры промежуточного развертывания режима кэширования данных Exchange ............. 129 Обновление текущих пользователей режима кэширования данных Exchange до Outlook 2010 ........................................................................................................................................................ 132 Развертывание режима кэширования данных Exchange для пользователей, у которых уже есть OST-файлы .................................................................................................................................... 133 Настройка режима кэширования данных Exchange ...................................................................... 133 Дополнительные ресурсы ................................................................................................................ 135 Рекомендации по планированию режима кэширования Exchange в среде с узлами сеансов удаленных рабочих столов (технический документ) ..................................................................... 137 Планирование автоматической настройки учетных записей пользователей в Outlook 2010 ....... 138 Обзор ................................................................................................................................................. 138 Использование функции автоматического обнаружения с DNS .................................................. 139 Сведения о протоколе автообнаружения ................................................................................... 140 Статический XML и XML веб-службы .......................................................................................... 140 Локальное использование автообнаружения ............................................................................. 140 Предшествование параметров XML ............................................................................................ 141 6 Сводка транзакций автоматического обнаружения ...................................................................... 141 Схема XML автоматического обнаружения ................................................................................... 142 Запрос POST, отправленный Outlook.......................................................................................... 142 Схема XML-ответа ........................................................................................................................ 142 Образец XML-ответов ................................................................................................................... 148 Поставщик услуг Интернета со службами POP3 и SMTP ...................................................... 148 Поставщик услуг Интернета со службами POP3, IMAP и SMTP с предпочтением POP3 для клиентов .................................................................................................................................. 149 Перенаправление XML к расположению стандартного XML-файла .................................... 151 Обнаружение стандартных настроек.............................................................................................. 151 Параметры IMAP ........................................................................................................................... 152 Параметры POP3 .......................................................................................................................... 154 Параметры SMTP .......................................................................................................................... 158 См. также ........................................................................................................................................... 161 Планирование обеспечения соответствия и архивации в Outlook 2010 ......................................... 162 Планирование развертывания политики хранения ....................................................................... 162 Определение политик хранения .................................................................................................. 163 Определение типов создаваемых политик ................................................................................. 163 Личные теги ................................................................................................................................ 164 Списки рассылки ........................................................................................................................ 165 Период прогрева политики хранения и обучение ...................................................................... 165 Обучение пользователей применению политике хранения ...................................................... 166 Пользователи с юридическим удержанием или пользователи, в отношении которых ведется расследование ........................................................................................................................... 167 Восстановление удаленных элементов .................................................................................. 168 Копирование при записи ........................................................................................................... 168 Использование удержания хранения ....................................................................................... 168 Использование удержания в связи с судебным процессом .................................................. 169 Планирование развертывания личного архива ............................................................................. 169 Определение архивных политик.................................................................................................. 170 Обучение пользователей использованию личного архива ....................................................... 170 PST-файлы данных Outlook в организации ................................................................................ 171 См. также ........................................................................................................................................... 174 Планирование обеспечения безопасности и защиты в Outlook 2010 ............................................. 175 Выбор параметров безопасности и защиты для Outlook 2010 ........................................................ 176 Обзор ................................................................................................................................................. 176 Выбор способа применения параметров безопасности в Outlook ............................................... 177 Выбор параметров безопасности с использованием групповой политики .............................. 178 Специальные среды .................................................................................................................. 178 Взаимодействие параметров безопасности администратора и пользователя в Outlook 2010 180 Работа с COM-надстройками Outlook ............................................................................................. 181 7 Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2010 ............. 182 Настройка поведения элементов управления ActiveX в одноразовых формах ...................... 182 Выбор параметров безопасности пользовательских форм ...................................................... 183 Настройка программных параметров в Outlook 2010.................................................................... 184 Дополнительные параметры ........................................................................................................... 186 См. также ........................................................................................................................................... 186 Планирование параметров вложений в Outlook 2010 ...................................................................... 187 Обзор ................................................................................................................................................. 187 Добавление или удаление расширений имен файлов 1-го уровня ............................................. 188 Добавление или удаление расширений имен файлов 2-го уровня ............................................. 189 Настройка дополнительных ограничений на вложения файлов .................................................. 190 См. также ........................................................................................................................................... 192 Планирование шифрования сообщений электронной почты в Outlook 2010................................. 193 Функции обмена зашифрованными сообщениями в Outlook 2010 .............................................. 193 Реализация обмена зашифрованными сообщениями в Outlook 2010 ..................................... 194 Цифровые удостоверения: комбинация открытых и закрытых ключей и сертификатов ....... 194 Управление цифровыми удостоверениями для шифрования ..................................................... 195 Место сохранения цифрового удостоверения ........................................................................... 196 Предоставление цифровых удостоверений другим пользователям ....................................... 196 Импорт цифровых удостоверений ............................................................................................... 197 Продление ключей и сертификатов ............................................................................................ 197 Метки безопасности и подписанные уведомления ....................................................................... 197 Настройка параметров шифрования в Outlook 2010 .................................................................... 198 Настройка дополнительных параметров шифрования................................................................. 205 Параметры политики безопасности для общего шифрования ................................................. 205 См. также ........................................................................................................................................... 206 Планирование ограничения нежелательной почты в Outlook 2010 ................................................ 207 Обзор ................................................................................................................................................. 207 Поддерживаемые типы учетных записей ....................................................................................... 208 Поддержка в Exchange Server ......................................................................................................... 209 Настройка пользовательского интерфейса фильтра нежелательной почты ............................. 209 Развертывание списков фильтра нежелательной электронной почты по умолчанию .............. 211 Настройка автоматической загрузки рисунков .............................................................................. 212 См. также ........................................................................................................................................... 213 Plan for spelling checker settings in Office 2010 (на английском языке) ............................................ 214 Office 2010 general spelling checker settings.................................................................................... 214 InfoPath 2010 spelling checker settings ............................................................................................. 216 OneNote 2010 spelling checker settings ............................................................................................ 217 Outlook 2010 spelling checker settings .............................................................................................. 218 PowerPoint 2010 spelling checker settings ........................................................................................ 219 8 Publisher 2010 spelling checker settings ........................................................................................... 219 Word 2010 spelling checker settings ................................................................................................. 220 См. также ........................................................................................................................................... 221 Планирование SharePoint Workspace 2010 ....................................................................................... 222 Планирование топологии SharePoint Workspace 2010 .................................................................. 222 SharePoint Workspace только как клиент SharePoint ................................................................. 225 SharePoint Workspace как клиент одноранговой совместной работы ...................................... 226 SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint .... 228 Сервер Groove Server и SharePoint Workspace как управляемая система для совместной работы ........................................................................................................................................ 229 Планирование параметров сети для SharePoint Workspace 2010 ............................................... 231 Планирование загрузки .................................................................................................................... 233 Планирование безопасности ........................................................................................................... 234 Планирование проверки подлинности............................................................................................ 234 Планирование альтернативных сопоставлений доступа ............................................................. 235 Планирование мониторинга и регулирования производительности ........................................... 235 Планирование действий и параметров для списков и библиотек SharePoint ............................ 236 Планирование поиска ...................................................................................................................... 236 Планирование резервного копирования и восстановления SharePoint Workspace ................... 237 См. также ........................................................................................................................................... 238 Планирование настроек и параметров для Visio 2010 ..................................................................... 239 Параметры приложений ................................................................................................................... 239 Фоны, границы и галереи заголовков .......................................................................................... 239 Пользовательские темы ............................................................................................................ 240 Шаблоны схем .................................................................................................................................. 241 Настройка быстрых фигур ............................................................................................................... 242 Надежные документы....................................................................................................................... 242 SharePoint и репозиторий ................................................................................................................ 243 См. также ........................................................................................................................................... 243 Планирование обеспечения безопасности для Office 2010 ............................................................. 244 Обзор безопасности системы Office 2010 ......................................................................................... 246 Ключевой компонент — многоуровневая защита.......................................................................... 247 Четырехуровневый подход .......................................................................................................... 247 Дополнительные меры противодействия для усиления безопасности ................................... 249 Меры противодействия, связанные с целостностью данных ................................................ 249 Меры противодействия, связанные с конфиденциальностью .............................................. 250 Принятие пользователями эффективных решений, связанных с безопасностью ..................... 251 Предоставление администраторам полного доступа ................................................................... 254 Перенос параметров безопасности и конфиденциальности из Office 2003 ............................... 256 9 Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office ............................ 261 Риски, связанные с безопасностью данных ................................................................................... 261 Угрозы для приложений, обеспечивающих эффективную работу рабочих станций ................. 262 Угрозы, связанные с активным содержимым ............................................................................. 263 Угрозы, связанные с неавторизованным доступом ................................................................... 263 Угрозы, связанные с внешним содержимым .............................................................................. 264 Угрозы, связанные с браузером .................................................................................................. 265 Угрозы, связанные с эксплойтами нулевого дня ........................................................................ 265 Меры противодействия по умолчанию в Office 2010 .................................................................... 265 Параметры элемента управления ActiveX.................................................................................. 266 Параметры надстроек ................................................................................................................... 267 Параметры криптографии и шифрования .................................................................................. 267 Параметры предотвращения выполнения данных .................................................................... 267 Параметры цифровых подписей ................................................................................................. 267 Параметры внешнего контента .................................................................................................... 268 Параметры блокировки файлов .................................................................................................. 268 Параметры проверки файлов Office ............................................................................................ 268 Параметры сложности паролей ................................................................................................... 268 Параметры конфиденциальности ............................................................................................... 269 Параметры защищенного просмотра .......................................................................................... 269 Параметры надежных документов .............................................................................................. 270 Параметры надежных расположений ......................................................................................... 270 Параметры надежных издателей ................................................................................................ 270 Параметры макросов VBA ............................................................................................................ 270 См. также ........................................................................................................................................... 271 Планирование параметров надежных расположений в Office 2010 ............................................... 272 Планирование параметров надежных расположений .................................................................. 272 Надежные расположения Access 2010 ....................................................................................... 273 Надежные расположения Excel 2010 .......................................................................................... 273 Надежные расположения PowerPoint 2010 ................................................................................ 274 Надежные расположения Word 2010 .......................................................................................... 274 Реализация надежных расположений ............................................................................................ 274 Определение настраиваемых приложений ................................................................................ 275 Определение папок, используемых в качестве надежных расположений .............................. 275 использовать переменные среды для определения надежных расположений; ................. 276 Определение веб-папок в качестве надежных расположений .............................................. 277 Определение параметров общего доступа к папкам и их безопасности ................................. 277 Определение ограничений для надежных расположений ........................................................ 278 Отключить надежные расположения .............................................................................................. 279 См. также ........................................................................................................................................... 280 Планирование параметров надежных издателей в Office 2010 ...................................................... 281 10 Планирование параметров надежных издателей ......................................................................... 281 Получение сертификатов от известных издателей ....................................................................... 282 Определение сертификатов, добавляемых в список надежных издателей ............................... 282 Связанные параметры надежных издателей ................................................................................ 284 См. также ........................................................................................................................................... 284 Планирование параметров безопасности для надстроек в Office 2010 ......................................... 285 Планирование параметров надстроек ........................................................................................... 285 Отключение надстроек для отдельных приложений..................................................................... 286 Обязательное подписание надстроек приложений надежным издателем ................................. 286 Отключение уведомлений для неподписанных надстроек .......................................................... 287 См. также ........................................................................................................................................... 287 Планирование параметров безопасности для элементов управления ActiveX для Office 2010 .. 288 Планирование параметров для элементов управления ActiveX ................................................. 288 Отключение элементов управления ActiveX .................................................................................. 289 Изменение способа инициализации элементов управления ActiveX .......................................... 291 Связанные параметры элементов управления ActiveX ................................................................ 293 См. также ........................................................................................................................................... 294 Планирование параметров безопасности для макросов VBA в Office 2010 .................................. 295 Планирование параметров VBA и макросов VBA ......................................................................... 295 Изменение параметров предупреждений системы безопасности для макросов VBA .............. 296 Отключение VBA............................................................................................................................... 297 Изменение поведения макросов VBA в приложениях, автоматически запускаемых программным способом ................................................................................................................ 297 Изменение способа проверки зашифрованных макросов VBA на наличие вирусов ................. 298 Связанные параметры макросов VBA ............................................................................................ 299 См. также ........................................................................................................................................... 300 Планирование категоризации объектов COM для Office 2010 ........................................................ 301 Сведения о категоризации объектов COM .................................................................................... 301 Настройка параметров безопасности групповой политики для категоризации объектов COM 301 Добавление категоризации объектов COM в реестр .................................................................... 302 Планирование параметров режима защищенного просмотра в Office 2010 .................................. 304 Планирование параметров режима защищенного просмотра ..................................................... 304 Поведение режима защищенного просмотра по умолчанию ................................................... 305 Изменение поведения режима защищенного просмотра ......................................................... 305 Запрет на открытие файлов в режиме защищенного просмотра ................................................ 306 Принудительное открытие файлов в режиме защищенного просмотра ..................................... 307 Использование компонента блокировки файлов для принудительного открытия файлов в режиме защищенного просмотра ............................................................................................. 307 11 Использование параметров проверки файлов Office для принудительного открытия файлов в режиме защищенного просмотра ............................................................................................. 307 Добавление файлов в список небезопасных файлов ................................................................... 308 См. также ........................................................................................................................................... 308 Планирование параметров проверки файлов Office для Office 2010 ............................................. 309 Планирование параметров проверки файлов Office ..................................................................... 309 Отключение проверки файлов Office .............................................................................................. 311 Изменение поведения не прошедших проверку документов ....................................................... 311 Отключение отчетов по проверке файлов Office........................................................................... 312 См. также ........................................................................................................................................... 313 Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и центра развертывания Office ....................................................................................................................... 314 Планирование параметров длины и сложности паролей ............................................................. 314 Принудительное применение параметров длины и сложности паролей .................................... 315 Определение требований к минимальной длине пароля ......................................................... 316 Определение уровня правил для паролей ................................................................................. 316 Определение значения времени ожидания для домена ........................................................... 317 Связанные параметры длины и сложности паролей .................................................................... 318 См. также ........................................................................................................................................... 318 Планирование параметров криптографии и шифрования в Office 2010 ........................................ 319 Криптография и шифрование в Office 2010 ................................................................................... 319 Параметры криптографии и шифрования ...................................................................................... 320 Совместимость с предыдущими версиями Office ......................................................................... 323 См. также ........................................................................................................................................... 324 Планирование параметров цифровых подписей в Office 2010 ....................................................... 325 Цифровая подпись ........................................................................................................................... 325 Какие функции выполняют цифровые подписи ......................................................................... 325 Требования к цифровым подписям ............................................................................................. 326 Цифровые подписи в бизнес-среде ............................................................................................ 326 Проблемы совместимости ............................................................................................................ 327 Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации ............... 327 Сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI ...................... 328 Коммерческие сертификаты ........................................................................................................ 328 Использование цифровых подписей .............................................................................................. 329 Цифровые подписи с отметками времени .................................................................................. 330 Настройка цифровых подписей ................................................................................................... 331 Планирование параметров конфиденциальности для Office 2010 ................................................. 333 Планирование параметров конфиденциальности ........................................................................ 333 Отмена вывода диалогового окна "Добро пожаловать в Microsoft Office 2010" ......................... 335 12 Настройка параметров конфиденциальности ............................................................................... 335 Связанные параметры конфиденциальности ................................................................................ 337 См. также ........................................................................................................................................... 337 Планирование параметров блокировки файлов для Office 2010 .................................................... 338 Блокировка типов форматов файлов с помощью групповой политики или центра развертывания Office .................................................................................................................... 338 Рекомендации по планированию для настройки параметров блокировки файлов ................ 338 Параметры групповой политики и центра развертывания Office ................................................. 339 Порядок доступа к параметрам ................................................................................................... 339 О параметре "Задать поведение заблокированных файлов по умолчанию" .......................... 340 Параметры Excel 2010 .................................................................................................................. 341 Параметры PowerPoint 2010 ........................................................................................................ 374 Параметры Word 2010 .................................................................................................................. 384 См. также ........................................................................................................................................... 408 Планирование управления правами на доступ к данным в Office 2010 ......................................... 409 Обзор IRM ......................................................................................................................................... 409 Как IRM работает в Office 2010 ....................................................................................................... 410 Использование IRM с сервером RMS ......................................................................................... 410 Использование IRM без локального сервера RMS .................................................................... 412 Настройка IRM для Office 2010........................................................................................................ 412 Настройка доступа к серверу RMS .............................................................................................. 412 Установка клиентского программного обеспечения управления правами .............................. 413 Настройка и развертывание политик разрешений .................................................................... 413 Права на управление разрешениями ...................................................................................... 413 Предварительно определенные группы разрешений ............................................................ 415 Дополнительные разрешения .................................................................................................. 416 Развертывание шаблонов политики прав ............................................................................... 416 Настройка параметров службы управления правами на доступ к данным в Office 2010 .......... 416 Параметры службы управления доступа к данным Office 2010 ............................................... 417 Параметры раздела реестра службы управления доступом к данным Office 2010 ............... 418 Настройка параметров службы управления правами на доступ к данным в Outlook 2010 ....... 421 Параметры службы управления доступа к данным Outlook 2010 ............................................ 421 Параметры раздела реестра службы управления доступом к данным Outlook 2010 ............ 422 См. также ........................................................................................................................................... 423 Security articles for end users (Office 2010) ......................................................................................... 424 Overview............................................................................................................................................. 424 New Security Features ....................................................................................................................... 424 Outlook ............................................................................................................................................... 425 Access, Excel, PowerPoint, Visio, and Word ..................................................................................... 425 Access only ........................................................................................................................................ 426 13 Планирование групповой политики для Office 2010 ......................................................................... 428 Обзор групповой политики для Office 2010 ....................................................................................... 429 Локальная групповая политика и групповая политика на основе Active Directory ...................... 429 Обработка групповой политики ....................................................................................................... 430 Наследование политики ............................................................................................................ 431 Синхронная и асинхронная обработка .................................................................................... 432 Функция оптимизации быстрого входа .................................................................................... 432 Обработка медленных подключений ....................................................................................... 432 Интервал обновления групповой политики ............................................................................. 432 Запуск обновления групповой политики .................................................................................. 433 Изменение того, как групповая политика обрабатывает объекты групповой политики ............ 433 Изменение порядка связей .......................................................................................................... 434 Блокировка наследования............................................................................................................ 434 Принудительное применение связи объекта групповой политики ........................................... 434 Отключение связи объекта групповой политики ........................................................................ 434 Использование фильтрования ..................................................................................................... 434 Использование фильтров инструментария управления Windows ........................................... 435 Использование обработки замыкания на себя .......................................................................... 436 Административные шаблоны .......................................................................................................... 436 Файлы административных шаблонов ...................................................................................... 436 Файлы административных шаблонов системы Office 2010 ................................................... 438 Истинные политики и предпочтения пользователя ...................................................................... 439 Истинные политики ....................................................................................................................... 439 Предпочтения ................................................................................................................................ 440 Средства управления групповыми политиками ............................................................................. 440 Консоль управления групповой политикой ................................................................................. 440 Редактор объектов групповой политики ..................................................................................... 441 Системные требования для консоли управления групповой политикой и редактора объектов групповой политики. .................................................................................................................. 442 Центр развертывания Office и групповая политика....................................................................... 443 См. также ........................................................................................................................................... 443 Планирование групповой политики в Office 2010 ............................................................................. 444 Планирование групповой политики ................................................................................................ 444 Определение бизнес-целей и требований безопасности. ............................................................ 445 Оценка текущей среды. ................................................................................................................... 445 Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности. ........................................................................................................................................................ 446 Определение области применения ................................................................................................ 447 Тестирование и промежуточные шаги развертывания групповой политики .............................. 448 Вовлечение ключевых лиц .............................................................................................................. 449 См. также ........................................................................................................................................... 449 14 FAQ: Group Policy (Office 2010) ........................................................................................................... 450 Q: When should I use Group Policy instead of Office Configuration Tool (OCT)? ............................ 450 Q: Where can I find a list of Group Policies that are available for Office 2010? ................................ 450 Q: What is the difference between the two workbooks Office2010GroupPolicyAndOCTSettings_Reference.xls and Office2010GroupPolicyAndOCTSettings.xls? ................................................................................ 450 Q: What is the difference between .adm, .admx, and .adml administrative template files? .............. 451 Q: Do the Office 2010 .admx template files work with the 2007 Office system? Or must I download the 2007 Office system template files separately? ......................................................................... 451 Q: How do I install the Office 2010 Group Policy templates? ............................................................ 451 Q: How can I map a specific UI element in Office 2010 to a Group Policy setting? .......................... 452 Q: How can I use Group Policy to disable commands and menu items? .......................................... 452 Q. Why does Microsoft not support the use of Group Policy Software Installation to deploy Office 2010? .............................................................................................................................................. 453 Q. What are the advantages and limitations of deploying Office 2010 using Group Policy computer startup scripts? ................................................................................................................................ 453 Downloadable book: Group Policy for Office 2010 ................................................................................ 455 Планирование многоязычного развертывания Office 2010.............................................................. 456 Планирование установки ................................................................................................................. 456 Общее представление о логике программы установки для языка пользовательского интерфейса оболочки................................................................................................................ 457 Планирование настроек ................................................................................................................... 459 Методы настройки языковых параметров .................................................................................. 459 Разрешение пользователям просматривать новые языковые параметры при первом открытии ..................................................................................................................................... 460 Настройка зависящих от языка параметров, связанных с пользовательскими региональными параметрами .............................................................................................................................. 460 Планирование средств проверки правописания ........................................................................... 461 Определение метода для развертывания средств проверки правописания .......................... 462 Настройка установки набора средств проверки правописания Office 2010 ............................ 463 Синтаксис ................................................................................................................................... 463 Атрибуты OptionState ................................................................................................................ 463 Пример файла Config.xml для набора средств проверки правописания Office 2010 .......... 464 Предварительное кэширование локального источника установки для набора средств проверки правописания Office 2010 ......................................................................................... 466 См. также ........................................................................................................................................... 467 Планирование виртуализации Office 2010 ........................................................................................ 468 Обзор виртуализации при развертывании Office 2010 ..................................................................... 469 Сведения о виртуализации.............................................................................................................. 469 Типы и технологии виртуализации ................................................................................................. 470 15 Настольный компьютер, представление, приложение .............................................................. 470 Виртуализация приложений ..................................................................................................... 471 Методы доставки виртуализации .................................................................................................... 472 Методы доставки ........................................................................................................................... 472 Изменения и обновления виртуализации ...................................................................................... 474 Улучшения SoftGrid ....................................................................................................................... 474 Клиентская архитектура виртуализации приложений ................................................................... 475 См. также ........................................................................................................................................... 476 Методы развертывания Office 2010 с использованием виртуализации приложений ................... 477 Методы развертывания ................................................................................................................... 477 См. также ........................................................................................................................................... 477 Пакеты приложений Application Virtualization .................................................................................... 478 Application Virtualization Sequencer .................................................................................................. 478 Пакеты виртуализации приложений ............................................................................................... 478 Создание пакета Office 2010 ........................................................................................................... 479 Создание зависимостей приложения с помощью формирования динамических пакетов ........ 491 См. также ........................................................................................................................................... 492 Планирование служб удаленных рабочих столов (служб терминалов) ......................................... 493 Планирование развертывания Office 2010 в среде служб удаленных рабочих столов (служб терминалов) ...................................................................................................................................... 494 Планирование среды служб удаленных рабочих столов ............................................................. 494 Оценка требований лицензирования .......................................................................................... 494 Оценка требований к программному обеспечению ................................................................... 494 Требования к серверу ................................................................................................................... 495 Требования к клиенту ................................................................................................................... 496 Оценка рекомендаций .................................................................................................................. 496 Единственная точка отказа ....................................................................................................... 496 Настройка сервера узла сеансов удаленных рабочих столов ..................................................... 497 Отключенные и отсутствующие компоненты .............................................................................. 497 Настройка установки Office 2010 .................................................................................................... 498 Установка Office 2010 на компьютере, использующем службы удаленных рабочих столов .... 498 Ручная установка Office 2010 ....................................................................................................... 499 Автоматическая установка Office 2010 .................................................................................... 500 См. также ........................................................................................................................................... 501 Настройки программы установки Office 2010, связанные со службами удаленных рабочих столов (службами терминалов) ................................................................................................................... 502 Установка при первом вызове ......................................................................................................... 502 Мерцание экрана .............................................................................................................................. 502 TSAbsent и TSDisabled ..................................................................................................................... 502 16 См. также ........................................................................................................................................... 503 Планирование читаемости в Office 2010 ........................................................................................... 504 Улучшение видимости нарушений .................................................................................................. 504 Управление отчетами проверки ...................................................................................................... 504 Параметры групповой политики для Excel 2010 ........................................................................ 505 Параметры групповой политики для PowerPoint 2010............................................................... 507 Параметры групповой политики для Word 2010 ........................................................................ 510 См. также ........................................................................................................................................... 515 Планирование многопользовательской активации Office 2010 ....................................................... 516 См. также ........................................................................................................................................... 517 Обзор многопользовательской активации Office 2010 ..................................................................... 518 Обзор корпоративного лицензирования ......................................................................................... 518 Изменения в политике активации ................................................................................................ 519 Почему необходима активация .................................................................................................... 519 Пиратство....................................................................................................................................... 520 Технологии активации Office ........................................................................................................... 520 Служба управления ключами (KMS) ........................................................................................... 520 KMS-клиенты Office 2010 .......................................................................................................... 521 Ключ многократной активации (MAK) .......................................................................................... 521 Ключи продуктов с корпоративным лицензированием .............................................................. 522 См. также ........................................................................................................................................... 522 Планирование многопользовательской активации Office 2010 ....................................................... 524 Планирование развертывания ........................................................................................................ 524 Обзор методов активации ............................................................................................................... 525 Службу управления ключами (KMS) ........................................................................................... 526 Публикация службы KMS .......................................................................................................... 527 Обнаружение клиента KMS ...................................................................................................... 527 Пороги активации KMS .............................................................................................................. 528 Возобновление активации KMS ............................................................................................... 528 Использование KMS для компьютеров с Windows и клиентами Office 2010 ....................... 529 Ключ многократной активации (MAK) .......................................................................................... 529 Архитектура MAK ....................................................................................................................... 530 VAMT 2.0 ..................................................................................................................................... 530 Планирование развертывания KMS ............................................................................................... 530 Планирование конфигурации сервера DNS ............................................................................... 531 Активация узла KMS ..................................................................................................................... 531 Подготовка клиентов KMS ............................................................................................................ 532 Активация в роли обычного пользователя ................................................................................. 532 Планирование активации MAK ........................................................................................................ 532 Прокси-сервер с проверкой подлинности не поддерживается ................................................. 532 17 См. также ........................................................................................................................................... 533 Планирование независимой MAK-активации Office 2010 ................................................................ 534 Обзор независимой активации MAK ............................................................................................... 534 Пример: офис удаленных продаж с изолированными переносными компьютерами............. 534 Пример: малая организация с настольными компьютерами, подключенными к Интернету, и изолированными переносными компьютерами ...................................................................... 535 Планирование и оценка среды и конфигурации Office 2010 ........................................................ 536 Получение ключей продукта ............................................................................................................ 537 Действия для выполнения независимой активации MAK ............................................................. 537 Действия для управления средством управления активацией корпоративных лицензий VAMT ........................................................................................................................................................ 537 См. также ........................................................................................................................................... 537 Планирование прокси-активации MAK для Office 2010 .................................................................... 539 Обзор прокси-активации MAK ......................................................................................................... 539 Пример: средняя организация с настольными компьютерами, подключенными к Интернету, и изолированными переносными компьютерами ...................................................................... 539 Планирование и оценка среды и конфигурации Office 2010 ........................................................ 540 Получение ключей продукта ............................................................................................................ 541 Действия для выполнения прокси-активации MAK ....................................................................... 541 Действия для управления средством управления активацией корпоративных лицензий VAMT ........................................................................................................................................................ 542 См. также ........................................................................................................................................... 542 Планирование KMS-активации Office 2010 ....................................................................................... 543 Обзор активации с помощью службы управления ключами ........................................................ 543 Пример: средняя или крупная организация с настольными и переносными компьютерами, подключенными к корпоративной сети. ................................................................................... 543 Планирование и оценка среды и конфигурации Office 2010 ........................................................ 544 Получение ключей продукта ............................................................................................................ 545 Установка KMS на главный компьютер .......................................................................................... 545 Действия для активации с помощью службы управления ключами ............................................ 545 Действия для управления средством управления активацией корпоративных лицензий VAMT ........................................................................................................................................................ 545 См. также ........................................................................................................................................... 546 Сценарий: основная сеть — KMS- или MAK-активация Office 2010 ............................................... 547 Основная сеть с 50 или более компьютерами ............................................................................... 547 Рекомендации ................................................................................................................................... 547 См. также ........................................................................................................................................... 548 Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010 ......................................... 549 Защищенная сеть ............................................................................................................................. 549 18 Рекомендации ................................................................................................................................... 550 См. также ........................................................................................................................................... 550 Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 551 Мобильные и отключенные сети ..................................................................................................... 551 Рекомендации ................................................................................................................................... 552 См. также ........................................................................................................................................... 552 Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010 ............................................................................................................................................................ 554 Лаборатория тестирования или разработки .................................................................................. 554 Рекомендации ................................................................................................................................... 555 См. также ........................................................................................................................................... 555 Вопросы и ответы. Многопользовательская активация Office 2010 ............................................... 556 Обзор часто задаваемых вопросов по многопользовательской активации ............................... 556 Вопросы и ответы. Служба управления ключами (KMS) .............................................................. 561 Вопросы и ответы. Ключ многократной активации (MAK) ............................................................ 566 Вопросы и ответы. Средство управления активацией корпоративных лицензий (VAMT) ........ 569 Вопросы и ответы. Ключи продуктов .............................................................................................. 571 См. также ........................................................................................................................................... 573 19 Получение справки Точность сведений, приведенных в данной книге, тщательно проверялась. Содержимое данного файла соответствует материалам, доступным в библиотеке Office System на веб-сайте TechNet. В случае возникновения проблем ознакомьтесь с обновлениями по адресу: http://technet.microsoft.com/ru-ru/office/bb267342 Если вы не можете найти ответ на веб-сайте, отправьте сообщение электронной почты в рабочую группу серверов и Office System (Microsoft) по адресу: itspdocs@microsoft.com Если ваш вопрос касается продуктов Microsoft Office, а не содержимого данной книги, выполните поиск по материалам центра справки и поддержки и статьям базы знаний Майкрософт, расположенным по адресу: http://support.microsoft.com/?ln=ru-ru 20 Планирование развертывания Office 2010 Этот раздел содержит обзор архитектуры программы установки Office 2010 и сведения о планировании конфигураций, безопасности и о приложениях, в том числе о Microsoft Access 2010, Microsoft Excel 2010 и Microsoft Outlook 2010. Кроме того, он также содержит сведения о планировании перехода на новую версию и обновлении предыдущих версий Office, а также о планировании виртуализации и службах удаленных рабочих столов. Содержание Статья Описание Обзор архитектуры установки для Office 2010 Обзор архитектуры программы установки для Office 2010, последовательности событий установки, не зависящего от языка пакета, развертывания нескольких языков, методов настройки, необходимых источников установки и процессе обновления. Планирование стратегии переноса и обновления Office 2010 Сведения о планировании установки Microsoft Office 2010 и переносе пользовательских данных (например, параметров и документов пользователей и компьютеров, созданных в предыдущих версиях Microsoft Office). Планирование конфигураций настольных компьютеров для Office 2010 Важные сведения и указания, которые необходимо учесть перед развертыванием Office 2010. Планирование многопользовательской активации Office 2010 Обзор корпоративного лицензирования корпорации Майкрософт и технологий активации Office для Office 2010, а также описание процедуры планирования многопользовательской активации. 21 Обзор архитектуры установки для Office 2010 Основная архитектура программы установки пакета Microsoft Office 2010 совпадает с архитектурой, представленной в системе Microsoft Office 2007. Новая программа установки позволяет оптимизировать все аспекты установки и обслуживания Office. Программа установки унифицирует и систематизирует весь процесс установки, включая настройку пользовательской конфигурации Office, одновременное развертывание нескольких языков и применение обновлений ПО к новым установкам. В этой статье приведены краткие сведения об архитектуре программы установки, последовательности событий установки, о не зависящей от языка конструкции и о развертывании на нескольких языках, а также о методах настройки, обязательном локальном источнике установки и процессе обновления. Изменения программы установки помогают администраторам более эффективно осуществлять управление следующими процессами: процессом развертывания, чтобы установка пакета Office осуществлялась наиболее эффективным для имеющейся среды способом; процессом настройки Office, чтобы создать на компьютерах пользователей оптимальную конфигурацию; процессом развертывания языковых возможностей для пользователей, расположенных в офисах по всему миру; процессом развертывания Office, чтобы будущее обслуживание системы, включая обновление программного обеспечения, проходило с максимально возможной эффективностью. В версиях Office до Office 2007 каждый продукт Office (например, Microsoft Office стандартный) содержался в одном файле установщика Windows (MSI-файле). MSI-файл — это реляционная база данных, которую установщик Windows использует для установки продукта. Как и в Office 2007, продукты Office 2010 состоят из нескольких MSI-файлов, и ни один MSI-файл не представляет собой полный продукт. Не зависящий от языка основной пакет (MSI-файл) объединяется с одним или несколькими языковыми пакетами для установки всего продукта. Любой продукт Office (например, Microsoft Office профессиональный плюс 2010) состоит из основного пакета и одного или нескольких языковых пакетов. Программа установки собирает отдельные пакеты, управляет непрерывной установкой и обрабатывает задачи по настройке и обслуживанию во время и после установки Office на компьютеры пользователей. В Office 2010 представлены встроенные 64-разрядные выпуски продуктов Office, поддерживающие 64-разрядные процессоры, которые становятся привычными для всех систем, начиная от серверов и до настольных компьютеров. Office 2010 также предоставляет поддержку для 32-разрядных приложений Office 2010, выполняющихся в 64-разрядных операционных системах Windows с помощью средства Windows-32-on-Windows-64 (WOW64). WOW64 представляет собой эмулятор x86, обеспечивающий свободное выполнение 32-разрядных приложений Windows в 64-разрядной системе Windows. Office 2010 позволяет пользователям 22 продолжать использование сторонних надстроек Office, которые в основном являются 32разрядными, так как 64-разрядные версии многих надстроек еще не разработаны. Поддержка 32разрядной версии Office 2010 в 64-разрядных операционных системах предотвращает блокировку 32-разрядных надстроек. Дополнительные сведения о 64-разрядных версиях Office 2010 см. в разделе 64-разрядные выпуски Office 2010. Содержание: Процесс установки Не зависящая от языка конструкция Эффективная модель настройки Обязательный локальный источник установки Консолидированный процесс обновления Процесс установки Обычно установка Office в организации начинается с создания точки сетевой установки — простой задачи копирования всех файлов и папок с компакт-диска Office в общую сетевую папку. В точке сетевой установки находится как минимум не зависящий от языка основной пакет и языковые папки для одного языка. Эта точка служит исходным пунктом для всех пользователей, устанавливающих Office. В простейшем варианте продукт Office развертывается из сетевой точки установки с одной версией языка и одним набором настроек для всех пользователей. В этой ситуации мастер установки работает автоматически. При развертывании нескольких продуктов или языков можно их добавить в одну и ту же точку установки и точно указать продукты и языки, которые включаются в установку. В любом случае при сборке нужного набора MSI и выполнении установки мастер настройки выполняет одинаковые задачи. Примечание. Office 2010 не позволяет создавать административные точки установки путем запуска мастера установки с помощью параметра командной строки /a, извлекающего файлы источника из архива (это было возможно в версиях до Office 2007). Теперь установка всегда выполняется из архива источника. Содержание: Последовательность установки для событий Включение в точку установки нескольких продуктов Интерактивный запуск программы установки Последовательность установки для событий Основная последовательность событий программы установки приводится далее и возникает в том же порядке в каждом сценарии развертывания: 23 1. запуск программы установки; 2. проверка наличия необходимых компонентов; 3. чтение XML-данных; 4. построение дерева компонентов; 5. создание локального источника установки на компьютере пользователя; 6. установка системы Office; 7. применение файла настройки; 8. применение обновлений программного обеспечения. запуск программы установки; Setup.exe — это программа, которая запускает все механизмы процесса установки. Она находится в корневом каталоге сетевой точки установки. Программа запускается один раз для каждого устанавливаемого продукта Office. После запуска она находит в сетевой точке установки устанавливаемый продукт Office. Если в точке установки больше одного продукта Office, программа предлагает пользователю выбрать требуемый продукт. Процесс можно обойти и выбрать продукт Office, указав Setup.exe файл Config.xml в папке основного продукта. Например, чтобы установить Microsoft Office профессиональный плюс 2010, можно использовать следующую строку: \\server\share\Office14ProPlus\setup.exe /config \\server\share\Office14ProPlus\Pro.WW\Config.xml где Office14ProPlus — корневой каталог точки сетевой установки. В версиях Office до Office 2007 программа Setup.exe вызывала установщик Windows (Msiexec.exe) для выполнения установки Office. Хотя при установке по-прежнему используется установщик Windows, программа установки обходит исполняемую программу установщика Windows. Командную строку Msiexec.exe невозможно использовать для установки Office 2010 или Office 2007. Примечание. Эта версия Setup.exe распознает лишь несколько параметров командной строки. Дополнительные сведения см. в статье Setup command-line options for Office 2010 (на английском языке). Проверка наличия необходимых компонентов При запуске программа установки проверяет наличие условий для установки, в том числе минимальные требования к операционной системе и административные разрешения. Чтобы установить Office, пользователю необходимо иметь права администратора на локальном компьютере или воспользоваться специальными средствами (например, Microsoft Systems Management Server (SMS) или Microsoft System Center Configuration Manager 2007) для запуска установки с проверкой прав. 24 При запуске программы Setup.exe из папки x64 программа установки определяет наличие установленных 32-разрядных приложений Office. Если обнаружены 32-разрядные приложения Office, то отображается сообщение об ошибке, связанное с необходимостью удаления всех 32разрядных приложений Office для продолжения установки 64-разрядного выпуска Office 2010. В сообщении перечисляются все установленные 32-разрядные приложения Office. Если программа установки не обнаруживает 32-разрядных приложений Office, то выполняется установка 64разрядного выпуска Office 2010. При запуске программы Setup.exe из папки x32 программа установки определяет наличие установленных 64-разрядных приложений Office 2010. Если программа установки обнаруживает 64-разрядную версию Office 2010, то отображается сообщение об ошибке, а установка блокируется. Если программа установки не обнаруживает 64-разрядную версию Office 2010, то выполняется установка 32-разрядной версии Office 2010. Дополнительные сведения см. в разделе Процесс установки 64-разрядной версии документа 64-разрядные выпуски Office 2010. Примечание Для установки системы Office на компьютерах, где пользователям не предоставлены административные разрешения, необходимо запустить программу установки в контексте, обеспечивающем такие разрешения. После установки Office пользователи, не имеющие разрешений администратора, смогут запускать все установленные функции, в том числе установку возможностей по запросу. Например, в организациях, где пользователи не имеют прав администратора на своих компьютерах, администраторы могут использовать следующие способы предоставления соответствующих прав для программы установки Office. Чтение XML-данных Программа установки собирает информацию о каждом пакете в точке установки, определяет настройки установки по умолчанию и включает выбранные пользовательские настройки. Вся информация собирается из нескольких источников в виде данных XML: Файлы Setup.xml и Package.xml для каждого пакета. Все папки в точке установки (как папка не зависящего от языка основного пакета, так и папки для всех языковых пакетов) содержат файлы Setup.xml и Package.xml (например, ProPlusWW.xml для Microsoft Office профессиональный плюс 2010). Используя информацию из этих файлов, программа установки выполняет следующие действия: Идентифицирует продукт и доступные для него языки. Соотносит не зависящие и зависящие от языка элементы и создает полноценные компоненты. Строит сводное дерево компонентов. Создает набор необходимых для установки файлов MSI. Примечание. 25 Файлы Setup.xml и Package.xml подписаны и не поддаются изменению. В случае изменения установку выполнить не удастся. Файл настроек программы установки. Сначала в процессе установки программа установки определяет, был ли задан файл настроек программы установки (MSP-файл) для устанавливаемого продукта. Файл настроек программы установки (MSP-файл) создается, когда администраторы используют центр развертывания Office (OCT) для настройки установки Office 2010. Центр развертывания Office является частью программы установки и рекомендуется для выполнения большинства настроек. Файл настроек содержит все изменения, заданные для установки, включая настройки, управляющие процессом установки. Центр развертывания Office доступен в корпоративных версиях Office 2010. Чтобы определить, является ли установленная версия Office 2010 корпоративной, откройте установочный диск Office 2010 и проверьте наличие на нем папки Admin. Если папка Admin существует, то версия является корпоративной. В противном случае диск содержит розничную версию. Если файл настройки не указан в командной строке или файле Config.xml, то программа установки ищет файл, относящийся к данному продукту, в папке Updates точки установки. Папка Updates по умолчанию добавляется в точку установки. В большинстве случаев в ней также рекомендуется сохранять как MSP-файл настройки программы установки, так и обновления программ для всех продуктов Office, включенных для точки установки. Важно Если планируется развертывание нескольких файлов настройки установки (MSP-файлы), в папку Updates для начальной установки можно поместить только один MSP-файл для каждого устанавливаемого продукта Office 2010. В папке Updates поддерживается размещение только одного MSP-файла (исправления) для каждого устанавливаемого продукта Office 2010. Остальные MSP-файлы продукта можно развертывать только после завершения установки Office. При развертывании нескольких продуктов Office 2010 (например, Microsoft Office профессиональный плюс 2010 и Microsoft Visio профессиональный 2010) в папку Updates можно включить один MSP-файл настройки для Office профессиональный плюс 2010 и один MSP-файл настройки для Visio профессиональный 2010. В первую очередь развертываются MSP-файлы настройки, помещенные в папку Updates. В связи с этим в этой папке должны размещаться все настройки установки, которые не могут быть изменены после установки (например, место установки). Если при развертывании начальной установки Office 2010 требуется также развернуть обновления программ Office 2010 (например, пакеты обновления и исправления), они могут устанавливаться в рамках процесса установки. Обновления для продуктов Office 2010 можно поместить в папку Updates. Если в папке Updates одновременно располагаются MSP-файлы настройки установки и обновления продуктов, программа 26 устанавливает только MSP-файл с начальной установкой. Обновления продуктов устанавливаются по завершении установки. Программа установки использует прикрепленные к файлу настройки данные XML для определения метода установки (например, для определения необходимости выполнения установки без вывода сообщений или для выбора компонентов, отображаемых в дереве). Настройки из этого файла заменяют настройки по умолчанию в файлах Setup.xml и Package.xml. Дополнительные сведения о файлах настроек программы установки см. в статье Эффективная модель настройки. Сведения об использовании центра развертывания Office см. в разделе Office Customization Tool in Office 2010 (на английском языке). Файл Config.xml В каждой папке основного продукта есть файл Config.xml, передающий программе установки команду установить продукт. Файл Config.xml можно изменить и таким образом настроить процесс установки. Например, с помощью элементов Config.xml можно выбрать продукты или языки для включения в установку. Настройки файла Config.xml имеют приоритет перед настройками файла настройки и настройками по умолчанию из файлов Setup.xml и Package.xml. Более подробные сведения о том, когда и как нужно настраивать файл Config.xml, см. в статье Config.xml file in Office 2010 (на английском языке). Построение дерева компонентов Программа установки использует информацию из файлов XML для создания единого дерева компонентов, в которое входят все доступные приложения и функции продукта. Пользователь просматривает дерево и выбирает программы и компоненты для установки на компьютеры с помощью средств настройки Office. Если разрешить пользователям запускать программу установки в интерактивном режиме, они смогут просматривать дерево вместе с внесенными изменениями из интерфейса пользователя программы установки. Более подробную информацию о выборе устанавливаемых компонентов Office см. в разделе Настройка состояний установки компонентов Office 2010. Создание локального источника установки на компьютере пользователя Программа установки вызывает программу под названием Office Source Engine (Ose.exe) для создания локального источника установки (LIS) на компьютере пользователя. При создании локального источника программа установки копирует файлы из точки установки в скрытую папку на компьютере пользователя. По умолчанию выбрана папка \MSOCache\All Users в корневом каталоге диска, куда устанавливается Office. Затем программа установки с помощью установщика Windows устанавливает Office из этого локального источника. У локального источника установки есть несколько важных преимуществ: После установки Office программа установки может восстанавливать, переустанавливать или добавлять компоненты Office из локального источника. 27 Снижается вероятность того, что при установке обновлений система предложит вставить компакт-диск или подключиться к сети, поскольку существует локальный источник установки. Локальный источник установки можно развернуть заранее и запустить установку Office на компьютеры пользователей позднее, чтобы снизить нагрузку на сеть. В этом случае можно даже запустить программу установки из локального источника и дать пользователям возможность установить Office без подключения к сети. Дополнительные сведения о локальном источнике установки см. в разделе Обязательный локальный источник установки. Установка системы Office В начале установки программа установки проверяет наличие необходимого количества свободного места на диске и зависимости компонентов, а затем вызывает установщик Windows для установки нужного набора пакетов (MSI-файлов) из локального источника на компьютер пользователя. Программа установки использует ранее описанные данные XML для выбора MSIфайлов. Индикатор хода выполнения, который программа установки отображает в ходе установки, относится ко всему процессу, включая применение пользовательских настроек и обновлений ПО из папки Updates. Примечание. Хотя программа установки устанавливает Office с помощью установщика Windows, сам по себе он не в состоянии установить отдельные MSI-файлы и зависит от программы установки. Применение файла настройки В процессе установки программа установки применяет к пользовательской конфигурации параметры файла настройки. При этом выполняются те же действия, что и при использовании преобразования установщика Windows (MST-файла) из предыдущих версий Office: выбранная настройка становится пользовательской конфигурацией по умолчанию. Помимо данных XML, изменяющих процесс установки, в файле настройки могут содержаться профили Microsoft Outlook и другие изменения пользовательской конфигурации. Файлы настройки относятся к конкретным продуктам, программа установки применяет только те из них, которые относятся к конкретному устанавливаемому продукту. Примечание. Если планируется развернуть несколько MSP-файлов исправлений программы установки, в папку Updates для начальной установки можно поместить только один MSPфайл настройки программы установки для каждого продукта Office 2010. Остальные MSP-файлы настройки установки развертываются по завершении установки Office. Как упоминалось выше, в папке Updates поддерживается только одно исправление настройки для каждого продукта. MSP-файл настройки, помещенный в папку Updates, 28 будет развернут первым, поэтому он должен содержать все настройки программы установки, которые нельзя будет изменить после установки, например место установки. Если для разных групп пользователей создаются разные конфигурации, рекомендуется сохранять их в другой папке, а затем выбирать нужный файл с помощью параметра командной строки /adminfile. Пример. \\server\share\Office14\setup.exe /adminfile \\server\share\Office14\MyUpdates\Engineering.msp где Office14 — корневой каталог точки сетевой установки. Примечание. При предварительном кэшировании локального источника установки программа установки копирует папку Updates из сетевой точки установки в локальную. Это позволяет включить пользовательские настройки в ситуации автономной установки. Только в этом случае программа установки предварительно кэширует файлы настройки на локальный компьютер перед установкой. Дополнительные сведения см. в разделе Предварительное кэширование локального источника установки для Office 2010. Применение обновлений программного обеспечения В конце установки программа установки заходит в папку Updates точки установки и проверяет наличие обновлений ПО (файлов MSP). В отличие от файлов настройки программы установки, создаваемых с помощью программы настройки Office, обновления предоставляются корпорацией Майкрософт с целью улучшения продукта. При развертывании Office для пользователей и необходимости параллельного развертывания набора обновлений ПО программа установки может применить обновления в процессе первоначальной установки. Они учитываются при вычислении необходимого дискового пространства и в индикаторе хода выполнения. С точки зрения пользователя весь процесс является непрерывным. В данном случае первоначальная точка установки сохраняется и позволяет новым пользователям получить самые последние версии продукта. Примечание. Папка Updates используется только для первоначальных или новых установок Office 2010. Папка Updates может содержать один MSP-файл исправления настроек программы установки, а также несколько пакетов обновлений и исправлений только в формате MSP. Дополнительные сведения о процессе обновления ПО см. в статье Консолидированный процесс обновления. Включение в точку установки нескольких продуктов Если в точке установки больше одного продукта Office 2010, программа установки ищет файлы Config.xml и Setup.xml во всех папках и подпапках, а затем предлагает пользователю выбрать продукт для установки. 29 При установке нескольких продуктов Office удобнее сохранять их все в одной точке установки, а затем настраивать программу установки для установки конкретного продукта Office на компьютерах пользователей. Примечание. При копировании нескольких продуктов Office в одну точку установки система, возможно, предложит перезаписать общие файлы программы установки. Поскольку у всех продуктов Office 2010файлы одинаковые, повторное копирование дублирующихся папок не требуется. Такая эффективная конструкция экономит место и обеспечивает единообразие при создании и копировании сетевых точек установки. Интерактивный запуск программы установки Можно выбрать установку без вывода сообщений, чтобы пользователи практически не замечали хода процесса. В то же время, если разрешить пользователям просматривать пользовательский интерфейс программы установки, то сделанный выбор изменит многие аспекты поведения программы. Пример: Если в точке установки присутствует несколько продуктов Office, и пользователь запускает Setup.exe без параметров командной строки, то программа предложит выбрать продукты для установки. Если в точке установки доступно несколько языков, программа установки по умолчанию выберет язык Office, соответствующий настройке Windows пользовательского компьютера. Однако если пользователь выберет параметр Выборочная установка, то на вкладке Языки интерфейса программы установки можно будет выбрать любой из языков сетевой точки установки. Если ввести ключ продукта и принять условия лицензионного соглашения корпорации Майкрософт в файле настройки или Config.xml, в процессе установки пользователь не увидит этих экранов. Скрытые или заблокированные в файле настройки компоненты не отображаются в дереве компонентов. Дополнительные сведения о настройке параметров отображения см. в разделе Настройка программы установки перед установкой выпуска 2010 системы Office. Не зависящая от языка конструкция В Office 2010 и Office 2007 продукт Office (например, Office профессиональный плюс 2010) имеет следующую структуру: не зависящие от языка элементы собраны в одном основном пакете (MSI-файле); языковые элементы распределены по отдельным пакетам для каждого приложения. Такая структура файлов существенно упрощает международное развертывание. Базовая установка продукта Office состоит из основного пакета плюс один язык. Добавление других 30 языков осуществляется так же просто, как копирование дополнительных языковых пакетов для одного языка к точке сетевой установки — все они работают с основным продуктом совершенно одинаково. Все языковые версии Office, включая версию на английском языке, разворачиваются одинаково. Программа установки объединяет не зависящий от языка основной пакет с языковыми пакетами в процессе непрерывной установки. Важно! Сейчас выпуск Office 2010 содержит только английские, китайские, французские, немецкие, японские, испанские и русские языковые источники. Дополнительные языки будут предоставлены в будущих выпусках. Содержание: Языковые версии Office Языковые пакеты для Office Языковые версии Office Каждый продукт Office должен содержать по крайней мере один набор пакетов, зависящих от языка. Развертывание только основного пакета (файла MSI) невозможно. Языковые пакеты расположены на компакт-диске продукта Office и в сетевой точке установки. Имя папки каждого пакета содержит метку языка в в форме ll-cc (например, en-us для английского языка США), которая определяет язык. Папки также содержат наборы файлов установки. Например, продукт Office профессиональный плюс 2010 распределен в файлах этих папок. Элементы, не зависящие от языка, — например, Winword.exe (исполняемый файл для Microsoft Word 2010 — находятся в основном пакете ProPlus.WW. Другие элементы (например, справка и пользовательский интерфейс Word 2010) находятся в соответствующих языковых пакетах для Word или для общих функций Office. Для создания функционально законченных компонентов необходимы оба типа элементов — как не зависящие, так и зависящие от языка. Файл Winword.exe сам по себе не представляет собой приложение Word, которое может использоваться любым пользователем. Аналогичным образом основной MSI-файл Office профессиональный плюс 2010 в папке ProPlus.WW не представляет собой полный продукт Office. Программа установки собирает все эти части целого продукта. Файлы Package.xml и Setup.xml в каждой папке содержат информацию, которую программа установки использует для сборки полных компонентов, построения консолидированного дерева компонентов и подбора корректного набора MSI-файлов для установки. После подбора XML-данных и необходимых MSIфайлов программа установки использует установщик Windows для установки Office на компьютерах пользователей. С точки зрения пользователя, этот процесс проходит автоматически и без проблем. В пакете Office 2010 нельзя развернуть отдельное приложение, отделив зависящую от языка папку, которая содержит индивидуальный MSI-файл (например, папку Word.en-us). Однако путем 31 настройки параметров установки можно определить, какие приложения и компоненты будут устанавливаться на компьютеры пользователей. Примечание. Ни один из MSI-файлов из точки установки Office не может быть установлен независимо с помощью установщика Windows или каким-либо иным методом. Кроме того, также не следует править или изменять XML-файлы с цифровыми подписями (Setup.xml и Package.xml). В пакете Office 2010 программа установки необходима для сбора файлов и установочной информации и для управления процессом установки. Языковые пакеты для Office Зависящие от языка пакеты используются в двух контекстах: в языковой версии продукта Office и в составе языкового пакета для одного языка (SLP) для этого языка. Например, во французскую версию Office профессиональный плюс 2010 входит зависящая от языка папка для каждого приложения и для общих функций Office профессиональный плюс 2010. Эти же папки включены во французский пакет SLP, который также содержит зависящие от языка папки для других продуктов Office 2010. Языковые пакеты могут быть развернуты как отдельные продукты, или их можно использовать для развертывания продукта Office на нескольких языках. Для языковых пакетов не требуется вводить никаких уникальных ключей продукта независимо от того, развертываются ли они по отдельности или при установке другого продукта. Примечание. В версиях Office до Office 2007 корпоративные клиенты добавляли языки путем развертывания пакетов многоязыкового интерфейса пользователя (MUI) после установки английской (США) версии Office. Локализованные версии, например японская версия Office Standard Edition, не были идентичны основной версии с японским пакетом MUI. В продукте Office 2007 это проектное решение было улучшено и сохранено в версии Office 2010. Эффективная модель настройки В версиях системы Microsoft Office до Office 2007 для настройки программы установки и управления системой Office после установки требовались некоторые служебные программы. В версии Office 2007 реализована последовательная и эффективная модель. В Office 2010 (как и в Office 2007) администраторы могут использовать программу установки для установки, настройки и управления системой Office. Для применения определенных настроек пользователя и компьютера администраторы могут воспользоваться групповой политикой (см. раздел Использование групповой политики). Содержание: Использование центра развертывания Office 32 Настройка новой установки Внесение изменений в существующую установку системы Office Использование файла Config.xml для настройки системы Office Использование параметров командной строки программы установки Использование групповой политики Использование центра развертывания Office Настройка установки системы Office выполняется с помощью центра развертывания Office, являющегося компонентом программы установки в корпоративных версиях клиента Office 2010. Чтобы открыть центр развертывания Office, запустите программу установки с параметром командной строки /admin. Используя центр развертывания Office, создайте файл настроек программы установки (MSP-файл) и поместите его в папку Updates точки сетевой установки. Как уже упоминалось ранее, папка Updates используется только при первоначальной или новой установке Office 2010, и в папке Updates поддерживается только одно исправление настроек. Файл настройки параметров установки является расширенной формой MSP-файла установщика Windows. Каждый файл настраивается для определенного продукта, например, Office профессиональный плюс 2010 или OneNote 2010. При запуске программы установки Office эта программа выполняет поиск файла настройки, соответствующего устанавливаемому продукту, в папке Updates. Когда программа устанавливает продукт, она применяет содержащиеся в этом файле настройки. Можно создать несколько файлов настройки параметров установки, чтобы выполнять настройку системы Office для различных групп пользователей. При запуске программы установки необходимо указать соответствующий файл настройки, который будет использоваться для каждой установки, с помощью параметра командной строки программы установки /adminfile или с помощью файла Config.xml (см. раздел Использование файла Config.xml для настройки системы Office). Подробные сведения об использовании центра развертывания Office для создания файла настройки параметров установки см. в разделе Office Customization Tool in Office 2010 (на английском языке). Настройка новой установки С помощью файла настройки параметров установки, созданного в центре развертывания Office, можно изменить способ первой установки системы Office на компьютер пользователя. Например, центр развертывания Office позволяет выполнить следующие настройки системы Office. Запустить программу установки без вмешательства пользователя (без вывода сообщений). Предварительно указать ключ продукта и принять лицензионное соглашение на использование программного обеспечения корпорации Майкрософт от имени пользователя. Указать место установки файлов системы Office на компьютере пользователя. 33 Определить необходимость удаления предыдущих версий системы Office перед установкой Office 2010. Определить, какие компоненты системы Office следует установить. Определить значения по умолчанию для большого числа пользовательских параметров, включая параметры Microsoft Outlook Примечание. Office 2010 не поддерживает параллельную установку 64-разрядного и 32-разрядного пакета Office, в том числе и на уровне приложений. Например, не поддерживается параллельная установка 32-разрядного пакета Office 2007 с 64-разрядным пакетом Office 2010 или 64-разрядного пакета Microsoft SharePoint Workspace 2010 и 32разрядного пакета Microsoft Excel 2010. Средства настройки Office 2010 нельзя использовать для изменения параллельных установок или настроек 64-разрядных и 32разрядных пакетов Office. Например, невозможно выполнить настроенную параллельную установку 64-разрядного пакета Microsoft Office профессиональный 2010 и 32-разрядного пакета Visio 2010 Single Image. Дополнительные сведения о 64-разрядном пакете Office 2010 см. в разделе 64-разрядные выпуски Office 2010. Сведения о настройке программы установки см. в разделе Настройка программы установки перед установкой выпуска 2010 системы Office. Внесение изменений в существующую установку системы Office Чтобы внести изменения в существующую установку системы Office, используйте средство, которое применялось для настройки исходной установки. Для этого запустите центр развертывания Office, чтобы обновить существующий файл настройки параметров установки или создать новый. Затем примените файл настройки к компьютеру пользователя точно так же, как обновление программного обеспечения, после чего существующая установка системы Office пользователя будет обновлена с использованием выполненных настроек. Это означает, что настройки, доступные при установке системы Office, также доступны и при внесении изменений в систему Office после установки. Примечание. Существует несколько настроек, которые программа установки применяет только при первой установке системы Office. К их числу относятся настройки, указывающие место установки системы Office на компьютере пользователя, определяющие ключ продукта и удаляющие предыдущие версии входящих в Office приложений. Центр развертывания Office определяет, какие пользовательские настройки применимы только к новым установкам. Использование файла Config.xml для настройки системы Office Файл Config.xml можно использовать для внесения изменений в установку системы Office. Можно настраивать большую часть параметров, которые настраиваются с помощью центра 34 развертывания Office, включая несколько дополнительных параметров, которые не доступны в центре развертывания Office. Использование файла Config.xml рекомендуется для выполнения следующих задач установки. Настройка программы установки для выполнения копирования локального источника установки на компьютер пользователя без установки системы Office. Выбор пути к точке сетевой установки. Выбор устанавливаемого продукта или языка. Изменение места, где программа установки ищет файлы настройки параметров установки и обновлений. Выполнение настроек в последнюю минуту или одноразовых настроек, ради которых нет смысла запускать центр развертывания Office для создания нового файла настройки. Если поместить файл Config.xml в ту же папку, в которой находится файл Setup.exe, то программа установки обнаружит и использует его. Кроме того, можно указать место расположения этого файла с помощью параметра командной строки /config программы установки. Примечание. Если одновременно указать файл настройки параметров установки и файл Config.xml, то определенные в файле Config.xml настройки имеют преимущество перед теми же настройками, включенными в файл пользовательских настроек. Полное описание содержимого и формата файла Config.xml см. в статье Config.xml file in Office 2010 (на английском языке). Использование параметров командной строки программы установки Программа установки распознает лишь некоторые параметры командной строки в Office 2010 (это поведение было характерно и для Office 2007). Центр развертывания Office является основным средством для настройки свойств программы установки и задания других настроек. Команды Setup.exe могут использоваться для выполнения следующих задач: Запуск центра развертывания Office для создания MSP-файла настройки программы установки. Применение заданного файла параметров настройки программы установки к установке. Можно задать путь к заданному файлу параметров настройки (MSP-файлу) или к папке, в которой хранятся файлы параметров настройки. Задание файла Config.xml, который программа установки использует во время установки. Запуск программы установки в режиме обслуживания и внесение изменений в существующую установку Office. Запуск программы установки для восстановления заданного продукта на компьютере пользователя. 35 Запуск программы установки для удаления указанного продукта из компьютера пользователя. Для получения более подробной информации о командах Setup.exe см. раздел Setup commandline options for Office 2010 (на английском языке). Сведения об атрибутах установщика Windows, используемых в предыдущих версиях Office, и об атрибутах, которые можно использовать при установке Office 2010, см. в разделе Setup properties in Office 2010 (на английском языке). Использование групповой политики Администраторы могут использовать параметры групповой политики для задания и обслуживания конфигурации Office на компьютерах пользователей. Групповая политика используется для настройки параметров политики Office 2010, содержащихся в административных шаблонах, и операционная система обеспечивает применение этих параметров политики. В среде Active Directory администраторы могут применять параметры политики к группам пользователей и компьютеров на сайте, в домене или организационной единице, с которыми связан объект групповой политики. Истинные параметры политики записываются в утвержденные разделы реестра для политики. Эти параметры политики предусматривают ограничения на основе списка управления доступом (ACL), которые предотвращают их изменение пользователями, не являющимися администраторами. Это позволяет администраторам создавать легко управляемые конфигурации с высокой степенью ограничений. Администраторы могут использовать параметры политики для приложений Office 2010, чтобы управлять большинством параметров, которые служат для настройки пользовательского интерфейса Office, в том числе следующих компонентов: команды меню и соответствующие кнопки панели инструментов; клавиши быстрого доступа; большинство параметров в диалоговом окне Параметры. Примечание. Большинство параметров групповой политики Office 2010 также доступны в центре развертывания Office (параметры OPA). Для настройки начальных параметров по умолчанию в MSP-файле настроек программы установки администраторы могут использовать центр развертывания Office. В то же время пользователи могут изменять большинство параметров после установки. Чтобы применить определенные конфигурации, следует использовать групповую политику. Параметры групповой политики имеют приоритет над параметрами центра развертывания Office. Обязательный локальный источник установки В Office 2010 программа установки создает на компьютере пользователя локальный источник установки в рамках процедуры установки по умолчанию. Программа установки устанавливает все продукты Office 2010 в два этапа. Сначала она копирует сжатые файлы локального 36 источника установки на компьютер пользователя, а затем вызывает установщик Windows для выполнения самой установки из локального источника установки. После завершения установки локальный источник установки остается доступным для любых операций установки, которым требуется доступ к оригинальному источнику. В минимальных требованиях дискового пространства учитывается локальный источник установки. Примечание. Пакет Microsoft Office 2003 в больших организациях обычно устанавливался из точки административной установки. При этом установка из локального источника установки была возможна по выбору. Однако в Office 2010 точка административной установки более не существует, а локальный источник установки является обязательной частью программы. Применение локального источника установки обеспечивает более высокую эффективность и надежность процесса распространения программных обновлений. Ни точка сетевой установки, ни локальный источник установки пользователя не обновляются напрямую. Установки пользователей сохраняют синхронизацию при применении к ним клиентской версии обновления программного обеспечения. К дополнительным преимуществам постоянно доступного на локальном компьютере полного источника установки можно отнести следующее: Локальный источник установки для пользователей можно развернуть перед установкой ими пакета Office. Это сводит к минимуму влияние на сеть и обеспечит одновременную установку продукта и начало использования Office 2010 всеми пользователями. Пользователь может выполнять задачи обслуживания, например обновление программного обеспечения, без запросов к компакт-диску Office или сетевому источнику. Мобильные пользователи или пользователи с нерегулярным сетевым подключением могут запускать программу установки без доступа к сети при наличии заранее установленного локального источника установки. Затраты на получение этих преимуществ минимальны. Хотя локальный источник установки использует некоторое пространство жесткого диска, создание локального источника установки и установка Office занимает приблизительно столько же времени, сколько и сама установка пакета Office. Содержание: Создание локального источника установки на компьютерах пользователей Самостоятельное развертывание локального источника установки Создание локального источника установки на компьютерах пользователей Когда пользователи устанавливают пакет Office с компакт-диска или из точки сетевой установки, программа установки создает локальный источник установки. При этом используется программа Office Source Engine (Ose.exe) для копирования необходимых файлов установки в скрытую 37 папку на локальном компьютере. По умолчанию копирование производится в папку \MSOCache\All Users в корне диска, на котором устанавливается пакет Office. Каждый пакет, в котором содержится продукт Office (как не зависящий от языка основной пакет, так и один или несколько пакетов, зависящих от языка), обладает отдельным кодом загрузки и кэшируется во вложенной папке MSOCache\All Users. Программа установки всегда кэширует весь локальный источник установки, в том числе все файлы, связанные с устанавливаемым продуктом. Если в точке установки содержится несколько языков, то программа установки кэширует только пакеты для языков, которые установлены на компьютере пользователя. При установке дополнительных продуктов Office на компьютер пользователя эти продукты кэшируются в тот же локальный источник установки. Примечание. Если пользователь устанавливает второй продукт Office на другой диск, то программа установки создает второй локальный источник установки в корне этого диска. В этом сценарии общие файлы могут повторяться в двух источниках установки, но такая структура обеспечивает полноту и правильное функционирование каждого локального источника установки. Пользователь не может удалить локальный источник установки случайно с помощью пользовательского интерфейса программы установки или с помощью мастера очистки диска. При удалении или повреждении папки MSOCache программа установки автоматически повторно создаст или восстановит папку при следующем запросе к источнику. Если пользователю не хватает места на диске, программа выведет запрос на освобождение дискового пространства. При распространении новых обновлений или настроек можно рассчитывать на тот факт, что у каждого пользователя есть доступ к источнику. Примечание. После создания локального источника установки его местоположение на компьютере пользователя не меняется. Пока пользователь не укажет иной диск, дополнительные продукты Office, устанавливаемые впоследствии, всегда добавляются в существующую папку MSOCache\All Users. Самостоятельное развертывание локального источника установки Поскольку программа установки выполняет установку пакета Office из локального источника установки, можно свести использование сети к минимуму, заранее развернув источник установки. Например, с помощью обычного метода запуска установки на компьютерах пользователей можно одновременно распространить локальный источник установки для группы пользователей. Когда у всех пользователей есть предварительно кэшированный источник, они могут запустить программу установки Office одновременно. В этом случае основная часть установочных действий производится на локальном компьютере, а не через сеть. Дополнительные сведения см. в разделе Предварительное кэширование локального источника установки для Office 2010. 38 Кроме того, можно запустить программу установки непосредственно из локального источника установки на компьютере. Локальный запуск программы установки подразумевает, что все действия, включая загрузку установочных файлов и считывание метаданных, выполняются без использования сети. В этом случае необходимо определить в каталоге MSOCache\All Users вложенную папку, в которой содержится основной устанавливаемый продукт. Каждая вложенная папка основного продукта содержит копию программы установки, и запуск программы установки из вложенной папки приведет к установке соответствующего продукта. Этот метод позволяет пользователям устанавливать пакет Office без использования сетевого подключения. Дополнительные сведения см. в разделе Запуск программы установки из локального источника установки для установки Office 2010. Консолидированный процесс обновления В версиях системы Microsoft Office до Office 2007 была предусмотрена возможность выбора ряда параметров, обеспечивающих получение клиентскими компьютерами новейших обновлений программного обеспечения Office и их синхронизацию с точкой административной установки. Можно было настраивать программу установки для последовательного обновления ПО с новыми установками продуктов Office или применять обновление к точке административной установки и переустанавливать Office на всех клиентских компьютерах. Новая архитектура пакета Office 2007 существенно упрощает этот процесс. В системе Office 2010 (как и в Office 2007) создается точка сетевой установки, которая никогда не требует обновления. Вместо этого простая операция копирования делает обновление ПО доступным для новых установок. Существующие установки обновляются независимо от точки сетевой установки, поэтому нет необходимости беспокоиться о поддержании синхронизации клиентских компьютеров с источником установки. Содержание: Применение обновлений Office во время новых установок Обновление существующих установок Office Применение обновлений Office во время новых установок При получении обновлений программного обеспечения Office с веб-узлов Майкрософт скопируйте эти обновления в папку Updates в корневом каталоге точки сетевой установки. Существующие файлы в точке сетевой установки остаются такими же, какими они были после первоначального копирования с компакт-диска Microsoft Office. Примечание. Папку Updates можно использовать для включения установки обновлений в первоначальную установку продуктов Office 2010. В ходе первоначальной установки устанавливаются только файлы обновлений установщика Windows, находящиеся в данной папке. Следовательно, обновления необходимо извлечь из пакетов 39 самоизвлечения Microsoft. Для настройки первоначальных установок в папку Updates также можно поместить MSP-файл исправления настроек программы установки. Программа установки Office, запущенная на клиентском компьютере, выполняет поиск в папке Updates обновлений ПО и автоматически включает эти обновления в процесс установки Office. Если в этой папке находится несколько обновлений, программа установки применяет только те из них, которые предназначены для устанавливаемого продукта Office. Если папка Updates содержит как MSP-файл исправления настроек программы установки, так и обновления продуктов, программа установки применяет MSP-файл исправления настроек программы установки при первоначальной установке, а обновления продуктов применяются после завершения установки. Программа установки также применяет обновления в правильном последовательном порядке. В результате пользователь получает последние обновления одновременно с новой установкой Office. Совет. Чтобы программа установки выполняла поиск обновлений ПО в папке, отличной от папки Updates, используйте элемент SetupUpdates в файле Config.xml. Дополнительные сведения см. в разделе Элемент SetupUpdates документа Config.xml file in Office 2010 (на английском языке). Обновление существующих установок Office После установки пакета Office обновления ПО проводятся непосредственно на клиентском компьютере без обращения к точке сетевой установки. Это выполняется с помощью программы управления развертыванием, такой как Microsoft Systems Management Server или System Center Configuration Manager 2007, с помощью служб Windows Server Update Services или посредством обновления компьютеров непосредственно через Интернет с помощью центра обновления Майкрософт. Примечание. После установки пакета Office на клиентском компьютере его переустановка относится только к тем обновлениям ПО, которые были реализованы при первоначальной установке. Если новые обновления ПО копируются в папку Updates, они не применяются во время переустановки. См. также Office Customization Tool in Office 2010 (на английском языке) Config.xml file in Office 2010 (на английском языке) Setup command-line options for Office 2010 (на английском языке) Setup properties in Office 2010 (на английском языке) Изменения программы установки, введенные в выпуске 2007 системы Office Обзор настройки Office 2010 40 Планирование стратегии переноса и обновления Office 2010 В этом разделе приведены сведения о планировании установки Microsoft Office 2010 и переносе пользовательских данных (например, параметров и документов пользователей и компьютеров, созданных в предыдущих версиях Microsoft Office). Содержание Статья Описание Планирование обновления Office 2010 Описание процесса обновления Microsoft Office 2010, в том числе различные варианты обновления и пути переноса данных. Перенос разделов реестра данных пользователя в Office 2010 Список разделов реестра, которые переносятся при использовании обновления без удаления или с удалением Office 2010. Выбор варианта развертывания Office 2010 Описание функций, используемых для развертывания Office 2010, включая общие сетевые ресурсы, скрипты запуска групповой политики, управляемое развертывание, виртуализацию приложений и презентаций. 41 Планирование обновления Office 2010 В этой статье описывается процесс обновления Microsoft Office 2010, включая различные варианты обновления и способы переноса данных. Содержание: Обзор процесса обновления Сравнение вариантов обновления и понятие переноса данных Перенос документов Обзор процесса обновления На схеме ниже приведены задачи, вовлеченные в процесс планирования обновления до Office 2010. Процесс обновления до Office 2010 можно разделить на две основные задачи: установка новой версии Microsoft Office 2010; 42 перенос данных пользователей, таких как параметры пользователя и компьютера, и документов, созданных в ранее установленных версиях Microsoft Office. При планировании стратегии обновления следует прежде всего рассмотреть возможность обновления до Office 2010, что является лучшим вариантом для организации. Выбранный тип обновления поможет определиться с доступными вариантами переноса данных и способами миграции. Сравнение вариантов обновления и понятие переноса данных Варианты обновления до Office 2010 можно разделить на три категории: обновление на месте — предыдущая версия Office, например система Microsoft Office 2007, установлена на компьютеры; обновление с удалением — предыдущая версия Office, например Office 2007, удаляется перед обновлением до Office 2010; обновление с новой операционной системой — на компьютеры устанавливается новая версия операционной системы, например Windows 7, и выполняется обновление до Office 2010. В таблице ниже приводятся варианты обновления и порядок переноса параметров компьютера и пользователя. Вариант обновления Перенос параметров пользователя и компьютера Обновление на месте Перенос данных выполняется в ходе установки. Office 2010 Обновление с удалением Перенос данных выполняется при первом использовании каждого приложения Office 2010. Обновление с новой версией операционной системы Перенос данных выполняется с помощью средства миграции пользовательской среды, которое осуществляет сбор параметров с целевого компьютера до начала установки новой операционной системы. После ее установки средство миграции пользовательской среды используется для восстановления параметров. 43 Перенос данных в Office 2010 включает параметры пользователя и компьютера, а также документы, созданные в предыдущих версиях Office. Список переносимых разделов реестра см. в разделе Перенос разделов реестра данных пользователя в Office 2010. Документы, созданные в ранее установленных версиях Office, сохраняются на компьютере в исходных форматах и при необходимости могут затем быть перенесены или преобразованы, если выполняется обновление на месте или обновление с удалением. Если осуществляется обновление с новой операционной системой, документы необходимо перенести с исходного компьютера в хранилище миграции, прежде чем приступать к установке новой операционной системы и обновлению до Office 2010. Использование средства миграции пользовательской среды упрощает этот процесс. Дополнительные сведения о работе с этим средством см. в руководстве пользователя по средству миграции пользовательской среды (USMT 4.0) (http://go.microsoft.com/fwlink/?linkid=166111&clcid=0x419). После выбора наиболее подходящего варианта обновления необходимо определиться со стратегией переноса документов, созданных пользователями организации с помощью предыдущих версий Office. Перенос документов На схеме ниже приводятся задачи, вовлеченные в процесс планирования переноса документов в Office 2010. Эти задачи можно разбить на следующие этапы. 1. Анализ изменений. При планировании переноса документов прежде всего необходимо проанализировать изменения, внесенные в приложения Office 2010, которые планируется 44 установить, то есть выяснить, какие компоненты были добавлены, изменены или удалены. Дополнительные сведения можно найти в статье Изменения в Office 2010. 2. Анализ вопросов переноса данных. В ходе следующего этапа необходимо проанализировать вопросы переноса данных, характерные для конкретных приложений. Дополнительные сведения о вопросах переноса для каждого приложения см. в разделе Изменения продуктов и компонентов в Office 2010. 3. Планирование поддержки форматов файлов. После анализа изменений и вопросов переноса данных следует определиться со стратегией поддержки форматов файлов после обновления до Office 2010. Дополнительные сведения см. в статье Вопросы и ответы: формат файлов (http://go.microsoft.com/fwlink/?linkid=166107&clcid=0x419). 4. Оценка с помощью OMPM. Наконец, с помощью диспетчера планирования миграции Office проверьте файлы в среде и решите, следует ли выполнить их архивацию, массовое преобразование с помощью конвертера файлов Office, который входит в этот диспетчер, или преобразование в ручном режиме. См. также Перенос разделов реестра данных пользователя в Office 2010 45 Перенос разделов реестра данных пользователя в Office 2010 В этой статье в алфавитном порядке перечислены разделы реестра Microsoft Office 2003 и приложений системы Microsoft Office 2007, переносимые при выполнении обновления на месте или обновления Microsoft Office 2010 с предварительным удалением. Эти параметры можно перенести при выполнении обновления на базе новой операционной системы, используя средство миграции пользовательской среды (USMT) с файлом MigApp.xml file. В этой статье также представлены разделы реестра, включенные в процесс миграции, а также явно исключенные из него. Дополнительные сведения о файле MigApp.xml для средства миграции пользовательской среды см. в разделе Настройка XML-файлов средства миграции пользовательской среды (http://go.microsoft.com/fwlink/?linkid=164974&clcid=0x419). Содержание: Параметры Microsoft Office 2003 Параметры Microsoft Office 2007 Параметры Microsoft Office 2003 Общие параметры <включают> HKCU\Software\Microsoft\Office\Common\* [*] HKCU\Software\Microsoft\Office\11.0\* [*] HKCU\Software\Microsoft\Shared Tools\* [*] HKCU\Software\Microsoft\Shared Tools\Proofing Tools\Custom Dictionaries [*] HKCU\Software\Microsoft\Office\11.0\Common\Internet\* [*] %APPDATA%\Microsoft\Office [*.acl] %APPDATA%\Microsoft\Office\Recent [*] %APPDATA%\Microsoft\Proof\* [*] HKCU\Software\Microsoft\Office\Common\Smart Tag\Recognizers\{4FFB3E8B-AE75-48F2-BF13D0D7E93FA8F9}\* [*] 46 HKCU\Software\Microsoft\Office\Common\Smart Tag\Recognizers\{64AB6C69-B40E-40AF-9B7FF5687B48E2B6}\* [*] HKCU\Software\Microsoft\Office\Common\Smart Tag\Recognizers\{87EF1CFE-51CA-4E6B-8C76E576AA926888}\* [*] Общие параметры <не включают> HKCU\Software\Microsoft\Shared Tools\Proofing Tools\1.0\Custom Dictionaries\* [*] HKCU\Software\Microsoft\Office\11.0\Shortcut Bar [LocalPath] HKCU\Software\Microsoft\Office\11.0\Common\Internet [LocationOfComponents] HKCU\Software\Microsoft\Office\11.0\Common\Open Find\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Internet [UseRWHlinkNavigation] HKCU\Software\Microsoft\Office\11.0\Common\InternetServer Cache\* [*] Access 2003 <включает> HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources [SKULanguage] HKCU\Software\Microsoft\Office\Access\* [*] HKCU\Software\Microsoft\Office\11.0\Access\* [*] HKCU\Software\Microsoft\Office\11.0\CMA\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings\ [Microsoft Access] %APPDATA%\Microsoft\Office [Access11.pip] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\Recent Templates\* [*] 47 HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\Recent Templates\* [Template*] Access 2003 <не включает> HKCU\Software\Microsoft\Office\11.0\Access\Settings [MRU*] Excel 2003 <включает> HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources [SKULanguage] HKCU\Software\Microsoft\Office\11.0\Excel\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings\ [Microsoft Excel] %APPDATA%\Microsoft\Excel\ [EXCEL11.xlb] %APPDATA%\Microsoft\Office\ [EXCEL11.pip] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\Recent Templates\* [Template*] Excel 2003 <не включает> HKCU\Software\Microsoft\Office\11.0\Excel\Recent Files\* [*] FrontPage 2003 <include> HKCU\Software\Microsoft\FrontPage\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings [Microsoft FrontPage] %APPDATA%\Microsoft\FrontPage\State [CmdUI.PRF] %APPDATA%\Microsoft\Office [fp11.pip] 48 %APPDATA%\Microsoft\FrontPage\Snippets [FPSnippetsCustom.xml] FrontPage 2003 <включает> HKCU\Software\Microsoft\FrontPage [WecErrorLog] HKCU\Software\Microsoft\FrontPage\Explorer\FrontPage Explorer\Recent File List\* [*] HKCU\Software\Microsoft\FrontPage\Explorer\FrontPage Explorer\Recent Web List\* [*] OneNote 2003 <включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\LanguageResources [SKULanguage] HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\* [*] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\ [Microsoft Office OneNote] %APPDATA%\Microsoft\Office\ [OneNot11.pip] %APPDATA%\Microsoft\OneNote\ [Preferences.dat] %APPDATA%\Microsoft\OneNote\ [Toolbars.dat] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent Templates\* [Template*] OneNote 2003 <не включает> HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Save\ [BackupLastAutoBackupTime] HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Save\ [BackupFolderPath] HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\ [LastCurrentFolderForBoot] 49 HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\ [Last Current Folder] Outlook 2003 <включает> HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources [SKULanguage] HKCU\Software\Microsoft\Office\Outlook\* [*] HKCU\Software\Microsoft\Office\11.0\Outlook\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings [Microsoft Outlook] HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\* [*] HKCU\Software\Microsoft\Office\11.0\Outlook\Journal\* [*] %APPDATA%\Microsoft\Signatures\* [*] %CSIDL_LOCAL_APPDATA%\Microsoft\FORMS [frmcache.dat] %APPDATA%\Microsoft\Outlook [outcmd11.dat] %APPDATA%\Microsoft\Outlook [outcmd.dat] %APPDATA%\Microsoft\Outlook [views.dat] %APPDATA%\Microsoft\Outlook [OutlPrint] %APPDATA%\Microsoft\Office [MSOut11.pip] %APPDATA%\Microsoft\Outlook [*.rwz] %APPDATA%\Microsoft\Outlook [*.srs] %APPDATA%\Microsoft\Outlook [*.NK2] %APPDATA%\Microsoft\Outlook [*.xml] HKCU\Software\Microsoft\Exchange\* [*] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\* [001e023d] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\* [001f023d] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 50 Messaging Subsystem\Profiles\* [*] Outlook 2003 <не включает> HKCU\Software\Microsoft\Office\11.0\Outlook [FirstRunDialog] HKCU\Software\Microsoft\Office\11.0\Outlook [Machine Name] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\*\0a0d020000000000c000000000000046 [111f031e] HKCU\Identities\* [LDAP Server] HKCU\Software\Microsoft\Internet Account Manager\Accounts\* [LDAP Server] HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\* [LDAP Server] PowerPoint 2003 <включает> HKCU\Software\Microsoft\Office\11.0\PowerPoint\* [*] HKCU\Software\Microsoft\Office\11.0\PowerPoint\RecentFolderList [Default] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings [Microsoft PowerPoint] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\Recent Templates\* [Template*] PowerPoint 2003 <не включает> HKCU\Software\Microsoft\Office\11.0\PowerPoint\Recent File List\* [*] HKCU\Software\Microsoft\Office\11.0\PowerPoint\RecentFolderList\* 51 [*] Project 2003 <включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\LanguageResources [SKULanguage] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings [Microsoft Project] %APPDATA%\Microsoft\Office [MSProj11.pip] %APPDATA%\Microsoft\MS Project\11\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent Templates\* [Template*] Project 2003 <не включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent File List [*] Publisher 2003 <включает> HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources [SKULanguage] HKCU\Software\Microsoft\Office\11.0\Publisher\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings [Microsoft Publisher] %APPDATA%\Microsoft\Office [*.acl] %APPDATA%\Microsoft\Publisher [pubcmd.dat] %APPDATA%\Microsoft\Office\ [*.jsp] 52 Publisher 2003 <не включает> HKCU\Software\Microsoft\Office\11.0\Publisher\Recent File List\* [*] Visio 2003 <включает> HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\* [*] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\ [Microsoft Office Visio] CSIDL_APPDATA\Microsoft\Office\[Visio11.pip] CSIDL_LOCAL_APPDATA\Microsoft\Visio\ [content.dat] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\* [Template*] Visio 2003 <не включает> HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\ [LastFile*] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\ [MyShapesPath] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\ [UserDictionaryPath1] Word 2003 <включает> HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources [SKULanguage] HKCU\Software\Microsoft\Office\11.0\Word\* [*] HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings [Microsoft Word] %APPDATA%\Microsoft\Templates [Normal.dot] %APPDATA%\Microsoft\Office [Word11.pip] 53 %APPDATA%\Microsoft\Office [WordMa11.pip] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Word\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Word\Recent Templates\* [Template*] Word 2003 <не включает> HKCU\Software\Microsoft\Office\11.0\Word\Options [PROGRAMDIR] Параметры Microsoft Office 2007 Общие параметры <включают> HKCU\Software\Microsoft\Office\Common\* [*] HKCU\Software\Microsoft\Office\12.0\Common\* [*] HKCU\Software\Microsoft\Shared Tools\* [*] %APPDATA%\Microsoft\Office [*.acl] %APPDATA%\Microsoft\Office\Recent [*] %APPDATA%\Microsoft\Templates\* [*] %APPDATA%\Microsoft\Proof\* [*] %APPDATA%\Microsoft\UProof\* [*] HKCU\Software\Microsoft\Shared Tools\Proofing Tools\*\Custom Dictionaries [*] HKCU\Software\Microsoft\Office\Common\Smart Tag\Recognizers\{4FFB3E8B-AE75-48F2-BF13D0D7E93FA8F9}\* [*] HKCU\Software\Microsoft\Office\Common\Smart Tag\Recognizers\{64AB6C69-B40E-40AF9B7F-F5687B48E2B6}\* [*] HKCU\Software\Microsoft\Office\Common\Smart 54 Tag\Recognizers\{87EF1CFE-51CA-4E6B8C76-E576AA926888}\* [*] Общие параметры <не включают> HKCU\Software\Microsoft\Office\12.0\Shortcut Bar [LocalPath] HKCU\Software\Microsoft\Office\12.0\Common\Internet [LocationOfComponents] HKCU\Software\Microsoft\Office\12.0\Common\Open Find\* [*] HKCU\Software\Microsoft\VBA\6.0\Common %CSIDL_LOCAL_APPDATA%\Microsoft\Office [*.qat] Access 2007 <включает> %APPDATA%\Microsoft\Office [Access11.pip] HKCU\Software\Microsoft\Office\Access\* [*] HKCU\Software\Microsoft\Office\12.0\Access\* [*] HKCU\Software\Microsoft\Office\12.0\CMA\* [*] HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings\ [Microsoft Access] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\File MRU\* [*] Access 2007 <не включает> HKCU\Software\Microsoft\Office\12.0\Access\Settings [MRU*] Excel 2007 <включает> HKCU\Software\Microsoft\Office\12.0\Excel\* [*] HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings\ 55 [Microsoft Excel] %APPDATA%\Microsoft\Excel\ [EXCEL11.xlb] %APPDATA%\Microsoft\Office\ [EXCEL11.pip] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\File MRU\* [*] Excel 2007 <не включает> HKCU\Software\Microsoft\Office\12.0\Excel\Recent Files\* [*] OneNote 2007 <включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\ [Microsoft Office OneNote] %APPDATA%\Microsoft\Office\ [OneNot12.pip] %APPDATA%\Microsoft\OneNote\%OFFICEVERSION%\ [Preferences.dat] %APPDATA%\Microsoft\OneNote\%OFFICEVERSION%\ [Toolbars.dat] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent Templates\* [*] %APPDATA%\Microsoft\MS Project\12\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent Templates\* [Template*] OneNote 2007 <не включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\ [LastMyDocumentsPathUsed] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Paths\ [BackupFolderPath] 56 Outlook 2007 <включает> HKCU\Software\Microsoft\Office\Outlook\* [*] HKCU\Software\Microsoft\Office\12.0\Outlook\* [*] HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings [Microsoft Outlook] HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\* [*] %APPDATA%\Microsoft\Signatures\* [*] %CSIDL_LOCAL_APPDATA%\Microsoft\FORMS [frmcache.dat] %APPDATA%\Microsoft\Outlook [outcmd11.dat] %APPDATA%\Microsoft\Outlook [outcmd.dat] %APPDATA%\Microsoft\Outlook [views.dat] %APPDATA%\Microsoft\Outlook [OutlPrint] %APPDATA%\Microsoft\Office [MSOut11.pip] HKCU\Software\Microsoft\Exchange\* [*] %APPDATA%\Microsoft\Outlook [*.rwz] %APPDATA%\Microsoft\Outlook [*.srs] %APPDATA%\Microsoft\Outlook [*.NK2] %APPDATA%\Microsoft\Outlook [*.xml] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\* [*] HKCU\Software\Microsoft\Office\12.0\Outlook\Journal\* [*] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\* [001e023d] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\* [001f023d] Outlook 2007 <не включает> HKCU\Software\Microsoft\Office\12.0\Outlook [FirstRunDialog] 57 HKCU\Software\Microsoft\Office\12.0\Outlook [Machine Name] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\*\0a0d020000000000c000000000000046 [111f031e] HKCU\Identities\* [LDAP Server] HKCU\Software\Microsoft\Internet Account Manager\Accounts\* [LDAP Server] HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\* [LDAP Server] PowerPoint 2007 <включает> HKCU\Software\Microsoft\Office\12.0\PowerPoint\* [*] HKCU\Software\Microsoft\Office\12.0\PowerPoint\RecentFolderList [Default] HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings [Microsoft PowerPoint] %APPDATA%\Microsoft\PowerPoint [PPT11.pcb] %APPDATA%\Microsoft\Office [PowerP11.pip] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\File MRU\* [*] PowerPoint 2007 <не включает> HKCU\Software\Microsoft\Office\12.0\PowerPoint\Recent File List\* [*] HKCU\Software\Microsoft\Office\12.0\PowerPoint\RecentFolderList\* [*] Project 2007 <включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\* [*] 58 HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings [Microsoft Office Project] %APPDATA%\Microsoft\Office [MSProj12.pip] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent Templates\* [Template*] Project 2007 <не включает> HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent File List [*] Publisher 2007 <включает> HKCU\Software\Microsoft\Office\12.0\Publisher\* [*] HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings [Microsoft Publisher] %APPDATA%\Microsoft\Office [*.acl] %APPDATA%\Microsoft\Publisher [pubcmd.dat] %APPDATA%\Microsoft\Office [Publis11.pip] %APPDATA%\Microsoft\Office\ [*.jsp] Publisher 2007 <не включает> HKCU\Software\Microsoft\Office\12.0\Publisher\Recent File List\* [*] Visio 2007 <включает> HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\* [*] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\ [Microsoft Office Visio] %APPDATA%\Microsoft\Office\ [Visio12.pip] 59 %CSIDL_LOCAL_APPDATA%\Microsoft\Visio\ [content.dat] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\* [*] HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\* [Template*] Visio 2007 <не включает> HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\ [LastFile*] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\ [MyShapesPath] HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\ [UserDictionaryPath1] Word 2007 <включает> HKCU\Software\Microsoft\Office\12.0\Word\* [*] %APPDATA%\Microsoft\Templates\* [*] %APPDATA%\Microsoft\QuickStyles\* [*] %APPDATA%\Microsoft\Document Building Blocks\* [*] %APPDATA%\Microsoft\Bibliography\* [*] %APPDATA%\Microsoft\Office [Word11.pip] %APPDATA%\Microsoft\Office [WordMa11.pip] Word 2007 <не включает> HKCU\Software\Microsoft\Office\12.0\Word\Data [PROGRAMDIR] HKCU\Software\Microsoft\Office\12.0\Word\Options [PROGRAMDIR] 60 Выбор варианта развертывания Office 2010 Для развертывания Microsoft Office 2010 можно использовать пять функциональных областей: сетевую папку, скрипты запуска групповой политики, управляемое развертывание, виртуализацию приложений и виртуализацию представления. Возможно использование любого способа или их сочетания, например управляемого развертывания для развертывания и управления виртуальными приложениями Office 2010. Развертывание Office 2010 с помощью групповой политики установки программ (GPSI) нами не поддерживается. В качестве альтернативы методу GPSI администратор может назначить скрипты загрузки компьютера. В этой статье описывается каждый из этих методов. Графическую схему вариантов развертывания см. в разделе Варианты развертывания для Microsoft Office 2010 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=168621&clcid=0x419), который содержит диаграммы, описания, список преимуществ, ограничений, рекомендаций и средств. Параметры размещения Определение оптимальных вариантов развертывания в организации. Общая сетевая папка Простым способом развертывания Office 2010 является создание сетевой точки установки и копирование содержимого компакт-диска Microsoft Office в сетевую папку. Убедитесь в том, что сетевая папка доступна для целевых ресурсов: пользователей или компьютеров. Скрипты запуска групповой политики Администраторы могут использовать групповую политику для назначения скриптов загрузки для развертывания Office 2010. Скрипт может быть написан на любом языке, который 61 поддерживается клиентским компьютером. Чаще всего используются языки, которые поддерживает сервер скриптов Windows (например, VBScript и Jscript, а также файлы команд). Управляемое развертывание Администраторы могут использовать программное обеспечение для изменения и настройки при развертывании приложений Office 2010 (например, Microsoft System Center Essentials и Microsoft System Center Configuration Manager). Выбор между System Center Essentials или Configuration Manager частично зависит от размера организации. Виртуализация приложений Администраторы могут использовать технологию виртуализации приложений Microsoft Application Virtualization (App-V) при развертывании, чтобы позволить пользователям запускать приложения Office 2010 на настольных компьютерах. Технология виртуализации приложений Microsoft Application Virtualization при необходимости передает приложения на настольный компьютер, с которого они запускаются. При этом установка приложения на компьютере не производится. Виртуализация представления Администраторы могут использовать при развертывании службы терминалов Windows Server 2008 для управления приложениями Office 2010 с рабочих станций. Службы терминалов запускаются на совместно используемом сервере и представляют пользовательский интерфейс приложения на удаленной системе (например, на локальной рабочей станции). Технология виртуализации приложений Microsoft Application Virtualization для служб терминалов обеспечивает оптимизацию приложения Office 2010 путем последовательного выполнения виртуализации приложений, а затем использует службы терминалов для их доставки в качестве виртуализации представления. 62 Планирование конфигураций настольных компьютеров для Office 2010 В этом разделе приведены сведения и указания о важных аспектах развертывания Microsoft Office 2010. Содержание Статья Описание Планирование для OneNote 2010 Планирование развертывания Microsoft OneNote 2010. Планирование для Outlook 2010 Обзор важных особенностей развертывания Microsoft Outlook 2010. Планирование SharePoint Workspace 2010 Планирование развертывания Microsoft SharePoint Workspace 2010. Планирование настроек и параметров для Visio 2010 В данной статье описываются несколько из доступных вариантов настройки в Microsoft Visio 2010. Планирование обеспечения безопасности для Office 2010 Описание новых элементов управления безопасности Office 2010, которые позволяют создать мощную систему защиты от угроз без снижения производительности пользователей. Планирование групповой политики для Office 2010 Сведения об использовании групповой политики при настройке и применении параметров для приложений Office 2010. Планирование многоязычного развертывания Office 2010 Вопросы планирования развертывания Office 2010 для нескольких языков. Планирование виртуализации Office 2010 Общее описание виртуализации, способов использования этой технологии в организации и выбор лучших способов и видов виртуализации для имеющейся среды. Планирование служб удаленных рабочих столов (служб терминалов) Сведения о планировании развертывания Office 2010 с помощью служб удаленных рабочих столов (служб терминалов). 63 Статья Описание Планирование читаемости в Office 2010 Обзор Microsoft средства проверки специальных возможностей Microsoft Office, которое может сделать продукты Office 2010 более доступными для пользователей с физическими недостатками. 64 Планирование для OneNote 2010 В этой статье описывается процесс планирования развертывания Microsoft OneNote 2010. Содержание: Общие сведения о планировании Оценка требований организации Обзор изменений в OneNote 2010 Проверка вопросов, связанных с переносом Планирование обновлений OneNote Планирование для OneNote Web App Рекомендации по использованию приложения OneNote с продуктами SharePoint Общие сведения о планировании На следующем рисунке показаны этапы планирования развертывания OneNote 2010 в организации. 65 Оценка требований организации Процесс планирования обычно начинается с оценки текущей среды и определения требований организации. Рекомендуется уделить внимание следующим вопросам: Обеспечение соответствия компьютеров требованиям, предъявляемым к системе для Microsoft Office 2010. Необходимость обновления с более ранних версий продукта. Вопросы переноса, в том числе используемые форматы файлов и перенос пользовательских параметров данных. Вопросы безопасности, в том числе необходимость запрета на совместное использование документов через Интернет. Требования для многоязычной поддержки. Требования к системе для OneNote 2010 Сведения о требованиях к системе для OneNote 2010 приведены в разделе Microsoft OneNote 2010 статьи Системные требования для Office 2010. Дополнительные сведения о средствах, обеспечивающих доступ к программному и аппаратному обеспечению в среде, см. в статье Средства оценки для Office 2010. Обновление до OneNote 2010 Если выполняется обновление с более ранней версии Microsoft OneNote, см. раздел Планирование обновлений OneNote этой статьи, в котором приведены сведения о новом формате файлов в OneNote 2010, а также рекомендации по выполнению обновления с версий Microsoft Office OneNote 2007 и OneNote 2003. Вопросы безопасности Дополнительные сведения о планировании безопасности приложений Office 2010 в организации, а также сведения о возможных угрозах и новых элементах управления безопасностью, доступных в Office 2010, см. в следующих статьях: Обзор безопасности системы Office 2010, Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office и Планирование обеспечения безопасности для Office 2010. Требования для многоязычной поддержки Независимость архитектуры Office 2010 от языка значительно упрощает развертывание с поддержкой нескольких языков. Продукт Office 2010, например Microsoft Office профессиональный плюс 2010, состоит из не зависящего от языка основного пакета и одного или нескольких языковых пакетов. Дополнительные сведения о развертывании приложений Office 2010 на нескольких языках см. в статьях Планирование многоязычного развертывания Office 2010 и Изменение языковых настроек и параметров в Office 2010. 66 Обзор изменений в OneNote 2010 В рамках планирования для OneNote 2010 следует ознакомиться с изменениями в текущем выпуске. Описание новых, измененных и исключенных возможностей в OneNote 2010 см. в статье Изменения в OneNote 2010. Проверка вопросов, связанных с переносом На следующем этапе процесса планирования необходимо рассмотреть вопросы, связанные с переносом, для пользователей, которые выполняют перенос из предыдущих версий OneNote в OneNote 2010. Дополнительные сведения о вопросах, которым следует уделить внимание, см. в разделе Вопросы переноса статьи Изменения в OneNote 2010. Планирование обновлений OneNote В OneNote 2010 используется новый формат для сохранения файлов, отличающийся от используемого в предыдущих версиях продукта. Этот формат используется в большинстве новых компонентов OneNote 2010 (например, математические формулы, управление версиями, ведение связанных заметок и многоуровневые вложенные страницы). Благодаря новому формату файлов обеспечивается совместный доступ к записным книжкам через Интернет, что позволяет просматривать и изменять их с помощью веб-браузера. По умолчанию записные книжки OneNote 2010 создаются и сохраняются в новом формате. В следующих разделах приведены сведения о выполнении обновления с предыдущих версий продукта. Обновление с OneNote 2007 В OneNote 2010 поддерживается просмотр, открытие и изменение записных книжек, сохраненных в формате Microsoft Office OneNote 2007. При необходимости можно преобразовать записные книжки Office OneNote 2007 в формат OneNote 2010 и обратно в формат Office OneNote 2007. По умолчанию существующие записные книжки Office OneNote 2007 не преобразуются автоматически при обновлении с Office OneNote 2007 до OneNote 2010. Обратите внимание, что в Office OneNote 2007 не поддерживается открытие записных книжек, сохраненных в формате OneNote 2010. В связи с этим рекомендуется определить необходимость совместного использования записных книжек с пользователями Office OneNote 2007. По этому вопросу предлагаются следующие рекомендации: Если планируется совместное использование записных книжек с пользователями Office OneNote 2007, у которых не установлено приложение OneNote 2010, рекомендуется не выполнять обновление этих записных книжек. 67 Если совместное использование записных книжек с пользователями предыдущих версий OneNote не планируется, рекомендуется преобразовать существующие записные книжки в формат OneNote 2010. Это позволит использовать все новые возможности продукта. При открытии записной книжки Office OneNote 2007 в заголовке окна приложения отображается сообщение "[Режим совместимости]", которое свидетельствует о том, что файл имеет формат Office OneNote 2007. Чтобы изменить формат записной книжки, щелкните правой кнопкой мыши записную книжку в панели навигации и выберите пункт Свойства. В диалоговом окне Свойства записной книжки можно изменить формат с Office OneNote 2007 на OneNote 2010, а также преобразовать записную книжку обратно в формат Office OneNote 2007. Обновление с OneNote 2003 В OneNote 2010 и Office OneNote 2007 записные книжки OneNote 2003 поддерживаются в режиме только для чтения. Это означает, что изменение файлов в формате OneNote 2003 в приложениях OneNote 2010 и Office OneNote 2007 не поддерживается. Для дальнейшей работы с заметками OneNote 2003 после обновления с OneNote 2003 до OneNote 2010 необходимо обновить записную книжку до формата OneNote 2010 или Office OneNote 2007. Для этого откройте записную книжку в OneNote 2010 и щелкните панель информации, которая отображается в верхней части на каждой странице записной книжки OneNote 2003. Восстановление исходного формата записных книжек OneNote 2003, преобразованных в формат OneNote 2010 или Office OneNote 2007, невозможно. В связи с этим перед преобразованием файлов в более новый формат рекомендуется сохранить резервные копии записных книжек. Планирование для OneNote Web App Microsoft OneNote Web App — дополнительный интерактивный компонент для OneNote 2010, который обеспечивает доступ к записным книжкам OneNote, а также их изменение и совместное использование практически из любого места. С помощью OneNote Web App обеспечивается возможность работы с записными книжками и их изменения с помощью веб-браузера даже с тех компьютеров, на которых не установлена полная версия приложения OneNote. Пользователи могут просматривать и совместно использовать документы, а также работать с ними вместе с другими пользователями с помощью персонального компьютера, мобильного телефона или веббраузера. Microsoft Office Web Apps доступны пользователям через Windows Live, а деловые клиенты могут получить к ним доступ при использовании корпоративной лицензии Office 2010 и решений для управления документами на основе Microsoft SharePoint 2010. Деловые клиенты могут запускать Office Web Apps, установленные на сервере, на котором запущены Microsoft SharePoint Server 2010 или Microsoft SharePoint Foundation 2010. В среде предприятия выполнение Office Web Apps 68 на серверах, на которых запущены SharePoint 2010, обеспечивает более эффективное администрирование данных организации. В этом разделе описываются требования к системе, а также приводятся ссылки на ресурсы, посвященные загрузке, развертыванию и использованию Microsoft Office Web Apps. Рекомендуется ознакомиться со следующими статьями о развертывании Office Web Apps при планировании развертывания OneNote Web App в среде: Общие сведения об Office Web Apps (установка в продуктах SharePoint 2010) (http://go.microsoft.com/fwlink/?linkid=185473&clcid=0x419)Планирование Office Web Apps (установка в продуктах SharePoint 2010) (http://go.microsoft.com/fwlink/?linkid=185475&clcid=0x419) и Развертывание Office Web Apps (установка в продуктах SharePoint 2010) (http://go.microsoft.com/fwlink/?linkid=185483&clcid=0x419). Содержание: Требования к системе для Office Web Apps Ресурсы, посвященные развертыванию и использованию Office Web Apps Требования к системе для Office Web Apps В следующей таблице приведены требования к системе для Office Web Apps. Требования к системе Подробности Поддерживаемые операционные системы Windows Server 2008 Windows Server 2008 R2 и Windows Server 2008 с пакетом обновления 2 (SP2) Аппаратное обеспечение Процессор: 64-разрядный двухъядерный процессор с тактовой частотой 3 ГГц Оперативная память: 4 ГБ для изолированной установки; 8 ГБ для установки в ферме Жесткий диск: 80 ГБ Программное обеспечение SharePoint Foundation 2010 -илиSharePoint Server 2010 Поддержка браузера Internet Explorer 7.0 или более поздней версии для Windows Safari 4.0 или более поздней версии для Mac Firefox 3.5 или более поздней версии для Windows, Mac и Linux 69 Ресурсы, посвященные развертыванию и использованию Office Web Apps В следующей таблице перечислены ресурсы, на которых представлены загружаемые материалы и документация, посвященные планированию, развертыванию и использованию Office Web Apps и OneNote Web App в организации. Ресурс Описание Microsoft Office Web Apps (бета-версия) Загружаемые материалы для Office (http://go.microsoft.com/fwlink/?linkid=183997&clcid=0x419) Web Apps. Общие сведения об Office Web Apps (установка в Общие сведения о локальном продуктах SharePoint 2010) решении Office Web Apps и его (http://go.microsoft.com/fwlink/?linkid=185473&clcid=0x419) преимуществах для пользователей организации. Планирование Office Web Apps (установка в продуктах Сведения о планировании локального SharePoint 2010) решения Office Web Apps в (http://go.microsoft.com/fwlink/?linkid=185475&clcid=0x419) организации. Развертывание Office Web Apps (установка в продуктах Сведения о развертывании локального SharePoint 2010) решения Office Web Apps в (http://go.microsoft.com/fwlink/?linkid=185483&clcid=0x419) организации. Управление Office Web Apps (установка в продуктах Сведения об управлении локальным SharePoint 2010) решением Office Web Apps в (http://go.microsoft.com/fwlink/?linkid=185498&clcid=0x419) организации. Рекомендации по использованию приложения OneNote с продуктами SharePoint В этом разделе описываются основные вопросы, которым следует уделить внимание при использовании приложения OneNote 2010 с SharePoint 2010. Отключение параметра "Требовать извлечения" При совместном редактировании несколько пользователей могут совместно работать с одним документом в любое время, не мешая другим пользователям и не блокируя их изменения. При настройке совместного редактирования и управлении этим процессом необходимо уделять внимание следующим вопросам: Извлечь При извлечении пользователем документа из библиотеки SharePoint Server 2010 для изменения с помощью этого параметра документ блокируется и доступен для изменения 70 только этому пользователю, что не позволяет использовать функции совместного редактирования. В библиотеках документов, для которых планируется использовать совместное редактирование, следует снять флажок Требовать извлечения. По умолчанию флажок Требовать извлечения снят в SharePoint Server 2010. При совместном редактировании пользователи не должны извлекать документы вручную. Управление версиями В отличие от Microsoft Word 2010 и Microsoft PowerPoint 2010, в OneNote 2010 сведения о версии хранятся в самом файле OneNote. В связи с этим администраторам рекомендуется придерживаться следующих принципов хранения записных книжек OneNote в библиотеке документов SharePoint Server 2010: Не включайте управление дополнительными версиями. Этот параметр используется в SharePoint Server 2010 по умолчанию. Если включено управление основными версиями, рекомендуется задать разумно обоснованное максимальное число версий для хранения. Для каждой основной версии, создаваемой в SharePoint, сохраняется полный журнал версий, что может привести к неэффективному использованию места в хранилище. Если требуется включить управление основными версиями, рекомендуется включить параметр Хранить следующее число основных версий. Это позволит предотвратить создание неограниченного числа версий в результате длительного изменения файла и, таким образом, не допустить превышения квоты хранилища сайта. По умолчанию в SharePoint Server 2010 управление основными версиями не включено. Дополнительные сведения о планировании управления версиями и извлечением документов см. в статье Планирование управления версиями, утверждения контента и извлечения (SharePoint Server 2010) (http://go.microsoft.com/fwlink/?linkid=186210&clcid=0x419). Смешанные среды с Microsoft Office OneNote 2007 Приложение OneNote 2010 совместимо с форматом файлов Office OneNote 2007 и поддерживает функции совместного редактирования с пользователями Office OneNote 2007. В смешанных средах записные книжки необходимо сохранять в формате Office OneNote 2007, что позволит пользователям Office OneNote 2007 и OneNote 2010 совместно работать с такими записными книжками. Обновление до формата OneNote 2010 дает пользователям возможность использовать новые функции, в том числе совместимость с OneNote Web App, что позволяет пользователям, у которых не установлена полная версия OneNote, изменять и совместно редактировать записные книжки. OneNote 2010 поддерживает обновление файлов Office OneNote 2007 до формата OneNote 2010 в любое время, что позволяет значительно повысить эффективность обновления в организациях, в которых осуществляется переход от смешанной к единой среде в Office 2010. 71 См. также Изменения в OneNote 2010 Изменения в Office 2010 Развертывание Office Web Apps (установка в продуктах SharePoint 2010) Блог справки по Microsoft OneNote 2010 (бета-версия) (Возможно, на английском языке) 72 Планирование для Outlook 2010 Среда обмена сообщениями организации позволяет сформировать развертывание Microsoft Outlook 2010. В этом разделе приведены сведения о планировании развертывания Outlook 2010, а также о факторах, которые следует учитывать при обновлении, при первой установке приложения, при планировании среды мобильных или удаленных пользователей, момента установки и системы безопасности. Содержание Статья Описание Обзор планирования для Outlook 2010 Обзор процесса планирования и описание важных аспектов планирования развертывания Outlook 2010. Определение времени установки Outlook 2010 Описание требований, преимуществ и недостатков различных стратегий развертывания Outlook 2010. Планирование развертывания режима кэширования данных Exchange в Outlook 2010 Сведения, которые необходимо учитывать при планировании развертывания Outlook 2010 в режиме кэширования Exchange. Планирование автоматической настройки учетных записей пользователей в Outlook 2010 В этой статье описываются два механизма обнаружения для автоматической настройки учетных записей пользователей в Outlook 2010: автоматическое обнаружение и обнаружение стандартных параметров. Планирование обеспечения безопасности и защиты в Outlook 2010 Описание компонентов Outlook 2010, которые обеспечивают безопасность обмена электронной почтой на предприятии. 73 Обзор планирования для Outlook 2010 Тщательный анализ требований организации к службам обмена сообщениями поможет спланировать оптимальное развертывание Microsoft Outlook 2010. В этой статье представлены сведения, которые необходимо учитывать при развертывании Outlook 2010. Содержание: Определение потребностей организации Выбор времени и способа установки Outlook Вопросы безопасности и конфиденциальности Обновление более ранней версии Outlook Дополнительные вопросы, решаемые во время планирования обновления Обновление других программ почты и планирования Определение потребностей организации Среда обмена сообщениями организации позволяет сформировать развертывание Outlook 2010. На этом этапе следует проанализировать, выполняется ли обновление Outlook, устанавливается ли приложение впервые, планируются ли мобильные или удаленные пользователи или выбирается сочетание этих и других факторов. Обновление или первая установка При обновлении до Outlook 2010 с более ранней версии Microsoft Outlook решите, следует ли переносить предыдущие параметры, изменять профили пользователей и использовать новые параметры настройки. Центр развертывания Office позволяет переносить текущие параметры пользователей и выполнять другие настройки, такие как определение новых серверов Microsoft Exchange и настройка новых возможностей. Параметры пользователя, кроме параметров безопасности, по умолчанию переносятся автоматически. При первом развертывании Outlook на клиентских компьютерах для каждого пользователя необходимо создать профиль Outlook, где хранятся сведения о подключениях к серверу обмена сообщениями электронной почты и другие важные параметры Outlook. Для определения параметров профиля для пользователей используйте центр развертывания Office или разверните PRF-файл профиля Outlook. Перенос данных Если в организации используется другой почтовый клиент, может потребоваться перенести данные из этого клиента в Outlook 2010. Для этого можно использовать средства импорта, предоставленные в Outlook (например, для Eudora Light). Средства импорта не могут 74 выполняться автоматически. Их используют для переноса данных индивидуально для каждого пользователя. Удаленные и мобильные пользователи Можно настроить параметры Outlook для оптимизация работы удаленных и мобильных пользователей, а также для настройки Outlook для многих пользователей одного компьютера. Для удаленных пользователей можно настроить такие возможности, как мобильный Outlook (известный как RPC через HTTP в предыдущих версиях Outlook) и режим кэширования Exchange для удаленных пользователей. Эти возможности повышают эффективность работы пользователей, когда Outlook используется через медленные и менее надежные подключения. При использовании мобильного Outlook можно настроить подключения, позволяющие пользователям более безопасно подключаться к серверам Exchange организации через Интернет (HTTP), не используя при этом подключения к виртуальной частной сети. Режим кэширования Exchange — это возможность Outlook, введенная в Office Outlook 2003, позволяющая создавать локальную копию почтовых ящиков пользователей. Режим кэширования Exchange рекомендуется для всех конфигураций и особенно полезен удаленным пользователям. Эта возможность позволяет пользователям получить более надежный доступ к данным Outlook независимо от того, подключены ли они к сети или нет. Если на одном и том же компьютере работают несколько человек, используйте возможность входа в систему Windows в операционной системе на компьютере, чтобы управлять проверкой при входе в систему. Если не выполняется развертывание с виртуализацией приложений, пользователи должны применять одну версию Outlook, так как только одну версию Outlook можно установить на один компьютер. Дополнительные сведения о настройке работы нескольких пользователей Outlook на одном компьютере см. в статье Использование Outlook на компьютере, за которым работают несколько человек (http://go.microsoft.com/fwlink/?linkid=100528&clcid=0x419). Требования к нескольким языкам Microsoft Office 2010 обеспечивает обширную поддержку развертывания международных и многоязычных сред. Как и система Microsoft Office 2007, Office 2010 состоит из основного продукта, не зависящего от языка, и одного или нескольких языковых пакетов. Кроме средств проверки правописания, включенных в каждую языковую версию, можно загрузить и развернуть средства проверки правописания для других языков, что позволит многоязычным группам пользователей работать с файлами, созданными на разных языках, и изменять их. Outlook 2010 поддерживает Юникод в пределах всего продукта, что позволяет многоязычным организациям организовать беспрепятственный обмен сообщениями и другими данными в многоязычной среде. 75 Клиентская платформа и платформа сервера обмена сообщениями Для некоторых возможностей Outlook 2010 (например, режим кэширования данных Exchange) Microsoft Exchange Server используется как платформа обмена сообщениями. Хотя Outlook 2010 нормально работает с предыдущими версиями Exchange, для некоторых возможностей Outlook 2010 необходимы определенные версии Exchange. Из-за этого и общей интеграции с Exchange в приложении Outlook 2010 рекомендуется использовать Outlook 2010 с последней версией Exchange. Решения о развертывании Outlook 2010 зависят от используемой версии Exchange Server. Если Exchange Server используется как сервер обмена сообщениями и обновление до Exchange 2003 или более поздней версии не выполнялось, следует обновить Exchange Server при развертывании Outlook 2010. Exchange Server 2003 — это самая ранняя версия Exchange Server, которую можно использовать с Outlook 2010. Выбор времени и способа установки Outlook При установке Outlook 2010 можно выбрать время и способ ее выполнения. Например, решите, будет ли для организации лучше выполнить следующие действия. Установить или обновить Outlook для разных групп пользователей поэтапно или одновременно. Установить Outlook как автономное приложение. Установить Outlook перед установкой Office 2010, во время установки или после нее. В каждой организации используются разные среды, и выбор времени обновления Outlook 2010 будет различным. Например, в организации может быть группа по обмену сообщениями, отвечающая за обновление Outlook, и отдельная группа, планирующая развертывание других приложений Microsoft Office. В этом случае, наверное, проще всего обновить Outlook отдельно от других приложений Office, а не пытаться скоординировать развертывание, выполняемое двумя группами. Учтите, что приложение Outlook 2010 не может существовать одновременно с предыдущими версиями Outlook на одном компьютере. Чтобы использовать предыдущие версии, не устанавливайте Outlook 2010 и не выполняйте развертывание Outlook 2010 с виртуализацией приложений. Дополнительные сведения см. в разделе Определение времени установки Outlook 2010. Настройка параметров и профилей Outlook Существуют два способа настройки установки Outlook для обработки параметров и профилей пользователей Outlook. Указывать параметры пользователя Outlook в центре развертывания Office. 76 Указывать параметры управления новыми и существующими профилями Outlook в центре развертывания Office или использовать PRF-файл профилей Outlook. Например, можно разрешить пользователям Outlook переносить свои текущие профили и настройки, а для новых пользователей Outlook создаются настройки и профили по умолчанию. Можно также изменять существующие профили и создавать новые профили по умолчанию для новых пользователей Outlook. Если развертывание Outlook 2010 выполняется с развертыванием Microsoft Exchange Server 2010, в профиль можно добавить несколько учетных записей Exchange с помощью центра развертывания Office или PRF-файла. При настройке Outlook с использованием центра развертывания Office выбранные параметры установки сохраняются в файле настройки, применяемом во время процедуры установки. Впоследствии можно обновить параметры и сведения профилей, открыв этот файл в центре развертывания Office и сохранив его новую копию. Дополнительные сведения о настройке профилей Outlook см. в статье Office Customization Tool in Office 2010 (на английском языке). Важно Это известная проблема, при которой в профиль Outlook добавляется лишняя учетная запись Exchange, когда пользователь, в профиле которого уже есть учетная запись Exchange, выполняет обновление с Outlook 2003 или Outlook 2007. Эта проблема может возникнуть при обновлении Outlook и применении настроек с помощью пользовательского файла центра развертывания Office (MSP-файла) или PRF-файла, для которого заданы параметры "Изменить профиль" и "Определить изменения существующего профиля по умолчанию". Чтобы при обновлении до Outlook 2010 в одном профиле не создавалось несколько учетных записей Exchange, создайте PRF-файл и задайте свойства BackupProfile=False и UniqueService=Yes. Инструкции см. в статье После обновления с предыдущей версии Office с помощью настраиваемого MSP-файла в уже существующих профилях Outlook 2010 создается несколько учетных записей Exchange (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=199704&clcid=0x419) (Возможно, на английском языке). Настройка подписки и других функций общего доступа Как и Office Outlook 2007, Outlook 2010 содержит возможности, позволяющие легко подписаться на новые источники контента и использовать возможности совместно с пользователями внутри и вне организации. К источникам контента относятся контакты, задачи и календари Microsoft SharePoint Foundation 2010 и SharePoint Foundation 2010, а также локальные и интернеткалендари (iCals). Технология RSS (Really Simple Syndication) — это еще одна возможность совместной работы, позволяющая пользователям подписываться на внутренние или интернет-источники сводного контента (XML-файлы), чтобы устранить необходимость проверки сайтов на наличие новых сведений. Можно развернуть для пользователей определенные RSS-каналы или календарные 77 подписки, настроить параметры, чтобы определять, каким образом пользователи могут получить общий доступ к этим подписками или контенту, указать, с какой частотой серверы обновляют копии данных пользователей и т. д. Использование Outlook со службой терминалов Службы терминалов в Windows Server позволяют установить одну копию Outlook 2010 на компьютере со службами терминалов. Вместо запуска Outlook на локальных компьютерах несколько пользователей подключаются к серверу и запускают Outlook с него. Для получения оптимальных результатов при использовании Outlook со службами терминалов следует уделить внимание настройке конфигурации Outlook. Например, в Outlook 2010 можно настроить режим кэширования данных Exchange Mode и службы терминалов. Однако необходимо предоставить достаточно места на диске для размещения всех почтовых ящиков пользователей на компьютере со службами терминалов. Обратите внимание, что Outlook может оказаться частью окружения, включающего другие приложения, поддерживаемые на том же самом компьютере со службами терминалов. Зависимости объектов данных совместной работы Объекты данных совместной работы (CDO) не поддерживаются в Outlook 2010. Хотя некоторые решения, зависящие от CDO 1.2.1, могут работать, объекты CDO 1.2.1 не предназначены для работы с несколькими учетными записями Exchange, поэтому возможны непредсказуемые результаты. Для решений Outlook используйте объектную модель Outlook, а не CDO 1.2.1. Автоархивация Размер почтовых ящиков Outlook растут по мере того, как пользователи создают и принимают элементы. Для сохранения управляемости ящиков пользователям нужно другое место сохранения или архивации более старых элементов, которые хотя и важны, но используются редко. Обычно их удобнее всего автоматически перемещать в папки архива и удалять элементы, чье содержимое устарело и потеряло значение. Автоархивация Outlook 2010 может управлять этим процессом автоматически. Однако рекомендуется использовать личный архив в системе управления записями сообщений Microsoft Exchange Server 2010, так как при этом устраняется необходимость в файлах личных папок (PST). При использовании личного архива в Exchange Server 2010 архивные папки электронной почты хранятся в Интернете и пользователи могут получать к ним доступ с помощью Microsoft Outlook Web App или с дополнительного компьютера с помощью Outlook 2010. Используя эти клиентские приложения, пользователи могут просматривать архивный почтовый ящик и перемещать или копировать сообщения из основных ящиков в архивные и наоборот. Если планируется развертывание Outlook 2010 с Exchange Server 2010, следует рассмотреть использование личного архива Exchange Server 2010 вместо автоархивации Outlook 2010. Дополнительные сведения см. в разделе Общие сведения о функции личного архива: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=169269&clcid=0x419). 78 Если автоархивация будет использоваться в Outlook 2010, можно задать параметры для ее настройки в Outlook 2010, используя шаблон групповой политики Outlook (Outlk14.adm). Вместо этого можно выбрать параметры по умолчанию с помощью центра развертывания Office (OCT). В этом случае пользователи смогут менять настройки. Файлы данных Outlook (PST) Если планируется развертывание Outlook 2010 c Exchange Server 2010, рекомендуется использовать функцию личного архива в системе управления записями сообщений Exchange Server 2010, так как при этом устраняется необходимость в файлах данных Outlook (PST). При использовании личного архива в Exchange Server 2010 архив электронной почты хранится в Интернете и пользователи могут получать к ним доступ с помощью Microsoft Outlook Web App или с дополнительного компьютера с помощью Outlook 2010. Используя эти клиентские приложения, пользователи могут просматривать архивный почтовый ящик и перемещать или копировать сообщения из основных ящиков в архивные и наоборот. Дополнительные сведения см. в разделе, содержащем общие сведения о личных архивах в справке Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=169269&clcid=0x419). Если планируется развертывание Outlook 2010 с Exchange Server 2003 или Exchange Server 2007, можно настроить хранение PST-файлов локально (рекомендуется) или в сетевой папке. Настраивайте хранение PST-файлов в сетевой папке, только если сеть обладает высокой пропускной способностью и надежностью. Если PST-файлы пользователя хранятся в сетевой папке и пользователь теряет подключение к сети, взаимодействие Outlook с пользователем может ухудшиться и несохраненные изменения могут быть потеряны. Политики хранения Настройки хранения могут помочь пользователям следовать правилам политики хранения, которые компания установила для документов. С помощью Outlook 2010 нельзя развертывать параметры хранения, связанные с функцией автоархивации, через Outlook 2010 с применением групповой политики. Если требуется выполнить развертывание политик хранения, рассмотрите возможности системы управления записями сообщений в Exchange Server 2010. Дополнительные сведения см. в разделе, посвященном системе управления записями сообщений в справке Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=169263&clcid=0x419). Вопросы безопасности и конфиденциальности В Outlook включено множество возможностей для обеспечения безопасности и конфиденциальности. Центр управления безопасностью для Office Центр управления безопасностью, представленный в Office 2007, предоставляет единое местоположение параметров обеспечения безопасности и конфиденциальности. 79 Использовавшиеся в предыдущих версиях Office очень высокий, высокий, средний и низкий уровни безопасности заменены на более рациональную систему. Ограничение вирусов и нежелательной почты для пользователей Outlook 2010 содержит возможности, созданные для ограничения распространения вирусов и получения нежелательных почтовых сообщений. Как и в Office Outlook 2007, в Outlook 2010 можно настроить защиту от вирусов и другие параметры обеспечения безопасности в групповой политике для удовлетворения потребностей организации. Для настройки этих параметров можно также использовать шаблон безопасности Outlook, как это было в более ранних выпусках Outlook. Используя любой из методов настройки, можно, например, изменить список типов файлов, блокируемых в сообщениях электронной почты. Обновлена защита объектной модели, предотвращающая доступ вирусов к адресной книге Outlook с целью своего распространения. Outlook проверяет наличие последних антивирусных программ, чтобы определить, когда необходимо отображать предупреждение о доступе к адресной книге, а также других предупреждений системы безопасности Outlook. В Outlook 2010 есть несколько возможностей, позволяющих пользователям избегать получения нежелательной почты. В состав Outlook 2010 входит фильтр нежелательной почты для пользователей, заменяющий правила, использовавшиеся для фильтрации почты в предыдущих версиях Outlook. Сообщения, перехваченные фильтром, помещаются в папку нежелательной почты, где их впоследствии можно просмотреть или удалить. В Outlook 2010 входит новая функция добавления штемпеля, представленная в Office Outlook 2007 и помогающая фильтру нежелательной почты определять допустимые сообщения электронной почты. Отправители нежелательной почты могут добавлять веб-маяк к сообщениям электронной почты в формате HTML, содержащий внешнее содержимое, такое как изображения. Когда пользователи открывают или просматривают письмо, веб-маяки проверяют, является ли адрес допустимым. Это повышает вероятность того, что пользователи будут получать еще больше нежелательной почты. Блокируя автоматическую загрузку рисунков с внешних серверов по умолчанию, Outlook 2010 снижает вероятность того, что пользователи в будущем станут получать нежелательные почтовые сообщения. Outlook 2010 обеспечивает защиту в ситуациях, вызванных получением фишинговых сообщений электронной почты и ложными именами доменов. По умолчанию Outlook отслеживает фишинговые сообщения электронной почты, которые кажутся нормальными, но созданы для получения персональных данных, таких как номер банковского номера пользователя или пароль. Outlook также позволяет избежать получения сообщений электронной почты от ложных пользователей, предупреждая о подозрительных именах доменов в адресах электронной почты. Outlook 2010 поддерживает стандарт "Отображение имен доменов на разных языках" (IDN) для адресов электронной почты, что позволяет регистрировать и использовать доменные имена не на английском языке, а на родном. Поддержка стандарта IDN позволяет злоумышленникам 80 инициировать омографические атаки: при такой атаке создается похоже выглядящее имя домена с использованием букв алфавита другого языка, а не только английского, с целью ввести пользователей в заблуждение и создать впечатление, что они переходят на разрешенный вебсайт. Дополнительные сведения о планировании параметров безопасности и конфиденциальности Outlook 2010 см. в разделе Планирование обеспечения безопасности и защиты в Outlook 2010. Настройка возможностей шифрования Outlook предоставляет возможности шифрования для передачи и получения сообщений электронной почты с повышенным уровнем безопасности через Интернет или локальную интрасеть. Можно настроить эти возможности при развертывании Outlook 2010 для задания параметров и указать параметры шифрования, соответствующие потребностям организации. Можно также реализовать дополнительные возможности для дальнейшего повышения безопасности сообщений электронной почты. Например, можно предоставить метки безопасности, соответствующие политике обеспечения безопасности в организации. В качестве метки безопасности для сообщений, которые нельзя посылать или пересылать за пределы компании, можно реализовать метку "Только для внутреннего использования". Ограничение разрешений на сообщения электронной почты Служба управления правами на доступ к данным (IRM) позволяет пользователям предотвратить пересылку, изменение или копирование конфиденциальных сообщений электронной почты и другого содержимого Office 2007 (например, документов и таблиц) неавторизированными пользователями. В Outlook 2010 пользователи могут использовать службу управления правами на доступ к данным, чтобы пометить сообщения электронной почты как сообщения "Не для пересылки", что автоматически ограничивает разрешения получателей на пересылку, печать и копирование таких сообщений. Кроме того, можно определить настроенные политики разрешений службы управления правами на доступ к данным для всей системы Office с учетом потребностей организации, а затем развернуть новые политики разрешений, которые пользователи будут использовать для сообщений электронной почты и других документов Office. Outlook 2010 и протоколы и серверы электронной почты Outlook 2010 можно использовать в сочетании с разнообразными серверами и службами электронной почты. К основным серверам и службам, поддерживаемым Outlook, относятся следующие. Протокол SMTP Протокол POP3 Протокол Internet Mail Access Protocol, версия 4 (IMAP4) Интерфейс MAPI для Exchange Server (версия 2003 и более поздние) 81 Другие источники сообщений и данных, в том числе Hewlett-Packard OpenMail. Использование этих дополнительных поставщиков услуг стало возможным, благодаря тому, каким образом Outlook 2010 использует интерфейс расширяемости MAPI. HTTP поддерживается при установке Outlook Connector. Пользователи могут использовать Outlook 2010 без сервера электронной почты. Тогда возможности "Контакты", "Задачи" и "Календарь" используются в автономной конфигурации. Обновление более ранней версии Outlook Можно установить Outlook 2010 поверх любой предыдущей версии Outlook. Как и в других приложениях Office 2010, выполняется перенос хранимых в реестре пользовательских параметров. Если на пользовательском компьютере уже существует профиль MAPI, обычно можно настроить развертывание на использование этого профиля. Однако при обновлении приложения Outlook 2000 или более ранней версии, установленного в режиме "Internet Mail Only" (IMO), может возникнуть необходимость повторно создать профили пользователей. Приложение Outlook 2010 не может существовать одновременно с предыдущими версиями Outlook на одном компьютере. Если пользователям необходима предыдущая версия, не устанавливайте Outlook 2010 и не развертывайте Outlook 2010 с виртуализацией приложений. При обновлении ранних версий Outlook необходимо принять решение о настройках профилей пользователей, а также учесть проблемы режима кэширования Exchange и изменения в области факсов и форм. Обзор изменений и сведения о переносе см. в статье Изменения в Outlook 2010. Обновление с включенным режимом кэширования Exchange Обновление пользователей до Outlook 2010 с режимом кэширования Exchange, уже включенным в Office Outlook 2003 и Office Outlook 2007, выполняется очень просто. Если параметры режима кэширования данных Exchange не были изменены, они будут сохранены и для Outlook 2010. Поскольку отсутствуют изменения формата OST-файлов и файлов автономной адресной книги, то нет необходимости повторно создавать эти файлы во время установки. Однако если в организации используются OST-файлы данных Outlook в формате ANSI, могут потребоваться дополнительные шаги при переносе файлов в Outlook 2010. Пользователи с OST-файлами в формате ANSI и большие почтовые ящики Exchange могут вызвать ошибки, когда Outlook попытается синхронизировать их почтовые ящики с OST-файлами. Рекомендуется преобразовать OST-файлы пользователей в формат Юникод, так как при этом у файлов нет ограничения размера до 2 гигабайт (ГБ), как у файлов Outlook в формате ANSI. Юникод используется по умолчанию для Outlook 2010. Дополнительные сведения о преобразовании существующих OST-файлов в формате ANSI в формат Юникод см. в разделе "Принудительное преобразование OST-файлов в формате ANSI в формат Юникод" статьи Настройка режима кэширования Exchange в Outlook 2010. 82 Дополнительные сведения о планировании режима кэширования Exchange см. в статье Планирование развертывания режима кэширования данных Exchange в Outlook 2010. Дополнительные вопросы, решаемые во время планирования обновления При подготовке к обновлению необходимо решить следующие дополнительные вопросы: Следует ли выполнить обновление до Exchange Server 2010, чтобы воспользоваться новыми возможностями, такими как встроенный архив электронной почты, централизованное управление правами, поддержка нескольких учетных записей Exchange, подсказки, предварительный просмотр голосовой почты и защищенная голосовая почта? Дополнительные сведения о Exchange Server 2010 см. в статье Microsoft Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=163579&clcid=0x419). Следует ли изменить профили пользователей Outlook при обновлении? Например, можно назначить новый сервер Exchange или включить новые функции Outlook 2010. Дополнительные сведения о настройке профилей Outlook см. в статье Office Customization Tool in Office 2010 (на английском языке). Каким образом следует создавать и хранить архив существующей установки? Перед обновлением до любого нового выпуска рекомендуется создавать архив существующих данных. Дополнительные сведения об архивации файлов Outlook см. в статье Резервное копирование данных Outlook с помощью инструмента резервного копирования личных папок Microsoft Outlook (http://go.microsoft.com/fwlink/?linkid=81366&clcid=0x419). Как пользователи могут узнавать о новых компонентах и особенностях интерфейса Office 2010? Дополнительные сведения см. на веб-сайте Office.com (http://go.microsoft.com/fwlink/?linkid=169378&clcid=0x419). Будут ли влиять отключенные или новые функции и измененные функциональные возможности на выбор времени и методов обновления? Список отличий от предыдущих версий Outlook см. в статье Изменения в Outlook 2010. Обновление других программ почты и планирования Можно обновить другие программы почты и планирования до Outlook 2010. Процедура может быть упрощена при помощи функции импорта в Outlook. В следующей таблице указаны пути миграции, которые поддерживаются в Outlook 2010. Программа Версия Outlook Express 4. x, 5. x, 6. x 83 Программа Версия Eudora Pro, Eudora Light 2. x, 3. x, 4. x, 5. x, 6. x, 7. x Примечание. Импортировать файлы Microsoft Mail в Outlook 2010 и нельзя передавать данные между Outlook 2010 и Schedule Plus. См. также Office Customization Tool in Office 2010 (на английском языке) Изменения в Outlook 2010 Планирование развертывания режима кэширования данных Exchange в Outlook 2010 84 Определение времени установки Outlook 2010 Microsoft Outlook 2010 можно установить перед установкой других приложений Microsoft Office 2010, во время установки или после нее. Можно также развернуть Outlook 2010 для различных групп пользователей в разное время. Учтите, что установка Outlook 2010 без Microsoft Word 2010 ограничивает функциональность Outlook 2010 следующим образом. 1) У редактора электронной почты Outlook 2010 меньше функций. 2) Факс через Интернет недоступен. В этой статье описываются требования, преимущества и недостатки каждого метода установки. Содержание: Установка Outlook вместе с Office Установка Outlook перед Office Установка Outlook после Office Поэтапное развертывание Outlook Установка Outlook вместе с Office Приложение Outlook 2010 можно установить как часть общего обновления до пакета Office 2010. Outlook 2010 включен в большинство версий системы Microsoft Office. Чтобы избежать дополнительных операций, связанных с отдельным развертыванием приложения, установите Outlook 2010 с Office 2010. Установка Outlook перед Office Перечисленные ниже сценарии предусматривают установку приложения Outlook 2010 до развертывания других приложений из пакета Office 2010: Проверка пользовательских решений, опирающихся на предыдущие версии приложений Office (например, Microsoft Office Word 2007 и Microsoft Office Excel 2007), перед установкой текущей версии. Группа поддержки системы сообщений имеет достаточные ресурсы для немедленной установки приложения Outlook 2010, а группа поддержки приложений для настольных компьютеров должна приступить к установке остального пакета Office позднее. Учтите, что Outlook 2010 не может сосуществовать с предыдущими версиями Microsoft Outlook. Если пользователям или каким-то средствам необходимо наличие предыдущей версии, не устанавливайте Outlook 2010, пока среда не сможет поддерживать Outlook 2010, или выполните развертывание Outlook 2010 с виртуализацией приложений. 85 Чтобы установить Outlook 2010 перед установкой Office 2010, выполните следующие действия. 1. Настройте программу установки Office так, чтобы выполнялась только установка приложения Outlook 2010 из точки сетевой установки. 2. Воспользуйтесь центром развертывания Office для создания или обновления файла параметров настройки установки, посредством которого устанавливается пакет Office 2010 из той же точки сетевой установки. Дополнительные сведения о поэтапной установке приложений Office 2010 см. в статье Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office (http://go.microsoft.com/fwlink/?linkid=162650&clcid=0x419). Преимущества установки Outlook перед Office Если быстро развернуть Outlook 2010, пользователи смогут начать использование новых функций, не дожидаясь пока тестирование и техническая поддержка будут готовы к полному обновлению. Недостатки установки Outlook перед Office Установка приложения Outlook 2010 перед установкой остального пакета Office 2010 имеет следующие недостатки. Если другие приложения Office 2010 развертываются позднее, придется настраивать процесс установки таким образом, чтобы сохранить первоначальные параметры приложения Outlook 2010. Функциональные возможности редактора Outlook 2010 ограничены, если одновременно не было установлено приложение Word 2010. Предварительный просмотр вложения в Outlook 2010 не применяется к файлам формата Microsoft Office 2003 и более ранних версий. При использовании одной и той же точки сетевой установки для приложения Outlook 2010 и пакета Office 2010 приходится выполнять дополнительные операции по изменению параметров установки. Установка Outlook после Office Можно отложить установку приложения Outlook 2010 до тех пор, пока не будет установлен пакет Office 2010. Если какой-нибудь из следующих сценариев соответствует ситуации в организации клиента, он может рассмотреть вопрос о целесообразности отложить развертывание приложения Outlook 2010. Планируется скоординировать развертывание Outlook 2010 с будущим обновлением Microsoft Exchange Server. Есть желание перейти от Lotus Notes к решению Exchange Server перед обновлением до пакета Outlook 2010. 86 Группа поддержки настольных компьютеров имеет достаточные ресурсы для немедленного обновления до пакета Office 2010, но группа поддержки системы сообщений еще не готова к развертыванию приложения Outlook 2010. Чтобы установить Outlook 2010 после установки Office 2010, выполните следующие действия. 1. Настройте программу установки Office так, чтобы выполнялась только установка приложения Office 2010 без Outlook 2010 из точки сетевой установки. 2. Воспользуйтесь центром развертывания Office для создания или обновления файла параметров настройки установки, посредством которого устанавливается пакет Outlook 2010 из той же точки сетевой установки. Дополнительные сведения о поэтапной установке приложений Office 2010 см. в статье Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office (http://go.microsoft.com/fwlink/?linkid=162650&clcid=0x419). Преимущества установки Outlook после Office Для многих организаций имеет смысл скоординировать развертывание приложения Outlook 2010 с обновлением почтового сервера, а не с обновлением других приложений для настольных компьютеров. Например, если планируется провести обновление до новой версии Exchange Server, можно наметить сразу после этого обновление приложения Outlook 2010, независимо от обновления других приложений Office 2010, чтобы воспользоваться преимуществами функций, работающих совместно между сервером и клиентом электронной почты. Недостатки установки Outlook после Office Если пакет Office устанавливается без приложения Outlook 2010, следует использовать центр развертывания Office для настройки программы установки. Это позволит гарантировать сохранение предыдущих версий Outlook на компьютерах пользователей. Вне зависимости от того, когда и как устанавливается приложение Outlook 2010 отдельно от пакета Office 2010, необходимо выполнить дополнительные операции по управлению настройками процесса установки. Поэтапное развертывание Outlook Некоторые группы в организации клиента могут быть готовы к немедленному обновлению приложения Outlook 2010, тогда как другим группам может потребоваться больше времени. Поэтапное развертывание Outlook 2010 может оказаться целесообразным в следующих ситуациях. Поэтапное обновление является обычной политикой организации, чтобы обеспечить плавный переход всех служб на новое программное обеспечение. 87 В организации имеются удаленные группы системной поддержки (например, в региональных офисах продаж), которым требуется определенная автономия в планировании обновлений для своих регионов. Некоторые группы хотели бы дождаться завершения текущего проекта, прежде чем вносить изменения в программное обеспечение своих локальных компьютеров. Ограниченные ресурсы организации диктуют необходимость поэтапного обновления систем. Преимущества поэтапного развертывания Поэтапное развертывание приложения Outlook 2010 придает больше гибкости в управлении ресурсами обновления. Кроме того, первые пользователи немедленно знакомятся с новыми функциями и средствами повышения производительности Outlook 2010. В большинстве случаев не возникает серьезных технических проблем при работе пользователей с различными версиями Outlook. Пользователи Outlook 2010 могут легко обмениваться информацией с пользователями Office Outlook 2007 и Office Outlook 2003. Однако, если пользователи применяют передачу прав доступа в Outlook, лицо, предоставляющее право доступа, и лицо, пользующееся этим правом, должны работать с одной и той же версией Outlook. Недостатки поэтапного развертывания Необходимо учитывать логистику планирования и управления поэтапным развертыванием. Организации могут потребоваться дополнительные ресурсы для поддержки пользователей с различными версиями одного и того же продукта; например, может понадобиться дополнительное обучение персонала службы поддержки. Дополнительные сведения о поэтапной установке приложений Office 2010 см. в статье Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office (http://go.microsoft.com/fwlink/?linkid=162650&clcid=0x419). См. также Обзор планирования для Outlook 2010 Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office 88 Определение компонентов, которые требуется включить или настроить, в Outlook 2010 В этой статье приведен исходный список компонентов Microsoft Outlook, которые может потребоваться настроить и развернуть с Microsoft Outlook 2010, например карточки контактов и Outlook Social Connector. Сведения о параметрах безопасности и защиты см. в статье Планирование обеспечения безопасности и защиты в Outlook 2010. Настройку Outlook 2010 можно выполнить с помощью групповой политики или центра развертывания Office. Для принудительного применения параметров используйте шаблон групповой политики Outlook 2010 (Outlk14.adm), а для некоторых параметров, например для параметров карточек контактов, шаблон групповой политики Microsoft Office 2010 (Office14.adm). Сведения о загрузке административного шаблона Outlook 2010 и о других административных шаблонах Office 2010 см. в статье Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (на английском языке). Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для Office 2010 и Принудительное применение параметров с помощью групповой политики в Office 2010. Для настройки параметров по умолчанию при наличии такой возможности и достаточных прав следует использовать центр развертывания Office. Параметры центра развертывания находятся в соответствующих разделах параметров групповой политики на странице Изменение параметров пользователя центра развертывания. Дополнительные сведения о центре развертывания Office см. в статье Office Customization Tool in Office 2010 (на английском языке). Для настройки с помощью групповой политики или центра развертывания Office доступны два новых компонента: карточки контактов и Outlook Social Connector. Настройка компонентов Outlook 2010 "Быстрые действия" и "Очистка" с помощью групповой политики или центра развертывания не поддерживается. Настройка компонента "Почтовые подсказки" осуществляется администратором исключительно с помощью Microsoft Exchange Server 2010. Однако при необходимости пользователи могут настроить пользовательские параметры для этих трех компонентов в Outlook 2010. Для доступа к параметрам пользователей для компонентов "Очистка" и "Почтовые подсказки" на вкладке Файл выберите пункт Параметры и затем элемент Почта. Для управления компонентом "Быстрые действия" в Outlook 2010 на вкладке Главная в группе Быстрые действия щелкните расположенную в нижнем правом углу кнопку развертывания. Дополнительные сведения о настройке компонента "Почтовые подсказки" в Exchange Server 2010 см. в статьях Общие сведения о подсказках (http://go.microsoft.com/fwlink/?linkid=181931&clcid=0x419) и Управление подсказками (http://go.microsoft.com/fwlink/?linkid=181934&clcid=0x419). 89 Содержание: Автоархивация Карточки контактов Представление беседы Синхронизация с глобальным списком адресов Интернет-календари Мгновенный поиск Область навигации Outlook Social Connector Папки поиска Надстройка SharePoint Server "Коллега" Автоархивация Outlook 2010С помощью функции автоархивации можно настроить управление сообщениями электронной почты в пользовательских почтовых ящиках. С помощью параметров архивации для пользователей организации можно настроить, например, частоту выполнения автоархивации и необходимость запроса пользователей на ее выполнение. Если планируется развертывание Outlook 2010 с Exchange Server 2010, рассмотрите возможность использования функции личного архива Exchange Server 2010 вместо функции автоархивации Outlook 2010. Дополнительные сведения см. в статье Общие сведения о личных архивах: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=169269&clcid=0x419). Сведения о планировании обеспечения соответствия и архивации см. в статье Планирование обеспечения соответствия и архивации в Outlook 2010. По умолчанию функция автоархивации включена и запускается автоматически, с запланированными интервалами, удаляя старые или просроченные элементы из папок. Старыми называются элементы, достигшие выбранного пользователем возраста архивации (выбранное по умолчанию значение зависит от типа элемента Outlook). Просроченными называются элементы сообщений и собраний, содержимое которых через определенное время теряет актуальность. Например, это элемент сообщения, срок действия которого в соответствии с настройкой истек два месяца назад, и который все еще находится в папке входящих. Пользователи могут указать дату истечения срока действия элемента в Outlook 2010 при создании или отправке элемента, или позже. Просроченный элемент становится недоступным и отображается в списке папки в виде перечеркнутого значка. После запуска автоархивации элементы удаляются или перемещаются в папку архива в зависимости от выбранной настройки. Файл архива — это файл данных Outlook (файл PST), который отображается с именем Архивные папки в списке папок Outlook 2010. При первом запуске автоархивации в Outlook 2010 файл архива автоматически создается в следующем расположении: 90 %UserProfile%\AppData\Local\Microsoft\Outlook\Archive.pst При необходимости можно заблокировать параметры настройки автоархивации с помощью шаблона групповой политики Outlook (Outlk14.adm). Эти параметры располагаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры Outlook\Другие\Автоархивация. Также можно настроить параметры по умолчанию с помощью центра развертывания Office. В этом случае поддерживается изменение параметров пользователями. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметры автоархивации, которые можно выбрать в этом разделе, перечислены в следующей таблице. Параметр Описание Включить автоархивацию Запуск автоархивации для пользователей с частотой, которая определяется параметром Автоархивация каждые <x> дн. Автоархивация каждые <x> дн. Ввод интервала автоархивации в днях. Запрос перед автоархивацией Отображение уведомлений для пользователей о начале автоархивации. Удалять просроченные элементы (только почта) Удаление просроченных сообщений электронной почты вместо перемещения в папку архива. Архивировать или удалять старые элементы Перемещение элементов Outlook в файлы архивов или удаление элементов. Показывать папку архива в списке папок Отображение папки архива в пользовательском списке папок Outlook. Удалять элементы старше Выбор времени хранения элементов до момента архивации или удаления. Удалять старые элементы навсегда Удаление элементов без возможности восстановления вместо перемещения в папку удаленных элементов. Карточки контактов В Microsoft Office 2010 карточки контактов отображаются при удержании указателя мыши над именем, например над именем отправителя сообщения электронной почты или именем автора в 91 документе Office 2010. При установке Office 2010 с Office Communicator 2007 R2 или Office Communicator Server 2007 R2 в карточках контактов отображаются сведения о доступности пользователя, что позволяет быстро начать беседу посредством функций обмена мгновенными сообщениями, голосовой или видеосвязи. Если развернуть карточку контакта, можно просмотреть вкладки Контакт, Организация и Участие в группе. Вкладка Контакт — это представление по умолчанию, в котором отображаются сведения, в том числе подразделение, место расположения офиса и номер рабочего телефона. На вкладке Организация отображается руководитель контакта и контакты с общим руководителем. На вкладке Участие в группе отображаются списки рассылки, участником которых является контакт. В Office 2010 можно настраивать карточки контактов, отключая определенные компоненты и задавая отображаемые значки присутствия. На вкладке Контакт карточки контакта можно заменять названия и значения. Доступные для настройки параметры карточек контактов описываются в следующих двух разделах. Обратите внимание, что существует известная проблема, связанная с использованием параметров групповой политики и центра развертывания Office для настройки вкладки Контакт, для которой существует обходное решение. Для настройки вкладки Контакт необходимо вручную развернуть соответствующие разделы реестра. См. статью, посвященную обходному решению для настройки вкладки "Контакт" карточки контакта (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=184612&clcid=0x419) (Возможно, на английском языке). Карточка контакта В групповой политике параметры, приведенные в следующей таблице, располагаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Office 2010\Карточка контакта. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметр Описание Настройка значков присутствия Настройка параметров отображения значков присутствия. Показывать все Отображение значков присутствия. Показывать некоторые Отображение значков присутствия только в карточке контакта и в списках в Microsoft SharePoint 2010. Не показывать Отключение значков присутствия. Отображать прежнее диалоговое окно Отображение диалогового окна глобального списка адресов вместо карточки контакта при 92 Параметр Описание глобального списка адресов двойном щелчке контакта в Outlook. Не отображать меню при наведении указателя мыши Отключение отображения меню при удержании указателя мыши на значке присутствия или отображаемом имени контакта. Не показывать фотографию Отключение отображения фотографии в карточке контакта, заголовке сообщения электронной почты, области чтения, результатах быстрого поиска, диалоговом окне глобального списка адресов и на вкладке Файл. Удалить вкладку "Участие в группе" Удаление вкладки Участие в группе из карточки контакта. Удалить вкладку "Организация" Удаление вкладки Организация из карточки контакта. Отключить возможность вызова мгновенных сообщений Удаление функции обмена мгновенными сообщениями из карточки контакта и с ленты Outlook. Отключить возможность звонка по телефону Удаление функции звонка по телефону из карточки контакта и с ленты Outlook. Отключить интеграцию оповещения о присутствии Отключение интеграции оповещения о присутствии для приложений Office 2010. Вкладка контакта Существует известная проблема, связанная с использованием параметров групповой политики и центра развертывания Office для настройки вкладки Контакт, для которой существует обходное решение. Для настройки вкладки Контакт необходимо вручную развернуть соответствующие разделы реестра. См. статью Обходное решение для настройки вкладки "Контакт" карточки контакта (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=184612&clcid=0x419) (Возможно, на английском языке). Следующие параметры вкладки Контакт в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Office 2010\Карточка контакта групповой политики, а также в соответствующих местах на странице Изменение параметров пользователей в центре развертывания Office будут полностью функциональны в более позднем выпуске административных шаблонов. 93 Для настройки вкладки Контакт карточки контакта в Outlook 2010 воспользуйтесь параметрами Заменить свойство MAPI. Чтобы настроить вкладку Контакт для других приложений Office 2010, например Microsoft Word 2010, воспользуйтесь параметрами Заменить атрибут Active Directory. Дополнительные сведения об атрибутах Active Directory см. в статьях Наборы свойств в сервере Exchange Server 2007 (http://go.microsoft.com/fwlink/?linkid=183812&clcid=0x419) и Атрибуты, определяемые в Active Directory (Windows) (Возможно, на английском языке) ( http://go.microsoft.com/fwlink/?linkid=183814&clcid=0x419). Дополнительные сведения о свойствах MAPI см. в статье Пользовательские свойства почты (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183815&clcid=0x419) (Возможно, на английском языке) Параметр Описание Переместить строку календаря Перемещение значения поля Календарь для заданной строки в другое место в карточке контакта с заменой размещающегося в новом месте значения. Переместить строку размещения Перемещение значения поля Расположение для заданной строки в другое место в карточке контакта с заменой размещающегося в новом месте значения. Заменить подпись — должность Ввод нового имени в поле Должность (должность, отдел). Заменить подпись — расположение Ввод нового имени в поле Комната (расположение комнаты). Заменить подпись — рабочий телефон Ввод нового имени в поле Рабочий (рабочий телефон). Заменить подпись — мобильный телефон Ввод нового имени в поле Мобильный (мобильный телефон). Заменить подпись — домашний телефон Ввод нового имени в поле Домашний (домашний телефон). Заменить подпись — адрес электронной почты Ввод нового имени в поле Электронная почта (адрес электронной почты). Заменить подпись — календарь Ввод нового имени в поле Календарь (сведения о занятости). Заменить подпись — расположение Ввод нового имени в поле Расположение (сведения о расположении). 94 Параметр Описание Заменить атрибут Active Directory — "должность, отдел" Ввод атрибута Active Directory (AD), замещающего значение поля Должность. Например, чтобы отображать псевдоним электронной почты, введите атрибут sAMAccountName. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "должность, отдел". Заменить атрибут Active Directory — "расположение комнаты" Ввод атрибута Active Directory (AD), замещающего значение поля Комната. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "расположение комнаты". Заменить атрибут Active Directory — "рабочий телефон" Ввод атрибута Active Directory (AD), замещающего значение поля Рабочий. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "рабочий телефон". Заменить атрибут Active Directory — "мобильный телефон" Ввод атрибута Active Directory (AD), замещающего значение поля Мобильный. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "мобильный телефон". Заменить атрибут Active Directory — "домашний Ввод атрибута Active Directory (AD), телефон" замещающего значение поля Домашний. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "домашний телефон". Заменить атрибут Active Directory — "адрес электронной почты" Ввод атрибута Active Directory (AD), замещающего значение поля Электронная почта. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "адрес электронной почты". Заменить атрибут Active Directory — "сведения Ввод атрибута Active Directory (AD), 95 Параметр Описание о доступности в календаре" замещающего значение поля Календарь. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "сведения о доступности в календаре". Заменить атрибут Active Directory — "сведения о расположении" Ввод атрибута Active Directory (AD), замещающего значение поля Расположение. Если включен этот параметр, также необходимо задать атрибут Заменить свойство MAPI — "сведения о расположении". Заменить свойство MAPI — "должность, отдел" Ввод свойства MAPI, замещающего значение поля Должность. Например, для отображения псевдонима электронной почты введите свойство MAPI 0x3a00001f. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory — "должность, отдел". Заменить свойство MAPI — "расположение комнаты" Ввод свойства MAPI, замещающего значение поля Комната. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory — "расположение комнаты". Заменить свойство MAPI — "рабочий телефон" Ввод свойства MAPI, замещающего значение поля Рабочий. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory — "рабочий телефон". Заменить свойство MAPI — "мобильный телефон" Ввод свойства MAPI, замещающего значение поля Мобильный. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory — "мобильный телефон". Заменить свойство MAPI — "домашний телефон" Ввод свойства MAPI, замещающего значение поля Домашний. Если включен этот параметр, также 96 Параметр Описание необходимо задать атрибут Заменить атрибут Active Directory - "домашний телефон". Заменить свойство MAPI — "адрес электронной почты" Ввод свойства MAPI, замещающего значение поля Электронная почта. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory — "адрес электронной почты". Заменить свойство MAPI — "сведения о доступности в календаре" Ввод свойства MAPI, замещающего значение поля Календарь. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory — "сведения о доступности в календаре". Заменить свойство MAPI — "сведения о расположении" Ввод свойства MAPI, замещающего значение поля Расположение. Если включен этот параметр, также необходимо задать атрибут Заменить атрибут Active Directory - "сведения о расположении". Представление беседы В представлении беседы отображаются цепочки сообщений электронной почты в папке Microsoft Outlook. Чтобы открыть представление беседы в Outlook 2010, выберите Вид установите флажок Показывать как беседы. В следующей таблице перечислены параметры представления беседы, которые можно настроить в групповой политике и с помощью центра развертывания Office. В групповой политике эти параметры размещены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры Outlook\Параметры\Параметры электронной почты. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. 97 Параметр Описание Настройка режима содержимого разных папок в представлении беседы Включение и выбор контента папок электронной почты для включения в представление беседы. Включен: все файлы данных Отображаются сообщения электронной почты из всех подключенных файлов данных Outlook независимо от того, кэшируются они на локальном компьютере или доступны в Интернете. Выключен В представлении беседы отображаются только сообщения электронной почты из текущей папки (например, "Входящие"). Включен: текущий файл данных В представлении беседы отображаются только сообщения электронной почты из просматриваемого в текущий момент файла данных Outlook. Включен: локальные файлы данных Отображаются только сообщения электронной почты из просматриваемого в текущий момент файла данных Outlook и любых других локальных файлов данных Outlook (например, файлы персональных данных с расширением PST). Запретить использование представления сообщений по беседам Существует известная проблема с пояснительным текстом для этого параметра, которая будет исправлена в более позднем выпуске административных шаблонов. Если этот параметр не настроен, в представлениях Outlook 2010 по умолчанию отображается представление даты. Включите этот параметр, чтобы запретить использование представления беседы пользователями Outlook 2010. Отключите этот параметр, чтобы включить представление беседы в качестве представления Outlook 2010 по умолчанию. 98 Синхронизация с глобальным списком адресов Outlook 2010 синхронизирует записи папки Контакты с контактами в глобальном списке адресов Exchange, если они имеют соответствующие SMTP-адреса. Это односторонняя синхронизация: из глобального списка адресов в папку OutlookКонтакты. Несоответствия в телефонных номерах контактов могут возникнуть, если записи телефонных номеров в пользовательской папке OutlookКонтакты созданы в формате, отличном от используемого в корпоративном глобальном списке адресов. Например, для региональных стандартов может требоваться один тип формата префикса телефонного номера для звонков в пределах страны и другой — для звонков из-за границы. Если пользователь создает контакты Outlook 2010 с форматом префикса для звонков из-за границы, при обновлении контактов Outlook 2010 из глобального списка адресов происходит "коррекция смещения". При этой коррекции телефонные номера, созданные пользователем в контактах Outlook, перезаписываются и перемещаются в смежное поле телефонного номера. Например, телефонный номер в поле "Рабочий" перемещается в поле "Рабочий 2". Дополнительные сведения о коррекции смещения см. в разделе Коррекции контактов Outlook во время синхронизации с глобальным списком адресов. После выполнения синхронизации невозможно отменить изменения в массовом порядке. Тем не менее пользователь может обновить контакты Outlook вручную либо, если отличий много, восстановить почтовый ящик Exchange. Возможно программное решение, но оно требует сложной проверки данных для извлечения предыдущих значений из поля Примечания. Такие решения быстро становятся неосуществимыми для крупной корпорации. Однако, если синхронизация контактов является большой проблемой для организации, ее можно отключить в Outlook 2010 либо перед развертыванием Microsoft Office 2010, либо при возникновении этой проблемы. Коррекции контактов Outlook во время синхронизации с глобальным списком адресов Если контакт Outlook обновляется посредством синхронизации с глобальным списком адресов, Outlook "корректирует" несовпадающие поля контакта, используя один из следующих методов: Нормальная коррекция При нормальной коррекции Outlook заносит старое значение поля в поле Примечания, а затем обновляет поле новым значением из глобального списка адресов. Коррекция смещения При коррекции смещения Outlook перемещает старое значение поля в смежное поле. Если выполнить это действие не удается, Outlook выполняет нормальную коррекцию. Если все поля в группе контактов заполнены, коррекция смещения становится нормальной коррекцией Для следующих полей метод коррекции смещения используется по умолчанию. Для остальных полей Outlook всегда выполняет нормальную коррекцию. 99 Группа рабочих телефонов Рабочий телефон Рабочий телефон 2 Другой телефон Группа домашних телефонов Домашний телефон Домашний телефон 2 Другой телефон Группа мобильных телефонов Мобильный телефон Другой телефон Группа рабочих адресов Рабочий адрес Другой адрес Группа домашних адресов Домашний адрес Другой адрес Настройка синхронизации с глобальным списком адресов В Outlook 2010 синхронизация с глобальным списком адресов включена по умолчанию. Синхронизацию глобального списка адресов с контактами Outlook можно отключить, настроив параметр Блокировать синхронизацию с глобальным списком адресов в групповой политике. После применения этого параметра групповой политики пользователи не смогут изменить настройку. Если для отключения синхронизации с глобальным списком адресов используется центр развертывания Office, пользователи могут включить ее в пользовательском интерфейсе. Для этого необходимо перейти на вкладку Вид на ленте, щелкнуть стрелку раскрывающегося списка рядом с кнопкой Область пользователей, выбрать из списка команду Параметры учетной записи и нажать кнопку Параметры в нижней части диалогового окна Учетные записи социальных сетей. Можно настроить параметры синхронизации с глобальным списком адресов в следующей таблице. Параметры в групповой политике можно найти в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Outlook Social Connector. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Описание действий по настройке этих параметров см. в статье Отключение синхронизации списка глобальных адресов для Outlook 2010. 100 Параметр Описание Блокировать синхронизацию с глобальным списком адресов Включение блокировки синхронизации контактов между Outlook и глобальным списком адресов. Если отключить или не настроить этот параметр, синхронизация с глобальным списком адресов будет включена. Задать интервал синхронизации контактов с глобальным списком адресов Включение управления периодичностью (в минутах) синхронизации данных контактов между Outlook и подключенными социальными сетями. По умолчанию, если эта политика отключена или не настроена, данные контактов синхронизируются один раз в день или каждые 1440 минут. Можно настроить запрос на обновление при синхронизации с глобальным списком адресов вместо обновления без запроса (которое является поведением по умолчанию), настроив параметры реестра, перечисленные в следующей таблице. Описание действий для развертывания данных реестра см. в статье Отключение синхронизации списка глобальных адресов для Outlook 2010. Корень Тип Ключ Имя параметра Значение данн ых HKEY_CURR ENT_USER DW Software\ ScheduleConta ORD Microsoft\Office\Outlook ctGALSync \SocialConnector Настраивает конфигурацию синхронизации с глобальным списком адресов. Эту конфигурацию можно переопределить из пользовательского интерфейса на вкладке ленты Вид, щелкнув стрелку раскрывающегося списка рядом с кнопкой Область пользователей, выбрав команду Параметры учетной записи и нажав кнопку Параметры в диалоговом окне 101 Корень Тип Ключ Имя параметра Значение данн ых Учетные записи социальных сетей. 0 = не синхронизировать контакты с глобальным списком адресов 1 = автоматически обновлять контакты последними данными из глобального списка адресов 2 = выводить запрос перед обновлением контактов последними данными из глобального списка адресов HKEY_CURR ENT_USER Стр ока Software\ GalSyncExclud Microsoft\Office\Outlook edLocales \SocialConnector Сведения о кодах стран см. в стандарте ISO 3166-1 alpha-3 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?link id=197158&clcid=0x419) (Возможно, на английском языке). Важно! Это значение реестра учитывается, только если нет раздела ScheduleContactGALSy nc. Раздел ScheduleContactGALSy nc создается, если пользователь задает параметры синхронизации с глобальным списком адресов вручную из пользовательского интерфейса. 102 Интернет-календари Интернет-календарь — это календарь, который можно опубликовать на интернет-сайте, где он становится доступен для просмотра и подписки другим пользователям. Можно создать интернеткалендарь из календаря, отправить его в качестве вложения в сообщение электронной почты и передать его в Office.com или на сервер WebDAV для публикации. Также можно принимать интернет-календари в виде вложений в сообщения электронной почты или загружать файлы сторонних интернет-календарей для оформления подписки на них. Дополнительные сведения см. в статье Введение в публикацию интернет-календарей (http://go.microsoft.com/fwlink/?linkid=193168&clcid=0x419). В Outlook 2010 можно настраивать функции подписки на интернет-календари. Можно отключить подписки на интернет-календари в Outlook 2010, если, например, из-за недостаточной пропускной способности требуется отложить оформление подписки на интернет-календари. По умолчанию подписка на интернет-календари включена. Также можно развернуть подписки на интернет-календари по умолчанию, которые пользователи смогут изменять и удалять. При необходимости можно заблокировать подписки, запретив пользователям вносить изменения или удалять их. Однако пользователи смогут добавлять новые подписки. По умолчанию подписки на интернет-календари отсутствуют, однако пользователи могут добавлять и удалять их. В Outlook 2010 задается интервал синхронизации, обеспечивающий обновление всех подписок на интернет-календари через рекомендуемые издателем периоды времени. Если это явно не запрещено, пользователи могут переопределять установленные по умолчанию интервалы. Слишком частое обновление может привести к снижению производительности. Включите параметр групповой политики Переопределить интервал синхронизации публикации, чтобы принудительно применять установленные издателем интервалы обновления и запретить их изменение пользователями. Этот параметр используется для всех подписок на интернет-календари. Установка этого параметра для отдельных подписок не поддерживается. В следующей таблице перечислены параметры интернет-календарей, которые можно настроить в групповой политике и с помощью центра развертывания Office. В групповой политике эти параметры размещены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Настройка учетных записей\Интернет-календари. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметры Описание Автоматически загружать вложения Включение автоматической загрузки вложений (например, графиков) для встреч из интернеткалендаря. Подписки на интернет-календари по умолчанию Добавление URL-адресов, которые требуется добавить в каждый пользовательский профиль в качестве подписки на интернет-календарь. 103 Параметры Описание Отключить перемещение интернет-календарей Предоставление доступа к интернеткалендарям только на клиентах, к которым они изначально были привязаны. Не включать интеграцию с интернеткалендарями в Outlook Запрет на подписку пользователей на интернет-календари в Outlook. Переопределить интервал синхронизации публикации Запрет на переопределение пользователями интервалов синхронизации, установленных поставщиками интернет-календарей. Мгновенный поиск В Microsoft Outlook 2010 пользователи могут использовать возможность мгновенного поиска для быстрого поиска элемента (например, сообщения электронной почты, задачи или встречи). Элемент, соответствующий критерию поиска, выделяется. Пользователи могут фильтровать результаты, вводя дополнительные буквы (поиск по мере ввода символов). Функция мгновенного поиска в Outlook 2010 работает посредством доступа к индексированному контенту. Индексирование контента Outlook позволяет быстрее получать результаты поиска. По умолчанию индексируется текст всех элементов Outlook, доступ к которым не ограничен, включая вложения. Этот процесс выполняется при первом запуске Outlook 2010. Можно отключить полное индексирование текста или только индексирование вложений. Индексирование выполняется в фоновом режиме и только при наличии дополнительных обрабатывающих ресурсов на компьютере пользователя. Управление индексированием поиска в Outlook определяется следующими параметрами Windows: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Search\PreventIndexingO utlook HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Search\PreventIndexingE mailAttachments Зашифрованные элементы и элементы, доступ к которым ограничен в результате использования службы управления правами на доступ к данным, не индексируются. Если приложение Outlook 2010 установлено на компьютере под управлением ОС Windows Vista или Windows 7, можно настроить параметры индексирования поиска для Outlook с помощью групповой политики или центра развертывания Office. 104 В следующей таблице перечислены доступные для настройки параметры мгновенного поиска. В групповой политике эти параметры размещены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры Outlook\Параметры\Параметры поиска. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметр Описание Изменить цвет выделения совпадений поиска Выбор цвета фона, используемого для выделения совпадений в результатах поиска (по умолчанию используется желтый). Не выделять найденные совпадения в результатах поиска Отключение выделения найденных совпадений. Не отображать результаты поиска во время ввода запроса Отключение отображения результатов поиска при вводе пользователем запроса поиска (отключение функции отображения результатов по мере ввода символов в Word). Не включать серверный архив при поиске во всех элементах почты При поиске во всех элементах почты по умолчанию не включаются результаты поиска из серверного архива. Расширить область поиска Расширение области поиска для мгновенного поиска до всех папок в текущем модуле (например, "Почта" или "Календарь"). По умолчанию при мгновенном поиске в Outlook возвращаются результаты только из выбранной папки. Предотвратить индексирование текста и вложений сообщений с подписью открытым текстом Отключение индексирования текста и вложений для сообщений с подписью открытым текстом. Отправитель, строка темы и дата по-прежнему индексируются и доступны для поиска. Отключить приглашения установки в случае отсутствия компонента "Панель поиска Windows" При запуске Outlook запрещает отображение диалогового окна, запрашивающего необходимость загружать панель поиска Windows (если оно еще не установлено). Также удаляет из Outlook ссылки, позволяющие пользователям загрузить панель поиска Windows. 105 Параметр Описание Отключить автоматическое согласование индекса поиска Отключение автоматической проверки целостности индекса поиска Outlook, которая выполняется каждые 72 часа. Область навигации В Outlook 2010 модули в области навигации (например "Календарь", "Почта" и т. д.) можно настроить для отображения в определенном порядке или для отображения только некоторых модулей. Можно использовать параметр центра развертывания Office (OCT) Добавление записей в реестр для распределения разделов реестра, определяющих отображение модулей. Для блокировки параметров области навигации нельзя использовать групповую политику. В следующей таблице перечислены параметры реестра, которые можно настроить для выборочной установки. Корень Тип данных Раздел Имя Значение параметра HKEY_CURRENT _USER REG_DW ORD Software\Microsoft\Office\14.0\Outloo NumBigMo k\Preferences dules Управляет числом больших кнопок (представля ющих модули области навигации), отображаем ых в области навигации. Значение по умолчанию: 4. Максимальн ое значение: 8. HKEY_CURRENT REG_SZ Software\Microsoft\Office\14.0\Outloo ModuleOrd Определяет порядок 106 Корень Тип Раздел данных _USER Имя Значение параметра k\Preferences er отображения модулей в области навигации. Данные — упорядоченн ый список индексов, в котором каждая позиция представляе т модуль области навигации, а число в этой позиции определяет, где соответству ющий модуль отображаетс я. По умолчанию: 1,2,3,4,5,6,7, 8. Позиции индекса, соответству ющие этому списку: "Почта", "Календарь", "Контакты", "Задачи", "Заметки", "Список папок", 107 Корень Тип данных Раздел Имя Значение параметра "Ярлыки", "Журнал". Например, если пользовател ь переключает отображени е модуля "Почта" в третью позицию, а модуля "Контакты" — в первую, значение реестра будет иметь такие данные: 3,2,1,4,5,6,7, 8 HKEY_CURRENT _USER REG_SZ Software\Microsoft\Office\14.0\Outloo ModuleVisi k\Preferences ble Определяет, отображаетс я ли модуль в области навигации. Значения соответству ют позициям, используем ым в списке порядка модулей. По умолчанию: 1,1,1,1,1,1,1, 0. 108 Корень Тип Раздел данных Имя Значение параметра Например, первая позиция определяет отображени е модуля "Почта". По умолчанию, модуль "Журнал" не отображаетс я в области навигации. Также можно отключить отображени е других модулей. Например, для отключения отображения модулей Контакты, Задачи, Заметки и Ярлыки задайте такие данные: 1,1,0,0,0,1,0, 0. Outlook Social Connector Outlook Social Connector — это надстройка, предоставляющая доступ к данным из социальных сетей, в том числе друзьям, профилям, действиям и сведениям о состоянии в Outlook 2010. В области пользователей в нижней части сообщения электронной почты отображаются сведения 109 об отправителе (в том числе фотография, имя и должность), журнал сообщений для этого пользователя (в том числе собрания и вложения), а также веб-каналы активности пользователей из социальных сетей. Чтобы использовать преимущества функций Outlook Social Connector, необходимо запускать Outlook 2010 в режиме кэширования Exchange с панелью поиска. Кроме того, требуется настройка личного сайта Microsoft SharePoint Server 2010 для пользователей. В такой конфигурации локальные элементы, в том числе сообщения электронной почты, собрания и вложения от отправителя, будут включаться в журнал сообщений. Кроме того, если настроен личный сайт, можно просматривать веб-канал активности с личного сайта отправителя. Если приложение Outlook 2010 запущено в интерактивном режиме, в журнале сообщений отображаются только те элементы, связанные с отправителем, которые хранятся на сервере. Также поддерживается отображение сведений веб-каналов активности об отправителе только от поставщиков социальных сетей по запросу, например, Facebook. Веб-каналы активности с личного сайта пользователя недоступны. Чтобы включить в Outlook Social Connector сведения с личного сайта пользователя, необходимо запустить Outlook 2010 в режиме кэширования Exchange с панелью поиска Windows и настроить раздел реестра MySiteHost, как описано в следующей таблице. Корень Тип Ключ Имя данны параметр х а Значение HKEY_CURRENT _USER REG_ SZ Software\Policies\Microsoft\Office\14.0\com mon\Portal\Link Providers\MySiteHost URL URL-адрес личного сайта, например http://Office/M ySite. HKEY_CURRENT _USER REG_ SZ Software\Policies\Microsoft\Office\14.0\com mon\Portal\Link Providers\MySiteHost DisplayN ame Необязатель ный параметр. Имя, отображаемо е пользовател юв надстройке Outlook Social Connector, например 110 Корень Тип Ключ Имя данны параметр х а Значение MySite. Поддерживается управление поставщиками социальных сетей, из которых пользователи могут просматривать веб-каналы активности. Можно запретить просмотр веб-каналов активности из любых поставщиков социальных сетей с помощью параметра групповой политики Запретить соединение с социальными сетями. Также можно развернуть конкретные поставщики с помощью параметра Указать список загружаемых поставщиков социальных сетей в центре развертывания Office и запретить установку других поставщиков с помощью параметра групповой политики Блокировать определенных поставщиков социальных сетей. Также можно включить запрос пользователей на обновление с помощью Outlook Social Connector или поставщиков социальных сетей, либо самостоятельное управление обновлениями с помощью параметра групповой политики Не показывать информационные панели социальных сетей. В следующей таблице перечислены параметры представления беседы, которые можно настроить в групповой политике и с помощью центра развертывания Office. В групповой политике эти параметры размещены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Outlook Social Connector. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметр Описание Блокировать синхронизаци юс глобальным списком адресов Блокировка синхронизации между Outlook и глобальным списком адресов. Блокировать синхронизаци ю сведений об активности в социальных сетях Блокировка синхронизации сведений об активности между Outlook и социальными сетями. Блокировать синхронизаци Блокировка синхронизации контактов между Outlook и социальными сетями. 111 Параметр Описание ю контактов в социальных сетях Блокировать определенных поставщиков социальных сетей Определение списка поставщиков социальных сетей, блокируемых по программному идентификатору. Программный идентификатор поставщика регистрируется в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\SocialConnector\So cialNetworks. Запретить синхронизаци ю сведений об активности по запросу Запрет синхронизации сведений об активности между Outlook и социальными сетями по запросу. Не загружать Запрет на загрузку фотографий контактов из Active Directory. фотографии из Active Directory Не показывать Отключение отображения сообщений информационных панелей с запросом на информационн установку доступных обновлений Outlook Social Connector или на установку и ые панели обновление поставщиков социальных сетей. социальных сетей Запретить соединение с социальными сетями Запрет на соединение с социальными сетями в Outlook Social Connector. При этом в Outlook Social Connector по-прежнему поддерживается агрегирование управления персональными данными, что позволяет пользователями просматривать выбранный контакт из файлов данных Outlook 2010 (например, сообщений электронной почты и собраний, которым пользователь обменивался с этим контактом). Задать интервал синхронизации контактов с глобальным списком адресов Управление частотой синхронизации сведений о контактах между Outlook и подключенными социальными сетями (в минутах). По умолчанию эта политика отключена или не настроена, а сведения о контактах синхронизируются один раз в день (1440 минут). Задать Управление частотой синхронизации сведений о веб-каналах активности между интервал Outlook и подключенными социальными сетями (в минутах). По умолчанию, синхронизации если эта политика отключена или не настроена, сведения о каналах активности 112 Параметр Описание веб-канала активности синхронизируются каждые 60 минут. Указать список загружаемых поставщиков социальных сетей Ввод списка поставщиков социальных сетей (по программному идентификатору), которые будут загружены в Outlook Social Connector. Программный идентификатор поставщика регистрируется в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\SocialConnector\So cialNetworks. Отключить Outlook Social Connector Отключение надстройки Outlook Social Connector. Папки поиска В папках Outlook хранятся такие элементы, как новые сообщения электронной почты (папка "Входящие"), переданные сообщения электронной почты (папка "Отправленные") или сохраненные сообщения электронной почты (папки, которые можно создать). Папки поиска — это виртуальные папки, содержащие представления всех элементов электронной почты, соответствующих определенным критериям поиска. В папках поиска не сохраняются сообщения электронной почты. В папках поиска отображаются результаты ранее заданных поисковых запросов по папкам Outlook 2010. Сообщения электронной почты хранятся в одной или нескольких папках Outlook. В каждой папке поиска сохраняются результаты, актуальность которых поддерживается автоматически. По умолчанию компонент "Папки поиска" обеспечивает мониторинг всех папок Outlook на наличие новых элементов, соответствующих заданным критериям папки поиска. При необходимости можно настроить отслеживаемые папки. В Outlook 2010 щелкните элемент Папка и выберите команду Настроить эту папку поиска. Когда пользователь создает папку поиска, ему предлагается несколько параметров папок поиска по умолчанию, такие как "Письма с вложениями" или "Письма от указанных адресатов". Он также может создать настраиваемые папки поиска. Чтобы создать папку поиска в Outlook 2010, щелкните элемент Папка ленты и выберите команду Создать папку поиска. По умолчанию папки поиска остаются активными в течение 1000 дней. Можно настроить время, в течение которого папки поиска остаются активными для учетных записей режима кэширования Exchange и учетных записей Exchange Server в Интернете. Можно указать число дней, по истечении которого папки поиска становятся неактивными, то есть элементы в папке поиска перестают обновляться в соответствии с последними результатами поиска по папкам Outlook. Неактивная папка поиска отображается курсивом в панели навигации пользователя. Когда 113 пользователь открывает неактивную папку поиска, ее вид обновляется, и подсчет истекшего времени начинается заново. Период времени, указанный для этого параметра, начинается с последнего раза, когда пользователь щелкал по папке поиска. Можно указать другое число дней для пользователей, работающих в интерактивном режиме Exchange и в режиме кэширования Exchange. Для каждой папки в каждом режиме ведется отдельный подсчет. Если выбран параметр Сохранять папки поиска Exchange в сети, и ему присвоено значение 0, папки поиска в интерактивном режиме Exchange всегда неактивны. Аналогичным образом, если присвоить значение 0 дней параметру Сохранять папки поиска в автономном режиме, папки поиска в режиме кэширования Exchange всегда остаются неактивными. Можно ограничить число папок поиска, разрешенных для почтового ящика каждого пользователя. Кроме того, можно вообще отключить пользовательский интерфейс папок поиска. Примечание. При использовании папок поиска в интерактивном режиме (с применением почтового ящика Exchange Server), а не в режиме кэширования Exchange, число пользователей, поддерживаемых Exchange Server, может сократиться. В следующей таблице перечислены параметры папок поиска, которые можно настроить в групповой политике и с помощью центра развертывания Office. В групповой политике эти параметры размещаются в разделе Конфигурация пользователя\Шаблоны администрирования\Microsoft Outlook 2010\Папки поиска. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметр Описание Не создавать папки поиска при запуске Outlook Для этого параметра политики существует известная проблема. В Outlook 2010 удален параметр "Папки поиска по умолчанию". Эта политика не применяется к существующим профилям в Outlook 2010. Сохранять папки поиска Exchange в сети Определение числа дней, в течение которого папки поиска будут оставаться активными при работе Outlook в интерактивном режиме. Сохранять папки поиска в автономном режиме Определение числа дней, в течение которого папки поиска будут оставаться активными при работе Outlook в автономном режиме кэширования. Максимальное число сетевых папок поиска для почтового ящика Определение максимального числа папок поиска для Exchange. Не влияет на число папок 114 Параметр Описание поиска на клиентском компьютере. Надстройка SharePoint Server "Коллега" Надстройка "Коллега" Microsoft SharePoint Server в Outlook 2010 сканирует пользовательскую папку Отправленные, выполняя поиск имен и ключевых слов вместе с частотой их вхождения. Список возможных коллег периодически обновляется и хранится в профиле пользователя на локальном компьютере. Этот список доступен на странице Добавление коллег пользовательского сайта SharePoint "Мой сайт" в интрасети, где можно выбрать коллег, которых пользователь желает добавить на страницу "Мой сайт". Пользователь может одобрить или отклонить имена контактов и ключевые слова, добавляемые в веб-часть Спроси меня. Дополнительные сведения см. в статьях, посвященных планированию профилей пользователей (SharePoint Server 2010) (http://go.microsoft.com/fwlink/?linkid=182364&clcid=0x419) и управлению данными, открытыми для общего доступа на сайте "Мой сайт" и в профиле (http://go.microsoft.com/fwlink/?linkid=198208&clcid=0x419). По умолчанию, надстройка "Коллега" SharePoint Server 2010 устанавливается и включается при установке Outlook 2010. Однако для использования этой надстройки SharePoint Server 2010 необходима установка как SharePoint Server 2010, так и Outlook 2010. Также необходимо развернуть данные реестра URL-адреса сайта "Мой сайт", приведенные в следующей таблице. Описание действий по развертыванию данных реестра см. в статье Включение компонента "Коллега" SharePoint Server 2010 в Outlook 2010. Корень Тип Ключ Имя данны параметр х а Значение HKEY_CURRENT _USER REG_ SZ Software\Policies\Microsoft\Office\14.0\com mon\Portal\Link Providers\MySiteHost URLадрес URL-адрес личного сайта — например http://Office/M ySite. HKEY_CURRENT _USER REG_ SZ Software\Policies\Microsoft\Office\14.0\com mon\Portal\Link Providers\MySiteHost DisplayN ame Необязатель ный: имя, отображаемо е для пользователя , например 115 Корень Тип Ключ Имя данны параметр х а Значение MySite. Параметры для отключения или блокировки надстройки SharePoint Server "Коллега" с помощью групповой политики приведены в следующей таблице и находятся в разделе параметров Microsoft Office 2010: Конфигурация пользователя\Административные шаблоны\Microsoft Office 2010\Параметры сервера\SharePoint Server. Также можно настроить параметры по умолчанию, используя центр развертывания Office, и в этом случае пользователи могут их менять. Параметры центра развертывания Office находятся в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office в разделе параметров Microsoft Office 2010. Описание действий по настройке этих параметров см. в разделе Настройка компонента "Коллеги" на сайте "Мой сайт". Параметр Описание Включить надстройку "Импорт коллег" для Outlook, взаимодействующую с Microsoft SharePoint Server Включите этот параметр, чтобы включить надстройку SharePoint Server "Коллега" для Outlook 2010. Отключите этот параметр, чтобы отключить данный компонент. Если этот параметр не задан, надстройка "Коллега" включена по умолчанию. Максимальное количество дней до текущего дня, которые будут анализироваться с целью выявления коллег пользователя при создании рекомендации Включите этот параметр, чтобы указать количество дней до текущего дня, для которых будут анализироваться отправленные элементы Outlook для создания списка рекомендаций по коллегам пользователя. Например, при значении по умолчанию (20 дней) надстройка SharePoint Server "Коллега" будет анализировать элементы, отправленные за последние 20 дней. Чем большее количество дней задано, тем точнее рекомендации. Чем меньше количество дней, тем быстрее создаются рекомендации. Максимальное количество элементов до текущего дня, которые будут анализироваться Включите этот параметр, чтобы задать максимальное количество отправленных 116 Параметр Описание с целью выявления коллег пользователя при создании рекомендации элементов, которые будут анализироваться для создания списка рекомендаций по коллегам пользователя. Максимальное количество получателей элемента Outlook, которое будет анализироваться с целью выявления коллег пользователя при создании рекомендации Включите этот параметр, чтобы задать максимальное количество получателей отправленного элемента Outlook, которое будет анализироваться для создания списка рекомендаций по коллегам пользователя. Максимальное число строк, извлекаемых при каждом запросе при заполнении столбца просмотра в элементе управления списком SharePoint Включите этот параметр, чтобы задать максимальное число строк, извлекаемых при каждом запросе при заполнении элемента управления списком SharePoint. Минимальный срок перед началом проверки рекомендаций по коллегам Включите этот параметр, чтобы задать минимальное время ожидания (в миллисекундах) перед началом сканирования надстройкой SharePoint Server "Коллеги" папки Outlook "Отправленные". Минимальное время ожидания перед повторным сканированием почтового ящика Outlook для создания новых рекомендаций Включите этот параметр, чтобы задать минимальное время ожидания (в часах) перед повторным сканированием папки OutlookОтправленные для создания новых рекомендаций по коллегам. См. также Планирование обеспечения безопасности и защиты в Outlook 2010 Настройка пользовательских параметров Office 2010 Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (на английском языке) Office Customization Tool in Office 2010 (на английском языке) Обзор групповой политики для Office 2010 117 Планирование развертывания режима кэширования данных Exchange в Outlook 2010 В Microsoft Outlook 2010 представлены два основных режима подключения при подключении к серверу Microsoft Exchange Server: режим кэширования данных Exchange и интерактивный режим. В этой статье обсуждается, какой режим подключения может применяться в конкретной среде, а также предоставляются рекомендации по планированию и настройке параметров для развертывания режима кэширования данных Exchange в Outlook 2010. Содержание: Обзор Выбор между режимом кэширования данных Exchange и интерактивным режимом Повышение эффективности работы с Outlook при применении режима кэширования данных Exchange Функции Outlook, снижающие эффективность режима кэширования данных Exchange Вопросы синхронизации, дискового пространства и производительности Управление поведением Outlook для обнаруженных медленных подключений Параметры промежуточного развертывания режима кэширования данных Exchange Обновление текущих пользователей режима кэширования данных Exchange до Outlook 2010 Развертывание режима кэширования данных Exchange для пользователей, у которых уже есть OST-файлы Настройка режима кэширования данных Exchange Дополнительные ресурсы Обзор Когда для учетной записи Outlook 2010 настроен режим кэширования данных Exchange, Outlook 2010 работает с локальной копией пользовательского почтового ящика Microsoft Exchange, который хранится в автономном файле данных (OST-файле) на компьютере пользователя вместе с автономной адресной книгой (OAB). Кэшированный почтовый ящик и автономная адресная книга периодически обновляются с компьютера Exchange Server. Режим кэширования данных Exchange впервые появился в Outlook 2003 для улучшения взаимодействия с пользователем в интерактивном и автономном режимах. Режим кэширования данных Exchange позволяет пользователям чередовать работу в подключенных и отключенных 118 средах, не прерывая взаимодействия с Outlook. Кроме того, он защищает пользователей от задержек в сети и проблем подключения во время использования Outlook. С другой стороны, интерактивный режим работает, используя данные непосредственно с сервера. Когда для Outlook требуются новые данные, выполняется запрос сервера и отображаются полученные сведения. Данные почтового ящика кэшируются только в памяти и не записываются на диск. Пользователь может выбрать режим кэширования данных Exchange или интерактивный режим во время настройки учетной записи или при изменении параметров этой настройки. Данный режим также можно развернуть с помощью центра развертывания Office (OCT) или с помощью групповой политики. Важно Это известная проблема, при которой в профиль Outlook добавляется лишняя учетная запись Exchange, когда пользователь, в профиле которого уже есть учетная запись Exchange, выполняет обновление с Outlook 2003 или Outlook 2007. Эта проблема может возникнуть при обновлении Outlook и применении настроек с помощью пользовательского файла центра развертывания Office (MSP-файла) или PRF-файла, для которого заданы параметры "Изменить профиль" и "Определить изменения существующего профиля по умолчанию". Чтобы при обновлении до Outlook 2010 в одном профиле не создавалось несколько учетных записей Exchange, создайте PRF-файл и задайте свойства BackupProfile=False и UniqueService=Yes. Инструкции см. в статье После обновления с предыдущей версии Office с помощью настраиваемого MSP-файла в уже существующих профилях Outlook 2010 создается несколько учетных записей Exchange (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=199704&clcid=0x419) (Возможно, на английском языке). Выбор между режимом кэширования данных Exchange и интерактивным режимом Когда использовать режим кэширования данных Exchange Режим кэширования данных Exchange — это основная конфигурация в Outlook 2010. Этот режим рекомендуется в любых условиях, кроме специально указанных в разделе Когда использовать интерактивный режим далее в этой статье. Хотя режим кэширования данных Exchange рекомендуется в большинстве пользовательских конфигураций, он особенно полезен для следующих пользователей: Пользователи портативных компьютеров, часто чередующие работу с подключением и без подключения. 119 Пользователи, часто работающие в автономном режиме или без подключения. Пользователи, использующие подключения к серверу Exchange Server с высокой задержкой (более 500 мс). Когда использовать интерактивный режим Интерактивный режим — это традиционный способ подключения к серверу Microsoft Exchange. Эта конфигурация полностью поддерживается в Office Outlook 2003, Outlook 2007 и Outlook 2010. Интерактивный режим полезен в некоторых сценариях, когда поведение, характерное для режима кэширования данных Exchange, нежелательно. К таким сценариям относятся следующие: Сценарии "Интернет-киосков", когда один компьютер используется множеством пользователей, которые получают доступ к разным учетным записям Outlook, и задержка загрузки сообщений электронной почты в локальный кэш недопустима. Среды, совместимость с которыми трудно настроить, или безопасные среды, в которых данные не должны храниться локально по какой-либо причине. В таких средах рекомендуется продумать в качестве возможного решения использование системы шифрования файлов (EFS) или BitLocker в дополнение к режиму кэширования данных Exchange. Очень большие почтовые ящики на компьютерах, у которых недостаточно дискового пространства для локальной копии почтового ящика. Очень большие почтовые ящики (больше 25 Гб), для которых использование режима кэширования данных Exchange нежелательно по соображениям производительности. Виртуализованные среды или среды со службами удаленных рабочих столов (службами терминалов), которые выполняют Outlook 2007 или Outlook 2003. Режим кэширования данных Exchange не поддерживается при выполнении Outlook 2007 или Outlook 2003 на компьютере под управлением служб удаленных рабочих столов (служб терминалов). Виртуализованные среды или среды со службами удаленных рабочих столов (службами терминалов), выполняющие Outlook 2010, в которых ограничения дискового пространства или ввода-вывода мешают выполнению режима кэширования данных Exchange в требуемом масштабе. При работе с очень большим почтовым ящиком можно уменьшить размер файла локальных данных с помощью фильтров синхронизации. Дополнительные сведения см. в статьях, посвященных созданию фильтра синхронизации (http://go.microsoft.com/fwlink/?linkid=193917&clcid=0x419) и оптимизации производительности режима кэширования данных Outlook 2007 для очень больших почтовых ящиков (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=193918&clcid=0x419) (Возможно, на английском языке). При работе с очень большим почтовым ящиком, для которого использование режима кэширования данных Exchange нежелательно по соображениям производительности, 120 ознакомьтесь со статьей, посвященной диагностике проблем производительности в Outlook (http://go.microsoft.com/fwlink/?linkid=193920&clcid=0x419). Особые требования Outlook 2010 поддерживает работу в режиме кэширования данных Exchange в среде служб удаленных рабочих столов (служб терминалов), имеющей несколько пользователей. При настройке компьютера, на котором выполняются службы удаленных рабочих столов (службы терминалов) для использования режима кэширования данных Exchange необходимо предусмотреть дополнительное дисковое пространство и требования к выполнению дисковых операций ввода-вывода для доступа нескольких клиентов. По умолчанию новые учетные записи Exchange, настроенные на компьютере, на котором выполняются службы удаленных рабочих столов (службы терминалов), будут использовать интерактивный режим. Пользователь может включить режим кэширования данных Exchange при настройке учетной записи или с помощью настройки параметра Использовать режим кэширования Exchange для новых и существующих профилей Outlook в центре развертывания Office или в групповой политике. В средах с ограниченной полосой пропускания режим кэширования данных Exchange может быть настроен для загрузки только заголовков сообщений электронной почты и 256-символьного просмотра текста сообщения. Дополнительные сведения см. в статье Настройка режима кэширования Exchange в Outlook 2010. Даже при настройке в режиме кэширования данных Exchange Outlook 2010 должен связаться с сервером напрямую для выполнения определенных операций. Эти операции не будут работать, если Outlook не подключен, и могут выполняться дольше при подключении с высокой задержкой. Это относится к следующим операциям: Работа с делегированными хранилищами данных почтового ящика. Работа с общими папками, недоступными в автономном режиме. Дополнительные сведения см. в статье, посвященной настройке доступности в автономном режиме для общей папки(http://go.microsoft.com/fwlink/?linkid=193926&clcid=0x419). Получение сведений о доступности Настройка, изменение или отмена сообщения "Нет на месте" Доступ к общим папкам. Получение прав для защищенного сообщения. Изменение правил. Получение почтовых подсказок. 121 Повышение эффективности работы с Outlook при применении режима кэширования данных Exchange При использовании режима кэширования данных Exchange доступны следующие основные преимущества. Защита пользователя от проблем соединения сети и сервера. Упрощение процедуры переключения между интерактивным и автономным режимами работы для пользователей мобильных устройств. Поскольку в приложении Outlook применяется локальное кэширование почтового ящика и автономной адресной книги, то непрерывное сетевое подключение для доступа к пользовательской информации более не требуется. Во время подключения к сети Outlook постоянно обновляет почтовые ящики пользователей, чтобы поддерживать их актуальность. Если пользователь отсоединяется от сети, например, отключая ноутбук от стыковочного узла, последние данные будут автоматически доступны при автономной работе. Кроме использования локальных копий почтовых ящиков для повышения эффективности работы, в режиме кэширования данных Exchange оптимизируется тип и объем данных, пересылаемых через подключение к серверу. Например, при включении параметра При медленных подключениях загружать только заголовки в центре развертывания приложение Outlook изменяет тип и объем данных, пересылаемых через подключение. Примечание. В приложении Outlook проверяется скорость сетевого адаптера на компьютере пользователя для определения скорости подключения пользователя, поддерживаемой операционной системой. Если скорость сетевого адаптера составляет 128 килобайт (КБ) или менее, то соединение определяется как медленное. В некоторых ситуациях скорость сетевого адаптера может не в точности соответствовать скорости передачи данных для пользователей. Дополнительные сведения о корректировке поведения Outlook в таких ситуациях см. в разделе Управление поведением Outlook для обнаруженных медленных подключений далее в этой статье. Приложение Outlook может адаптироваться к изменениям сред соединения, предлагая различные уровни оптимизации, например, отключение от локальной сети организации, переход в автономный режим, а затем восстановление соединения с сервером через более медленное соединение удаленного доступа. При смене типа соединения с Exchange Server (например, через локальную сеть, беспроводное, сотовое соединение или в режиме автономной работы) переход незаметен, и для него никогда не требуется изменять параметры или перезапускать Outlook. Например, на работе пользователь может подключать переносной компьютер к локальной сети организации. В этом случае пользователь получает доступ к заголовкам и полным элементам, в 122 том числе к вложениям. Пользователь также получает быстрый доступ к компьютеру, на котором работает Exchange Server. Если пользователь отключает портативный компьютер от локальной сети, то Outlook переключается на режим Попытка подключения. Пользователь может непрерывно работать со своими данными в Outlook. Если используется беспроводное соединение, то Outlook может восстановить соединение с сервером и переключиться на режим Подключен. Если впоследствии пользователь подключается к серверу Exchange Server с помощью телефонного соединения, то приложение Outlook определяет, что используется медленное подключение и автоматически оптимизирует его, загружая только заголовки и не обновляя автономную адресную книгу. Кроме того, Outlook 2010 и Office Outlook 2007 применяют оптимизацию для уменьшения объема данных, пересылаемых при подключении. Пользователям нет необходимости изменять параметры или перезапускать Outlook при данном сценарии. В Outlook 2010 также применяется режим Требуется пароль. Сообщение Требуется пароль отображается, если Outlook находится в отключенном состоянии и для подключения необходимы учетные данные пользователя, например, если пользователь нажмет кнопку Отмена в диалоговом окне проверки подлинности учетных данных. Когда Outlook находится в отключенном состоянии, но не в автономном режиме, действия пользователя (например, нажатие кнопки Отправить и получить или Введите пароль на ленте) приводят к повторному запросу Outlook на ввод пароля и к отображению сообщения Попытка подключения, пока пользователь не сможет успешно пройти проверку подлинности и подключиться. Функции Outlook, снижающие эффективность режима кэширования данных Exchange Некоторые функции Outlook могут снизить эффективность режима кэширования данных Exchange, поскольку для них требуется сетевой доступ, или они не используют возможности режима кэширования данных Exchange. Основным преимуществом режима кэширования данных Exchange является защищенность пользователя от проблем подключения к сети и серверу. Функции, которым необходим сетевой доступ, могут вызвать задержки отклика Outlook, которых обычно не бывает при работе в режиме кэширования данных Exchange. Перечисленные далее функции могут зависеть от сетевого доступа и вызывать задержки при работе Outlook, если у пользователей нет быстрого подключения к данным Exchange Server. Передача прав доступа в случаях, когда не производится локальное кэширование папок (по умолчанию локальное кэширование выполняется). Открытие календаря или папки другого пользователя, которые не кэшированы локально (по умолчанию локальное кэширование выполняется). Использование общей папки, для которой кэширование не выполнено. Дополнительные сведения см. в подразделе Управление общим доступом к папкам Outlook раздела Вопросы синхронизации, дискового пространства и производительности далее в этой статье. 123 При развертывании режима кэширования данных Exchange рекомендуется отключить или не внедрять следующие функции и их комбинации: Функция уведомлений с цифровыми подписями в сообщениях электронной почты Приложение Outlook проверяет сервер для проверки цифровой подписи. По умолчанию при появлении в папке входящей почты пользователя новых сообщений электронной почты Outlook отображает уведомление, содержащее часть сообщения. Если пользователь щелкает уведомление для открытия подписанного сообщения электронной почты, Outlook использует сетевой доступ для проверки допустимости подписи сообщения. Набор контейнеров адресной книги В адресной книге обычно содержатся папки глобального списка адресов и контактов пользователя. В некоторых организациях настраиваются подмножества глобального списка адресов, которые отображаются в адресной книге. Эти подмножества адресных книг также можно включить в список, определяющий порядок поиска для адресных книг. Если адресные книги подмножества включены в список порядка поиска, то приложению Outlook может требоваться доступ к сети для проверки этих адресных книг при каждом сопоставлении имени в сообщении электронной почты, создаваемом пользователем. Настраиваемые свойства на вкладке "Общие" диалогового окна "Свойства" для пользователей Диалоговое окно Свойства отображается после двойного щелчка по имени пользователя (например, в строке Кому сообщения электронной почты). Это диалоговое окно можно настроить таким образом, чтобы в нем отображались настраиваемые свойства, уникальные для определенной организации, например, центр затрат пользователей. Однако при добавлении свойств к этому диалоговому окну не рекомендуется добавлять их на вкладке Общие. Чтобы получить настраиваемые свойства, приложение Outlook должно выполнить удаленный вызов процедуры с сервера. Поскольку вкладка Общие по умолчанию отображается при доступе к диалоговому окну Свойства, то удаленный вызов процедуры будет выполняться при каждом доступе пользователя к диалоговому окну Свойства. В результате пользователь, у которого запущено приложение Outlook в режиме кэширования данных Exchange, может столкнуться с заметными задержками при доступе к этому диалоговому окну. Чтобы избежать этих задержек, необходимо создать новую вкладку в диалоговом окне Свойства для настраиваемых свойств или добавить их на вкладке Телефоны и заметки. Установка определенных надстроек Outlook может повлиять на режим кэширования данных Exchange. Некоторые надстройки могут получать доступ к данным приложения Outlook с помощью объектной модели в обход предполагаемых функциональных возможностей параметров Загружать только заголовки и При медленных подключениях загружать только заголовки в режиме кэширования данных Exchange. Например, загрузка полных компонентов Outlook, а не только заголовков, выполняется при использовании технологии Microsoft ActiveSync для синхронизации карманного компьютера даже через медленное подключение. Кроме того, процесс обновления выполняется медленнее, чем при загрузке элементов в Outlook, поскольку в отдельных приложениях используются менее эффективные способы синхронизации. 124 Вопросы синхронизации, дискового пространства и производительности Режим кэширования данных Exchange использует локальную копию почтового ящика пользователя, и в некоторых случаях можно улучшить работу режима кэширования данных для всей организации или для группы пользователей (например, для пользователей, работающих удаленно). Больше нет необходимости вручную синхронизировать учетные записи Exchange Синхронизация файлов OST и файлов автономной адресной книги пользователя с данными Exchange Server производится независимо от действий приложения Outlook по отправке и получению сообщений. Обновление данных для пользователей Outlook с помощью параметров отправки и получения сообщений происходит так же, как и в ранних версиях Outlook. Пользователи с учетными записями Exchange, в которых используется функция "Отправить и получить", синхронизирующие данные Outlook, нажимая клавишу F9 или кнопку Отправить и получить могут не осознавать, что ручная синхронизация больше не требуется. На практике повторяющиеся пользовательские запросы к Exchange Server на доставку почты могут повлиять на сетевой трафик и загрузку сервера. Для уменьшения таких эффектов следует проинформировать пользователей, что ручные запросы на доставку почты в режиме кэширования данных Exchange не являются обязательными. Это может быть особенно полезно для удаленных пользователей, которые обычно использовали Outlook ранних версий в автономном режиме и применяли запрос на доставку почты для синхронизации данных или перед отключением от сети. Этот тип синхронизации в режиме кэширования данных Exchange выполняется автоматически. Другой метод устранения этой проблемы — это отключение параметра "Отправить и получить" для пользователей. Однако иногда это не рекомендуется, так как может вызвать у некоторых пользователей проблемы, например, при обновлении существующих пользователей Outlook, использующих учетные записи POP, и существующих групп отправки и получения до версии Outlook 2010. В этой ситуации, если отключить параметр "Отправить и получить", пользователи не смогут загружать сообщения электронной почты по протоколу POP или HTTP, используя Outlook Connector. Преимущества доступа с помощью автономной адресной книги С помощью режима кэширования данных Exchange приложение Outlook получает возможность доступа к локальной автономной адресной книге для получения информации о пользователе, что заменяет запрос данных с сервера Exchange Server. Локальный доступ к пользовательским данным заметно уменьшает потребность Outlook в удаленном вызове процедур с сервера Exchange Server и позволяет пользователям большую часть времени не зависеть от сетевого доступа, который необходим в оперативном режиме Exchange и в предыдущих версиях Outlook. 125 Если у пользователей есть автономная адресная книга на компьютере, требуются только добавочные обновления автономной адресной книги для защиты от необязательных запросов к серверу. В режиме кэширования данных Exchange приложение Outlook синхронизирует автономную адресную книгу пользователя с обновлениями копии автономной адресной книги на сервере Exchange Server каждые 24 часа. Можно управлять частотой загрузки обновлений автономной адресной книги пользователями, ограничив частоту обновления копии автономной адресной книги на сервере Exchange Server. Если во время проверки приложением Outlook не обнаруживается новых данных для синхронизации, то обновления автономной адресной книги пользователя не происходит. Примечание. Пользователям рекомендуется использовать автономную адресную книгу в кодировке Юникод по умолчанию. Файлы автономной адресной книги в кодировке ANSI не содержат некоторых свойств, которые имеются в файлах автономной адресной книги в кодировке Юникод. Приложение Outlook должно отправлять запросы на сервер для получения необходимых свойств пользователей, которые недоступны в локальной автономной адресной книге. Это может привести к значительным затратам времени сетевого доступа, если у пользователей не установлена полная автономная адресная книга в кодировке Юникод. Рекомендации по использованию автономной папки (OST-файл) При развертывании режима кэширования данных Exchange для Outlook рекомендуется учитывать то, что локальные OST-файлы пользователя могут увеличить размер почтового ящика на 50-80 процентов по сравнению с тем размером, который отображается на Exchange Server. Формат, используемый Outlook для локального хранения данных в режиме кэширования данных Exchange, занимает больше места, чем формат хранения данных на сервере. Это приводит к увеличению используемого дискового пространства при загрузке почтовых ящиков для предоставления локальной копии в режиме кэширования данных Exchange. Когда в режиме кэширования данных Exchange впервые создается локальная копия почтового ящика пользователя, текущий OST-файл пользователя, при его наличии, обновляется. Если пользователи используют OST-файлы в формате ANSI (а не Юникод), рекомендуется преобразовать эти файлы в Юникод. ANSI-файлы Outlook позволяют хранить до 2 гигабайт (ГБ) данных. Максимальный размер OST-файла в формате Юникод можно изменить, по умолчанию он равен 50 ГБ. Также убедитесь, что OST-файлы пользователя размещены в папке с достаточным дисковым пространством для размещения почтовых ящиков пользователя. Например, если жесткие диски пользователей разбиты на разделы, самый маленький из которых используется для системных программ (по умолчанию OST-файл хранится на системном диске), укажите папку на другом диске для хранения OST-файлов пользователей. Дополнительные сведения о развертывании OST-файлов в папке, отличной от папки по умолчанию, см. в разделе Настройка местоположения по умолчанию для OST-файла с 126 помощью групповой политики статьи Настройка режима кэширования Exchange в Outlook 2010. Чтобы определить применяемый формат OST-файлов (ANSI или Юникод), см. статью Определение режима, который Outlook 2007 или Outlook 2003 использует для файлов автономных папок (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=159924&clcid=0x419) (Возможно, на английском языке). Дополнительные сведения о преобразовании существующих OST-файлов в формате ANSI в формат Юникод см. в разделе Принудительное преобразование OST-файлов в формате ANSI в формат Юникод статьи Настройка режима кэширования Exchange в Outlook 2010. Дополнительные сведения о задании размера OST-файлов в формате Юникод см. в статье Ограничение размера PST-файлов и OST-файлов в Outlook 2003 и Outlook 2007 (http://go.microsoft.com/fwlink/?linkid=159750&clcid=0x419). Управление вопросами производительности Многим пользователям покажется, что режим кэшированных данных Exchange быстрее, чем интерактивный режим. Однако восприятие пользователем работы в режиме кэширования данных Exchange зависит от многих факторов, в том числе от размера жесткого диска, скорости центрального процессора и ожидаемого уровня производительности. Советы по диагностике и решению проблем, связанных с производительностью Outlook, см. в статье базы знаний Майкрософт 940226, посвященной диагностике проблем производительности в Outlook 2007 (http://go.microsoft.com/fwlink/?linkid=100887&clcid=0x419), а также в статье, содержащей советы по оптимизации производительности при развертывании Outlook 2007 (http://go.microsoft.com/fwlink/?linkid=160227&clcid=0x419). Управление общим доступом к папкам Outlook В Outlook 2010 и Office Outlook 2007 по умолчанию, общие папки, к которым пользователи получают доступ в других почтовых ящиках, загружаются и кэшируются в локальный OST-файл пользователя, если включен режим кэширования данных Exchange. Не кэшируются только общие папки почты. Например, если сотрудник предоставляет доступ к календарю другому пользователю, и этот пользователь открывает календарь, то Outlook 2010 начинает локальное кэширование папки, чтобы пользователь получил автономный доступ к папке и был изолирован от сетевых проблем. Однако если менеджер передает участнику группы права на доступ к своему ящику входящей почты, то доступ к папке может быть выполнен только в интерактивном режиме и может вызвать задержки отклика. Кэшированные непочтовые папки, такие как календарь, активируют автономный доступ и обеспечивают повышенную надежность при работе в медленных или нестабильных сетях. Но нужно учитывать, что для их первоначального наполнения требуется больше времени, больше данных синхронизируется, поэтому размер локального OST-файла увеличивается. А при медленных соединениях или когда пользователь отключен от сети, непочтовая папка не обновляется до синхронизации и загрузки последних изменений. 127 Этот параметр (Загружать общие папки (кроме почтовых)) можно настроить в центре развертывания Office (OCT) во время настройки развертывания режима кэширования данных Exchange. Также можно включить общие почтовые папки для пользователей, если это необходимо. Однако примечания, указанные выше и касающиеся непочтовых папок, также применяются и к общему доступу почтовых папок. Размер локального OST-файла увеличивается для пользователей с включенными общими почтовыми папками. Дополнительные сведения о включении этого параметра см. в статье Настройка режима кэширования Exchange в Outlook 2010. Дополнительные сведения см. в статье В Outlook 2007 нельзя кэшировать общие почтовые папки (http://go.microsoft.com/fwlink/?linkid=159948&clcid=0x419). Вопросы использования общей папки "Избранное" В режиме кэширования данных Exchange можно настроить загрузку и синхронизацию общих папок, содержащихся в пользовательской папке "Избранное" общих папок Outlook. По умолчанию общие папки "Избранное" не синхронизируются. Однако если в организации широко используются общие папки, то рекомендуется включить эту возможность. Настроить загрузку общей папки "Избранное" можно в OST-файле во время настройки развертывания режима кэширования данных Exchange. Если в общих папках "Избранное" пользователей содержатся большие общие папки, то соответствующие OST-файлы также будут большими по объему. Это может отрицательно сказаться на производительности Outlook в режиме кэширования данных Exchange. Перед включением этой возможности в режиме кэширования данных Exchange убедитесь, что пользователи контролируют добавление общих папок в папку "Избранное". Также убедитесь, что OST-файлы пользователей достаточно велики и находятся в папках с достаточным дисковым пространством для удовлетворения дополнительных требований по хранению загружаемых общих папок. Управление поведением Outlook для обнаруженных медленных подключений В приложении Outlook проверяется скорость сетевого адаптера на компьютере пользователя для определения скорости его подключения, которая поддерживается операционной системой. Если скорость сетевого адаптера составляет 128 КБ или менее, то подключение определяется как медленное. При обнаружении медленного подключения пользователя к серверу Exchange Server для оптимизации работы Outlook уменьшает объем менее важной информации, синхронизируемой с сервером Exchange Server. В Outlook применяются следующие изменения поведения синхронизации при медленных подключениях. Переключение на загрузку только заголовков. Отключение загрузки автономной адресной книги и ее обновлений. 128 Загрузка текста сообщения и соответствующих вложений только по запросу пользователя. В Outlook по-прежнему производится синхронизация данных с мобильными устройствами, а также могут работать некоторые правила клиентской стороны. Примечание. Не рекомендуется выполнять синхронизацию мобильных устройств с включенным параметром Режим кэширования Exchange, загружать только заголовки. При синхронизации мобильного устройства (например, с помощью ActiveSync) в Outlook загружаются полные элементы, а поэтому процесс синхронизации менее эффективен, чем при регулярной синхронизации Outlook на компьютерах пользователей. Параметр Загружать только заголовки при синхронизации разработан для пользователей Outlook, использующих телефонное или сотовое беспроводное подключение, для минимизации сетевого трафика медленного или дорогого подключения. В некоторых ситуациях скорость сетевого адаптера может не в точности соответствовать скорости передачи данных для пользователей. Например, если компьютер пользователя подключен к локальной сети для быстрого доступа к локальным файловым серверам, скорость сетевого адаптера считается высокой, так как пользователь подключен к локальной сети. Однако при доступе пользователя к другим ресурсам в сети организации, включая сервер Exchange Server, может применяться медленное соединение, такое как ISDN. В таком случае, когда фактическая скорость передачи данных пользователей мала, хотя скорость сетевых адаптеров заявлена как высокая, можно изменить параметр или заблокировать поведение Outlook, например, отключив автоматическое переключение в режим загрузки только заголовков с помощью параметра редактора объектов групповой политики, Запретить загрузку только заголовков при медленном подключении. Также возможны подключения, которые в Outlook определяются как медленные, но в которых пользователи имеют высокую реальную скорость передачи данных. В этом случае также можно отключить автоматическое переключение на загрузку только заголовков. Параметр При медленном подключении загружать только заголовки можно задать в центре развертывания Office или отключить его с помощью редактора объектов групповой политики, установив параметр Запретить загрузку только заголовков при медленном подключении. Дополнительные сведения об изменении этого параметра см. в статье Настройка режима кэширования Exchange в Outlook 2010. Параметры промежуточного развертывания режима кэширования данных Exchange Предусмотрите постепенное развертывание, если у большой группы пользователей планируется обновление версии Outlook 2010 с включенным режимом кэширования данных. Режим кэширования данных не применяется в Outlook 2002 и более ранних версиях, в Office Outlook 2003 и Office Outlook 2007 без установленного режима кэширования данных. Постепенное 129 развертывание позволяет серверам Exchange Server в организации управлять требованиями создания и обновления OST-файлов пользователей. Внимание! Если для большинства учетных записей пользователей предусмотрено одновременное обновление с внедрением режима кэширования данных Exchange, а затем выполняется одновременный запуск Outlook (например, в понедельник утром после выполненного на выходных обновления), то серверы Exchange Server будут испытывать определенные проблемы с производительностью. Иногда эти проблемы могут быть незначительны — например, если у большинства сотрудников организации присутствуют необходимые OST-файлы. Но в целом рекомендуется поэтапное развертывание режима кэширования данных Exchange. В следующих сценариях приведены примеры того, как следует развертывать режим кэширования Exchange, чтобы предотвратить сильное первоначальное влияние на производительность серверов Exchange Server, а в некоторых случаях и минимизировать время, которое пользователи тратят на ожидание начальной синхронизации. Сохранение OST-файлов Outlook во время развертывания режима кэширования данных Exchange. Поскольку при первом запуске приложения Outlook в режиме кэширования данных Exchange существующие OST-файлы просто обновляются с использованием последней информации почтового ящика, то сохранение данных файлов во время развертывания режима кэширования данных Exchange способствует снижению нагрузки на корпоративные серверы Exchange Server. Пользователям, у которых уже присутствуют OST-файлы, требуется синхронизировать с сервером меньше информации для Outlook. Этот сценарий оптимально подходит, если у большинства пользователей уже есть OST-файлы, недавно синхронизированные с Exchange Server. Чтобы сохранить OST-файлы во время развертывания Outlook в режиме кэширования данных Exchange, не следует указывать новый сервер Exchange Server при настройке информации профиля Outlook в центре развертывания Office. Или же во время настройки профиля Outlook снимите флажок Переписывать существующие параметры Exchange при наличии соединения с Exchange (применяется только при изменении профиля). (Если указать компьютер с Exchange Server при настройке и развертывании Outlook, когда этот параметр включен, Outlook заменяет поставщика службы Exchange в профиле MAPI, при этом удаляются записи профиля для существующих OST-файлов.) Если используются OST-файлы в формате ANSI, рекомендуется преобразовать OST-файлы пользователей в формат Юникод для улучшения быстродействия и функциональности. В этом случае сохранить старые OST-файлы (ANSI) нельзя, так как они будут созданы в формате Юникод. Дополнительные сведения о преобразовании существующих OST-файлов в формате ANSI в формат Юникод см. в разделе “Принудительное преобразование OST-файлов в формате ANSI в формат Юникод” статьи Настройка режима кэширования Exchange в Outlook 2010. 130 Предоставление начальных OST-файлов удаленным пользователям и развертывание режима кэширования данных Exchange после установки пользователями предоставленных OST-файлов. Если у большинства сотрудников организации отсутствуют OST-файлы и не используется режим кэширования данных Exchange, можно развернуть Outlook 2010 с отключенным режимом кэширования данных Exchange. В этом случае перед наступлением запланированной даты развертывания режима кэширования данных Exchange необходимо предоставить начальные OST-файлы каждому пользователю с помощью моментальных снимков их почтовых ящиков. Это можно реализовать, например, передав или отправив по почте пользователю компакт-диск, на котором содержится файл с инструкциями установки. Также можно предоставить последнюю версию полной корпоративной адресной книги Office. Процедуры настройки и развертывания режима кэширования данных Exchange осуществляются, когда пользователи подтвердят, что они установили файлы. При последующем обновлении развертывания Outlook для использования режима кэширования данных Exchange сервер Exchange Server обновит существующие OST-файлы. В этом случае необходимо синхронизировать гораздо меньше данных, чем если бы для каждого пользователя создавались новые OST-файлы и файлы автономной адресной книги. Создание индивидуальных компакт-дисков для каждого пользовательского OST-файла может занять немало времени. Поэтому эта процедура эффективна для отдельных групп удаленных пользователей. В противном случае эти пользователи могут потратить большое количество времени, ожидая начала синхронизации почтового ящика и автономной адресной книги. При определенных сценариях удаленного соединения это может оказаться затратно. Дополнительные сведения о создании начальных OST-файлов см. в статье Предоставление начального OST-файла для развертывания Outlook с режимом кэширования данных Exchange (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=74518&clcid=0x419) (Возможно, на английском языке). В этой статье описывается создание начальных OST-файлов для Office Outlook 2003. Аналогичный процесс применяется для Office Outlook 2007 и Outlook 2010. Развертывание Outlook с режимом кэширования данных Exchange для нескольких групп пользователей с течением времени. Можно сбалансировать рабочую нагрузку между серверами Exchange Server и локальной сетью, переводя группы пользователей через определенный период времени в режим кэширования данных Exchange. Чтобы избежать слишком больших объемов сетевого трафика и нагрузки на сервер при заполнении OSTфайлов элементами почтовых ящиков пользователей и загрузке OAB, происходит поэтапное развертывание новых функциональных возможностей. Способы создания и развертывания режима кэширования данных Exchange для групп пользователей зависят от стандартной политики развертывания программ в организации. Например, группы пользователей можно создавать в Microsoft Systems Management Server (SMS), на котором будет развернут пакет SMS, переводящий Outlook в режим кэширования данных Exchange. Необходимо периодически выполнять развертывание SMS для каждой группы пользователей. Чтобы наиболее эффективно сбалансировать нагрузку, выбирайте группы пользователей с учетными записями, находящимися в разных группах серверов Exchange Server. 131 Обновление текущих пользователей режима кэширования данных Exchange до Outlook 2010 Обновление пользователей до Outlook 2010 с режимом кэширования Exchange, уже включенным в Office Outlook 2003 и Office Outlook 2007, выполняется очень просто. Если параметры режима кэширования данных Exchange не были изменены, они будут сохранены и для Outlook 2010. Поскольку отсутствуют изменения формата OST-файлов и файлов автономной адресной книги, то нет необходимости повторно создавать эти файлы во время установки. Однако следует учитывать, что в Office Outlook 2007 есть возможность общего доступа к непочтовым папкам, которая включена по умолчанию. Поэтому для существующих профилей Office Outlook 2003, использующих режим кэширования данных Exchange, этот параметр включается при обновлении. Проблемы возможны в следующих ситуациях. Если в организации используются OST-файлы в кодировке ANSI. Если размер пользовательских OST-файлов приближается к установленному пределу. В организации используется очень много общих папок. Если присутствуют все вышеперечисленные факторы, то загрузка общих непочтовых папок может вызвать как проблемы производительности, так и иные проблемы. Для новых профилей Outlook 2010 и для обновления существующих профилей Office Outlook 2003 следует с помощью центра развертывания Office отключить параметр общего доступа к непочтовым папкам и тем самым предотвратить проблемы с загрузкой непочтовых папок. При обновлении существующих профилей Office Outlook 2007 этот параметр можно отключить с помощью редактора объектов групповой политики. Кроме того, необходимо учитывать, что кэширование общих непочтовых папок работает иначе, чем другие типы кэширования в режиме кэширования данных Exchange. Репликация в локальный OST-файл для общих непочтовых папок начинается, только когда пользователь щелкает общую папку. Когда пользователь активизирует кэширование для папки, щелкнув ее, приложение Outlook обновляет папку так же, как и другие папки Outlook при синхронизации в режиме кэширования данных Exchange. Однако если пользователь не переходит в папку хотя бы один раз в 45 дней (значение по умолчанию), то локальные данные не будут более обновляться, пока пользователь вновь не щелкнет папку. Можно настроить параметр Синхронизация данных в общих папках в групповой политике. Дополнительные сведения о настройке режима кэширования данных Exchange с помощью групповой политики см. в разделе Настройка режима кэширования Exchange в Outlook 2010. 132 Развертывание режима кэширования данных Exchange для пользователей, у которых уже есть OST-файлы Некоторые пользователи Outlook, подключающиеся к Exchange Server в интерактивном режиме, могут использовать OST-файлы. Если они используют OST-файлы в формате ANSI и большие почтовые ящики Exchange, то при попытке Outlook синхронизировать их почтовые ящики с OSTфайлами возможно возникновение ошибок. Рекомендуется преобразовать старые OST-файлы пользователей в формат Юникод, так как у таких файлов нет ограничения в 2 ГБ, как у файлов в формате ANSI. Юникод используется по умолчанию в Outlook 2010. Дополнительные сведения о преобразовании существующих OST-файлов в формате ANSI в формат Юникод см. в разделе Принудительное преобразование OST-файлов в формате ANSI в формат Юникод статьи Настройка режима кэширования Exchange в Outlook 2010. Настройка режима кэширования данных Exchange Можно заблокировать эти параметры, чтобы настроить режим кэширования данных Exchange с помощью административного шаблона групповой политики Outlook (Outlk12.adm). Также можно настроить параметры по умолчанию, используя центр развертывания Office, и в этом случае пользователи могут их менять. С помощью групповой политики можно запретить включение пользователями режима кэширования данных Exchange в Outlook 2010 и принудительно применить параметры загрузки для режима кэширования данных Exchange или настроить другие параметры режима кэширования данных Exchange. Например, можно указать время по умолчанию между синхронизациями Exchange Server при изменении данных на сервере Exchange Server или на клиентском компьютере. Сведения о блокировке параметров с помощью групповой политики см. в статье Настройка режима кэширования Exchange в Outlook 2010. В следующей таблице приведены некоторые параметры, которые можно настроить для режима кэширования данных Exchange. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры учетной записи\Exchange\Режим кэширования данных Exchange. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметр Описание Запретить загрузку сообщений целиком Включите, чтобы отключить параметр Загружать сообщения целиком в Outlook. Чтобы найти этот параметр, перейдите на вкладку Отправка и получение и щелкните 133 Параметр Описание Параметры загрузки. Запретить загрузку заголовков Включите, чтобы отключить параметр Загружать заголовки в Outlook. Чтобы найти этот параметр, перейдите на вкладку Отправка и получение. Запретить загрузку заголовков, а затем сообщений Включите, чтобы отключить параметр Загружать заголовки, а затем сообщения в Outlook. Чтобы найти этот параметр, перейдите на вкладку Отправка и получение и щелкните Параметры загрузки. Запретить загрузку только заголовков при медленном подключении Включите, чтобы отключить параметр При медленных подключениях загружать только заголовки в Outlook. Чтобы найти этот параметр, перейдите на вкладку Отправка и получение и щелкните Параметры загрузки. Загружать общую папку ''Избранное'' Включите, чтобы синхронизировать общие папки "Избранное" в режиме кэширования данных Exchange. Загружать общие папки, не содержащие почту Включите, чтобы синхронизировать общие непочтовые папки в режиме кэширования данных Exchange. Использовать режим кэширования данных Exchange для новых и существующих профилей Outlook Включите, чтобы настраивать новые и существующие профили Outlook для использования режима кэширования данных Exchange. Отключите, чтобы настраивать новые и существующие профили Outlook для использования интерактивного режима. В следующей таблице приведены некоторые дополнительные параметры, которые можно настроить для подключения к Exchange. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры учетной записи\Exchange. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. 134 Параметр Описание Автоматическая настройка профиля на основе основного SMTP-адреса Active Directory Запрещает пользователям изменять SMTPадрес электронной почты, используемый для настройки новой учетной записи, полученный из службы каталогов Active Directory. Настройка параметров пользовательского интерфейса мобильного Outlook Позволяет пользователям просматривать и изменять параметры пользовательского интерфейса для мобильного Outlook. Запретить создание OST-файла Запрещает использование автономной папки. Ограничить устаревшие учетные записи Exchange Включите, чтобы наложить ограничение на первую учетную запись, добавляемую в профиль. Задание максимального числа учетных записей Включите, чтобы задать максимальное число Exchange для одного профиля учетных записей Enable, разрешенных для профиля Outlook. Синхронизация данных в общих папках Включите, чтобы настроить число дней, прошедших с момента последнего обращения пользователя к папке Outlook, перед тем, как Outlook прекратит синхронизацию этой папки с Exchange. Дополнительные ресурсы Дополнительные сведения о планировании развертывания режима кэширования данных Exchange см. в следующих ресурсах. При использовании Office Outlook 2003, Office Outlook 2007 или Outlook 2010 в сочетании с системами на основе Exchange Server можно применять режим кэширования данных Exchange и другие функции для повышения эффективности работы пользователя в таких условиях, как большое время задержки, потеря подключения к сети и ограниченная пропускная способность сети. Дополнительные сведения об этих улучшениях см. в техническом документе, посвященном сетевому трафику клиентов при использовании Exchange 2003 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=79063&clcid=0x419) (Возможно, на английском языке). В Outlook 2010 используется функция автоматической настройки учетных записей пользователей. Дополнительные сведения о механизмах обнаружения и способах изменения XML-файла с целью настройки функции автообнаружения для своей организации 135 см. в статье Планирование автоматической настройки учетных записей пользователей в Outlook 2010. 136 Рекомендации по планированию режима кэширования Exchange в среде с узлами сеансов удаленных рабочих столов (технический документ) Этот технический документ является приложением к документу, посвященному планированию емкости узла сеанса удаленных рабочих столов в Windows Server 2008 R2 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=196861&clcid=0x419) (Возможно, на английском языке). Используйте этот документ при подготовке к развертыванию Outlook 2010 в режиме кэширования Exchange в среде с узлами сеансов удаленных рабочих столов. В этом техническом документе освещены три основных вопроса, которые необходимо рассмотреть при планировании развертывания: выбор системы хранения; влияние на производительность; использование систем сетевого хранения данных. Загрузите технический документ в формате Microsoft Word (DOCX), содержащий рекомендации по планированию режима кэширования Exchange в среде с узлами сеансов удаленных рабочих столов (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=200170&clcid=0x419) (Возможно, на английском языке). 137 Планирование автоматической настройки учетных записей пользователей в Outlook 2010 В этой статье описываются два механизма обнаружения для автоматической настройки учетных записей пользователей в Microsoft Outlook 2010: автоматическое обнаружение и обнаружение стандартных параметров. Содержание: Обзор Использование функции автоматического обнаружения с DNS Сводка транзакций автоматического обнаружения Схема XML автоматического обнаружения Обнаружение стандартных настроек Обзор Как и Microsoft Office Outlook 2007, Outlook 2010 поддерживает функцию автоматической настройки учетных записей пользователей. Для этого Outlook 2010 использует один из двух механизмов обнаружения: автообнаружение и обнаружение стандартных параметров. Автообнаружение — это основанный на стандартах XML-файл, который может быть настроен администратором поставщика услуг Интернета, корпорацией или динамически создан службой, например ролью сервера клиентского доступа сервера Microsoft Exchange Server 2007 и Microsoft Exchange Server 2010. Этот механизм является рекомендуемым для параметров обнаружения, поскольку поддерживает оптимальную производительность. Кроме того, он позволяет минимизировать возможность возникновения ошибки конфигурации на клиентском ПК; это происходит потому, что параметры определены явно и намеренно администратором почтовых серверов. Обнаружение стандартных параметров отличается меньшей способностью к настройке и большей простотой, однако данный механизм позволяет настраивать большинство типов почтовых серверов в мире на основании стандартных параметров. Вначале выполняется проверки зашифрованных подключений; если подключения не отвечают, пользователям предлагается проверить незашифрованные подключения и выполнить проверку тех же серверов без шифрования. Многие ISP не требуют использование шифрования, однако включают данную возможность, чтобы пользователи могли настраивать свои учетные записи с использованием шифрования. Дополнительные сведения о развертывании службы автообнаружения и управления ею в Exchange Server 2007 см. в разделе Обзор службы автообнаружения: справка Exchange 2007 138 (http://go.microsoft.com/fwlink/?linkid=183290&clcid=0x419). Описание для Exchange Server 2010 см. в статье Общие сведения о службе автообнаружения: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=183289&clcid=0x419). Использование функции автоматического обнаружения с DNS Функция автообнаружения в приложении Outlook 2010 представляет собой XML-файл, помещенный в одно из двух расположений, в зависимости от имени домена, предоставленного пользователем. В Интернете автообнаружение находит XML-файл с помощью системы DNS. Расположение XML-файла зависит от адреса электронной почты, предоставленного пользователем. Например, если в качестве адреса указано "barbara@contoso.com", приложение Outlook 2010 ищет XML-файл в следующих расположениях и в следующем порядке: 1. https://contoso.com/autodiscover/autodiscover.xml 2. https://autodiscover/.contoso.com/autodiscover/autodiscover.xml Если в корневом домене у компании также имеется веб-сайт (например, contoso.com), вторая возможность (решение автообнаружения "запись ресурса сайта (A)") разрешает запускать вебсервер и файл или службу автообнаружения на разных серверах. Для компаний меньшего размера задачи по управлению отдельными записями DNS можно игнорировать, а один сервер может выполнять как веб-сайт, так и службу автообнаружения (например, вариант 1, показанный выше). Необходимо установить подключение с помощью протокола Secure Sockets Layer (SSL), для которого требуется действительный сертификат SSL. Сертификат необходим в связи с тем, что компания или поставщик услуг Интернета могут предоставить только зашифрованный доступ к почтовым серверам. В этом случае, если приложение Outlook 2010 вначале проверяет расположения не-SSL или позволяет переместиться в расположение не-SSL, а пользователь указывает адрес электронной почты и пароль в уязвимой ситуации с системой безопасности, как, например, во время атаки main-in-the-middle, служба автоматической настройки в приложении Outlook 2010 может ослабить защиту системы, поскольку при разрешении подключения не-SSL является наиболее незащищенным звеном. Без использования зашифрованного подключения служба автоматической настройки позволяет незашифрованного веб-сайту настраивать параметры почтового сервера и позволяет выполнять проверку подлинности на основании имени и пароля пользователя на незашифрованном сайте. В то же время SSL требуется в протоколе Autodiscover для обеспечения совместимости с компаниями и ISP, которые реализуют процедуры безопасной настройки. Однако если компания или ISP предпочитают размещать множество доменов электронной почты, Outlook 2010 может использовать незашифрованную пересылку HTTP или запись ресурса DNS SRV (эта функция поиска записи DNS SRV включена в Office Outlook 2007 с пакетом обновления 1 и более поздних версиях) на защищенный веб-сайт, на котором хранятся эти параметры. Например, предположим, что contoso.com находится на размещенном домене электронной почты, а служба хостинга выполняет файл Autodiscover в hoster.com. В этом случае 139 префикс autodiscover может использовать компанией хостинга, чтобы направить приложение Outlook 2010 на безопасный сайт с параметрами автообнаружения. HTTP redirect: http://autodiscover/.contoso.com/autodiscover/autodiscover.xml --> redirects to https://autodiscover/.hoster.com/autodiscover/autodiscover.xml DNS SRV: _autodiscover._tcp.contoso.com --> points to https://autodiscover/.hoster.com/autodiscover/autodiscover.xml В обоих примерах пользователям будет показано в Outlook 2010 диалоговое окно с предупреждением о перенаправлении на адрес autodiscover.hoster.com в соответствии с параметрами сервера. Диалоговое окно поддерживает возможность разрешения пересылки или последующего игнорирования данного запроса (в этом примере — autodiscover.hoster.com). Сведения о протоколе автообнаружения В доменной среде с настроенной точкой подключения службы (SCP) сначала выполняется поиск SCP. В противном случае первая попытка подключения всегда производится с предиката HTTPS POST на домен, на котором зарегистрирован электронный почтовый адрес пользователя адрес@домен. Если параметры получены, то никаких дополнительных запросов сети не требуется. Если же нет, предикат HTTPS POST выполняется на домене autodiscoverдомен. Если параметры для этого сайта не получены, выполняется финальный поиск в записях HTTP GET и DNS SRV только на сайте autodiscover.домен. Данный поиск записей HTTP GET и DNS SRV может быть перенаправлен только на защищенный сайт (если параметры присутствуют в расположении HTTP, Outlook 2010 не будет настраивать в связи с тем, что подключение не было зашифровано). Outlook 2010 может поддерживать до 10 перенаправлений любого типа. То есть, можно воспользоваться перенаправлением HTTPS POST, HTTP GET или тегами пересылки Autodiscover XML-схемы, которые подробнее описаны далее в данной статье. Если параметры не были получены после 10 перенаправлений, обнаружение параметров невозможно. Статический XML и XML веб-службы Предикат POST используется таким образом, чтобы приложение Outlook 2010 могла создать запрос к динамической веб-службе, как, например, роль сервера клиентского доступа в Exchange 2007 или Exchange Server 2010. Однако если статический XML-файл достаточен или выполнение веб-службы автообнаружения не требуется, XML-ответ будет возвращен в виде настроенного ответа 405 (предикат POST не поддерживается) с любого веб-сервера, который также будет выполнять роль XML настройки, используемой Outlook 2010. Локальное использование автообнаружения Реестр на ПК можно настроить таким образом, чтобы выполнять поиск локального XML-файла, который определяет серверные параметры. В то же время настойчиво рекомендуется размещать параметры на сервере live, чтобы можно было легко обновить их. При тестирование 140 добавление записей к реестру может привести к тому, что приложение Outlook 2010 будет использовать локальные XML-файлы для настройки домена электронной почты, не настроенного на сервере. Сервер переопределяет локальный XML для обеспечения лучшей безопасности и управления настройкой. Например, чтобы получить параметры адреса электронной почты contoso.com из локального XML-файла, можно настроить следующий параметр реестра: [HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Autodiscover] "contoso.com"="%PROGRAMFILES%\Microsoft Office\Office14\contoso.xml" В этом примере файл параметров XML расположен в следующем месте: %PROGRAMFILES%\Microsoft Office\Office14\contoso.xml. Образец файла параметров XML представлен далее в этой статье. Предшествование параметров XML Outlook 2010 настраивает тип сервера на основании команды с помощью которой в файле параметров автообнаружения XML задаются серверы. Например, если поставщик почтовых служб поддерживает вход через протоколы POP3 и IMAP, однако предпочитает протокол POP3, параметры POP3 должны быть перечислены в файле Autodiscover. Сводка транзакций автоматического обнаружения Далее представлены сведения о порядке операций для обнаружения параметров службы автообнаружения в Outlook 2010. 1. Автоматически получить адрес электронной почты из службы каталогов Active Directory, если компьютер присоединен к домену. 2. Получить имя компьютера Exchange Server, если таковое имеется, и сохранить его для последующих операций. 3. Выполните поиск объектов точки подключения службы или объекты указателя точки подключения службы, которые соответствуют адресу электронной почты пользователя, и найдите правильный сервер автообнаружения для подключения. После этого подключитесь к серверу автообнаружения и получите параметры. 4. Если предыдущее действие не удалось выполнить, попытаться воспользоваться функцией обнаружения DNS средства Autodiscover XML (поддерживает 10 перенаправлений). a. HTTPS POST: https://домен/autodiscover/autodiscover.xml b. HTTPS POST: https://autodiscover/.домен/autodiscover/autodiscover.xml c. HTTP GET: http://autodiscover/.домен/autodiscover/autodiscover.xml (только для выполнения перенаправления, а не для получения параметров) d. DNS SRV lookup: _autodiscover._tcp.домен (только для выполнения перенаправления, на которое указывает запись ресурса SRV) 141 5. Если предыдущее действие не удалось выполнить, попытаться воспользоваться функцией локального обнаружения XML и использовать файл XML на локальном компьютере, если это возможно. 6. Если действие на предыдущем этапе не было выполнено, однако имя компьютера Exchange Server было получено на этапе 2, настройте учетную запись сервера Exchange в соответствии с именем компьютера Exchange Server. 7. Если предыдущее действие неприменимо, попытаться использовать функцию обнаружения стандартных параметров, как описано в разделе Обнаружение стандартных настроек далее в этой статье. Схема XML автоматического обнаружения Описание XML-схемы для функции автообнаружения в Outlook 2010 представлено в следующих разделах. Запрос POST, отправленный Outlook При извлечении параметров XML для настройки учетной записи электронной почты Outlook 2010 всегда использует метод POST. HTTP POST показан в следующем примере кода. <!-- REQUEST TO SERVER. In HTTP POST DATA --> <?xml version="1.0" encoding="utf-8" ?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006"> <Request> <AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responsesc hema/2006a</AcceptableResponseSchema> <!-- EMailAddress: Optional This tag indicates the user’s email address. --> <EMailAddress>JohnDoe@sample.com</EMailAddress> </Request> </Autodiscover> Схема XML-ответа Сервер может ответить на запрос Outlook 2010 несколькими способами. Если достаточным является статический файл XML (например, служба POP3, предоставленная поставщиком услуг Интернета с одинаковыми именами серверов для всех пользователей), то используется 142 настроенное сообщение об ошибке 405 POST с XML-содержимым. В случае выполнения службы автообнаружения ответ может быть вычислен динамически на основании сообщение пользователя POST, показанного в предыдущем разделе. Вне зависимости от выбранного способа используется схема, представленная в следующем образце кода. <!-- RESPONSE FROM THE SERVER --> <?xml version="1.0" encoding="utf-8" ?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <!-- Response: Required This tag serves as an indication that the retrieved XML is an Autodiscovery Response --> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <!-- User: Optional This tag gives user-specific information. Autodiscover must be UTF-8 encoded. --> <User> <!-- DisplayName: Optional The server may have a good formal display name. it. The client can decide to accept it or change This will save the user time in the default case. --> <DisplayName>John Doe</DisplayName> </User> <!-- Account: Required This tag specifies the type of account, such as Email vs Newsgroups, vs SIP server, etc. --> <Account> <!-- AccountType: Required This value indicates the type of the account. VALUES: email: The values under this Account tag indicate configuration settings for an email server. nntp: The values under this Account tag indicate configuration settings for a NNTP server. (not used by Outlook 2007) --> 143 <AccountType>email | nntp</AccountType> <!-- Action: Required This value indicates if the goal of this account results is to provide the settings or redirect to another web server that can provide results. VALUES: redirectUrl: If this value is specified, then the URL tag will specify the http: or https: URL containing the Autodiscover results to be used. In order to prevent the server from being able to send the client into an infinite loop, the client should stop redirecting after 10 redirects. redirectAddr: If this value is specified, then the XML tag will specify the e-mail address that Outlook should use to execute Autodiscover again. In other words, the server is telling the client that the e-mail address the client should really be using for Autodiscover is not the one that was posted, but the one specified in this tag. settings: If this value is specified, then the XML will contain the settings needed to configure the account. The settings will primarily be under the PROTOCOL tag. --> <Action>redirectUrl | redirectAddr | settings</Action> <!-- RedirectUrl: Required if ACTION tag has value of 'redirectUrl'. Otherwise this tag must not exist. The value will be a https: URL that the client should use to obtain the Autodiscover settings or a http: URL that the client should use for further redirection. --> <RedirectUrl>redirect.URL</RedirectUrl> <!-- RedirectAddr: Required if ACTION tag has value of 'redirectAddr'. Otherwise this tag must not exist. The value will be an email address that the client should use to rediscover settings using the Autodiscover protocol. --> <RedirectAddr>email@address</RedirectAddr> <!-- Image: Optional 144 This is a JPG picture to brand the ISP configuration experience with. The client can choose whether or not they download this picture to display. (not used by Outlook 2007) --> <Image>http://path.to.image.com/image.jpg</Image> <!-- ServiceHome: Optional This is a link to the ISP’s Home Page. The client can choose whether or not they expose this link to the user. (not used by Outlook 2007) --> <ServiceHome>http://web.page.com</ServiceHome> <!-- Protocol: Required if ACTION tag has value of 'settings'. Otherwise, this tag must not exist. The tag encloses the specifications for a single account type. in order of preference of the server. The list of Protocol tags are The client may over ride the preference. --> <Protocol> <!-- TYPE: Required. The value here specifies what kind of mail account is being configured. POP3: The protocol to connect to this server is POP3. Only applicable for AccountType=email. SMTP: The protocol to connect to this server is SMTP. Only applicable for AccountType=email. IMAP: The protocol to connect to this server is IMAP. Only applicable for AccountType=email. DAV: The protocol to connect to this server is DAV. Only applicable for AccountType=email. WEB: Email is accessed from a web browser using an URL from the SERVER tag. Only applicable for AccountType=email. (not used by Outlook 2007) NNTP: The protocol to connect to this server is NNTP. Only applicable for AccountType=nntp. (not used by Outlook 2007) --> <Type>POP3 | SMTP | IMAP | DAV | WEB | NNTP</Type> <!-- ExpirationDate: Optional. The value here specifies the last date which these settings should be used. After that date, the settings should be rediscovered via Autodiscover again. If no value is specified, the default will be no expiration. 145 --> <ExpirationDate>YYYYMMDD</ExpirationDate> <!-- TTL: Optional. The value here specifies the time to live in hours that these settings are valid for. After that time has elapsed (from the time the settings were retrieved), the settings should be rediscovered via Autodiscovery again. A value of 0 indicates that no rediscovery will be required. If no value is specified, the default will be a TTL of 1 hour. --> <TTL>168</TTL> <!-- Server: Required. The value here specifies the name of the mail server corresponding to the server type specified above. For protocols such as POP3, SMTP, IMAP, or NNTP, this value will be either a hostname or an IP address. For protocols such as DAV or WEB, this will be an URL. --> <Server>mail.contoso.com</Server> <!--IP Addr or DNS name of server--> <!-- Port: Optional. The value specifies the Port number to use. If no value is specified, the default settings will be used depending on the mail server type. This value is not used if the SERVER tag contains an URL. --> <Port>110</Port> <!-- LoginName: Optional. This value specifies the user's login. If no value is specified, the default will be set to the string preceding the '@' in the email address. format should be <Username>@<Domain>. If the Login name contains a domain, the Such as JoeUser@SalesDomain. --> <LoginName>johndoe</LoginName> 146 <!-- DomainRequired: Optional. Default is off. If this value is true, then a domain is required during authentication. If the domain is not specified in the LOGINNAME tag, or the LOGINNAME tag was not specified, the user will need to enter the domain before authentication will succeed. --> <DomainRequired>on | off</DomainRequired> <!-- DomainName: Optional. This value specifies the user's domain. If no value is specified, the default authentication will be to use the e-mail address as a UPN format <Username>@<Domain>. Such as JoeUser@SalesDomain. --> <DomainName></DomainName> <!-- SPA: (Secure Password Authentication) Optional. This value specifies whether or not secure password authentication is needed. If unspecified, the default is set to on. --> <SPA>on | off</SPA> <!-- SSL: Optional. This value specifies whether secure login is needed. If unspecified, the default is set to on. --> <SSL>on | off</SSL> <!-- AuthRequired: Optional. This value specifies whether authentication is needed (password). If unspecified, the default is set to on. --> <AuthRequired>on | off</AuthRequired> <!-- Optional: Is Authentication required? --> <!-- UsePOPAuth: Optional. This value can only be used for SMTP types. 147 If specified, then the authentication information provided for the POP3 type account will also be used for SMTP. --> <UsePOPAuth>on | off</UsePOPAuth> <!-- SMTPLast: Optional. Default is off. If this value is true, then the SMTP server requires that email be downloaded before sending email via the SMTP server. This is often required because the SMTP server verifies that the authentication succeeded when downloading email. --> <SMTPLast>on | off</SMTPLast> </Protocol> </Account> </Response> </Autodiscover> Образец XML-ответов Возвращаемый XML-ответ зависит от конфигурации, заданной поставщиком услуг Интернета. Поставщик услуг Интернета со службами POP3 и SMTP Следующий XML-файл будет настроен в качестве настраиваемого ответа на ошибку 405 по адресу https://contoso.com/autodiscover/autodiscover.xml или https://autodiscover/.contoso.com/autodiscover/autodiscover.xml. <?xml version="1.0" encoding="utf-8" ?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol> <Type>POP3</Type> <Server>mail.contoso.com</Server> <Port>995</Port> 148 <DomainRequired>off</DomainRequired> <SPA>off</SPA> <SSL>on</SSL> <AuthRequired>on</AuthRequired> </Protocol> <Protocol> <Type>SMTP</Type> <Server>mail.contoso.com</Server> <Port>587</Port> <DomainRequired>off</DomainRequired> <SPA>off</SPA> <SSL>on</SSL> <AuthRequired>on</AuthRequired> <UsePOPAuth>on</UsePOPAuth> <SMTPLast>on</SMTPLast> </Protocol> </Account> </Response> </Autodiscover> Поставщик услуг Интернета со службами POP3, IMAP и SMTP с предпочтением POP3 для клиентов Следующий XML-файл будет настроен в точности, как показано в предыдущем разделе. <?xml version="1.0" encoding="utf-8" ?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol> <Type>POP3</Type> <Server>mail.contoso.com</Server> 149 <Port>995</Port> <DomainRequired>off</DomainRequired> <SPA>off</SPA> <SSL>on</SSL> <AuthRequired>on</AuthRequired> </Protocol> <Protocol> <Type>IMAP</Type> <Server>mail.contoso.com</Server> <Port>993</Port> <DomainRequired>off</DomainRequired> <SPA>off</SPA> <SSL>on</SSL> <AuthRequired>on</AuthRequired> </Protocol> <Protocol> <Type>SMTP</Type> <Server>mail.contoso.com</Server> <Port>587</Port> <DomainRequired>off</DomainRequired> <SPA>off</SPA> <SSL>on</SSL> <AuthRequired>on</AuthRequired> <UsePOPAuth>on</UsePOPAuth> <SMTPLast>on</SMTPLast> </Protocol> </Account> </Response> </Autodiscover> 150 Перенаправление XML к расположению стандартного XML-файла Чтобы перенаправить пользователей к стандартному XML-файлу, необходимо настроить следующий XML-файл в размещенном домене с использованием незашифрованного URLадреса. При использовании этого XML-файла появится сообщение о перенаправлении пользователей на другой веб-сайт для применения параметров автообнаружения. Например, если домен размещен на hoster.com с адресом электронной почты contoso.com, файл будет расположен по адресу http://autodiscover/.contoso.com/autodiscover/autodiscover.xml. Содержимое файла в данном случае показано в следующем образце кода. <?xml version="1.0" encoding="utf-8" ?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <Account> <AccountType>email</AccountType> <Action>redirectUrl</Action> <RedirectUrl>https://autodiscover.hoster.com/autodiscover/autodiscover.xml</RedirectUrl> </Account> </Response> </Autodiscover> Также перенаправление может быть выполнено с помощью стандартного перенаправления HTTP 302 к исходному расположению. В рамках XML-ответа Outlook 2010 поддерживает как перенаправления 302, так и теги перенаправления "redirectUrl". Учтите, что содержимое XML-файлов для всех откликов автообнаружения должно быть названо Autodiscover.xml. Обнаружение стандартных настроек Если параметры, необходимые для автоматической настройки учетной записи пользователя в Outlook 2010, не удается найти с помощью методов, описанных в предыдущих разделах о функции автообнаружения, то для определения серверов используется резервный алгоритм на основе общих имен и стандартных портов. В Outlook 2010 при автоматической настройке учетной записи веб-почты тип учетной записи задается как IMAP по умолчанию для учетных записей с поддержкой IMAP, таких как Google Gmail. Если пользователи предпочитают POP3, они могут вручную настраивать параметры протокола после их определения Outlook 2010 посредством выбора параметра Настроить вручную параметры сервера в диалоговом окне Добавить новую учетную запись. Чтобы сделать процесс выбора проще, поставщики услуг электронной почты по протоколам POP3 и IMAP должны использовать одинаковые имена серверов для каждого протокола. Таким образом, 151 при переключении с протокола IMAP на POP3 пользователю нужно только поменять поле выбора. Outlook 2010 поддерживает ряд параметров серверов исходящих и входящих сообщений, а также позволяет увеличить производительность и сократить время ожидания для пользователей. Параметры, настраиваемые в приложении Outlook 2010, перечислены в представленных ниже таблицах. Все зашифрованные параметры настраиваются в первую очередь и являются взаимоисключающими. Затем, по желанию пользователей, устанавливаются незашифрованные параметры. Параметры IMAP Прежде всего настраиваются зашифрованные параметры. Перестановки подключений для сервера IMAP показаны в следующей таблице. Сервер Имя пользователя Порт Протокол SPA TLS/SSL mail.домен imap.домен адрес_эл._почты@домен 993 SSL SPA адрес_эл._почты@домен 993 Протокол SSL без SPA адрес_эл._почты@домен 993 TLS SPA адрес_эл._почты@домен 993 TLS без SPA адрес_эл._почты@домен 143 SSL SPA адрес_эл._почты@домен 143 Протокол SSL без SPA адрес_эл._почты@домен 143 TLS SPA адрес_эл._почты@домен 143 TLS без SPA адрес_эл._почты 993 Протокол SSL SPA адрес_эл._почты 993 Протокол SSL без SPA адрес_эл._почты 993 TLS SPA адрес_эл._почты 993 TLS без SPA адрес_эл._почты 143 Протокол SSL SPA адрес_эл._почты 143 Протокол SSL без SPA адрес_эл._почты 143 TLS SPA адрес_эл._почты 143 TLS без SPA адрес_эл._почты@домен 993 SSL SPA 152 Сервер Имя пользователя Порт Протокол SPA TLS/SSL домен адрес_эл._почты@домен 993 Протокол SSL без SPA адрес_эл._почты@домен 993 TLS SPA адрес_эл._почты@домен 993 TLS без SPA адрес_эл._почты@домен 143 Протокол SSL SPA адрес_эл._почты@домен 143 Протокол SSL без SPA адрес_эл._почты@домен 143 TLS SPA адрес_эл._почты@домен 143 TLS без SPA адрес_эл._почты 993 SSL SPA адрес_эл._почты 993 Протокол SSL без SPA адрес_эл._почты 993 TLS SPA адрес_эл._почты 993 TLS без SPA адрес_эл._почты 143 SSL SPA адрес_эл._почты 143 Протокол SSL без SPA адрес_эл._почты 143 TLS SPA адрес_эл._почты 143 TLS без SPA адрес_эл._почты@домен 993 SSL SPA адрес_эл._почты@домен 993 Протокол SSL без SPA адрес_эл._почты@домен 993 TLS SPA адрес_эл._почты@домен 993 TLS без SPA адрес_эл._почты@домен 143 SSL SPA адрес_эл._почты@домен 143 SSL без SPA адрес_эл._почты@домен 143 TLS SPA адрес_эл._почты@домен 143 TLS без SPA адрес_эл._почты 993 SSL SPA адрес_эл._почты 993 SSL без SPA адрес_эл._почты 993 TLS SPA 153 Сервер Имя пользователя Порт Протокол SPA TLS/SSL адрес_эл._почты 993 TLS без SPA адрес_эл._почты 143 SSL SPA адрес_эл._почты 143 SSL без SPA адрес_эл._почты 143 TLS SPA адрес_эл._почты 143 TLS без SPA После того как пользователю предлагается продолжить настройку незашифрованных подключений, настраиваются незашифрованные перестановки. Незашифрованные параметры IMAP, которые пытается настроить Outlook 2010, показаны в следующей таблице. Сервер Имя пользователя Порт Протокол TLS/SSL SPA mail.домен адрес_эл._почты@домен 143 Без шифрования SPA адрес_эл._почты@домен 143 Без шифрования без SPA адрес_эл._почты 143 Без шифрования SPA адрес_эл._почты 143 Без шифрования без SPA адрес_эл._почты@домен 143 Без шифрования SPA адрес_эл._почты@домен 143 Без шифрования без SPA адрес_эл._почты 143 Без шифрования SPA адрес_эл._почты 143 Без шифрования без SPA адрес_эл._почты@домен 143 Без шифрования SPA адрес_эл._почты@домен 143 Без шифрования без SPA адрес_эл._почты 143 Без шифрования SPA адрес_эл._почты 143 Без шифрования без SPA imap.домен домен Параметры POP3 Прежде всего настраиваются зашифрованные параметры. Перестановки подключений для сервера POP3 показаны в следующей таблице. 154 Сервер Имя пользователя Порт Протокол SPA TLS/SSL mail.домен pop3.домен адрес_эл._почты@домен 995 SSL SPA адрес_эл._почты@домен 995 SSL без SPA адрес_эл._почты@домен 995 TLS SPA адрес_эл._почты@домен 995 TLS без SPA адрес_эл._почты@домен 110 SSL SPA адрес_эл._почты@домен 110 SSL без SPA адрес_эл._почты@домен 110 TLS SPA адрес_эл._почты@домен 110 TLS без SPA адрес_эл._почты 995 SSL SPA адрес_эл._почты 995 SSL без SPA email 995 TLS SPA адрес_эл._почты 995 TLS без SPA адрес_эл._почты 110 SSL SPA адрес_эл._почты 110 SSL без SPA адрес_эл._почты 110 TLS SPA адрес_эл._почты 110 TLS без SPA адрес_эл._почты@домен 995 SSL SPA адрес_эл._почты@домен 995 SSL без SPA адрес_эл._почты@домен 995 TLS SPA адрес_эл._почты@домен 995 TLS без SPA адрес_эл._почты@домен 110 SSL SPA адрес_эл._почты@домен 110 SSL без SPA адрес_эл._почты@домен 110 TLS SPA адрес_эл._почты@домен 110 TLS без SPA адрес_эл._почты 995 SSL SPA адрес_эл._почты 995 SSL без SPA 155 Сервер Имя пользователя Порт Протокол SPA TLS/SSL pop.домен домен адрес_эл._почты 995 TLS SPA адрес_эл._почты 995 TLS без SPA адрес_эл._почты 110 SSL SPA адрес_эл._почты 110 SSL без SPA адрес_эл._почты 110 TLS SPA адрес_эл._почты 110 TLS без SPA адрес_эл._почты@домен 995 SSL SPA адрес_эл._почты@домен 995 SSL без SPA адрес_эл._почты@домен 995 TLS SPA адрес_эл._почты@домен 995 TLS без SPA адрес_эл._почты@домен 110 SSL SPA адрес_эл._почты@домен 110 SSL без SPA адрес_эл._почты@домен 110 TLS SPA адрес_эл._почты@домен 110 TLS без SPA адрес_эл._почты 995 SSL SPA адрес_эл._почты 995 SSL без SPA адрес_эл._почты 995 TLS SPA адрес_эл._почты 995 TLS без SPA адрес_эл._почты 110 SSL SPA адрес_эл._почты 110 SSL без SPA адрес_эл._почты 110 TLS SPA адрес_эл._почты 110 TLS без SPA адрес_эл._почты@домен 995 SSL SPA адрес_эл._почты@домен 995 SSL без SPA адрес_эл._почты@домен 995 TLS SPA адрес_эл._почты@домен 995 TLS без SPA 156 Сервер Имя пользователя Порт Протокол SPA TLS/SSL адрес_эл._почты@домен 110 SSL SPA адрес_эл._почты@домен 110 SSL без SPA адрес_эл._почты@домен 110 TLS SPA адрес_эл._почты@домен 110 TLS без SPA адрес_эл._почты 995 SSL SPA адрес_эл._почты 995 SSL без SPA адрес_эл._почты 995 TLS SPA адрес_эл._почты 995 TLS без SPA адрес_эл._почты 110 SSL SPA адрес_эл._почты 110 SSL без SPA адрес_эл._почты 110 TLS SPA адрес_эл._почты 110 TLS без SPA После того как пользователю предлагается продолжить настройку незашифрованных подключений, настраиваются незашифрованные перестановки. Незашифрованные параметры POP3, которые пытается настроить Outlook 2010, показаны в следующей таблице. Сервер Имя пользователя Порт Протокол TLS/SSL SPA mail.домен адрес_эл._почты@домен 110 Без шифрования SPA адрес_эл._почты@домен 110 Без шифрования без SPA адрес_эл._почты 110 Без шифрования SPA адрес_эл._почты 110 Без шифрования без SPA адрес_эл._почты@домен 110 Без шифрования SPA адрес_эл._почты@домен 110 Без шифрования без SPA адрес_эл._почты 110 Без шифрования SPA адрес_эл._почты 110 Без шифрования без SPA адрес_эл._почты@домен 110 Без шифрования SPA pop3.домен pop.домен 157 Сервер домен Имя пользователя Порт Протокол TLS/SSL SPA адрес_эл._почты@домен 110 Без шифрования без SPA адрес_эл._почты 110 Без шифрования SPA адрес_эл._почты 110 Без шифрования без SPA адрес_эл._почты@домен 110 Без шифрования SPA адрес_эл._почты@домен 110 Без шифрования без SPA адрес_эл._почты 110 Без шифрования SPA адрес_эл._почты 110 Без шифрования без SPA Параметры SMTP Прежде всего настраиваются зашифрованные параметры. Перестановки подключений для сервера SMTP показаны в следующей таблице. Сервер Имя пользователя Порт Протокол SPA TLS/SSL mail.домен адрес_эл._почты@домен 587 SSL SPA адрес_эл._почты@домен 587 SSL без SPA адрес_эл._почты@домен 587 TLS SPA адрес_эл._почты@домен 587 TLS без SPA адрес_эл._почты@домен 25 SSL SPA адрес_эл._почты@домен 25 SSL без SPA адрес_эл._почты@домен 25 TLS SPA адрес_эл._почты@домен 25 TLS без SPA адрес_эл._почты 587 SSL SPA адрес_эл._почты 587 SSL без SPA адрес_эл._почты 587 TLS SPA адрес_эл._почты 587 TLS без SPA адрес_эл._почты 25 SSL SPA 158 Сервер Имя пользователя Порт Протокол SPA TLS/SSL smtp.домен адрес_эл._почты 25 SSL без SPA адрес_эл._почты 25 TLS SPA адрес_эл._почты 25 TLS без SPA Анонимный доступ 587 SSL неприменимо Анонимная 587 TLS неприменимо Анонимная 25 SSL неприменимо Анонимная 25 TLS неприменимо адрес_эл._почты@домен 587 SSL SPA адрес_эл._почты@домен 587 SSL без SPA адрес_эл._почты@домен 587 TLS SPA адрес_эл._почты@домен 587 TLS без SPA адрес_эл._почты@домен 25 SSL SPA адрес_эл._почты@домен 25 SSL без SPA адрес_эл._почты@домен 25 TLS SPA адрес_эл._почты@домен 25 TLS без SPA адрес_эл._почты 587 SSL SPA адрес_эл._почты 587 SSL без SPA адрес_эл._почты 587 TLS SPA адрес_эл._почты 587 TLS без SPA адрес_эл._почты 25 SSL SPA адрес_эл._почты 25 SSL без SPA адрес_эл._почты 25 TLS SPA адрес_эл._почты 25 TLS без SPA Анонимный доступ 587 SSL неприменимо Анонимная 587 TLS неприменимо Анонимная 25 SSL неприменимо 159 Сервер Имя пользователя Порт Протокол SPA TLS/SSL домен Анонимная 25 TLS неприменимо адрес_эл._почты@домен 587 SSL SPA адрес_эл._почты@домен 587 SSL без SPA адрес_эл._почты@домен 587 TLS SPA адрес_эл._почты@домен 587 TLS без SPA адрес_эл._почты@домен 25 SSL SPA адрес_эл._почты@домен 25 SSL без SPA адрес_эл._почты@домен 25 TLS SPA адрес_эл._почты@домен 25 TLS без SPA адрес_эл._почты 587 SSL SPA адрес_эл._почты 587 SSL без SPA адрес_эл._почты 587 TLS SPA адрес_эл._почты 587 TLS без SPA адрес_эл._почты 25 SSL SPA адрес_эл._почты 25 SSL без SPA адрес_эл._почты 25 TLS SPA адрес_эл._почты 25 TLS без SPA Анонимный доступ 587 SSL неприменимо Анонимная 587 TLS неприменимо Анонимная 25 SSL неприменимо Анонимная 25 TLS неприменимо После того как пользователю предлагается продолжить настройку незашифрованных подключений, настраиваются незашифрованные перестановки. Незашифрованные параметры SMTP, которые пытается настроить Outlook 2010, показаны в следующей таблице. 160 Сервер Имя пользователя Порт Протокол SPA TLS/SSL mail.домен smtp.домен домен адрес_эл._почты@домен 25 Без шифрования SPA адрес_эл._почты@домен 25 Без шифрования без SPA адрес_эл._почты 25 Без шифрования SPA адрес_эл._почты 25 Без шифрования без SPA Анонимный доступ 25 Без шифрования неприменимо адрес_эл._почты@домен 25 Без шифрования SPA адрес_эл._почты@домен 25 Без шифрования без SPA адрес_эл._почты 25 Без шифрования SPA адрес_эл._почты 25 Без шифрования без SPA Анонимный доступ 25 Без шифрования неприменимо адрес_эл._почты@домен 25 Без шифрования SPA адрес_эл._почты@домен 25 Без шифрования без SPA адрес_эл._почты 25 Без шифрования SPA адрес_эл._почты 25 Без шифрования без SPA Анонимный доступ 25 Без шифрования неприменимо См. также Обзор службы автообнаружения: справка Exchange 2007 Общие сведения о службе автообнаружения: справка Exchange 2010 161 Планирование обеспечения соответствия и архивации в Outlook 2010 В этой статье описываются вопросы планирования развертывания политики хранения и личного архива в Microsoft Outlook 2010 и Microsoft Exchange Server 2010. Эти возможности позволяют пользователям следовать политикам хранения и хранить важные бизнес-данные в личном архиве. Даже если в организации нет строгих правил соответствия этим политикам, личный архив — это прекрасное решение для переноса данных из личных PST-файлов Microsoft Outlook или решений архивации сторонних производителей. Личный архив позволяет пользователям архивировать их сообщения электронной почты в управляемой папке для резервного копирования, восстановления и соблюдения правил хранения данных организации. Политика хранения и личный архив доступны, только если Outlook 2010 используется как часть Microsoft Office профессиональный 2010 или Microsoft Office профессиональный плюс 2010 с учетной записью Exchange Server 2010 и администратор Exchange включил политику хранения и сетевой архив. Содержание: Планирование развертывания политики хранения Планирование развертывания личного архива Планирование развертывания политики хранения Политика хранения — это эффективный способ применения политик хранения сообщений электронной почты, которые размещаются на сервере Exchange Server 2010. Кроме того, политику хранения можно использовать, чтобы помогать пользователям не превышать квоту для их почтовых ящиков. Политику хранения можно применять на уровне почтового ящика, папки и отдельных сообщений электронной почты, при этом она поддерживается только для сообщений электронной почты. Другие типы сообщений, такие как элементы календаря и задач, не поддерживаются в Outlook 2010 и Exchange Server 2010. Для принудительного применения политики хранения сообщения электронной почты должны храниться в почтовом ящике или личном архиве на компьютере под управлением Exchange Server. При планировании развертывания политики хранения следует рассмотреть следующие ключевые этапы. Поработайте с юридическим отделом или отделом нормативно-правового соответствия для определения политик. Определите оптимальное сочетание политик для почтовых ящиков, папок и пользователей. Обновите параметры пользователей для применения политики хранения. 162 Уведомите пользователей о политике хранения. Для пользователей, в отношении которых ведется расследование, следует включить удержание хранения или юридическое удержание. Определение политик хранения Выбор политик хранения, которые будут применяться к организации, отделам и пользователям должен заключаться в разговоре с юридическим отделом или отделом нормативно-правового соответствия. В организации могут использоваться правительственные или другие нормы, которые можно применить с помощью политик хранения. Так как в отделах могут использоваться разные нормы, политики следует объединить в логические легко управляемые группы. После выявления необходимых политик можно определить, как лучше всего их реализовать. Личные теги — это политики, которые пользователи могут применять к отдельным созданным ими сообщениям и папкам. При определении политик для пользователей не рекомендуется применять более 10 личных тегов. Большее количество может запутать пользователей. Кроме того, в галерее политик на ленте в Outlook одновременно отображается только 10 личных тегов. Если пользователям нужно более 10 личных тегов, они могут выбрать параметр Дополнительные политики хранения в галерее политик. Определение типов создаваемых политик Теперь, когда известны группы пользователей, которым нужны политики хранения, можно определить, как их требуется реализовать. Существует три основных типа политик хранения. 1. Тег политики по умолчанию Это политика, которая развертывается администратором Exchange и применяется ко всем папкам, созданным пользователем, и всем сообщениям электронной почты в почтовом ящике пользователя. Пользователь не может изменять эту политику. Это единственный тип политики, который гарантирует, что ко всем сообщениям электронной почты будет применяться по крайней мере одна политика. 2. Тег политики сохранения Это тип политики, который можно применять к следующим папкам в почтовом ящике пользователя. Входящие Черновики Отправленные Удаленные Нежелательная почта Исходящие RSS-каналы Ошибки синхронизации Журнал бесед 163 Примечание. Пользователи не могут менять политики для этих папок, даже если к ним не применен тег политики сохранения. 3. Личный тег Этот тип политики отображается в интерфейсе пользователя политики хранения, чтобы пользователи могли применять его к созданным папкам или отдельным сообщениям электронной почты. a. Пользователи не могут применять эти политики к специальным папкам, указанным ранее в этом разделе. b. Пользователи могут применять эти политик к сообщениям электронной почты в специальных папках, но не к самим папкам. c. Пользователи могут применять эти политики к созданным самостоятельно папкам. Примечание. Папки поиска не поддерживают политики хранения, так как они не содержат сообщений электронной почты. Личные теги Чтобы пользователи могли установить политику хранения для папки или сообщения электронной почты, им нужно предоставить один или несколько личных тегов. По умолчанию в галерее политик ленты отображаются первые 10 политик (личных тегов) в алфавитном порядке. В этом списке отображаются недавно использованные политики. Однако при применении дополнительных политик они отображаются на ленте в алфавитном порядке. Если пользователь применяет политику к папке в диалоговом окне свойств папки, отображается полный список личных тегов. Имена личных тегов, созданных для пользователей, должны описывать тип контента, для которого требуется соответствующая политика. Например, если сообщения электронной почты с упоминанием слова "патент" должны храниться 7 лет, создайте политику с именем "Патентная информация" и установите срок хранения 2555 дней. Outlook автоматически преобразует дни в понятный для людей формат и добавит полученный срок после имени политики. В Outlook политика будет отображаться как Патентная информация (7 лет). Также следует добавить описание политики, чтобы пользователям было понятнее, какие сообщения электронной почты входят в область действия этого личного тега. В описании следует указать тип контента, к которому применяется политика. Например: Политика: Патентная информация (7 лет) Описание: Все сообщения электронной почты, связанные с патентом. Далее указан приоритет политик для сообщений электронной почты: 1. Политика для электронной почты (личный тег) 2. Политика для папки с сообщениями электронной почты 3. Политика для родителя этой папки и родительских папок выше 164 4. Политика для почтового ящика (тег политики по умолчанию) Например, у пользователя есть папка с именем Финансовые документы, к которой применяется политика хранения Финансы (– 3 года). В одном из сообщений электронной почты в этой папке описывается политика финансового отдела и оно хранится в папке "Финансовые документы" для быстрого поиска. Пользователь может применить к этому сообщению политику Справочные материалы (– никогда), чтобы эти сообщения никогда не удалялись, даже если к папке применяется политика Финансы (– 3 года). Списки рассылки Если в организации используются списки рассылки, личный тег, который удаляет сообщения через 1-4 недели, помогает пользователям управлять квотой почтового ящика. Пользователи могут создать правило Outlook для автоматического применения политики к сообщениям или перемещения сообщений в папку, к которой применяется политика. Период прогрева политики хранения и обучение При обучению пользователей применению политики хранения очень важно, чтобы они знали, как правильно использовать систему, и понимали, когда и почему удаляются их сообщения. Следует убедиться, что пользователи понимают почему данные сохраняются или удаляются, чтобы они могли применять личные теги соответствующим образом, и знают, какой контент удаляется через определенное время. Рекомендуемые этапы. 1. Назначьте политики почтовым ящикам пользователей и установите для них состояние Удержание хранения. Так ни одна политика не сможет удалить сообщения электронной почты. Дополнительные сведения см. в разделе Установка состояния удержания хранения для почтового ящика (http://go.microsoft.com/fwlink/?linkid=195158&clcid=0x419). 2. Дайте пользователям инструкции по применению политики хранения. Объясните, что во время прогрева пользователи должны применить политики к папкам и сообщениям, иначе старые сообщения будут удалены. Дополнительные сведения см. в разделе Назначение политики хранения для сообщений электронной почты (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=195157&clcid=0x419) (Возможно, на английском языке). 3. За несколько дней до окончания периода прогрева напомните пользователям о сроке его завершения. 4. В последний день прогрева отмените состояние удержания хранения для пользователей. Так как пользователям может понадобиться какое-то время, чтобы привыкнуть к новой системе, период прогрева очень важен для облегчения работы с политикой хранения. Пользователи должны уметь применять правильные личные теги к нужным папкам и должны привыкнуть к идее автоматического удаления их информации. Рекомендуется предоставить пользователям по крайней мере 3 месяца для применения политики хранения к своим почтовым ящикам перед тем, как отменить состояние удержания хранения. Так пользователи смогут ознакомиться с политикой хранения до удаления любых данных. Это облегчит для пользователей процесс 165 интеграции политики хранения в их рабочий процесс и упростит понимание того, что происходит с их сообщениями электронной почты. Предупреждение. Без периода прогрева важные сообщения могут быть удалены раньше, чем пользователь сможет применить нужную политику. Аналогично, во время любого другого периода, в течение которого пользователи не следят за своими сообщениями, например в отпуске или декрете, их почтовые ящики следует перевести в состояние удержания хранения. Это необходимо, чтобы случайно не удалить их информацию. Когда пользователи вернутся на работу и обработают свою почту, состояние удержания хранения можно отключить. Важно Если для почтовых ящиков пользователей или специальных папок применяется тег политики по умолчанию или тег политики хранения и пользователи применяют режим кэширования для подключения к Exchange, производительность Outlook слегка уменьшится во время обновления профиля Outlook данными политики. Время, необходимое для обработки файла данных, зависит от его размера и скорости компьютера. Пользователей необходимо уведомить о снижении производительности при обновлении почтового ящика. Или же можно удалить профиль пользователя Outlook и создать новый профиль для этой учетной записи. Если пользователь запускает Outlook, Outlook загрузит сообщения электронной почты с уже добавленной информацией о политике. В зависимости от размера почтового ящика учетной записи это может быть быстрее обновления существующей учетной записи. Однако после создания нового профиля с этой учетной записью все сообщения необходимо индексировать еще раз, чтобы включить поиск в Outlook. Обучение пользователей применению политике хранения Пользователей следует проинформировать о следующих аспектах политики хранения, так как они повлияют на их работу и общую эффективность политик хранения организации. Дополнительные сведения см. в разделе Назначение политики хранения для сообщений электронной почты (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=195157&clcid=0x419) (Возможно, на английском языке). Пользователи должны проверить и при необходимости изменить политики хранения для своих папок, чтобы их сообщения не удалились случайно в конце периода прогрева. Во время прогрева политики хранения не удаляют сообщения автоматически. Тег политики по умолчанию удаляет все сообщения электронной почты, которые старее длительности политики, если пользователи не изменят параметры политики хранения для своих папок или отдельных сообщений электронной почты. Требуется четко указать длительность хранения тега политики по умолчанию. 166 Пользователи не могут изменить политики для специальных папок, таких как "Отправленные" и "Удаленные". Если существует политика для специальных папок, ее необходимо четко указать. Если пользователям требуется, чтобы к сообщениям в специальной папке применялась другая политика, они могут вручную применить к ним личный тег. Если пользователь добавляет личный тег в сообщение электронной почты, он будет иметь приоритет над политикой папки и тегом политики по умолчанию. Политика хранения применяется только к сообщениями электронной почты. Поэтому собрания и встречи в календаре не будут удалены. Дочерние папки наследуют политику хранения родительских папок. Политика хранения не удаляет сообщения в файлах данных Outlook (PST). Пользователи могут применить политику хранения к сообщению с помощью галереи политик на ленте. Пользователи могут применить политику хранения к созданным папкам с помощью команды Задать политику для папки в галерее политик. Пользователи могут получить список всех сообщений, которые устареют через 30 дней, выбрав команду Просмотр элементов, срок действия которых скоро истекает в галерее политик. Пользователи могут узнать, какая политика хранения применяется к сообщению, посмотрев под строку "Копия" в области чтения или в нижней части инспектора чтения. Пользователи с юридическим удержанием или пользователи, в отношении которых ведется расследование В Outlook 2010 и Exchange Server 2010 существует два вида юридического удержания: удержание хранения и удержание в связи с судебным процессом. При удержании хранения пользователям известно, что почтовый ящик удерживается. Удержание в связи с судебным процессом выполняется без уведомления, и пользователи не знают о том, что почтовый ящик используется в расследовании. В следующей таблице указаны функции, которые доступны при удержании хранения и удержании в связи с судебным процессом. Восстанавливаемые элементы и возможности копирования при записи описываются в следующих разделах. Функция Удержание хранения Удержание в связи с судебным процессом Политики хранения принудительно применяются на сервере Нет Да. Удаленные элементы записываются в скрытую папку в почтовом ящике пользователя. 167 Функция Удержание хранения Удержание в связи с судебным процессом Архивные политики принудительно применяются на сервере Нет Да Контейнер восстанавливаемых элементов может очистить себя Да Нет Копирование при записи включено Нет Да Восстановление удаленных элементов Папка "Восстановление удаленных элементов" в Exchange, ранее известная как корзина — это область для элементов, удаленных пользователями в Outlook, веб-клиенте Microsoft Outlook (OWA) и других клиентах электронной почты. Пользователи могут восстановить удаленные в Outlook и OWA элементы, открыв папку "Восстановление удаленных элементов". Дополнительные сведения см. в разделе Восстановление удаленных элементов (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=195172&clcid=0x419) (Возможно, на английском языке). По умолчанию в папке "Восстановление удаленных элементов" элементы хранятся 14 дней или до достижения квоты для папки. В папке "Восстановление удаленных элементов" элементы удаляются по принципу FIFO, если квота хранения папки превышена. Если для почтового ящика пользователя включено удержание в связи с судебным процессом, папка "Восстановление удаленных элементов" не очищается с помощью этих методов. Это гарантирует, что удаленные данные можно найти и восстановить. Дополнительные сведения см. в разделе Сведения о юридическом удержании (http://go.microsoft.com/fwlink/?linkid=195174&clcid=0x419). Копирование при записи В Exchange Server 2010 можно убедиться, что все версии сообщения электронной почты сохраняются с помощью функции копирования при записи. Эта функция копирует исходную версию измененного сообщения и сохраняет его в скрытой папке Versions. Свойства сообщения электронной почты, которые могут инициировать копирование, см. в разделе Сведения о юридическом удержании (http://go.microsoft.com/fwlink/?linkid=195174&clcid=0x419). Эта функция включается автоматически при использовании удержания в связи с судебным процессом. Использование удержания хранения Если сообщения электронной почты какого-то пользователя используются в расследовании и не должны удаляться, для этого почтового ящика можно включить удержание хранения. Используя 168 эту функцию, можно отображать комментарий в представлении Backstage, сообщающий пользователю о состоянии удержании. Если у пользователей есть личный архив, им потребуется вручную переместить сообщения в архив. Удержание не позволяет политикам хранения и архивации удалять или перемещать сообщения. Если почтовый ящик пользователя находится в состоянии удержания хранения, его квоту следует увеличить, чтобы сохранить важные для расследования сообщения. Если пользователь находится в состоянии удержания хранения, его следует проинформировать о следующем. Политики хранения и архивации больше не будут удалять и перемещать сообщения. Пользователь может вручную переместить сообщения в личный архив, если такой существует. Использование удержания в связи с судебным процессом Если в отношении пользователя часто проводятся судебные расследования или одновременно проводится несколько расследований, с помощью удержания в связи с судебным процессом можно гарантировать, что все сообщения электронной почты будут сохранены без ведома этого пользователя. При использовании удержания в связи с судебным процессом Outlook не уведомляет пользователей о том, что почтовый ящик удерживается. Это может быть полезно при внутреннем расследовании. Так как политики хранения и архивации позволяют пользователям удалять и перемещать сообщения, при удержании в связи с судебным процессом пользователи могут работать, не ощущая расследования. Все удаленные элементы сохраняются в папке "Восстановление удаленных элементов", а функция копирования при записи сохраняет все версии сообщений электронной почты. Сочетание этих функций облегчает задачу сохранения информации, которая может иметь значение для юридического расследования. Дополнительные сведения см. в разделе Сведения о юридическом удержании (http://go.microsoft.com/fwlink/?linkid=195174&clcid=0x419). Планирование развертывания личного архива Личный архив можно использовать в качестве замены PST-файлов Outlook для архивации сообщений электронной почты в организации. Кроме того, он предоставляет пользователям дополнительное место для сообщений, которые необходимо хранить в соответствии с различными правилами. При планировании развертывания личного архива следует рассмотреть следующие ключевые этапы. Определите архивные политики организации. Обучите пользователей использованию личного архива. Обработайте PST-файлы Outlook в организации. 169 Определение архивных политик По умолчанию для пользователей создаются следующие архивные политики, если им предоставляется личный архив. Политика по умолчанию (– 2 года) Политика архивации по умолчанию применяется ко всему почтовому ящику пользователя. Она архивирует все сообщения электронной почты, которые получены более 2 лет назад. Личные теги По умолчанию следующие личные теги предоставляются пользователям, чтобы они могли применять их к своим папкам и сообщениям электронной почты. 6 месяцев 1 год 2 года 5 лет Никогда Архивные политики нельзя применять через Exchange к специальным папкам в почтовом ящике пользователя, таким как папки "Входящие" и "Отправленные". По умолчанию все папки в почтовом ящике пользователя наследуют политику по умолчанию. Но пользователь может изменить политику для любой папки с помощью личных тегов. Обучение пользователей использованию личного архива Пользователей следует проинформировать о следующих аспектах личного архива, так как они повлияют на их работу и способ применения данной возможности. Рекомендуется использовать период прогрева, во время которого к папкам почтовых ящиков пользователей будут применяться архивные политики. Так пользователи не будут удивлены, если ночью сообщения будут перемещены в архив. Личный архив нельзя применять, если пользователь отключен от сети или не удается установить соединение с компьютером пользователя, на котором работает Exchange Server. В течение 24 часов Exchange Server автоматически перемещает сообщения электронной почты, которые готовы к архивации. Поэтому пользователи, которые задают политику архивации для папки, не увидят незамедлительного результата этого действия. Exchange Server не позволяет пользователям архивировать сообщения незамедлительно. Сообщения, которые требуется архивировать незамедлительно, следует переместить в архив вручную. Автоархивация будет недоступна для пользователей и не позволит архивировать сообщения. Если пользователи применяют автоархивацию для удаления или перемещения сообщений в PST-файл Outlook, они должны применить соответствующие политики хранения и архивации для достижения такого же эффекта. К папкам, созданным в архиве, применяется такая же политика хранения, как и в почтовом ящике. Аналогично, к сообщениям в архиве применяется такая же политика хранения (если 170 она задана), как и в почтовом ящике. Сообщения с политикой хранения будут так же устаревать в личном архиве. PST-файлы данных Outlook в организации Чтобы убедиться, что сообщения электронной почты не перемещаются из почтового ящика пользователя или инфраструктуры соответствия требованиям организации, можно развернуть раздел реестра DisableCrossAccountCopy. Это не позволит пользователю сохранять данные в PST-файле Outlook или копировать их в другую учетную запись электронной почты в Outlook. Раздел реестра можно развернуть вручную, добавив его в реестр пользователя, или с помощью параметра Запретить копирование и перемещение элементов между учетными записями в групповой политике. Этот раздел реестра обеспечивает больше контроля, чем обычно используемые разделы реестра DisablePST и PSTDisableGrow в Outlook 2010. Так как он не позволяет пользователям перемещать данные из ограниченных учетных записей, не ограничивая применение PSTфайлов, пользователи могут применять личные учетные записи электронной почты в Outlook, которые позволяют записывать сообщения в PST-файл. Пользователи также могут читать сообщения и копировать их из существующих PST-файлов. Поэтому рекомендуется применять раздел реестра DisableCrossAccountCopy для полной замены разделов DisablePST и PSTDisableGrow. Кроме того, можно запретить пользователям копировать данные из синхронизированных списков в Microsoft SharePoint 2010. Раздел реестра DisableCrossAccountCopy размещен в области HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\. Запись реестра Тип Значение Описание Развертывани е DisableCrossAccountCop y REG_MULTI_S Z Для этого раздела реестра можно определить три строковых значения: 1. Символ звездочки (*) ограничивает копирование или перемещение сообщений из любой учетной записи или Определяет учетные записи или PST-файлы Outlook, в которых перемещени еи копирование данных запрещено. Этот раздел реестра можно развернуть вручную, добавив его в реестр пользователя, или с помощью параметра Запретить копирование и перемещение 171 Запись реестра Тип Значение Описание Развертывани е PST-файла Outlook. 2. Доменное имя ограничиваем ой учетной записи электронной почты. Можно задать домен учетных записей, которые нужно ограничить. Например, contoso.com. элементов между учетными записями в групповой политике. 3. SharePoin t Эта строка ограничивает копирование и перемещение данных изо всех списков SharePoint. Или можно задать параметр DisableCrossAccountCopy в групповой политике, установив параметр Запретить копирование и перемещение элементов между учетными записями в области Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры учетной записи\Exchange. Если в организации уже развернуты разделы реестра DisablePST или PSTDisableGrow, они не повлияют на функционирование раздела DisableCrossAccountCopy. Если в организации есть пользователи, которые не применяют Outlook 2010, все три раздела можно развернуть одновременно. Однако для большинства организаций разделы реестра DisablePST и PSTDisableGrow необязательны. Далее представлен список ситуаций, в которых копирование и перемещение сообщений электронной почты из учетной записи или PST-файла Outlook ограничено. 172 Пользователи не могут перетаскивать сообщения из ограниченной учетной записи в другую учетную запись или PST-файл Outlook. Пользователи не могут применять команду меню Переместить для копирования или перемещения сообщений из ограниченной учетной записи в другую учетную запись или PSTфайл Outlook. При использовании автоархивации для всех ограниченных учетных записей архивация данных будет отключена. В меню Очистка почтового ящика представления Backstage ограниченные учетные записи не будут включены в список параметров, доступных для архивации. Правила не будут перемещать сообщения из ограниченных учетных записей. Пользователи не смогут экспортировать сообщения из ограниченных учетных записей. Функция очистки не удаляет избыточные части сообщений электронной почты в ограниченных учетных записях. Чтобы запретить пользователям перемещение и копирование сообщений из ограниченных учетных записей на свои компьютеры, можно развернуть раздел реестра DisableCopyToFileSystem. Раздел реестра DisableCopyToFileSystem размещен в области HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\. Запись реестра Тип Значение Описание Развертывани е DisableCopyToFileSyste m REG_MULTI_S Z Для этого раздела реестра можно определить три строковых значения: 1. Символ звездочки (*) не позволит пользователя м перетаскивать сообщения из любой учетной записи или PST-файла Outlook на Определяет учетные записи или PST-файлы Outlook, для которых перетаскивани е сообщений на компьютер запрещено. Этот раздел реестра можно развернуть вручную, добавив его в реестр пользователя. 173 Запись реестра Тип Значение Описание Развертывани е компьютер. 2. Доменное имя ограничиваем ой учетной записи электронной почты. Можно задать домен учетных записей, которые нужно ограничить. Например, contoso.com. 3. SharePoin t Эта строка ограничивает перетаскиван ие данных изо всех списков SharePoint на компьютер. См. также Установка состояния удержания хранения для почтового ящика Сведения о юридическом удержании Сведения о тегах и политиках хранения: справка Exchange 2010 Сведения о личном архиве: справка Exchange 2010 174 Планирование обеспечения безопасности и защиты в Outlook 2010 В этом разделе описаны компоненты Microsoft Outlook 2010, которые обеспечивают безопасность обмена электронной почтой на предприятии. Содержание Статья Описание Планирование ограничения нежелательной почты в Outlook 2010 Описание работы фильтра нежелательной почты Outlook 2010, а также процесса настройки фильтра нежелательной почты и автоматической загрузки рисунков. 175 Выбор параметров безопасности и защиты для Outlook 2010 В Microsoft Outlook 2010 можно настроить множество из возможностей, связанных с безопасностью. В том числе способ применения параметров безопасности, разрешенные для выполнения типы элементов управления ActiveX, параметры настраиваемых форм и программные параметры безопасности. Также можно настроить параметры безопасности Outlook 2010 для вложений, управления правами на доступ к данным, нежелательной электронной почты и шифрования, которые описываются в статьях, указанных в разделе Дополнительные параметры далее в этой статье. Внимание! По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий уровень безопасности может привести к ограничениям функциональности Outlook, например к ограничениям на типы файлов вложений в сообщениях электронной почты. Учтите, что снижение любых параметров безопасности по умолчанию может увеличить риск получения и распространения вирусов. При изменении этих параметров необходимо соблюдать осторожность и заранее ознакомиться с документацией. Содержание: Обзор Выбор способа применения параметров безопасности в Outlook Взаимодействие параметров безопасности администратора и пользователя в Outlook 2010 Работа с COM-надстройками Outlook Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2010 Настройка программных параметров в Outlook 2010 Дополнительные параметры Обзор По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий уровень безопасности может привести к ограничениям функциональности Outlook, например к ограничениям на типы файлов вложений в сообщениях электронной почты. Для организации может потребоваться снизить уровень безопасности. Учтите, что снижение любых параметров безопасности по умолчанию может увеличить риск получения и распространения вирусов. Перед настройкой параметров безопасности для Outlook 2010 с помощью групповой политики или шаблона безопасности Outlook следует настроить режим безопасности Outlook в групповой политике. Если не установить режим безопасности Outlook, Outlook 2010 использует параметры 176 безопасности по умолчанию и игнорирует любые заданные пользователем параметры безопасности Outlook 2010. Сведения о загрузке административного шаблона Outlook 2010 и других административных шаблонов Office 2010 см. в статье Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (на английском языке). Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для Office 2010 и Принудительное применение параметров с помощью групповой политики в Office 2010. Выбор способа применения параметров безопасности в Outlook Как и в Microsoft Office Outlook 2007, параметры безопасности Outlook 2010 можно настроить с помощью групповой политики (рекомендуется), или можно изменить параметры с помощью шаблона безопасности Outlook и опубликовать их в форме папки верхнего уровня в общих папках Exchange Server. Если в среде не используется Office Outlook 2003 или более ранние версии, рекомендуется применять групповую политику для настройки параметров безопасности. Для использования обоих вариантов следует включить режим безопасности Outlook в групповой политике и задать значение политики безопасности Outlook. Если не включить этот параметр, то будут применяются параметры безопасности продукта по умолчанию. Параметр режима безопасности Outlook размещен в шаблоне групповой политики Outlook 2010 (Outlk14.adm) в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности. Если включить параметр Режим безопасности Outlook, будут доступны четыре параметра политики безопасности Outlook, которые описаны в следующей таблице. Параметр режима безопасности Outlook Описание Безопасность Outlook по умолчанию Outlook игнорирует все параметры, связанные с безопасностью, настроенные с помощью групповой политики или шаблона безопасности Outlook. Это значение используется по умолчанию. Использовать групповую политику безопасности Outlook Outlook использует параметры безопасности из групповой политики (рекомендуется). Использовать форму "Безопасность" в общей папке "Параметры безопасности Outlook" В Outlook используются параметры из формы безопасности, опубликованной в соответствующей общей папке. Использовать форму "Безопасность" в общей В Outlook используются параметры из формы 177 Параметр режима безопасности Outlook Описание папке "Параметры безопасности Outlook 10" безопасности, опубликованной в соответствующей общей папке. Выбор параметров безопасности с использованием групповой политики При использовании групповой политики для настройки параметров безопасности Outlook 2010 необходимо учесть следующие фактор. Параметры в шаблоне безопасности Outlook следует вручную перенести в групповую политику. Если шаблон безопасности Outlook использовался ранее для управления параметрами безопасности, а теперь для применения параметров в Outlook 2010 используется групповая политика, следует вручную перенести параметры, заданные ранее, в соответствующие параметры групповой политики Outlook 2010. Параметры, настроенные с помощью групповой политики, могут активироваться не мгновенно. Можно настроить автоматическое обновление групповой политики (в фоновом режиме) на пользовательских компьютерах во время работы пользователей в системе, при этом указывается необходимая частота. Чтобы новые параметры групповой политики активировались сразу, пользователям необходимо выйти, а затем снова войти в систему на своих компьютерах. В программе Outlook проверка параметров безопасности выполняется только при запуске. Если параметры безопасности обновляются во время работы Outlook, то новые настройки будут применены, когда пользователь закроет и перезапустит Outlook. В режиме только диспетчера персональных данных (PIM) не применяются пользовательские параметры. При использовании режима PIM в программе Outlook используются параметры безопасности по умолчанию. В этом режиме параметры администратора не требуются и не используются. Специальные среды При использовании групповой политики для настройки параметров безопасности Outlook 2010 следует учитывать, реализуется ли в среде один из сценариев, указанных в следующей таблице. Сценарий Проблема Пользователи, которые используют внешний сервер Exchange для доступа к почтовым ящикам Если пользователи используют внешний сервер Exchange Server для доступа к почтовым ящикам, то можно применить шаблон безопасности Outlook для настройки параметров безопасности или использовать 178 Сценарий Проблема параметры безопасности Outlook по умолчанию. Во внешних средах пользователи используют удаленный доступ к почтовым ящикам, например при помощи подключения к виртуальной частной сети (VPN) или используя Outlook Anywhere (RPC через HTTP). Поскольку групповая политика развернута с помощью Active Directory, а в этом сценарии локальный компьютер пользователя не является частью домена, то параметры безопасности групповой политики применить нельзя. Кроме того, если для настройки параметров безопасности используется шаблон безопасности Outlook, то пользователи автоматически получают обновления параметров безопасности. Пользователь не может получать обновления параметров безопасности групповой политики, если его компьютер не принадлежит к домену Active Directory. Пользователи с правами администратора на своих компьютерах Если пользователь входит в систему с правами администратора, то ограничения параметров групповой политики не выполняются. Пользователи с правами администратора могут изменять параметры безопасности Outlook на своем компьютере, а также удалять и изменять настроенные ограничения. Это касается не только параметров безопасности Outlook, но и всех параметров групповой политики. Поскольку это может вызвать проблемы, если в организации предполагаются стандартизированные параметры для всех пользователей, то существуют факторы, снижающие отрицательные последствия. При следующем входе в систему локальные изменения переписываются с применением настроек групповой политики. При входе пользователя измененные параметры безопасности Outlook 179 Сценарий Проблема возвращаются к параметрам групповой политики. Пользователи, которые используют Outlook Web App для доступа к почтовым ящикам Exchange Переопределение параметра групповой политики влияет только на локальный компьютер. Пользователи с правами администратора могут влиять только на параметры безопасности своего компьютера, но не на параметры безопасности компьютеров других пользователей. Пользователи без прав администратора не могут изменять политики. В этом сценарии параметры безопасности групповой политики обеспечивают уровень защищенности, соответствующий параметрам, которые указаны с помощью шаблона безопасности Outlook. В приложениях Outlook и Outlook Web App используются разные модели безопасности. Для OWA существуют отдельные параметры безопасности, которые хранятся на сервере Exchange Server. Взаимодействие параметров безопасности администратора и пользователя в Outlook 2010 Параметры безопасности, определенные пользователем с помощью пользовательского интерфейса приложения Outlook 2010, работают так же, как если бы они были включены в параметры групповой политики, задаваемые администратором. Если возникает конфликт между этими двумя наборами, приоритет отдается параметрам с более высоким уровнем безопасности. Например, при использовании параметра безопасности вложений групповой политики Добавить расширения имен файлов для блокирования на уровне 1 для создания списка блокируемых расширений файлов уровня 1, список пользователя имеет приоритет по сравнению со списком по умолчанию, который применяется в Outlook 2010, и имеет приоритет по сравнению 180 с параметрами пользователя для блокируемых расширений имен файлов уровня 1. Даже если пользователям будет разрешено удалять расширения имен файлов из группы уровня 1 по умолчанию, они не смогут удалить типы файлов, которые были добавлены к списку. Например, если пользователь хочет удалить расширения имен файлов EXE, REG и COM из группы уровня 1, но для добавления EXE к списку типов файлов уровня 1 использовался параметр групповой политики Добавить расширения файлов уровня 1, пользователь сможет удалить из группы уровня 1 в Outlook только файлы REG и COM. Работа с COM-надстройками Outlook Надстройка COM должна быть написана таким образом, чтобы использовались преимущества доверенной модели Outlook и она выполнялась в Outlook 2010 без появления предупреждающих сообщений. Возможно, пользователи будут видеть эти сообщения при подключении к компонентам Outlook, использующим эту надстройку (например, при синхронизации ручных устройств с Outlook 2010 на настольном компьютере). В Outlook 2010 это менее вероятно, чем в Office Outlook 2003 или предыдущих версиях. Защита объектной модели (OM), помогающая предотвратить распространение вирусов с использованием адресной книги Office Outlook 2007 и Outlook 2010, обновлена. Outlook 2010 проверяет наличие последних антивирусных программ, чтобы определить, когда необходимо отображать предупреждение о доступе к адресной книге и другие предупреждения системы безопасности Outlook. Параметры защиты объектной модели нельзя изменить с помощью формы безопасности Outlook или групповой политики. Однако при использовании параметров безопасности Outlook 2010 по умолчанию все COM-надстройки по умолчанию устанавливаются в Outlook 2010 как надежные. При настройке с использованием групповой политики можно указать доверенные COMнадстройки, которые можно запускать, не сталкиваясь с блоками объектной модели Outlook. Чтобы сделать надстройку COM надежной, нужно включить имя ее файла в настройку групповой политики с вычисленным значением хэш-функции. Перед тем как сделать ее надежной надстройкой Outlook, необходимо установить программу вычисления значения хэш-функции. Дополнительные сведения см. в разделе Управление надежными надстройками для Outlook 2010. При применении пользовательских настроек безопасности Outlook с использованием форм безопасности Microsoft Exchange Server из общей папки Exchange Server можно узнать, как сделать надстройки COM надежными. См. раздел Надежный код в статье набора ресурсов Microsoft Office 2003 Параметры шаблона безопасности Outlook (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=75744&clcid=0x419) (Возможно, на английском языке). Если после включения надстройки в список доверенных пользователь по-прежнему видит предупреждающие сообщения, к решению проблемы нужно будет привлечь разработчика надстройки COM. Дополнительные сведения о кодировании надежных надстроек см. в разделе Важные замечания о безопасности для разработчиков надстроек Microsoft Outlook COM 181 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=74697&clcid=0x419) (Возможно, на английском языке). Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2010 Настройки безопасности ActiveX и пользовательских форм можно указать для пользователей Outlook 2010. В настройках безопасности пользовательских форм есть параметры для изменения того, как Outlook 2010 ограничивает скрипты, пользовательские элементы управления и действия. Настройка поведения элементов управления ActiveX в одноразовых формах Когда Outlook получает сообщение с определением формы, элементом является одноразовая форма. Чтобы помочь предотвратить запуск нежелательного скрипта или элемента управления в одноразовых формах, Outlook по умолчанию не загружает элементы управления ActiveX в такие формы. Пользовательскую настройку элементов управления ActiveX можно заблокировать с помощью шаблона групповой политики Outlook 2010 (Outlk14.adm). Либо можно выбрать настройки по умолчанию с помощью центра развертывания Office (OCT). В этом случае пользователи смогут менять настройки. В групповой политике используйте параметр Разрешить одноразовые формы ActiveX в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность. В центре развертывания Office параметр Разрешить одноразовые формы ActiveX размещен на странице Изменение параметров пользователя. Дополнительные сведения о центре развертывания Office см. в статье Office Customization Tool in Office 2010 (на английском языке). Если включить параметр Разрешить одноразовые формы ActiveX, доступны три варианта, описанные в следующей таблице. Параметр Описание Разрешает все элементы ActiveX Разрешает запуск всех элементов управления ActiveX без ограничений. Разрешает только надежные элементы управления Разрешает запуск только безопасных элементов управления ActiveX. Безопасным элемент управления ActiveX является в том случае, если он подписан при помощи Authenticode, а автор подписи включен в список 182 Параметр Описание доверенных издателей. Загрузить только элементы управления Outlook Outlook загружает только следующие элементы управления. Только их можно использовать в одноразовых формах. Элементы управления из fm20.dll Элемент управления Microsoft Office Outlook Rich Format Элемент управления Microsoft Office Outlook Recipient Элемент управления Microsoft Office Outlook View Если ни один из этих параметров не выбран, по умолчанию загружаются только элементы управления Outlook. Выбор параметров безопасности пользовательских форм Можно заблокировать параметры для настройки безопасности пользовательских форм при помощи шаблона групповой политики Outlook 2010 (Outlk14.adm). Параметры по умолчанию также можно настроить с помощью центра развертывания Office, и в этом случае пользователи смогут изменять их. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности\Безопасность пользовательских форм. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Настройки, которые можно выбрать для скриптов, пользовательских элементов управления и действий, перечислены в следующей таблице. Параметр Описание Разрешить скрипты в одноразовых формах Outlook Запускает скрипты в формах, где скрипт и макет содержатся в сообщении. Одновременно с одноразовой формой, содержащей скрипт, пользователи получают сообщение с вопросом, нужно ли запускать скрипт. Задать текст запроса объектной модели Outlook при выполнении настраиваемых действий Параметр определяет, что будет происходить, когда программа попытается запустить пользовательское действие с использованием 183 Параметр Описание объектной модели Outlook. Можно создать пользовательское действие для ответа на сообщение и обхода только что описанных мер по защите при отправке. Выберите один из следующих вариантов: Параметр Запросить у пользователя позволяет пользователю получить сообщение и разрешить или запретить программный доступ на отправку в запросе. Параметр Разрешать автоматически всегда разрешает программный доступ к отправке без отображения сообщения. Параметр Запрещать автоматически всегда запрещает программный доступ к отправке без отображения сообщения. Параметр Запрашивать в соответствии с настройками безопасности компьютера применяет конфигурацию по умолчанию в Outlook 2010. Настройка программных параметров в Outlook 2010 Администратор Outlook 2010 может настроить программные параметры для управления ограничениями объектной модели Outlook. Объектная модель Outlook позволяет программно обрабатывать данные, которые хранятся в папках Outlook. Примечание. В шаблоне безопасности Exchange Server есть параметры для объектов данных совместной работы (CDO). Однако их использование с Outlook 2010 не поддерживается. Для настройки программных параметров безопасности объектной модели Outlook можно использовать групповую политику. Загрузите в групповой политике шаблон Outlook 2010 (Outlk14.adm). Параметры групповой политики расположены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры форм безопасности\Программная безопасность. Эти параметры не могут быть настроены с помощью центра развертывания Office. Далее перечислены возможности групповой политики для программных параметров. Для каждого элемента можно выбрать один из следующих параметров. 184 Запросить у пользователя Пользователи получают сообщение, позволяющее разрешить или запретить операцию. В некоторых запросах пользователи могут выбрать разрешение или запрет операций без запросов на срок до 10 минут. Разрешать автоматически Outlook автоматически предоставляет программный доступ для запросов из любой программы. Этот параметр может создать значительную уязвимость, это не рекомендуется. Запрещать автоматически Outlook автоматически отказывает в доступе любой программе, а пользователь не получает запроса. Запрашивать в соответствии с настройками безопасности компьютера Outlook использует параметр в разделе "Программный доступ" центра управления безопасностью. Это значение установлено по умолчанию. Параметры программной безопасности, которые можно настроить для объектной модели Outlook, показаны в следующей таблице. Параметр Описание Настройка запроса объектной модели Outlook при доступе к адресной книге Указывает, что происходит при попытке программы получить доступ к адресной книге с помощью объектной модели Outlook. Настройка запроса объектной модели Outlook при доступе к свойству Formula (Формула) объекта UserProperty Указывает, что происходит при добавлении пользовательского поля "Комбинация" или "Формула" и привязки его к полю "Информация адреса". После выполнения этого программа может быть использована для непрямого получения значения поля "Информация адреса" через его свойство "Значение". Настройка запроса объектной модели Outlook при выполнении команды "Сохранить как" Указывает, что происходит при попытке программы использовать программно команду "Сохранить как" для сохранения элемента. Когда элемент сохранен, вредоносная программа может выполнить в файле поиск адреса электронной почты. Настройка запроса объектной модели Outlook при чтении адресных сведений Указывает, что происходит при попытке программы получить доступ к полю получателя (например, к полю Кому) с помощью объектной модели Outlook. Настройка запроса объектной модели Outlook при ответе на приглашения на собрания и поручения Указывает, что происходит при попытке программы отправить почту программно, используя метод ответа на приглашение на 185 Параметр Описание собрание и поручение. Этот метод аналогичен методу отправки почтовых сообщений. Настройка запроса объектной модели Outlook при отправке почты Указывает, что происходит при попытке программы отправить почту программно с помощью объектной модели Outlook. Дополнительные параметры В следующей таблице указаны статьи, в которых описываются дополнительные параметры безопасности, не представленные в этой статье. Функция Связанные ресурсы Элементы управления ActiveX Планирование параметров безопасности для элементов управления ActiveX для Office 2010 Вложения Планирование параметров вложений в Outlook 2010 Криптография Планирование шифрования сообщений электронной почты в Outlook 2010 Цифровые подписи Планирование параметров цифровых подписей в Office 2010 Нежелательная почта Планирование ограничения нежелательной почты в Outlook 2010 Управление правами на доступ к данным Планирование управления правами на доступ к данным в Office 2010 Защищенный просмотр Планирование параметров режима защищенного просмотра в Office 2010 См. также Планирование обеспечения безопасности для Office 2010 186 Планирование параметров вложений в Outlook 2010 В Microsoft Outlook 2010 можно задать ограничение вложений в элементы Outlook (например, электронные сообщения или встречи) в зависимости от типа файла вложения. Тип файла может иметь ограничение 1-го или 2-го уровня. Можно также настроить действия, которые пользователи могут выполнять с ограничениями на вложения. Например, пользователям можно дать разрешение изменять ограничения для группы типов файлов вложений с 1-го уровня (пользователи не могут видеть файл) до 2-го уровня (пользователи могут открыть файл после сохранения его на диске). Примечание. Для принудительного использования параметров вложений сначала необходимо настроить метод, который используется в Outlook 2010 для принудительного применения параметров безопасности с помощью групповой политики. Дополнительные сведения о настройке метода Outlook 2010 на принудительное применение параметров см. в разделе Выбор способа применения параметров безопасности в Outlook в статье Выбор параметров безопасности и защиты для Outlook 2010. Эта статья предназначена для администраторов Outlook. Дополнительные сведения о причине блокировки некоторых вложений Outlook см. в статье Блокировка вложений: особенность Outlook, которую все привыкли ненавидеть (http://go.microsoft.com/fwlink/?linkid=81268&clcid=0x419). Дополнительные сведения об обмене файлами с ограниченными типами файлов см. в статье Блокировка вложений в Outlook (http://go.microsoft.com/fwlink/?linkid=188575&clcid=0x419). Содержание: Обзор Добавление или удаление расширений имен файлов 1-го уровня Добавление или удаление расширений имен файлов 2-го уровня Настройка дополнительных ограничений на вложения файлов Обзор В Outlook 2010 ограничен доступ к некоторым вложениям в элементах (таких как сообщения электронной почты или встречи). Файлы определенных типов могут быть отнесены к категории "Уровень 1" (запрет на просмотр файла пользователем) или "Уровень 2" (файл можно открыть после сохранения на диск). По умолчанию ряд типов расширений файлов в Outlook 2010 относится к категории "Уровень 1". Получение пользователями файлов с такими расширениями блокируется. К примерам таких 187 файлов относятся файлы с расширениями CMD, EXE и VBS. Администратор может использовать групповую политику в целях управления классификацией типов файлов для блокировки вложений электронных сообщений. Например, можно изменить категорию, к которой относится тип файла, с уровня 1 на уровень 2 или создать список типов файлов уровня 2. По умолчанию к категории "Уровень 2" не относится ни один тип файлов. Параметры безопасности вложений Outlook 2010 можно настроить с помощью групповой политики и шаблона Outlook 2010 (Outlk14.adm). Большинство параметров безопасности вложений находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Параметры, запрещающие настройку параметров безопасности вложений пользователями и позволяющие использовать режим защищенного просмотра для вложений, полученных от внешних отправителей, находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность. Настройка параметров безопасности вложений с помощью центра развертывания Office не поддерживается. Дополнительные сведения о режиме защищенного просмотра см. в статье Планирование параметров режима защищенного просмотра в Office 2010. Сведения о загрузке административного шаблона Outlook 2010 и других административных шаблонов Office 2010 см. в разделах Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (на английском языке). Дополнительные сведения о групповой политике см. в разделах Обзор групповой политики для Office 2010 и Принудительное применение параметров с помощью групповой политики в Office 2010. Добавление или удаление расширений имен файлов 1-го уровня Файлы 1-го уровня скрыты от пользователя. Пользователь не может открывать, сохранять или печатать вложение 1-го уровня. (Если разрешить пользователям снижать уровень вложения 1-го уровня до вложения 2-го уровня, к файлам применяются ограничения 2-го уровня.) При получении сообщения электронной почты или приглашения на встречу, содержащего заблокированные вложения, в информационной панели в верхней части сообщения отображается список заблокированных файлов. (Информационная строка не отображается в настраиваемой форме.) При удалении типа файла из списка уровня 1, вложения, имеющие такой тип файла, более не блокируются. Установленный по умолчанию список типов файлов уровня 1 см. в статье Attachment file types restricted by Outlook 2010 (на английском языке). В следующей таблице описаны параметры для добавления типов файлов уровня 1 к списку по умолчанию и удаления их из списка. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Настройка этих параметров с помощью центра развертывания Office не поддерживается. 188 Параметр Описание Добавить расширения имен файлов для блокировки на уровне 1 Задает типы файлов (обычно состоящие из трех букв), которые следует добавить к списку файлов 1-го уровня. Не вводите точку перед каждым расширением имени файла. При вводе нескольких расширений имен файлов разделяйте их точкой с запятой. Удалить расширения имен файлов, блокируемых на уровне 1 Указывает типы файлов (обычно состоящие из трех букв), которые следует удалить из списка файлов 1-го уровня. Не вводите точку перед каждым типом файла. При вводе нескольких типов файлов разделяйте их точкой с запятой. Добавление или удаление расширений имен файлов 2-го уровня При работе с файлом 2-го уровня пользователь должен сохранить файл на жесткий диск, и только после этого файл можно открыть. Файл 2-го уровня нельзя открывать непосредственно из элемента. При удалении типа файла из списка 2-го уровня он становится обычным типом файла, который можно открывать, сохранять и печатать в Outlook 2010. Для этого файла ограничений нет. В следующей таблице описаны параметры для добавления типов файлов уровня 2 к списку по умолчанию и удаления их из списка. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Настройка этих параметров с помощью центра развертывания Office не поддерживается. Параметр Описание Добавить расширения имен файлов для блокировки на уровне 2 Задает расширения имен файлов (обычно состоящие из трех букв), которые следует добавить к списку файлов 2-го уровня. Не вводите точку перед каждым расширением имени файла. При вводе нескольких расширений имен файлов разделяйте их точкой с запятой. Удалить расширения имен файлов, Задает расширения имен файлов (обычно состоящие из трех букв), которые следует 189 Параметр Описание блокируемых на уровне 2 удалить из списка файлов 2-го уровня. Не вводите точку перед каждым расширением имени файла. При вводе нескольких расширений имен файлов разделяйте их точкой с запятой. Настройка дополнительных ограничений на вложения файлов В следующей таблице описаны дополнительные параметры, доступные для настройки вложений в групповой политике. В групповой политике эти параметры находятся в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Настройка этих параметров с помощью центра развертывания Office не поддерживается. Параметр Описание Отображать вложения уровня 1 Позволяет пользователям получить доступ ко всем вложениям с типами файлов уровня 1, сначала сохранив вложения на диске, а затем открыв их (как вложения уровня 2). Разрешить пользователя м понижать уровень вложений до уровня 2 Позволяет пользователям создавать список имен расширений файлов вложений для их понижения с уровня 1 до 2. Если этот параметр групповой политики не настроен, в Outlook списки пользователя по умолчанию игнорируются. Пользователи создают список типов файлов для понижения уровня в разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security\Level1 Remove. В этом разделе реестра пользователи указывают типы файлов (обычно, указав три буквы, разделяя их точкой с запятой), которые следует удалить из списка файлов уровня 1. Не запрашивать пользователя о вложениях уровня 1 при отправке элемента Блокирует отображение сообщения при отправке пользователем элемента, содержащего вложение уровня 1. Этот параметр влияет только на предупреждение. После отправки элемента получатели, в зависимости от установленных параметров безопасности, в некоторых случаях не смогут просмотреть вложения или получить доступ к ним. Чтобы это сообщение не отображалось, когда пользователи размещают элементы в общей папке, необходимо установить как этот флажок, так и флажок Не запрашивать пользователя о вложениях уровня 1 при закрытии элемента. 190 Параметр Описание Не запрашивать пользователя о вложениях уровня 1 при закрытии элемента Блокирует отображение сообщения, когда пользователи закрывают электронные сообщения, встречи или другие элементы, содержащие вложение уровня 1. Этот параметр влияет только на предупреждение. После закрытия элемента пользователь не может просматривать вложение или получать к нему доступ. Чтобы это сообщение не отображалось, когда пользователи размещают элементы в общей папке, необходимо установить как этот флажок, так и флажок Не запрашивать пользователя о вложениях уровня 1 при отправке элемента. Отображать объекты пакетов OLE Отображает упакованные объекты OLE. Пакет — это значок, соответствующий внедренному или связанному объекту OLE. При двойном щелчке пакета программа, использованная для его создания, либо воспроизводит объект (например, если объект является звуковым файлом), либо открывает и отображает его. Поскольку этот значок можно легко изменить и использовать для маскировки вредоносных файлов, разрешение применять Outlook для отображения пакетных объектов OLE может привести к осложнениям. Параметры, приведенные в следующей таблице, располагаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность. Настройка этих параметров с помощью центра развертывания Office не поддерживается. Действие Описание Запретить пользователям настраивать параметры безопасности вложений При включении этого параметра пользователи не могут настраивать списки типов файлов, разрешенных в качестве вложений Outlook, вне зависимости от настройки других параметров безопасности Outlook. Использовать режим защищенного просмотра для вложений, полученных от внутренних отправителей Если этот параметр включен, вложения, принятые от отправителей из вашей организации, открываются в режиме защищенного просмотра. Этот параметр применяется только к учетным записям Microsoft Outlook, которые подключены к серверу Microsoft Exchange Server. 191 См. также Выбор параметров безопасности и защиты для Outlook 2010 Attachment file types restricted by Outlook 2010 (на английском языке) Планирование параметров режима защищенного просмотра в Office 2010 192 Планирование шифрования сообщений электронной почты в Outlook 2010 В Microsoft Outlook 2010 присутствует поддержка функций безопасности, позволяющих пользователям отправлять и получать зашифрованные сообщения электронной почты. К этим функциям относятся обмен зашифрованными сообщениями электронной почты, метки безопасности и подписанные уведомления. Примечание. Для обеспечения полной функциональности системы безопасности Microsoft Outlook необходимо установить Outlook 2010 с правами локального администратора. Содержание: Функции обмена зашифрованными сообщениями в Outlook 2010 Управление цифровыми удостоверениями для шифрования Метки безопасности и подписанные уведомления Настройка параметров шифрования в Outlook 2010 Настройка дополнительных параметров шифрования Функции обмена зашифрованными сообщениями в Outlook 2010 В Outlook 2010 поддерживаются функции обмена зашифрованными сообщениями, предоставляющие пользователю следующие возможности: Цифровая подпись сообщения электронной почты. Цифровая подпись обеспечивает невозможность подделки и проверку контента (сообщение содержит то, что было отправлено, без изменений). Шифрование сообщений электронной почты. Шифрование помогает обеспечить конфиденциальность, поскольку его не может прочесть никто, кроме получателя. Можно настроить дополнительные функции для обмена зашифрованными сообщениями. Если в организации поддерживаются эти функции, обмен защищенными сообщениями предоставляет пользователям следующие возможности: Отправление сообщения электронной почты с запросом уведомления. Это позволяет удостовериться, что получатель проверил цифровую подпись пользователя (сертификат, который пользователь применил к сообщению). Добавление метки безопасности к сообщению электронной почты. В организации может быть создана настроенная политика обеспечении безопасности S/MIME версии 3, что позволяет добавлять метки к сообщениям. Политика безопасности S/MIME версии 3 — это 193 программа, которая добавляется к Outlook. Она добавляет к заголовку сообщения сведения о конфиденциальности сообщения. См. раздел Метки безопасности и подписанные уведомления далее в этой статье. Реализация обмена зашифрованными сообщениями в Outlook 2010 В модели шифрования Outlook 2010 для отправки и получения подписанных и зашифрованных сообщений электронной почты используется шифрование с открытым ключом. В Outlook 2010 предусмотрена поддержка системы безопасности S/MIME версии 3, что позволяет пользователям обмениваться зашифрованными сообщениями электронной почты с другими клиентами S/MIME через Интернет или интрасеть. Сообщения электронной почты, зашифрованные с помощью открытого ключа пользователя, могут быть расшифрованы только при использовании соответствующего закрытого ключа. Это означает, что когда пользователь отправляет зашифрованное сообщение электронной почты, оно шифруется с помощью сертификата пользователя (открытый ключ). При прочтении зашифрованного сообщения оно расшифровывается закрытым ключом пользователя. Для использования возможности шифрования в Outlook 2010 пользователям необходимо иметь профиль безопасности. Профиль безопасности — это набор параметров, в котором описаны сертификаты и алгоритмы, используемые во время отправки сообщений с помощью функций шифрования. Если профиль еще не настроен, то профили безопасности настраиваются автоматически в следующих случаях: На компьютере пользователя присутствуют сертификаты для шифрования. Пользователь начинает использование функции шифрования. Можно заранее настроить эти параметры безопасности для пользователей. Можно использовать параметры реестра или групповой политики, чтобы настроить Outlook в соответствии с политиками шифрования в организации и настроить (и применить принудительно с помощью групповой политики) параметры, которые следует включить в профили безопасности. Эти параметры описаны в таблице в разделе Настройка параметров шифрования в Outlook 2010 далее в этой статье. Цифровые удостоверения: комбинация открытых и закрытых ключей и сертификатов Функции S/MIME основываются на цифровых удостоверениях (также называются цифровыми сертификатами), которые связывают удостоверение пользователя с парой открытого и закрытого ключей. Комбинация пары открытого и закрытого ключей и сертификата называется цифровым удостоверением. Закрытый ключ может храниться в безопасном хранилище, например в зоне сертификатов Windows, на компьютере пользователя или смарт-карте. В Outlook 2010 предусмотрена полная поддержка стандарта X.509v3, согласно которому все закрытые и открытые ключи должны создаваться в центре сертификации организации, например на компьютере под управлением Windows Server 2008, на котором работают службы 194 сертификации Active Directory, или в общедоступном центре сертификации, например VeriSign. Дополнительные сведения о выборе оптимального варианта для вашей организации см. в разделе Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации статьи Планирование параметров цифровых подписей в Office 2010. Пользователи могут получить цифровые удостоверения, используя открытые центры сертификации в Интернете (например, VeriSign и Microsoft Certificate Services). Дополнительные сведения о получении цифрового удостоверения см. в разделе справки Outlook Получение цифрового удостоверения (http://go.microsoft.com/fwlink/?linkid=185585&clcid=0x419). Администраторы могут предоставлять цифровые удостоверения группам пользователе Когда у сертификатов цифровых удостоверений заканчивается срок действия, пользователям обычно необходимо обновить сертификаты в выдавшем их центре сертификации. Если в организации для работы с сертификатами используется центр сертификации в Windows Server 2003 или службы сертификации Active Directory (AD CS) в Windows Server 2008, Outlook 2010 автоматически совершает для пользователей обновление сертификата. Управление цифровыми удостоверениями для шифрования Outlook 2010 позволяет пользователям управлять своими цифровыми удостоверениями, которые являются комбинацией сертификата пользователя и набора открытых и закрытых ключей шифрования. Цифровые удостоверения помогают обеспечивать безопасность сообщений электронной почты пользователей, позволяя им обмениваться зашифрованными сообщениями. Процесс управления цифровыми удостоверениями включает в себя: Получение цифрового удостоверения. Дополнительные сведения о получении цифрового удостоверения см. в разделе справки Outlook Получение цифрового удостоверения (http://go.microsoft.com/fwlink/?linkid=185585&clcid=0x419). Сохранение цифрового удостоверения, чтобы иметь возможность перенести удостоверение на другой компьютер или сделать его доступным для других пользователей. Предоставление цифрового удостоверения другим пользователям. Экспорт цифрового удостоверения в файл. Это необходимо, когда пользователь создает резервную копию удостоверения или перемещает его на другой компьютер. Импорт цифрового удостоверения из файла в Outlook. Файл цифрового удостоверения может быть резервной копией, созданной пользователем, или содержать цифровое удостоверение другого пользователя. Продление цифрового удостоверения, срок действия которого истек. Пользователь, обменивающийся зашифрованными сообщениями на нескольких компьютерах, должен скопировать свое цифровое удостоверение на каждый компьютер. 195 Место сохранения цифрового удостоверения Цифровые удостоверения можно хранить в трех местах: Глобальная адресная книга Microsoft Exchange Сертификаты, созданные центром сертификации или службами сертификации Active Directory, автоматически публикуются в глобальной адресной книге. Созданные во внешних системах сертификаты можно опубликовать в глобальной адресной книге вручную. Для этого в Outlook 2010 на вкладке Файл выберите элемент Параметр и затем элемент Центр управления безопасностью. В группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты) нажмите кнопку Опубликовать в глобальном списке адресов. Служба каталогов LDAP Внешние службы каталогов, центры сертификации или другие поставщики сертификатов могут опубликовать сертификаты пользователей с использованием службы каталогов LDAP. Outlook разрешает доступ к этим сертификатам с использованием каталогов LDAP. Файл Microsoft Windows Цифровые удостоверения можно хранить на компьютерах пользователей. Пользователи экспортируют свои цифровые удостоверения в файл из Outlook 2010. Для этого на вкладке Файл следует выбрать элемент Параметры и затем элемент Центр управления безопасностью. В группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты) нажмите кнопку Импорт-экспорт. Пользователи могут зашифровать файл с помощью пароля при его создании. Предоставление цифровых удостоверений другим пользователям Чтобы пользователь мог обмениваться зашифрованными сообщениями электронной почты с другими пользователями, они должны иметь открытые ключи друг друга. Пользователи предоставляют доступ к своим открытым ключам с использованием сертификата. Существует несколько способов передачи цифрового удостоверения другим пользователям. Например, пользователи могут: Использовать сертификат, чтобы подписать сообщение электронной почты цифровой подписью. Пользователь передает свой открытый ключ другому пользователю, создав сообщение электронной почты и подписав его электронной подписью, используя сертификат. Когда пользователи Outlookполучают подписанное сообщение, они могут щелкнуть правой кнопкой мыши имя пользователя в строке От и выбрать команду Добавить в контакты. Сведения об адресе и сертификат сохраняются в списке контактов пользователя Outlook. Предоставить сертификат с помощью службы каталогов, такой как глобальный список адресов Microsoft Exchange. Другой возможностью для пользователя является автоматическое получение сертификата другого пользователя из каталога LDAP на 196 стандартном сервере LDAP, когда он или она посылает зашифрованное сообщение электронной почты. Чтобы получить таким образом доступ к сертификату, пользователи должны подать заявку на службы безопасности S/MIME с использованием цифровых удостоверений для их учетных записей электронной почты. Пользователь может также получить сертификаты из глобальной адресной книги. Импорт цифровых удостоверений Пользователи могут импортировать цифровое удостоверение из файла. Это необходимо, когда пользователь хочет передать зашифрованное электронное сообщение с другого компьютера. На каждом компьютере, с которого пользователь передает зашифрованные сообщения, должны быть установлены сертификаты пользователя. Пользователи экспортируют свои цифровые удостоверения в файл из Outlook 2010. Для этого на вкладке Файл следует выбрать элемент Параметры и затем элемент Центр управления безопасностью. В группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты) нажмите кнопку Импорт-экспорт. Продление ключей и сертификатов Для каждого сертификата и открытого ключа установлен срок действия. Когда срок действия ключей, предоставленных центром сертификации или службами сертификации Active Directory, истекает, в Outlook отображается предупреждение и предлагается обновить ключи. Outlook предлагает пользователю отправить сообщение об обновлении на сервер от лица каждого пользователя. Если пользователи решают не обновлять ключи до истечения срока действия или при использовании другого центра выдачи сертификатов, отличного от центра сертификации или служб сертификации Active Directory, пользователи должны обратиться в центр сертификации для обновления сертификата. Метки безопасности и подписанные уведомления В Outlook 2010 предусмотрена поддержка расширений S/MIME V3 Enhanced Security Services (ESS) для меток безопасности и подписанных уведомлений. Эти расширения полезны в организации при обеспечении обмена безопасными сообщениями электронной почты, а также при настройке безопасности для соответствия требованиям. Если в организации разрабатываются и внедряются политики безопасности S/MIME V3 для добавления настраиваемых меток безопасности, то код в политике безопасности может принудительно прикреплять метки безопасности к сообщениям электронной почты. Рассмотрим два примера использования меток безопасности: 197 Метка "Только для внутреннего использования" может быть реализована как метка безопасности: ее можно применить к почте, которая не должна быть отправлена за пределы организации. Метка может указывать, что определенные получатели не могут перенаправить или распечатать сообщение, если у получателя также установлена политика безопасности. Чтобы удостовериться, что получатель распознает цифровую подпись пользователя, пользователи также могут отправлять вместе с сообщениями зашифрованные подписанные уведомления. Когда сообщение получено и сохранено (даже если оно еще не прочитано), а подпись сверена, то в папку "Входящие" возвращается уведомление, подразумевающее, что сообщение прочитано. Если же подпись не сверена, то уведомление не отправляется. Когда возвращается уведомление, поскольку оно также подписано, то оно подтверждает, что пользователь получил и проверил сообщение. Настройка параметров шифрования в Outlook 2010 Чтобы обеспечить более безопасный обмен сообщениями и шифрование сообщений в организации, можно воспользоваться большим числом параметров функций шифрования приложения Outlook 2010, настраиваемых с помощью шаблона групповой политики Outlook 2010 (Outlook14.adm). Например, можно настроить параметр групповой политики, требующий, чтобы вся исходящая почта снабжалась меткой безопасности, или параметр, запрещающий публикацию глобального списка адресов. Также можно использовать центр развертывания Office для настройки стандартных параметров, при этом пользователь может менять параметры. Кроме того, некоторые параметры конфигурации шифрования можно задать только с помощью разделов реестра. Дополнительные сведения о загрузке административного шаблона Outlook 2010 и о других административных шаблонах Office 2010 см. в статье Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (на английском языке). Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для Office 2010 и Принудительное применение параметров с помощью групповой политики в Office 2010. Дополнительные сведения о центре развертывания Office см. в статье Office Customization Tool in Office 2010 (на английском языке). Для настройки шифрования можно заблокировать параметры, приведенные в следующей таблице. На странице Изменение параметров пользователя центра развертывания Office эти параметры располагаются в разделе Microsoft Outlook 2010\Безопасность\Криптография. В групповой политике эти параметры размещаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Криптография. 198 Параметр Описание шифрования Всегда Использование во всех случаях формата TNEF в сообщениях S/MIME вместо использовать заданного пользователем формата. форматирован ие TNEF в сообщениях S/MIME Не сверять Отключение сверки адреса электронной почты пользователя с адресом адрес сертификатов, используемых для шифрования или подписи. электронной почты с используемым адресом сертификатов Не отображать кнопку Опубликоват ьв глобальном списке адресов Отключение кнопки Опубликовать в глобальном списке адресов на странице Защита электронной почты в центре управления безопасностью. Не предлагать возможность продолжения в диалоговых окнах предупрежден ия шифрования Отключение кнопки Продолжить. Пользователи смогут нажимать кнопку Продолжить для отправки сообщений. Включить значки шифрования Отображение значков шифрования Outlook в пользовательском интерфейсе Outlook. Шифровать все сообщения электронной почты Шифрование исходящих сообщений электронной почты. 199 Параметр Описание шифрования Обеспечить добавление меток ко всем подписанным сообщениям S/MIME Обязательное требование на наличие метки безопасности во всех сообщениях с подписью S/MIME. Пользователи Outlook 2010 могут присоединять метки к сообщениям электронной почты. Для этого на вкладке Параметры в группе Дополнительно в разделе Безопасность нажмите кнопку Параметры безопасности. В диалоговом окне Свойства безопасности установите флажок Добавить в сообщение цифровую подпись. В поле Метка безопасности выберите метку для элемента Политика. Политики сертификата Fortezza Введите список политик, разрешенных в расширениях политик сертификата и показывающий, что данный сертификат является сертификатом Fortezza. Отделяйте политики в списке друг от друга точкой с запятой. Форматы сообщений Выберите форматы сообщений для поддержки: S/MIME (по умолчанию), Exchange, Fortezza или их комбинации. Сообщать, когда программе Outlook не удается найти цифровое удостоверени е для расшифровки сообщения Введите сообщение, которое должно отображаться для пользователей (не более 255 знаков). Минимальные параметры шифрования Установите для зашифрованного сообщения электронной почты значение, равное минимальной длине ключа. При попытке отправить сообщение с использованием ключа шифрования, длина которого меньше минимально заданной, в приложении Outlook отображается предупреждение. Пользователь может игнорировать это предупреждение и отправить сообщение с использованием изначально выбранного ключа шифрования. Подписывать и шифровать ответы и пересылки для подписанных или зашифрованн ых сообщений Включение подписи или шифрования ответов и пересылки для подписанных или зашифрованных сообщений, даже если для пользователя не настроена политика S/MIME. 200 Параметр Описание шифрования Запрашивать уведомление S/MIME для всех подписанных сообщений S/MIME Запрос уведомления с повышенной безопасностью для исходящих подписанных сообщений электронной почты. Принудительн Использование только алгоритмов пакета B NSA для операций S/MIME. ое использовани е алгоритмов пакета B NSA при операциях S/MIME Обязательный центр сертификации Ввод названия обязательного центра сертификации. Если для этого параметра введено значение, Outlook запрещает подписывать электронную почту пользователю, если его сертификат выдан другим центром сертификации. Запуск в режиме совместимост и со стандартом FIPS Принудительный запуск Outlook в режиме FIPS 140-1. Обработка S/MIME внешними клиентами: Укажите поведение при обработке сообщений S/MIME: Внутренняя обработка, Внешняя обработка или Обработка по возможности. Поведение при запросах уведомления S/MIME Выбор способа обработки запросов уведомлений S/MIME. Открыть сообщение, если отправка уведомления невозможна Не открывать сообщение, если не удается отправить уведомление Всегда запрашивать перед отправкой уведомления Никогда не отправлять уведомления S/MIME Отправлять все подписанные Отправка подписанных сообщений по электронной почте открытым текстом. 201 Параметр Описание шифрования сообщения открытым текстом Подписывать все сообщения электронной почты Принудительная цифровая подпись всех исходящих сообщений электронной почты. Предупрежден Укажите условие, при котором отображается для пользователей ие о подписи предупреждение о подписи: URL-адрес сертификатов S/MIME Пользователь решает, следует ли отображать предупреждения. При выборе этого параметра применяется конфигурация по умолчанию. Всегда предупреждать о недействительных подписях. Никогда не предупреждать о недействительных подписях. Предоставьте URL-адрес, по которому пользователи могут получать уведомление S/MIME. Этот URL-адрес может содержать три переменные (%1, %2 и %3), которые будут заменены соответственно именем пользователя, адресом электронной почты и языком. Если задается значение для параметра URL-адрес сертификатов S/MIME, используйте следующие параметры для отправки информации о пользователе на веб-страницу регистрации. Параметр Заполнитель в строке URL-адреса Отображаемое имя пользователя %1 Имя электронной почты (SMTP) %2 Идентификатор языка пользовательского интерфейса %3 Например, чтобы послать информацию о пользователе на веб-страницу регистрации Майкрософт, задайте для записи URL-адрес сертификатов S/MIME следующее значение, включая параметры: www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3 Например, если пользователя зовут Jeff Smith, его адрес электронной почты — 202 Параметр Описание шифрования someone@example.com, а идентификатор языка пользовательского интерфейса равен 1033, то заполнители заменяются следующими значениями: www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&h elplcid=1033 В групповой политике параметры, приведенные в следующей таблице, располагаются в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность\Криптография\Диалоговое окно состояния подписи. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Параметр шифрования Описание Безопасная временная папка для вложений Укажите путь к безопасной временной папке для файлов. При этом путь по умолчанию переопределяется, что не рекомендуется. Чтобы использовать отдельную папку для вложений Outlook, следуйте приведенным ниже рекомендациям: Отсутствуют списки отзыва сертификатов Используйте локальный каталог для максимальной производительности. Помещайте папку в папку временных файлов Интернета, чтобы использовать ее расширенные возможности безопасности. Используйте уникальное и трудное для подбора имя. Укажите действие Outlook при отсутствии списка отзыва сертификатов: предупреждение (по умолчанию) или отображение ошибки. Цифровые сертификаты могут содержать атрибут, определяющий расположение соответствующего списка отзыва сертификатов. В них содержится список цифровых сертификатов, отозванных соответствующими контролирующими центрами сертификации (обычно из-за ошибок при выпуске сертификатов или раскрытия 203 Параметр шифрования Описание связанных закрытых ключей). Если список отзыва сертификатов отсутствует или недоступен, приложению Outlook не удается определить, был ли сертификат отозван. В результате этого становится возможным использование ошибочно выпущенного или раскрытого сертификата для доступа к данным. Отсутствуют корневые сертификаты Укажите действие Outlook при отсутствии корневых сертификатов: не отображать сообщения об ошибке и предупреждения (по умолчанию), отображать предупреждение или сообщение об ошибке. Обрабатывать ошибки уровня 2 как ошибки, а не как предупреждения Укажите действия Outlook при обработке ошибок второго уровня: отображать сообщение об ошибке или предупреждение (по умолчанию). К потенциальным условиям ошибки уровня 2 относятся следующие: Получение списков отзыва сертификатов Неизвестный алгоритм подписи Не найден сертификат для подписи Неверные наборы атрибутов Не найден сертификат издателя Не найден список отзыва сертификатов Устаревший список отзыва сертификатов Проблема корневого доверия Устаревший список доверия сертификатов Укажите действия Outlook при извлечении списков отзыва сертификатов: Использовать системные параметры по умолчанию. В Outlook используется расписание загрузки списков отзыва сертификатов, которое настроено в операционной системе. При работе в сети всегда загружать списки отзыва сертификатов. Это значение параметра используется в Outlook по умолчанию. Никогда не загружать списки отзыва 204 Параметр шифрования Описание сертификатов. Настройка дополнительных параметров шифрования В следующем разделе представлены дополнительные сведения о параметрах конфигурации шифрования. Параметры политики безопасности для общего шифрования В следующей таблице показаны дополнительные параметры реестра Windows, которые можно использовать для пользовательской конфигурации. Эти параметры реестра расположены в разделе HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. Соответствующий параметр групповой политики не предусмотрен. Запись реестра Тип Значение Описание ShowWithMultiLabels DWORD 0, 1 Установите 0, чтобы пытаться отобразить сообщение, когда слой подписи имеет другие метки, установленные в других подписях. Установите 1, чтобы не отображать сообщение. Значение по умолчанию: 0. CertErrorWithLabel DWORD 0, 1, 2 Установите 0, чтобы обрабатывать сообщение с ошибкой сертификата, если сообщение снабжено меткой. Установите 1, чтобы запретить доступ к сообщению с ошибкой сертификата. Установите 2, чтобы 205 Запись реестра Тип Значение Описание пропустить метку сообщения и предоставить доступ к этому сообщению (несмотря на то что пользователь видит ошибку сертификата). Значение по умолчанию: 0. См. также Планирование обеспечения безопасности и защиты в Outlook 2010 Планирование обеспечения безопасности для Office 2010 Планирование параметров цифровых подписей в Office 2010 Получение цифрового удостоверения 206 Планирование ограничения нежелательной почты в Outlook 2010 В этой теме описана работа фильтра нежелательной почты Outlook 2010 и процесс настройки фильтра нежелательной почты и автоматической загрузки рисунков с учетом потребностей организации. Этот раздел предназначен для администраторов Outlook. Для настройки параметров фильтрации почты Outlook на компьютере см. статью Фильтр нежелательной почты (http://go.microsoft.com/fwlink/?linkid=81371&clcid=0x419). Содержание: Обзор Поддерживаемые типы учетных записей Поддержка в Exchange Server Настройка пользовательского интерфейса фильтра нежелательной почты Настройка автоматической загрузки рисунков Обзор Microsoft Outlook 2010 содержит возможности, помогающие пользователям избежать получения и чтения нежелательной электронной почты, включая фильтр нежелательной почты и отключение автоматической загрузки контента с внешних серверов. Настройки автоматической загрузки рисунков уменьшают риск активизации веб-маяков в сообщениях электронной почты благодаря автоматической блокировке загрузки рисунков, звуков и другого контента с внешних серверов. Автоматическая загрузка контента отключена по умолчанию. Примечание. Outlook 2010 автоматически сохраняет активный контент, загружаемый из Интернета. Как в Office Outlook 2007 и более ранних версиях, Outlook 2010 выдает предупреждение перед загрузкой активного контента, который может использоваться в качестве вебмаяка. Однако в отличие от Office Outlook 2007 и более ранних версий при закрытии элемента не предлагается сохранить изменения. Вместо этого загруженный контент сохраняется автоматически. Фильтр нежелательной почты помогает пользователям избежать чтения нежелательных сообщений электронной почты. Фильтр включен по умолчанию, а в качестве уровня защиты установлен низкий, настроенный для фильтрации наиболее очевидных примеров нежелательной почты. Фильтр заменяет правила обработки нежелательной почты в предыдущих версиях Outlook (более ранних, чем Microsoft Office Outlook 2003). Фильтр содержит встроенную 207 технологию для оценки электронных сообщений и определения сообщений, которые наверняка являются нежелательными, а также списки фильтрации, автоматически блокирующие или разрешающие сообщения с определенных адресов или на определенные адреса. Фильтр нежелательной почты состоит из двух частей: Трех списков фильтра нежелательной почты: списка надежных отправителей, списка надежных получателей и списка заблокированных отправителей. Фильтр нежелательной почты, который определяет, является ли непрочитанное сообщение нежелательным, по нескольким факторам, включая содержимое сообщения и наличие отправителя в списках фильтра нежелательной почты. Все параметры фильтра нежелательной почты сохраняются в профиле каждого пользователя Outlook. Можно перезаписать параметры профиля с помощью групповой политики или задать настройки фильтра нежелательной почты по умолчанию с помощью центра развертывания Office. Фильтр нежелательной почты доступен для нескольких типов учетных записей Outlook 2010. Эти типы указаны в следующем разделе Поддерживаемые типы учетных записей. Фильтр работает наилучшим образом, если используется совместно с учетными записями Microsoft Exchange Server 2003 (или более поздних версий). Обратите внимание, что Exchange Server 2003 является наиболее ранней версией, с которой может использоваться Outlook 2010. Когда пользователи Outlook выполняют обновление до Outlook 2010, существующие списки фильтра нежелательной почты сохраняются, если не развернуты новые списки. Поддерживаемые типы учетных записей Outlook 2010 поддерживает фильтрацию нежелательной почты для следующих типов учетных записей: Учетные записи электронной почты Microsoft Exchange Server в режиме кэширования данных Учетные записи электронной почты Microsoft Exchange Server при доставке почты в файл личных данных Outlook (PST) Учетные записи HTTP Учетные записи POP Учетные записи Windows Live Hotmail Учетные записи IMAP Следующие типы учетных записей не поддерживаются фильтром нежелательной почты Outlook 2010: Учетные записи электронной почты Microsoft Exchange Server в оперативном режиме Сторонние поставщики MAPI 208 Поддержка в Exchange Server Если пользователи работают в режиме кэширования данных Exchange или загружают почту в личный файл данных Outlook (PST), списки фильтра нежелательной почты, доступные с любого компьютера, также используются сервером для оценки почты. Это означает, что если отправитель сообщения находится в списке заблокированных отправителей пользователя, почта перемещается в папку нежелательной почты на сервере и не обрабатывается Outlook 2010. Кроме того, Outlook 2010 использует фильтр нежелательной почты для оценки сообщений электронной почты. Настройка пользовательского интерфейса фильтра нежелательной почты Можно указать несколько параметров для настройки работы фильтра нежелательной почты для пользователей. В том числе можно: Установить уровень защиты фильтра нежелательной почты. Безвозвратно удалять подозрительные сообщения электронной почты или перемещать их в папку нежелательной почты. Доверять сообщениям электронной почты от контактов пользователя. Значения по умолчанию для фильтра нежелательной почты выбраны таким образом, чтобы обеспечить пользователям максимальное удобство. Однако можно указать для этих параметров другие значения по умолчанию и задать другие параметры и политики при развертывании Outlook 2010 в организации. Параметры нежелательной почты задаются один раз. Когда пользователь запускает Outlook 2010 первый раз, настраиваются параметры выбранного пользователем профиля. Другие профили пользователя или профили, созданные позже, не включают настроенные параметры. Вместо них используются параметры по умолчанию. Значения по умолчанию для фильтра нежелательной почты: Уровень защиты нежелательной почты: задайте значение "Низкая" Удалять нежелательную почту без возможности восстановления: "Отключено" Доверять сообщениям от контактов: значение "Отключено" Для настройки значений по умолчанию для пользователей можно использовать центр развертывания Office или внедрить их при помощи групповой политики. Дополнительные сведения о настройке параметров фильтра нежелательной почты см. в разделе Настройка параметров нежелательной почты в Outlook 2010. Важно Для фильтра нежелательной почты Outlook 2010 можно настроить следующие параметры. На странице Изменение параметров пользователя центра развертывания Office эти параметры находятся в меню Microsoft Outlook 2010\Параметры Outlook\Настройки\Нежелательная 209 почта. В групповой политики эти параметры находятся в разделе Конфигурация пользователя\Шаблоны администрирования\Microsoft Outlook 2010\Параметры Outlook\Свойства\Нежелательная почта. Параметр нежелательной почты Описание Добавлять получателей электронной почты в списки надежных отправителей пользователя Автоматически добавляет всех получателей электронной почты в пользовательские списки надежных отправителей. Скрыть интерфейс нежелательной почты Используется в групповой политике для отключения фильтрации нежелательной электронной почты и скрытия связанных с ней параметров в Outlook. Скрыть предупреждения о подозрительных именах доменов в адресах электронной почты Скрытие предупреждений о подозрительных именах доменов в адресах электронной почты. Список импорта нежелательной почты Используется в центре развертывания Office. Необходимо включить этот параметр, чтобы включить все прочие параметры нежелательной почты, настроенные в центре развертывания Office или с помощью групповой политики. Уровень защиты нежелательной почты Выбор уровня защиты от нежелательной почты: "Без защиты", "Низкая", "Высокая", "Только надежные списки". Перезаписывать или добавлять список импорта нежелательной почты Изменение настройки по умолчанию: вместо перезаписи списка импорта нежелательной почты используется добавление к списку. Удалять нежелательную почту без возможности восстановления Безвозвратное удаление возможной нежелательной почты без перемещения в папку нежелательной почты. Укажите путь к списку заблокированных отправителей Указание текстового файла со списком адресов электронной почты, добавляемых к списку заблокированных отправителей или перезаписывающих его. Укажите путь к списку надежных получателей Указание текстового файла со списком адресов электронной почты, добавляемых к списку надежных получателей или перезаписывающих его. 210 Параметр нежелательной почты Описание Укажите путь к списку надежных отправителей Указание текстового файла со списком адресов электронной почты, добавляемых к списку надежных отправителей или перезаписывающих его. Доверять сообщениям от контактов Доверие письмам от адресатов из списка контактов пользователя. Развертывание списков фильтра нежелательной электронной почты по умолчанию Можно развертывать для пользователей списки фильтра нежелательной почты по умолчанию. Фильтр нежелательной почты использует эти списки следующим образом: Список надежных отправителей Сообщения электронной почты, полученные с адресов электронной почты из этого списка или с любого адреса электронной почты, включающего имя домена из списка, никогда не рассматриваются как нежелательная почта. Список надежных получателей Сообщения электронной почты, отправленные на адреса электронной почты из этого списка или на любой адрес, включающий имя домена из списка, никогда не рассматриваются как нежелательная почта. Список заблокированных отправителей Сообщения электронной почты, полученные с адресов электронной почты в этом списке или с любого адреса, включающего имя домена из списка, всегда рассматриваются как нежелательная почта. Если имя домена или адрес электронной почты включены как в список заблокированных отправителей, так и в список надежных отправителей, то список надежных отправителей имеет преимущество. Это уменьшает риск того, что нужная почта будет по ошибке отфильтрована как нежелательная. Эти списки хранятся на сервере Exchange и доступны даже при перемещении пользователей. Для развертывания списков фильтра нежелательной почты создайте списки на тестовом компьютере и распространите их среди пользователей. Можно распространять списки, разместив их на общем сетевом ресурсе. Если имеются удаленные пользователи, которые не подключены к домену, можно использовать центр развертывания Office для добавления файлов с помощью параметра Добавить файлы. Предоставляемые списки являются списками по умолчанию. Если развернуть списки с помощью групповой политики, пользователи смогут изменять эти списки в сеансе Outlook. При перезапуске Outlook применение групповой политики приведет к добавлению списка по умолчанию или, если включен параметр Перезаписывать или добавлять список импорта нежелательной почты, пользовательские изменения будут переопределены исходным развернутым списком. Сведения о создании и развертывании 211 списков по умолчанию см. в разделе Настройка параметров нежелательной почты в Outlook 2010. Настройка автоматической загрузки рисунков Сообщения в формате HTML часто содержат рисунки и звуковые данные. Иногда эти рисунки и звуковые данные не включаются в сообщение, а загружаются с веб-сервера при его открытии или предварительном просмотре. Как правило, так делают допустимые отправители во избежание отправки сообщений очень большого размера. Однако отправители нежелательной почты могут использовать ссылку на контент внешних серверов для включения в сообщения электронной почты веб-маяка, который уведомляет вебсервер о прочтении или предварительном просмотре сообщения пользователем. Уведомление по веб-маякам подтверждает существование адреса электронной почты пользователя для отправителя нежелательной почты, что может привести к отправке большего числа сообщений нежелательной почты пользователю. Возможность запрета автоматической загрузки рисунков или другого контента также поможет избежать просмотра потенциально нежелательного контента (когда внешний контент связан с сообщением). Кроме того, при подключении с низкой скоростью передачи блокировка позволяет решить, имеет ли смысл тратить время на загрузку данного изображения. Заблокированные рисунки или контент в сообщении можно просмотреть, щелкнув информационную панель под заголовком сообщения или щелкнув заблокированное изображение правой кнопкой мыши. По умолчанию Outlook 2010 не загружает рисунки или другой контент, если этот контент не приходит с веб-сайта из зоны доверенных сайтов или от отправителя или домена в списке надежных отправителей. Это поведение можно изменить таким образом, чтобы контент из любых зон (доверенные сайты, местная интрасеть и Интернет) загружался или блокировался автоматически. Можно настроить следующие параметры автоматической загрузки рисунков. На странице Изменение параметров пользователя центра развертывания Office эти параметры располагаются в меню Microsoft Outlook 2010\Безопасность\Параметры автоматической загрузки рисунков. В групповой политики эти параметры находятся в разделе Конфигурация пользователя\Шаблоны администрирования\Microsoft Outlook 2010\Безопасность\Параметры автоматической загрузки рисунков. Параметр автоматической загрузки рисунков Описание Автоматически загружать содержимое из сообщений от адресатов из списков надежных отправителей и надежных получателей Включение этого параметра позволяет автоматически загружать содержимое при получении сообщения от пользователя из списка надежных отправителей или списка надежных получателей. 212 Параметр автоматической загрузки рисунков Описание Блокировать надежные зоны Отключение этого параметра приводит к включению доверенных зон в надежные зоны для автоматической загрузки рисунков. Отображать рисунки и внешнее содержимое в сообщениях формата HTML Включение этого параметра позволяет автоматически отображать внешнее содержимое в сообщениях в формате HTML. Не разрешать загрузку содержимого из безопасных зон Отключение этого параметра позволяет автоматически загружать контент сайтов из надежных зон (определяется параметрами доверенных зон, Интернета и интрасети). Включить Интернет в список безопасных зон для автоматической загрузки рисунков Автоматическая загрузка рисунков для всех сообщений из Интернета. Включить интрасеть в список безопасных зон для автоматической загрузки рисунков Автоматическая загрузка рисунков для всех сообщений из интрасети. Дополнительные сведения о настройке автоматической загрузки рисунков см. в разделе Настройка параметров нежелательной почты в Outlook 2010. См. также Настройка параметров нежелательной почты в Outlook 2010 213 Plan for spelling checker settings in Office 2010 (на английском языке) Depending on your objectives, you can use either Group Policy or the Office Customization Tool (OCT) to manage the behavior of spelling checker in Office 2010. To determine which of these tools to use, you must decide whether or not you want users to be able to change your configurations: Group Policy enables you to set policies, which are configurations that users cannot change. The OCT enables you to set preferences, which are configurations that users can change through the user interface (UI). Preferences are deployed during Office 2010 setup. The Office 2010 Group Policy and OCT settings are available in the Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (http://go.microsoft.com/fwlink/?LinkID=189316) download package. The download package also contains an Excel 2010 workbook (“Office2010GroupPolicyAndOCTSettings.xls”) that has more information about the settings. It includes registry information that can be useful if you want to configure spelling checker options by using a script. In this article: Office 2010 general spelling checker settings InfoPath 2010 spelling checker settings OneNote 2010 spelling checker settings Outlook 2010 spelling checker settings PowerPoint 2010 spelling checker settings Publisher 2010 spelling checker settings Word 2010 spelling checker settings The sections in this article are grouped by application. Each section contains a table that lists the setting names, descriptions, the behavior that occurs when you enable, disable, or do not configure the setting, and the location of the setting in the Group Policy object editor and OCT. Примечание Office 2010 general spelling checker settings The following table lists the settings that apply globally to Office 2010. 214 Name Description When When When not Group Policy enabled disabled configure object editor d location OCT location Improve proofing tools Controls whether the Help Improve Proofing Tools feature sends usage data to Microsoft. Data is sent to Microsoft if users decide to participate in the Customer Experience Improvemen t Program (CEIP). Data is not collected or sent to Microsoft. Same as if it is enabled, except users can change the setting through the UI. Microsoft Office 2010\Tools | Options | Spelling\Proofi ng Data Collection Microsoft Office 2010\Tools | Options | Spelling\Proofi ng Data Collection Flag Repeated Words Allows users to flag or ignore repeated words. Spelling checker flags repeated words. Spelling checker does not flag repeated words. Same as if it is enabled, except users can change the setting through the UI. Microsoft Office 2010\Tools | Options | Spelling\Proofi ng Data Collection Microsoft Office 2010\Tools | Options | Spelling Ignore words in UPPERCAS E Allows users to ignore words that are written in UPPERCAS E. Spelling checker ignores words that are written in UPPERCAS E. Spelling checker does not ignore words that are written in UPPERCAS E. Same as if it is enabled, except users can change the setting through the UI. Microsoft Office 2010\Tools | Options | Spelling\Proofi ng Data Collection Microsoft Office 2010\Tools | Options | Spelling Ignore words with numbers Allows users to ignore words that contain Spelling checker ignores words that Spelling checker does not ignore words Same as if it is enabled, except Microsoft Office 2010\Tools | Options | Microsoft Office 2010\Tools | Options | 215 Name Description When When When not Group Policy enabled disabled configure object editor d location OCT location numbers. contain numbers. that contain numbers. users can change the setting through the UI. Spelling\Proofi ng Data Collection Spelling Ignore Internet and file addresses Allows users to ignore URLs and file paths. Spelling checker ignores URLs and file paths. Spelling checker does not ignore URLs and file paths. Same as if it is enabled, except users can change the setting through the UI. Microsoft Office 2010\Tools | Options | Spelling\Proofi ng Data Collection Microsoft Office 2010\Tools | Options | Spelling Suggest from main dictionary only. Allows users to select words from the main dictionary only. Spelling checker lets users select words from the main dictionary only. Spelling checker lets users select words from other sources. Same as if it is enabled, except users can change the setting through the UI. Microsoft Office 2010\Tools | Options | Spelling\Proofi ng Data Collection Microsoft Office 2010\Tools | Options | Spelling InfoPath 2010 spelling checker settings The following table lists the settings that apply to InfoPath 2010. 216 Name Description When When When not Group Policy object enabled disabled configure editor location OCT location d Hide spelling errors Allows users to hide spelling errors (the wavy line under a misspelled word) Spelling errors (the wavy lines under a misspelled word) are hidden. Spelling errors are designate d by a wavy line that is under the misspelle d word. Disable command s Allows the administrato r to disable UI options. The UI option administrato is r can enabled. disable the following UI option: Home tab | Spelling Menu | Set Proofing Language Same as if it is enabled, except users can change the setting through the UI. Microsoft InfoPath 2010\InfoPath Options\Spelling & Grammar Microsoft InfoPath 2010\InfoPath Options\Spellin g & Grammar Same as if it is disabled, except users can change the setting through the UI. Microsoft InfoPath Not available in 2010\Disable Items the OCT. in User Interface\Predefine d OneNote 2010 spelling checker settings The following table lists the settings that apply to OneNote 2010. Name Description When When When not Group Policy enabled disabled configured object editor OCT location location OneNote Spelling Options Determines the following spelling options for users No spell One or more options can be enabled. One or more options can be disabled. Same as enabling the “Check spelling as you type” option, but Microsoft OneNote 2010\OneNote Options\Spelling Microsoft OneNote 2010\OneNote Options\Spelling 217 Name Description When When When not Group Policy enabled disabled configured object editor OCT location location checking Check spelling as you type Hide spelling errors Check spelling but hide errors users can change this through the UI. Outlook 2010 spelling checker settings The following table lists the settings that apply to Outlook 2010. Name Description When When When not Group Policy enabled disabled configured object editor OCT location location General Enables or disables the following spelling options for users: Always check spelling before sending Ignore original messag e text in One or more options can be enabled. One or more options can be disabled. Both options are enabled, but users can change this through the UI. Microsoft Outlook 2010\Outlook Options\Spelling Microsoft Outlook 2010\Outlook Options\Spelling 218 Name Description When When When not Group Policy enabled disabled configured object editor OCT location location software PowerPoint 2010 spelling checker settings The following table lists the settings that apply to PowerPoint 2010. Name Description When When When not Group Policy enabled disabled configured object editor OCT location location Use contextual spelling Enables or disables contextual spelling for users. Contextual spelling is enabled for users. Contextual spelling is disabled for users. Same as if it is enabled, except users can change through the UI. Microsoft PowerPoint 2010\PowerPoint Options\Proofing Microsoft PowerPoint 2010\PowerPoint Options\Proofing Check Enables spelling as PowerPoint you type 2010 to check the spelling while the user types. Check spelling as you type is enabled for users. Check spelling as you type is disabled for users. Same as if it is enabled, except users can change through the UI. Microsoft PowerPoint 2010\PowerPoint Options\Proofing Microsoft PowerPoint 2010\PowerPoint Options\Proofing Publisher 2010 spelling checker settings The following table lists the settings that apply to Publisher 2010. 219 Name Check spelling as you type Description Enables or disables the following options: Check spelling as you type. Hide spelling errors. ''Check spelling as you type'' and ''Hide spelling errors'' are both enabled . When When When not Group Policy object enabled disabled configured editor location One or more of the options can be enabled. One or more of the options can be disabled. Check spelling as you type is enabled, but users can change this through the UI. Microsoft Publisher 2010\Publisher Options\L_Proofing OCT location Microsoft Publisher 2010\Publisher Options\L_Proofing Word 2010 spelling checker settings The following table lists the settings that apply to Word 2010. Name Description When When When Group Policy object enabled disable not editor location d configur OCT location ed Check grammar with spelling Allows users to configure spelling checker to check the grammar at the Spelling checker checks for grammar Spellin g checke r does Same as if it is enabled , except Microsoft Word 2010\Word Options\Proofing\Auto Format as you Microsoft Word 2010\Word Options\Proo 220 Name Description When When When Group Policy object enabled disable not editor location d configur OCT location ed Delay before starting backgrou nd spelling checker same time that they check the spelling. when it checks spelling. not check for gramm ar when it checks spellin g. Allows the administrator to add a delay, expressed in milliseconds.Millise conds (e.g. 5000 milliseconds = 5 seconds), before background spelling checker starts.) The There administra is no tor can delay. specify a delay in millisecon ds, between 0 – 21474836 47. users can change through the UI. type\Automatically as you type There is Microsoft Word no 2010\Word delay. Options\Proofing\Auto Format as you type\Automatically as you type fing Microsoft Word 2010\Word Options\Proo fing См. также Обзор групповой политики для Office 2010 Принудительное применение параметров с помощью групповой политики в Office 2010 Планирование средств проверки правописания 221 Планирование SharePoint Workspace 2010 В этой статье описана процедура планирования развертывания Microsoft SharePoint Workspace 2010. SharePoint Workspace 2010 — это клиент для Microsoft SharePoint Server 2010 и Microsoft SharePoint Foundation 2010, поддерживающий совместную работу в автономном и интерактивном режимах. Таким образом, он обеспечивает непрерывную синхронизацию контента настольного компьютера с документами и списками SharePoint. SharePoint Workspace 2010 также предоставляет возможности для поддержки одноранговой совместной работы путем создания рабочих областей и общих папок Groove, не требующих подключения к SharePoint, как описано в статье Обзор SharePoint Workspace 2010. SharePoint Workspace 2010 устанавливается автоматически вместе с корпоративными версиями Microsoft Office 2010 или может быть установлен отдельно из центра загрузки Майкрософт (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=162268&clcid=0x419) (Возможно, на английском языке). Этапы планирования, описанные в этой статье, помогут подготовиться к успешному развертыванию, оптимизирующему совместную работу во всей инфраструктуре управления приложениями организации. Сведения о развертывании SharePoint Workspace 2010 в управляемой Microsoft Groove Server среде см. в статье, посвященной Deployment for Groove Server 2010 (на английском языке). Содержание: Планирование топологии SharePoint Workspace 2010 Планирование параметров сети для SharePoint Workspace 2010 Планирование загрузки Планирование безопасности Планирование проверки подлинности Планирование альтернативных сопоставлений доступа Планирование мониторинга и регулирования производительности Планирование действий и параметров для списков и библиотек SharePoint Планирование поиска Планирование резервного копирования и восстановления SharePoint Workspace Планирование топологии SharePoint Workspace 2010 Планирование развертывания SharePoint Workspace следует начинать с выбора уровня совместной работы, который требуется обеспечить сотрудникам организации. Затем можно выбрать топологию, которая лучшим образом поддерживает выбранную стратегию. При выборе 222 топологии SharePoint Workspace учитывайте особенности операционной среды и требования в отношении производительности. Ответы на следующие вопросы помогут в принятии решения. Является ли SharePoint Server 2010 или SharePoint Foundation 2010 частью системы совместной работы организации? Как работают корреспонденты: автономно или в интерактивном режиме? Требуется ли поддержка гибкой одноранговой совместной работы? Допускают ли процедуры управления использованием одноранговую совместную работу? Требуется ли расширение совместной работы группы за пределы частной сети, локальной сети, необходима ли связь с доверенными партнерами или сайтами на местах? Используется ли система каталогов Active Directory? Предполагается ли ввод данных клиентами, не имеющими доступ к серверу SharePoint Server 2010? Требуется ли в инфраструктуре управления и безопасности организации использование централизованного управления одноранговой совместной работой? В следующей таблице показано, в какой мере различные топологии SharePoint Workspace отвечают перечисленным критериям. Топологии и возможности SharePoint Workspace Топология Возможности SharePoint Workspace только как клиент SharePoint Эта топология основана на следующих возможностях: SharePoint Workspace как клиент одноранговой совместной работы Доступ к библиотекам и спискам SharePoint Server 2010 или SharePoint Foundation 2010. Автономная и интерактивная работа корреспондентов. Эта топология основана на следующих возможностях: Автономная и интерактивная работа корреспондентов. Гибкая одноранговая совместная работа. Рабочие области Groove поддерживают различные протоколы обмена данными. Это позволяет организации контролировать открытые порты для транспорта сообщений в одноранговых сетях. Расширение совместной работы групп на пределы частной сети с подключением 223 Топология Возможности доверенных партнеров и сайтов на местах. SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint Сервер Groove Server и SharePoint Workspace как управляемая система для совместной работы Ввод данных клиентами, не имеющими доступа к серверу SharePoint Server 2010. Эта топология основана на следующих возможностях: Доступ к библиотекам и спискам SharePoint Server 2010 или SharePoint Foundation 2010. Автономная и интерактивная работа корреспондентов. Гибкая одноранговая совместная работа. Рабочие области Groove поддерживают различные протоколы обмена данными. Это позволяет организации контролировать открытые порты для транспорта сообщений в одноранговых сетях. Расширение совместной работы групп на пределы частной сети с подключением доверенных партнеров и сайтов на местах. Ввод данных клиентами, не имеющими доступа к серверу SharePoint Server 2010. Эта топология основана на следующих возможностях: Использование централизованного управления одноранговой совместной работой в инфраструктуре управления и безопасности организации. Автономная и интерактивная работа корреспондентов. Гибкая одноранговая совместная работа. Расширение совместной работы групп на пределы частной сети с подключением доверенных партнеров и сайтов на местах. Ввод данных клиентами, не имеющими доступа к серверу SharePoint Server 2010. Наличие интеграции с системой Active Directory. 224 Топология Возможности Дополнительные сведения об этой топологии развертывания см. в статье Groove Server 2010 (на английском языке). В следующих разделах описано, как основные топологии развертывания SharePoint Workspace соотносятся с различными потребностями в совместной работе. SharePoint Workspace только как клиент SharePoint SharePoint Workspace как клиент SharePoint больше всего подходит для организаций, где члены групп и партнеры SharePoint должны осуществлять ввод данных, находясь за пределами корпоративной инфраструктуры — на местах или при отсутствии подключения к серверу SharePoint. Такая топология предоставляет пользователям SharePoint Workspace следующие варианты совместной работы: Возможность простого создания рабочей области SharePoint, устанавливающей связь между сервером SharePoint и клиентом SharePoint Workspace. Это позволяет отдельным членам групп или партнерам SharePoint загружать содержимое сайтов SharePoint на локальный компьютер. С помощью рабочей области SharePoint корреспонденты могут добавлять, изменять или удалять содержимое библиотеки документов или списка SharePoint как в автономном, так и в интерактивном режиме независимо от наличия подключения к серверу SharePoint. Синхронизация и обновление контента между клиентом SharePoint Workspace и сайтами SharePoint происходит автоматически при входе клиента в интерактивный режим, что позволяет обмениваться данными, созданными как в автономном режиме, так и создаваемыми во время наличия подключения к Интернету. Примечание. Клиент SharePoint Workspace позволяет пользователям создавать рабочие области SharePoint и одноранговые рабочие области. Одноранговые рабочие области могут быть областями Groove или общими папками, как описано в разделе SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint. Для развертывания SharePoint Workspace только в качестве клиента SharePoint с поддержкой только рабочих областей SharePoint в развертывание можно включить политику, запрещающую реализацию возможностей одноранговых рабочих областей, как описано в разделе Настройка SharePoint Workspace 2010. В этой конфигурации базовый уровень управления клиентами может быть достигнут с помощью средств Windows и Active Directory. Рабочие области SharePoint полагаются на технологии связи и динамики SharePoint Workspace, поддерживая отдельные подключения "клиент — SharePoint", позволяющие пользователям SharePoint Workspace работать с контентом документов и списков SharePoint на своих 225 локальных компьютерах и обновлять их. На рис. 1 показана базовая установка SharePoint Workspace и Microsoft SharePoint Server 2010. Рисунок 1. Подключение SharePoint Workspace к SharePoint SharePoint Workspace как клиент одноранговой совместной работы SharePoint Workspace как клиент одноранговой совместной работы больше всего подходит для организаций, в которых работникам необходимо предоставить хорошо оснащенную и простую в использовании среду совместной работы без наличия Microsoft SharePoint Server 2010 или Microsoft SharePoint Foundation 2010. Эта топология предоставляет пользователям SharePoint Workspace два варианта реализации одноранговой совместной работы: Возможность простого и быстрого создания рабочих областей Groove, в которых сотрудники могут безопасно работать совместно с доверенными партнерами без необходимости создания виртуальной частной сети (VPN) и с доступом к полному набору локальных автономных и интерактивных средств совместной работы. Средства совместной работы рабочей области Groove поддерживают создание и совместное использование документов, интерактивные обсуждения, управление совещаниями и формы Microsoft InfoPath в среде совместной работы членов групп и партнеров, расположенных по обе стороны брандмауэра корпоративной сети, в режиме реального времени. Возможность создания общих папок, позволяющих пользователям SharePoint Workspace совместно работать с контентом определенных папок Windows на компьютерах членов рабочей области. В этой конфигурации базовый уровень управления клиентами может быть достигнут с помощью средств Windows и Active Directory. Для обеспечения одноранговой совместной работы в рабочих областях Groove и общих папках SharePoint Workspace использует возможности подключений и динамики, а также предоставляет модуль диспетчера рабочей области с набором средств, диспетчер контактов, диспетчер 226 сообщений и основанную на стандартах инфраструктуру открытых ключей (PKI), что обеспечивает защиту рабочих областей Groove и проверку подлинности членов рабочих областей. Данные рабочей области Groove располагаются на клиентских компьютерах, а встроенные средства безопасности гарантируют шифрование данных членом рабочих областей в сети. Основные возможности средств и компонентов SharePoint Workspace могут использоваться на двух клиентских компьютерах, непосредственно подключенных по локальной сети, как показано на рисунке 2. Рисунок 2. Одноранговые подключения рабочей области Groove в локальной сети Для поддержки однорангового подключения в рабочих областях Groove и к общим папкам, когда клиент подключен к глобальной сети, находится в автономном режиме или по ту сторону брандмауэра, SharePoint Workspace полагается на поддержку диспетчера Microsoft Groove Server и служб ретрансляции, как показано на рисунке 3. Эти серверы, размещенные на базе Майкрософт или установленные на местах, гарантируют своевременное подключение независимо от контекста пользователя или условий среды Интернета. Рис. 3. Подключения рабочей области Groove за пределами локальной сети 227 SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint больше всего подходит для организаций, в которых существует потребность в синхронизации контента клиентских компьютеров с библиотеками документов и списками SharePoint при одновременном расширении совместной работы с включением групп, находящихся за пределами инфраструктуры документов SharePoint. Этот вариант объединяет описанные выше топологии и предоставляет пользователям SharePoint Workspace следующие возможности совместной работы: Возможность создания рабочей области SharePoint, устанавливающей связь между сервером SharePoint и клиентом SharePoint Workspace. Это позволяет отдельным членам групп SharePoint или партнерам загружать контент сайтов SharePoint на локальный компьютер, как описано в разделе SharePoint Workspace только как клиент SharePoint. Возможность простого создания рабочих областей Groove, в которых доверенные партнеры могут безопасно сотрудничать без необходимости использования VPN, как описано в разделе Обзор SharePoint Workspace 2010. Возможность создания рабочей области общих папок, позволяющих пользователям SharePoint Workspace совместно работать с контентом определенных папок Windows на компьютерах членов рабочей области. В этой конфигурации базовый уровень управления клиентами может быть достигнут с помощью средств Windows и Active Directory. Модули обмена информацией SharePoint Workspace вместе с протоколами TCP/IP, описанными в разделе Планирование параметров сети для SharePoint Workspace 2010, поддерживают транспорт сообщений и синхронизацию контента между отдельными клиентами и серверами SharePoint, а также между одноранговыми клиентами. На рисунке 4 показана система клиентсервер SharePoint Workspace, включающая сервер SharePoint, службы ретрансляции и управления сервера Groove Server и четыре клиента SharePoint Workspace: 228 Рисунок 4. SharePoint Workspace с серверами SharePoint и Groove Сервер Groove Server и SharePoint Workspace как управляемая система для совместной работы При использовании рабочих областей Groove и общих папок установка Microsoft Groove Server 2010 на месте в составе развертывания SharePoint Workspace предоставляет оптимальные возможности администрирования клиентов. Groove Server предусматривает два приложения, упрощающих развертывание и эксплуатацию SharePoint Workspace в корпоративной среде: Groove Server Manager предоставляет службы управления, отчетности и службы распределения политик, а Groove Server Relay упрощает обмен сообщениями между клиентами. Эта система способна функционировать как с SharePoint Server, так и самостоятельно, и допускает расширение с подключением партнеров, находящихся за пределами корпоративного брандмауэра. Дополнительные сведения о Groove Server 2010 см. в статье Groove Server 2010 (на английском языке). В следующей таблице представлены варианты топологии SharePoint Workspace, соответствующие различным сценариям. 229 Сценарии и топологии развертывания SharePoint Workspace Сценарий Описание Выбранная топология и обязательные компоненты Финансовые службы Региональная сеть школ Региональная сеть системы здравоохранения Область использования: город Размер: 2000 сотрудников Количество пользователей Обязательные компоненты: SharePoint Workspace: 1000 SharePoint Server Инфраструктура SharePoint в наличии Область использования: штат (регион) Размер: 4000 сотрудников Количество пользователей SharePoint Workspace: 10 000 Инфраструктура SharePoint отсутствует Область использования: регион Размер: 5000 сотрудников Количество пользователей SharePoint Workspace: 10 000 SharePoint Workspace только как клиент SharePoint SharePoint Workspace как клиент одноранговой совместной работы Обязательные компоненты: Обязательные компоненты: Инфраструктура SharePoint в наличии Область использования: глобально Размер: 500 000 сотрудников Количество пользователей SharePoint Workspace: 50 000 Клиенты SharePoint Workspace с возможностью подключения к Интернету SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint Многонациональная корпорация Клиенты SharePoint Workspace SharePoint Server Клиенты SharePoint Workspace Подключение к Интернету. Сервер Groove Server и SharePoint Workspace как управляемая система SharePoint для совместной работы Обязательные компоненты: Microsoft Groove Server 2010 Клиенты SharePoint Отдел ИТ: есть 230 Сценарий Описание Выбранная топология и обязательные компоненты Workspace Система Active Directory (рекомендуется) Подключение к Интернету (рекомендуется) Планирование параметров сети для SharePoint Workspace 2010 Microsoft SharePoint Workspace 2010 автоматически настраивает сетевые порты брандмауэра Windows для обеспечения оптимальной производительности. Чтобы проверить подключения портов или настроить порты Microsoft SharePoint Server и SharePoint Workspace только для рабочих областей SharePoint, запустите надстройку панели управления брандмауэра Windows и измените необходимые параметры. Дополнительные сведения о протоколах SharePoint Workspace см. в статье Документация протоколов Microsoft Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=162294&clcid=0x419) (Возможно, на английском языке). В следующей таблице указано, какие порты для каких протоколов требуются в SharePoint Workspace. Параметры клиентских портов для SharePoint Workspace 2010 Порт Поддерживаемые протоколы Описание 80/TCP — исходящий Служба синхронизации файлов Майкрософт по протоколу SOAP через HTTP (MSFSSHTTP) Поддержка следующих соединений: Для рабочих областей SharePoint — синхронизация контента документов и списков между клиентами Microsoft SharePoint Server и SharePoint Workspace. Для рабочих областей Groove и общих папок — передача SSTP-сообщений между клиентами HTTP-инкапсуляция протокола SSTP в Microsoft Groove (MSGRVHENC) 231 Порт Поддерживаемые протоколы Описание SharePoint Workspace и серверами ретрансляции Groove Relay при недоступности SSTPпортов 2492/TCP и 443/TCP. Инкапсуляция SSTP-передачи в HTTP. 443/TCP — исходящий HTTPS HTTP-инкапсуляция протокола безопасности SSTP в Microsoft Groove (MS-GRVSSTPS) 2492/TCP — входящий и исходящий Протокол SSTP в Microsoft Groove (MS-GRVSSTP) Для рабочих областей Groove и общих папок — обмен данными по протоколу SOAP между клиентами SharePoint Workspace и серверами управления Groove. Поддержка следующих соединений: Для рабочих областей SharePoint — синхронизация контента с защитой SSL между клиентами Microsoft SharePoint Server и SharePoint Workspace. Для рабочих областей Groove и общих папок — передача SSTP-сообщений между клиентами SharePoint Workspace и серверами ретрансляции при недоступности SSTPпорта 2492/TCP. Используется технология защищенного туннелирования HTTP. Поддержка следующих соединений: Для рабочих областей Groove и общих папок — передача SSTP-сообщений 232 Порт Поддерживаемые протоколы Описание между клиентами SharePoint Workspace и серверами ретрансляции. 1211/TCP — входящий и исходящий Протокол LANDPP Поддержка следующих соединений: Для рабочих областей Groove и общих папок — обнаружение присутствия устройств локальной сети между клиентами SharePoint Workspace. Планирование загрузки Для создания топологии, поддерживающей предполагаемую базу пользователей SharePoint Workspace, ответьте на следующие вопросы и определите соответствующие потребности в сетевом оборудовании и аппаратные требования SharePoint Server: Каково предполагаемое количество пользователей SharePoint Workspace, поддерживаемых локальной сетью? Какое количество внутренних клиентов будет выполнять синхронизацию с SharePoint Server посредством рабочих областей SharePoint? Какое количество внутренних и внешних клиентов будет обмениваться данными посредством рабочих областей Groove или общих папок? Каково предполагаемое количество одновременных одноранговых подключений SharePoint Workspace? Каков предполагаемый суточный объем клиентских данных (в байтах), синхронизируемых с SharePoint Server? Каков предполагаемый суточный объем клиентских данных (в байтах), передаваемых между рабочими областями Groove? Информацию о выборе оборудования, соответствующего предполагаемой нагрузки на клиент SharePoint Workspace, см. в требованиях к клиенту Office в разделе Системные требования для Office 2010. Дополнительные сведения об определении требований SharePoint Server, предъявляемых к поддержке предполагаемой нагрузки на SharePoint Workspace, см. в разделе Планирование мониторинга и регулирования производительности, а также в спецификациях SharePoint Server 2010 в статье Развертывание SharePoint Server 2010(http://go.microsoft.com/fwlink/?linkid=188459&clcid=0x419). 233 Планирование безопасности При взаимодействии клиента SharePoint Workspace с сайтами SharePoint используются протокол синхронизации и внешние механизмы защиты, предоставляемые, например, технологией VPN или SSL. Поэтому для подключений к SharePoint из-за пределов корпоративного домена рекомендуется использовать шифрование SSL. Можно настроить параметры групповой политики, применяемые ко всему подразделению Active Directory, как описано в статье Настройка SharePoint Workspace 2010. Кроме этого, можно защитить сайт SharePoint от несанкционированного доступа, соответствующим образом настроив списки управления доступом. Руководство по настройке управления доступом пользователей для синхронизации с библиотеками и списками SharePoint см. в статьях Управление группами сайтов и разрешениями (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=162300&clcid=0x419) (Возможно, на английском языке) и Управление пользователями сайтов и определение разрешений (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=162301&clcid=0x419) (Возможно, на английском языке). SharePoint Workspace использует сильные алгоритмы шифрования для защиты учетных данных SharePoint Workspace, которые являются защищенными хранилищами ключей шифрования, личных данных, контактов, сообщений и уникальных идентификаторов рабочих областей пользователей. Для доступа к учетным данных SharePoint Workspace используется проверка подлинности Windows и учетные данные пользователя для входа в Windows. SharePoint Workspace 2010 не шифрует документы SharePoint Workspace 2010 и другие двоичные файлы, в том числе содержимое рабочей области SharePoint на диске. Поэтому для защиты данных на дисках клиентов рекомендуется использовать шифрование дисков BitLocker. Дополнительные сведения см. в статье Шифрование диска BitLocker (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=163122&clcid=0x419) (Возможно, на английском языке). Для усиления защиты также можно блокировать доступ службы Windows Search к каталогу данных рабочей области SharePoint, чтобы запретить создание нешифрованных индексов поиска. Но помните, что контент, используемый совместно с другими клиентами, не применяющими такие же средства защиты, остается незашифрованным и доступным для поиска. В рабочих областях Groove и общих папках для проверки подлинности, шифрования и защиты данных, передаваемых по сети между клиентами, SharePoint Workspace использует встроенные технологии шифрования на основе симметричных и открытых ключей. Для защиты следующего контента на диске используется надежное шифрование: мгновенные сообщения Groove, приглашения Groove, записи обсуждений и блокнота Groove, архивированные рабочие области Groove и шаблоны средств Forms. Планирование проверки подлинности Для проверки подлинности пользователей и доступа к учетным записям SharePoint Workspace SharePoint Workspace 2010 использует учетную запись входа в Windows и API защиты данных 234 (DPAPI). Такой способ единого входа (SSO) означает, что дополнительные учетные данные для SharePoint Workspace, не требуются. Для проверки подлинности пользователей SharePoint Workspace при доступе к SharePoint Server система SharePoint Workspace поддерживает следующие методы SharePoint Server: проверку подлинности Windows и проверку подлинности на основе форм. Как правило, проверка подлинности Windows применяется для доступа внутренних пользователей SharePoint Workspace к сайтам SharePoint, а проверка подлинности на основе форм — для доступа внешних пользователей SharePoint Workspace к сайтам SharePoint. При проверке подлинности пользователей SharePoint Workspace между собой (для рабочих областей Groove, общих папок и систем обмена сообщениями) SharePoint Workspace полагается на встроенную инфраструктуру открытых ключей (PKI). Дополнительные сведения о едином входе для SharePoint Server см. в статье Единый вход в корпоративной среде (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=162302&clcid=0x419) (Возможно, на английском языке). Дополнительные сведения о проверке подлинности на основе форм см. в статье Настройка проверки подлинности на основе форм (http://go.microsoft.com/fwlink/?linkid=149721&clcid=0x419). Планирование альтернативных сопоставлений доступа SharePoint Server поддерживает альтернативные сопоставления доступа, позволяющие задать для сайта несколько URL-адресов. При использовании рабочих областей SharePoint это преимущество можно использовать, чтобы обеспечить возможность синхронизации SharePoint Workspace с несколькими URL-адресами SharePoint Server. Определение нескольких URLадресов выгодно в сценариях развертывания, где URL-адрес запроса, получаемого с помощью службы IIS, отличается от URL-адреса, вводимого конечным пользователем (например, в сценарии, предполагающем публикацию обратного прокси-сервера и балансировку нагрузки). Дополнительные сведения об альтернативных сопоставлениях доступа см. в статье Планирование альтернативных сопоставлений доступа (http://go.microsoft.com/fwlink/?linkid=114854&clcid=0x419). Планирование мониторинга и регулирования производительности SharePoint Server 2010 управляет потоком обмена данных с клиентами с помощью регулирующих запросов, когда встроенные средства мониторинга исправности сервера указывают на отставание производительности по причине чрезмерной нагрузки. При использовании рабочих областей SharePoint клиенты SharePoint Workspace реагируют на сигналы SharePoint Server, регулируя периодичность запросов сервера. Корректировка периодичности синхронизации SharePoint Workspace отражает активность рабочей области 235 SharePoint и изменения на сайте SharePoint, снижаясь при снижении активности. Корректировка снижает использование клиентами общей пропускной способности и повышает производительность сервера. В случае с рабочими областями Groove SharePoint Workspace предоставляет встроенные средства обеспечения производительности и полагается на службы Groove Server Relay, размещенные на сайте Майкрософт или установленные на месте (для оптимизации обмена данными). Для оптимизации производительности SharePoint Workspace передает данные рабочих областей Groove непосредственно из клиента, когда позволяют условия сети. Если данные адресованы клиенту, непосредственное подключение к которому невозможно, Groove отправляет данные через серверы ретрансляции, что оптимизирует процесс передачи сообщений. Когда передача сообщений осуществляется с участием серверов ретрансляции, общее использование пропускной способности в условиях высокого трафика, как правило, ниже. Планирование действий и параметров для списков и библиотек SharePoint К SharePoint Workspace 2010 применяются следующие действия и параметры SharePoint Server 2010: Действия сайта: Синхронизация с SharePoint Workspace — пользователи SharePoint Workspace, подключенные к сайту SharePoint, могут выбрать действие Синхронизировать с SharePoint Workspace, чтобы создать рабочую область SharePoint на локальном компьютере корреспондента или синхронизировать контент, если рабочая область SharePoint для сайта уже существует. Из локальной рабочей области пользователь может добавить, изменить или удалить контент независимо от наличия подключения к сайту SharePoint. Синхронизация с сайтом SharePoint выполняется автоматически с заданной периодичностью. Кроме этого, пользователь может перейти на вкладку Синхронизация рабочей области SharePoint и выполнить синхронизацию принудительно. Примечание. Действие Синхронизация с SharePoint Workspace также доступно на ленте библиотеки документов и списков SharePoint. Действия сайта/Параметры сайта/Администрирование сайта/Поиск и доступность для автономных клиентов/Доступность для автономных клиентов — администратор сайтов SharePoint должен установить этот флажок, чтобы клиенты SharePoint Workspace могли получить доступ к сайту. Планирование поиска Поиск по контенту SharePoint Workspace можно выполнять с помощью службы поиска Windows Search версии 4.0 или более поздних версий. По умолчанию для части контента SharePoint Workspace включен обход (индексирование) службой поиска Windows Search. Пользователи 236 SharePoint Workspace могут получить доступ к службе поиска Windows Search версии 4.0, щелкнув Поиск на вкладке Главная ленты (если эта возможность не запрещена политикой Windows). Администратор может заблокировать службу поиска Windows Search для контента SharePoint Workspace и переопределить любые параметры поиска, заданные пользователем, развернув объект групповой политики Active Directory, как описано в разделе Настройка SharePoint Workspace 2010. Дополнительные сведения об использовании службы поиска Windows Search см. в статье Руководства по администрированию службы Windows Search (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=164567&clcid=0x419) (Возможно, на английском языке). Планирование резервного копирования и восстановления SharePoint Workspace Все сведения учетных записей SharePoint Workspace хранятся на клиентских компьютерах. Эти сведения включают ключи шифрования и учетные данные пользователя. SharePoint Workspace предоставляет средства резервного копирования и восстановления учетных записей пользователей. Кроме этого, пользователи могут выполнять резервное копирование рабочих областей Groove в виде архивов рабочих областей. Для обеспечения надежной защиты учетных записей пользователей SharePoint Workspace следите за тем, чтобы пользователи SharePoint Workspace выполняли следующие рекомендации: Включите восстановление учетных записей SharePoint Workspace. Параметр Разрешить восстановление учетной записи находится в SharePoint Workspace 2010 в разделе Параметры учетной записи и предоставляет пользователям защищенный метод восстановления доступа к учетным записям в случае необходимости изменения учетной записи входа в Windows. Флажок Разрешить восстановление учетной записи должен быть установлен на всех клиентских компьютерах. Предупредите пользователей о недопустимости снятия этого флажка. Примечание. Функция Разрешить восстановление учетной записи также поддерживает переносимость учетной записи и возможность ее использования на нескольких компьютерах. Для организаций, в которых необходимо запретить использование учетных записей пользователей на других компьютерах, Microsoft Groove Server 2010 предоставляет политику, ограничивающую использование управляемых учетных записей одним компьютером. Дополнительные сведения о развертывании Groove Server на своем сайте см. в разделе Deployment for Groove Server 2010 (на английском языке). Сохраните файл резервных копий учетных записей пользователей SharePoint Workspace в надежном месте. SharePoint Workspace поддерживает восстановление в случае потери или 237 повреждения записей, предоставляя возможность пользователям сохранять учетные записи в GRV-файлах. Следите за тем, чтобы пользователи регулярно регулярно сохраняли свои учетные данные в файлы в надежном местоположении. Для сохранения учетной записи перейдите на вкладку Файл ленты и в раскрывающемся списке Управление учетной записью выберите пункт Параметры учетной записи, а затем на вкладке Учетная запись выберите Сохранить учетную запись как файл, укажите имя файла и пароль для восстановления. Помните, что для отправки пользователю кода для восстановления учетной записи, если пользователь забыл свой рабочий пароль, должен быть установлен флажок Разрешить восстановление учетной записи. Если флажок установлен, SharePoint Workspace отправляет код восстановления пароля по указанному пользователем адресу электронной почты (адрес указывается в мастере настройки учетной записи при создании учетной записи). Чтобы помочь защитить рабочие области Groove, стимулируйте пользователей периодически выполнять резервное копирование всех рабочих областей Groove. Для этого на вкладке Файл им необходимо выбрать Совместное использование и установить параметр Рабочая область как архив. Дополнительные сведения о резервном копировании и восстановлении рабочих областей Groove см. в справке по продукту SharePoint Workspace на веб-сайте Продукты Майкрософт в Интернете (http://go.microsoft.com/fwlink/?linkid=162269&clcid=0x419). Примечание. Данные и средства рабочей области Groove располагаются на клиентских компьютерах. Поэтому, если рабочая область Groove используется совместно с другими членами группы, то потерянные данные могут быть восстановлены с другого клиентского компьютера. См. также Обзор SharePoint Workspace 2010 Настройка SharePoint Workspace 2010 Deployment for Groove Server 2010 (на английском языке) Документация протоколов Microsoft (Возможно, на английском языке) 238 Планирование настроек и параметров для Visio 2010 В данной статье описываются несколько из доступных вариантов настройки в Microsoft Visio 2010. Содержание: Параметры приложений Шаблоны схем Настройка быстрых фигур Надежные документы SharePoint и репозиторий Параметры приложений В Visio 2010 есть несколько способов настройки параметров приложений, с которым работает пользователь, начиная с внешнего вида и поведения приложения и заканчивая правилами управления созданным документом. Фоны, границы и галереи заголовков Фоны, границы и галереи заголовков на вкладке Конструктор заполняются из встроенных наборов элементов. Однако галереи можно настроить, размещая фигуру в папке "Мои фигуры" пользователя (которая размещена в папке "Документы" или "Мои документы"). Наборы элементов должны иметь следующие имена. _BCKGRND.VSS для галереи фонов _BORDERS.VSS для галереи границ и заголовков Примечание. Имена файлов должны начинаться с подчеркивания. Если Visio находит набор элементов с таким именем файла (это имя должно быть одинаково для всех языков) в папке "Мои фигуры", она будет использоваться для заполнения галереи вместо фигуры, включенной с Visio 2010. Предупреждение. Фигуры в этих галереях обладают особенным поведением, поэтому для их репликации нужно знание Visio ShapeSheet. Для получения базиса контента настраиваемой галереи выполните следующие шаги. 239 1. Найдите наборы элементов, включенные в Visio 2010 в папке \Program Files\Microsoft Office\Office14\Visio Content\1033 (для английского языка). 2. Скопируйте файлы в папку "Мои фигуры": a. Фон (США и метрическая система мер) BCKGRN_U.VSS BCKGRN_M.VSS b. Границы и заголовки (США и метрическая система мер) BORDRS_U.VSS BORDRS_M.VSS 3. Переименуйте и настройте эти файлы. Пользовательские темы В Microsoft Office Visio 2007 темы позволяют легко применять профессиональный дизайн к диаграмме. В Visio 2010 темы используют интерфейс пользователя Microsoft Office Fluent и применяют возможность предварительного просмотра. Пользовательские темы Visio хранятся в документа, а не во внешнем файле. Для развертывания пользовательской темы нужно определить ее в документе Visio и сохранить ее как шаблон (*.vst) для использования в компании. Метод создания шаблонов в Visio 2010 не отличается от их создания в Office Visio 2007 и предыдущих версиях. Для создания пользовательской темы, которая будет храниться как шаблон, выполните следующие действия. 1. Перейдите на вкладку Конструктор. 2. Щелкните Цвета . 3. Выберите команду Создать новые цвета темы. 4. Выберите имя темы и цвета, а затем нажмите кнопку ОК. 5. Щелкните Эффекты. 6. Выберите команду Создать новые эффекты темы. 7. Выберите нужные эффекты, а затем нажмите кнопку ОК. Все пользователи должны начинать создание чертежей с шаблона, чтобы применять пользовательскую тему. Настраиваемые правила проверки В Visio 2010 можно развернуть пользовательские шаблоны с наборами правил проверки и правилами, которые обеспечивают соответствие диаграмм стандартам компании. Правило проверки представляет один тип требования, которое должна выполнять диаграмма. Если пользователь начинает проверку, Visio отображает список требований, которые не выполняются. Правило проверки определяет логический тест, выполняемый на основе содержимого диаграммы. Правила проверки пакуются в наборы правил. В документе может быть несколько 240 наборов правил. Каждый набор правил может быть активным или неактивным (отключенным), а несколько наборов могут быть активными одновременно. У каждого набора правил в документе уникальное имя. Такое же правило может использоваться в нескольких наборах правил в документе, а один и тот же набор правил может применяться в нескольких документах, использующих приложение. Microsoft Visio премиум 2010 предоставляет правила в шаблонах простой блок-схемы, функциональной блок-схемы, схемы "Шесть сигм", рабочем процессе Microsoft SharePoint и схемы BPMN. Настраиваемые правила и наборы правил можно добавить в любой шаблон. При выполнении проверки Visio проверяет каждое активное правило в документе со всеми целевыми объектами, найденными в документе. Для каждого целевого объекта, не соответствующего требованиям правила, Visio создает ошибку проверки. Все ошибки проверки отображаются в одном списке. Проверку может начать пользователь с помощью кнопки команд на ленте, если пользователь хочет проверить документ на наличие ошибок. Эти ошибки можно не исправлять или специально игнорировать, при этом они будут игнорироваться при последующих проверках. Для доступа к функции проверки выполните следующие действия. 1. На вкладке Процесс выберите Окно вопросов. Под чертежом откроется окно проверка. 2. Затем на вкладке Процесс нажмите кнопку Проверить схему. После запуска проверки правила нет определенного порядка обработки правил или фигур. Однако если операция занимает более трех секунд, показывается строка хода выполнения. Операцию можно остановить, а Visio отображает все ошибки, найденные на данный момент. Если Visio находит больше ошибок в документе, чем можно отобразить в окне вопросов (на данный момент — 32767), проверка останавливается автоматически. В диалоговом окне отображается сообщение : “Проверка схемы остановлена из-за слишком большого количества вопросов, превышающих возможности отслеживания Visio”. После остановки проверки (после завершения или до завершения), если найдены ошибки, Visio открывает окно вопросов, если оно еще не открыто, в котором отображаются ошибки. Шаблоны схем После запуска Visio 2010 первым делом отображается новое окно представления Microsoft Office Backstage, где можно выбрать шаблон создаваемой схемы. Оно напоминает на окно начала работы Office Visio 2007. Документы Visio 2010 создаются в единицах измерения США или метрических единицах. Единственный SKU, который содержит единицы измерения США или метрические единицы — U.S. English (en-us). При использовании этого SKU и создании схемы можно выбрать, какие единицы измерения нужно использовать. Есть параметр и групповая политика для выбора одного из параметров, используемого по умолчанию, если он доступен и используется английский язык (США). 241 Настройка быстрых фигур В Visio 2010 окно фигур изменено. В окне фигур есть группа "Быстрые фигуры". Быстрые фигуры — подмножество фигур, которые используются более часто в данном наборе элементов. Быстрые фигуры можно настроить с помощью интерфейса пользователя, после чего настройки сохраняются в реестре. Сведения о числе быстрых фигурах хранятся в таблице опубликованных компонентов и используются по умолчанию. Если пользователь настраивает набор элементов с помощью интерфейса пользователя, Visio сохраняет число быстрых фигур и основной порядок сортировки в разделе реестра HKCU\Software\Microsoft\Office\14.0\Visio\Quick Shapes с использованием следующего формата. Имя: Полный путь к файлу набора элементов Тип: REG_BINARY Данные: Число быстрых фигур и последовательность основных идентификаторов, представленных в двоичной форме. Число быстрых фигур и каждый основной идентификатор представлены 4 байтами Надежные документы Надежные документы — это улучшенная возможность Office 2010, которая взаимодействует с компонентами безопасности документа. Она активирует активное содержимое (например, макросы и элементы управления ActiveX) в документе на основе доверия к файлу и запоминает выбор при каждом открытии документа. Версии Office до выхода Office 2007 запрашивали разрешение для использования макросов и другого активного содержимого перед каждым открытием документа. В Office 2010 при создании или открытии документа с макросом или получении документа, использующего подключение к данным на надежном сервере, если активировано содержимое в записи доверия, уведомление безопасности больше не будет отображаться. При использовании надежных документов состояние доверия записывается на основе файлов. Запись доверия добавляется в раздел текущего пользователя локального реестра и содержит полный путь к файлу и другие данные, такие как время создания документа. Примечание. Записи доверия хранятся на определенном компьютере, поэтому при открытии файла на другом компьютере появится запрос. 242 Есть два способа сделать документ надежным. Чтобы сделать документ надежным, выполните следующие действия. 1. На панели сообщений нажмите кнопку Включить содержимое. 2. Щелкните панель сообщений для получения дополнительных сведений. Откроется представление Backstage. В представлении Backstage нажмите кнопку Включить содержимое. Появятся два дополнительных параметра. a. Включить все содержимое и сделать его надежным документом. b. Нажмите кнопку Дополнительные параметры, чтобы включить содержимое на один раз (как и в Office 2007). Доверие документам в сетевой общей папке более опасно, чем доверие документам на локальном жестком диске, так как другие пользователи с доступом к сетевым папкам смогут изменять содержимое файла. Поэтому при первой попытке сделать документ в сетевой папке надежным отображается предупреждение безопасности. В центре управления безопасностью можно запретить доверие к документам из сетевых папок. При этом Office будет показывать предупреждение безопасности при каждом открытии документа из сетевой папки. В центре управления безопасностью можно изменить параметры, чтобы включить или отключить доверие к документам из сети, отключить надежные документы или сбросить доверие для всех надежные документы. Все эти параметры может настроить администратор с помощью групповой политики. SharePoint и репозиторий В Visio 2010 можно сохранять файлы в Microsoft SharePoint 2010 с помощью представления Backstage. Для этого выполните следующие действия. 1. Перейдите на вкладку Файл. 2. Нажмите кнопку Сохранить и передать. 3. Щелкните Сохранить в SharePoint. 4. Сохраните чертеж как Документ (*.vsd) или веб-документ (*.vdw) 5. В диалоговом окне Сохранить какможно подтвердить или изменить выбор. Если выбран веб-документ (*.vdw), убедитесь, что установлены продукты SharePoint 2010 и Visio Services для отображения схемы в браузере. См. также Изменения в Visio 2010 243 Планирование обеспечения безопасности для Office 2010 Успешная деятельность организации часто зависит от производительности сотрудников, а также от неприкосновенности и секретности ее интеллектуальной собственности. В многих случаях ИТотдел сталкивается с трудностями, так как безопасность часто обеспечивается за счет снижения производительности. В этом разделе описываются новые элементы управления безопасности, доступные в версии Microsoft Office 2010 и позволяющие создать мощную систему защиты от угроз без снижения производительности пользователей. Содержание Статья Описание Обзор безопасности системы Office 2010 Обзор новых элементов обеспечения безопасности Microsoft Office 2010, которые позволяют обеспечить надежную защиту от угроз безопасности и поддерживать высокую производительность информационных работников. Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office Сведения о планировании безопасной конфигурации для Office 2010, в том числе описание рисков и угроз Office 2010, а также угроз активам или процессам организации. Планирование параметров надежных расположений в Office 2010 Сведения об использовании функции надежных расположений в Office 2010 для отделения безопасных файлов от потенциально вредоносных. Планирование параметров надежных издателей в Office 2010 Сведения об использовании функции надежных издателей Office 2010 для указания доверенных издателей содержимого. Планирование параметров безопасности для надстроек в Office 2010 Описание процесса управления поведением надстроек или отключения их выполнения пользователями путем изменения параметров надстроек Office 2010. Планирование параметров безопасности для элементов управления ActiveX для Office 2010 Описание поведения элементов управления Microsoft ActiveX в Office 2010 можно изменять 244 Статья Описание путем изменения параметров ActiveX. Планирование параметров безопасности для макросов VBA в Office 2010 Описание способа управления поведением элементов управления и макросов VBA путем изменения параметров VBA и макросов VBA в Microsoft Office 2010. Планирование категоризации объектов COM для Office 2010 Описание процесса управления поведением определенных объектов COM в Office 2010 с помощью категоризации объектов COM. Планирование параметров режима защищенного просмотра в Office 2010 Сведения о настройке режима защищенного просмотра — нового компонента обеспечения безопасности в Office 2010, который позволяет уменьшить риск использования вредоносных программ на компьютере за счет открытия файлов в среде с ограниченными разрешениями, где их можно проверить до открытия. Планирование параметров проверки файлов Office для Office 2010 Сведения о настройке функции проверки файлов Office — нового компонента обеспечения безопасности Office 2010, позволяющего предотвратить атаки подмены форматов файлов за счет проверки двоичных файлов в формате Office до их открытия. Планирование параметров конфиденциальности для Office 2010 Описание настройка параметров конфиденциальности Office 2010 в соответствии со стандартами безопасности компании. Планирование управления правами на доступ к данным в Office 2010 Обзор технологии управления правами на доступ к данным (IRM) и ее применения в приложениях Office. Планирование обеспечения безопасности и защиты в Outlook 2010 Описываются возможности Microsoft Outlook 2010 для защиты сообщений электронной почты организации. 245 Обзор безопасности системы Office 2010 Финансовый успех организации часто зависит от производительности труда ее информационных работников, а также от целостности и конфиденциальности интеллектуальной собственности. В прошлом эти цели были практически недостижимы для ИТ-специалистов, поскольку для обеспечения защиты приходилось жертвовать производительностью. При реализации большого количества элементов обеспечения безопасности снижается производительность сотрудников. При реализации небольшого количества элементов безопасности увеличивается не только производительность сотрудников, но и возможность атаки, что приводит к повышению затрат на ликвидацию последствий и увеличению совокупной стоимости владения. Однако благодаря новым элементам обеспечения безопасности Microsoft Office 2010 ИТ-специалисты могут обеспечить надежную защиту от угроз безопасности и поддерживать высокую производительность информационных работников. Четыре новых элемента управления позволяют повысить безопасность и уменьшить вероятность атаки, что позволит устранить угрозы злоумышленного использования эксплойтов. Ниже приведены эти элементы управления: Поддержка предотвращения выполнения данных (DEP) для приложений Office. Аппаратная и программная технология, усиливающая защиту путем предотвращения выполнения вирусов и червей, использующих уязвимости переполнения буфера. Проверка файлов Office Компонент ПО, который способствует снижению вероятности атаки посредством поиска файлов, не соответствующих определению допустимого формата файлов. Расширенные параметры блокировки файлов Параметры, управляемые в центре управления безопасностью и в групповой политике, которые способствуют снижению вероятности атаки путем предоставления более точного управления типами файлов, доступными для приложения. Защищенный просмотр Функция, которая позволяет устранять атаки путем разрешения предварительного просмотра пользователями ненадежных или потенциально вредоносных файлов в изолированной среде. В дополнение к этим элементам управления Office 2010 содержит другие улучшения безопасности, которые снижают вероятность атаки, обеспечивают целостность и конфиденциальность данных. В их число входят: Криптографическая гибкость Поддержка надежных меток времени для цифровых подписей Проверка и принудительное применение зависимости сложности пароля от домена Усиление шифрования Улучшения функции защиты с помощью пароля Проверка целостности зашифрованных файлов 246 Office 2010 также содержит некоторые улучшения безопасности, которые напрямую влияют на производительность пользователей. Улучшения пользовательского интерфейса панели сообщений, параметров пользовательского интерфейса центра управления безопасностью и модель доверия с записью решений пользователя являются примерами новых функций, которые позволяют принимать решения, связанные с безопасностью, и делают эти действия более удобными для сотрудников. Кроме того, многие новые и улучшенные элементы обеспечения безопасности можно настраивать с помощью параметров групповой политики. Это облегчает применение и поддержку архитектуры безопасности в организации. Содержание: Ключевой компонент — многоуровневая защита Принятие пользователями эффективных решений, связанных с безопасностью Предоставление администраторам полного доступа Перенос параметров безопасности и конфиденциальности из Office 2003 Ключевой компонент — многоуровневая защита Центральным компонентом эффективной системы безопасности является стратегия безопасности, которая реализует несколько взаимодополняющих друг друга уровней защиты от неавторизованных пользователей и вредоносного кода. Как правило, в средних и крупных организациях реализованы следующие уровни защиты: Защита демилитаризованной зоны с помощью брандмауэров и прокси-серверов Меры физической безопасности, такие как ограниченный доступ к центрам данным и серверным помещениям Средства безопасности рабочих станций, такие как личные брандмауэры, антивирусные приложения и средства обнаружения шпионских программ Стратегия защиты позволяет устранять угрозы безопасности посредством нескольких дополняющих и повторяющих друг друга элементов обеспечения безопасности. Например, если вирус-червь проходит через брандмауэр в демилитаризованной зоне и получает доступ к внутренней сети, ему еще предстоит пройти проверку в антивирусной программе и обойти личный брандмауэр, чтобы нанести вред рабочей станции. Такой же механизм встроен в архитектуру безопасности Office 2010. Четырехуровневый подход Архитектура безопасности Office 2010 позволяет не только расширить стратегию защиты, но и вывести ее за пределы средств обеспечения безопасности рабочих станций путем предоставления мер противодействия, способствующих построению многоуровневой защиты. При реализации эти меры противодействия вступают в силу с момента попытки открытия файла пользователем в приложении Office 2010, после чего они обеспечивают многоуровневую защиту до фактического открытия файла и подготовки его к редактированию. На следующем рисунке показаны четыре уровня защиты, встроенные в архитектуру безопасности Office 2010. 247 Усиление защиты против атак Этот уровень защиты позволяет снизить вероятность атаки на приложения Office 2010 с помощью меры противодействия, известной как предотвращение выполнения данных (DEP). Предотвращение выполнения данных позволяет предотвратить атаки, связанные с переполнением буфера, посредством идентификации файлов, которые пытаются выполнить код из той части памяти, которая зарезервирована только для данных. По умолчанию функция предотвращения выполнения данных в Office 2010 включена. Параметрами предотвращения выполнения данных можно управлять в центре управления безопасностью или в параметрах групповой политики. Снижение вероятности атаки Этот уровень защиты позволяет снизить вероятность атаки на приложения Office 2010 путем ограничения типов файлов, которые будут доступны для открытия приложениями, а также путем предотвращения запуска в приложениях определенных типов кода, содержащегося в файлах. Для этого в приложениях Office задействованы три меры противодействия. Проверка файлов Office Этот программный компонент сканирует файлы на отличия в формате и, основываясь на встроенных параметрах, может предотвратить открытие файла для редактирования, если формат является недопустимым. Например, недопустимым будет считаться файл, в формате которого содержится угроза безопасности приложения Office 2010. По умолчанию средство проверки файлов Office включено. Управлять им можно с помощью параметров групповой политики. Параметры блокировки файлов Эти параметры были представлены в системе Microsoft Office 2007 для снижения вероятности атаки. С их помощью можно запретить приложениям открывать и сохранять определенные типы файлов. Кроме того, можно указать, что должно происходить в случае разрешения открытия типа файла. Например, можно указать, будет ли файл открываться в режиме защищенного просмотра и будет ли разрешено редактирование. В Office 2010 были добавлены некоторые новые параметры блокировки файлов. Этими параметрами можно управлять в центре управления безопасностью и с помощью групповой политики. 248 Флаг блокировки Office ActiveX Эта новая функция Office 2010 позволяет предотвратить запуск в приложениях Office 2010 определенных элементов управления ActiveX, не затрагивая параметры запуска этих элементов управления в Microsoft Internet Explorer. По умолчанию флаг блокировки Office ActiveX не настроен. Однако его можно настроить, изменив реестр. Устранение эксплойтов Этот уровень защиты позволяет устранять эксплойты путем открытия потенциально опасных файлов в изолированной среде. Эта среда называется защищенным просмотром. С ее помощью пользователи могут предварительно просматривать файлы перед их фактическим открытием в приложении. По умолчанию защищенный просмотр включен. Однако можно отключить его и управлять его параметрами в центре управления и безопасности, а также через групповую политику. Улучшение взаимодействия с пользователем Этот уровень защиты служит для устранения уязвимостей путем уменьшения принимаемых пользователями решений, относящихся к безопасности, и повышения эффективности способов принятия таких решений. Например, документы, к которым нет доверия, автоматически открываются для защищенного просмотра без вмешательства со стороны пользователя. Пользователи могут просматривать и закрывать эти документы без принятия решений, относящихся к безопасности, что чаще всего означает эффективное выполнение работы без необходимости отвечать на запросы, связанные с безопасностью. Если пользователь желает изменить документ, который отображается в режиме защищенного просмотра, можно выбрать режим редактирования. После включения редактирования документ уже не будет открываться в защищенном просмотре. Если документ содержит активное содержимое, такое как элементы управления ActiveX и макросы, отображается панель сообщений, запрашивающая разрешение на открытие активного содержимого. После включения такого содержимого пользователь уже не будет отвечать на запросы панели сообщений об открытии активного содержимого. Параметры панели сообщений и доверенных документов можно настроить в центре управления безопасностью и в групповой политике. Дополнительные меры противодействия для усиления безопасности Помимо мер противодействия, описанных в предыдущем разделе, Office 2010 предоставляет некоторые новые и улучшенные меры противодействия для дальнейшего предотвращения угроз. Эти меры противодействия помогают обезопасить среду от атак, обеспечивая защиту целостности и конфиденциальности данных. Меры противодействия, связанные с целостностью данных Параметры целостности позволяют устранить угрозы целостности бизнес-данных и бизнеспроцессов. Злоумышленники пытаются нарушить целостность данных, повреждая документы, презентации и электронные таблицы. Например, злоумышленник может нарушить целостность 249 данных и бизнес-процессов, заменив файл на похожий файл с поврежденными данными или недостоверной информацией. В связи с этим были улучшены две меры противодействия — цифровые подписи и проверка целостности защищенных файлов, — что позволяет устранять угрозы целостности данных. Улучшения, связанные с цифровыми подписями В цифровых подписях теперь поддерживаются надежные отметки времени, что делает документы Office совместимыми со стандартом W3C XML Advanced Electronic Signatures (XAdES). Надежные отметки времени обеспечивают допустимость цифровых подписей и их защиту даже в том случае, если истек срок годности сертификата, используемого для подписи. Поддержка надежных отметок времени доступна только в Microsoft Excel 2010, Microsoft Access 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. Чтобы воспользоваться этой функцией, необходимо использовать центр, отвечающий за метки времени. Помимо поддержки отметок времени Office 2010 содержит ряд улучшений в пользовательском интерфейсе, которые упрощают для пользователей реализацию цифровых подписей и управление ими. Кроме того, отметки времени можно настроить в параметрах групповой политики. Проверка целостности зашифрованных файлов Теперь администраторы могут выбирать, следует ли реализовывать код проверки подлинности сообщений на основе хэша (HMAC) при использовании зашифрованных файлов, что помогает определить, был ли файл изменен злоумышленником. Код HMAC полностью совместим с интерфейсом API шифрования Windows: Next Generation (CNG), что позволяет администраторам настраивать поставщика шифрования, хэш и контекст, которые используются для генерации кода HMAC. Эти параметры можно настроить в групповой политике. Меры противодействия, связанные с конфиденциальностью Параметры конфиденциальности способствуют устранению угроз для данных, которые не должны быть доступны широкому кругу пользователей, таким как сообщения электронной почты, сведения о планировании проектов, спецификации разработки, финансовые данные, информация по клиентам, а также личные и конфиденциальные сведения. Чтобы устранить угрозы конфиденциальности, были улучшены и расширены некоторые меры противодействия. Улучшения в криптографии Теперь некоторые приложения Office 2010 гибко поддерживают шифрование и CNG. Это означает, что администраторы могут указать любой алгоритм шифрования для кодирования и подписи документов. Кроме того, некоторые приложения Office 2010 теперь поддерживают шифрование по стандарту Suite B. Улучшение шифрования с использованием паролей Функция шифрования с использованием паролей теперь совместима с требованиями ISO/IEC 29500 и ISO/IEC 10118-3:2004. Эта функция также поддерживается Office 2010 и Office 2007 с пакетом обновления 2 (SP2), однако только при поддержке операционной системой тех же поставщиков шифрования. Кроме того, Office 2010 содержит некоторые изменения в 250 пользовательском интерфейсе, которые позволяют упростить понимание и использование пользователями функции шифрования с помощью пароля. Проверка и принудительное применение сложности паролей Пароли, используемые функцией шифрования с помощью пароля, теперь могут проверяться на длину и сложность, что регулируется политиками паролей в домене. Это применимо только к паролям, созданным с помощью функции шифрования с использованием паролей. Можно задействовать некоторые новые параметры групповой политики для управления проверкой и принудительным применением сложности паролей. Улучшения, связанные с шифрованием Был улучшен механизм шифрования, что обеспечивает невозможность сохранения ключа шифрования и расшифровки в виде файла с открытым текстом. В целом эти улучшения шифрования прозрачны как для пользователей, так и для администраторов. Принятие пользователями эффективных решений, связанных с безопасностью Одним из преимуществ многоуровневой защиты является возможность пошагового ослабления и замедления атак, что дает администраторам больше времени для определения векторов атак и принятия адекватных мер противодействия, если в таковых возникнет необходимость. Другим преимуществом многоуровневой защиты является возможность снижения количества решений, относящихся к безопасности, которые должны приниматься пользователями. При использовании конфигурации безопасности по умолчанию большинство решений в Office 2010 принимается самой системой, а не пользователем. Это делается для того, чтобы обезопасить пользователей от принятия неверных решений, связанных с безопасностью, что способствует повышению производительности. На следующем рисунке показано высокоуровневое представление основных элементов управления безопасностью при открытии пользователем файла в Excel 2010, PowerPoint 2010 или Word 2010. Элементы обеспечения безопасности, которые не нуждаются в пользовательском вмешательстве, отмечены желтым цветом. Элементы управления, нуждающиеся в действиях пользователей, отмечены голубым цветом. На рисунке показано поведение Office 2010 по умолчанию. Можно управлять этим поведением по умолчанию, чтобы приспособить его под нужды безопасности и архитектуры организации. Также на этом рисунке не показаны все доступные для реализации элементы обеспечения безопасности, такие как DEP, шифрование или управления правами на доступ к данным. 251 Как показано на предыдущем рисунке, документы должны пройти через несколько уровней защиты, прежде чем пользователи смогут принять решение, связанное с безопасностью. Если 252 пользователи не должны редактировать документ, они могут ознакомиться с ним в защищенном просмотре, а затем закрыть документ без принятия каких-либо решений. Эффективность этого рабочего процесса обеспечивается несколькими ключевыми функциями. Улучшенная модель доверия Когда пользователи пытаются открыть файл, Office 2010 оценивает состояние доверия к этому файлу. По умолчанию довершенные файлы обходят большинство проверок безопасности и открываются для редактирования без принятия пользователями каких-либо решений. Файлы, к которым нет доверия, должны пройти те проверки безопасности, из которых состоит многоуровневая защита. Документы, которые не заслуживают доверия, автоматически открываются в режиме защищенного просмотра без вмешательства со стороны пользователя. Если пользователь желает изменить документ, отображаемый в режиме защищенного просмотра, можно выбрать параметр разрешения редактирования. После включения редактирования документ уже не будет открываться в режиме защищенного просмотра. Если документ содержит активное содержимое, такое как элементы управления ActiveX и макросы, отображается панель сообщений, запрашивающая разрешение на открытие активного содержимого. После включения такого содержимого пользователь уже не будет отвечать на запросы панели сообщений об открытии активного содержимого. В Office 2007 можно использовать надежные размещения и надежных издателей для определения заслуживающих доверия файлов и содержимого. Кроме того, в Office 2010 можно использовать новую функцию, которая называется "Надежные документы". С помощью этой функции пользователи могут определять файлы как надежные после их защищенного просмотра. Если файл был определен как надежный, это свойство сохраняется вместе с файлом, так что в следующий раз при открытии этого файла пользователь не будет принимать решение, относящееся к безопасности. Примечание. Надежные файлы не освобождаются от проверки антивирусными программами или проверки на флаг блокировки ActiveX. Если файл является надежным, он сканируется локальной антивирусной программой (при наличии таковой). Кроме того при снятом флаге блокировки ActiveX элементы управления активным содержимым не запускаются. Прозрачные меры противодействия Некоторые меры противодействия в Office 2010 осуществляются незаметно для пользователей и не требуют их вмешательства. Например, приложения Office 2010 оценивают ненадежные файлы на наличие отличий в формате, используя новую технологию проверки файлов Office. Эта технология работает самостоятельно при открытии пользователем ненадежного файла. Если возможные несоответствия в формате файла не обнаружены, пользователь даже не узнает о сканировании файла с использованием этой технологии. Примечание. В некоторых случаях функция проверки файлов Office может привести к возникновению запроса об отправке сведений о сканировании в корпорацию Майкрософт, чтобы улучшить возможность этой функции находить угрозы безопасности. Отключить возникновение этих запросов можно с помощью параметров групповой политики. 253 Просмотр в изолированной среде Ненадежные файлы открываются для просмотра в изолированной среде, известной как защищенный просмотр. В этой среде пользователи могут просматривать файлы и копировать содержимое в буфер обмена. Однако они не могут печатать или редактировать файлы. В большинстве случаев предварительный просмотр документа является достаточным для пользователей, поэтому они смогут просмотреть и закрыть файл, не отвечая на какие-либо запросы. Например, даже если файл содержит ненадежный макрос VBA, пользователь не должен включать макросы VBA для защищенного просмотра содержимого. В большинстве случаев конфигурация безопасности по умолчанию в Office 2010 достаточна для обеспечения надежной защиты; она предоставляет несколько уровней защиты без снижения эффективности работы пользователей. Однако некоторым организациям может понадобиться изменить конфигурацию безопасности, чтобы сделать свою среду более жесткой, или же наоборот — ослабить безопасность, чтобы сделать работу пользователей более гибкой. Например, если в организации работают достаточно опытные пользователи, которым нет необходимости просматривать файлы в изолированной среде, можно отключить защищенный режим. Делать это не рекомендуется (так как влечет за собой множество рисков), однако это способствует снижению количества решений, связанных с безопасностью, которые должны принимать пользователи. И наоборот, если необходимо сделать среду максимально жесткой, можно задать параметры таким образом, чтобы все ненадежные документы открывались в защищенном просмотре и никогда не покидали его. Это повысит безопасность, но сделает невозможным редактирование пользователями подобных документов. Независимо от потребности организации в обеспечении безопасности, многоуровневые меры противодействия в Office 2010 позволяют эффективно сочетать безопасность и производительность труда; то есть можно увеличивать и уменьшать количество решений, связанных с безопасностью, которые должны приниматься пользователями, без негативного воздействия на архитектуру безопасности. Предоставление администраторам полного доступа Большинство крупных и средних организаций используют централизованные средства управления, такие как параметры групповых политик в домене. С их помощью организации развертывают и управляют конфигурациями безопасности. Использование параметров доменных групповых политик позволяет обеспечить согласованность конфигураций компьютеров в организации и принудительно внедрять конфигурацию безопасности. Это два основных требования к эффективной стратегии безопасности. В рамках этой концепции Office 2010 предоставляет расширенный набор параметров групповой политики, которые помогут эффективно развертывать конфигурацию безопасности и управлять ей. В следующей таблице показаны различные способы управления новыми элементами обеспечения безопасности в Office 2010. Также здесь показано, какие приложения поддерживают новые средства безопасности. 254 Средство безопасности Доступно для Доступно для Применимо к настройки в центре настройки в следующим управления параметрах групповой приложениям безопасностью политики Предотвращение выполнения данных Да Да Все приложения Office 2010. Проверка файлов Office Нет Да Excel 2010 PowerPoint 2010 Word 2010 Параметры блокировки файлов Да Да Excel 2010 PowerPoint 2010 Word 2010 Флаг блокировки Office ActiveX Нет Нет (необходимо включить в реестре) Microsoft Access 2010 Excel 2010 PowerPoint 2010 Microsoft Visio 2010 Word 2010 Защищенный просмотр Да Да Excel 2010 PowerPoint 2010 Word 2010 Надежные документы Да Да Access 2010 Excel 2010 PowerPoint 2010 Visio 2010 Word 2010 Параметры шифрования Нет (гибкость криптографии) Да Access 2010 Excel 2010 InfoPath 2010 OneNote 2010 PowerPoint 2010 Word 2010 Отметки времени цифровых подписей Нет Да Excel 2010 InfoPath 2010 255 Средство безопасности Доступно для Доступно для Применимо к настройки в центре настройки в следующим управления параметрах групповой приложениям безопасностью политики PowerPoint 2010 Word 2010 Проверка целостности зашифрованных файлов Нет Да Excel 2010 PowerPoint 2010 Word 2010 Проверка и принудительное применение сложности паролей Нет Да Excel 2010 PowerPoint 2010 Word 2010 Перенос параметров безопасности и конфиденциальности из Office 2003 Office 2010 содержит различные средства безопасности, которые помогут защитить документы и обезопасить рабочие станции. Некоторые из этих средств безопасности были представлены в Office 2007 и были улучшены в Office 2010. Другие параметры безопасности были представлены в Office 2010. При переходе на Office 2010 с Microsoft Office 2003 или более ранней версии Office следует ознакомиться со временем введения различных средств безопасности и конфиденциальности Office 2010. В следующей таблице показаны основные средства безопасности и конфиденциальности, которые были добавлены или улучшены в Office 2007 и Office 2010. Средство Описание безопасности Центр управления безопасностью. Основная консоль пользовательского интерфейса, с помощью которой пользователи могут просматривать и настраивать Состояние Состояние Дополнительные средства в средства в сведения Office 2007 Office 2010 Представлен о в Office 2007 Расширенные и улучшенные параметры в Office 2010 Обзор системы безопасности для выпуска 2007 системы Microsoft Office 256 Средство Описание безопасности Состояние Состояние Дополнительные средства в средства в сведения Office 2007 Office 2010 параметры безопасности и конфиденциальности . Панель сообщений Элемент пользовательского интерфейса, на котором отображаются уведомления и предупреждения при открытии пользователями документа с потенциально опасным содержимым. Представлен о в Office 2007 Улучшенный пользовательски й интерфейс панели сообщений в Office 2010 Обзор системы безопасности для выпуска 2007 системы Microsoft Office Надежные расположения Функция Представлен безопасности, о в Office которая позволяет 2007 разделять документы на надежные и ненадежные. В Office 2010 нет значительных функциональных изменений Планирование надежных расположений и надежных издателей в системе Office 2007 Параметры блокировки файлов Набор параметров безопасности, которые позволяют предотвратить открытие пользователями некоторых типов файлов. Представлен о в Office 2007 Расширенные и улучшенные параметры в Office 2010 Планирование параметров блокировки форматов файлов для выпуска 2007 системы Microsoft Office Инспектор документов Средство обеспечения конфиденциальности , с помощью которого пользователи могут Представлен о в Office 2007 Улучшенный пользовательски й интерфейс в Office 2010 Обзор системы безопасности для выпуска 2007 системы 257 Средство Описание безопасности Состояние Состояние Дополнительные средства в средства в сведения Office 2007 Office 2010 удалить из документа персональные данные и скрытые сведения. Microsoft Office Параметры для элементов управления ActiveX на глобальном уровне и на уровне отдельных приложений Позволяет отключать элементы управления ActiveX, настраивать инициализацию элементов управления ActiveX и запросы элементов управления ActiveX. Представлен о в Office 2007 В Office 2010 нет значительных функциональных изменений Обзор системы безопасности для выпуска 2007 системы Microsoft Office Улучшенные параметры для макросов VBA на глобальном уровне и на уровне приложений Позволяет отключать VBA и настраивать параметры оповещения о макросах. Представлен о в Office 2007 В Office 2010 нет значительных функциональных изменений Обзор системы безопасности для выпуска 2007 системы Microsoft Office Параметры надстроек на уровне отдельных приложений Позволяет отключать надстройки, требовать подписи надстройки от доверенного издателя и настраивать предупреждения о надстройках. Представлен о в Office 2007 В Office 2010 нет значительных функциональных изменений Обзор системы безопасности для выпуска 2007 системы Microsoft Office Предотвращение выполнения данных (DEP) Аппаратная и программная технология, которая обеспечивает защиту от угроз, предотвращая атаки с использованием переполнения буфера вирусами и Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров предотвращени я выполнения данных в Office 2010 258 Средство Описание безопасности Состояние Состояние Дополнительные средства в средства в сведения Office 2007 Office 2010 червями. Проверка файлов Office Мера противодействия, которая служит для сканирования файлов на наличие различий в формате файлов и предотвращения открытия файлов с недопустимым форматом для редактирования. Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров проверки файлов Office для Office 2010 Флаг блокировки Office ActiveX Функция Office, которую могут использовать администраторы для предотвращения запуска определенных элементов управления ActiveX в приложениях Office. Доступно в приложениях Office 2007 как флаг блокировки ActiveX в Internet Explorer Представлено в Office 2010 как флаг блокировки ActiveX в Office Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer Защищенный просмотр Функция, которая позволяет устранять атаки путем разрешения предварительного просмотра пользователями ненадежных или потенциально вредоносных файлов в изолированной среде. Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров режима защищенного просмотра в Office 2010 Надежные Средство безопасности, Недоступно в приложениях Представлено в Планирование параметров 259 Средство Описание Состояние Состояние Дополнительные средства в средства в сведения Office 2007 Office 2010 Office 2007 Office 2010 надежных документов в Office 2010 Надежные отметки Обеспечивают времени цифровых допустимость подписей цифровых подписей и их защиту даже в том случае, если истек срок годности сертификата, используемого для подписи. Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров цифровых подписей в Office 2010 Проверка целостности зашифрованных файлов Позволяет реализовывать код HMAC при шифровании файла. Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров криптографии и шифрования в Office Проверка и принудительное применение сложности паролей Позволяет проверять пароли на длину и сложность, а также принудительно задавать соответствующие параметры с использованием доменных политик. Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров сложности паролей в Office 2010 Криптографическа я гибкость Позволяет задавать параметры криптографии для шифрования документов. Недоступно в приложениях Office 2007 Представлено в Office 2010 Планирование параметров криптографии и шифрования в Office 20 безопасности документы которое позволяет пользователям определять надежные документы. 260 Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office Безопасная конфигурация настольных ПК является обязательной частью любой стратегии защиты организации. Однако перед началом планирования такой конфигурации (которая включает в себя Microsoft Office 2010) необходимо понять, какие угрозы безопасности действуют для Office 2010, а затем определить, какие из этих угроз представляют опасность для бизнесактивов и бизнес-процессов организации. Также необходимо выяснить, какие угрозы конфиденциальности представляют опасность для личных и конфиденциальных сведений пользователей. Содержание: Риски, связанные с безопасностью данных Угрозы для приложений, обеспечивающих эффективную работу рабочих станций Меры противодействия по умолчанию в Office 2010 Риски, связанные с безопасностью данных Большинство ИТ-специалистов и специалистов по безопасности разделяют угрозы, связанные с безопасностью, на три общие категории: Риски, связанные с конфиденциальностью Эти риски представляют собой угрозы интеллектуальной собственности организации, исходящие от неавторизованных пользователей и вредоносного кода, целью которых является получение доступа к сказанному, написанному и созданному в этой организации. Риски, связанные с целостностью данных Эти риски представляют угрозы бизнесресурсам, исходящие от неавторизованных пользователей и вредоносного кода, целью которых является повреждение критически важных бизнес-данных организации. Эти риски распространяются на любые бизнес-активы, содержащие критически важную для организации информацию, такие как серверы баз данных, файлы данных и серверы электронной почты. Риски доступности Эти риски представляют угрозы бизнес-процессам, исходящие от неавторизованных пользователей и вредоносного кода, целью которых является нарушение бизнес-процессов и работы сотрудников. Процессы бизнес-аналитики, компоненты и возможности приложений и рабочие процессы подвержены рискам, связанным с доступностью данных. Чтобы обеспечить защиту организации от этих трех категорий рисков, рекомендуется использовать стратегию безопасности, включающую несколько дополняющих друг друга уровней защиты от неавторизованных пользователей и вредоносного кода. Как правило, используются следующие уровни: 261 Защита демилитаризованной зоны с помощью брандмауэров и прокси-серверов. Меры физической безопасности, такие как ограниченный доступ к центрам данным и серверным помещениям. Средства безопасности рабочих станций, такие как личные брандмауэры, антивирусные приложения и средства обнаружения шпионских программ. Если Office 2010 является частью среды организации, стратегия защиты должна включать механизмы устранения угроз. Эти механизмы содержатся в Office 2010 и задействуют различные технологии, параметры и компоненты. С помощью этих механизмов можно устранить угрозы приложениям Office 2010 и обезопасить интеллектуальную собственность, бизнес-ресурсы и бизнес-процессы, которые являются критически важными для организации. По умолчанию модель безопасности Office 2010 способствует устранению всех трех типов рисков в организации. Однако каждая организация имеет различные возможности инфраструктуры, различные требования к производительности и различные требования к безопасности рабочих мест. Чтобы определить, насколько организация может устранить эти бизнес-риски, необходимо оценивать как сами угрозы, так и источники этих угроз. Угрозы для приложений, обеспечивающих эффективную работу рабочих станций Модель обеспечения безопасности Office 2010 позволяет устранить пять видов угроз, относящихся к приложениям обеспечения эффективной работы. Каждая из таких угроз включает в себя несколько источников угрозы и может применяться в широком диапазоне различных атак на систему безопасности. На следующем рисунке показаны угрозы безопасности и примеры наиболее распространенных источников угрозы. 262 Большинство организаций сталкиваются с потенциальными рисками, связанными со всеми пятью видами угроз. Однако большинство организаций имеет дело с уникальными сочетаниями источников угроз и видов атак. Угрозы, связанные с активным содержимым Угрозы кодам и приложениям являются стандартными угрозами безопасности для настольных ПК. К числу наиболее распространенных факторов угроз относятся элементы управления ActiveX, надстройки и макросы VBA. Эти факторы могут использоваться программистами для создания вредоносных кодов или программ, выполняемых на компьютерах пользователей. Угрозы, связанные с активным содержимым, являются потенциальным риском для организаций любого размера, особенно для тех организаций, где пользователям разрешено выполнять следующие действия: Запускать макросы VBA, элементы управления ActiveX или надстройки. Открывать вложения в сообщениях электронной почты. Совместно использовать документы в рамках общедоступной сети, например, через Интернет. Открывать документы, полученные из внешних источников, например, от клиентов, поставщиков или партнеров. Угрозы, связанные с неавторизованным доступом Угрозы, связанные с неавторизованным доступом, возникают при попытке неавторизованного доступа к данным. Ниже приведены возможные цели злоумышленников: Файлы документов Если неавторизованные пользователи получили доступ к файлам документов, они могут удалить, заменить или повредить эти файлы. Например, программист может использовать атаку с использованием формата файла для получения с помощью измененного документа несанкционированного доступа. Сведения в самих документах Эти сведения включают тексты, схемы, комментарии, правки, аннотации, пользовательские XML-данные, скрытый текст, водяные знаки, данные в колонтитулах. Если неавторизованные пользователи получают доступ к сведениям в документах, им становятся доступными конфиденциальные данные компании и личные данные пользователей. Злоумышленники могут изменять, повреждать и удалять данные, а также добавлять активное содержимое в те документы, которые хранятся в надежных расположениях. Метаданные Данные, связанные с документами, которые включают такие свойства, как имя автора, название организации, время редактирования документа или номер версии документа. Неавторизованные пользователи, получающие доступ к метаданным, могут в дальнейшем получить доступ к конфиденциальным данным компании или личным данным пользователей. Злоумышленники могут повредить или удалить метаданные. 263 Большинство организаций сталкивается с неавторизованным доступом, однако не предпринимает достаточных мер для устранения подобных угроз, так как считает их незначительными или считает стоимость устранения этих угроз чрезмерно высокой. Однако такой подход может привести к возникновению следующих угроз безопасности: Архитектура защиты сети организации не может предотвратить несанкционированный доступ злоумышленников во внутреннюю сеть, что повышает риск доступа таких людей к документам организации. Организация позволяет пользователям отсылать, получать или совместно использовать конфиденциальные документы в сети Интернет, включая финансовые сведения, проекты, презентации или чертежи. Организация позволяет пользователям подключать портативные компьютеры к общедоступным сетям, что увеличивает риски доступа злоумышленников к документам, хранящимся на этих компьютерах. Организация не препятствует пользователям выносить документы с конфиденциальными сведениями за пределы офиса. У злоумышленников существует возможность получения несанкционированного доступа к конфиденциальным сведениям. Угрозы, связанные с внешним содержимым К числу таких угроз относятся любые факторы, которые связывают документы с другими документами, базами данных или веб-сайтами через интрасеть или общедоступную сеть, такую как Интернет. Угрозы, связанные с внешними данными, могут исходить из следующих источников: Гиперссылки Обычно злоумышленники используют гиперссылки на ненадежные документы или веб-сайты, которые содержат вредоносный код или контент. Подключения к данным Обычно злоумышленники используют данный источник угрозы, создавая подключения к источникам или базам данных, а затем используют эти подключения для вредоносного управления данными или их извлечения. Веб-маяки Обычно злоумышленники используют данный фактор угрозы, внедряя невидимую ссылку на удаленное изображение в сообщение электронной почты. После открытия пользователем такого сообщения ссылка активируется и загружается удаленное изображение. В результате данные пользователя, например адрес электронной почты и IPадрес компьютера, могут быть отправлены на удаленный компьютер. Объекты пакетов Злоумышленник может использовать встроенный объект для запуска вредоносного кода. Внешние угрозы представляют собой риски для организации в следующих случаях: Пользователям предоставлен неограниченный доступ к общедоступным сетям (например, к Интернету). 264 Пользователи могут получать сообщения электронной почты, содержащие встроенные изображения и HTML. Пользователи могут использовать подключения к данным в таблицах или других документах. Угрозы, связанные с браузером Эти угрозы могут возникнуть при программном использовании в приложении или в документе функциональных возможностей веб-браузера, такого как Microsoft Internet Explorer. Браузер представляет угрозу приложениям и документам, так как любые угрозы, относящиеся к браузеру, также относятся к приложениям и документам, использующим этот браузер. Такие угрозы включают в себя ряд факторов, которые могут использоваться в различных атаках. К факторам угрозы относится установка элемента управления ActiveX, загрузка файлов, пробная проверка MIME, повышение уровня зоны и установка надстроек. Угрозы, связанные с браузером, представляют опасность для системы безопасности организации в следующих случаях: Пользователям позволено запускать элементы управления ActiveX, надстройки или макросы, в которых используются возможности браузера. Пользователи могут разрабатывать и распространять решения Office, которые используют возможности браузера. Угрозы, связанные с эксплойтами нулевого дня Угрозы, связанные с эксплойтами нулевого дня, могут активизироваться при обнаружении уязвимости, которая еще не была устранена обновлением ПО, таким как обновление безопасности Майкрософт или пакет обновления. Атаки с использованием эксплойта нулевого дня могут принимать различные формы, включая следующие: удаленное выполнение кода; несанкционированное получение прав; раскрытие информации. Пользователи и программисты-злоумышленники могут использовать уязвимые места системы безопасности в рамках различных атак. До выхода обновления безопасности или пакета обновления, ориентированных на определенный вид уязвимости, такие угрозы могут представлять серьезную опасность для организации. Меры противодействия по умолчанию в Office 2010 Office 2010 предоставляет различные меры противодействия, которые помогают устранить угрозы бизнес-активам и бизнес-процессам. Мера противодействия — это средство безопасности или элемент обеспечения безопасности, с помощью которых можно устранить одну или несколько угроз безопасности. Как правило, можно изменить поведение меры 265 противодействия путем настройки параметров в центре развертывания Office или в групповой политике с помощью административных шаблонов Office 2010. Многие меры противодействия в Office 2010 устраняют определенные виды угроз для определенного приложения. Например, Microsoft InfoPath 2010 содержит меру противодействия, которая служит для предупреждения пользователей о возможном присутствии в формах вебмаяков. Можно изменить поведение этой меры противодействия, настроив параметр Пользовательский интерфейс маяка для форм, открытых в InfoPath в центре развертывания или в групповой политике. Другие меры противодействия устраняют более широкий спектр угроз, которые часто возникают в нескольких приложениях. Например, функция защищенного просмотра позволяет пользователям просмотреть содержимого ненадежных документов, презентаций, электронных таблиц без необходимости включения небезопасного содержимого или вредоносного кода, который может нанести вред компьютеру. Эта меры противодействия используется в Microsoft Excel 2010, Microsoft PowerPoint 2010, Microsoft Word 2010 и Microsoft Outlook 2010 при предварительном просмотре вложения в виде файла Excel 2010, PowerPoint 2010, Microsoft Visio 2010 и Word 2010. Можно изменить это поведение, настроив ряд параметров в центре развертывания или в групповой политике. В следующих разделах описаны часто используемые меры противодействия, входящие в состав Office 2010. Параметры элемента управления ActiveX Можно использовать параметры управления ActiveX для отключения элементов управления ActiveX и изменения способов загрузки элементов управления ActiveX в приложениях Office 2010. По умолчанию надежные элементы управления ActiveX загружаются в безопасном режиме с постоянными значениями параметров. При этом пользователи не уведомляются о загрузке элементов управления ActiveX. Ненадежные элементы управления ActiveX загружаются другим способом, зависящим от метки того или иного элемента управления и наличия в файле проекта VBA вместе с самим элементом управления ActiveX. Ниже приведено поведение по умолчанию при работе с ненадежными элементами управления ActiveX: Если элемент управления ActiveX помечен как безопасный для инициализации (SFI) и содержится в документе, в котором отсутствует проект VBA, этот элемент управления загружается в безопасном режиме с использованием постоянных значений параметров. Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента управления ActiveX. Чтобы использовалось подобное поведение, все элементы управления ActiveX в документе должны быть помечены как SFI. Если элемент управления ActiveX помечен как небезопасный для инициализации (UFI) и в документе отсутствует проект VBA, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов управления ActiveX. Если пользователь 266 включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров. Если в документе, где присутствует проект VBA, имеются элементы, помещенные как UFI и SFI, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов управления ActiveX. Если пользователь включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров. Важно! Если в реестре для элемента управления ActiveX установлен флаг блокировки, то элемент управления не загружается и не может быть загружен ни при каких обстоятельствах. Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента управления ActiveX. Чтобы изменить поведение по умолчанию для элементов управления ActiveX, ознакомьтесь со статьей Планирование параметров безопасности для элементов управления ActiveX для Office 2010. Параметры надстроек Можно использовать параметры надстроек для отключения надстроек, требовать подпись надстроек от надежного издателя и отключать уведомления, связанные с надстройками. По умолчанию установленные и зарегистрированные надстройки могут выполняться без вмешательства пользователей и отображения предупреждений. Чтобы изменить это поведение по умолчанию, ознакомьтесь со статьей Планирование параметров безопасности для надстроек в Office 2010. Параметры криптографии и шифрования Эти параметры будут доступны после официального выпуска Office 2010. Параметры предотвращения выполнения данных Параметры предотвращения выполнения данных (DEP) можно использовать для отключения предотвращения выполнения данных в приложениях Office 2010. Предотвращение выполнения данных — это программная и аппаратная мера противодействия, которая помогает предотвратить запуск вредоносного кода. По умолчанию функция предотвращения выполнения данных включена в приложениях Office 2010, и рекомендуется не изменять этот параметр по умолчанию. Параметры цифровых подписей Эти параметры будут доступны после официального выпуска Office 2010. 267 Параметры внешнего контента Параметры внешнего контента можно использовать для изменения способов доступа приложений Office 2010 к внешнему контенту. Внешний контента — это любой вид контента, доступ к которому необходимо получать удаленно, например подключения к данным и ссылки на электронные таблицы, ссылки на веб-страницы и документы, ссылки на изображения и мультимедиа. По умолчанию при открытии пользователем файла, содержащего ссылку на внешний контент, на панели сообщений появляется уведомление об отключенных ссылках. Чтобы включить ссылки, пользователи должны щелкнуть панель сообщений. Рекомендуется не изменять эти параметры по умолчанию. Параметры блокировки файлов Параметры блокировки файлов можно использовать, чтобы запретить открывать и сохранять определенные типы файлов. Эти параметры можно использовать для принудительного открытия некоторых типов файлов в режиме защищенного просмотра. По умолчанию Excel 2010, PowerPoint 2010 и Word 2010 принудительно открывают некоторые типы файлов в режиме защищенного просмотра. Параметры проверки файлов Office Параметры проверки файлов Office можно использовать для отключения функции проверки файлов Office и изменения обработки этой функцией файлов, которые не прошли проверку. Также можно использовать эти параметры для предотвращения отображения запросов пользователей об отправке сведений о проверке в корпорацию Майкрософт. По умолчанию функция проверки файлов Office включена. Файлы, которые не проходят проверку, открываются в режиме защищенного просмотра, и пользователи могут изменить их только после открытия файлов в этом режиме. Дополнительные сведения о параметрах проверки файлов Office см. в разделе Планирование параметров проверки файлов Office для Office 2010/ Параметры сложности паролей Параметры сложности паролей можно использовать для принудительного применения длины и сложности паролей, которые будут использоваться функцией шифрования с использованием паролей. Параметры сложности паролей позволяют принудительно применять длину и сложность пароля на доменном уровне, если в организации были установлены правила сложности паролей в групповой политике домена или на локальном уровне, если в организации не используются доменные параметры сложности паролей. По умолчанию приложения Office 2010 не проверяют длину или сложность пароля при шифровании пользователем файла с помощью функции шифрования с использованием паролей. 268 Параметры конфиденциальности Параметры конфиденциальности можно использовать для предотвращения появления диалогового окна приветствия Microsoft Office 2010 при первом запуске пользователем Office 2010. С помощью этого диалогового окна пользователь может зарегистрироваться в различных интернет-службах для защиты и улучшения работы приложений Office 2010. Также можно использовать параметры конфиденциальности для включения интернет-служб, отображающихся на странице приветствия Microsoft Office 2010. По умолчанию диалоговое окно приветствия Microsoft Office 2010 появляется при первом запуске пользователем Office 2010, после чего пользователи могут включить рекомендованные интернет-службы, включить только некоторые из них или не вносить никаких изменений. Если пользователь не вносит изменения в конфигурацию, в силу вступают следующие параметры по умолчанию: Приложения Office 2010 не подключаются к Office.com для обновления содержимого справки. Приложения Office 2010 не загружают небольшие программы, облегчающие поиск неисправностей, а сведения сообщения об ошибке не отправляются в корпорацию Майкрософт. Пользователи не регистрируются в программе улучшения качества программного обеспечения. При выполнении пользователем поискового запроса в справочной системе сведения об установленных приложениях Office 2010 не отправляются в корпорацию Майкрософт для улучшения результатов поиска, связанных с Office.com. Чтобы изменить это поведение по умолчанию или запретить отображение диалогового окна приветствия Microsoft Office 2010, ознакомьтесь с разделом Планирование параметров конфиденциальности для Office 2010. Параметры защищенного просмотра Параметры защищенного просмотра можно использовать для предотвращения открытия файлов в режиме защищенного просмотра или принудительного открытия файлов в этом режиме. Также можно указать, следует ли запускать скрипты и программы, работающие в сеансе 0, в режиме защищенного просмотра. По умолчанию защищенный просмотр включен, и все ненадежные файлы открываются в этом режиме. Скрипты и программы, работающие в сеансе 0, не открываются в режиме защищенного просмотра. Дополнительные сведения о параметрах защищенного просмотра см. в разделе Планирование параметров режима защищенного просмотра в Office 2010. Примечание. Также можно использовать параметры защищенного просмотра для предотвращения открытия определенных типов файлов в режиме защищенного просмотра или принудительного открытия определенных видов файлов в таком режиме. 269 Параметры надежных документов Параметры надежных документов можно использовать для отключения функции надежных документов и предотвращения пометки хранящихся на общих сетевых ресурсах документов как надежных. Надежные документы обходят большинство проверок безопасности при открытии, кроме того, в них разрешено все активное содержимое (антивирусную проверку и проверку на флаг блокировки ActiveX нельзя обойти). По умолчанию функция надежных документов включена. Это означает, что пользователи могут помечать безопасные файлы как надежные документы. Кроме того, пользователи могут помечать файлы на общих сетевых ресурсах как надежные. Рекомендуется не изменять эти параметры по умолчанию. Дополнительные сведения о параметрах надежных документов см. в разделе, посвященном параметрам и политикам безопасности Office 2010. Параметры надежных расположений Параметры надежных расположений можно использовать для назначения файлам надежных расположений. Файлы, хранящиеся в надежных расположениях, обходят большинство проверок безопасности при открытии, и все содержимое этих файлов разрешено (антивирусную проверку и проверку на флаг блокировки ActiveX нельзя обойти). По умолчанию несколько расположений помечены как надежные. Кроме того, отключены надежные расположения в сети, например в общих сетевых папках. Чтобы изменить это поведение по умолчанию и узнать, какие расположения считаются надежными по умолчанию, ознакомьтесь с разделом Планирование параметров надежных расположений в Office 2010. Параметры надежных издателей Параметры надежных издателей можно использовать для обозначения некоторых типов активного содержимого как безопасного, например элементов управления ActiveX, надстроек и макросов VBA. Если издатель подписывает активное содержимое цифровым сертификатом и цифровой сертификат издателя добавляется в список "Надежные издатели", активное содержимое считается надежным. По умолчанию в списке "Надежные издатели" нет издателей. Необходимо добавить издателей в список "Надежные издатели", чтобы реализовать эту функцию безопасности. Подробные сведения о включении функции "Надежные издатели" см. в разделе Планирование параметров надежных издателей в Office 2010. Параметры макросов VBA Параметры макросов VBA можно использовать для изменения способа поведения макросов VBA, отключения VBA и изменения способа поведения макросов VBA в программно запущенных приложениях. По умолчанию VBA включен, и разрешается выполнение надежных макросов VBA без уведомления. Надежные макросы VBA включают в себя макросы, которые были подписаны надежным издателем, хранятся в надежном документе или хранятся в документе, расположенном в надежном расположении. Ненадежные макросы VBA отключены, однако на панели сообщений появляется оповещение, с помощью которого можно включить ненадежные 270 макросы VBA. Кроме того, макросы VBA могут выполняться в приложениях, запускаемых программным способом. Чтобы изменить это поведение по умолчанию, см. раздел Планирование параметров безопасности для макросов VBA в Office 2010. См. также Обзор безопасности системы Office 2010 271 Планирование параметров надежных расположений в Office 2010 Чтобы отделить безопасные файлы от потенциально вредоносных, можно использовать функцию "Надежные расположения" приложения Microsoft Office 2010. Эта функция позволяет указать на жестких дисках компьютеров пользователей или на общем сетевом ресурсе надежные источники файлов. Если папка помечена как надежный источник файлов, то все файлы, сохраненные в этой папке, считаются надежными файлами. При открытии надежного файла все содержимое этого файла включено и активно, а пользователи не оповещаются о потенциальных рисках, связанных с данным файлом (например, о неподписанных надстройках и макросах Microsoft Visual Basic для приложений (VBA), ссылках на контент из Интернета или о подключениях к базе данных). Содержание: Планирование параметров надежных расположений Реализация надежных расположений Отключить надежные расположения Планирование параметров надежных расположений Пакет Office 2010 предусматривается несколько параметров, позволяющих управлять поведением надежных расположений. Настройка этих параметров позволяет выполнить следующие действия. Определить надежные расположения глобально или по отдельным приложениям. Разрешить существование надежных расположений на удаленных общих ресурсах. Запретить пользователям создание надежных расположений. Отключение функции надежных расположений. Функция надежных расположений доступна в следующих приложениях: Microsoft Access 2010, Microsoft Excel 2010, Microsoft InfoPath 2010, Microsoft PowerPoint 2010, Microsoft Visio 2010 и Microsoft Word 2010. В следующем списке перечислены параметры настройки по умолчанию для функции надежных расположений: Надежные расположения включены. Пользователи не могут назначать сетевые папки в качестве надежных расположений, однако данный параметр можно изменить в центре управления безопасностью. Пользователи могут добавлять папки к списку надежных расположений. 272 Возможно использование пользовательских надежных расположений и расположений, определенных политикой. Кроме того, в качестве надежных расположений в установке по умолчанию Office 2010 назначаются несколько папок. Папки по умолчанию для каждого приложения перечислены в следующих таблицах. InfoPath 2010 и Visio 2010 не имеют надежных расположений по умолчанию. Надежные расположения Access 2010 В таблице далее перечислены надежные расположения по умолчанию для Access 2010. Надежные расположения по Описание папки Надежные подпапки Базы данных мастеров Не разрешено умолчанию Program Files\Microsoft Office\Office14\ACCWIZ Надежные расположения Excel 2010 В таблице далее перечислены надежные расположения по умолчанию для Excel 2010. Надежные расположения по умолчанию Описание Надежные папки подпапки Program Files\Microsoft Office\Шаблоны Шаблоны приложений Разрешено Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны Шаблоны пользователя Не разрешено Program Files\Microsoft Office\Office14\XLSTART Автозагрузка Excel Разрешено Users\имя_пользователя\Appdata\Roaming\Microsoft\Excel\XLSTART Автозагрузка пользователя Не разрешено Program Files\Microsoft Office\Office14\STARTUP Автозагрузка Office Разрешено Program Files\Microsoft Office\Office14\Library Надстройки Разрешено 273 Надежные расположения PowerPoint 2010 В таблице далее перечислены надежные расположения по умолчанию для PowerPoint 2010. Надежные расположения по умолчанию Описание папки Надежные подпапки Program Files\Microsoft Office\Шаблоны Шаблоны приложений Разрешено Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны Шаблоны пользователя Разрешено Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны Надстройки Не разрешено Program Files\Microsoft Office\Document Themes 14 Темы приложений Разрешено Надежные расположения Word 2010 В таблице далее перечислены надежные расположения по умолчанию для Word 2010. Надежные расположения по умолчанию Описание Надежные папки подпапки Program Files\Microsoft Office\Шаблоны Шаблоны приложений Разрешено Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны Шаблоны пользователя Не разрешено Users\имя_пользователя\Appdata\Roaming\Microsoft\Word\Startup Автозагрузка пользователя Не разрешено Примечание. Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в разделе Настройка безопасности Office 2010. Реализация надежных расположений Для реализации надежных расположений необходимо определить следующие компоненты. 274 Приложения, для которых должны быть настроены надежные расположения. Папки, которые предполагается использовать в качестве надежных расположений. Параметры предоставления доступа к папкам и их безопасности, которые предполагается применить к надежным расположениям. Ограничения, которые предполагается применить к надежным расположениям. Определение настраиваемых приложений Следуйте рекомендациям ниже для определения приложений, для которых необходимо настроить надежные расположения. Надежные расположения влияют на весь активный контент файла, в том числе надстройки, элементы управления ActiveX, гиперссылки, ссылки на источники данных и мультимедиа и макросы VBA. Кроме того, для файлов, открытых из надежных расположений, пропускаются проверки действительности, блокировки файлов, а также к ним не применяется защищенное представление. В приложениях существуют одинаковые параметры для настройки надежных расположений. Это означает, что для каждого приложения можно настаивать надежные расположения независимо. Надежные расположения можно отключить для одного или нескольких приложений и реализовать их для других приложений. Определение папок, используемых в качестве надежных расположений Следуйте рекомендациям ниже для определения папок, которые следует указать в качестве надежных расположений. Надежные расположения можно определять для каждого приложения в отдельности или глобально. Одно или несколько приложений могут иметь общее надежное расположение. Чтобы исключить для злоумышленников возможность добавления файлов в надежные расположения или изменения файлов, сохраняемых в надежном расположении, необходимо применить параметры безопасности операционной системы ко всем папкам, установленным в качестве надежного расположения. По умолчанию допустимыми в качестве надежных расположений являются только папки, размещенные на жестких дисках пользователей. Чтобы разрешить использование сетевых общих папок как надежных расположений, необходимо включить параметр Разрешить надежные расположения не на компьютере. Не рекомендуется определять в качестве надежных расположений корневые папки (например, диск С) или все папки "Документы" или "Мои документы". Лучше создать внутри этих папок вложенную папку и определить только эту папку как надежное расположение. 275 Кроме того, необходимо использовать инструкции, приведенные в следующих разделах, если предполагается: использовать переменные среды для определения надежных расположений; указывать интернет-папки (т.е. пути http://) в качестве надежных расположений; использовать переменные среды для определения надежных расположений; Переменные среды можно использовать для определения надежных расположений в групповой политике и в центре развертывания Office, но для правильной работы переменных среды в центре развертывания необходимо изменить тип значения, используемый для хранения надежных расположений в реестре. Если для определения надежного расположения используется переменная среды и при этом не производится необходимое изменение реестра, надежное расположение появляется в "Центре управления безопасностью", но оно недоступно и появляется как относительный путь, содержащий переменные среды. После изменения типа значения в реестре надежное расположение появится в "Центре управления безопасностью" как абсолютный путь и будет доступно. Использование переменные среды для определения надежных расположений 1. Используйте редактор реестра для указания надежного расположения, представленного переменной среды. Чтобы запустить редактор реестра, нажмите кнопку Пуск, выберите команду Выполнить, введите regedit и нажмите кнопку ОК. Надежные расположения, настраиваемые с помощью центра развертывания Office, хранятся в следующем разделе: HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/имя_приложения/Security/Trust ed Locations Где имя_приложения может быть приложениями Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio или Microsoft Word. Надежные расположения хранятся в записях реестра под именем Path, и они хранятся как типы значений "Строковый параметр" (REG_SZ). Убедитесь, что найдены все записи Path, в которых используются переменные среды для определения надежного расположения. 2. Измените тип значения Path. Приложения в пакете Office 2010 не могут распознать переменные среды, хранящиеся как типы значений "Строковый параметр" (REG_SZ). Чтобы приложения могли распознать переменные среды, необходимо изменить тип значения записи Path на "Расширяемый строковый параметр" (REG_EXPAND_SZ). Для этого выполните следующие операции. a. Запишите или скопируйте значение записи Path. Это должен быть относительный 276 путь, содержащий одну или несколько переменных среды. b. Удалите запись Path. c. Создайте новую записьPathтипа "Расширяемый строковый параметр" (REG_EXPAND_SZ). d. Измените новую запись Path так, чтобы она имела такое же значение, как то, которое было записано или скопировано на первом шаге. Проделайте это изменение для каждой записи Path, в которой используются переменные среды для определения надежного расположения. Определение веб-папок в качестве надежных расположений Пользователь может определить веб-папки (т.е. пути http://) как надежные расположения, но в качестве надежных расположений будут распознаваться только те веб-папки, которые поддерживают протоколы WebDAV или FPRPC. Если нет уверенности в том, поддерживает ли веб-папка протоколы WebDAV или FPRPC, воспользуйтесь следующими инструкциями. Если приложение открывается браузером Internet Explorer, проверьте список последних использованных файлов. Если из этого списка следует, что указанные файлы размещены на удаленном сервере, а не в папке временных файлов Интернета, это означает, что, вероятно, веб-папка поддерживает протокол WebDAV в той или иной форме. Например, если щелкнуть документ во время просмотра в Internet Explorer и документ открывается в Word 2010, список последних использованных файлов показывает, что документ расположен на удаленном сервере, а не в папке временных файлов Интернета. Попытайтесь использовать диалоговое окно Открыть, чтобы перейти в веб-папку. Если эта папка поддерживает протокол WebDAV, такой переход произойдет сразу или программа попросит учетные данные. Если же веб-папка не поддерживает WebDAV, переход прекращается и диалоговое окно закрывается. Примечание. Сайты, создаваемые с помощью Windows SharePoint Services и Microsoft SharePoint Server, могут быть обозначены как надежные расположения. Определение параметров общего доступа к папкам и их безопасности Все папки, определяемые как надежные расположения, должны быть защищены. Выполните следующие действия, чтобы определить параметры общего доступа и безопасности, которые необходимо применить для каждого из надежных расположений. Если папка является общей, следует настраивать разрешения на совместное использование таким образом, чтобы доступ к общей папке имели только авторизованные пользователи. Старайтесь придерживаться принципа минимальных привилегий и предоставлять разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что 277 разрешение "Чтение" следует предоставлять пользователям, у которых нет необходимости изменять надежные файлы, а разрешение "Полный доступ" — пользователям, у которых есть такая необходимость. Применяйте разрешения системы безопасности папок таким образом, чтобы читать или изменять файлы из надежных расположений могли только авторизованные пользователи. Старайтесь придерживаться принципа минимальных привилегий и предоставлять разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что разрешения "Полный доступ" следует предоставлять только пользователям, которые должны изменять файлы, а пользователям, которым требуется только читать файлы, будет достаточно более ограниченных прав. Определение ограничений для надежных расположений Office 2010 содержит несколько параметров, которые можно использовать для ограничения доступа к надежным расположениям или контроля за поведением при их использовании. В следующей таблице приведены рекомендации по настройке этих параметров. Имя параметра. Разрешить расположения, создаваемые пользователями и определяемые политиками Описание. Этот параметр определяет возможность определения надежных расположений пользователями, центром развертывания Office и групповой политикой или только групповой политикой. По умолчанию пользователи могут указать любое расположение в качестве надежного расположения, а компьютер может иметь любое сочетание надежных расположений созданных пользователями, центром развертывания Office и групповой политикой. Влияние. Если этот параметр отключен, то запрещаются все надежные расположения, не созданные групповой политикой. При этом пользователи не смогут создавать новые расположения в центре управления безопасностью. Отключение этого параметра вызовет неполадки для пользователей, определивших собственные надежные расположения в центре управления безопасностью. Приложения обрабатывают эти расположения как другие ненадежные расположения, то есть при открытии файлов на панели сообщений отображается предупреждение об элементах управления ActiveX и макросах VBA. Пользователи должны будут подтвердить необходимость включения элементов управления или макросов или оставить их в отключенном состоянии. Этот глобальный параметр применяется ко всем приложениями, для которых настраиваются надежные расположения. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается. Если в организации поддерживается собственная конфигурация с помощью групповой политики, то этот параметр обычно отключается. Имя параметра. Разрешить надежные расположения, находящиеся не на компьютере Описание. Этот параметр определяет возможность использования надежных расположений в сети. По умолчанию отключаются надежные расположения, являющиеся общими сетевыми ресурсами. При этом пользователи также могут установить флажок Разрешить надежные 278 расположения в моей сети в центре управления безопасностью, который позволит пользователям указать сетевые ресурсы в качестве надежных расположений. Этот параметр не является глобальным. Этот параметр настраивается отдельно для приложений Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 и Word 2010. Влияние. Отключение этого параметра приведет к отключению всех надежных расположений, являющихся общими сетевыми ресурсами, а также запретит пользователям устанавливать флажок Разрешить надежные расположения в моей сети в центре управления безопасностью. Отключение этого параметра вызовет неполадки для пользователей, определивших собственные надежные расположения в центре управления безопасностью. Если этот параметр отключен, а пользователь пытается указать общий сетевой ресурс в качестве надежного расположения, то будет выведено предупреждение о том, что текущие параметры безопасности не разрешают создание надежных расположений, являющихся удаленными или сетевыми путями. Если администратор указывает общий сетевой ресурс в качестве надежного расположения через групповую политику или с помощью центра развертывания Office, а этот параметр отключен, то будет отключено и надежное расположение. Приложения обрабатывают эти расположения как другие ненадежные расположения, то есть при открытии файлов на панели сообщений отображается предупреждение об элементах управления ActiveX и макросах VBA. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно отключается. Примечание. Можно также использовать параметр Удалить все надежные расположения, записанные центром развертывания Office при установке, чтобы удалить все надежные расположения, которые были созданы путем настройки центра развертывания Office. Отключить надежные расположения Office 2010 позволяет отключить функцию надежных расположений с помощью особого параметра. Этот параметр необходимо настроить отдельно для приложений Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 и Word 2010. Следуйте указанным ниже рекомендациям для определения необходимости использования этого параметра. Имя параметра. Отключить все надежные расположения Описание. Этот параметр позволяет администраторам отключать функцию надежных расположений для отдельных приложений. По умолчанию функция надежных расположений включена, а пользователи могут создавать надежные расположения. Влияние. Включение этого параметра отключает все надежные расположения, в том числе надежные расположения, которые: созданы по умолчанию во время установки; созданы с помощью центра развертывания Office; 279 созданы пользователями с помощью центра управления безопасностью; созданы с помощью групповой политики; Включение этого параметра также запрещает пользователям настраивать параметры надежных расположений в центре управления безопасностью. При включении этого параметра убедитесь в том, что пользователи оповещены о том, что использование функции надежных расположений невозможно. Если пользователи открывали файлы из надежных расположений, то после включения данного параметра пользователям будет необходимо включать содержимое на панели сообщений (например, элементы управления ActiveX, надстройки и макросы VBA). Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 280 Планирование параметров надежных издателей в Office 2010 Если организация использует опубликованный контент (например, элементы управления Microsoft ActiveX, надстройки и макросы Visual Basic для приложений (VBA)), то для указания доверенных поставщиков контента можно использовать список надежных издателей. Издателем является любой разработчик, компания, разрабатывающая программное обеспечение, или организация, разрабатывающая и распространяющая подписанные элементы управления ActiveX, надстройки или макросы. Надежным издателем является любой издатель, внесенный в список надежных издателей. При открытии файла, содержимое которого создано надежным издателем, оно активируется, а пользователи не оповещаются о потенциальных рисках, которые могут быть связаны с данным файлом. Содержание: Планирование параметров надежных издателей Получение сертификатов от известных издателей Определение сертификатов, добавляемых в список надежных издателей Связанные параметры надежных издателей Планирование параметров надежных издателей Чтобы указать издателя в качестве надежного издателя, следует добавить сертификат издателя в список надежных издателей. В данном случае сертификат издателя представляет собой цифровой сертификат (CER-файл), использованный для подписания контента. В большинстве случаев CER-файл можно получить от издателя или экспортировать его из файлов с расширениями CAB, DLL, EXE или OCX, связанного с опубликованным контентом. Если используемый опубликованный контент неизвестен, то следует определить другой опубликованный контент, выполняемый в приложениях Microsoft Office 2010 организации, а затем получить сертификаты для данного контента. Существует два способа добавления сертификата издателя в список "Надежные издателя": через центр развертывания Office или с помощью групповой политики. Центр развертывания Office не содержит параметров для управления сертификатами за исключением добавления сертификата надежного издателя в список надежных издателей. Чтобы управлять сертификатами или устанавливать особые отношения доверия в соответствии с бизнессценариями, необходимо использовать групповую политику. Дополнительные сведения о добавлении надежных издателей в список, а также об управлении корневыми сертификатами см. в разделах Управление доверенными корневыми сертификатами (http://go.microsoft.com/fwlink/?linkid=164939&clcid=0x419) и Управление надежными издателями (http://go.microsoft.com/fwlink/?linkid=164941&clcid=0x419). 281 Получение сертификатов от известных издателей Чтобы получить сертификат на опубликованный контент, следует попросить издателя контента отправить его. Если получение сертификата таким способом невозможно, но известно имя подписанного файла с расширением CAB, DLL, EXE или OCX с опубликованным контентом, то для экспорта файла сертификата следует выполнить следующие действия. Важно! В данном примере подразумевается, что компьютер работает под управлением операционной системы Windows Vista. Экспорт сертификата из DLL-файла 1. Щелкните правой кнопкой мыши DLL-файл, подписанный издателем, и выберите команду Свойства. 2. Перейдите на вкладку Цифровые подписи. 3. В Списке подписей выберите сертификат, а затем щелкните элемент Состав. 4. В диалоговом окне Состав цифровой подписи щелкните Показать сертификат. 5. Перейдите на вкладку Состав и выберите Копировать в файл. 6. На начальной странице мастера по работе с сертификатами нажмите Далее. 7. На странице "Формат экспортируемого файла" выберите элемент Файлы в DERкодировке X.509 (CER) и нажмите кнопку Далее. 8. На странице "Имя экспортируемого файла" введите путь и имя CER-файла, а затем нажмите кнопки Далее и Готово. Убедитесь в том, что все CER-файлы сохранены на общем сетевом ресурсе, который будет доступен с клиентских компьютеров во время установки. Определение сертификатов, добавляемых в список надежных издателей В некоторых случаях организация может использовать опубликованный контент по случайности, а определение опубликованного контента для добавления в список также может оказаться невозможным. Это обычно справедливо только в среде с высоким уровнем безопасности при необходимости подписания всего опубликованного контента. Чтобы протестировать приложения Office 2010 на наличие подписанного контента, необходимо выполнить следующие действия: Важно! В следующем примере описывается использование приложения Word 2010, но эти же действия можно выполнить и в других приложениях Office 2010. 282 Определение опубликованного контента и добавление издателя контента в список надежных издателей 1. Не тестовом компьютере или на компьютере клиента со стандартной для организации конфигурацией (включающей все используемые пользователями надстройки) выберите параметр "Требовать подпись надежных издателей для надстроек приложений" в центре управления безопасностью. Для этого выполните следующие действия: Последовательно щелкните вкладку Файл, Параметры, Центр управления безопасностью, Параметры центра управления безопасностью, Надстройки, Требовать подпись надежных издателей для надстроек приложений, а затем нажмите кнопку ОК. 2. Выйдите из приложения Word и перезапустите его. Если надстройки установлены, то на панели сообщений отобразится следующее сообщение: Предупреждение безопасности: запуск активного контента отключен. Щелкните для получения дополнительных сведений.. 3. >Щелкните сообщение Запуск активного контента отключен. Щелкните для получения дополнительных сведений. на панели сообщений. 4. Щелкните вкладку Файл, перейдите в представление Backstage, щелкните команду Включить контент, а затем щелкните элемент Дополнительные параметры. 5. В окне Оповещение системы безопасности — несколько проблем установите все сертификаты в список надежных издателей, выполнив следующие действия для каждой надстройки, снабженной действительной цифровой подписью: a. Щелкните команду Показать состав подписи. b. В окне Состав цифровой подписи щелкните команду Показать сертификат. c. В окне Сертификат щелкните команду Установить сертификат. d. В мастере импорта сертификатов последовательно щелкните элементы Далее, Поместить все сертификаты в следующее хранилище, Обзор, Надежные издатели, ОК, Далее, Готово. 6. Подготовка файлов сертификатов к распространению a. Перейдите на вкладку Файл, щелкните элементы Параметры, Центр управления безопасностью, Параметры центра управления безопасностью, а затем щелкните элемент Надежные издатели. b. Выберите каждый сертификат, нажмите кнопку Просмотр и выполните следующие действия: a. В окне Сертификат на вкладке Состав щелкните команду Копировать в файл. b. В мастере экспорта сертификатов щелкните Далее и еще раз Далее, чтобы принять формат файла по умолчанию, введите имя файла, выберите расположение для его сохранения и нажмите кнопку Готово. 283 Связанные параметры надежных издателей Вместе с параметрами надежных издателей часто используются следующие параметры: Надстройки приложений должны быть подписаны надежными издателями Этот параметр ограничивает число надстроек только теми надстройками, которые подписаны надежным издателем. Отключить уведомление панели безопасности для неподписанных надстроек приложений Этот параметр скрывает от пользователей предупреждения панели сообщений о надстройках, не подписанных надежным издателем. Параметры предупреждений макроса VBA Этот параметр ограничивает число макросов VBA только теми надстройками, которые подписаны надежным издателем. Отключить все элементы управления ActiveX Этот параметр ограничивает число элементов управления ActiveX только теми надстройками, которые подписаны надежным издателем. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 284 Планирование параметров безопасности для надстроек в Office 2010 Для управления поведением надстроек или отключения их выполнения пользователями можно изменить параметры надстроек Microsoft Office 2010. Содержание: Планирование параметров надстроек Отключение надстроек для отдельных приложений Обязательное подписание надстроек приложений надежным издателем Отключение уведомлений для неподписанных надстроек Планирование параметров надстроек Microsoft Office 2010 поддерживает несколько параметров, позволяющих управлять поведением надстроек. Настраивая эти параметры, можно выполнить следующие действия: Отключение надстроек для отдельных приложений. Обязательное подписание надстроек надежным издателем. Отключение уведомлений для неподписанных надстроек. Параметры надстроек настраиваются только для отдельных приложений. Глобальные параметры надстроек не поддерживаются. Дополнительные сведения о приведенных в этой статье параметрах см. в статье "Политики и параметры безопасности в Office 2010". Дополнительные сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в статье "Настройка системы безопасности Office 2010". Любая установленная и зарегистрированная надстройка может выполняться по умолчанию без вмешательства пользователей и создания предупреждений. К числу установленных и зарегистрированных надстроек могут относиться следующие компоненты: Надстройки модели COM. Надстройки набора средств Visual Studio Tools for Office (VSTO). Надстройки автоматизации. Серверы данных в режиме реального времени (RTD). Надстройки приложений (например, файлы WLL, XLL и XLAM). Пакеты расширений XML. Таблицы стилей XML. 285 Такое поведение по умолчанию аналогично выбору параметра Доверять всем установленным надстройкам и шаблонам вMicrosoft Office 2003 или более ранней версии системы Microsoft Office. Отключение надстроек для отдельных приложений Office 2010 поддерживает параметр, позволяющий отключать надстройки. Ниже приведены рекомендации по использованию этого параметра. Имя параметра. Отключить все надстройки приложений. Описание. При выборе этого параметра отключаются все надстройки. По умолчанию разрешено выполнение всех установленных и зарегистрированных надстроек. Влияние. При выборе этого параметра надстройки отключаются без уведомления пользователя об этом. Включение этого параметра может привести к серьезным проблемам для пользователей, работающих с надстройками. При использовании важных надстроек может потребоваться отключение этого параметра. Рекомендации. В большинстве организаций используется значение этого параметра по умолчанию. Обязательное подписание надстроек приложений надежным издателем Office 2010 поддерживает параметр, позволяющий настроить обязательное подписание всех надстроек надежным издателем. Ниже приведены рекомендации по использованию этого параметра. Имя параметра. Надстройки приложений должны быть подписаны надежными издателями. Описание. Этот параметр определяет необходимость подписания надстройки надежным издателем. По умолчанию для выполнения надстройки ее издатель не обязательно должен входить в список надежных издателей. Влияние. При включении этого параметра надстройки, подписанные издателем, который находится в списке надежных издателей, будут запускаться без уведомления. Неподписанные надстройки и надстройки, подписанные издателями, которые отсутствуют в списке надежных издателей, отключаются, но пользователям выдается запрос о включении надстроек. Включение этого параметра может привести к проблемам у пользователей, которые используют надстройки, подписанные поставщиками, не являющимися надежными. Таким пользователям потребуется использовать подписанные версии надстроек или прекратить их использование. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается. 286 Отключение уведомлений для неподписанных надстроек Office 2010 поддерживает параметр, позволяющий отключить отображение предупреждений на панели сообщений в тех случаях, когда не удается выполнить неподписанную надстройку. Ниже приведены рекомендации по использованию этого параметра. Имя параметра. Отключить уведомление панели безопасности для неподписанных надстроек приложений. Описание. Этот параметр определяет отображение уведомлений при загрузке неподписанных надстроек приложений или автоматическое отключение таких надстроек без уведомления. По умолчанию при попытке выполнить неподписанную надстройку на панели сообщений отображается строка сообщений. Влияние. Если этот параметр включен, при попытке выполнить неподписанную надстройку на панели сообщений не отображается соответствующее предупреждение, в результате чего пользователи не смогут включить такие надстройки. Включение этого параметра может привести к проблемам у пользователей, которые используют надстройки, подписанные не являющимися надежными поставщиками. Таким пользователям потребуется использовать подписанные версии надстроек или прекратить их использование. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается в том случае, если все надстройки должны быть подписаны надежным издателем. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 287 Планирование параметров безопасности для элементов управления ActiveX для Office 2010 Поведение элементов управления Microsoft ActiveX в Microsoft Office 2010 можно изменять путем изменения параметров ActiveX. Содержание: Планирование параметров для элементов управления ActiveX Отключение элементов управления ActiveX Изменение способа инициализации элементов управления ActiveX Связанные параметры элементов управления ActiveX Планирование параметров для элементов управления ActiveX Office 2010 позволяет управлять поведением элементов управления ActiveX и способом уведомления пользователей о потенциально небезопасных элементах управления с помощью специальных параметров безопасности. Подобные параметры обычно используются для выполнения следующих действий: Отключение элементов управления ActiveX Изменение способа инициализации элементов управления ActiveX на основании параметров безопасного режима, параметров "Безопасно для инициализации" (SFI) и "Небезопасно для инициализации" (UFI). Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в разделе Настройка безопасности Office 2010. Надежные элементы управления ActiveX по умолчанию загружаются в безопасном режиме с постоянными значениями, а пользователи не уведомляются о загруженных элементах управления ActiveX. Надежный элемент управления ActiveX представляет собой любой элемент управления ActiveX, подписанный надежным издателем, содержащийся в документе, открытом из надежного расположения, или считающийся надежным документом. Ненадежные элементы управления ActiveX загружаются по-разному в зависимости от пометки элемента управления ActiveX и наличия проектов VBA в файле вместе с элементом управления ActiveX. По умолчанию элементы управления ActiveX имеют следующее поведение: Если элемент управления ActiveX помечен как безопасный для инициализации (SFI) и содержится в документе, в котором отсутствует проект VBA, этот элемент управления загружается в безопасном режиме с использованием постоянных значений параметров. 288 Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента управления ActiveX. Чтобы использовалось подобное поведение, все элементы управления ActiveX в документе должны быть помечены как SFI. Если элемент управления ActiveX помечен как небезопасный для инициализации (UFI) и в документе отсутствует проект VBA, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов управления ActiveX. Если пользователь включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров. Если в документе, где присутствует проект VBA, имеются элементы, помещенные как UFI и SFI, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов управления ActiveX. Если пользователь включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров. Важно! Если в реестре для элемента управления ActiveX установлен флаг блокировки, то элемент управления не загружается и не может быть загружен ни при каких обстоятельствах. Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента управления ActiveX. Отключение элементов управления ActiveX Office 2010 позволяет отключить элементы управления ActiveX с помощью особого параметра. Это позволит предотвратить инициализацию элементов управления (загрузку) при открытии файлов, а также запретить пользователям добавлять элементы управления ActiveX в документ. В некоторых случаях отключенный элемент управления ActiveX может присутствовать в файле в виде красного значка "x" или другого символа, однако это означает, что элемент отключен и действия с ним возможны только после нажатия пользователем этого значка. Также пользователи не уведомляются об отключении элемента управления ActiveX. Ниже приведены рекомендации по определению необходимости отключения элементов управления ActiveX. Имя параметра. Отключить все элементы ActiveX Описание. Этот параметр определяет, отключены ли элементы управления ActiveX в Office 2010. Этот параметр является глобальным и не может быть настроен отдельно для каждого приложения. Влияние. Если этот параметр включен, то элементы ActiveX не инициализируются, а пользователи не уведомляются о том, что элементы управления ActiveX отключены. Кроме того, пользователи не могут вставлять элементы управления ActiveX в документы. Элементы управления ActiveX могут предоставлять дополнительную функциональность в документах. 289 Таким образом, их отключение может привести к отключению некоторых пользовательских функций. Следует убедиться в том, что пользователи осведомлены о значении этого параметра, так как приложение не уведомляет их об отключении элементов управления ActiveX. Перед включением параметра следует также определить, используются ли элементы управления ActiveX для предоставления критически важных функций. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается. Примечание. Если этот параметр включен, то элементы управления ActiveX отключены в файлах, сохраненных в надежных расположениях. Кроме того, можно использовать бит аннулирования Office COM, введенный в версии Office 2010. Этот элемент позволяет предотвратить запуск определенных объектов COM в приложениях Office 2010, в том числе элементов управления ActiveX. Эта возможность была доступна в версии Office 2007, но ее поведение зависело от параметров бита аннулирования Internet Explorer ActiveX. Теперь Office 2010 позволяет с помощью реестра указывать COM-объекты, недоступные для запуска. Например, если бит аннулирования Office 2010 установлен для одного элемента управления ActiveX в Office и в Internet Explorer, а параметры противоречат друг другу, то приоритет имеет бит аннулирования Office COM. Бит аннулирования Office COM часто используется при применении обновления из бюллетеня по безопасности (Майкрософт) для устранения определенной проблемы безопасности Office 2010. Предупреждение. Не рекомендуется отменять действие по аннулированию объекта COM, так как это может привести к созданию уязвимостей. Бит аннулирования обычно устанавливается для предотвращения определенной ошибки, поэтому при отмене аннулирования элемента управления ActiveX следует проявлять особую осторожность. Чтобы связать идентификатор CLSID нового элемента управления ActiveX, измененного для устранения угрозы безопасности, с идентификатором CLSID элемента управления ActiveX, к которому был применен бит аннулирования Office COM, можно использовать AlternateCLSID (т.н. бит Phoenix). Office 2010 поддерживает использование идентификатора AlternateCLSID только для объектов COM элементов управления ActiveX. Дополнительные сведения о поведении битов аннулирования (в том числе о AlternateCLSID) см. в разделе Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer (http://go.microsoft.com/fwlink/?linkid=183124&clcid=0x419). Так как следующие действия достаточно сложны, не выполняйте их при отсутствии опыта выполнения подобных действий. Важно! Этот раздел, метод или задача содержат действия по изменению реестра. При неверном изменении реестра могут возникнуть серьезные проблемы, поэтому следует убедиться в корректности выполнения этих действий. Для обеспечения дополнительной защиты 290 следует создать резервную копию реестра перед его изменением. Это позволит восстановить реестр при возникновении ошибок. Бит аннулирования Office COM в реестре настраивается в папке HKLM/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}, где CLSID представляет собой идентификатор класса для объекта COM. Чтобы включить бит аннулирования Office COM, необходимо добавить ключ реестра, в том числе идентификатор CLSID элемента управления ActiveX, а затем добавить значение 0x00000400 в параметр "Флаги совместимости" типа REG_DWORD. Примечание. На поведение битов аннулирования (для Internet Explorer и Office COM) может повлиять включение категоризации COM в Office 2010. Дополнительные сведения см. в разделе Планирование категоризации объектов COM для Office 2010. Элементы управления, которые возможно потребуется занести в список запрещенных для Office: Microsoft HTA Document 6.0 - 3050F5C8-98B5-11CF-BB82-00AA00BDCE0B htmlfile - 25336920-03F9-11CF-8FD0-00AA00686F13 htmlfile_FullWindowEmbed - 25336921-03F9-11CF-8FD0-00AA00686F13 mhtmlfile - 3050F3D9-98B5-11CF-BB82-00AA00BDCE0B Элемент управления веб-браузера - 8856F961-340A-11D0-A96B-00C04FD705A2 DHTMLEdit - 2D360200-FFF5-11d1-8d03-00a0c959bc0a Изменение способа инициализации элементов управления ActiveX В Office 2010 поддерживается особый параметр безопасности, позволяющий контролировать инициализацию элементов управления ActiveX на основании параметров SFI, UFI и безопасного режима. SFI, UFI и безопасный режим представляют собой параметры, настраиваемые разработчиками при создании элементов управления ActiveX. Если элементы управления ActiveX помечены, как SFI, для инициализации используются безопасные источники данных. Безопасным источником данных является надежный известный источник, который не приводит к нарушению безопасности. Элементы управления, не помеченные SFI, считаются UFI. Безопасный режим — это еще один механизм, с помощью которого разработчики могут обеспечить безопасность элементов управления ActiveX. Если разработчик создает элемент управления ActiveX, реализующий безопасный режим, такой элемент управления может быть инициализирован двумя способами: в безопасном и небезопасном режиме. Если элемент управления запускается в безопасном режиме, используются некоторые ограничения функциональных возможностей элемента управления. Если же используется небезопасный режим инициализации, ограничения на функциональные возможности элемента управления не налагаются. Например, если элемент управления ActiveX, предназначенный для чтения и записи файлов, запущен в безопасном режиме, он поддерживает только операции чтения, а в 291 небезопасном режиме — как чтение, так и запись файлов. В безопасном режиме могут быть инициализированы только элементы управления ActiveX, помеченные как SFI. Элементы управления ActiveX в режиме UFI всегда запускаются в небезопасном режиме. Если инициализация элементов управления ActiveX недостаточна для организации, а отключение элементов управления не требуется ActiveX, необходимо следовать приведенным ниже рекомендациям для определения способа инициализации элементов управления ActiveX. Имя параметра. Инициализация элемента ActiveX Описание. Этот параметр определяет способ инициализации элементов управления ActiveX для всех приложений Office 2010. Этот параметр является глобальным, и его настройка для отдельных приложений невозможна. Для этого параметра можно выбрать один из шести возможных уровней безопасности: Уровень безопасности 1 Элемент управления загружается вне зависимости от пометки, а также используются постоянные значения (при их наличии). Этот параметр отключает вывод запросов пользователей. Уровень безопасности 2 Если элемент управления помечен как элемент SFI, то он загружается в безопасном режима, а также используются постоянные значения (при их наличии). Если элемент управления не помечен как SFI, он загружается в небезопасном режиме с постоянными значениями (при их наличии) или используются параметры по умолчанию (параметры первой инициализации). Этот уровень схож с конфигурацией по умолчанию, но оповещение пользователей в этом случае отключается. Уровень безопасности 3 Если элемент управления помечен как элемент SFI, то он загружается в небезопасном режиме, а также используются постоянные значения (при их наличии). Если элемент управления не помечен как SFI, то программа выводит предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном случае он загружается с параметрами по умолчанию для первой инициализации. Уровень безопасности 4 Если элемент управления помечен как элемент SFI, то он загружается в безопасном режиме, а также используются постоянные значения (при их наличии). Если элемент управления не помечен как SFI, то программа выводит предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном случае он загружается с параметрами по умолчанию для первой инициализации. Уровень безопасности 5 Если элемент управления помечен как элемент SFI, то он загружается в небезопасном режиме, а также используются постоянные значения (при их наличии). Если элемент управления не помечен как SFI, то программа выводит предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном случае он загружается с постоянными значениями. Уровень безопасности 6 Если элемент управления помечен как элемент SFI, то он загружается в безопасном режиме, а также используются постоянные значения (при их 292 наличии). Если элемент управления не помечен как SFI, то программа выводит предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном случае он загружается с постоянными значениями. Влияние. Если элемент управления не помечен как SFI, то это свидетельствует о том, что он может повлиять на работу компьютера, или о том, что элемент управления не протестирован во всех возможных ситуациях и может представлять угрозу для безопасности. Кроме того, некоторые элементы управления ActiveX не учитывают параметр реестра для безопасного режима и могут загружать постоянные данные даже в том случае, если параметр определяет инициализацию элементов управления ActiveX в безопасном режиме. Включение этого параметра при выбранном уровне безопасности 2, 4 или 6 приводит к повышению безопасности элементов управления ActiveX, корректно помеченных как SFI. Во вредоносных и плохо разработанных программах элемент управления ActiveX может быть некорректным образом помечен как SFI. Рекомендации. В большинстве организаций данный параметр включается, а также выбирается уровень безопасности 2, в котором используются те же критерии инициализации, что и в конфигурации по умолчанию, но предупреждения на панели сообщений не выводятся. В организациях со строгими требованиями к безопасности среды этот параметр обычно отключается, что соответствует конфигурации по умолчанию. Связанные параметры элементов управления ActiveX В приложениях Office 2010 также используется ряд других параметров, влияющих на поведение элементов управления ActiveX. При изменении параметров элементов управления ActiveX в соответствии со специальными требованиями безопасности среды может потребоваться настройка следующих параметров: Загрузить элементы управления в Forms3 Этот параметр определяет инициализацию элементов управления ActiveX в формах UserForms. Отключить все уведомления панели безопасности Этот параметр отключает отображение предупреждений на панели сообщений, в том числе предупреждений о небезопасных элементах управления ActiveX. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). 293 См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 294 Планирование параметров безопасности для макросов VBA в Office 2010 Для управления поведением Visual Basic для приложений (VBA) и макросов VBA можно изменить параметры VBA и макросов VBA Microsoft Office 2010 для следующих приложений: Microsoft Access 2010, Microsoft Excel 2010, Microsoft PowerPoint 2010, Microsoft Publisher 2010, Microsoft Visio 2010 и Microsoft Word 2010. Содержание: Планирование параметров VBA и макросов VBA Изменение параметров предупреждений системы безопасности для макросов VBA Отключение VBA Изменение поведения макросов VBA в приложениях, автоматически запускаемых программным способом Изменение способа проверки зашифрованных макросов VBA на наличие вирусов Связанные параметры макросов VBA Планирование параметров VBA и макросов VBA Office 2010 поддерживает несколько параметров, позволяющих управлять поведением VBA и макросов VBA. Настраивая эти параметры, можно выполнить следующие действия: Изменение параметров предупреждений системы безопасности для макросов VBA. Данный параметр позволяет отключать макросы VBA, включать все макросы VBA и изменять способ оповещения пользователей о макросах VBA. Отключение VBA. Изменение поведения макросов VBA в приложениях, запускаемых программным способом через средства автоматизации. Изменение способа проверки зашифрованных макросов VBA с использованием антивирусных программ. Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в статье Настройка безопасности Office 2010. По умолчанию VBA включен и разрешается выполнение надежных макросов VBA. К числу таких макросов относятся макросы VBA в документах, сохраненных в надежных расположениях, макросы VBA в надежных документах и макросы VBA, удовлетворяющие следующим требованиям: макрос должен быть удостоверен цифровой подписью разработчика; цифровая подпись должна быть действительной; 295 цифровая подпись должна быть действующей (не просроченной); сертификат цифровой подписи должен быть выдан общепризнанным центром сертификации; разработчик, удостоверивший макрос, должен быть надежным. Примечание. В Microsoft Outlook 2010 используется другой параметр безопасности для макросов по умолчанию. Дополнительные сведения см. в документации по вопросам безопасности Outlook 2010. Выполнение ненадежных макросов VBA допускается только после разрешения пользователем запуска макроса VBA на панели сообщений. Изменение параметров предупреждений системы безопасности для макросов VBA Office 2010 поддерживает параметр, позволяющий управлять предупреждениями системы безопасности и поведением макросов VBA. Ниже приведены рекомендации по настройке этого параметра в тех случаях, когда требуется изменить способ уведомления пользователей о ненадежных макросах VBA или изменить поведение макросов VBA по умолчанию. Имя параметра. Настройка уведомлений о макросах VBA. Описание. Этот параметр определяет способ уведомления пользователя приложением о макросах Visual Basic для приложений (VBA). Настройка данного параметра осуществляется для отдельных приложений Access 2010, Excel 2010, PowerPoint 2010, Publisher 2010, Visio 2010 и Word 2010. Для этого параметра можно выбрать одно из четырех возможных значений: Отключить все с уведомлением. Панель безопасности отображается в приложении для всех макросов независимо от того, подписаны они или нет. Это значение установлено по умолчанию. Отключить все, кроме макросов с цифровой подписью. Панель безопасности отображается в приложении только для макросов с цифровой подписью. Это позволяет пользователям включать такие макросы или оставлять их отключенными. Все неподписанные макросы отключаются без уведомления пользователя и без возможности их включения. Отключить все без уведомления. В приложении отключены все макросы (как подписанные, так и неподписанные), и не отображаются уведомления. Включить все макросы (не рекомендуется). Включены все макросы (как подписанные, так и неподписанные). Выбор этого значения может привести к значительному снижению безопасности из-за того, что выполнение вредоносного кода может быть не обнаружено. Влияние. Если включить этот параметр и выбрать параметр Отключить все, кроме макросов с цифровой подписью, в документах и шаблонах, содержащих неподписанные макросы, 296 будут недоступны функциональные возможности, которые предоставляются этими макросами. Чтобы предотвратить потерю функциональных возможностей, можно поместить файлы, содержащие макросы, в надежное расположение. Важно! Если выбран параметр Отключить все, кроме макросов с цифровой подписью, пользователи не смогут открывать неподписанные базы данных Access 2010. Если выбран параметр Отключить все без уведомления, в документах и шаблонах, содержащих неподписанные и подписанные макросы, будут недоступны функциональные возможности, которые предоставляются этими макросами. Такие возможности будут недоступны даже в том случае, если макрос подписан, а его издатель находится в списке надежных издателей. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается вместе с параметром Отключить все, кроме макросов с цифровой подписью. В организациях, в которых запрещено выполнение макросов пользователями, этот параметр обычно включается вместе с параметром Отключить все без уведомления. Отключение VBA Office 2010 поддерживает параметр, позволяющий отключать VBA. По умолчанию VBA включен. Ниже приведены рекомендации по настройке этого параметра и отключению VBA. Имя параметра. Отключить VBA для приложений Office. Описание. Отключение VBA в приложениях Excel 2010, Microsoft Outlook 2010, PowerPoint 2010, Publisher 2010, Microsoft SharePoint Designer 2010 и Word 2010, а также запрет на выполнение любого кода VBA в этих приложениях. Этот параметр нельзя настраивать для отдельных приложений, поскольку он является глобальным. При включении этого параметра на компьютере пользователя не устанавливается и не удаляется какой-либо код VBA. Влияние. При выборе этого параметра код VBA не выполняется. Если в организации используются важные документы, содержащие код VBA, не включайте этот параметр. Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается. Изменение поведения макросов VBA в приложениях, автоматически запускаемых программным способом Office 2010 поддерживает параметр, позволяющий изменять поведение макросов VBA в приложениях, запускаемых программным способом через средства автоматизации. По умолчанию при использовании отдельной программы для запуска приложения Excel 2010, PowerPoint 2010 или Word 2010 программным способом в запущенном таким образом 297 приложении могут выполняться любые макросы. Ниже приведены рекомендации по настройке этого параметра, если необходимо выполнить следующие действия: Запретить выполнение макросов в приложениях, запускаемых программным способом через средства автоматизации. Разрешить выполнение макросов VBA в соответствии с параметрами безопасности макросов VBA, которые настроены для приложений, запускаемых программным способом через средства автоматизации. Имя параметра. Безопасность автоматизации. Описание. Этот параметр определяет возможность выполнения макросов в приложениях, запускаемых программным способом с помощью другого приложения. Этот параметр является глобальным и применяется к приложениям Excel 2010, PowerPoint 2010 и Word 2010. Этот параметр нельзя настраивать для отдельных приложений. Для него можно выбрать одно из трех значений: Отключить макросы по умолчанию. В приложениях, запускаемых программным способом, все макросы отключены. Включить макросы (по умолчанию). В приложениях, запускаемых программным способом, разрешено выполнение макросов. При выборе этого параметра применяется конфигурация по умолчанию. Использовать уровень безопасности макросов в приложениях. Функциональные возможности макроса определяются в соответствии со значением параметра Настройка предупреждений о макросах VBA для каждого приложения. Влияние. Если включить этот параметр и выбрать параметр Отключить макросы по умолчанию, в приложениях, запущенных программным способом, макросы выполняться не будут. Это может привести к проблемам при программном запуске приложения и последующем открытии в нем документа или шаблона, в котором содержатся макросы. В этом случае функциональные возможности макросов будут недоступны. Такая же ситуация может возникнуть при выборе параметра Использовать уровень безопасности макросов в приложениях и отключении макросов с помощью параметра Настройка предупреждений о макросах VBA. Рекомендации. В большинстве организаций этот параметр включается вместе с параметром Использовать уровень безопасности макросов в приложениях. Однако в организациях со строгими требованиями к безопасности среды этот параметр обычно включается вместе с параметром Отключить макросы по умолчанию. Изменение способа проверки зашифрованных макросов VBA на наличие вирусов Office 2010 поддерживает параметр, позволяющий изменить способ проверки зашифрованных макросов VBA с помощью антивирусных программ в приложениях Excel 2010, PowerPoint 2010 и Word 2010. По умолчанию, если на клиентском компьютере не установлена антивирусная 298 программа, в зашифрованных документах, презентациях и книгах, содержащих макросы VBA, такие макросы отключаются. Кроме того, зашифрованные макросы VBA проверяются антивирусной программой клиентского компьютера при открытии документа, содержащего такие макросы. Ниже приведены рекомендации по настройке этого параметра, если необходимо выполнить следующие действия: Разрешить выполнение всех зашифрованных макросов VBA без проверки с помощью антивирусной программы. Проверять зашифрованные макросы VBA при наличии антивирусной программы, но разрешить их выполнение при отсутствии такой программы. Имя параметра. Проверять зашифрованные макросы в книгах Excel в формате Open XML. Проверять зашифрованные макросы в презентациях PowerPoint в формате Open XML. Проверять зашифрованные макросы в документах Word в формате Open XML. Описание. Этот параметр определяет способ проверки зашифрованных макросов VBA на наличие вирусов. Этот параметр настраивается отдельно для каждого приложения Excel 2010, PowerPoint 2010 и Word 2010. Для него можно выбрать одно из трех значений: Проверять зашифрованные макросы (по умолчанию). Все зашифрованные макросы VBA, которые не проверяются антивирусной программой, отключаются. При выборе этого параметра применяется конфигурация по умолчанию. Проверять, если антивирусная программа установлена. Зашифрованные макросы VBA, которые не проверяются антивирусной программой, отключаются. Если на клиентском компьютере не установлена антивирусная программа, все зашифрованные макросы VBA будут разрешены. Загружать макросы без проверки. Зашифрованные макросы VBA включены и не проверяются независимо от наличия на клиентском компьютере антивирусной программы. Влияние. Если включить этот параметр и выбрать параметрЗагружать макросы без проверки, возможно значительное снижение безопасности из-за выполнения зашифрованных макросов, не проверенных на наличие вирусов. Аналогичная ситуация возникает в тех случаях, когда на клиентском компьютере не установлена антивирусная программа, включен этот параметр и выбрано значение Проверять, если антивирусная программа установлена. Рекомендации. В большинстве организаций используется значение этого параметра по умолчанию. Связанные параметры макросов VBA В приложениях Office 2010 также используется ряд других параметров, влияющих на поведение макросов VBA. При изменении параметров макросов VBA в соответствии со специальными требованиями безопасности среды может потребоваться настройка следующих параметров: Доверять доступ к проекту VBA 299 Этот параметр определяет возможность доступа клиентов автоматизации к проекту VBA. Отключить все уведомления панели безопасности Этот параметр отключает вывод предупреждений, в том числе предупреждений о небезопасных макросах VBA, на панели сообщений. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 300 Планирование категоризации объектов COM для Office 2010 Для управления поведением определенных объектов COM в Microsoft Office 2010 следует использовать категоризацию объектов COM. Объектами COM могут являться элементы ActiveX, объекты OLE, серверы Excel RealTimeData (RTD), а также поставщики источников данных для веб-компонентов Office (OWC). Например, можно создать список разрешенных объектов, который будет разрешать загрузку только определенных объектов COM, или переопределить бит аннулирования Internet Explorer. В этой статье: Сведения о категоризации объектов COM Настройка параметров безопасности групповой политики для категоризации объектов COM Добавление категоризации объектов COM в реестр Сведения о категоризации объектов COM Office 2010 вначале проверяет, настроены ли параметры групповой политики для категоризации объектов COM. Если параметры предусматривают использование категоризации объектов COM, то Office 2010 проверяет правильность категоризации указанных объектов COM в реестре. Чтобы включить категоризацию объектов COM в организации, необходимо вначале определить оптимальный способ настройки параметров безопасности групповой политики в соответствии с потребностями бизнеса. Затем следует добавить идентификатор категории для соответствующих объектов COM в реестре. Настройка параметров безопасности групповой политики для категоризации объектов COM Существует четыре параметра групповой политики для категоризации объектов COM: Проверять поставщики источников данных OWC Проверить серверы RTD Excel Проверять объекты OLE Проверять объекты ActiveX Параметры Проверять поставщики источников данных OWC и Проверить серверы RTD Excel можно включить или отключить. При включении этих параметров Office 2010 будет загружать только корректно категоризованные объекты COM. 301 Параметры Проверять объекты OLE и Проверять объекты ActiveX содержат дополнительные варианты работы при выборе значения Включено. Эти параметры перечислены в следующей таблице. Параметр Описание Не проверять Office загружает объекты OLE/ActiveX без предварительной проверки корректности категоризации. Переопределить список битов аннулирования Internet Explorer (поведение по умолчанию) Office использует список категорий для переопределения проверки битов аннулирования Internet Explorer. Только белый список Office загружает только активные и корректно категоризованные объекты Active X. Параметр Переопределить список битов аннулирования Internet Explorer позволяет перечислить элементы управления OLE или ActiveX, загрузка которых будет разрешена в Office 2010 при корректной категоризации даже в том случае, если они содержатся в списке битов аннулирования Internet Explorer. Используйте этот элемент управления, чтобы разрешить загрузку в Internet Explorer объекта COM, помеченного как небезопасный, но заведомо безопасного для загрузки в Microsoft Office. Office также проверяет, включен ли бит аннулирования Office COM. Дополнительные сведения о бите аннулирования Office COM см. в разделе Планирование параметров безопасности для элементов управления ActiveX для Office 2010. Если бит аннулирования Office COM включен, а альтернативного идентификатора CLSID (бита Phoenix) не существует, то объект COM не будет загружен. Дополнительные сведения о поведении битов аннулирования см. в разделе Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer (http://go.microsoft.com/fwlink/?linkid=183124&clcid=0x419). Используйте параметр Только белый список, чтобы создать белый список безопасности, разрешающий загрузку только определенных элементов управления и запрещающий остальные объекты OLE или ActiveX, не входящие в список. После включения любых параметров категоризации объектов COM в групповой политике необходимо добавить категоризацию объектов в реестр. Добавление категоризации объектов COM в реестр Каждому параметру групповой политики в реестре соответствует категоризация объекта COM. Эти соответствия перечислены в следующей таблице. 302 Параметр групповой политики Идентификатор категории (CATID) Проверять поставщики источников данных OWC {A67A20DD-16B0-4831-9A66-045408E51786} Проверить серверы RTD Excel {8F3844F5-0AF6-45C6-99C9-04BF54F620DA} Проверять объекты OLE {F3E0281E-C257-444E-87E7-F3DC29B62BBD} Проверять объекты ActiveX {4FED769C-D8DB-44EA-99EA-65135757C156} Если параметр групповой политики не имеет значение Отключено или Включено | Не проверять, то для указанных объектов COM необходимо добавить идентификатор CATID. Для этого следует добавить в реестр ключ Implemented Categories в идентификатор CLSID объекта COM. Затем добавляется подраздел, содержащий идентификатор CATID раздела Implemented Categories. Например, при создании белого списка, разрешающего для использования в Office только объект OLE Microsoft Graph Chart, следует вначале найти идентификатор CLSID этого объекта COM в следующем расположении реестра: HKEY_CLASSES_ROOT\CLSID Идентификатор CLSID для объекта Microsoft Graph Chart равен {00020803-0000-0000-C000000000000046}. Затем необходимо проверить, существует ли раздел Implemented Categories и создать его в случае его отсутствия. В этом примере используется путь HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Затем необходимо добавить новый подраздел для идентификатора CATID, соответствующего параметру групповой политики "Проверить объекты OLE" раздела Implemented Categories. В этом примере используется следующее значение и путь: HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD} Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). 303 Планирование параметров режима защищенного просмотра в Office 2010 Для управления компонентом предварительного просмотра изолированной среды в Microsoft Office 2010 можно настроить параметры режима защищенного просмотра. Режим защищенного просмотра — это новый компонент обеспечения безопасности в Office 2010, который позволяет уменьшить риск использования эксплойтов на компьютере за счет открытия файлов в среде с ограниченными разрешениями, где их можно проверить до открытия в приложениях Microsoft Excel 2010, Microsoft PowerPoint 2010 или Microsoft Word 2010. Содержание: Планирование параметров режима защищенного просмотра Запрет на открытие файлов в режиме защищенного просмотра Принудительное открытие файлов в режиме защищенного просмотра Добавление файлов в список небезопасных файлов Планирование параметров режима защищенного просмотра Применение режима защищенного просмотра позволяет уменьшить риск использования различных эксплойтов за счет открытия документов, презентаций и книг в изолированной среде ("песочнице"). "Песочница" представляет собой фрагмент памяти компьютера или отдельный процесс, изолированный от определенных системных компонентов и приложений. Благодаря этому программы и процессы, выполняющиеся в изолированной среде, являются менее опасными. Изолированные среды часто применяют для тестирования новых приложений и служб, которые могут привести к нестабильной работе или сбою компьютера. Изолированные среды также позволяют защитить компьютер от вреда, который могут нанести приложения и процессы. При открытии файла в режиме защищенного просмотра пользователи могут просматривать его контент, но не могут редактировать, сохранять или распечатывать его. Активный контент файла, например элементы управления ActiveX, надстройки, подключения к базам данных, гиперссылки и макросы Visual Basic для приложений (VBA), в этом режиме отключен. Пользователи могут скопировать контент из файла и вставить его в другой документ. Кроме того, в режиме защищенного просмотра пользователи не могут просматривать сведения о цифровых подписях, которые используются для подписания документа, презентации или книги. 304 Поведение режима защищенного просмотра по умолчанию По умолчанию в приложениях Excel 2010, PowerPoint 2010 и Word 2010 режим защищенного просмотра включен. Тем не менее файл открывается в этом режиме только в определенных ситуациях. В некоторых случаях файлы открываются для редактирования в обход режима защищенного просмотра. Например, файлы, открытые из надежных расположений или являющиеся надежными документами, обходят некоторые проверки безопасности и не открываются в режиме защищенного просмотра. По умолчанию файлы открываются в режиме защищенного просмотра при соблюдении любого из следующих условий: Файл пропускается при проверке файлов Office или не проходит эту проверку. Проверка файлов Office — это новый компонент обеспечения безопасности, который обеспечивает проверку файлов на наличие эксплойтов формата файлов. Если в результате проверки файлов Office обнаруживается потенциальный эксплойт или небезопасное повреждение файла, он открывается в режиме защищенного просмотра. Файл определен как небезопасный в сведениях о зоне AES. Служба выполнения вложений (AES) добавляет сведения о зоне к файлам, загружаемым с помощью Microsoft Outlook или Microsoft Internet Explorer. Если в сведениях о зоне загруженного файла указывается, что он получен с ненадежного веб-сайта или из Интернета, он открывается в режиме защищенного просмотра. Пользователь открывает файл в режиме защищенного просмотра. Пользователи могут сами открывать файлы в режиме защищенного просмотра. Для этого следует выбрать команду Открыть в режиме защищенного просмотра в диалоговом окне Открыть либо, удерживая нажатой клавишу SHIFT, щелкнуть файл правой кнопкой мыши и выбрать команду Открыть в режиме защищенного просмотра. Файл открывается из небезопасного расположения. По умолчанию к небезопасным расположениям относятся папка временных файлов Интернета и папка загружаемых программ. При необходимости можно назначить другие небезопасные расположения с помощью групповой политики. В некоторых случаях режим защищенного просмотра не используется даже при соблюдении одного или нескольких из приведенных выше условий. В частности, файлы не открываются в режиме защищенного просмотра при соблюдении любого из следующих условий: Файл открывается из надежного расположения. Файл является надежным документом. Изменение поведения режима защищенного просмотра Не рекомендуется изменять поведение режима защищенного просмотра по умолчанию, поскольку этот режим является важной частью многоуровневой стратегии защиты в Office 2010 и предназначен для совместного применения с другими компонентами обеспечения безопасности, такими как проверка файлов Office и блокировка файлов. Тем не менее в некоторых 305 организациях возможно изменение параметров режима защищенного просмотра в соответствии с особыми требованиями безопасности. Для таких случаев в Office 2010 предусмотрена возможность изменять поведение режима защищенного просмотра. С помощью этих параметров можно выполнить следующие действия: Запретить открытие в режиме защищенного просмотра файлов, которые загружены из Интернета. Запретить открытие в режиме защищенного просмотра файлов, которые хранятся в небезопасных расположениях. Запретить открытие в режиме защищенного просмотра вложений, открываемых в Microsoft Outlook 2010. Добавить расположения в список небезопасных расположений. Кроме того, можно использовать параметры блокировки файлов и проверки файлов Office для принудительного открытия файлов в режиме защищенного просмотра. Дополнительные сведения см. в разделе Принудительное открытие файлов в режиме защищенного просмотра этой статьи. Примечание. Дополнительные сведения о приведенных в этой статье параметрах см. в статье "Политики и параметры безопасности в Office 2010". Дополнительные сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в статье "Настройка системы безопасности Office 2010". Запрет на открытие файлов в режиме защищенного просмотра Параметры защищенного просмотра можно настроить таким образом, чтобы не использовать этот режим для определенных файлов. Для этого используются следующие параметры: Не открывать файлы из зоны Интернета в режиме защищенного просмотра. Этот параметр определяет принудительный обход режима защищенного просмотра файлами в том случае, если в сведениях о зоне AES указано, что файл загружен из зоны Интернета. Этот параметр применяется к файлам, загружаемым с помощью Internet Explorer, Outlook Express и Outlook. Не открывать файлы из небезопасных расположений в режиме защищенного просмотра. Этот параметр определяет принудительный обход режима защищенного просмотра файлами, которые открыты из небезопасных расположений. Для добавления папок в список небезопасных расположений можно использовать параметр Задать список небезопасных расположений, который рассматривается далее в этой статье. Отключить режим защищенного просмотра для вложений, открытых в Outlook. Этот параметр определяет принудительный обход режима защищенного просмотра файлами Excel 2010, PowerPoint 2010 и Word 2010, которые открыты как вложения Outlook 2010. 306 Эти параметры не применяются в том случае, если в параметрах блокировки файлов задано принудительное открытие файлов в режиме защищенного просмотра. Кроме того, эти параметры не применяются, если файл не прошел проверку файлов Office. Каждый из этих параметров можно настраивать отдельно для приложений Excel 2010, PowerPoint 2010 и Word 2010. Принудительное открытие файлов в режиме защищенного просмотра Компоненты блокировки файлов и проверки файлов Office поддерживают параметры, позволяющие настроить принудительное открытие файлов в режиме защищенного просмотра при соблюдении определенных условий. С помощью этих параметров можно задать условия, при которых файлы будут открываться в режиме защищенного просмотра. Использование компонента блокировки файлов для принудительного открытия файлов в режиме защищенного просмотра С помощью компонента блокировки файлов можно запретить открытие или сохранение файлов определенных типов пользователями. При настройке блокировки типа файла с помощью параметров этого компонента можно выбрать одно из трех действий блокировки файлов: Заблокировано и не может открываться. Заблокировано и может открываться только в режиме защищенного просмотра (редактирование недоступно). Заблокировано и открывается в режиме защищенного просмотра (возможно редактирование). При выборе второго и третьего параметров можно настроить принудительное открытие файлов заблокированных типов в режиме защищенного просмотра. Параметры блокировки файлов настраиваются только для отдельных приложений Excel 2010, PowerPoint 2010 и Word 2010. Дополнительные сведения о параметрах блокировки файлов см. в статье "Планирование параметров блокировки файлов в Office 2010". Использование параметров проверки файлов Office для принудительного открытия файлов в режиме защищенного просмотра Проверка файлов Office — это новый компонент обеспечения безопасности, который обеспечивает проверку файлов на наличие эксплойтов формата файлов до их открытия в приложении Office 2010. По умолчанию файлы, не прошедшие проверку файлов Office, открываются в режиме защищенного просмотра с возможностью редактирования после предварительного просмотра. При необходимости можно воспользоваться параметром 307 Поведение не прошедших проверку документов для изменения поведения по умолчанию. При использовании этого параметра можно выбрать один из следующих вариантов для файлов, не прошедших проверку файлов Office: Полностью блокировать. Файлы, не прошедшие проверку файлов Office, не могут открываться в режиме защищенного просмотра и недоступны для редактирования. Открыть в режиме защищенного просмотра и запретить редактирование. Файлы, не прошедшие проверку файлов Office, открываются в режиме защищенного просмотра, но недоступны для редактирования. Открыть в режиме защищенного просмотра и разрешить редактирование. Файлы, не прошедшие проверку файлов Office, открываются в режиме защищенного просмотра и доступны для редактирования. Это значение по умолчанию. При выборе второго параметра можно ограничить поведение режима защищенного просмотра для файлов, не прошедших проверку файлов Office. Этот параметр проверки файлов Office настраивается только для отдельных приложений Excel 2010, PowerPoint 2010 и Word 2010. Дополнительные сведения о параметрах проверки файлов Office см. в статье Планирование параметров проверки файлов Office для Office 2010. Добавление файлов в список небезопасных файлов С помощью параметра Задать список небезопасных расположений можно добавить расположения в список небезопасных расположений. Находящиеся в таких расположениях файлы всегда открываются в режиме защищенного просмотра. При использовании компонента небезопасных расположений пользователи по-прежнему могут редактировать документы. В этом случае принудительно выполняется только открытие документа в режиме защищенного просмотра до его редактирования. Это глобальный параметр, который применяется к приложениям Excel 2010, PowerPoint 2010 и Word 2010. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office Планирование параметров проверки файлов Office для Office 2010 308 Планирование параметров проверки файлов Office для Office 2010 Чтобы изменить способ, используемый в Microsoft Office 2010 для проверки двоичных файлов в формате Microsoft Office, можно настроить параметры проверки файлов Office. Проверка файлов Office — это новый компонент обеспечения безопасности Office 2010, позволяющий предотвратить атаки форматов файлов за счет проверки двоичных файлов в формате Office до их открытия в Microsoft Excel 2010, Microsoft PowerPoint 2010 или Microsoft Word 2010. Содержание: Планирование параметров проверки файлов Office Отключение проверки файлов Office Изменение поведения не прошедших проверку документов Отключение отчетов по проверке файлов Office Планирование параметров проверки файлов Office Применение проверки файлов Office позволяет обнаруживать и предотвращать наличие эксплойтов, связанных с так называемыми атаками форматов файлов или файловым фаззингом (fuzzing). Атаки форматов файлов нарушают целостность файлов. Как правило, при этом виде атак изменяется структура файла, а в сам файл добавляется вредоносный код. Такой код обычно выполняется удаленно и используется для повышения прав ограниченной учетной записи на компьютере. В результате злоумышленник может получить доступ к ранее недоступному компьютеру. Это может повлечь за собой раскрытие конфиденциальной информации, хранящейся на жестком диске компьютера, или установку вредоносных программ, например червей или программ для регистрации нажатий клавиш. Применение компонента проверки файлов Office позволяет предотвратить такие атаки за счет проверки файлов до их открытия. При проверке файлов Office структура файла сравнивается с предопределенной схемой файла, которая представляет собой набор правил, определяющих структуру доступного для чтения файла. Если при проверке файлов Office обнаруживается, что структура файла не соответствует всем определенным в схеме правилам, файл не проходит проверку. Атаки форматов файлов чаще всего присутствуют в двоичных файлах в формате Office. В связи с этим компонент проверки файлов Office выполняет сканирование и проверку следующих видов файлов. Файлы книг Excel 97-2003 с расширением XLS, в том числе любые файлы в формате BIFF8. Файлы шаблонов Excel 97-2003 с расширением XLT, в том числе любые файлы в формате BIFF8. 309 Файлы Microsoft Excel 5.0/95 с расширением XLS, в том числе любые файлы в формате BIFF5. Файлы презентаций PowerPoint 97-2003 с расширением PPT. Файлы демонстраций PowerPoint 97-2003 с расширением PPS. Файлы шаблонов PowerPoint 97-2003 с расширением POT. Файлы документов Word 97-2003 с расширением DOC. Файлы шаблонов Word 97-2003 с расширением DOT. Office 2010 поддерживает ряд параметров, определяющих поведение компонента проверки файлов Office. С помощью этих параметров можно выполнить следующие действия. Отключение проверки файлов Office. Определение поведения файлов, не прошедших проверку. Отключение функции Office 2010, обеспечивающей отправку сведений о проверке файлов Office в корпорацию Майкрософт. Примечание. Дополнительные сведения о приведенных в этой статье параметрах см. в статье "Политики и параметры безопасности в Office 2010". Дополнительные сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в статье "Настройка системы безопасности Office 2010". По умолчанию проверка файлов Office включена в приложениях Excel 2010, PowerPoint 2010 и Word 2010. Любые файлы, не прошедшие проверку, открываются в режиме защищенного просмотра. При этом пользователи могут разрешить редактирование файлов, которые не прошли проверку и открыты в режиме защищенного просмотра. Кроме того, отображается запрос на отправку сведений о проверке файлов Office в корпорацию Майкрософт. Сбор сведений осуществляется только для файлов, не прошедших проверку. Изменять установленные по умолчанию параметры проверки файлов Office не рекомендуется. Тем не менее, в некоторых организациях возможна настройка параметров проверки файлов Office в соответствии с особыми требованиями безопасности. В частности, изменение установленных по умолчанию параметров проверки файлов Office может потребоваться в организациях со следующими ограничениями безопасности. Организации с ограничениями доступа в Интернет. Компонент проверки файлов Office запрашивает отправку сведений об ошибках проверки в корпорацию Майкрософт каждые две недели. Такое поведение может не соответствовать определенным в организации политикам доступа в Интернет. В таком случае можно отключить отправку сведений о проверке файлов Office в корпорацию Майкрософт. Дополнительные сведения см. в разделе Отключение отчетов по проверке файлов Office этой статьи. Организации со строгими требованиями к безопасности среды. Можно запретить открытие файлов, не прошедших проверку файлов Office, или разрешить их открытие только в режиме защищенного просмотра. Такое поведение является более строгим по сравнению с определенным по умолчанию и может подойти организациям с заблокированными 310 защищенными средами. Дополнительные сведения об изменении поведения документов см. в разделе Изменение поведения не прошедших проверку документов этой статьи. Организации, в которых не допускается отправка файлов в корпорацию Майкрософт. При получении подтверждения от пользователя компонент проверки файлов Office отправляет копии всех не прошедших проверку файлов в корпорацию Майкрософт. При необходимости можно отключить запрос на отправку таких файлов в корпорацию Майкрософт. Отключение проверки файлов Office С помощью параметра Отключить проверку файлов можно отключить проверку файлов Office. Этот параметр настраивается отдельно для каждого приложения Excel 2010, PowerPoint 2010 и Word 2010. Этот параметр отключает сканирование и проверку двоичных файлов в формате Office. Например, если параметр Отключить проверку файлов включен для Excel 2010, компонент проверки файлов Office не выполняет сканирование и проверку файлов книг и шаблонов Excel 97-2003, а также файлов Microsoft Excel 5.0/95. При открытии файла одного из этих типов, содержащего атаку формата файлов, такая атака не будет обнаружена и предотвращена, если ее не выявит какое-либо другое средство обеспечения безопасности. Не рекомендуется отключать проверку файлов Office, поскольку она является важнейшей частью многоуровневой стратегии защиты в Office 2010 и по возможности должна использоваться на всех компьютерах организации. Чтобы запретить проверку файлов Office, рекомендуется использовать компонент "Надежные расположения". Для файлов, открываемых из надежных расположений, проверка файлов Office не выполняется. Кроме того, для этой цели можно использовать компонент "Надежные документы". Для файлов, определенных как надежные документы, проверка файлов Office также не выполняется. Изменение поведения не прошедших проверку документов С помощью параметра Поведение не прошедших проверку документов можно изменить поведение документов, не прошедших проверку. Если этот параметр включен, можно выбрать один из трех параметров поведения: Полностью блокировать файлы. Файлы, не прошедшие проверку, не открываются в режиме защищенного просмотра и недоступны для редактирования. Открыть файлы в режиме защищенного просмотра и запретить редактирование. Файлы открываются в режиме защищенного просмотра контента, однако недоступны для редактирования. Открыть файлы в режиме защищенного просмотра и разрешить редактирование. Файлы открываются в режиме защищенного просмотра и доступны для редактирования. Такое поведение компонента проверки файлов Office настроено по умолчанию. 311 Если выбран параметр Открыть файлы в режиме защищенного просмотра и запретить редактирование, для файлов, не прошедших проверку, на панели сообщений отображается следующий текст: Защищенный просмотр. Обнаружена проблема с этим файлом. Редактирование может повредить компьютер. Щелкните для получения дополнительных сведений. Если щелкнуть в панели сообщений, открывается представление Microsoft Office Backstage, в котором приводится подробное описание проблемы и предоставляется возможность разрешить редактирование файла. Если выбран параметр Полностью блокировать файлы, для файлов, не прошедших проверку, в диалоговом окне отображается следующий текст: Система Office обнаружила проблему с этим файлом. Чтобы обеспечить защиту компьютера, этот файл не будет открыт. Можно развернуть это диалоговое окно и просмотреть подробное описание проблемы или закрыть его, нажав кнопку ОК. Отключение отчетов по проверке файлов Office С помощью параметра Отключить отправку отчетов об ошибках для не прошедших проверку файлов можно отключить вывод диалогового окна с запросом на отправку сведений в корпорацию Майкрософт. В этом случае также отключается отправка сведений о проверке в корпорацию Майкрософт. Для каждого файла, не прошедшего проверку, в Office 2010 собираются сведения о причинах этого. Примерно через две недели после того, как файл не прошел проверку, в Office 2010 отображается запрос на отправку сведений о проверке файлов Office в корпорацию Майкрософт. В сведениях о проверке указываются типы и размеры файлов, а также время, затраченное на открытие и проверку файлов. Кроме того, в корпорацию Майкрософт отправляются копии файлов, не прошедших проверку. Список соответствующих файлов отображается в запросе на отправку сведений. При необходимости можно отменить отправку сведений в корпорацию Майкрософт. В этом случае не отправляются ни сведения, ни файлы. Если в организации ограничивается доступ в Интернет, применяются политики ограничения доступа в Интернет или не допускается отправка файлов в корпорацию Майкрософт, можно включить параметр Отключить отправку отчетов об ошибках для не прошедших проверку файлов. Важно! В некоторых случаях компонент проверки файлов Office может ошибочно определить файл как не прошедший проверку. Отправка отчетов о проверке в корпорацию Майкрософт позволит усовершенствовать компонент проверки файлов Office и свести к минимуму число ложных положительных результатов. Примечание. 312 Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 313 Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и центра развертывания Office В Microsoft Office 2010 представлены параметры, позволяющие принудительно применять надежные пароли на основе правил, определяющих длину и сложность паролей, при использовании компонента Зашифровать паролем в Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. С помощью этих параметров можно реализовать принудительное применение в приложениях Office 2010 локальных паролей или требований на уровне домена, которые задаются в параметрах политики паролей групповой политики. Содержание: Планирование параметров длины и сложности паролей Определение уровня правил для паролей Связанные параметры длины и сложности паролей Планирование параметров длины и сложности паролей По умолчанию для компонента Зашифровать паролем не установлены ограничения на длину и сложность пароля. Это означает, что пользователи могут шифровать документы, презентации и рабочие книги без указания пароля. Тем не менее, рекомендуется изменять эту установленную по умолчанию настройку и принудительно задавать длину и сложность пароля, чтобы гарантировать использование надежных паролей в компоненте Зашифровать паролем. В большинстве организаций надежные пароли для входа в систему и проверки подлинности принудительно применяются с использованием групповой политики домена. В этом случае рекомендуется устанавливать единые требования к длине и сложности пароля для компонента Зашифровать паролем на уровне всей организации. Дополнительные сведения о надежных паролях, в том числе рекомендации по определению длины и сложности паролей, см. в статье Создание политики надежных паролей (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=166269&clcid=0x419) (Возможно, на английском языке). Внимание! При задании политик паролей необходимо найти компромисс между безопасностью и простотой реализации политики для пользователей. Если сотрудник забудет пароль или уволится из организации, не сообщив пароли для сохранения и шифрования данных, соответствующие данные будут недоступны до тех пор, пока не будет введен правильный пароль. 314 Принудительное применение параметров длины и сложности паролей При настройке параметров, принудительно задающих длину и сложность паролей, в Office 2010 можно использовать параметры в составе Office 2010 отдельно или в сочетании с параметрами паролей, доступными в объекте групповой политики домена. Если для входа в систему и проверки подлинности в домене уже применяются надежные пароли, рекомендуется настроить параметры длины и сложности паролей для Office 2010, аналогичные установленным для объекта групповой политики паролей для домена. В Office 2010 представлены следующие параметры паролей: Задать минимальную длину пароля Задать уровень правил для паролей Задать время ожидания домена для проверки правил для паролей Для настройки параметров паролей Office 2010 можно использовать центр развертывания Office или административные шаблоны Office 2010 для локальных или доменных групповых политик. Дополнительные сведения о настройке параметров безопасности с помощью центра развертывания Office и административных шаблонов Office 2010 см. в статье Настройка безопасности Office 2010. Для объекта групповой политики паролей домена доступны следующие параметры паролей: Вести журнал паролей Максимальный срок действия пароля Минимальный срок действия пароля Минимальная длина пароля Пароль должен отвечать требованиям сложности Хранить пароли, используя обратимое шифрование Для настройки параметров политики паролей домена можно использовать редактор объектов групповой политики (Объект групповой политики | Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности | Политики учетной записи | Политика паролей). Дополнительные сведения см. в статье Технический справочник по редактору объектов групповой политики (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=188682&clcid=0x419) (Возможно, на английском языке). Параметр Задать уровень правил для паролей в Office 2010 определяет требования к сложности паролей, а также необходимость использования объекта групповой политики паролей для домена. Для принудительного применения параметров длины и сложности паролей для компонента Зашифровать паролем выполните следующие действия: Определите минимальную длину пароля, которую требуется применять локально. 315 Определите уровень правил для паролей. Определите значение времени ожидания для принудительного применения параметров паролей домена. Этот шаг является необязательным. Настройка этого значения может потребоваться в том случае, если на контроллере домена установлен настраиваемый фильтр паролей, и установленного по умолчанию времени ожидания для подключения к контроллеру домена (4 секунды) недостаточно. Определение требований к минимальной длине пароля Для принудительного применения параметров длины и сложности паролей сначала необходимо определить минимальную длину пароля, которую требуется применять локально. Для этого используется параметр Задать минимальную длину пароля. Если этот параметр включен, можно задать длину пароля в диапазоне от 0 до 255. Обратите внимание, что установка минимальной длины пароля не влечет за собой принудительного ограничения длины. Чтобы принудительно применять параметры длины или сложности паролей, необходимо изменить значение параметра Задать уровень правил для паролей, который описывается в следующем разделе. Внимание! При задании политик паролей необходимо найти компромисс между безопасностью и простотой реализации политики для пользователей. Если сотрудник забудет пароль или уволится из организации, не сообщив пароли для сохранения и шифрования данных, соответствующие данные будут недоступны до тех пор, пока не будет введен правильный пароль. Определение уровня правил для паролей После установки минимальной длины пароля для локального применения необходимо определить правила, по которым применяются параметры длины и сложности паролей. Для этого используется параметр Задать уровень правил для паролей. Если этот параметр включен, можно выбрать один из следующих четырех уровней правил: Не выполнять проверку паролей Параметры длины и сложности паролей не применяются. Этот уровень соответствует конфигурации по умолчанию. Локальная проверка длины Применение параметра длины паролей без ограничения сложности. Кроме того, параметр длины паролей применяется только на локальном уровне в соответствии с ограничениями, заданными в параметре Задать минимальную длину пароля. Локальная проверка длины и сложности Параметр длины паролей применяется на локальном уровне в соответствии с ограничениями, заданными в параметре Задать минимальную длину пароля. Параметр сложности пароля применяется также на локальном уровне (пароль должен содержать, по крайней мере, три из следующих категорий знаков: 316 Строчные буквы a-z Прописные буквы A-Z Цифры 0–9 Прочие знаки, не являющиеся буквами и цифрами Этот параметр действует только в том случае, если в параметре Задать минимальную длину пароля установлена длина пароля не менее шести знаков. Локальная проверка длины и сложности, а также политика домена Параметры длины и сложности пароля применяются в соответствии с параметрами политики паролей домена, установленными в групповой политике. Если компьютер находится в автономном режиме, и отсутствует подключение к контроллеру домена, применяются локальные параметры длины и сложности, как показано в описании параметра Локальная проверка длины и сложности. Чтобы принудительно применять параметры длины и сложности паролей на основе параметров домена, необходимо настроить параметры политики паролей в групповой политике. Применение параметров домена имеет ряд преимуществ по сравнению с локальными параметрами, в том числе следующие: Требования к длине и сложности паролей для входа в систему и проверки подлинности соответствуют аналогичным требованиям для компонента Зашифровать паролем. Требования к длине и сложности паролей устанавливаются одинаковыми на уровне всей организации. Требования к длине и сложности паролей могут применяться отдельно к подразделениям, сайтам и доменам организации. Дополнительные сведения о принудительном применении параметров длины и сложности паролей с использованием групповой политики домена см. в статье Принудительное применение надежных паролей на уровне организации (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=166262&clcid=0x419) (Возможно, на английском языке). Определение значения времени ожидания для домена Если для применения параметров длины и сложности паролей для компонента Зашифровать паролем используются параметры групповой политики домена, и на контроллере домена установлен настраиваемый фильтр паролей, может понадобиться настройка параметра Задать время ожидания домена для проверки правил для паролей. Это значение определяет время ожидания приложением Office 2010 ответа от контроллера домена, по истечении которого будут принудительно применены локальные правила длины и сложности паролей. Чтобы изменить установленное для домена значение, можно установить соответствующее значение параметра Задать время ожидания домена для проверки правил для паролей. По умолчанию установлено время ожидания 4000 мс (4 с). Это означает, что если контроллер домена не отвечает в течение 4 секунд, приложение Office 2010 принудительно применяет локальные параметры длины и сложности паролей. Примечание. 317 Значение времени ожидания домена действует только в том случае, если включены параметры Задать минимальную длину пароля, Задать уровень правил для паролей и выбран параметр Локальная проверка длины и сложности, а также политика домена. Связанные параметры длины и сложности паролей В случае принудительного применения параметров длины и сложности паролей в организации часто используются следующие дополнительные параметры: Параметры криптографической гибкости С помощью этих параметров можно задать поставщики и алгоритмы шифрования, которые будут использоваться для шифрования документов, презентаций и рабочих книг. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 318 Планирование параметров криптографии и шифрования в Office 2010 Microsoft Office 2010 содержит параметры, которые позволяют управлять способом шифрования данных при использовании Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 и Microsoft Word 2010. В этой статье представлен обзор возможностей криптографии и шифрования в Office 2010, а также описание параметров, которые можно использовать для шифрования данных, и указаны сведения о совместимости с предыдущими версиями Microsoft Office. Дополнительные сведения о приложении Microsoft Outlook 2010 см. в статье Планирование шифрования сообщений электронной почты в Outlook 2010. При планировании параметров шифрования необходимо учитывать следующие аспекты. Не рекомендуется изменять параметры шифрования по умолчанию, если для модели безопасности организации не требуются другие параметры шифрования. Рекомендуется применять правила длины и сложности пароля, чтобы обеспечить использование стойких паролей при шифровании данных. Дополнительные сведения см. в статье Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и центра развертывания Office. Не рекомендуется использовать шифрование RC4. Дополнительные сведения см. в разделе Совместимость с предыдущими версиями Office далее в этой статье. Административные параметры, принуждающие пользователей зашифровывать документы, отсутствуют. Однако существует параметр, позволяющий удалять возможность добавления паролей в документы и, таким образом, отключать шифрование документов. Дополнительные сведения см. в разделе Параметры криптографии и шифрования далее в этой статье. Сохранение документов в надежных расположениях не оказывает влияния на параметры шифрования. Если документ зашифрован и сохранен в надежном расположении, открытие документа возможно только при указании пароля. Содержание: Криптография и шифрование в Office 2010 Параметры криптографии и шифрования Совместимость с предыдущими версиями Office Криптография и шифрование в Office 2010 Доступные в Office алгоритмы шифрования зависят от алгоритмов, доступ к которым можно получить через интерфейсы API в операционной системе Windows. Office 2010, помимо 319 поддержки Cryptography API (CryptoAPI), также поддерживает интерфейс CNG (CryptoAPI: Next Generation), который впервые стал доступен в Microsoft Office 2007 с пакетом обновления 2 (SP2). CNG обеспечивает более динамичное шифрование. При этом можно указать различные алгоритмы шифрования и хэширования, которые поддерживаются на главном компьютере, для шифрования документа. CNG также расширяет возможности шифрования и позволяет использовать модули сторонних производителей. Если Office использует CryptoAPI, алгоритмы шифрования зависят от алгоритмов, доступных в поставщике службы криптографии (CSP), который входит в операционную систему Windows. В следующем разделе реестра содержится список поставщиков службы криптографии, установленных на компьютере: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider В Office 2010 и Office 2007 с пакетом обновления 2 (SP2) можно использовать следующие алгоритмы шифрования CNG и другие криптографические расширения CNG, установленные в системе: AES, DES, DESX, 3DES, 3DES_112 и RC2 В Office 2010 и Office 2007 с пакетом обновления 2 (SP2) можно использовать следующие алгоритмы хэширования CNG и другие криптографические расширения CNG: MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 и SHA512 Хотя в Office 2010 есть параметры для изменения способа шифрования, при шифровании документов в формате Open XML (DOCX, XSLX, PPTX и т. д.) значения по умолчанию — алгоритм AES, 128-разрядный ключ, SHA1 и CBC — обеспечивают стойкое шифрование и подходят для большинства организаций. Алгоритм AES — это самый стойкий алгоритм шифрования в отрасли, который был выбран Агентством национальной безопасности (NSA) в качестве стандарта для правительства США. Алгоритм AES поддерживается в операционных системах Windows XP с пакетом обновления 2 (SP2), Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008. Параметры криптографии и шифрования В следующей таблице перечислены параметры, которые позволяют изменить алгоритмы шифрования при использовании версий Microsoft Office, применяющих CryptoAPI. В их число входят версии Office до Office 2010. Параметр Описание Тип шифрования для защищенных паролем файлов Office Open XML Этот параметр позволяет указать тип шифрования файлов Open XML от доступных поставщиков служб криптографии (CSP). Он требуется при применении пользовательской COM-надстройки шифрования. 320 Параметр Описание Дополнительные сведения см. в “Руководстве разработчиков шифрования для Office 2007” , которое доступно в пакете SDK SharePoint Server 2007 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=107614&clcid=0x419) (Возможно, на английском языке). Этот параметр также необходим при использовании Office 2007 с пакетом обновления 1 (SP1) или версии пакета совместимости, которая старее пакета совместимости Microsoft Office для форматов файлов Word, Excel и PowerPoint (http://go.microsoft.com/fwlink/?linkid=78517&clcid=0x419), и если требуется изменить алгоритм шифрования на вариант, отличный от алгоритма по умолчанию. Тип шифрования для защищенных паролем файлов Office 97-2003 Этот параметр позволяет указать тип шифрования двоичных файлов Office 97–2003 от доступных поставщиков служб криптографии (CSP). При этом поддерживается только один алгоритм шифрования — RC4, который, как сказано выше, не рекомендуется использовать. В Office 2010, если требуется изменить параметр Тип шифрования для защищенных паролем файлов Office Open XML, сначала следует включить параметр Задать совместимость шифрования и выбрать параметр Использовать формат прежних версий. Параметр Задать совместимость шифрования доступен в Access 2010, Excel 2010, PowerPoint 2010 и Word 2010. В следующей таблице перечислены параметры, которые позволяют изменить алгоритмы шифрования при использовании Office 2010. Эти параметры применяются к Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 и Word 2010. Примечание. Все следующие параметры, кроме Задать параметры для контекста CNG и Задать алгоритм генерации случайных чисел CNG, применимы даже при использовании поддерживаемой операционной системы для Office 2010, такой как Windows XP с пакетом обновления 3 (SP3), которая не поддерживает CNG. В этом случае Office 2010 использует CryptoAPI вместо CNG. Эти параметры применяются только при использовании Office 2010 для шифрования файлов Open XML. Параметр Описание Задать алгоритм шифрования CNG Этот параметр позволяет настроить используемый 321 Параметр Описание алгоритм шифрования CNG. Значение по умолчанию: AES. Настройка режима цепочки шифрования CNG Этот параметр позволяет настроить используемый режим цепочки. По умолчанию используется Cipher Block Chaining (CBC). Задать длину ключа шифрования CNG Этот параметр позволяет настроить количество разрядов, используемых при создании ключа шифрования. Значение по умолчанию: 128 разрядов. Задать совместимость шифрования Этот параметр позволяет задать формат совместимости. Значение по умолчанию: Использовать формат следующего поколения. Задать параметры для контекста CNG Этот параметр позволяет задать параметры шифрования, которые будут использоваться для контекста CNG. Для применения этого параметра сначала нужно создать контекст CNG с помощью CryptoAPI: Next Generation (CNG). Дополнительные сведения см. в разделе Функции настройки криптографии CNG (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=192996&clcid=0x419) (Возможно, на английском языке). Задать алгоритм хэширования CNG Этот параметр позволяет указать используемый алгоритм хэширования. Значение по умолчанию: SHA1. Задать число смен хэша пароля CNG Этот параметр позволяет задать количество смен (повторного хэширования) средства проверки пароля. Значение по умолчанию: 100000. Задать алгоритм генерации случайных чисел CNG Этот параметр позволяет настроить генератор случайных чисел CNG. По умолчанию используется RNG (Random Number Generator). Задать длину соли CNG Этот параметр позволяет указать используемое количество байт соли. Значение по умолчанию: 16. Помимо параметров CNG, указанных в предыдущей таблице, для Excel 2010, PowerPoint 2010 и Word 2010 можно настроить параметры CNG, перечисленные в следующей таблице. 322 Параметр Описание Использовать новый ключ при смене пароля Этот параметр позволяет указать, следует ли использовать новый ключ шифрования при изменении пароля. По умолчанию при изменении пароля новый ключ не используется. Параметр, указанный в следующей таблице, можно использовать, чтобы запретить добавлять пароли в документы и, тем самым, отключить шифрование документов. Параметр Описание Отключить пароль для открытия пользовательского интерфейса Этот параметр управляет тем, могут ли пользователи Office 2010 добавлять пароли в документы. По умолчанию пользователи могут добавлять пароли. Примечание. Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в разделе Настройка безопасности Office 2010. Совместимость с предыдущими версиями Office Если требуется зашифровать документы Office, рекомендуется сохранить их в формате Open XML (DOCX, XLSX, PPTX и т. д.) вместо формата Office 97–2003 (DOC, XLS, PPT и т. д.). При шифровании двоичных документов (DOC, XLS, PPT) используется алгоритм RC4, что не рекомендуется, как описано в разделах 4.3.2 и 4.3.3 спецификации структуры криптографии документов Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=192287&clcid=0x419) (Возможно, на английском языке). Документы, которые сохранены в старых двоичных форматах Office, можно шифровать только с помощью RC4 для обеспечения совместимости со старыми версиями Microsoft Office. AES, стандартный и рекомендуемый алгоритм шифрования, используется для шифрования файлов в формате Open XML. Office 2010 и Office 2007 позволяют сохранять документы в формате Open XML. Кроме того, если используется Microsoft Office XP или Office 2003, можно применить пакет совместимости для сохранения документов в формате Open XML. 323 Кроме того, если в организации используется пакет обеспечения совместимости Microsoft Office в форматах Word, Excel и PowerPoint для шифрования файлов форматов Open XML, необходимо проверить следующие сведения. По умолчанию в пакете обеспечения совместимости используются следующие параметры для шифрования файлов параметров Open XML: Поставщик служб шифрования Microsoft Enhanced RSA и AES (прототип),AES 128,128 (в операционной системе Windows XP Professional). Поставщик служб шифрования Microsoft Enhanced RSA и AES,AES 128,128 (в операционной системе Windows Server 2003 и Windows Vista). Пользователей не предупреждают, что в пакете обеспечения совместимости используются данные параметры. В случае установки пакета обеспечения совместимости графический интерфейс пользователя в более ранних версиях системы Microsoft Office может показывать неверные параметры шифрования для файлов форматов Open XML. Нельзя использовать графический интерфейс пользователя в более ранних версиях системы Microsoft Office для изменения параметров шифрования в файлах форматов Open XML. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 Спецификация структуры криптографии документов Office (Возможно, на английском языке) 324 Планирование параметров цифровых подписей в Office 2010 С помощью Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010 можно ставить цифровые подписи на документах. Также можно добавлять строку или штамп подписи с помощью Excel 2010, Microsoft InfoPath 2010 и Word 2010. Microsoft Office 2010 поддерживает стандарт XAdES (XML Advanced Electronic Signatures), набор расширений стандарта XML-DSig. Впервые этот стандарт поддерживался в Microsoft Office 2007. Содержание: Цифровая подпись Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации Использование цифровых подписей Цифровая подпись Цифровую подпись в цифровых документах ставят в тех же случаях, что и при использовании бумажных документов. Вместе с алгоритмами шифрования цифровая подпись используется для подтверждения личности создателя цифровых данных, включая документы, сообщения электронной почты и макросы. Цифровые подписи основаны на цифровых сертификатах, которые являются средством подтверждения личности, выдаваемым надежной третьей стороной, называемой центром сертификации (ЦС). Действует данное средство так же, как и обычные печатные документы, удостоверяющие личность. Например, надежная третья сторона (государственное объединение или коммерческая организация) выдает документы удостоверения личности (водительские права, паспорт или идентификационные карты сотрудников), которые должны подтвердить личность, предъявляющего эти документы лица. Какие функции выполняют цифровые подписи Цифровые подписи помогают установить следующие меры проверки подлинности. Подлинность Цифровая подпись и цифровой сертификат позволяют гарантировать подлинность личности подписавшего, чтобы другое лицо не могло выдать себя за создателя документа (что соответствовал бы подделыванию печатного документа). Целостность С помощью цифровой подписи можно удостоверить неизменность содержимого документа с момента его подписания. Таким образом, документ не может быть перехвачен и изменен без ведома его создателя. Неотрекаемость Цифровая подпись помогает доказать любой из сторон подлинность создателя подписанного контента. "Отречение" означает, что владелец подписи отрицает 325 свою связь с подписанным контентом. Можно доказать, что создатель документа является истинным создателем вне зависимости от утверждений лица, подписавшего документ. Подписавший не может отречься от подписи на документе без отречения от своего цифрового ключа и, следовательно, от других документов, подписанных с помощью этого ключа. Требования к цифровым подписям Для выполнения условий создатель документа должен заверить его содержимое цифровой подписью, которая должна удовлетворять следующим требованиям. Цифровая подпись должна быть действительной. Центр сертификации, которому доверяет ОС, должен подписать цифровой сертификат, на котором основана цифровая подпись. Срок действия сертификата, связанного с цифровой подписью, не истек или содержит временной штамп, который указывает, что сертификат был действителен во время подписи. Сертификат, связанный с цифровой подписью, не был отозван. Лицо или организация, поставившие цифровую подпись (называемые издателем), должны вызывать доверие у получателя. Word 2010, Excel 2010 и PowerPoint 2010 обнаруживают эти критерии и предупреждают пользователя, если есть какая-либо проблема с цифровой подписью. Сведения о проблемах с сертификатами можно легко получить с помощью панели задач сертификата в приложении Office 2010. Приложения Office 2010 позволяют добавлять несколько цифровых подписей к одному и тому же документу. Цифровые подписи в бизнес-среде Далее показано, как можно использовать цифровые подписи документов в бизнес-среде. 1. Сотрудник использует Excel 2010 для создания отчетов о расходах; он создает три строки подписи: для себя, для руководителя и для бухгалтерии. Эти строки позволяют определить создателя документа и гарантировать, что после передачи документа руководителю и в бухгалтерию никаких изменений внесено не будет. Также это позволит подтвердить получение документа руководителей и бухгалтерией. 2. Руководитель получает документ и удостоверяет его цифровой подписью, подтверждая получение и одобрение документа. Затем документ пересылается в бухгалтерию для оплаты. 3. Сотрудник бухгалтерии получает и подписывает документ, тем самым подтверждая его получение. В этом примере показано использование нескольких подписей в одном документе Office 2010. Кроме подписи создатель документа может добавить рисунок с подписью или использовать планшетный ПК, чтобы внести подпись вручную. Также поддерживается функция “резиновой печати”, которая служит для подтверждения получения документа определенным сотрудником. 326 Проблемы совместимости Office 2010, как и Office 2007, использует формат цифровых подписей XML-DSig. Кроме того, в Office 2010 добавлена поддержка XAdES (XML Advanced Electronic Signatures). XAdES — это набор уровневых расширений XML-DSig, уровни которых основаны на предыдущих для обеспечения более высокой надежности цифровых подписей. Дополнительные сведения об уровнях XAdES, которые поддерживаются в Office 2010, см. в разделе Использование цифровых подписей далее в этой статье. Дополнительные сведения о стандарте XAdES см. в спецификации XML Advanced Electronic Signatures (XAdES) (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=186631&clcid=0x419) (Возможно, на английском языке). Важно помнить, что цифровые подписи, созданные в Office 2010, несовместимы с версиями Microsoft Office более ранними, чем Office 2007. Например, если документ подписан приложением в Office 2010 или Office 2007 и открывается с помощью приложения в Microsoft Office 2003, в котором установлен пакет обеспечения совместимости Office, пользователь будет проинформирован, что документ подписан в более новой версии Microsoft Office, и цифровая подпись будет утеряна. На рисунке далее представлено предупреждение об удалении цифровой подписи при открытии документа в более ранней версии Office. Кроме того, если XAdES используется для цифровой подписи в Office 2010, цифровая подпись не будет совместима с Office 2007, если не задать для параметра групповой политики Не включать объект ссылки XAdES в манифест значение Отключено. Дополнительные сведения о параметрах цифровой подписи в групповой политике см. в разделе Настройка цифровых подписей далее в этой статье. Если требуется, чтобы цифровые подписи, созданные в Office 2010, были совместимы с Office 2003 и более ранними версиями, можно задать для параметра групповой политики Подписи в формате предыдущей версии значение Включено. Этот параметр групповой политики размещен в разделе Конфигурация пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\Подписи. После задания значения Включено приложения Office 2010 используют двоичный формат Office 2003 для применения цифровых подписей к двоичным документам Office 97–2003, созданным в Office 2010. Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации Цифровые сертификаты могут быть самозаверяющими, либо они могут выдаваться центрами сертификации организации, такими как компьютер под управлением Windows Server 2008 со 327 службами сертификатов Active Directory, или публичными центрами сертификации, например VeriSign или Thawte. Самозаверяющие сертификаты обычно используются частными лицами и небольшими компаниями, которые не хотят устанавливать в организациях инфраструктуру PKI или приобретать коммерческий сертификат. Основной недостаток самозаверяющих сертификатов в том, что они могут использоваться только при обмене документами между знакомыми пользователями, которые точно являются создателями передаваемых документов. При использовании данных сертификатов отсутствует третья сторона, которая может подтвердить подлинность сертификата. Каждый человек, получивший подписанный документ, должен самостоятельно решить вопрос о надежности сертификата. Для более крупных организаций доступны два основных метода получения цифровых сертификатов: сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI, и коммерческие сертификаты. Для сокращения расходов организаций, поддерживающих обмен документами только между сотрудниками, больше подходит корпоративная инфраструктура PKI. Чтобы совместно использовать документы с лицами за пределами организации, необходимо использовать коммерческие сертификаты. Сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI Организации могут создать собственную инфраструктуру PKI. В этом случае компания должна настроить один или несколько центров сертификации (ЦС), которые могут создавать цифровые сертификаты для компьютеров и пользователей компании. В сочетании со службой каталогов Active Directory возможно создание сложного решения PKI, при котором цепочка корпоративных центров сертификации устанавливается на всех компьютерах, управляемых компанией, а пользователям и компьютерам автоматически назначаются цифровые сертификаты для удостоверения и шифрования документов. Это позволяет всем сотрудникам организации автоматически доверять цифровым сертификатам от других сотрудников той же организации. Дополнительные сведения см. в разделе Службы сертификатов Active Directory (http://go.microsoft.com/fwlink/?linkid=119113&clcid=0x419) (Возможно, на английском языке). Коммерческие сертификаты Коммерческие сертификаты приобретаются у специализированной компании по продаже цифровых сертификатов. Основное преимущество таких сертификатов в том, что коммерческий сертификат центра сертификации автоматически устанавливается в операционных системах Windows, что позволяет компьютерам автоматически считать корневой сертификат этого поставщика надежным. В отличие от корпоративного решения PKI коммерческие сертификаты позволяют совместно использовать подписанные документы с пользователями, не относящимися к данной организации. Существует три вида коммерческих сертификатов. 328 Класс 1 Сертификаты данного класса выдаются частным лицам с допустимыми адресами электронной почты. Сертификаты класса 1 подходят для цифровых подписей, шифрования и управления электронным доступом к некоммерческим операциям, для которых не требуется подтверждение личности. Класс 2 Сертификаты класса 2 выдаются частным лицам и устройствам. Сертификаты для частных лиц позволяют ставить цифровые подписи, выполнять шифрование и осуществлять электронный доступ к операциям, в которых достаточно подтверждения подлинности личности на основе сведений в проверяющей базе данных. Сертификаты класса 2 для устройств позволяют проверять подлинность устройств, целостность сообщений, ПО и контента и выполнять шифрование конфиденциальных сведений. Класс 3 Сертификаты класса 3 выдаются частным лицам, организациям, серверам, устройствам и администраторам для центров сертификации и служб выдачи корневых сертификатов (RA). Индивидуальные сертификаты данного вида позволяют ставить цифровые подписи, выполнять шифрование и получать доступ к элементам управления операций, в которых необходимо подтверждение подлинности личности. Сертификаты для серверов позволяют выполнять проверку подлинности серверов, целостности сообщений, ПО и контента, а также выполнять шифрование конфиденциальных сведений. Дополнительные сведения о коммерческих сертификатах см. в разделе Цифровое удостоверение: Office Marketplace (http://go.microsoft.com/fwlink/?linkid=119114&clcid=0x419). Использование цифровых подписей С помощью Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010 можно ставить цифровые подписи на документах. Также можно добавлять строку или штамп подписи с помощью Excel 2010, Microsoft InfoPath 2010 и Word 2010. Цифровая подпись документа с цифровым сертификатом, но без строки или штампа подписи называется невидимой цифровой подписью. Оба метода, видимые и невидимые цифровые подписи, применяют цифровой сертификат для подписи документа. Различие состоит в графическом представлении видимой цифровой подписи в документе. Дополнительные сведения о добавлении цифровой подписи см. в разделе Добавление и удаление цифровой подписи в документах Office (http://go.microsoft.com/fwlink/?linkid=187659&clcid=0x419). По умолчанию во время создания цифровой подписи Office 2010 создает цифровые подписи XAdES-EPES при использовании самозаверяющего сертификата или сертификата, выданного центром сертификации. Уровни цифровых подписей XAdES, основанные на стандарте XML-DSig и доступные в Office 2010, указаны в следующей таблице. Каждый из этих уровней основан на предыдущем уровне и содержит возможности всех предшествующих уровней. Например, XAdES-X также содержит возможности XAdES-EPES, XAdES-T и XAdES-C помимо новых функций уровня XAdES-X. 329 Уровень подписи Описание XAdES-EPES (Base) Добавляет сведения о сертификате в подпись XML-DSig. Это уровень по умолчанию для подписей Office 2010. XAdES-T (Timestamp) Добавляет отметку времени в разделы XMLDSig и XAdES-EPES подписи, что позволяет предотвратить проблемы в случае истечения срока действия сертификата. XAdES-C (Complete) Добавляет ссылки на цепочку сертификатов и сведения о состояние отзыва. XAdES-X (Extended) Добавляет отметку времени в элемент XMLDSig SignatureValue и разделы –T и –C подписи. Дополнительная отметка времени обеспечивает неотрекаемость дополнительных данных. XAdES-X-L (Extended Long Term) Хранит фактический сертификат и сведения об аннулировании сертификата вместе с подписью. Это позволяет проверять сертификаты, даже если серверы сертификации стали недоступными. Цифровые подписи с отметками времени Возможность Office 2010 добавлять отметку времени в цифровую подпись позволяет расширить ее жизненный цикл. Например, если аннулированный сертификат ранее использовался для создания цифровой подписи, которая содержит отметку времени от надежного сервера временных штампов, цифровая подпись будет считаться действительной, если она была создана перед аннулированием сертификата. Для использования отметок времени с цифровыми подписями требуется выполнить следующие действия. Настройте сервер отметок времени, соответствующий стандарту RFC 3161. Используйте параметр групповой политики Указать имя сервера для ввода расположения сервера отметок времени в сети. Кроме того, можно настроить дополнительные параметры отметок времени с помощью следующих параметров групповой политики: Настроить алгоритм хэширования отметок времени Задать время ожидания для сервера отметок времени 330 Если не настроить и не включить параметр Настроить алгоритм хэширования отметок времени, будет использоваться значение по умолчанию SHA1. Если не настроить и не включить параметр Задать время ожидания для сервера отметок времени, то Office 2010 будет ожидать ответа от сервера отметок времени в течение 5 секунд. Настройка цифровых подписей Помимо параметров групповой политики для настройки параметров, связанных с отметками времени, есть другие параметры групповой политики, с помощью которых можно задать способы настройки цифровых подписей и управлениями ими в организации. Имена и описание параметров указаны в следующей таблице. Параметр Описание Требовать данные OCSP во время создания подписи Этот параметр политики позволяет определить, требует ли Office 2010 данные аннулирования OCSP для всех цифровых сертификатов в цепочке при создании цифровых подписей. Задать минимальный уровень XAdES для создания цифровой подписи Этот параметр политики позволяет определить минимальный уровень XAdES, используемый приложениями Office 2010 для создания цифровой подписи XAdES. Если минимальный уровень XAdES недоступен, приложение Office не создает цифровую подпись. Проверять части XAdES в цифровой подписи Этот параметр политики позволяет указать, выполняет ли Office 2010 проверку частей XAdES цифровой подписи в документе, если она есть. Не разрешать просроченные сертификаты при проверке подписей Этот параметр политики позволяет определить, принимают ли приложения Office 2010 цифровые сертификаты с истекшим сроком действия при проверке цифровых подписей. Не включать объект ссылки XAdES в манифест Этот параметр политики позволяет определить, должен ли ссылочный объект XAdES отображаться в манифесте. Для этого параметра следует задать значение Отключено, если требуется, чтобы Office 2007 мог читать подписи Office 2010, содержащие 331 Параметр Описание контент XAdES; в противном случае Office 2007 будет считать подписи с контентом XAdES недействительными. Выбрать алгоритм хэширования цифровой подписи Этот параметр политики позволяет настроить алгоритм хэширования, используемый приложениями Office 2010 для подтверждения цифровых подписей. Задать уровень проверки подписей Этот параметр политики позволяет установить уровень проверки, используемый приложениями Office 2010 при проверке цифровой подписи. Требуемый уровень XAdES при создании подписи Этот параметр политики позволяет установить необходимый уровень XAdES при создании цифровой подписи. Далее перечислены дополнительные параметры групповой политики, связанные с цифровыми подписями: Фильтрация использования ключа Задать каталог для изображений по умолчанию Фильтрация расширенного использования ключа Подписи в формате предыдущей версии Не отображать поставщики подписи Office Не отображать пункт меню "Добавить службы подписи" Дополнительные сведения о каждом параметре групповой политики см. в файлах справки, которые содержатся в файлах шаблонов администрирования Office 2010. Дополнительные сведения о файлах шаблонов администрирования см. в статье Обзор групповой политики для Office 2010. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). 332 Планирование параметров конфиденциальности для Office 2010 Если нужно отменить вывод диалогового окна Добро пожаловать в Microsoft Office 2010, появляющегося, когда пользователь в первый раз запускает Microsoft Office 2010, можно настроить параметры конфиденциальности. Диалоговое окно Добро пожаловать в Microsoft Office 2010, также называемое мастером согласия или диалоговым окном Рекомендуемые параметры, позволяет пользователям включать и отключать различные Интернет-службы, помогающие защитить и улучшить приложения Office 2010. Содержание: Планирование параметров конфиденциальности Отмена вывода диалогового окна "Добро пожаловать в Microsoft Office 2010" Настройка параметров конфиденциальности Связанные параметры конфиденциальности Планирование параметров конфиденциальности Когда пользователь в первый раз запускает Office 2010, появляется следующее диалоговое окно: Если пользователь выбирает вариант Использовать рекомендуемые параметры, включаются нижеперечисленные настройки безопасности и параметры конфиденциальности: 333 Рекомендуемые и важные обновления автоматически устанавливаются для Windows Vista и последующих операционных систем, а также для приложений Office 2010. Пользователи получают уведомления о новом необязательном программном обеспечении. Для Windows XP устанавливаются обновления с высоким приоритетом. Приложения могут подключаться к Office.com для обновления содержимого справки и получать нужное содержимое справки для установленных приложений Office 2010. Приложения могут периодически загружать небольшие файлы, которые помогают определить проблемы системы и предлагают пользователям отправить корпорации Майкрософт отчеты об ошибках. Пользователи участвуют в программе улучшения качества программного обеспечения. Если пользователи выбирают вариант Установить только обновления, рекомендуемые и важные обновления автоматически устанавливаются для операционных систем Windows Vista и последующих операционных систем Windows, а также для приложений Office 2010. Пользователи получают уведомления о новом необязательном программном обеспечении. Для Windows XP устанавливаются только обновления с высоким приоритетом. Но параметры конфиденциальности в приложениях Office 2010 не меняются, то есть действуют параметры конфиденциальности по умолчанию. Если пользователи выбирают вариант Не вносить изменения, настройки автоматического обновления в Центре обеспечения безопасности Windows не меняются, не меняются и параметры конфиденциальности в Office 2010, то есть действуют параметры конфиденциальности по умолчанию. Параметрами конфиденциальности по умолчанию для приложений Office 2010 являются следующие значения: Приложения Office 2010 не подключаются к Office.com для обновления содержимого справки, и обнаружение офисных приложений на компьютере пользователя для улучшения результатов поиска не выполняется. Приложения Office 2010 не загружают небольшие программы, помогающие диагностировать проблемы, и сведения сообщений об ошибках не отправляются корпорации Майкрософт. Пользователи не участвуют в программе улучшения качества программного обеспечения. Так как диалоговое окно Добро пожаловать в Microsoft Office 2010 позволяет пользователям включать или отключать различные Интернет-службы, администратор может запретить вывод этого диалогового окна и настроить эти службы самостоятельно. Если вывод диалогового окна отменен, рекомендуется включить все Интернет-службы, что можно сделать, настраивая параметры конфиденциальности. Примечание. Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в статье Настройка безопасности Office 2010. 334 Отмена вывода диалогового окна "Добро пожаловать в Microsoft Office 2010" Вывод диалогового окна Добро пожаловать в Microsoft Office 2010 можно отменить с помощью параметра Не отображать диалоговое окно рекомендуемых параметров. Этот параметр групповой политики находится в разделе Конфигурация пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\Прочее редактора объектов групповой политики. Этот параметр запрещает появление диалогового окна Добро пожаловать в Microsoft Office 2010 при первом запуске пользователем Office 2010. Если этот параметр включен, возможность автоматических обновлений остается без изменений, а параметры безопасности, управляющие интернет-службами, не включаются. Отмена вывода диалогового окна Добро пожаловать в Microsoft Office 2010 без включения определенных параметров безопасности отключает ряд возможностей, улучшающих приложения Office 2010, и может привести к появлению угроз безопасности компьютера. Следовательно, при включении этого параметра рекомендуется также включить все параметры безопасности, рассматриваемые в разделе Настройка параметров конфиденциальности. Этот параметр включается в большинстве организаций, в том числе в организациях со строгими требованиями к безопасности среды или со средой безопасности, ограничивающей доступ к Интернету. Настройка параметров конфиденциальности Office 2010 предоставляет несколько параметров, позволяющих управлять раскрытием конфиденциальных сведений. Эти параметры часто называются параметрами конфиденциальности. Любой из этих параметров можно включить или отключить в соответствии с требованиями безопасности конкретной организации. Но если вывод диалогового окна Добро пожаловать в Microsoft Office 2010 отменен, рекомендуется включить все эти параметры. Имя параметра: Параметры контента в Интернете. Этот параметр групповой политики находится в разделе "Конфигурация пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\ Инструменты | Параметры | Общее | Служебные параметры… \ Контент в Интернете" редактора объектов групповой политики. Описание: этот параметр управляет возможностью системы справки Office 2010 загружать содержимое справки из Office.com. Можно выбрать для этого параметра один из трех возможных вариантов: Никогда не показывать интернет-контент и точки входа. Система справки не подключается к Office.com для загрузки контента. Это значение является значением по умолчанию, если отключен вывод диалогового окна Добро пожаловать в Microsoft Office 2010 или если пользователь выбрал вариант Не вносить изменения или Установить только обновления в диалоговом окне Добро пожаловать в Microsoft Office 2010. 335 По возможности выполнять поиск только в автономном контенте. Система справки не подключается к Office.com для загрузки контента. По возможности выполнять поиск в интернет-контенте. Когда компьютер подключен к Интернету, система справки подключается Office.com для загрузки контента. Влияние: если этот параметр включен и выбрано значение Никогда не показывать интернет-контент и точки входа или По возможности выполнять поиск только в автономном контенте, пользователи не смогут получать доступ к обновленным разделам справки с помощью системы справки, кроме того, становится невозможным получение шаблонов из Office.com. Указания: большинство организаций включают этот параметр и выбирают значение По возможности выполнять поиск в интернет-контенте. Это рекомендуемая конфигурация для этого параметра. Но организации со строгими требованиями к безопасности среды или со средой безопасности, ограничивающей доступ к Интернету, обычно включают этот параметр и выбирают значение Никогда не показывать интернет-контент и точки входа. Имя параметра: Автоматически получать небольшие обновления для улучшения надежности. Этот параметр групповой политики находится в разделе "Конфигурация пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\Конфиденциальность\Центр управления безопасностью" редактора объектов групповой политики. Описание: этот параметр определяет, выполняют ли клиентские компьютеры периодическую загрузку небольших файлов, позволяющих корпорации Майкрософт диагностировать проблемы системы. Влияние: если этот параметр включен, корпорация Майкрософт собирает сведения о конкретных ошибках и IP-адресе компьютера. Никакие сведения, раскрывающие личность пользователя, кроме IP-адреса компьютера, запрашивающего обновление, не передаются корпорации Майкрософт. Указания: в большинстве организаций этот параметр включен, что является рекомендуемой конфигурацией. Организации со строгими требованиями к безопасности среды или со средой безопасности, ограничивающей доступ к Интернету, обычно отключают этот параметр. Имя параметра : Включить программу улучшения качества ПО. Этот параметр групповой политики находится в разделе "Конфигурация пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\Конфиденциальность\Центр управления безопасностью" редактора объектов групповой политики. Описание: Этот параметр управляет участием пользователей в программе улучшения качества программного обеспечения, призванной помочь улучшить Office 2010. Когда пользователи участвуют в этой программе, приложения Office 2010 автоматически отправляют корпорации Майкрософт сведения об использовании этих приложений. Эти сведения объединяются с другими данными программы улучшения качества программного обеспечения, чтобы помочь корпорации Майкрософт решать проблемы и улучшать продукты и функции, чаще всего используемые пользователями. Участие в этой программе не предполагает сбора имен 336 пользователей, их адресов или других идентифицирующих данных за исключением IPадреса компьютера, используемого для отправки данных. Влияние: если этот параметр включен, пользователи участвуют в программе улучшения качества программного обеспечения. Указания: в большинстве организаций этот параметр включен, что является рекомендуемой конфигурацией. Организации со строгими требованиями к безопасности среды или со средой безопасности, ограничивающей доступ к Интернету, обычно не включают этот параметр. Связанные параметры конфиденциальности С раскрытием конфиденциальности в приложениях Office 2010 связаны некоторые другие параметры. При изменении параметров конфиденциальности из-за использования специальной среды безопасности может понадобиться учитывать следующие параметры: Защита метаданных в защищенных паролем файлах Этот параметр определяет, шифруются ли метаданные при использовании функции "Зашифровать паролем". Защита метаданных в файлах Office Open XML с управлением правами Этот параметр определяет, шифруются ли метаданные при использовании функции "Ограничить разрешения для пользователей". Предупреждать перед печатью, сохранением и отправкой файла, который содержит записанные исправления или примечания Этот параметр определяет, будут ли пользователи получать предупреждения о комментариях и записанных исправлениях перед печатью, сохранением или отправкой документа. Показывать скрытую разметку Этот параметр определяет, будут ли при открытии документа видимы все записанные исправления. Запретить выполнение инспекторов документов Этот параметр позволяет отключить модули инспекторов документов. Примечание. Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке). См. также Обзор безопасности системы Office 2010 Настройка безопасности Office 2010 337 Планирование параметров блокировки файлов для Office 2010 В этой статье представлены сведения о параметрах групповой политики и центра развертывания Office, настройка которых позволяет блокировать определенные типы форматов файлов для пользователей Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. Содержание: Блокировка типов форматов файлов с помощью групповой политики или центра развертывания Office Параметры групповой политики и центра развертывания Office Блокировка типов форматов файлов с помощью групповой политики или центра развертывания Office Путем настройки параметров в групповой политике или центре развертывания Office можно блокировать определенные типы файлов для пользователей Excel 2010, PowerPoint 2010 и Word 2010, а также определять порядок открытия и сохранения пользователями этих блокированных файлов. Хотя параметры блокировки форматов файлов позволяют управлять использованием файлов во многих сценариях, чаще всего эти параметры используются для следующих целей: Принуждение организации к использованию определенных форматов файлов. Устранение атак нулевого дня (атаки этого типа происходят до выпуска обновления или пакета обновления программного обеспечения для устранения общеизвестной уязвимости) путем временного запрета пользователям открывать определенные типы файлов. Предотвращение открытия в организации файлов, которые были сохранены в более ранних и предварительных (бета-) Microsoft Office версиях форматов. Рекомендации по планированию для настройки параметров блокировки файлов При планировании параметров блокировки файлов придерживайтесь следующих общих правил: Примите решение о том, требуется ли пользователям возможность внесения изменений в конфигурации: Если параметры блокировки файлов были настроены с помощью групповой политики (политики), пользователи не могут изменять конфигурации. 338 Если параметры блокировки файлов были настроены с помощью центра развертывания Office (предпочтения), пользователи могут вносить изменения в параметры в пользовательском интерфейсе центра управления безопасностью. Параметры блокировки открытия не применяются к файлам, открываемым из надежных расположений. Параметры блокировки форматов файлов связаны с приложениями. Предотвратить использование других приложений для открытия или сохранения блокированных типов или форматов файлов невозможно. Например, можно включить параметры блокировки формата файлов, предотвращающие открытие пользователями DOT-файлов в Word 2010, но пользователи смогут открывать DOT-файлы в приложении Microsoft Publisher 2010, которое использует конвертер для чтения DOT-файла. Отключение уведомлений на панели сообщений не влияет на параметры блокировки форматов файлов. Диалоговое окно предупреждения о блокировке формата файлов выводится раньше любых уведомлений на панели сообщений. Параметры групповой политики и центра развертывания Office В этом разделе описывается порядок доступа к параметрам в групповой политике и центре развертывания Office, а также перечисляются параметры для Excel 2010, PowerPoint 2010 и Word 2010. Порядок доступа к параметрам Если не указано иное, параметры имеют следующее расположение: В групповой политике параметры доступны в узле Конфигурация пользователя/Административные шаблоны редактора объектов групповой политики. Примечание. Расположения в редакторе объектов групповой политики, представленные в этой статье, применяются при вызове редактора объектов групповой политики для редактирования объекта групповой политики. Для редактирования локальной групповой политики используйте локальный редактор объектов групповой политики. Для редактирования доменной групповой политики используйте консоль управления групповой политикой (GPMC). Каждый из этих инструментов вызывает редактор объектов групповой политики при редактировании объекта групповой политики. Дополнительные сведения см. в статьях Принудительное применение параметров с помощью групповой политики в Office 2010 и Обзор групповой политики для Office 2010. В центре развертывания Office параметры политики доступны на странице Изменение параметров пользователя. 339 В групповой политике и центре развертывания Office пути к папкам, содержащим параметры блокировки файлов для Excel 2010, PowerPoint 2010 и Word 2010, параллельны: Параметры блокировки файлов Excel 2010: Параметры блокировки файлов PowerPoint 2010: Microsoft Excel 2010\Excel Options\Security\Trust Center\File Block Settings Microsoft PowerPoint 2010\PowerPoint Options\Security\Trust Center\File Block Settings Параметры блокировки файлов Word 2010: Microsoft Word 2010\Word Options\Security\Trust Center\File Block Settings Примечание. По умолчанию пользователи могут задать параметры блокировки файлов по умолчанию в пользовательском интерфейсе центра безопасности для Excel 2010, PowerPoint 2010 и Word 2010 (на вкладке Файл последовательно выберите Параметры, Центр управления безопасностью, Параметры центра управления безопасностью и Параметры блокировки файлов). Можно отключить параметры блокировки файлов, заданные в центре управления безопасностью, настроив параметры через групповую политику. В случае настройки параметров через центр развертывания Office для пользователей сохраняется возможность указать поведение типа файлов через пользовательский интерфейс центра управления безопасностью. Дополнительные сведения см. в статье, в которой описывается, что такое блокировка файлов (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=195498&clcid=0x419) (Возможно, на английском языке). О параметре "Задать поведение заблокированных файлов по умолчанию" Параметр "Задать поведение заблокированных файлов по умолчанию" задает режим открытия заблокированных файлов (например: не открывать, открыть в режиме защищенного просмотра или открыть в режиме защищенного просмотра, но с возможностью редактирования). Если этот параметр включен, заданное поведение заблокированных файлов по умолчанию применяется ко всем форматам файлов, заблокированным пользователями в пользовательском интерфейсе центра управления безопасностью. Кроме того, оно применяется только к определенному формату файлов, если включен параметр данного формата файлов (дополнительные сведения о параметрах отдельных форматов файлов см. в таблицах данной статьи) и выбран вариант Блокировать открытие и сохранение, использовать политику открытия. В противном случае настройка параметра отдельного формата файла переопределяет настройку параметра Задать поведение заблокированных файлов по умолчанию для соответствующего формата файлов. Примечание. 340 Параметры в разделе Поведение при открытии для выбранных типов пользовательского интерфейса центра управления безопасностью, в группе Блокировка файлов, сопоставлены непосредственно со значениями параметра Задать поведение заблокированных файлов по умолчанию. Можно отключить эти параметры пользовательского интерфейса для пользователей, включив параметр "Задать поведение заблокированных файлов по умолчанию" в групповой политике. Параметры Excel 2010 В следующей таблице приведены параметры блокировки файлов в групповой политике и центре развертывания Office, которые можно настроить для пользователей Excel 2010. За исключением параметра Задать поведение заблокированных файлов по умолчанию имена параметров соответствуют типам файлов, которые они могут блокировать. Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Задать поведение заблокированных файлов по умолчанию Заблокированные форматы файлов, заданные пользователями в пользовательском интерфейсе центра управления безопасностью Отдельные типы файлов, если этот параметр включен и выбрано Блокировать открытие и сохранение, использовать политику открытия Примечание. Параметры отдельных типов файлов переопределяют Заблокированные файлы не открываются. Заблокированные файлы открываются в режиме защищенного просмотра и недоступны для изменения. Заблокированные файлы открываются в режиме защищенного просмотра и доступны для изменения. Заблокированные файлы не открываются (пользователи не могут открывать заблокированные файлы). 341 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: этот параметр. Книги и шаблоны Excel 2007 и более поздних версий *.xlsx Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как *.xltx Тип формата файлов не блокирован. 342 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Книги и шаблоны Excel 2007 и более поздних версий с поддержкой макросов *.xlsm *.xltm Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение Тип формата файлов не блокирован. 343 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов 344 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: этого типа включена. Файлы надстроек Excel 2007 и более поздних версий Двоичные книги Excel 2007 и более поздних версий *.xlam *.xlsb Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и Тип формата файлов не блокирован. Тип формата файлов не блокирован. 345 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. 346 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Файлы электронных таблиц OpenDocument *.ods Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение Тип формата файлов не блокирован. 347 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов этого типа, и файл не открывается. Файлы надстроек Excel 97–2003 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать Тип формата файлов не блокирован. 348 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Книги и шаблоны Excel 97–2003 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных Тип формата файлов не блокирован. 349 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов по умолчанию. Книги и шаблоны Excel 95-97 *.xls *.xla *.xlt Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Тип формата файлов не блокирован. 350 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: *.xlm *.xlw *.xlb Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме 351 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Книги Excel 95 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как Тип формата файлов не блокирован. 352 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие, так и сохранение файлов этого типа, и файл не открывается. Книги Excel 4 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать Тип формата файлов не блокирован. 353 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и 354 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Листы Excel 4 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как Тип формата файлов не блокирован. 355 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Листы Excel 3 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных Тип формата файлов не блокирован. 356 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов по умолчанию. Листы Excel 2 *.xls *.xla *.xlt Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Тип формата файлов не блокирован. 357 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: *.xlm *.xlw *.xlb Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме 358 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Файлы листов макросов и надстроек Excel 4 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Тип формата файлов не блокирован. 359 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Файлы листов макросов и надстроек Excel 3 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается Тип формата файлов не блокирован. 360 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. 361 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Файлы листов макросов и надстроек Excel 2 *.xls *.xla *.xlt *.xlm *.xlw *.xlb Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа Тип формата файлов не блокирован. 362 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: отключена. Веб-страницы и таблицы XML Excel 2003 *.mht *.mhtml *.htm *.html *.xml *.xlmss Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных Тип формата файлов не блокирован. 363 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов по умолчанию. XML-файлы *.xml Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Тип формата файлов не блокирован. 364 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Текстовые файлы *.txt *.csv *.prn Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и Тип формата файлов не блокирован. 365 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Файлы надстроек Excel Файлы dBase III / IV *.xll (*.dll) *.dbf Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Тип формата файлов не блокирован. Тип формата файлов не блокирован. 366 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Файлы запросов Microsoft Office *.iqy *.dqy *.oqy *.rqy Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Тип формата файлов не блокирован. 367 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Файлы подключений к данным Microsoft Office *.odc Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, Тип формата файлов не блокирован. 368 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Другие файлы источников данных Файлы автономных кубов *.udl *.dsn *.mdb *.mde *.accdb *.accde *.dbc *.uxdc *.cub Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Не блокировать. Этот тип файлов не блокируется. Блокировать Тип формата файлов не блокирован. Тип формата файлов не блокирован. 369 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Файлы Dif и Sylk *.dif *.slk Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных Тип формата файлов не блокирован. 370 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов по умолчанию. Конвертеры прежних версий для Excel Все форматы файлов, открываемые с помощью конвертера Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность Тип формата файлов не блокирован. 371 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: изменения файлов этого типа отключена. Конвертеры Microsoft Office Open XML для Excel Все форматы файлов, открываемые с помощью конвертера OOXML Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать Тип формата файлов не блокирован. 372 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. 373 Параметры PowerPoint 2010 В следующей таблице приведены параметры блокировки файлов в групповой политике и центре развертывания Office, которые можно настроить для пользователей PowerPoint 2010. За исключением параметра Задать поведение заблокированных файлов по умолчанию имена параметров соответствуют типам файлов, которые они могут блокировать. Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Задать поведение заблокированных файлов по умолчанию Заблокированные форматы файлов, заданные пользователями в пользовательском интерфейсе центра управления безопасностью Отдельные типы файлов, если этот параметр включен и выбрано Блокировать открытие и сохранение, использовать политику открытия Заблокированные файлы не открываются. Заблокированные файлы не открываются (пользователи не Заблокированные файлы открываются могут открывать заблокированные в режиме файлы). защищенного просмотра и недоступны для изменения. Заблокированные файлы открываются в режиме защищенного просмотра и доступны для изменения. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов Примечание. Параметры отдельных типов файлов переопределяют этот параметр. Презентации, демонстрации, шаблоны и надстройки PowerPoint 2007 и более поздних *.pptx *.pptm *.potx *.ppsx *.ppam Тип формата файлов не блокирован. 374 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: версий *.thmx *.xml этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и 375 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Файлы презентаций OpenDocument *.odp Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Тип формата файлов не блокирован. 376 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Файлы презентаций, демонстраций, шаблонов и надстроек PowerPoint 97–2003 *.ppt *.pot *.pps *.ppa Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа Тип формата файлов не блокирован. 377 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме 378 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Веб-страницы *.mht *.mhtml *.htm *.html Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как Тип формата файлов не блокирован. 379 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие, так и сохранение файлов этого типа, и файл не открывается. Файлы структуры *.rtf *.txt *.doc *.wpd *.docx *.docm *.wps Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Тип формата файлов не блокирован. 380 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Конвертеры прежних версий для PowerPoin Файлы презентаций более ранних версий, чем PowerPoint 97 Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение Тип формата файлов не блокирован. 381 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: заблокированных файлов по умолчанию. Графические фильтры *.jpg *.png *.tif Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Тип формата файлов не блокирован. 382 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Конвертеры Microsoft Office Open XML для PowerPoint *.bmp *.wmf *.emf Все форматы файлов, открываемые с помощью конвертера OOXML Блокировать сохранение. Сохранение файлов этого типа заблокировано. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме Тип формата файлов не блокирован. 383 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Параметры Word 2010 В следующей таблице приведены параметры блокировки файлов в групповой политике и центре развертывания Office, которые можно настроить для пользователей Word 2010. За исключением параметра Задать поведение заблокированных файлов по умолчанию имена параметров соответствуют типам файлов, которые они могут блокировать. 384 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Задать поведение заблокированных файлов по умолчанию Заблокированные форматы файлов, заданные пользователями в пользовательском интерфейсе центра управления безопасностью Отдельные типы файлов, если этот параметр включен и выбрано Блокировать открытие и сохранение, использовать политику открытия Заблокированные файлы не открываются. Заблокированные файлы открываются в режиме защищенного просмотра и недоступны для изменения. Заблокированные файлы открываются в режиме защищенного просмотра и доступны для изменения. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать Примечание. Параметры отдельных типов файлов переопределяют этот параметр. Документы и шаблоны Word 2007 и более поздних версий *.docx *.dotx *.docm *.dotm *.xml (Word Flat Open XML) Заблокированные файлы не открываются (пользователи не могут открывать заблокированные файлы). Тип формата файлов не блокирован. 385 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и 386 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Текстовые файлы OpenDocument *.odt Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не Тип формата файлов не блокирован. 387 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открывается. Двоичные документы и шаблоны Word 2007 и более поздних версий *.doc *.dot Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, Тип формата файлов не блокирован. 388 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как 389 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Двоичные документы и шаблоны Word 2003 *.doc *.dot Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Тип формата файлов не блокирован. 390 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. XML-документы Word 2003 и обычные XMLдокументы *.xml Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и Тип формата файлов не блокирован. 391 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность 392 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: изменения файлов этого типа включена. Двоичные документы и шаблоны Word XP *.doc *.dot Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, Тип формата файлов не блокирован. 393 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: и возможность изменения файлов этого типа отключена. Двоичные документы и шаблоны Word 200 *.doc *.dot Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Тип формата файлов не блокирован. 394 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Двоичные документы и шаблоны Word 97 *.doc *.dot Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и Тип формата файлов не блокирован. 395 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. 396 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Двоичные документы и шаблоны Word 95 *.doc *.dot Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного Тип формата файлов не блокирован. 397 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Двоичные документы и шаблоны Word 6.0 *.doc *.dot Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать Тип формата файлов не блокирован. 398 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: поведение заблокированных файлов по умолчанию. Двоичные *.doc Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Тип формата 399 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: документы и шаблоны Word 2.0 и более ранних версий Этот тип файлов не блокируется. *.dot Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить файлов не блокирован. 400 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Веб-страницы *.htm *.html *.mht *.mhtml Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Тип формата файлов не блокирован. 401 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: RTF-файлы *.rtf Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Тип формата файлов не блокирован. 402 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. 403 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: Обычные текстовые файлы *.txt Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по Тип формата файлов не блокирован. 404 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: умолчанию. Конвертеры прежних версий для Word Все форматы файлов, открываемые с помощью конвертера Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как Тип формата файлов не блокирован. 405 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Конвертеры Office Open XML для Word Все форматы файлов, открываемые с помощью конвертера OOXML Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа включена. Не блокировать. Этот тип файлов не блокируется. Блокировать сохранение. Сохранение файлов этого типа заблокировано. Блокировать открытие и сохранение, использовать политику открытия. Заблокировано как открытие, так и сохранение Тип формата файлов не блокирован. 406 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: файлов этого типа. Файл открывается на основе значения параметра Задать поведение заблокированных файлов по умолчанию. Блокировать. Заблокировано как открытие, так и сохранение файлов этого типа, и файл не открывается. Открыть в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов этого типа отключена. Разрешить редактирование и открытие в режиме защищенного просмотра. Заблокировано как открытие, так и сохранение файлов этого типа, и возможность изменения файлов 407 Имя параметра Расширение формата Если этот параметр Если этот параметр файла включен, можно отключен или не выбрать один из настраивается вами следующих вариантов: этого типа включена. См. также Планирование обеспечения безопасности для Office 2010 Обзор групповой политики для Office 2010 Принудительное применение параметров с помощью групповой политики в Office 2010 Office Customization Tool in Office 2010 (на английском языке) 408 Планирование управления правами на доступ к данным в Office 2010 На многих предприятиях для защиты уязвимой информации, например, медицинских и финансовых документов сотрудников, платежных ведомостей и персональных данных используется только ограничение доступа к сетям или компьютерам, где все это хранится. Технология управления правами на доступ к данным (IRM), которая применяется в Microsoft Office 2010, помогает организациям и сотрудникам информационных центров обеспечить электронный контроль уязвимой информации методом выбора разрешений на доступ и использование документов и сообщений. В этой теме кратко описана технология IRM и принципы ее работы в приложениях Office, а также приведены ссылки на дополнительную информацию о настройке и установке необходимых серверов и программного обеспечения внедрения IRM в Office 2010. Содержание: Обзор IRM Как IRM работает в Office 2010 Настройка IRM для Office 2010 Настройка параметров службы управления правами на доступ к данным в Office 2010 Настройка параметров службы управления правами на доступ к данным в Outlook 2010 Обзор IRM IRM — это разработанная корпорацией Майкрософт устойчивая технология файлового уровня, с помощью разрешений и проверки подлинности помогающая предотвратить печать, переадресацию или копирование уязвимой информации посторонними лицами. Ограниченные с помощью этой технологии разрешения на доступ к документу или сообщению сохраняются в нем как часть содержимого. Примечание. Возможность создавать содержимое или сообщения электронной почты с ограниченными разрешениями, используя управление правами на доступ к данным, доступна в выпусках Office 2010: Microsoft Office профессиональный 2010 и Microsoft Office профессиональный плюс 2010. IRM Управление правами на доступ к данным также доступно в автономных версиях приложений Microsoft Excel 2010, Microsoft Outlook 2010, Microsoft PowerPoint 2010, Microsoft InfoPath 2010 и Microsoft Word 2010. Контент IRM, созданный в Office 2010, можно просматривать в Microsoft Office 2003, системе Microsoft Office 2007 или Office 2010. 409 Поддержка IRM в Office 2010 помогает организаций и сотрудникам информационных центров решить две фундаментальные задачи: Alt+1 Ограничение разрешений на доступ к уязвимой информации IRM помогает предотвратить несанкционированный доступ и повторное использованием уязвимой информации. Для защиты уязвимой интеллектуальной собственности корпорации используют брандмауэры, имена для входа и другие сетевые технологии. Основной недостаток этой технологии в том, что имеющие доступ к информации зарегистрированные пользователи могут ее передать посторонним. Это потенциальная брешь в политике безопасности. Информационная политика, контроль и целостность Сотрудники информационных центров часто работают с конфиденциальный или уязвимой информацией. При использовании технологии IRM сотрудникам не придется полагаться на других лиц в надежде, что уязвимые материалы не выйдут за стены компании. IRM не позволяет передавать, копировать или печатать конфиденциальные данные, помогая отключить эти функции в документах и сообщениях с использованием ограниченных разрешений. Менеджерам отдела информационных технологий (ИТ) IRM помогает внедрять существующие корпоративные политики, относящиеся к конфиденциальности документов, рабочих процессов и электронной почты. Для исполнительных директоров и начальников охраны IRM снижает риск попадания важнейшей информации компании в руки посторонних, как случайно или по незнанию, так и злонамеренно. Как IRM работает в Office 2010 Пользователи Office применяют к сообщениям или документам разрешения с использованием параметров ленты, например, команды Ограничить редактирование из вкладки Ознакомиться в Word. Доступные параметры защиты зависят от политик разрешений, настроенных в организации. Политики разрешений — это группы прав IRM, которые применяются совместно, как одна политика. Кроме того, в Office 2010 его несколько готовых групп прав, например, Не пересылать в Microsoft Outlook 2010. Использование IRM с сервером RMS Обычно для внедрения IRM в организации необходим доступ к серверу управления правами с установленными службами управления правами на доступ к данным Microsoft Windows (RMS) для Windows Server 2003 или службы управления правами Active Directory (AD RMS) для Windows Server 2008. (Кроме того, IRM можно использовать, применяя службу Windows Live ID для проверки подлинности разрешений, как описано в следующем разделе). Разрешения вводятся с использованием проверки подлинности, обычно через службу каталогов Microsoft Active Directory. Windows Live ID может проверять подлинность разрешений, Active Directory не внедрена. Пользователям не нужно устанавливать Office для чтения защищенных документов и сообщений. Для пользователей, которые применяют Windows XP и предыдущие версии, 410 средство просмотра Excel (http://go.microsoft.com/fwlink/?linkid=184596&clcid=0x419) и средство просмотра Word (http://go.microsoft.com/fwlink/?linkid=184595&clcid=0x419) позволяют пользователям Windows с нужными разрешениями читать документы с ограниченными разрешениями, не используя программное обеспечение Office. Пользователи, применяющие Windows XP и более ранние версии, могут использовать Microsoft Outlook Web App или надстройку управления правами для Internet Explorer (http://go.microsoft.com/fwlink/?linkid=82926&clcid=0x419), для чтения сообщений электронной почты с ограниченными разрешениями, не применяя программы Outlook. Для пользователей Windows 7 Windows Vista с пакетом обновлений 1 (SP1), Windows Server 2008 или Windows Server 2008 R2 эта функциональность уже доступна. клиентское программное обеспечение службы управления правами Active Directory уже включено в операционную систему. В Office 2010 компании могут создавать политики разрешений, которые используются в приложениях Office. Например, можно определить политику разрешений с именем Для служебного пользования, которая указывает, что документы и сообщения электронной почты, к которым применяется политика, могут открывать только пользователи компании. Ограничений по количеству создаваемых политик разрешений нет. Примечание. Службы Windows SharePoint Services 3.0 поддерживают использование технологии IRM для документов, которые хранятся в библиотеках документов. Используя IRM в Windows SharePoint Services, можно определить возможные действия пользователей с документами, которые открываются из библиотеки Windows SharePoint Services 3.0. Это отличается от от применения IRM к документам, которые хранятся на клиентских компьютерах, когда владелец может выбирать права, присваиваемые каждому пользователю документа. Дополнительные сведения об использовании IRM в библиотеках документов см. в разделе Планирование библиотек документ (службы Windows SharePoint Services) (http://go.microsoft.com/fwlink/?linkid=183051&clcid=0x419). С помощью службы AD RMS в Windows Server 2008 пользователи могут обмениваться защищенными документами между компаниями с федеративным отношением доверия. Дополнительные сведения см. в разделах Обзор службы управления правами Active Directory (http://go.microsoft.com/fwlink/?linkid=183051&clcid=0x419) и Федеративная служба управления правами Active Directory (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183053&clcid=0x419) (Возможно, на английском языке). Кроме того, благодаря службам AD RMS Microsoft Exchange Server 2010 обеспечивает новую функциональность электронной почты с защитой IRM, включая защиту AD RMS для единой системы обмена сообщениями и правил защиты Microsoft Outlook, которые могут автоматически применять защиту IRM к сообщениям в Outlook 2010 перед тем, как они покидают клиент Microsoft Outlook. Дополнительные сведения см. в разделах Новые возможности Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=183062&clcid=0x419) и Общие сведения об управлении правами на доступ к данным: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=183063&clcid=0x419). 411 Дополнительные сведения об установке и настройке серверов RMS см. в статьях Службы управления правами Windows Server 2003 (http://go.microsoft.com/fwlink/?linkid=73121&clcid=0x419) и Службы управления правами Active Directory Windows Server 2008 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=180006&clcid=0x419) (Возможно, на английском языке). Использование IRM без локального сервера RMS В типовой установке Windows Server 2003 with RMS or Windows Server 2008 с AD RMS со службой управления правами Windows разрешения IRM можно использовать в Office 2010. Если сервер RMS не настроен в одном домене с пользователями, служба Windows Live ID может проверять подлинность разрешений вместо Active Directory. Для подключения к серверам Windows Live ID пользователям необходим доступ в Интернет. Учетные записи Windows Live ID можно использовать для присвоения разрешений пользователям, которым нужен доступ к содержимому защищенных файлов. При использовании учетных записей Windows Live ID для проверки подлинности каждому пользователю нужно предоставить отдельное разрешение на доступ к файлу. Присвоить его группе пользователей нельзя. Настройка IRM для Office 2010 Для применения разрешений IRM к документам или сообщениям электронной почты необходимо следующее: Доступ к RMS для Windows Server 2003 или AD RMS для Windows Server 2008 или выше, для проверки подлинности разрешений. Вместо этого проверку подлинности можно выполнить с помощью веб-службы Windows Live ID. Клиентское программное обеспечение службы управления правами (RM). Клиентское программное обеспечение службы управления правами включено в Windows Vista и более поздние версии или доступно как надстройка для Windows XP и Windows Server 2003. Microsoft Office 2003, система Microsoft Office 2007 или Office 2010. Только определенные версии Office позволяют создавать разрешения IRM. Настройка доступа к серверу RMS Windows RMS или AD RMS управляет лицензированием и другими административными функциями сервера, который обеспечивает управление правами по технологии IRM. Клиентская программа с поддержкой RMS, например, Office 2010, позволяет пользователям создавать и просматривать защищенное содержимое. Дополнительные сведения о том, как работает служба RMS и как устанавливать и настраивать сервер RMS, см. в статьях Служба управления правами на доступ к данным (RMS) в Windows Server 2003 (http://go.microsoft.com/fwlink/?linkid=73121&clcid=0x419), Служба управления правами Active Directory в Windows Server 2008 (Возможно, на английском языке) 412 (http://go.microsoft.com/fwlink/?linkid=180006&clcid=0x419) (Возможно, на английском языке) и Общие сведения об управлении правами на доступ к данным: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=183062&clcid=0x419). Установка клиентского программного обеспечения управления правами Клиентское программное обеспечение RM включено в Windows Vista и более поздние версии Windows. Отдельная установка и конфигурация необходимого клиентского программного обеспечения RMS требуется для Windows XP и Windows Server 2003 с целью взаимодействия со службами RMS AD RMS на компьютере под управлением Windows или службой Windows Live ID в Интернете. Загрузитепакет обновления RMS Client Service Pack (http://go.microsoft.com/fwlink/?linkid=82927&clcid=0x419), чтобы пользователи Windows XP и Windows Server 2003 смогли запускать приложения, ограничивающие разрешения на основе технологий RMS. Настройка и развертывание политик разрешений Как и в Office 2003, в Office 2007 и Office 2010 есть готовые группы прав, которые пользователи могут применять к документам и сообщениям, например, Чтение и Изменение в Microsoft Word 2010, Microsoft Excel 2010 и Microsoft PowerPoint 2010. Кроме того, можно создать пользовательские политики разрешений IRM для сотрудников организации. Создание шаблонов прав и управление ими осуществляется с помощью сайта администрирования на сервере AD RMS. Дополнительные сведения о создании, редактировании и публикации пользовательских шаблонов политик разрешений см. в статьях Служба управления правами на доступ к данным (RMS) в Windows Server 2003 (http://go.microsoft.com/fwlink/?linkid=73121&clcid=0x419) и Пошаговая инструкция по развертыванию шаблонов политики службы AD RMS в Windows Server 2008 (http://go.microsoft.com/fwlink/?linkid=183068&clcid=0x419). Сведения о правилах защиты Outlook в Exchange Server 2010 см. в статье Общие сведения о правилах защиты Outlook: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=183067&clcid=0x419). Права, которые можно включить в шаблоны политики разрешений для Office 2010, перечислены в следующих разделах. Права на управление разрешениями Каждое из перечисленных в следующей таблице прав на управление разрешениями службы управления правами на доступ к данным может быть реализовано приложениями Office 2010, настроенными в сети, в которой работает сервер, на котором запущена служба RMS или AD RMS. 413 Право службы управления правами на доступ к Описание данным Полный доступ Предоставляет пользователю все перечисленные ниже права, а также право вносить изменения в разрешения, связанные с содержимым. Истечение срока действия не применимо к пользователям, имеющим право полного доступа. Просмотр Позволяет пользователю открывать содержимое управления правами на доступ к данным. Это право соответствует праву доступа на чтение в пользовательском интерфейсе Office 2010. Изменение Позволяет пользователю изменять содержимое управления правами на доступ к данным. Сохранение Позволяет пользователю сохранять файл. Извлечение Позволяет пользователю копировать любую часть файла и вставлять эту часть файла в рабочую область другого приложения. Экспорт Позволяет пользователю удалить ограничения из контента и сохранить его в другом месте или другом формате, который поддерживает IRM. Печать Позволяет пользователю печатать содержимое файла. Разрешить макросы Позволяет пользователю запускать макросы применительно к содержимому файла. Перенаправление Позволяет получателю сообщения электронной почты пересылать сообщение с защитой IRM, добавлять или удалять получателей из строк "Кому:" и "Копия:". Ответ Позволяет получателям электронной почты отвечать на сообщения электронной почты, к которым применяется управление правами на доступ к данным. Ответить всем Позволяет получателям сообщений 414 Право службы управления правами на доступ к Описание данным электронной почты отвечать всем пользователям, включенным в поля "Кому" и "Копия" сообщения электронной почты, к которому применяется управление правами на доступ к данным. Просмотр прав Предоставляет пользователю разрешение просматривать связанные с файлом права. Система Office не использует это право. Предварительно определенные группы разрешений Office 2010 предоставляет следующие предварительно определенные группы прав, которые пользователи могут выбирать при создании содержимого, защищенного службой управления правами на доступ к данным. Параметры доступны в диалоговом окне Разрешение для Word 2010, Excel 2010 и PowerPoint 2010. В приложении Office щелкните вкладку Файл, выберите Сведения, нажмите кнопку Защитить документ, выберите Разрешение ограничения по людям, щелкните Ограничить доступ и затем выберите Ограничение разрешения для этого документа, чтобы включить параметры разрешений, перечисленные в следующей таблице. Предварительно определенная группа службы Описание управления правами на доступ к данным Чтение Пользователи, получившие разрешение на чтение, имеют только право на просмотр. Изменение Пользователи, получившие разрешение на изменение, имеют права на просмотр, редактирование, извлечение и сохранение. В Outlook 2010 пользователи могут выбрать следующую предварительно заданную группу прав при создании элемента электронной почты. Для доступа к этому параметру в сообщении электронной почты щелкните вкладку Файл, Сведения и выберите Задать разрешения. Предварительно определенная группа службы Описание управления правами на доступ к данным Не пересылать В приложении Outlook автор сообщения 415 Предварительно определенная группа службы Описание управления правами на доступ к данным электронной почты, защищенных службой управления правами на доступ к данным, может применить разрешение "Не пересылать" к пользователям, указанным в полях "Кому", "Копия" и "Скрытая копия". Это разрешение включает права на просмотр, изменение, ответ и ответ всем. Дополнительные разрешения Другие разрешения службы управления правами на доступ к данным можно определить в дополнительном диалоговом окне Разрешения приложений Word 2010, Excel 2010 и PowerPoint 2010. В первом диалоговом окне Разрешение щелкните Дополнительные параметры. Например, пользователи могут определить дату истечения срока действия, позволить другим пользователям печатать или копировать содержимое и т. д. Кроме того, приложение Outlook по умолчанию разрешает просматривать сообщения в браузере, поддерживающим управление правами. Развертывание шаблонов политики прав По завершении создания шаблонов политики прав поместите их на общий ресурс сервера, где все пользователи могут получить доступ к этим шаблонам или копировать их в локальные папки на своих компьютерах. Параметры политики службы управления правами на доступ к данным, доступные в шаблоне групповой политики Office (Office 14.adm), можно настроить таким образом, чтобы указывать расположение хранения шаблонов политики предоставления прав (локальное или на доступном общем ресурсе сервера). Дополнительные сведения см. в статье Настройка управления правами на доступ к данным в Office 2010. Настройка параметров службы управления правами на доступ к данным в Office 2010 Можно заблокировать множество параметров для настройки службы управления доступом к данным с помощью шаблона групповой политики Office (Office14.adm). Также можно использовать центр развертывания Office для настройки стандартных параметров, при этом пользователь может менять параметры. Кроме того, есть параметры конфигурации службы IRM, которые можно задать только с помощью разделов реестра. 416 Параметры службы управления доступа к данным Office 2010 В следующей таблице перечислены параметры IRM, которые можно выбрать в групповой политике и с помощью OCT. В групповой политике эти параметры размещены в разделе Конфигурация пользователя\Административные шаблоны\Microsoft Office 2010\Управление ограниченными разрешениями. Параметры центра развертывания Office располагаются в соответствующих разделах на странице Изменение пользовательских настроек центра развертывания Office. Параметр IRM Описание Время ожидания Active Directory для запроса одной записи для расширения группы Укажите время ожидания при передаче запроса к записи Active Directory при расширении группы. URL-адрес запроса дополнительных разрешений Укажите место, где пользователь сможет получить дополнительную информацию о доступе к содержимому IRM. Разрешает пользователям предыдущих версий Office чтение в браузерах. Предоставление пользователям без Office 2010 разрешения просматривать содержимое с настроенными правами с помощью надстройки управления правами для Windows Internet Explorer. Всегда развертывать группы в Office при ограничении разрешений для документов Когда пользователи применяют разрешения к документу, выбирая имя группы в диалоговом окне Разрешения, имя группы автоматически расширяется для отображения всех членов группы. Пользователи всегда должны подключаться для проверки разрешений Пользователи, которые открывают документ Office с настроенными правами, должны подключиться к Интернет или локальной сети и с помощью RMS или Windows Live ID подтвердить, что у них есть действующая лицензия IRM. Отключение службы Microsoft Passport для контента с ограниченными разрешениями Если включено, пользователи не могут открывать контент, созданный с помощью учетной записи Windows Live ID с проверкой подлинности. Никогда не разрешать пользователям указывать группы при ограничении разрешений Когда пользователи выбирают группу в диалоговом окне Разрешения, возвращается сообщение об ошибке: ''Невозможно 417 Параметр IRM Описание для документов опубликовать содержимое в списках рассылки. Можно только указать адреса электронной почты отдельных пользователей''. Не позволять пользователям изменять Если включено, пользователи могут разрешения в контенте с управлением правами пользоваться содержимым, в которое уже включены разрешения IRM, но не могут применять разрешения IRM к новому содержимому или редактировать права на доступ к документу. Определение путь политики разрешения Отображение в диалоговом окне Разрешение шаблонов политики разрешений из указанной папки. Отключить интерфейс пользователя службы управления доступом к данным Отключение всех параметров, относящихся к управлению правами и включенных в интерфейс всех приложений Office. URL-адрес для размещения шаблонов документов, отображаемых, если приложения не распознают документы с управлением к доступом к данным Предоставление пути папки с настроенными текстовыми шаблонами оболочки, которые будут использоваться предыдущими версиями Office, которые не поддерживают контент с управлением правами. Дополнительные сведения о настройке этих параметров см. в статье Настройка управления правами на доступ к данным в Office 2010. Параметры раздела реестра службы управления доступом к данным Office 2010 Следующие параметры реестра IRM хранятся в разделе HKCU\Software\Microsoft\Office\14.0\Common\DRM. Запись реестра Тип Значение Описание CorpCertificationServer Строка URL-адрес корпоративного сервера сертификации Обычно Active Directory используется для указания сервера RMS. Этот параметр позволяет переопределить 418 Запись реестра Тип Значение Описание расположение хранения Windows RMS, которое указано в Active Directory для целей сертификации. RequestPermission DWORD 1 = в поле стоит флажок. 0 = флажка нет. Этот раздел реестра переключает выбранное по умолчанию состояние флажка Пользователи могут запрашивать дополнительные разрешения от. CloudCertificationServer Строка URL-адрес пользовательского сервера сертификации из глобальной сети Отсутствуют соответствующие параметры групповой политики. CloudLicenseServer Строка URL-адрес сервера лицензирования Отсутствуют соответствующие параметры групповой политики. DoNotUseOutlookByDefault DWORD 0 = Outlook используется Диалоговое окно Разрешение использует Outlook для проверки введенного адреса электронной почты, введенного в этом диалоговом окне. После этого при наличии ограниченных разрешений запускается экземпляр Outlook. Раздел позволяет отключить параметр. 1 = Outlook не используется 419 Следующий параметр реестра IRM находится в разделе HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers. Запись реестра Тип Значение Описание LicenseServers Раздел/куст. Содержит значения DWORD с именем сервера лицензий. Устанавливает URL-адрес сервера. Если значение DWORD — 1, Office не предлагает получить лицензию (она просто получается). Пример: если "http://contoso.com/_wmcs/licensing = 1" является значением этого параметра, пользователь, который попытается запросить лицензию с этого сервера для открытия документа с настроенными правами, не получит запроса лицензии. Если значение нулевое или в реестре нет записи для этого сервера, Office запрашивает лицензию. Следующий параметр реестра IRM находится в разделе HKCU\Software\Microsoft\Office\12.0\Common\Security. Соответствующего параметра групповой политики нет. Запись реестра Тип Значение Описание DRMEncryptProperty DWORD 1 = метаданные файла шифруются. Укажите, нужно ли шифровать все метаданные, которые хранятся в файле с настроенными правами. 0 = метаданные сохраняются в простом текстовом формате. Значение по умолчанию равно 0. Для открытых форматов файлов Open XML (например, docx, xlsx, pptx и т. д.) пользователи могут выбирать шифрование метаданных Microsoft Office, которые хранятся в файле с настроенными правами. Пользователи могут шифровать все метаданные Office, включая 420 гиперссылки, или оставить содержимое без шифрования, чтобы к нему можно было подключаться из других приложений. При желании можно зашифровать метаданные, настроив раздел реестра. Развернув параметр реестра, можно установить для пользователей параметры по умолчанию. Кроме того, параметр реестра DRMEncryptProperty не определяет, шифруется ли хранилище метаданных клиента, не относящегося к Office (например, созданного продуктами Microsoft SharePoint 2010). Эти настройки шифрования не относятся к Microsoft Office 2003 и прочим форматам файла предыдущих версий. Office 2010 обращается с ранними форматами так же, как Office 2007 и Microsoft Office 2003. Настройка параметров службы управления правами на доступ к данным в Outlook 2010 В Outlook 2010 пользователи могут создавать и отправлять сообщения электронной почты с ограниченными разрешениями, чтобы запретить пересылку, печать, копирование и вставку сообщений. Документы, книги и презентации Office 2010, прикрепленные к сообщениям с ограниченными разрешениями, также автоматически имеют ограниченные разрешения. Администратор Microsoft Outlook может настраивать ряд параметров для электронной почты службы управления правами на доступ к данными, например, отключать управление электронными правами на доступ к данным или настроить кэширование локальных лицензий. При настройке обмена сообщениями электронной почты с управлением правами можно использовать следующие параметры и возможности службы управления правами на доступ к данным. Настройка автоматического кэширования лицензий для управления правами на доступ к данным. Помощь при внедрении срока действия сообщения электронной почты. Запрет использования Outlook для проверки правильности адресов электронной почты для разрешений службы управления правами на доступ к данными. Примечание. Для отключения управления правами на доступ к данным в Outlook необходимо отключить управление правами на доступ к данным для всех приложений Office. Невозможно отключить управление правами на доступ к данным только для Outlook. Параметры службы управления доступа к данным Outlook 2010 Можно заблокировать большую часть параметров, чтобы настроить управление правами на доступ к данным для Outlook с использованием шаблона групповой политики Outlook 421 (Outlk14.adm) или шаблона групповой политики Office (Office14.adm). Также для большинства параметров можно настроить значения по умолчанию, используя центр развертывания Office, который позволяет пользователям изменять параметры. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office. Расположение Параметр IRM Описание Microsoft Outlook 2010\Прочее Не загружать информацию о лицензии разрешения на права для почты управления правами на доступ к данным во время синхронизации автономной папки Exchange Включите, чтобы запретить локальное кэширование сведений о лицензии. Если включено, пользователи должны подключиться к сети для получения сведений о лицензии, чтобы открыть сообщений электронной почты с управлением правами. Microsoft Outlook 2010\Параметры Outlook\ Параметры электронной почты\ Дополнительные параметры электронной почты При отправке сообщения Для принудительного применения истечения срока сообщения электронной почты включите правило и введите число дней до истечения срока действия сообщения. Период истечения применяется, только если пользователь отправляет сообщение с управлением правами, а после истечения периода срока действия доступ к сообщению запрещен. Дополнительные сведения о настройке этих параметров см. в статье Настройка управления правами на доступ к данным в Office 2010. Параметры раздела реестра службы управления доступом к данным Outlook 2010 Диалоговое окно Разрешения использует Outlook для проверки адресов электронной почты, введенных в этом диалоговом окне. В результате при ограничении разрешений запускается экземпляр Outlook. Можно отключить этот параметр, используя раздел реестра, указанный в следующей таблице. Этому параметру не соответствует групповая политика или параметр центра развертывания Office. 422 Следующий параметр IRM размещен в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM. Запись реестра Тип Значение Описание DoNotUseOutlookByDefault DWORD 0 = Outlook используется Раздел позволяет отключить параметр. 1 = Outlook не используется См. также Настройка управления правами на доступ к данным в Office 2010 Служба управления правами на доступ к данным (RMS) в Windows Server 2003 Служба управления правами Active Directory Windows Server 2008 (Возможно, на английском языке) Общие сведения об управлении правами на доступ к данным: справка Exchange 2010 Планирование библиотек документов (службы Windows SharePoint Services) 423 Security articles for end users (Office 2010) IT pros can share the Microsoft Office 2010 security resources that are listed in this article with end users in their organizations. These resources include articles, videos, and training courses that are designed to assist end users who use Product Short Name 2010 applications. The resources are listed in a series of tables that are organized into the following categories: Overview New Security Features Outlook/Access/Excel/PowerPoint/Visio/Word Access only To see a list of all security and privacy related articles for a specific program, such as Word, PowerPoint, or another Office program, go to the Office.com website, select the support tab, select All Support, select the application you want, and then select Security and privacy. Overview Resource Description Office 2010 Security: Protecting your files Self-paced training that assists the user in becoming familiar with the security features that help protect files in Microsoft Excel 2010, Microsoft PowerPoint 2010, and Microsoft Word 2010. View my options and settings in the Trust Center Discusses the Trust Center, where you can find security and privacy settings for Office 2010 programs. New Security Features Resource Feature What is Protected View? Protected View, a new security feature in Office 2010 that helps protect your computer by opening files in a restricted environment so they can be examined before they are opened for 424 Resource Feature editing in Excel, PowerPoint, or Word. Office 2010 Security video: file validation Office File Validation, a new security feature in Office 2010 that helps protect your computer by scanning and validating Office binary file formats before they are opened. Outlook Resource Description How Outlook helps protect you from viruses, spam, and phishing Describes how Outlook 2010 helps protect your computer from viruses, spam, and phishing. Blocked attachments in Outlook Describes the default behavior of Outlook 2010, which does not allow you to receive certain kinds of files as attachments. Encrypt e-mail messages Explains how message encryption works in Outlook 2010 and includes procedures for encrypting e-mail messages. Introduction to IRM for e-mail messages Explains what Information Rights Management (IRM) is and how you can use it to restrict permission to content in e-mail messages in Microsoft Outlook. Access, Excel, PowerPoint, Visio, and Word Resource Description Enable or disable ActiveX settings in Office files Explains how to work with ActiveX controls that are in your files, how to change their settings, and how to enable or disable them by using the Message Bar and the Trust Center. Enable or disable macros in Office files Describes the risks involved when you work with macros, and how to enable or disable macros in 425 Resource Description the Trust Center. Trusted documents Explains what trusted documents are, when to use them, and how to configure their settings. Add, remove, or modify a trusted location for your files Describes trusted locations, how and where you can create them, and the precautions that you should take before you use a trusted location. Active content types in your files Lists active-content types that can be blocked by the Trust Center and cause Message Bars to appear when you open files. Active content types include macros, add-ins, and data connections. Access only Resource Description Introduction to Access 2010 security Summarizes the security features that are offered by Access 2010, and explains how to use the tools that Access provides for helping to secure a database. Decide whether to trust a database Discusses how trust works in Access 2010, how it differs from security in earlier versions of Access, and what factors that you should consider when you decide whether to trust a database. Set or change Access 2003 user-level security in Access 2010 Explains how the Access 2003 security features work, and how to start and use them in Access 2010. How database objects behave when trusted and untrusted Explains how, by default, Access 2010 disables several database objects unless you apply a digital signature to them or you place the database in a trusted location. The article also lists the components that Access disables. Show trust by adding a digital signature Explains how to create your own security certificate to show that you believe that a database is safe and that its content can be trusted. 426 427 Планирование групповой политики для Office 2010 Групповая политика — это инфраструктура, которая используется для применения одной или нескольких конфигураций или параметров политики к группе пользователей и компьютеров в среде службы каталогов Active Directory. Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений. Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений. В этом разделе представлены сведения для ИТ-администраторов, которые планируют использовать групповую политику для настройки и принудительного применения параметров приложений Microsoft Office 2010. Содержание: Статья Описание Обзор групповой политики для Office 2010 Краткий обзор использования групповой политики для настройки и принудительного применения параметров для приложений Office 2010. Планирование групповой политики в Office 2010 В этой статье описываются ключевые этапы планирования для управления приложениями Office 2010 с помощью групповой политики. 428 Обзор групповой политики для Office 2010 В этой статье представлен краткий обзор понятий групповой политики. Целевая аудитория для этой статьи — ИТ-администраторы, которые планируют использовать групповую политику для настройки и применения параметров приложений Microsoft Office 2010. Содержание: Локальная групповая политика и групповая политика на основе Active Directory Обработка групповой политики Изменение того, как групповая политика обрабатывает объекты групповой политики Административные шаблоны Истинные политики и предпочтения пользователя Средства управления групповыми политиками Центр развертывания Office и групповая политика Локальная групповая политика и групповая политика на основе Active Directory Групповая политика — это инфраструктура, которая используется для применения одной или нескольких конфигураций или параметров политики к группе пользователей и компьютеров в среде службы каталогов Active Directory. Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений. Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений. В каждой установке групповой политики присутствует по два расширения: Серверное расширение оснастки консоли управления (MMC) редактора объектов групповой политики, используемое для определения и настройки параметров политики, применяемых к клиентским компьютерам. Клиентское расширение, вызываемое модулем групповой политики для применения параметров политики. Параметры групповой политики содержатся в объектах групповой политики, которые связаны с выбранными контейнерами Active Directory: сайтами, доменами или подразделениями (OU). Созданный объект групповой политики хранится в домене. При связывании объекта групповой политики с контейнером Active Directory (например, с подразделением) эта связь становится компонентом данного контейнера Active Directory. Связь не является компонентом объекта групповой политики. Параметры в объектах групповой политики оцениваются по задействованным целевым объектам на основе иерархической структуры Active Directory. Например, можно создать объект групповой политики с именем Параметры Office 2010, который будет влиять только на параметры приложений Office 2010. Этот объект можно применить к 429 определенному сайту, чтобы к приложениям Office 2010 пользователей, входящих в этот сайт, применились указанные в объекте групповой политики Параметры Office 2010 параметры. На каждом компьютере имеется локальный объект групповой политики, который обрабатывается всегда вне зависимости от того, входит ли компьютер в домен или является автономным. Локальный объект групповой политики не может блокироваться доменными объектами групповой политики. Однако параметры доменных объектов групповой политики всегда имеют преимущество, поскольку обрабатываются после локального объекта групповой политики. Примечание. Windows Vista, Windows Server 2008 и Windows 7 обеспечивают поддержку для управления несколькими локальными объектами групповой политики на автономных компьютерах. Дополнительные сведения см. в статье Пошаговая инструкция по управлению несколькими локальными объектами групповой политики (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=182215&clcid=0x419) (Возможно, на английском языке). Хотя локальные объекты групповой политики можно настроить на каждом отдельном компьютере, максимальные преимущества групповой политики можно получить в сети на основе Windows Server 2003 или Windows Server 2008 с установленной службой каталогов Active Directory. Обработка групповой политики Групповая политика для компьютеров применяется при запуске компьютера, а групповая политика для пользователей применяется при входе пользователя в систему. Кроме начальной обработки групповой политики в момент запуска и входа в систему, групповая политика периодически применяется впоследствии в фоновом режиме. При обновлении в фоновом режиме клиентское расширение повторно применяет параметры политики только в случае обнаружения изменений на сервере в любом из объектов групповой политики или списке объектов групповой политики. Для установки программного обеспечения и перенаправления папок обработка групповой политики выполняется только во время запуска компьютера или входе пользователя в систему. Параметры групповой политики обрабатываются в следующем порядке: Локальный объект групповой политики. На каждом компьютере имеется локальный объект групповой политики. Этот объект групповой политики обрабатывается для групповой политики как компьютера, так и пользователя. Сайт. После этого обрабатываются объекты групповой политики, связанные с сайтом, к которому принадлежит компьютер. Порядок обработки определяется администратором на вкладке Связанные объекты групповой политики для сайта в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет. Сведения о консоли 430 управления групповыми политиками см. в разделе Средства управления групповыми политиками. Домен. Группа связанных с доменом объектов групповой политики обрабатывается в порядке, заданном администратором на вкладке Связанные объекты групповой политики для домена в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет. Подразделения. Объекты групповой политики, связанные с подразделением, расположенным в самом верху иерархии Active Directory, обрабатываются первыми. Затем обрабатываются объекты групповой политики, связанные с дочерним подразделением и т. д. Объекты групповой политики, связанные с подразделением, в котором находится компьютер или пользователь, обрабатываются последними. Порядок обработки зависит от следующих условий: Примененные к объектам групповой политики инструментарий управления Windows (WMI) или фильтры параметров безопасности. Любой доменный объект групповой политики (не локальный групповой политики) может быть принудительно применен при помощи параметра Обеспечить, так что его параметры политики невозможно перезаписать. Поскольку принудительный объект групповой политики обрабатывается последним, никакие другие параметры не могут перезаписать параметры такого объекта групповой политики. При наличии нескольких объектов групповой политики одному параметру в каждом объекте можно присвоить разные значения. В этом случае порядок связей объектов групповой политики определяет, какой параметр групповой политики содержит окончательные параметры. В любом домене или подразделении наследование для групповой политики можно выборочно указать параметр Блокировать наследование. Однако, поскольку принудительные объекты групповой политики применяются всегда, и блокировать их нельзя, блокировка наследования не предотвращает применение параметров политики из принудительных объектов групповой политики. Наследование политики Действующие для пользователя или компьютера параметры политики — это результат объединения объектов групповой политики, примененных на сайте, в домене и подразделении. При применении нескольких объектов групповой политики к пользователям и компьютерам в таких контейнерах Active Directory параметры в объектах групповой политики объединяются. По умолчанию параметры, развернутые в объектах групповой политики, связанных с контейнерами верхнего уровня (родительскими контейнерами) в Active Directory, наследуются дочерними контейнерами и объединяются с параметрами, развернутыми в объектах групповой политики, связанных с дочерними контейнерами. Если несколько объектов групповой политики пытаются настроить параметры политики с использованием конфликтующих значений, параметр задается из объекта групповой политики с высшим приоритетом. Обрабатываемые впоследствии объекты 431 групповой политики имеют преимущество по отношению к ранее обработанным объектам групповой политики. Синхронная и асинхронная обработка Синхронные процессы можно представить в виде ряда процессов, запускаемых друг за другом по мере завершения. Асинхронные процессы могут выполняться одновременно несколькими потоками, поскольку их результат не зависит от других процессов. Администраторы могут использовать параметр политики для каждого объекта групповой политики для изменения режима обработки по умолчанию с синхронного на асинхронный. При синхронной обработке существует ограничение по времени (60 минут) обработки всех объектов групповой политики на клиентском компьютере. Клиентским расширениям, которым не удалось завершить обработку за 60 минут, отправляется сигнал прекращения обработки. В этом случае связанные параметры политики могут быть применены не полностью. Функция оптимизации быстрого входа Функция оптимизации быстрого входа по умолчанию включена для членов домена и рабочей группы. Она приводит к асинхронному применению политики при запуске компьютера и входе пользователя в систему. Такое применение политики аналогично обновлению в фоновом режиме. Это может сократить время отображения диалогового окна входа в систему, и пользователь быстрее получает доступ к рабочему столу. Администраторы могут отключить функцию оптимизации быстрого входа, используя параметр политики Всегда ожидать инициализации сети при загрузке и входе в систему, расположенный в узле редактора объектов групповой политики Конфигурация компьютера\Административные шаблоны\Система\Вход в систему. Обработка медленных подключений Некоторые расширения групповой политики не обрабатываются, если скорость подключения опускается ниже заданных предельных значений. В качестве значению по умолчанию, определяющего медленное подключение для групповой политики, можно указать любое значение до 500 килобит в секунду (Кбит/с). Интервал обновления групповой политики По умолчанию групповая политика обрабатывается каждые 90 минут с произвольной задержкой не более 30 минут, следовательно, общий максимальный интервал обновления составляет не более 120 минут. При изменении политик параметров безопасности параметры политики обновляются на компьютерах подразделения, с которым связан объект групповой политики, в следующих случаях. При перезапуске компьютера. 432 Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. По умолчанию параметры политики безопасности в групповой политике также применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен. Запуск обновления групповой политики Изменения, вносимые в объект групповой политики, сначала должны копироваться на соответствующий контроллер домена. Таким образом, изменения параметров групповой политики могут не сразу стать доступными на рабочих столах пользователей. В ряде случаев (например, при применении параметров политики безопасности), может возникать необходимость немедленного применения параметров политики. Администраторы могут вручную запустить обновление политики с локального компьютера, не дожидаясь автоматического обновления в фоновом режиме. Для этого в командной строке администраторы должны ввести команду gpupdate для обновления параметров политики пользователя или компьютера. Консоль управления политиками безопасности для запуска обновления политики использовать нельзя. Команда gpupdate запускает фоновое обновление политики на локальном компьютере, на котором она запущена. Команда gpupdate используется в средах Windows Server 2003 и Windows XP. Применение групповой политики по требованию сервера на клиентских компьютерах невозможно. Изменение того, как групповая политика обрабатывает объекты групповой политики Основной способ определения пользователей и компьютеров, к которым применяются параметры объекта групповой политики, заключается в связывании объекта с сайтами, доменами и подразделениями. Для изменения порядка обработки объектов групповой политики администраторы могут использовать один из следующих методов. Изменение порядка связей. Блокировка наследования. Принудительное применение связи объекта групповой политики. Отключение связи объекта групповой политики. Использование фильтрования. Использование фильтрации WMI. Использование обработки замыкания на себя. Эти методы описаны в следующих подразделах. 433 Изменение порядка связей От порядка связей групповой политики на сайте, домене или подразделении зависит очередность применения связей. Администраторы могут менять приоритет связи, изменив порядок связей, перемещая каждую связь вверх или вниз по списку в соответствующее место списка. Связь старшего порядка (1 — самый старший порядок) имеет наивысший приоритет для сайта, домена или подразделения. Блокировка наследования Блокировка наследования для домена или подразделения препятствует автоматическому наследованию контейнером Active Directory дочернего уровня объектов групповой политики, связанных с сайтами, доменами или подразделениями более высокого уровня. Принудительное применение связи объекта групповой политики Можно указать, что параметры в связи объекта групповой политики имеют приоритет по отношению к параметрам любого дочернего объекта, указав для этой связи параметр Принудительный. Принудительные связи объекта групповой политики не могут блокироваться родительским контейнером. Если в объектах групповой политики содержатся конфликтующие параметры, и они не имеют принуждений от контейнера более высокого уровня, то параметры связей объекта групповой политики родительского контейнера более высокого уровня перезаписываются параметрами в объектах групповой политики, связанных с дочерними подразделениями. При принудительном применении связь родительского объекта групповой политики всегда имеет приоритет. По умолчанию, связи объектов групповой политики не являются принудительными. Отключение связи объекта групповой политики Можно полностью заблокировать для сайта, домена или подразделения способ применения объекта групповой политики, отключив связь объекта групповой политики для соответствующего домена, сайта или подразделения. При этом объект групповой политики не отключается. Если объект групповой политики привязан к другим сайтам, доменам или подразделениям, то они попрежнему будут обрабатывать объект групповой политики, если связи остаются включенными. Использование фильтрования Этот способ используется, чтобы указать, что к объекту групповой политики применяются только определенные участники безопасности в контейнере, с которым связан объект групповой политики. Фильтрация параметров безопасности может использоваться администраторами для ограничения области действия объекта групповой политики. Это позволит применять объект только к одной группе, одному пользователю или компьютеру. Фильтрацию параметров безопасности нельзя использовать выборочно с различными параметрами в объекте групповой политики. 434 Объект групповой политики применяется к пользователю или компьютеру, только если такой пользователь или компьютер имеют разрешения на чтение и применение групповой политики для объекта групповой политики, явно или фактически через членство в группе. По умолчанию для всех объектов групповой политики разрешения на чтение и применение групповой политики включены для группы прошедших проверку пользователей, в состав которой входят пользователи и компьютеры. Таким образом, все прошедшие проверку пользователи получают параметры нового объекта групповой политики при его применении к подразделению, домену или сайту. По умолчанию администраторы домена, администраторы предприятия и локальная система имеют разрешения полного доступа без элемента управления доступом Применить групповую политику. Администраторы также являются членами группы пользователей, прошедших проверку. Это означает, что по умолчанию администраторы получают параметры в объекте групповой политики. Эти разрешения можно изменить для ограничения области действия определенным набором пользователей, групп или компьютеров в подразделении, домене или сайте. Консоль управления групповыми политиками позволяет управлять этими разрешениями как единым блоком и отображать фильтры параметров безопасности для объекта групповой политики на вкладке Область объекта групповой политики. В консоли управления групповыми политиками можно добавить или удалить группы, пользователей и компьютеры как фильтры параметров безопасности для каждого объекта групповой политики. Использование фильтров инструментария управления Windows Фильтры WMI используются для фильтрации применения объекта групповой политики, присоединив к объекту групповой политики запрос на языке запроса WMI (WQL). Запросы можно использовать для опроса WMI по нескольким элементам. Если запрос возвращает истинное значение по всем запрашиваемым элементам, то объект групповой политики применяется к целевому пользователю или компьютеру. Объект групповой политики связывается с фильтром WMI и применяется к целевому компьютеру, и фильтр оценивается на целевом компьютере. Если фильтр WMI оценивается как ложный, объект групповой политики не применяется (кроме случаев, когда клиентский компьютер работает под управлением Windows 2000. В этом случае фильтр игнорируется, и объект групповой политики применяется всегда). Если фильтр WMI оценивается как истинный, то объект групповой политики применяется. Фильтр WMI — это отдельный от групповой политики объект в каталоге. Для применения фильтр WMI следует связать с объектом групповой политики, при этом фильтр и объект групповой политики, к которому он привязан, должны находиться в одном домене. Фильтры WMI хранятся только в доменах. Каждый объект групповой политики может иметь только один фильтр WMI. Один фильтр WMI можно связать с несколькими объектами групповой политики. Примечание. 435 Инструментарий управления Windows (WMI) — это реализация компанией Майкрософт промышленной инициативы управления предприятием на основе веб-технологий, определяющая стандарты инфраструктуры управления и позволяющей объединять информацию от различных аппаратных и программных систем управления. Инструментарий WMI отображает данные конфигурации оборудования, такие как ЦП, память, дисковое пространство и производитель, а также данные программного обеспечения из реестра, драйверов, файловой системы, службы каталогов Active Directory, службы установщика Windows, сетевой конфигурации и данных приложений. Данные о целевом компьютере можно использовать для целей администрирования, например для фильтрации WMI объектов групповой политики. Использование обработки замыкания на себя Можно использовать эту возможность для применения согласованного набора параметров политики к любому пользователю, выполняющему вход в систему на определенном ПК, независимо от его расположения в Active Directory. Обработка замыкания на себя — расширенный параметр групповой политики, который полезно использовать на компьютерах в ряде жестко управляемых сред, таких как серверы, Интернеткиоски, лаборатории, классные комнаты и регистратуры. При настройке замыкания на себя параметр политики Конфигурация пользователя в объектах групповой политики, применяемый к компьютеру, будет применен в каждому пользователю, входящему в систему на этом компьютере, вместо параметра Конфигурация пользователя (в режиме Замена) или в дополнение в нему (в режиме Слияние). Для настройки обработки замыкания на себя можно использовать параметр политики Режим обработки замыкания пользовательской групповой политики, расположенный в папке Конфигурация компьютера\Административные шаблоны\Система\Групповая политика в редакторе объектов групповой политики. Для использования функции обработки замыкания на себя учетные записи пользователя и компьютера должны находиться в домене под управлением Windows Server 2003 или более поздней версии Windows. Для компьютеров рабочей группы замыкание на себя не применяется. Административные шаблоны Расширение административных шаблонов групповой политики состоит из серверной оснастки MMC, служащей для настройки параметров политики, и клиентского расширения, используемого для настройки разделов реестра на целевых компьютерах. Политику административных шаблонов также называют реестровой политикой или политикой на основе реестра. Файлы административных шаблонов Файлы административных шаблонов (ADM) представляют собой файлы в кодировке Юникод, содержащие иерархию категорий и подкатегорий, которые определяют отображение параметров 436 в редакторе объектов групповой политики и консоли управления групповой политикой. Они также обозначают указывают места реестра, на которые влияют параметры политики, в том числе значения по умолчанию, включенные или отключенные значения политики. Эти шаблоны доступны в трех версиях файлов: ADM, ADMX и ADML. ADM-файлы можно использовать для компьютеров под управлением любой операционной системы Windows. ADMX-файлы можно использовать для компьютеров под управлением Windows Vista, Windows Server 2008 или более поздней версии. ADML-файлы — это версии ADML-файлов для конкретного языка. Функциональность файлов административных шаблонов ограничена. Их цель - предоставить пользовательский интерфейс для настройки параметров политики. Файлы ADM не содержат параметры политики. Параметры политики содержатся в файлах registry.pol, расположенных в папке Sysvol на контроллерах домена. Серверная оснастка административных шаблонов содержит узел Административные шаблоны, отображаемый в редакторе объектов групповой политики под узлом Конфигурация компьютера и Конфигурация пользователя. Параметры узла Конфигурация компьютера позволяют управлять параметрами реестра для компьютера, а параметры узла Конфигурация пользователя — для пользователей. Хотя для настройки многих параметров политики требуются простые элементы пользовательского интерфейса, такие как текстовые поля для ввода значений, большинство параметров политики имеют только следующие значения: Включен. Политика применяется принудительно. Некоторый параметры политики могут иметь дополнительные варианты, определяющие режим работы политики при ее включении. Отключен. Для большинства параметров политики применяется действие, противоположное состоянию Включен. Например, если значение Включен принудительно задает состояние Выкл., значение Отключен задает состояние Вкл.. Не задано. Политика не применяется принудительно. Это состояние по умолчанию для большинства параметров. Файлы административных шаблонов хранятся на локальном компьютере, как показано в следующей таблице. Тип файла Папка ADM %systemroot%\Inf ADMX %systemroot%\PolicyDefinitions ADML В папке конкретного языка %systemroot%\PolicyDefinitions\<, например., en-us> ADMX- и ADML-файлы можно хранить и использовать в центральном хранилище в папках в контроллере домена, как показано в следующей таблице. 437 Тип файла Папка ADMX %systemroot%\sysvol\domain\policies\PolicyDefinitions ADML В папке конкретного языка %systemroot%\sysvol\domain\policies\PolicyDefinitions\<, например, en-us> Дополнительные сведения о хранении и использовании шаблонов из центрального хранилища см. в разделе “Групповая политика и sysvol” в статье Руководство по планированию и развертыванию групповой политики (http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x419). Файлы административных шаблонов системы Office 2010 Файлы административных шаблонов для Office 2010 доступны в виде отдельной загрузки и поддерживают следующие функции. Контроль точек входа в Интернет из приложений Office 2010. Управление параметрами безопасности для приложений Office 2010 Скрытие параметров и настроек, не нужных пользователям для выполнения рабочих задач, а также тех, которые могут отвлечь пользователей или стать причиной дополнительных обращений в службу поддержки. Создание строго контролируемых стандартных конфигураций на пользовательских компьютерах. Для загрузки административных шаблонов Office 2010 перейдите на страницу Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419). Административные шаблоны Office 2010 показаны в следующей таблице. Приложение Файлы административных шаблонов Microsoft Access 2010 access14.admx, access14.adml, access14.adm Microsoft Excel 2010 excel14.admx, excel14.adml, excel14.adm Microsoft InfoPath 2010 inf14.admx, inf14.adml, inf14.adm Microsoft Office 2010 office14.admx, office14.adml, office14.adm Microsoft OneNote 2010 onent14.admx, onent14.adml, onent14.adm Microsoft Outlook 2010 outlk14.admx, outlk14.adml, outlk14.adm Microsoft PowerPoint 2010 ppt14.admx, ppt14.adml, ppt14.adm 438 Приложение Файлы административных шаблонов Microsoft Project 2010 proj14.admx, proj14.adml, proj14.adm Microsoft Publisher 2010 pub14.admx, pub14.adml, pub14.adm Microsoft SharePoint Designer 2010 spd14.admx, spd14.adml, spd14.adm Microsoft SharePoint Workspace 2010 spw14.admx, spw14.adml, spw14.adm Microsoft Visio 2010 visio14.admx, visio14.adml, visio14.adm Microsoft Word 2010 word14.admx, word14.adml, word14.adm Истинные политики и предпочтения пользователя Параметры групповой политики, которыми администраторы могут управлять в полной мере, называются истинными политиками. Параметры, настраиваемые пользователями или отражающие состояние по умолчанию операционной системы в момент установки, называются пользовательскими настройками. Как истинные политики, так и пользовательские настройки содержат сведения для изменения реестра на компьютерах пользователей. Истинные политики и пользовательские настройки имеют важные различия. Параметры истинной политики имеют приоритет над пользовательскими настройками. Истинные политики Значения системного реестра для истинных политик хранятся в утвержденных разделах реестра для групповой политики. Пользователи не могут изменять или отключать следующие параметры. Параметры политики компьютера: HKEY_LOCAL_MACHINE\Software\Policies (предпочтительное местоположение) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies Параметры политики пользователей: HKEY_CURRENT_USER\Software\Policies (предпочтительное местоположение) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies Для Office 2010 истинные политики хранятся в следующих разделах реестра. Параметры политики компьютера: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0 Параметры политики пользователей: HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0 439 Предпочтения Пользовательские настройки задаются пользователями или операционной системой в момент установки. Значения реестра, где хранятся пользовательские настройки) расположены вне утвержденных разделов групповой политики. Пользователи могут менять свои настройки. При настройке пользовательских настроек при помощи объекта групповой политики таким способом нет ограничений системного списка управления доступом. Следовательно, пользователи могут иметь возможность изменения этих значений в реестре. Если объект групповой политики выходит за область действия (при удалении связи объекта групповой политики, его отключении или удалении), эти значения из системного реестра не удаляются. Для просмотра пользовательских настроек в редакторе объектов групповой политики щелкните узел Административные шаблоны, в меню Вид выберите пункт Фильтрация... и снимите флажок Показывать только управляемые параметры политики. Средства управления групповыми политиками Администраторы используют следующие средства для администрирования групповых политик: Консоль управления групповыми политиками Используется для управления основными задачами групповой политики. Редактор объектов групповой политики Используется для настройки параметров политики в объектах групповой политики. Консоль управления групповой политикой Консоль управления групповой политикой (GPMC) упрощает управление групповой политикой, обеспечивая единый инструмент для управления основными параметрами групповой политики, такими как определение области действия, передача, фильтрация и управление наследованием объектов групповой политики. Консоль управления групповой политикой также можно использовать для резервного копирования (экспорта), восстановления, импорта и копирования объектов групповой политики. Эта консоль позволяет администраторам оценить влияние объектов групповой политики на сеть и определить изменения параметров компьютера или пользователя, вносимые объектами групповой политики. Консоль управления групповой политикой является предпочтительным средством управления большинством задач групповой политики в доменной среде. Консоль управления групповой политикой позволяет получить обзор объектов групповой политики, сайтов, доменов и подразделений в масштабе предприятия. Консоль используется для управления доменами Windows Server 2003 или Windows 2000.Консоль управления групповой политикой помогает администраторам выполнять все задачи управления групповой политикой, за исключением настройки отдельных параметров политики в объектах групповой политики — для этого служит редактор объектов групповой политики. Редактор объектов групповой политики вызывается из консоли управления групповой политикой и используется с этой консоли. 440 Администраторы используют консоль управления групповой политикой для создания объекта групповой политики без исходных параметров. Администратор может также создать объект групповой политики, одновременно связав его с контейнером Active Directory. Для настройки отдельных параметров в объекте групповой политики администратор редактирует объект групповой политики из консоли управления групповой политикой. Редактор объектов групповой политики отображается при загрузке объекта групповой политики. Консоль управления групповой политикой можно использовать для связывания объектов групповой политики с сайтами, доменами или подразделениями в службе каталогов Active Directory. Для применения параметров к пользователям и компьютерам в контейнерах Active Directory объекты групповой политики необходимо связать. Консоль управления групповой политикой содержит следующие возможности результирующего набора политик (RSoP), обеспечиваемые Windows. Моделирование групповой политики. Моделирование групповой политики позволяет администраторам моделировать данные RSoP, которые будут применены к существующей конфигурации, или проанализировать результаты смоделированных гипотетических изменений в среде каталога. Моделирование групповой политики позволяет администраторам моделировать данные RSoP, которые будут применены к существующей конфигурации, или проанализировать результаты смоделированных, гипотетических изменений в среде каталога. Результаты групповой политики. Представление фактических данных политики, применяемых к компьютеру и пользователю. Данные получаются в результате отправки запроса на целевой компьютер и получения данных RSoP, примененных к компьютеру. Возможность просмотра результатов групповой политики обеспечивается клиентской операционной системой и требует использования Windows XP, Windows Server 2003 или операционной системы более поздних версий. Редактор объектов групповой политики Редактор объектов групповой политики — это оснастка MMC, используемая для настройки параметров политики в объектах групповой политики. Редактор групповой политики содержится в файле gpedit.dll и устанавливается в операционных системах Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 и Windows 7. Для настройки параметров групповой политики для локального компьютера, не являющегося членом домена, используйте редактор групповой политики для управления локальным объектом групповой политики (или несколькими объектами групповой политики на компьютерах под управлением Windows Vista, Windows 7 или Windows Server 2008). Для настройки параметров групповой политики в среде домена консоль управления групповой политикой, вызывающая редактор групповой политики, является предпочтительным инструментом для выполнения задач управления групповой политикой. 441 Редактор групповой политики предоставляет в распоряжение администраторов иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики и состоит из двух следующих основных узлов. Конфигурация пользователя Содержит параметры, которые применяются к пользователям при их входе в систему и периодическом фоновом обновлении. Конфигурация компьютера Содержит параметры, которые применяются к компьютерам при запуске и периодическом фоновом обновлении. Эти два основных узла далее разделяются на папки с различными типами настраиваемых параметров политики. Основные узлы далее разделяются на папки с различными типами настраиваемых параметров политики. В число папок входят следующие: Конфигурация программ Содержит параметры установки приложений. Конфигурация Windows Содержит параметры безопасности и политики скриптов. Административные шаблоны Содержит параметры политики на основе реестра. Системные требования для консоли управления групповой политикой и редактора объектов групповой политики. Редактор объектов групповой политики является часть консоли управления групповой политики и вызывается при редактировании объекта групповой политики. Консоль управления можно запускать в операционных системах Windows XP, Windows Server 2003, Windows Vista, Windows 7 и Windows Server 2008. Требования отличаются для разных операционных систем Windows, как показано далее. Консоль управления групповой политики является частью операционной системы Windows Vista. Однако если в Windows Vista установлен пакет обновления 1 или 2 (SP1 или SP2), консоль удаляется. Для повторной установки следует установить Средства удаленного администрирования сервера Майкрософт для Windows Vista (http://go.microsoft.com/fwlink/?linkid=89361&clcid=0x419). Консоль управления групповой политики включена в Windows Server 2008 и более поздние версии. Однако этот компонент не устанавливается с операционной системой. Используйте диспетчер сервера для установки консоли управления групповой политики. Дополнительные сведения об установке консоли управления групповой политики см. в разделе Установка консоли управления групповой политики (http://go.microsoft.com/fwlink/?linkid=187926&clcid=0x419). Для установки консоли управления групповой политики следует установить Средства удаленного администрирования сервера для Windows 7 (http://go.microsoft.com/fwlink/?linkid=180743&clcid=0x419). Для установки консоли управления групповой политики в Windows XP или Windows Server 2003 следует установить консоль управления групповой политики с пакетом обновлений 1 (SP1) (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=88316&clcid=0x419) (Возможно, на английском языке). 442 Дополнительные сведения об использовании консоли управления групповой политики и редактора объекта групповой политики см. в разделе Принудительное применение параметров с помощью групповой политики в Office 2010. Центр развертывания Office и групповая политика Администраторы могут использовать центр развертывания Office (OCT) или групповую политику для настройки конфигурации пользователя для приложений Office 2010. Центр развертывания Office Он используется для создания файла параметров настройки установки (файла MSP). Администраторы могут использовать центр развертывания Office для настройки функций и пользовательских параметров. После установки пользователи смогут изменять большую часть параметров. Это обусловлено тем, что центр развертывания Office настраивает параметры в открытых для доступа разделах реестра, например, HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Это средство, как правило, используется в организациях без централизованного управления ПК. Дополнительные сведения см. в разделе Office Customization Tool in Office 2010 (на английском языке). Групповая политика Она используется для настройки параметров политики Office 2010, содержащихся в административных шаблонах, а операционная система применяет эти параметры политики принудительно. В среде Active Directory администраторы могут применять параметры политики к группам пользователей и компьютерам на сайте, домене или подразделении, с которым связан объект групповой политики. Параметры истинной политики записываются в утвержденные разделы реестра для политики, и эти параметры имеют ограничения списка управления доступом, и изменять их могут только администраторы. Администраторы могут использовать групповую политику для создания управляемых конфигураций ПК. Они также могут создавать нежестко управляемые конфигурации для удовлетворения требований бизнеса и безопасности в организациях. Дополнительные сведения о центре развертывания Office см. в разделе Office Customization Tool in Office 2010 (на английском языке). См. также Групповая политика Windows Server Руководство по планированию и развертыванию групповой политики Руководство по документации к групповой политике Планирование групповой политики в Office 2010 Принудительное применение параметров с помощью групповой политики в Office 2010 443 Планирование групповой политики в Office 2010 В этой статье описываются ключевые этапы планирования для управления приложениями Microsoft Office 2010 с помощью групповой политики. Содержание: Планирование групповой политики Определение бизнес-целей и требований безопасности. Оценка текущей среды. Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности. Определение области применения Тестирование и промежуточные шаги развертывания групповой политики Вовлечение ключевых лиц Планирование групповой политики С помощью групповой политики ИТ-администраторы могут применять конфигурацию или параметры политики к пользователям и компьютерам в среде службы каталогов Active Directory. Конфигурации можно применять конкретно к Office 2010. Дополнительные сведения см. в статье Обзор групповой политики для Office 2010. Планирование развертывания решений, основанных на групповой политике, включает несколько этапов: 1. Определение бизнес-целей и требований безопасности 2. Оценка текущей среды 3. Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности. 4. Определение области применения решения. 5. Планирование тестирования, промежуточных шагов и развертывания решения групповой политики. 6. Вовлечение ключевых заинтересованных лиц в процесс планирования и развертывания решения. 444 Определение бизнес-целей и требований безопасности. Выявите особые требования, предъявляемые компанией, и требования безопасности, определите возможные функции групповой политики в области управления стандартными конфигурациями для приложений Office 2010. Определите ресурсы (группы пользователей и компьютеров), для которых управление параметрами пакета Office выполняется с помощью групповой политики, и определите область применения проекта. Оценка текущей среды. Изучите процедуры выполнения текущих задач управления, связанных с настройкой приложений Microsoft Office, чтобы определить, какой тип параметров политики Office следует использовать. Задокументируйте существующие процедуры и требования. Эта информация будет использована при разработке управляемых настроек на следующем шаге. К ним относятся: Существующие корпоративные политики безопасности и другие требования безопасности. Определите, какие сайты и издатели считаются безопасными. Оцените требования по управлению параметрами контроля функций Internet Explorer, защитой документов, параметрами конфиденциальности и блокированием параметров формата файлов. Требования к обмену сообщениями в организации. Оцените требования по настройке параметров пользовательского интерфейса, защиты от вирусов и других параметров безопасности Office Outlook 2007 с использованием групповой политики. Пользовательские требования к приложениям Office для разных ролей пользователей. Они сильно зависят от рабочих требований пользователей и требований безопасности организации. Параметры сохранения файлов по умолчанию для Microsoft Access 2010, Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. Ограничение доступа к элементам пользовательского интерфейса Office 2010, например, отключение команд, элементов меню и сочетания клавиш Если рассматривается этот метод развертывания, определите вопросы, относящиеся к установке программ. Несмотря на то, что для установки программных приложений в небольших организациях с установленной службой каталогов Active Directory можно использовать групповую политику, при этом существуют некоторые ограничения. Дополнительные сведения см. в разделе "Определение проблем с установкой программного обеспечения" в статье Руководство по планированию и развертыванию групповой политики (http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x419). В случае управления большим числом клиентов в сложной или быстро изменяющейся среде в средних и крупных организациях для установки и обслуживания Office 2010 рекомендуется использовать Microsoft System Center Configuration Manager 2010. System Center Configuration Manager 2010 обеспечивает большие функциональные возможности, включая функции инвентаризации, планирования и составления отчетов. 445 Другая возможность развертывания пакета Office 2010 в средах Active Directory — это использование загрузочных скриптов компьютера с использованием групповой политики. Определите, нужно ли использовать групповую политику или центр развертывания Office. Хотя для пользовательской настройки приложений Office 2010 можно использовать как групповую политику, так и центр развертывания Office, между ними существуют важные различия. Групповая политика используется для настройки параметров политики Office 2010, которые содержатся в административных шаблонах и принудительно применяются операционной системой. Для этих параметров существуют ограничения системного списка управления доступом, чтобы их могли изменять только администраторы. Используйте групповую политику для настройки параметров, которые необходимо применять принудительно. Центр развертывания Office используется для создания файла параметров настройки установки (MSP-файла). Центр развертывания Office может использоваться администраторами для настройки функций и параметров пользователей. Пользователи могут изменять большинство параметров после установки. Рекомендуется использовать центр развертывания Office только для основных параметров или параметров по умолчанию. Дополнительные сведения см. в разделе Центр развертывания Office и групповая политика. Определите, когда следует использовать локальную групповую политику для настройки параметров Office. Локальную групповую политику можно использовать для управления параметрами в средах, содержащих изолированные компьютеры, которые не являются частью домена Active Directory. Дополнительные сведения см. в статье Обзор групповой политики для Office 2010. Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности. Понимание бизнес-требований, требований к безопасности, сети и ИТ, а также процессов управления текущими приложениями Office в организации позволяет определить подходящие параметры политики управления приложениями Office для пользователей в организации. Для формирования целей групповой политики используется информация, собранная во время анализа текущей среды. При определении целей использования групповой политики для управления настройками приложений Office определите следующее: Назначение каждого объекта групповой политики. Владелец каждого объект групповой политики — ответственный за управление этим объектом групповой политики. 446 Число используемых объектов групповой политики. Обратите внимание, что число примененных к компьютеру объектов групповой политики влияет на время загрузки, а число объектов групповой политики, примененных к пользователю, влияет на время, необходимое для регистрации в сети. Чем больше объектов групповой политики связано с пользователем, в частности, чем больше параметров содержится в этих объектах групповой политики, тем дольше они обрабатываются при входе пользователя в систему. Во время процесса входа в систему применяется каждый объект групповой политики из иерархии сайта, домена и подразделения пользователя, при условии, что для пользователя заданы разрешения на чтение и применение групповой политики. Соответствующий контейнер Active Directory для связи с каждым объектом групповой политики (сайт, домен или подразделение). Расположение для установки приложения Office, если выполняется развертывание Office 2010 с программным обеспечением групповой политики. Расположение выполняемых загрузочных скриптов компьютера, если выполняется развертывание Office 2010 с назначением загрузочных скриптов компьютера с групповой политикой. Типы параметров политики, содержащихся в каждом объекте групповой политики. Это зависит от бизнес-требований и требований безопасности, а также от используемого метода управления параметрами приложений Office. Рекомендуется настраивать только те параметры, которые оценены как критичные для стабильности и безопасности, и использовать минимальные конфигурации. Также проанализируйте целесообразность использования параметров безопасности, которые могут улучшить производительность рабочей станции, например контроль размера PST-файла Outlook. Необходимость настройки исключений из порядка обработки по умолчанию для групповой политики. Необходимость настройки параметров фильтрации для групповой политики с целью указания определенных пользователей и компьютеров. Для планирования непрерывного администрирования объектов групповой политики рекомендуется создать административные процедуры, чтобы отслеживать и контролировать объекты групповой политики. Это позволяет обеспечить использование назначенного метода для внедрения всех изменений. Определение области применения Определите параметры политики Office 2010, которые применимы ко всем корпоративным пользователям (например, параметры безопасности любого приложения, которые оценены как важные для обеспечения безопасности организации), а также те параметры, которые определены для групп пользователей на основе их ролей. Планируйте конфигурацию в соответствии с обозначенными требованиями. 447 В среде Active Directory параметры групповой политики назначаются в результате связывания объектов групповой политики с сайтами, доменами или подразделениями. Большинство объектов групповой политики обычно назначается на уровне подразделений, поэтому убедитесь, что в структуре подразделений поддерживается основанная на групповой политике стратегия управления пакетом Office 2010. Также некоторые параметры групповой политики, которые необходимо применить ко всем пользователям домена, можно применить на уровне домена (например, параметры политики безопасности или параметры приложения Outlook). Тестирование и промежуточные шаги развертывания групповой политики Планирование тестирования и промежуточных шагов развертывания — важная составляющая любого процесса развертывания групповой политики. На этом этапе выполняется создание стандартных конфигураций для приложений Office 2010 и тестирование конфигураций объектов групповой политики в тестовой среде перед развертыванием их для пользователей организации. При необходимости можно фильтровать область применения объектов групповой политики и определить исключения в наследовании групповой политики. Администраторы могут использовать моделирование групповой политики (в консоли управления групповыми политиками), чтобы оценить, какие параметры безопасности будут применены определенным объектом групповой политики, и результаты групповой политики (в консоли управления групповыми политиками), чтобы оценить, какие параметры политики действуют. Групповая политика предоставляет возможность влиять на конфигурации сотен и даже тысяч компьютеров в организации. Следовательно, крайне важно использовать процедуру управления изменениями и строго тестировать все новые конфигурации или развертывания в тестовой среде перед внедрением их в рабочую среду. Эта процедура позволяет гарантировать, что параметры политики, содержащиеся в объекте групповой политики, дают ожидаемые результаты для предполагаемых пользователей и компьютеров в среде Active Directory. При управлении внедрением групповой политики осуществлять предварительное размещение развертываний с помощью следующей процедуры, которая выполняется до развертывания: Разверните новый объект групповой политики в тестовой среде, которая предельно точно соответствует рабочей среде. Используйте моделирование групповой политики, чтобы оценить, как новый объект групповой политики повлияет на пользователей и будет взаимодействовать с существующими объектом групповой политики. Используйте результаты групповой политики, чтобы оценить, какие параметры объектов групповой политики применены в тестовой среде. Дополнительные сведения см. в разделе “Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики” в статье Руководство по планированию и развертыванию групповой политики (http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x419). 448 Вовлечение ключевых лиц На развертывания групповых политик на предприятиях как правило влияют границы между разными подразделениями. При подготовке к развертыванию важно консультироваться с ключевыми заинтересованными лицами из разных функциональных групп организации и при необходимости обеспечить их участие на этапах анализа, разработки, тестирования и внедрения. Проанализируйте параметры политики, развертывание которых планируется для управления приложениями Office 2010, вместе с группой обеспечения безопасности организации и ИТотделом и убедитесь, что они соответствуют потребностям организации. Также необходимо убедиться, что применяемый набор параметров политики является достаточно строгим для адекватной защиты сетевых ресурсов. См. также Обзор групповой политики для Office 2010 Принудительное применение параметров с помощью групповой политики в Office 2010 449 FAQ: Group Policy (Office 2010) Find answers to frequently asked questions (FAQ) about Group Policy and Microsoft Office 2010. Q: When should I use Group Policy instead of Office Configuration Tool (OCT)? A: Although both Group Policy and the OCT can be used to customize user configurations for the Microsoft Office 2010 applications, each is used for a specific configuration scenario. Group Policy is recommended for settings that you want to enforce. Group Policy is used to configure Office 2010 policy settings that are contained in Administrative Templates. The operating system enforces those policy settings. Many settings have system access control list (SACL) restrictions that prevent non-administrator users from changing them. In some cases, the settings can be changed by users. See Истинные политики и предпочтения пользователя for more information. OCT is recommended for preferred or default settings only. The OCT is used to create a Setup customization file (.msp file). Administrators can use the OCT to customize features and configure user settings. Users can configure most of the settings after the installation. Q: Where can I find a list of Group Policies that are available for Office 2010? A: Refer to the Microsoft Excel 2010 workbook Office2010GroupPolicyAndOCTSettings_Reference.xls, which is available in the Files in this Download section on the Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool download page (http://go.microsoft.com/fwlink/?LinkID=189156). You can download Group Policy-related documentation from the Group Policy for Microsoft Office 2010 download page (http://go.microsoft.com/fwlink/?LinkId=204009). Q: What is the difference between the two workbooks Office2010GroupPolicyAndOCTSettings_Reference.x ls and Office2010GroupPolicyAndOCTSettings.xls? A: Always use Office2010GroupPolicyAndOCTSettings_Reference.xls. This workbook is more up-todate and is available for separate download on the Office 2010 Administrative Template files (ADM, 450 ADMX, ADML) and Office Customization Tool download page (http://go.microsoft.com/fwlink/?LinkID=189156). The workbook Office2010GroupPolicyAndOCTSettings.xls is integrated into the Group Policy templates download package and is now out-of-date. Q: What is the difference between .adm, .admx, and .adml administrative template files? A: These files are designed for use with specific operating systems on the computer that you use to manage Group Policy settings. The .adm files can be used by administrative computers that are running any Windows operating system. The .admx and .adml files can be used by administrative computers that are running at least Windows Vista or Windows Server 2008. The .adml files are the language-specific versions of .admx files. The .admx files hold the settings, and the .adml files apply the settings for the specific language. You can find more information about .admx files in the Managing Group Policy ADMX Files Step-byStep Guide. (http://go.microsoft.com/fwlink/?LinkID=164569) Q: Do the Office 2010 .admx template files work with the 2007 Office system? Or must I download the 2007 Office system template files separately? A: You must use the template files that match the version of Office that you are deploying. We do not recommend that you use the Office 2010 template files to configure the Office 2007. Q: How do I install the Office 2010 Group Policy templates? A. Step-by-step instructions for starting Policy Management Console (GPMC), creating a Group Policy Object (GPO), and loading Office 2010 Administrative Templates to a GPO are provided in the topic Принудительное применение параметров с помощью групповой политики в Office 2010. The topic describes two locations for storing Group Policy templates: In an Administrative Templates central store in the Sysvol folder of the domain controller In the PolicyDefinitions folder in the local computer You can find more detailed information about creating a central store in Scenario 2: Editing DomainBased GPOs Using ADMX Files (http://go.microsoft.com/fwlink/?LinkId=207184). If you want to take a quick look at the templates on your local computer, follow these steps after you download the template files: 451 To view the .admx and .adml template files on a computer that runs at least Windows Vista or Windows Server 2008 1. Copy the .admx and .adml files to the PolicyDefinitions folder in the local computer: a. Copy .admx files to this location: %systemroot%\PolicyDefinitions (for example, C:\Windows\PolicyDefinitions) b. Copy .adml files to this location: %systemroot%\PolicyDefinitions\ll-cc (where ll-cc represents the language identifier, such as en-us for English United States) 2. Open the gpedit.msc console and expand Administrative Templates (under Computer Configuration and User Configuration) to view the Office 2010 policies. To view the .adm template files on a computer that is running any Windows operating system 1. Open the gpedit.msc console, right-click Administrative Templates in the Computer Configuration or User Configuration node, and then select Add/Remove Templates. 2. Click Add and locate the folder on your computer where you stored the .adm files. 3. Select the templates that you want in the language of your choice, click Open, and then click Close. The .adm files are displayed under the respective Administrate Templates nodes in a subnode called Classic Administrative Templates (ADM). Q: How can I map a specific UI element in Office 2010 to a Group Policy setting? A. Although it has not been updated for Office 2010, a list of Office 2007 Group Policy settings and associated user interface settings is available as a downloadable workbook. The workbook also provides the associated registry key information for user interface options that are managed by Group Policy settings, and indicates the locations of the Office 2003 user interface elements (such as toolbars and menus) in the Office 2007 user interface for Access, Excel, Outlook, PowerPoint, and Word. Click the following link to view and download the Office2007PolicySettingsAndUIOptions.xlsx workbook: http://go.microsoft.com/fwlink/?LinkId=106122. Q: How can I use Group Policy to disable commands and menu items? You can use Group Policy settings to disable commands and menu items for Office 2010 applications by specifying the toolbar control ID (TCID) for the Office 2010 controls. You can also disable keyboard shortcuts by setting the Custom | Disable shortcut keys policy setting and adding the virtual key code and modifier for the shortcut. A virtual key code is a hardware-independent number that uniquely identifies a key on the keyboard. A modifier is the value for a modifier key, such as ALT, CONTROL, or SHIFT. 452 To download a list the control IDs for built-in controls in all applications that use the Ribbon, visit Office 2010 Help Files: Office Fluent User Interface Control Identifiers. For more information, see Отключение элементов пользовательского интерфейса и сочетаний клавиш в Office 2010 Q. Why does Microsoft not support the use of Group Policy Software Installation to deploy Office 2010? A: Using the Software Installation extension of Group Policy is not supported in Office 2010 because of changes to the Office setup architecture and customization model. If you have an Active Directory environment, you can use a Group Policy computer startup script as an alternative. Group Policy computer startup scripts provide solutions for organizations that need an automated way to deploy Office_2nd_CurrentVer to many computers but who do not have desktop management applications, such as Microsoft System Center Essentials or System Center Configuration Manager or a third-party software management tool. For more information, see Развертывание Office с использованием скриптов запуска компьютера из групповой политики. For information about all Office deployment methods, see Развертывание Office 2010. Q. What are the advantages and limitations of deploying Office 2010 using Group Policy computer startup scripts? Advantages: A script can be written in any language that is supported by the client computer. Windows Script Host-supported languages, such as VBScript and JScript, and command files are the most common. Scripts take advantage of Active Directory Domain Services (AD DS) and Group Policy infrastructure. AD DS handles the elevation of rights that are required for application installation. Administrators can use a similar scripting process to apply updates and service packs for each computer in the domain or organizational unit. A script can be written in any language that is supported by the client computer, such as VBScript and JScript, provided they are Windows Script Host-supported languages. Disadvantages: Group Policy invokes the script and has limited awareness of the installation status afterward. Product uninstalls and installs for multiple computers have to be done by using a command-line script or batch file. 453 It might be difficult to determine exactly which updates and service packs were applied to each client computer. 454 Downloadable book: Group Policy for Office 2010 Group Policy for Office 2010 provides information about the Group Policy settings for Microsoft Office 2010. The audiences for this book are IT professionals who plan, implement, and maintain Office installations in their organizations. The content in this book is a copy of selected content in the Office 2010 as of the publication date. For the most current content, see the Пакет ресурсов Office 2010 on the web. Downloadable book: Group Policy for Office 2010 (http://go.microsoft.com/fwlink/?LinkId=204009) 455 Планирование многоязычного развертывания Office 2010 В этой статье рассматриваются вопросы планирования развертывания Microsoft Office 2010 для нескольких языков. Содержание: Планирование установки Планирование настроек Планирование средств проверки правописания Планирование установки Не зависящая от языка структура Office 2010 помогает упростить развертывание продуктов Office на нескольких языках. Вместо создания последовательности установок можно использовать программу установки для координации одной установки многоязычных версий. Все зависящие от языка компоненты для конкретного языка содержатся в языковом пакете Microsoft Office 2010. Каждый языковой пакет Office 2010 содержит зависящие от языка папки для всех продуктов Office 2010, доступных на этом языке. Папки задаются тегом языка, который добавляется к имени папки. Полный список тегов языков см. в разделе Language identifiers and OptionState Id values in Office 2010 (на английском языке). Все нужные языковые пакеты Office 2010 копируются в точку сетевой установки, содержащую хотя бы один полный продукт Office 2010. По умолчанию программа установки автоматически устанавливает языковую версию, соответствующую региональным параметрам Windows, заданным на каждом пользовательском компьютере. Либо можно переопределить это поведение по умолчанию и более точно управлять распространением многоязычных версий. Например, можно выполнять следующие действия: Устанавливать на одном компьютере несколько языков. Определять языки, устанавливаемые на пользовательских компьютерах, независимо от языка операционной системы, задаваемого региональными параметрами пользователя. Задавать специализированные настройки один раз, а затем применять их ко всем языковым версиям, развертываемым в организации. Разворачивать различные языки для различных групп пользователей. Разворачивать наборы средств проверки правописания Microsoft Office 2010 для дополнительных языков. Чтобы выбрать оптимальное для сценария решение развертывания, см. плакат Развертывание многоязычных пакетов для Microsoft Office 2010 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=168622&clcid=0x419). 456 Чтобы определить средства проверки правописания смежных языков, включенные в языковой пакет Office 2010, обратитесь к разделу Companion proofing languages for Office 2010 (на английском языке). Каждый языковой пакет Office 2010 содержит средства проверки правописания для одного или нескольких языков. Например, датский языковой пакет Office 2010 содержит, кроме датского, средства проверки правописания для английского и немецкого языков. Все языковые пакеты Office 2010 содержат средства проверки правописания для английского языка. Дополнительные сведения о средствах проверки правописания см. в разделе Планирование средств проверки правописания. Перед установкой языковой версии продукта Office 2010 программа установки определяет, включена ли для операционной системы пользователя поддержка этого языка. При отсутствии поддержки программа установки прекращает установку. Например, если для пользователя не включена поддержка восточно-азиатских языков, программа установки не устанавливает японскую версию Office 2010. Необходимые языки следует определить в начале развертывания. Существуют специальные действия, которые необходимо выполнить для изменения конфигурации пользователей после первоначального развертывания и добавления дополнительные языки в ходе выполняемой настройки. Дополнительные сведения см. в разделе Add or remove languages after deploying Office 2010 (на английском языке). Общее представление о логике программы установки для языка пользовательского интерфейса оболочки Каждый раз, когда развертывание Office 2010 выполняется из точки сетевой установки, содержащей несколько языков, программа установки должна определить, какой язык будет использоваться для пользовательского интерфейса программы установки. По умолчанию программа установки использует один и тот же язык для языка установки Office 2010 и для пользовательского интерфейса оболочки. Пользовательский интерфейс оболочки содержит 457 базовые элементы Office 2010, регистрируемые в операционной системе, такие как расширения имен файлов, подсказки и пункты контекстного меню. Если целью является установка только одной языковой версии Office 2010 на каждом клиентском компьютере и если в файле Config.xml не заданы никакие дополнительные языки, программа установки использует следующую логику, чтобы определить используемый язык: Программа установки выбирает язык, соответствующий региональным параметрам пользователя. Если соответствие отсутствует, программа установки выполняет поиск близкого соответствия. Если региональные параметры пользователя заданы, например, как "Английский (Канада)", программа установки может установить Office 2010 с языком "Английский (США)". При отсутствии близкого соответствия программа установки ищет язык в следующем подразделе реестра Windows: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources Если запись InstallLanguage не была добавлена в подраздел LanguageResources, и для нее не был задан конкретный язык (LCID), то программа установки предлагает пользователю выбрать язык (при интерактивной установке) или установка завершается ошибкой (в случае автоматической установки). Если необходимо выполнить установку нескольких языковых версий Office 2010 на каждом клиентском компьютере, следует изменить файл Config.xml и задать элемент <AddLanguage> для каждого добавляемого языка. При добавлении нескольких языков в файл Config.xml необходимо определить язык, который программа установки должна использовать для пользовательского интерфейса оболочки. Если язык пользовательского интерфейса оболочки не определен, установка завершается с ошибкой. Язык для пользовательского интерфейса оболочки задается с помощью атрибута ShellTransform элемента <AddLanguage>. В этом случае при выборе языка пользовательского интерфейса программы установки используется указанный выше алгоритм. Языки, установленные на компьютере, а также язык пользовательского интерфейса оболочки определяются записями в файле Config.xml. Программа установки всегда устанавливает Office 2010, добавляя язык пользовательского интерфейса оболочки к остальным языкам установки. Например, если в качестве языка пользовательского интерфейса оболочки выбран французский, пользователь может выбрать дополнительные языки установки на вкладке Языки, но пользователь не сможет удалить французский язык. Конкретные действия по настройке программы установки для различных сценариев см. в соответствующих разделах документа Изменение языковых настроек и параметров в Office 2010: Развертывание выбранной по умолчанию языковой версии Office Задание устанавливаемых языков Развертывание различных языков для различных групп пользователей 458 Планирование настроек Когда пользователь в первый раз запускает приложение Office 2010, программа установки использует значения по умолчанию, соответствующие языку, установленному на компьютере, и языку, заданному пользовательскими региональными параметрами Windows. На работу пользователей с Office 2010 влияют четыре основных языковых параметра: Основной язык редактирования Когда на компьютере установлено несколько языковых версий Office 2010, этот параметр определяет язык, используемый пользователями для работы с приложениями и документами Office. Включенные языки редактирования Пользователи могут задать несколько языков для редактирования документов Office 2010. В зависимости от выбранных языков этот параметр может потребовать, чтобы пользователь установил дополнительные средства проверки правописания. Язык интерфейса пользователя Этот параметр определяет язык отображения пользовательского интерфейса (меню и диалоговые окна). Язык справки Этот параметр определяет язык, который будет использоваться для вывода разделов справки. Эти языковые параметры можно настроить для пользователей заранее. Если при установке Office с помощью файла настроек программы установки (MSP-файл) или с помощью политик, Office 2010 не переопределяет заданные значения значениями по умолчанию при первом запуске приложений пользователями. Методы настройки языковых параметров Для настройки языковых параметров можно воспользоваться одним из следующих методов: Групповые политики Групповые политики принудительно применяют языковые параметры по умолчанию. Пользователи в организации не могут безвозвратно изменить значения, управляемые политикой. Эти значения повторно применяются каждый раз, когда пользователь входит в систему. Следующие политики помогают управлять языковыми параметрами в Office 2010: Язык меню и диалоговых окон Находится в папке "Язык интерфейса". Эта политика определяет язык пользовательского интерфейса. Язык отображения справки Находится в папке "Язык интерфейса". Эта политика определяет язык интерактивной справки. Если эта политика не настроена, в качестве языка справки используется язык пользовательского интерфейса. Включенные языки редактирования Находится в папке "Языки редактирования". Эта политика включает языки редактирования из списка языков, поддерживаемых Office. Основной язык редактирования Находится в папке "Включенные языки редактирования". Эта политика определяет язык, используемый пользователями для 459 работы с приложениями и документами Office, когда на компьютере доступно несколько языковых версий. Центр развертывания Office Центр развертывания Office используется для создания файла настроек программы установки (MSP-файл), применяемого программой установки во время установки. Значения, заданные в центре развертывания Office, являются значениями по умолчанию. Пользователи могут изменить эти значения после установки. Языковые параметры Если языковые параметры не заданы политикой в принудительном порядке, пользователи, работающие с приложениями Office 2010, могут использовать "Языковые параметры" для изменения языковых параметров. Инструкции по использованию этих средств при настройке Office 2010 для многоязычных развертываний см. в разделе Изменение языковых настроек и параметров в Office 2010. Разрешение пользователям просматривать новые языковые параметры при первом открытии Обычно после настройки языковых параметров с помощью одного из методов, описанных в этой статье, когда пользователь впервые запускает приложение Office 2010, программа установки применяет значения по умолчанию, соответствующие языку, установленному на компьютере. Это означает, что новые языковые параметры будут отображены при следующем (втором) запуске приложения Office 2010 пользователем. Чтобы пользователи просматривали новые языковые параметры при первом открытии приложения Office 2010, администратор может развернуть на пользовательских компьютерах следующие значения реестра при развертывании первоначальной установки Office 2010 или перед первым использованием приложения Office 2010. Администратор может развернуть эти значения реестра с помощью скрипта или пакетного файла, групповой политики или центра развертывания Office. Необходимо настроить следующие значения реестра типа DWORD в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources: UILanguage HelpLanguage FollowSystemUI Для каждого из этих значений задайте для имени Значение код LCID (идентификатор региональных параметров) для языка, планируемого к использованию. Список LCID также приведен в разделе Language identifiers and OptionState Id values in Office 2010 (на английском языке). Значения LCID являются десятичными. При этом необходимо также задать для параметра Система исчисления значение Десятичная. Настройка зависящих от языка параметров, связанных с пользовательскими региональными параметрами Помимо использования параметра Основной язык редактированияOffice 2010 также настраивает связанные с языком параметры (например, формат чисел) в соответствии с 460 пользовательскими региональными параметрами операционной системы. Это поведение определяется записью LangTuneUp в подразделе LanguageResources реестра Windows. Чтобы пользовательские региональные параметры не определяли значения по умолчанию, можно сбросить значение LangTuneUp при установке Office 2010. Если запись LangTuneUp не существует, то Office 2010 создает эту запись при первом запуске приложения и устанавливает ее значение равным OfficeCompleted. Запись LangTuneUp может содержать одно из двух значений: OfficeCompleted Значения, основанные на пользовательских региональных параметрах, не применяются к Office 2010 как единое целое. Но отдельные приложения все же проверяют новые редакторы метода ввода (IME) и языковые скрипты и все же применяют параметры приложений, специфические для пользовательских региональных параметров. Например, приложения гарантируют, что для вновь установленных клавиатур будут включены соответствующие языки редактирования, а Word будет использовать шрифты в шаблоне Normal.dot, основываясь на пользовательских региональных параметрах. Prohibited Никакие параметры, связанные с пользовательскими региональными параметрами, не были изменены ни Office 2010, ни каким-либо отдельным приложением Office 2010. В некоторых сценариях игнорирование пользовательских региональных параметров обеспечивает поддержку стандартной конфигурации в многоязычной организации. Установка для записи LangTuneUp значения Prohibited обеспечивает согласованность языковых параметров и совместимость макросов. Например, если организации из США требуется ввести стандартизацию международных параметров, то можно провести развертывание Office 2010, указав для параметра Основной язык редактирования значение en-us (Английский (США)), а для записи LangTuneUp — значение Prohibited. В этом случае для пользователей устанавливаются одинаковые значения по умолчанию независимо от их региональных параметров. Игнорирование пользовательских региональных параметров не представляет собой оптимальный вариант. Например, у пользователей, использующих азиатские символы в документах Office 2010, могут не быть установлены азиатские шрифты, необходимые для правильного отображения символов. Если язык установки на компьютере пользователя не совпадает с языком, используемым в документе, а для записи LangTuneUp задано значение Prohibited, то вOffice 2010 не будут отображаться шрифты для языков, не являющихся языком по умолчанию. Чтобы в установленной версии Office 2010 поддерживалось несколько азиатских языков, убедитесь в том, что значение записи LangTuneUp равно OfficeCompleted. Чтобы обеспечить невозможность изменения пользователями значений по умолчанию, настройте соответствующую политику. Планирование средств проверки правописания Средства проверки правописания позволяют пользователям редактировать документы на более чем 50 языках. В зависимости от языка в состав этих средств редактирования могут входить 461 проверка орфографии и грамматики, тезаурус и проверка расстановки переносов. Средства проверки могут также включать зависящие от языка функции редактирования, такие как "Автообнаружение языка", "Автореферат" и "Интеллектуальная автозамена". Набор средств проверки правописания Office 2010 представляет собой единый ресурс для установки любого средства проверки. Предоставляемые средства можно установить на локальном ПК или развернуть для группы пользователей. Можно также настроить эти средства и установить их для одного или всех пользователей в организации. Определение метода для развертывания средств проверки правописания Можно развернуть дополнительные средства проверки правописания для тех пользователей, которым нужно редактировать документы на языках, отличающихся от языков, уже установленных на их компьютерах. Дополнительные средства проверки можно развернуть из одного из нижеперечисленных источников: Office 2010 Языковой пакет Используйте этот вариант, если пользователям нужны и пользовательский интерфейс, и средства проверки правописания для языка, или если один языковой пакет может обеспечить средства проверки правописания для всех нужных языков. Не забывайте, что в каждую языковую версию Office 2010 входят средства проверки правописания для набора смежных языков. Например, при развертывании английской версии продукта Office 2010 пользователи помимо средств проверки правописания для английского языка получают и средства проверки для испанского и французского языков. В зависимости от количества развертываемых языков пользовательского интерфейса и включаемых смежных языков языковые пакеты Office 2010 могут предоставить все нужные средства проверки правописания. Список смежных языков приведен в разделе Companion proofing languages for Office 2010 (на английском языке). Если языковой пакет содержит средства проверки правописания для всех нужных языков, разверните языковой пакет по указаниям, приведенным для соответствующей ситуации в разделе Изменение языковых настроек и параметров в Office 2010. Office 2010 Набор средств проверки правописания Этот продукт содержит средства проверки правописания для всех языков, доступных в Office 2010. Используйте этот вариант, если пользовательский интерфейс для языка не нужен, но необходимы различные средства проверки правописания, не входящие в набор смежных языков для любых языков, уже установленных или входящих в дополнительный языковой пакет, который можно установить. Пакет многоязыкового интерфейса для Office 2010 содержит все языковые пакеты Office 2010. Отдельные языковые пакеты Office 2010, пакет многоязыкового интерфейса для Office 2010 и набор средств проверки правописания Office 2010 доступны для приобретения в крупных розничных магазинах, на веб-сайтах этих магазинов, а также через программы корпоративного лицензирования Майкрософт. 462 Требования к объему дискового пространства для установки средств проверки правописания составляют 1 гигабайт (ГБ). Но итоговое дисковое пространство зависит от того, развертываются ли средства проверки правописания из языкового пакета или из набора средств проверки правописания Office 2010. Как и в случае большинства продуктов, входящих в состав Office 2010, полный пакет набора средств проверки правописания Office 2010 кэшируется в локальном источнике установки. Примечание. В состав средств проверки правописания не входят ни двуязычные словари, ни средства разбиения текста на слова. Эти инструменты являются частью языковой версии или языкового пакета. Настройка установки набора средств проверки правописания Office 2010 Чтобы настроить установку набора средств проверки правописания Office 2010, измените файл Config.xml в папке ProofKit.WW. Для каждого набора средств проверки правописания, который не нужно устанавливать, в элементе OptionState задайте для атрибута State значение Absent. Синтаксис <OptionState Id="КодПараметра" State="Absent" | "Advertise" | "Default" | "Local" [Children="force"] /> Атрибуты OptionState Следующая таблица содержит атрибуты OptionState, их значения и описания Атрибут Значение Описание Id КодПараметра Элемент, который пользователь выбирает для установки. См. раздел Значения OptionState Id файла Config.xml средств проверки правописания в документе Language identifiers and OptionState Id values in Office 2010 (на английском языке). State Absent Компонент не устанавливается. 463 Атрибут Children Значение Описание Advertise Компонент устанавливается при первом использовании. Default Компонент возвращается в состояние установки по умолчанию. Local Компонент устанавливается на компьютер пользователя. force Все дочерние компоненты устанавливаются в заданное состояние. Примечание. Значением по умолчанию атрибута State является Local. Пример файла Config.xml для набора средств проверки правописания Office 2010 В следующем примере файла Config.xml для всех показанных языков значение атрибута State элемента OptionState установлено равным Absent. Если решено скопировать этот пример в файл Config.xml для набора средств проверки правописания Office 2010, установите значение атрибута State для каждого развертываемого набора средств проверки правописания равным Local (либо Default или Advertise, если соответствующее значение является более предпочтительным). <Configuration Product="ProofKit"> <!-- <Display Level="full" CompletionNotice="yes" SuppressModal="no" AcceptEula="no" /> --> <!-- <Logging Type="standard" Path="%temp%" Template="Microsoft Office Proofing Tools Kit Setup(*).txt" /> --> <!-- <USERNAME Value="Customer" /> --> <!-- <COMPANYNAME Value="MyCompany" /> --> <!-- <INSTALLLOCATION Value="%programfiles%\Microsoft Office" /> --> <!-- <LIS CACHEACTION="CacheOnly" /> --> <!-- <LIS SOURCELIST ="\\server1\share\Office;\\server2\share\Office" /> --> <!-- <DistributionPoint Location="\\server\share\Office" /> --> <!-- <OptionState Id="OptionID" State="absent" Children="force" /> --> <OptionState Id="IMEMain_1028" State="Absent" Children="force"/> 464 <OptionState Id="IMEMain_1041" State="Absent" Children="force"/> <OptionState Id="IMEMain_1042" State="Absent" Children="force"/> <OptionState Id="IMEMain_2052" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1025" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1026" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1027" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1028" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1029" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1030" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1031" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1032" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1033" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1035" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1036" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1037" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1038" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1040" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1041" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1042" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1043" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1044" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1045" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1046" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1048" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1049" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1050" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1051" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1053" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1054" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1055" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1056" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1058" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1060" State="Absent" Children="force"/> 465 <OptionState Id="ProofingTools_1061" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1062" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1063" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1069" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1081" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1087" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1094" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1095" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1097" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1099" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1102" State="Absent" Children="force"/> <OptionState Id="ProofingTools_1110" State="Absent" Children="force"/> <OptionState Id="ProofingTools_2052" State="Absent" Children="force"/> <OptionState Id="ProofingTools_2068" State="Absent" Children="force"/> <OptionState Id="ProofingTools_2070" State="Absent" Children="force"/> <OptionState Id="ProofingTools_2074" State="Absent" Children="force"/> <OptionState Id="ProofingTools_3076" State="Absent" Children="force"/> <OptionState Id="ProofingTools_3082" State="Absent" Children="force"/> <!-- <Setting Id="Setup_Reboot" Value="IfNeeded" /> --> <!-- <Command Path="%windir%\system32\msiexec.exe" Args="/i \\server\share\my.msi" QuietArg="/q" ChainPosition="after" Execute="install" /> --> </Configuration> Предварительное кэширование локального источника установки для набора средств проверки правописания Office 2010 При развертывании набора средств проверки правописания Office 2010 программа установки создает на компьютере пользователя локальный источник установки — копию сжатых исходных файлов для набора средств проверки правописания Office 2010. После копирования файлов на компьютер пользователя программа установки выполняет установку из локального источника установки. Можно свести нагрузку на сеть к минимуму, развертывая локальный источник установки отдельно, до развертывания набора средств проверки правописания Office 2010. Описание выполнения предварительного кэширования локального источника установки для набора средств проверки правописания Office 2010 см. в разделе Предварительное кэширование локального источника установки для Office 2010. Используйте файл Setup.exe и 466 Config.xml files из папки ProofKit.WW компакт-диска набора средств проверки правописания Office 2010. См. также Language identifiers and OptionState Id values in Office 2010 (на английском языке) Companion proofing languages for Office 2010 (на английском языке) Изменение языковых настроек и параметров в Office 2010 Add or remove languages after deploying Office 2010 (на английском языке) International reference for Office 2010 (на английском языке) Office Customization Tool in Office 2010 (на английском языке) Предварительное кэширование локального источника установки для Office 2010 467 Планирование виртуализации Office 2010 Технология Microsoft Application Virtualization (App-V) позволяет предоставить компьютерам конечных пользователей доступ к приложениям без непосредственной их установки на эти компьютеры. В этом разделе представлены сведения по развертыванию Microsoft Office 2010 с помощью виртуализации приложений. Содержание: Статья Описание Обзор виртуализации при развертывании Office Описание виртуализации, ее использования в 2010 организации, методов и типов Microsoft Application Virtualization (App-V), которые можно использовать для развертывания Office 2010. Методы развертывания Office 2010 с использованием виртуализации приложений Сведения о методах развертывания Office 2010 с помощью технологии Microsoft Application Virtualization (App-V) в определенных средах, а также описание развертывания с помощью сервера Application Virtualization Management Server или Application Virtualization Streaming Server. 468 Обзор виртуализации при развертывании Office 2010 В этой статье описывается, что такое виртуализация, как использовать виртуализацию в компании и какой метод виртуализации можно реализовать в среде компании. Визуальное представление этих сведений см. в статье Обзор виртуализации, методов и моделей (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=168624&clcid=0x419). Содержание: Сведения о виртуализации Типы и технологии виртуализации Методы доставки виртуализации Изменения и обновления виртуализации Клиентская архитектура виртуализации приложений Сведения о виртуализации Виртуализация — это возможность запускать приложение или компьютер в виртуальное среде, не затрагивая компоненты, которые уже используются на определенном настольном компьютере или сервере. Виртуализацию вычислительных ресурсов можно осуществить двумя способами. Виртуализация приложений При виртуализации приложений программа запускаются в изолированной виртуальной среде со всеми данными, необходимыми для запуска приложения на клиентском компьютере, при этом приложение не устанавливается локально. Виртуализация настольного компьютера При виртуализации настольного компьютера программное обеспечение, операционная система и конфигурация оборудования содержится в изолированной виртуальной среде. После создания уровня между оборудованием и устанавливаемой операционной системой можно работать в нескольких операционных системах и с различными приложениями на одном компьютере. 469 Типы и технологии виртуализации Предприятие может выполнить развертывание с помощью одного метода виртуальной доставки или же использовать несколько виртуальных сред вместе. Настольный компьютер, представление, приложение Доступны следующие типы и технологии виртуализации. Настольный компьютер При виртуализации настольного компьютера дополнительная изолированная среда операционной системы создается на стандартном настольном компьютере. Виртуальный ПК довольно часто используется для виртуализации компонентов всего настольного компьютера, определенных аппаратных компонентов или только профилей пользователей, которые затем применяются к другому устройству, компьютеру или операционной системе. Виртуальный ПК может создать основную систему с гостевыми учетными записями для нескольких образов операционных систем, поддерживающих устаревшее ПО без влияния на возможности конечных пользователей с обновлениями приложений или без проблем с совместимостью. Дополнительные сведения см. в Виртуальный ПК Windows (http://go.microsoft.com/fwlink/?linkid=156041&clcid=0x419). Представление При виртуализации представления профили пользователей вместе с данными и параметрами приложений отделяются компьютера пользователя. Для этого нужно использовать службы удаленных рабочих столов (ранее известные как службы терминалов), одну из основных технологий виртуализации, доступных в Windows Server 2008. Режим представления обычно используется для подключений к "тонким клиентам" или многопользовательских приложений, где любое сочетание приложений или виртуализованная среда настольного компьютера, использующая операционную систему и приложения, запускается в одном месте, а управляется из другого. Службы удаленных рабочих столов предоставляют каждому пользователю изображения окон (отдельных приложений или всего настольного компьютера) в то время, как компьютер пользователя передает нажатия клавиш и движения мыши на сервер. Дополнительные сведения см. в статье Выбор виртуализации настольного компьютера или представления (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=156042&clcid=0x419). Приложение Виртуализация приложений позволяет виртуализировать отдельные приложения, подключаемые модули и обновления, а затем передавать их клиентскому компьютеру поблочно для более быстрого доступа. Для удаленных пользователей, таких как консультанты или пользователи с портативными компьютерами, виртуальные приложения можно “упаковать” как MSI-файл для распространения с помощью USB-накопителя, компактдиска сервера файлов. Дополнительные сведения см. в статье Выбор виртуализации приложений или настольного компьютера (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=156043&clcid=0x419). Каждый из этих методов виртуализации содержит приложение в собственной защищенной среде. 470 Также есть несколько типов виртуализации серверной стороны (Hyper-V и Virtual Server), которые не описываются в этой статье. Дополнительные сведения о типах виртуализации серверной стороны см. в следующих статьях. Техническая библиотека Virtual Server 2005 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=156044&clcid=0x419) Hyper-V при применении к Windows Server 2008 (http://go.microsoft.com/fwlink/?linkid=156045&clcid=0x419) Виртуализация приложений Microsoft Application Virtualization (App-V) — это решение для виртуализации приложений на уровне предприятия, которое является частью пакета Microsoft Desktop Optimization Pack (MDOP). App-V позволяет запускать приложения в одном экземпляре операционной системы, превращая их в службы с централизованным управлением, которые никогда не устанавливаются, не конфликтуют и передаются по требованию конечным пользователям. App-V поддерживают устаревшие приложения и их точки расширения, при этом виртуальные приложения не конфликтуют друг с другом, не влияют на систему, их можно полностью удалить, легко восстановить и обновить. App-V лучше всего использовать для приложений, которые работают в текущей или целевой операционной системе, но конфликтуют с другими приложениями или установленными файлами. Отделяя физический компьютер от от программного или аппаратного обеспечения, можно создавать изолированную среду, которая не видна конечным пользователям, и затем запускать приложение, используя настольный компьютер или сервер со службами удаленных рабочих столов (ранее известные как службы терминалов) без установки приложения в клиентской операционной системе. В Microsoft Office 2010 включен стандартный метод развертывания (программа установки Setup.exe) и также поддерживается доставка через виртуализацию с помощью потоковой передачи или развертывания приложений Office конечному пользователю без использования компакт-диска или файла Setup.exe. В случае с приложениями, которые не запускаются в текущей операционной системе и для которых требуется более старая версия операционной системы, следует ознакомиться с Microsoft Enterprise Desktop Virtualization (MED-V) (http://go.microsoft.com/fwlink/?linkid=156031&clcid=0x419), компонентом MDOP (см. статью Пакет Microsoft Desktop Optimization Pack (http://go.microsoft.com/fwlink/?linkid=156032&clcid=0x419). MED-V позволяет развертывать приложения с помощью виртуального ПК. Для использования Microsoft Application Virtualization на предприятии требуется настроить клиент Application Virtualization Desktop (набор для развертывания) на каждом устройстве с Office 2010. Дополнительные сведения о виртуальных средах см. в статье Сведения о виртуальных средах (http://go.microsoft.com/fwlink/?linkid=156039&clcid=0x419). 471 Методы доставки виртуализации Microsoft Office 2010 можно доставить несколькими способами. Дополнительные сведения о виртуализации компьютеров и серверов см. в следующих материалах: Виртуальный ПК Windows (http://go.microsoft.com/fwlink/?linkid=156041&clcid=0x419) Виртуализация с помощью Hyper-V (http://go.microsoft.com/fwlink/?linkid=156049&clcid=0x419) Hyper-V при применении к Windows Server 2008 (http://go.microsoft.com/fwlink/?linkid=156045&clcid=0x419) Техническая библиотека Virtual Server 2005 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=156044&clcid=0x419) Методы доставки Для каждого виртуализации есть метод доставки, который предоставляет виртуальную среду для настольного компьютера. Визуальное представление метода доставки см. в статье Обзор виртуализации, методов и моделей (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=168624&clcid=0x419). Для виртуализации используются следующие методы доставки. Предоставление презентаций Предоставляет доступ к виртуальному приложению через службы удаленных рабочих столов с настольного компьютера. Приложения запускаются с одного центрального сервера, который предоставляет изображения экрана приложения или рабочего стола, которые управляются настольным компьютером. Дополнительные сведения о виртуализации презентации служб удаленных рабочих столов (ранее известные как службы терминалов) см. в статье Службы удаленных рабочих столов (http://go.microsoft.com/fwlink/?linkid=156050&clcid=0x419). Потоковая доставка Виртуализация приложений — это процесс, в котором приложение “пакуется” и хранится на сервере файлов, сервере приложений или другом источнике, например, в Microsoft System Center Configuration Manager 2007, доставляется в маленьких последовательных пакетах по мере необходимости. Дополнительные сведения см. в статье 472 Диспетчер System Center Configuration Manager (http://go.microsoft.com/fwlink/?linkid=156051&clcid=0x419). Если конечные пользователи открывают документ, который запускает виртуальное приложение в первый раз, отображается строка быстрой прокрутки, показывающая процент виртуального приложения, переданного на компьютер. После загрузки приложения конечные пользователи могут начать работу. Если нужные пользователям компоненты отсутствуют в первом блоке компонентов, остальная часть приложения будет передана в фоновом режиме в локальный кэш компьютера пользователя. Последовательный пакет содержит несколько файлов, в том числе один SFT-файл, один SPRJ-файл, один файл Manifest.xml и несколько OSD- и ICO-файлов. SFT-файл содержит все файлы приложения со всеми активами в виде блоков компонентов для потоковой передачи. OSD-файл содержит описание приложения, в том числе зависимости среды, расположение пакета, интеграцию оболочки и скрипты. ICO-файл содержит значки, связанные с каждым ярлыком или связью типа файла (FTA), которые заданы в OSD-файле или файле Manifest.xml. Они извлекаются из ресурсов приложения. SPRJ-файл — файл виртуализации проекта, который ссылается на список всех элементов средства синтаксического анализа, классификаций и исключений пакета параметров из OSD-файла. Файл Manifest.xml, который публикует параметры для приложений в пакете, содержит определение интеграции оболочки (например, связи типов файлов, ярлыки, DDE и т.д.). Автономная доставка Процесс, когда приложение “пакуется” и доставляется через компакт-диска, USB-накопителя и т.д, а затем хранится локально на кэшированном диске пользователей для полного доступа, если они отключаются от сети. Визуальное представление автономного метода доставки для мобильных пользователей см. в статье Обзор виртуализации, методов и моделей (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=168624&clcid=0x419). При создании автономного пакета в него добавляется дополнительный файл. Создается MSIфайл для публикации и загрузки (“установки”) пакета виртуального приложения в автономной среде. 473 Изменения и обновления виртуализации Технология Microsoft Application Virtualization (App-V), ранее известная как Microsoft SoftGrid Application Virtualization, предоставляет доступ к централизованной системе управления на основе политик, которая позволяет администраторам предоставлять и запрещать доступ к любому приложений независимо от его размещения (например, для пользователей настольных компьютеров, переносных компьютеров или мобильных устройств). App-V интегрируется с диспетчером Microsoft System Center Configuration Manager 2007, который позволяет развертывать приложения App-V из Configuration Manager 2007. Дополнительные сведения об основных функциях и компонентах технологии App-V см. в статье Обзор виртуализации приложений (http://go.microsoft.com/fwlink/?linkid=156034&clcid=0x419). Улучшения SoftGrid В следующей таблице представлены некоторые улучшения технологии App-V. Подробный список улучшений см. в статье Microsoft Application Virtualization — новые компоненты (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=156036&clcid=0x419). Новая возможность Поддерживается в App-V 4.x Службы виртуализации Windows Да. Позволяет пользователям виртуализировать все аспекты любого приложения на основе Windows. Виртуализованные транзакционные профили пользователей Да. Предварительное кэширование конечных пользователей Да. Пакетная виртуализация Да. Снижает размер профилей Windows и обеспечивает перемещение между компьютерами. Позволяет пользователям предварительно кэшировать приложения для автономного использования. Позволяет выполнить виртуализацию приложения один раз и выполнять его с любого компьютера в нескольких операционных системах Windows, что снижает объем работы для виртуализации приложений. Модель лицензирования Обеспечивает централизованное 474 Новая возможность Поддерживается в App-V 4.x лицензирование с добавленной платформой SPP. Поддержка Windows 7 Да (App-V 4.5). Поддержка Office 2010 Да (App-V 4.6) и для развертываний Office x64 или x86 на 64-разрядных компьютерах (с использованием WoW64). Активные обновления Да. Обновления приложения без отключения пользователя. SharePoint и Outlook Fast Search Да. Управление доступом Да. Управление доступом к приложениям, которые были предварительно авторизованы ИТадминистраторами, даже в автономном режиме. Клиентская архитектура виртуализации приложений В зависимости от требований организации возможно сочетание технологий виртуализации. Определите, какие возможности необходимы на основе характеристик виртуализации для конкретной ситуации. Дополнительные сведения см. в статье Совмещение технологий виртуализации (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=156054&clcid=0x419). При виртуализации приложения создается слой между операционной системой и самим приложением. Таким образом обеспечиваются следующие преимущества. Большая гибкость при запуске приложений, которые ранее могли конфликтовать с другими приложениями. Приложение устанавливаются и удаляются легче, так как они не влияют на локальные файлы настольного компьютера. Сокращение регрессионного тестирования. Больше настроек развертывания приложений. Когда приложение публикуется на локальном компьютере, оно остается в виртуальной среде. Однако оно выполняется локально с использованием локальных ресурсов. Хотя приложение 475 размещено в виртуальной среде, оно все еще может взаимодействовать с другими локально установленными приложениями. Виртуальная среда для каждого приложения содержит параметры реестра и INI-файлы, DLLфайлы и файл параметров групповой политики. Приложение читает и записывает данные в эту виртуальную среду, не влияя на какие-либо параметры локального клиентского компьютера. Единственные элементы, которые приложение с использованием App-V считывает и записывает за своими пределами — это системные службы (например, вырезание и вставка, OLE и принтеры) и данные профиля. Локальные системные файлы (например, реестр, INI- и DLLфайлы ) считываются только при необходимости. См. также Руководство по планированию и развертыванию системы виртуализации приложений Сценарий электронного распространения программного обеспечения Сценарий с сервером виртуализации приложений Сценарий автономной доставки для клиентов виртуализации приложений Руководство по Microsoft Application Virtualization (Возможно, на английском языке) Рекомендуемые способы использования виртуализации в Microsoft SoftGrid (Возможно, на английском языке) 476 Методы развертывания Office 2010 с использованием виртуализации приложений В этой статье представлены сведения об определенных методах развертывания технологии Microsoft Application Virtualization (App-V) в средах без доступных серверов для поддержки других методов развертывания виртуальных приложений, а также в средах, в которых планируется развернуть виртуальные приложения с подключенного сервера, такого как сервер Application Virtualization Management Server или Application Virtualization Streaming Server. Сведения о технологии и компонентах App-V, а также их развертывании см. в статье Руководство по планированию и развертыванию системы виртуализации приложений (http://go.microsoft.com/fwlink/?linkid=156611&clcid=0x419). В этом руководстве также представлены пошаговые инструкции для реализации ключевых методов развертывания. Дополнительные сведения о развертывании Office 2010 с помощью App-V см. в статье Развертывание Office 2010 с использованием Microsoft Application Virtualization. Методы развертывания Содержимое пакета виртуального приложения можно разместить на одном или нескольких серверах Application Virtualization, чтобы передавать его клиентам по требованию и кэшировать локально. Серверы файлов и веб-серверы также можно использовать как серверы потоковой передачи, или же содержимое можно разместить непосредственно на компьютере конечного пользователя — например, при использовании системы ESD, такой как Microsoft System Center Configuration Manager 2007. Далее представлены некоторые методы и ресурсы развертывания. Развертывание на основе ESD Дополнительные сведения см. в статье Сценарий электронного распространения программного обеспечения (http://go.microsoft.com/fwlink/?linkid=156046&clcid=0x419). Развертывание на основе сервера Дополнительные сведения см. в статье Сценарий с сервером виртуализации приложений (http://go.microsoft.com/fwlink/?linkid=156047&clcid=0x419). Автономное развертывание Дополнительные сведения см. в разделе Сценарий автономной доставки для клиентов виртуализации приложений (http://go.microsoft.com/fwlink/?linkid=156048&clcid=0x419). См. также Развертывание Office 2010 с использованием Microsoft Application Virtualization Руководство по планированию и развертыванию системы виртуализации приложений 477 Пакеты приложений Application Virtualization В этой статье представлены технические рекомендации по использованию технологии Microsoft Application Virtualization (App-V) для создания пакета Microsoft Office 2010. Содержание: Application Virtualization Sequencer Пакеты виртуализации приложений Создание пакета Office 2010 Создание зависимостей приложения с помощью формирования динамических пакетов Application Virtualization Sequencer Microsoft Application Virtualization Sequencer — это средство на основе мастера, которое администраторы используют для создания виртуализованных приложений и пакетов приложений, передаваемых клиентским компьютерам App-V. Во время процесса последовательного выполнения администратор переводит программу Sequencer в режим мониторинга и устанавливает нужное приложение на компьютере виртуализации. Затем администратор запускает виртуализируемое приложение и применяет часто используемые функции, чтобы при мониторинге можно было настроить блок основных функций. Блок основных функций содержит минимальный контент, необходимый для запуска приложения или нескольких приложений. После выполнения этих действий администратор отключает режим мониторинга, сохраняет и тестирует виртуализированное приложение, чтобы проверить правильность его работы. Пакеты виртуализации приложений Sequencer создает пакет приложения, который состоит из нескольких файлов, описанных в следующем списке. SFT-, OSD- и ICO-файлы, которые хранятся в общей папке контента на сервере App-V Management Server и используются клиентским компьютером App-V для доступа к виртуализованным приложениям и их запуска. ICO-файлы (значки) определяют значки приложений, которые отображаются на рабочем столе клиента App-V, а также используются для ярлыков в меню Пуск и для типов файлов. Если дважды щелкнуть файлы или ярлыки, запустится ярлык соответствующего OSD-файла, который начнет потоковую передачу данных и запустит приложение. Приложение, доступное через AppV, запускается так же, как и локально хранимое приложение. OSD--файл (Open Software Description) предоставляет сведения, которые необходимы для поиска SFT-файла для настройки и запуска приложения. К этим сведениям относятся имя 478 приложения, имя и путь исполняемого файла, имя и путь SFT-файла, имя пакета, поддерживаемые операционные системы и общие комментарии о приложении. SFT-файл содержит активы, в том числе одно или несколько приложений на основе Windows. App-V Sequencer, не изменяя исходный код, упаковывает эти файлы активов в блоки данных, которые можно передавать клиенту App-V. Файл разделен на два блока. Первый блок, который называется блок основных функций, состоит из наиболее часто используемых функций, настраиваемых во время создания пакета. SPRJ-файл (проект Sequencer) создается при сохранении проекта. SPRJ-файл содержит список файлов, каталогов и записей реестра, исключенных Sequencer. Загрузите этот файл в Sequencer, чтобы добавить, изменить, удалить или обновить любое приложение в пакете. SPRJфайл часто используется для добавления пакетов обновлений в приложение. Файл манифеста (на основе XML) описывает все приложения, ассоциации типов файлов и значки, используемые пакетом. Создание пакета Office 2010 Microsoft Office 2010 использует службу SPP Office. Эта же технология активации используется для активации корпоративных выпусков Windows Vista и Windows 7, а также содержится в наборе развертывания Microsoft Office 2010 для App-V (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=186371&clcid=0x419) (Возможно, на английском языке). Перед виртуализацией пакета следует убедиться, что выполняются минимальные требования к конфигурации, и следовать инструкциям, указанным в разделе Рекомендации по использованию Application Virtualization Sequencer (http://go.microsoft.com/fwlink/?linkid=192229&clcid=0x419). Требуется установить и настроить набор развертывания Microsoft Office 2010 для App-V на компьютере виртуализации. В набор включены компоненты лицензирования SPP, необходимые для активации лицензии Office (http://go.microsoft.com/fwlink/?linkid=182959&clcid=0x419) и доступа к возможностям интеграции Office 2010. Этот продукт также следует установить на клиентских компьютерах, на которые будут развертываться и передаваться пакеты Office 2010. Чтобы создать системный пакет, требуется сервер электронного распространения программного обеспечения (ESD) или сервер App-V Management Server, компьютер виртуализации и клиентский компьютер, которые работают под управлением одной версии Windows. Убедитесь, что в среде выполняются все условия, перечисленные в следующей таблице. Архитектура Архитектура Архитектура Поддержка Поддержка компьютера компьютера с клиентского лицензирования виртуального виртуализации Office компьютера Компьютер с 32разрядной (x86) архитектурой Компьютер с 32разрядной (x86) архитектурой Компьютер с 32разрядной (x86) архитектурой прокси-сервера Да Да 479 Архитектура Архитектура Архитектура Поддержка Поддержка компьютера компьютера с клиентского лицензирования виртуального виртуализации Office компьютера Компьютер с 64разрядной (x64) архитектурой прокси-сервера Компьютер с 64разрядной (x64) архитектурой (Office будет работать с помощью технологии WoW64) Да Да Компьютер с 32разрядной (x86) архитектурой Компьютер с 64разрядной (x64) архитектурой (Office будет работать с помощью технологии WoW64) Да Да Компьютер с 64разрядной (x64) архитектурой Компьютер с 64разрядной (x64) архитектурой Да Нет Важно! Пакеты, которые виртуализируются на 64-разрядных компьютерах, можно развертывать только на 64-разрядные клиентские компьютеры. Пакеты, которые виртуализируются на 64-разрядных компьютерах, можно развертывать клиентские компьютеры на основе платформы x86 или x64. Примечание. Виртуальные прокси-серверы необязательны. Они поддерживаются только на 32разрядных компьютерах с Office 2010. На следующем рисунке и в следующей таблице описываются минимальные требования для создания системного пакета, а далее указаны процедуры, необходимые для его создания. Подготовка компьютера к виртуализации Установка набора развертывания Виртуализация системного пакета Office 2010 480 Компьютер Описание Необходимая операционная система А Представляет сервер ESD или App-V Management Server Под управлением Windows Server 2008 Б Представляет конфигурацию клиентского компьютера как компьютера виртуализации Под управлением такой же версии Windows, что и В В Представляет клиентский компьютер-получатель для пакета виртуального приложения Под управлением такой же версии Windows, что и Б Для подготовки компьютера к виртуализации используйте следующую процедуру. Подготовка компьютера к виртуализации 1. Убедитесь, что служба Windows Search 4.0 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=169358&clcid=0x419) (Возможно, на английском языке) установлена, и задайте для службы Windows Search параметр Вручную или Автоматически. 2. Загрузите программу просмотра XPS-файлов, установив Пакет XPS EP (http://go.microsoft.com/fwlink/?linkid=169359&clcid=0x419). 3. Задайте для службы обновления Windows параметр Отключено. 4. Установите приложение App-V 4.6 Sequencer. 5. Загрузите пакет развертывания (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=186371&clcid=0x419) (Возможно, на английском языке) и извлеките EXE-файл. 6. После извлечения EXE-файла будет доступен файл OffVirt.msi. Используйте следующую процедуру для установки набора развертывания, который позволяет виртуализировать и развертывать клиентские продукты Office 2010 с помощью App-V. В набор включены компоненты, необходимые для активации лицензии Office. Установка набора развертывания 481 1. Откройте окно командной строки с повышенными полномочиями. Щелкните Все программы и выберите Стандартные, щелкните правой кнопкой Командная строка и выберите команду Запуск от имени администратора. Или откройте меню Пуск, введите cmd в поле поиска и нажмите CTRL+SHIFT+ВВОД. 2. Перейдите к каталогу, содержащему файл Offvirt.msi. 3. Выполните следующую команду для установки набора развертывания: Msiexec /i OffVirt.msi [флаги функции][флаги лицензирования] Примечание Требуется установить версию набора развертывания, которая соответствует архитектуре операционной системы компьютера. Например, если планируется виртуализировать 32- или 64-разрядную версию Office на компьютере с 64-разрядной операционной системой, требуется использовать 64-разрядную версию набора развертывания, так как она соответствует версии операционной системы. Используйте флаги функции архитектуры, которая соответствует операционной системе компьютера виртуализации: 32-разрядная версия:ADDLOCAL=Click2runMapi,Click2runOWSSupp,Click2runWDS,OSpp,OSpp_Core 64разрядная:ADDLOCAL=Click2runMapi,Click2runOWSSupp,Click2runWDS,Ospp,OSpp_Cor e,OSppWoW64 Дополнительные сведения о многопользовательской активации Office 2010 и определении нужных флагов активации и лицензирования см. в разделе Активация лицензии Office (http://go.microsoft.com/fwlink/?linkid=182959&clcid=0x419). В следующей таблице перечислены приложения Office 2010 и пакеты продуктов Office 2010 вместе с соответствующими флагами лицензирования для активации KMS. Для настройки соответствующих свойств лицензии для KMS укажите значения, соответствующие виртуализируемым продуктам Office 2010, и задайте значение флага из следующей таблицы, равное 1. Например: msiexec /i Offvirt.msi PROPLUS=1 VISIOPREM=1 Активация KMS Продукт- Флаг приложение Значени Набор продуктов е Значени Флаг е Access Access 0 или 1 Office профессиональн ый плюс 0 или 1 PROPLUS Excel Excel 0 или 1 Office для малого бизнеса 0 или 1 SMALLBUSBASI CS 482 SharePoint Workspace GROOVE 0 или 1 InfoPath InfoPath 0 или 1 OneNote OneNote 0 или 1 Outlook Outlook 0 или 1 PowerPoint PowerPoint 0 или 1 Project профессиональн ый PROJECTPR 0 или 1 O Project стандартный PROJECTST 0 или 1 D Publisher Publisher 0 или 1 SharePoint Designer SPD 0 или 1 Visio премиум VISIOPREM 0 или 1 Visio профессиональн ый VISIOPRO 0 или 1 Visio стандартный VISIOSTD 0 или 1 Word Word 0 или 1 Office стандартный 0 или 1 STANDARD В следующей таблице перечислены флаги и значения для активации MAK. Если клиентские компьютеры Office будут использовать активацию MAK, следует установить ключ продукта с помощью одного из методов, указанных в следующей таблице. Активация MAK Флаг Значение PIDKEYS XXXXX-XXXXX-XXXXXX-XXXXXX-XXXXXXX Несколько ключей продуктов, разделенные точкой с запятой. Доп. PIDKEYS=X-X-X-X-X;Y-Y-Y-Y-Y USEROPERATIONS 0 или 1 483 1. Используйте средство управления активацией корпоративных лицензий (VAMT) 2.0 для установки ключей продукта на клиентских компьютерах, которые передают данные системы Office 2010. Сведения о загрузке этого средства см. в разделе Средство управления активацией корпоративных лицензий (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=83292&clcid=0x419) (Возможно, на английском языке). 2. Выполните развертывание одного или нескольких ключей MAK с помощью свойства PIDKEYS, разделенных точкой с запятой, как показано в таблице. В следующем примере вводятся ключи MAK Office Профессиональный плюс и Visio, за которым следует свойство USEROPERATIONS, равное 1, разрешающее клиенту активацию. msiexec /i OffVirt.msi PIDKEYS=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx;yyyyy-yyyyyyyyyy-yyyyy-yyyyy-yyyyyy USEROPERATIONS=1 3. Поддерживаются смешанные развертывания с использованием ключей KMS и MAK. Например, можно использовать KMS для PROPLUS и MAK для Visio: msiexec /i OffVirt.msi PROPLUS=1 PIDKEYS=yyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy Примечание. UserOperations=1 означает, что пользователи без полномочий администратора могут активировать Office. UserOperations=0 означает, что только администраторы могут активировать Office. Используйте следующую процедуру для виртуализации Office 2010 на компьютере виртуализации. Виртуализация Office 2010 1. На компьютере виртуализации откройте меню Пуск, выберите "Все программы", затем Microsoft Application Virtualization и щелкните Microsoft Application Virtualization Sequencer. Откроется мастер виртуализации приложений. 2. Щелкните Создать пакет для создания нового пакета приложения. 3. В диалоговом окне Сведения о пакете укажите имя пакета. 4. Установите его в новом каталоге, используя формат 8.3, например Q:\Temp123.wxp, и нажмите кнопку ОК. Примечание. Рекомендуется выбрать виртуальный диск и постоянно его использовать. Обычно это диск Q:\. 5. В диалоговом окне Мониторинг установки нажмите кнопку Начать наблюдение для отслеживания этапа установки. 6. Запустите программу setup.exe для Office 2010. 7. На странице Выберите нужный тип установки нажмите кнопку Настройка. 484 Примечание. Во время установки Office убедитесь, что выбран параметр Установить на жесткий диск, если требуется установить этот компонент. 8. Выберите вкладку Расположение файла и укажите путь в соответствии с каталогом установки, выбранном на этапе 4. Затем нажмите кнопку Установить. Следующая процедура для настройки параметров при первом запуске (например, для настройки параметров пользователя) необязательна, но ее следует выполнить во время мониторинга. Если дополнительные действия не требуются, перейдите к разделу Создание блока основных функций далее в этой статье. Дополнительные действия 1. Запустите виртуальные приложения во время мониторинга. Нажмите кнопку Пуск и выберите пункт Выполнить. 2. Введите фактический путь к виртуальному приложению и выберите исполняемый виртуальный файл для запуска виртуального приложения. Например, для запуска Word введите q:\Temp123.wxp\Office14\WINWORD.EXE и нажмите клавишу ВВОД. 3. Настройте дополнительные прокси-серверы во время мониторинга компьютера виртуализации. Используйте следующую процедуру на компьютере виртуализации для настройки дополнительных прокси-серверов. Эти действия требуется выполнить во время мониторинга, чтобы эти разделы были удалены в виртуальном реестре. Прокси-серверы позволяют использовать быстрый поиск в Outlook, взаимодействовать с SharePoint (открытие и редактирование документов) и предоставляют другие функции. Настройка дополнительных прокси-серверов 1. Настройте параметры реестра прокси-сервера SharePoint, создав следующие разделы виртуального реестра на сервере виртуализации во время его мониторинга, а затем удалите эти разделы, чтобы сервер виртуализации отслеживал удаление добавленных разделов. При виртуализации 32-разрядной операционной системы используются следующие разделы: HKEY_CLASSES_ROOT\CLSID\{9203C2CB-1DC1-482d-967E-597AFF270F0D}\TreatAs HKEY_CLASSES_ROOT\CLSID\{BDEADEF5-C265-11D0-BCED00A0C90AB50F}\TreatAs При виртуализации 64-разрядной операционной системы используются следующие разделы: HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{9203C2CB-1DC1-482d-967E- 485 597AFF270F0D}\TreatAs HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{BDEADEF5-C265-11D0-BCED00A0C90AB50F}\TreatAs 2. Добавьте новые прокси-приложения для поддержки прокси-сервера на странице Настройка приложений и выберите каталог Корневой каталог приложения. Нажмите кнопку Добавить и добавьте следующие приложения. Примечание. Для быстрого поиска пути нажмите кнопку Обзор. Скопируйте и вставьте путь к приложению в поле Имя файла. Мгновенный поиск (узел виртуального поиска) Путь к приложению: %commonprogramfiles%\microsoft shared\virtualization handler\VirtualSearchHost.exe Имя: укажите имя. По умолчанию используется имя “Search MAPI Protocol Handler Host” Прокси-сервер виртуального SharePoint Путь к приложению: %commonprogramfiles%\microsoft shared\virtualization handler\VirtualOWSSuppManager.exe Имя: укажите имя. По умолчанию используется имя “Microsoft SharePoint Client Support Manager” Simple MAPI Путь к приложению: %commonprogramfiles%\microsoft shared\virtualization handler\MapiServer.exe Имя: укажите имя. По умолчанию используется имя “Microsoft Virtual Office Simple MAPI Proxy Server” Элемент панели управления виртуальной почты Путь к приложению: %windir%\system32\Control.exe %SFT_MNT%\short path\Office14\mlcfg32.cpl Имя: укажите имя. По умолчанию используется имя “Windows Control Panel” Примечание Чтобы добавить параметр %SFT_MNT%\short path\Office14\mlcfg32.cpl в путь приложения, перейдите к программе Control.exe и нажмите кнопку ОК. Добавьте параметр в поле Путь к приложению. "Short path", или короткий путь, — это каталог в формате 8.3, в который установлен Office 2010. Например, если Office 2010 установлен по пути Q:\Temp123.wxp, короткий путь будет Temp123.wxp. Кэш документов Office Путь к приложению: Q:\short path\Office14\MSOSync.exe 486 Имя: укажите имя. По умолчанию используется имя “Microsoft Office Document Cache” 3. Задайте параметры для автоматического запуска кэша документов Office. Разверните элемент кэша документов Office в дереве Приложения. 4. Выберите параметр Ярлыки. Измените расположение ярлыка на Меню "Пуск"\Программы\Автозагрузка. 5. Синхронизируйте все версии OSD-файла приложения с версией прокси-сервера. Щелкните правой кнопкой файл установки Office (Setup.exe) и выберите команду Свойства. 6. Откройте вкладку Версия. Измените версию всех OSD-файлов в соответствии с этой версией. Например, если версия Setup.exe — 14.0.4763.1000, убедитесь, что номер версии всех OSD-файлов прокси-приложения и OSD-файлов Office задан как 13.04.764.1000. 7. Нажмите кнопку Далее. Используйте следующие процедуры для создания блока основных функций, который содержит минимальный контент, необходимый для запуска одного или нескольких приложений. Рекомендуется не запускать OneNote, Outlook и SharePoint из-за параметров настройки, которые лучше сохранить. Во время этого этапа не нажимайте клавишу F1. Создание блока основных функций 1. На странице Приложение нажмите кнопку Далее. 2. Выберите и запустите нужные приложения для создания блока основных функций каждого приложения. 3. Нажмите кнопку Далее. 4. После завершения виртуализации нажмите кнопку Готово. 5. Чтобы сохранить пакет, выберите параметр Пакет и нажмите кнопку Сохранить как. Настройка параметра реестра Office 2010 1. Убедитесь, что для следующего раздела реестра задано значение Объединить с локальным. При виртуализации 32-разрядной операционной системы используется следующий раздел: MACHINE\Software\Microsoft\Office\14.0 При виртуализации 64-разрядной операционной системы используется следующий раздел: MACHINE\Software\Wow6443Node\Microsoft\Office\14.0 2. Щелкните правой кнопкой раздел реестра, выберите команду Раздел и убедитесь, что 487 установлен флажок Объединить с локальным ключом. Важно! При развертывании Office 2010 на компьютер, на котором уже установлен Office 2007 (параллельно с Office 2010), выполните следующие действия. В противном случае пропустите оставшиеся этапы и продолжите процедуру. 3. Во время мониторинга создайте следующий подраздел реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles При виртуализации в 64-разрядной версии Windows также создайте следующий подраздел: HKEY_CURRENT_USER\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles Для App-V 4.6 убедитесь, что для подраздела задано значение Заменить локальный раздел. Для App-V 4.5 задайте параметры для объединения родительского раздела …\CurrentVersion\Windows Messaging Subsystem с локальным разделом. Задайте параметры для объединения раздела …\CurrentVersion\Windows Messaging Subsystem\Profiles с локальным разделом. Важно! Следующие действия требуется выполнить во время мониторинга, чтобы раздел был в удаленном состоянии в виртуальном реестре. 4. В меню Сервис выберите команду Мастер виртуализации. 5. Нажмите кнопку Далее. 6. Нажмите кнопку Начать мониторинг. 7. Создайте следующий подраздел виртуального реестра и затем удалите его, чтобы компьютер виртуализации отследил добавленный раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\Microsoft.OMSA ddin 8. Выберите Остановить мониторинг, затем нажмите кнопку Далее и Готово, чтобы вернуться на страницу дополнительных свойств компьютера виртуализации. Примечание. Возможно, потребуется добавить несколько узлов XML, если они не существуют. 9. Для каждого OSD-файла добавьте TRUE в текст следующего элемента тега: SOFTPKG -> IMPLEMENTATION -> VIRTUALENV -> POLICIES -> LOCAL_INTERACTION_ALLOWED 488 Используйте следующую процедуру, чтобы запускать виртуализированный пакет Office 2010 на клиентском компьютере. Настройка клиентского компьютера для запуска Office 2010 1. Установите клиент App-V на клиентский компьютер, если это еще не сделано. 2. Перейдите к каталогу, содержащему файл Offvirt.msi. 3. В командной строке запустите следующий команду: msiexec /i OffVirt.msi [флаги лицензирования] Требуется ввести правильный флаг лицензирования из следующей таблицы, чтобы правильно настроить набор развертывания. В противном случае функциональность приложения может отличаться от ожидаемой. Активация KMS Продукт- Флаг приложение Значен Набор Значен ие продуктов ие Флаг Access Access 0 или 1 Office профессиональ ный плюс 0 или 1 PROPLUS Excel Excel 0 или 1 Office для малого бизнеса 0 или 1 SMALLBUSBAS ICS SharePoint Workspace GROOVE 0 или 1 Office стандартный 0 или 1 STANDARD InfoPath InfoPath 0 или 1 OneNote OneNote 0 или 1 Outlook Outlook 0 или 1 PowerPoint PowerPoint 0 или 1 Project профессиональ ный PROJECTP RO 0 или 1 Project стандартный PROJECTS TD 0 или 1 Publisher Publisher 0 или 1 SharePoint Designer SPD 0 или 1 489 Visio премиум VISIOPREM 0 или 1 Visio профессиональ ный VISIOPRO 0 или 1 Visio стандартный VISIOSTD 0 или 1 Word Word 0 или 1 В следующей таблице перечислены флаги и значения для активации MAK. Если клиентские компьютеры Office будут использовать активацию MAK, следует установить ключ продукта с помощью одного из методов, указанных в данной таблице. Активация MAK Флаг Значение PIDKEYS XXXXX-XXXXX-XXXXXX-XXXXXXНесколько ключей продуктов, разделенные XXXXXXX точкой с запятой. Доп. PIDKEYS=X-X-X-X-X;Y-Y-Y-Y-Y USEROPERATIONS 0 или 1 a. Используйте средство управления активацией корпоративных лицензий (VAMT) 2.0 для установки ключей продукта на клиентских компьютерах, которые передают данные системы Office 2010. Сведения о загрузке этого средства см. в разделе Средство управления активацией корпоративных лицензий (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=83292&clcid=0x419) (Возможно, на английском языке) на веб-сайте центра загрузок Майкрософт. b. Выполните развертывание одного или нескольких ключей MAK с помощью свойства PIDKEYS, разделенных точкой с запятой, как показано в предыдущей таблице. В следующем примере вводятся ключи MAK Office Профессиональный плюс и Visio, за которым следует свойство USEROPERATIONS, равное 1, разрешающее клиенту активацию. msiexec /i OffVirt.msi PIDKEYS=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx;yyyyyyyyyy-yyyyy-yyyyy-yyyyy-yyyyyy USEROPERATIONS=1 c. Поддерживаются смешанные развертывания с использованием ключей KMS и MAK. Если требуется, некоторые клиентские компьютеры могут использовать активацию 490 KMS, а другие — активацию MAK. Например, можно использовать KMS для PROPLUS и MAK для Visio: msiexec /i OffVirt.msi PROPLUS=1 PIDKEYS=yyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyyyyyyyy 4. Включите прокси-серверы на клиентском компьютере, только если они были настроены на этапе виртуализации. Чтобы включить виртуальные прокси-серверы для пакета, откройте командную строку с повышенными полномочиями и выполните следующую команду: msiexec /I путь к OffVirt.msi\OffVirt.msi ADDDEFAULT=Click2runOneNoteProxy,Click2runOutlookProxies,Click2RunWDSProxy, Click2runOWSSuppProxies PACKAGEGUID={GUID пакета} PACKAGEVERSION=версии, найденные в OSD-файлах для прокси-серверов, Outlook и OneNote OUTLOOKNAME=имя приложения Outlook из OSD ONENOTENAME=имя приложения OneNote из OSD MAPISERVER=MAPI имя проксиприложения VIRTUALSEARCHHOST=Search имя прокси-приложения MLCFG32CPL=имя приложения для настройки виртуальной почты OWSSUPPServer=имя приложения для прокси-сервера SharePoint Например: msiexec /i c:\OffVirt.msi ADDDEFAULT=Click2runOneNoteProxy,Click2runOutlookProxies,Click2runWDSProxy,C lick2runOWSSuppProxies PACKAGEGUID={5971AF75-7831-4AE9-906F-0F30C7DD0CA5} PACKAGEVERSION=14.0.4763.1000 OUTLOOKNAME=”Microsoft Outlook 2010” ONENOTENAME=”Microsoft OneNote 2010” MAPISERVER=”Microsoft Virtual Office Simple Mapi Proxy Server” VIRTUALSEARCHHOST=”Search MAPI Protocol Handler Host” MLCFG32CPL=”Windows Control Panel” OWSSUPPServer=”Microsoft SharePoint Client Support Manager” Создание зависимостей приложения с помощью формирования динамических пакетов Формирование динамических пакетов предоставляет администраторам средство для управления тем, какие виртуальные приложения будут объединены для создания единой виртуальной рабочей среды набора приложений. Формирование динамических пакетов позволяет указать обязательные и необязательные зависимости между виртуальными приложениями. После запуска виртуального приложения на клиентском компьютере также запускается зависимая среда виртуального приложения, при этом доступны обе виртуальные среды. Средство формирования динамических пакетов поставляется как часть набора ресурсов App-V. Оно снижает вероятность неправильного ввода и устраняет сложность, связанную с 491 непосредственным редактированием XML. Далее представлен пример настройки двух отдельных виртуализированных пакетов с целью их интеграции. 1. На сервере App-V нажмите кнопку Пуск и выберите Средство Microsoft App-V DSC. 2. В поле "Корневые папки пакета" нажмите кнопку Выбрать, а затем нажмите кнопку Добавить папку. 3. Разверните узел Компьютер, выберите параметр Контент, где перечислены сохраненные пакеты, нажмите кнопку ОК, а затем нажмите кнопку Готово для создания списка доступных пакетов. 4. В поле Основной пакет выберите первый пакет из D:\Content\.... 5. В поле Доступные дополнительные пакеты выберите второй пакет из D:\Content\... и нажмите кнопку Добавить. 6. Нажмите кнопку Сохранить, нажмите ОК для подтверждения и затем нажмите кнопку Выход для завершения процедуры. См. также Набор для быстрой проверки концепции версии 1.1 (Возможно, на английском языке) 492 Планирование служб удаленных рабочих столов (служб терминалов) Сервер терминалов — это сервер, на котором размещаются программы на основе Windows или полноценный настольный компьютер Windows для клиентов служб терминалов. Пользователи могут подключаться к серверу терминалов для выполнения программ, сохранения файл и использования сетевых ресурсов на этом сервере. Если пользователь получает доступ к программе на сервере терминалов, она выполняется на сервере. Только данные от клавиатуры, мыши и монитора передаются по сети. Каждый пользователь видит только собственный сеанс. Этот сеанс прозрачно управляется операционной системой сервера и не зависит от других клиентских сеансов. Роль сервера терминалов, который в Windows Server 2008 R2 называется службами удаленных рабочих столов, позволяет размещать несколько одновременных клиентских сеансов в Windows. Используя службы удаленных рабочих столов, пользователи могут получать доступ к серверу удаленных рабочих столов (серверу терминалов) из корпоративной сети или в Интернете. Содержание: Статья Описание Планирование развертывания Office 2010 в среде служб удаленных рабочих столов (служб терминалов) Описание рекомендуемых инструкций для планирования развертывания Microsoft Office 2010 в среде служб удаленных рабочих столов. Настройки программы установки Office 2010, связанные со службами удаленных рабочих столов (службами терминалов) Описание настроек Office 2010, связанных со службами удаленных рабочих столов. 493 Планирование развертывания Office 2010 в среде служб удаленных рабочих столов (служб терминалов) В этой статье описываются рекомендуемые действия при планировании развертывания Microsoft Office 2010 в среде служб удаленных рабочих столов (ранее известных как службы терминалов). Содержание: Планирование среды служб удаленных рабочих столов Настройка сервера узла сеансов удаленных рабочих столов Настройка установки Office 2010 Установка Office 2010 на компьютере, использующем службы удаленных рабочих столов Планирование среды служб удаленных рабочих столов Используйте рекомендации, приведенные в следующих разделах, для планирования эффективной среды служб удаленных рабочих столов Office 2010. Оценка требований лицензирования Для развертывания служб удаленных рабочих столов пакета Microsoft Office ключ корпоративной лицензии должен работать правильно. В системе Microsoft Office 2007 установку можно выполнить в операционной системе с настроенными службами удаленных рабочих столов, даже если использовался ключ, отличный от ключа корпоративной лицензии (например, розничный). Однако, когда пользователи запускают приложение, они видят следующее сообщение. Эту копию программы Microsoft Office нельзя использовать на сервере терминалов. Дополнительные сведения можно получить у регионального уполномоченного дилера Майкрософт. В Office 2010 введена проверка времени установки. Если разрешения, связанные с ключом продукта, не разрешают использование служб удаленных рабочих столов, программа установки незамедлительно блокируется, что означает, что SKU не поддерживается на компьютере, на котором работают службы удаленных рабочих столов. Оценка требований к программному обеспечению Помните, что до начала установки Office 2010 на компьютере с включенными службами удаленных рабочих столов необходимо ознакомиться с требованиями для сервера и клиентского компьютера. 494 Требования к серверу Office 2010 можно запускать на компьютере под управлением Windows Server 2003 с пакетом обновлений 1 (SP 1) и более поздних версий. Нельзя устанавливать или запускать Office 2010 на серверной операционной системе, выпущенной до выхода Windows Server 2003. Развертывание служб удаленных рабочих столов требует повторного рассмотрения изменений, введенных в Office 2010, и требований сервера, зависящих от используемой версии Windows Server (2003 или 2008).В зависимости от текущего оборудования сервера, поддерживающего многочисленные одновременные сеансы, производительность серьезно изменится. Требования к процессору и памяти зависят от рабочей нагрузки.В следующей таблице приведены результаты последних испытаний. Версия Windows Server Количество процессоров Память Количество одновременных сеансов Windows Server 2008 32 256 ГБ 1140 Windows Server 2008 16 256 ГБ 860 Windows Server 2003 16 (не поддерживает 32) Windows Server 2003 4 16 ГБ 150 Службы удаленных рабочих столов нельзя настроить для балансировки нагрузки в ферме серверов узла сеанса удаленного рабочего стола (узел сеанса RD) в зависимости от требования развертывания клиентов. Как показывает емкость и изменение характеристик сервера сеанса удаленного рабочего стола под управлением Windows Server 2003, количество одновременных сеансов зависит от многих факторов, таких как загрузка и конфигурация сервера. Для поддержки тысяч одновременных сеансов должна использоваться конфигурация с серверной фермой сеанса удаленного рабочего стола. Для просмотра руководства по настройке Windows Server 2008 , в котором теперь есть ссылки на общие обучающие материалы для загрузки Knowledge Worker серверов сеанса удаленного рабочего стола (рабочая нагрузка на основе Office) в Windows Server 2008 см. статью Руководство по настройке производительности для Windows Server 2008 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=135703&clcid=0x419) (Возможно, на английском языке). Для получения информации о развертывании служб терминалов Windows Server 2008 в корпорации Майкрософт см. статью Как MSIT использует службы терминалов в масштабируемом решении с удаленным доступом (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=135705&clcid=0x419) (Возможно, на английском языке). 495 Дополнительные сведения о наборе средств симуляции нагрузки удаленного рабочего стола см. в статье Средства симуляции нагрузки удаленного рабочего стола (http://go.microsoft.com/fwlink/?linkid=178956&clcid=0x419). Требования к клиенту Преимуществом работы Office 2010 на компьютере с включенными службами удаленных рабочих столов является то, что старые, менее надежные клиентские компьютеры могут получать доступ к компьютеру, на котором включены службы удаленных рабочих столов. В частности любой компьютер, поддерживающий протокол удаленного рабочего стола (RDP), может подключиться к компьютеру с включенными службами удаленных рабочих столов. Оценка рекомендаций Ознакомьтесь с представленными далее рекомендациями по планированию эффективного развертывания Office 2010 в среде служб удаленных рабочих столов. В следующем документе, который доступен для загрузки, показано, как спланировать емкость узла сеанса удаленных рабочих столов в Windows Server 2008 R2. В нем описываются самые важные факторы, влияющие на емкость данного развертывания. Планирование емкости узла сеанса удаленных рабочих столов в Windows Server 2008 R2 (Возможно, на английском языке) Для Microsoft Outlook 2010 оптимальной масштабируемой конфигурацией для крупных развертываний будет работа Outlook в интерактивном режиме для Exchange Server. Однако клиенты, развернувшие Outlook 2010, теперь могут работать в режиме кэширования данных Exchange, если приложение Outlook 2010 установлено в среде со службами удаленных рабочих столов. Такой подход может быть оптимальным для небольших развертываний, где приложение Outlook подключается к Exchange Server через подключение с большим временем задержки. Дополнительные сведения см. в статье Рекомендации по планированию режима кэширования Exchange в среде с узлами сеансов удаленных рабочих столов (технический документ). Единственная точка отказа Запуск Office 2010 на одном компьютере с включенными службами удаленных рабочих столов может создать единственную точку отказа, если компьютере с включенными службами удаленных рабочих столов становится недоступным, или на нем происходит сбой. В этом случае все ИТ-работники, подключенные к компьютеру с включенными службами удаленных рабочих столов, могут потерять связь с приложениями Office 2010 и потерять данные. Можно уменьшить риск, используя службу кластеров Windows и балансировку сетевой нагрузки, что позволяет гарантировать, что компьютеры с включенными службами удаленных рабочих столов при сбое успешно переключаются. Например, если при развертывании фермы серверов с использованием кластеризации и балансировки нагрузки, содержащей четыре компьютера с включенными службами терминалов, один из компьютеров с включенными службами удаленных рабочих столов становится недоступным, подключение клиента передается одному из трех оставшихся компьютеров с включенными службами удаленных рабочих столов. 496 Оборудование сервера узла сеанса удаленных рабочих столов Компьютеру с включенными службами удаленных рабочих столов требуется существенно больше памяти и ресурсов процессора, чем обычному серверу. Кроме того, хотя службы удаленных рабочих столов разработаны с эффективной пропускной способностью, объем данных, которыми клиент обменивается с компьютером с включенными службами удаленных рабочих столов, может влиять на производительность. Следовательно, перед развертыванием Office 2010 в среде служб удаленных рабочих столов обязательно выполните полное тестирование возможностей и убедитесь, что серверы узла сеансов удаленных рабочих столов (серверы терминалов) имеют достаточно дискового пространства, процессорной мощности, памяти и пропускной способности сети. Требования к установке сервера узла сеансов удаленных рабочих столов Следует установить компонент сервера узла сеансов удаленных рабочих столов на сервер перед установкой Office 2010. Кроме того, необходимо добавлять каждого пользователя, входящего в систему на компьютере с включенными службами удаленных рабочих столов в группу пользователей удаленного рабочего стола. Добавление пользователей к группе пользователей удаленного рабочего стола позволяет пользователям использовать подключение к удаленному рабочему столу для соединения с компьютером с включенными службами удаленных рабочих столов и запускать Office 2010. Если не добавлять к группе пользователей удаленного рабочего стола, им будет закрыт доступ к компьютеру с включенными службами удаленных рабочих столов. Дополнительные сведения об установке и настройке служб удаленных рабочих столов (служб терминалов) см. в статье Руководство по развертыванию сервера терминалов (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=88006&clcid=0x419) (Возможно, на английском языке). Настройка сервера узла сеансов удаленных рабочих столов Режим сервера приложений служб удаленных рабочих столов изменен в последней версии, в двух этапах работы компонентов. TSDisabled — это список компонентов, которые по умолчанию не устанавливаются и не отображаются в дереве компонентов настроенных установок, чтобы их нельзя было включить вручную. TSAbsent — это список компонентов, которые по умолчанию не устанавливаются. Однако они отображаются в дереве компонентов (по умолчанию как отсутствующие) и их можно вручную включить через настройку. Отключенные и отсутствующие компоненты Далее представлен список компонентов Office 2010, которые отключены или отсутствуют по умолчанию в настройках сервера узла сеансов удаленных рабочих столов. TSDisabled: OutlookVBScript 497 TSAbsent: PPTSoundFiles Настройка установки Office 2010 Перед началом установки Office 2010 на компьютере с включенными службами удаленных рабочих столов необходимо убедиться, что состояния установки настроены корректно для всех устанавливаемых функций и приложений. Для изменения состояния установки для функции или приложения не требуется специальных инструментов, его можно выполнить во время ручной установки или с помощью центра развертывания Office. Когда пользователи запускают Office 2010 на компьютере с включенными службами удаленных рабочих столов, они не могут устанавливать, настраивать или удалять функции или приложения. Это происходит, поскольку функции и приложения установлены на сервере узла сеансов удаленных рабочих столов, а не на клиентском компьютере, и пользователи не имеют прав администратора, чтобы устанавливать, настраивать и удалять программное обеспечение на сервере узла сеансов удаленных рабочих столов (сервере терминалов). Следовательно, следует убедиться, что состояние установки для каждой функции и приложения настроено как Запускать с моего компьютера (то есть полностью установлено) или Недоступно (то есть не установлено). Если состояние установки для функции или приложения настроено как Устанавливать при первом вызове, пользователи видят предупреждение при попытке использовать функцию или приложение. Только администраторы имеют разрешения добавлять, удалять или настраивать программное обеспечение сервера в удаленных сеансах служб терминалов. Аналогичным образом, если изменить состояние установки для надстройки на Устанавливать при первом вызове, отображается следующее сообщение об ошибке, когда пользователь пытается загрузить надстройку: Microsoft Office не удается запустить эту надстройку. В результате сбоя компонент перестал работать правильно. Обратитесь к системному администратору. Можно настроить состояния установки во время ручной установки, щелкнув Настройка на странице Выберите нужный тип установки. Дополнительные сведения о выполнении ручной установки на компьютере с включенными службами удаленных рабочих столов см. в следующем разделе. Установка Office 2010 на компьютере, использующем службы удаленных рабочих столов Есть два способа установки Office 2010 на компьютер, использующий службы удаленных рабочих столов. Запустить программу установки и вручную выполнить все этапы процедуры установки. 498 Автоматизировать программу установки с помощью файла настройки (MSP), созданного в центре развертывания Office. В любом случае перед установкой Office 2010 необходимо настроить на компьютере с включенными службами терминалов режим установки. Режим установки обеспечивает копирование файлов настройки приложений в системный каталог, чтобы файлы могли быть использованы как главные копии для указанных пользователями ini-файлов. Когда пользователь впервые запускает приложение на сервере узла сеансов удаленных рабочих столов, приложение выполняет поиск корневого каталога для INI-файлов. Если INI-файлы не обнаружены в корневом каталоге, но обнаружены в системном каталоге, то службы удаленных рабочих столов копируют INI-файлы в корневой каталог. Таким образом, для каждого пользователя предоставляется уникальная копия INI-файлов приложения. Приложение создает новые INI-файлы в корневом каталоге пользователя. Важно, чтобы каждый пользователь использовал для приложения уникальную копию INI-файлов. Это позволяет предотвратить случаи наличия у разных пользователей несовместимых настроек приложения (например, разных каталогов по умолчанию и разрешения экрана). Ручная установка Office 2010 В следующей процедуре описана ручная установка Office 2010 на компьютере с включенными службами удаленных рабочих столов. Предполагается, что уже установлены службы удаленных рабочих столов и запущена программа установки с компакт-диска Office 2010 или из точки сетевой установки. Ручная установка Office 2010 1. В меню Пуск выберите последовательно пункты Настройка и Панель управления. 2. Дважды щелкните Установка и удаление программ , а затем выберите Добавление новой программы. 3. Нажмите кнопку Далее. 4. Нажмите кнопку Обзор. 5. Укажите программу установки (Setup.exe) для Office 2010. Она может размещаться на установочном компакт-диске Office 2010 или точке сетевой установки. 6. Выберите Setup.exe, а затем нажмите кнопку Открыть. 7. На странице Введите ключ продукта введите ключ продукта и затем нажмите Продолжить. 8. На странице Прочтите лицензионное соглашение на использование программного обеспечения корпорации Майкрософт, установите флажок Я принимаю условия этого соглашения и нажмите кнопку Продолжить. 9. На странице Выберите нужный тип установки нажмите кнопку Настройка. 10. На вкладке Параметры установки щелкните на приложение или функцию и измените состояние установки на Запускать с моего компьютера или Недоступно. 11. Если необходимо настроить другие параметры, выберите вкладку Расположение файлов или вкладку Сведения о пользователе и проведите необходимые изменения. 499 12. Для начала установки щелкните Установить. 13. После завершения установки нажмите кнопку Закрыть, чтобы закрыть программу установки. 14. На странице После установки нажмите кнопку Далее. 15. На странице Завершение административной установки щелкните Завершить. Важно выполнить два последних шага. Эти шаги настраивают компьютер с включенными службами удаленных рабочих столов для режима выполнения. Автоматическая установка Office 2010 В следующей процедуре описан процесс автоматической установки Office 2010 на компьютере с включенными службами удаленных рабочих столов. Предполагается, что уже создан файл настроек программы установки (MSP) и настроены состояния установки для функций и приложений, как рекомендовано ранее в этой статье. Также предполагается, что программа установки запущена из уже созданной точки сетевой установки. Сначала переведите компьютер с включенными службами удаленных рабочих столов в режим установки. Переведение компьютера с включенными службами удаленных рабочих столов в режим установки 1. В меню Пуск выберите пункт Выполнить, введите Cmd и нажмите кнопку OK. 2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД: Change user /install Затем запустите автоматическую установку абсолютно аналогично запуску на клиентском компьютере. После завершения автоматической установки переведите компьютер с включенными службами удаленных рабочих столов в режим выполнения. Переведение компьютера с включенными службами удаленных рабочих столов в режим выполнения 1. В меню Пуск выберите пункт Выполнить, введите Cmd и нажмите кнопку OK. 2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД: Change user /execute Примечание. При использовании интерактивных установок поле имени пользователя по умолчанию заполняется информацией о вошедшем в систему пользователе. Та же операция выполняется для полей имен пользователей в файле Config.xml. Любое имя пользователя, полученное во время установки, записывается в раздел реестра HKCU\Software\Microsoft\Office\Common\UserInfo. 500 Службы удаленных рабочих столов отображают данный раздел реестра в HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft \Office\Common\UserInfo. После этого настройки по умолчанию раздела HKLM UserInfo отсылаются в профиль каждого нового пользователя. Поскольку имя пользователя уже существует, новые пользователи служб удаленных рабочих столов не должны вводить собственные имена; вместо этого имена по умолчанию назначает администратор. Чтобы устранить эту проблему для новых пользователей в текущем развертывании служб удаленных рабочих столов, администратор компьютера с работающими службами удаленных рабочих столов должен удалить значения из разделе реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft \Office\Common\UserInfo. Чтобы устранить данную ошибку для всех пользователей в новом развертывании служб удаленных рабочих столов, администратор должен выполнить одно из следующих действий на компьютере, на котором выполняются службы удаленных рабочих столов: Выберите во время установки команду Настройка, а затем удалите имя пользователя и начальные параметры. Используйте файл Config.xml, в котором имя пользователя и начальные параметры — пустые значения. После установки удалите значения из раздела реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Micro soft\Office\Common\UserInfo. См. также Официальный документ: Application Virtualization 4.5 для служб терминалов (Возможно, на английском языке) 501 Настройки программы установки Office 2010, связанные со службами удаленных рабочих столов (службами терминалов) Для развертывания служб удаленных рабочих столов пакета Microsoft Office 2010 ключ корпоративной лицензии должен работать правильно. В этой статье описываются настройки, связанные со службой удаленных рабочих столов (ранее известных как службы терминалов). Содержание: Установка при первом вызове Мерцание экрана TSAbsent и TSDisabled Установка при первом вызове При развертывании Office 2010 на компьютере с включенными службами удаленных рабочих столов для нескольких пользователей лучше всего задать состояние установки (Установка по требованию | Объявление | Параметр) для использовании параметра Запускать все с моего компьютера. Состояние установки Установка при первом вызове не гарантирует успешность установки Office 2010. Мерцание экрана При использовании PowerPoint 2010, подключенного к сеансу сервера терминалов Windows Server 2003 с помощью клиента стороннего производителя, такого как Citrix ICA, экран будет мерцать. Это происходит при запуске приложений платформы WPF в сеансе сервера терминалов. Дополнительные сведения о причинах и методах устранения этой проблемы см. в статье базы знаний Майкрософт 955692: Экран мерцает при запуске приложений WPF в сеансе сервера терминалов Windows Server 2003 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=184709&clcid=0x419) (Возможно, на английском языке). TSAbsent и TSDisabled Поведение, определяемое параметрами TSAbsent и TSDisabled, можно переопределить с помощью собственного файла Config.xml или файла настройки программы установки (MSP). 502 Например, по умолчанию OutlookVBScript имеет значение TSDisabled. Однако это можно изменить с помощью файла Config.xml MSP-файла. Атрибуты сервера узла сеанса удаленного рабочего стола применяются для изменения состояний по умолчанию. Эти атрибуты не включают принудительно определенное состояние. См. также Планирование развертывания Office 2010 в среде служб удаленных рабочих столов (служб терминалов) 503 Планирование читаемости в Office 2010 Проверка читаемости Microsoft Office 2010 позволяет пользователям создавать более доступные документы для людей с ограниченными возможностями. Проверка читаемости (подобная проверке правописания, но для проблем читаемости) — это базовый компонент Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. Содержание: Улучшение видимости нарушений Управление отчетами проверки Улучшение видимости нарушений Настройки, представленные в разделе Управление отчетами проверки далее в этой статье, используются для управления проверкой читаемости. Большинство из этих параметров отвечают за отключение конкретных проверок при проверке читаемости. Параметр политики Увеличить видимость нарушений читаемости управляет тем, насколько сильно ошибка читаемости будет усилена в пользовательском интерфейсе. Если этот параметр включен, можно указать, что происходит, когда документ, книга или электронная таблица содержат ошибки читаемости, как показано ниже: Нарушения читаемости не меняют область Подготовка к распространению в представлении Microsoft Office Backstage (по умолчанию). Ошибки читаемости вызывают сильное выделение области Подготовка к распространению в представлении Backstage. Ошибки или предупреждения читаемости вызывают менее сильное выделение области Подготовка к распространению в представлении Backstage. Если проверка читаемости отключена или не настроена, ее пользовательский интерфейс представляется в обычном состоянии. Важно! Для управления проверкой читаемости можно использовать параметры групповой политики. Для Excel 2010, PowerPoint 2010 и Word 2010 параметры групповой политики находятся в узле gpedit <Имя_приложения>\вкладка "Файл"\Проверка читаемости. Управление отчетами проверки В следующих таблицах представлены все параметры групповой политики, которые могут использоваться с целью управления проверкой читаемости для Excel 2010, PowerPoint 2010 и Word 2010. 504 Параметры групповой политики для Excel 2010 Параметр для Excel 2010 Связанный раздел реестра Описание Прекратить проверку читаемости: замещающий текст AltText Если этот параметр включен, проверка читаемости не проверяет, содержат ли замещающий текст такие объекты, как изображения и фигуры. Если этот параметр отключен или не настроен, наличие замещающего текста в объектах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку читаемости: заголовки таблиц TableHeaders Если этот параметр включен, проверка читаемости не проверяет, имеется ли в таблицах строка заголовка. Если этот параметр отключен или не настроен, наличие строк заголовка в таблицах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку возможности программного доступа к книгам ProgrammaticAccess Если этот параметр включен, проверка читаемости не проверяет, заблокирован ли для книг программный доступ с помощью управления цифровыми правами (DRM). Если этот параметр отключен или не настроен, программный доступ к книгам проверяется, и найденные проблемы отображаются в проверке читаемости. 505 Параметр для Excel 2010 Связанный раздел реестра Описание Прекратить проверку наличия объединенных ячеек MergedCells Если этот параметр включен, проверка читаемости не проверяет, содержат ли таблицы объединенные ячейки. Если этот параметр отключен или не настроен, наличие объединенных ячеек в листах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку осмысленности текста гиперссылок MeaningfulHyperlinks Если этот параметр включен, проверка читаемости не проверяет, содержит ли гиперссылка понятный текст. Если этот параметр отключен или не настроен, наличие текста гиперссылки проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия нестандартных имен листов SheetNames Если этот параметр включен, проверка читаемости не проверяет, используются ли для листов с контентом имена, не являющиеся именами по умолчанию. Если этот параметр отключен или не настроен, имена листов проверяются, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку использования пустых строк для форматирования BlankTableRows Если этот параметр включен, проверка читаемости не проверяет, используются ли пустые строки таблицы как форматируемые. 506 Параметр для Excel 2010 Связанный раздел реестра Описание Если этот параметр отключен или не настроен, пустые строки в таблицах проверяются, и найденные проблемы отображаются в проверке читаемости. Параметры групповой политики для PowerPoint 2010 Параметр для PowerPoint 2010 Связанный раздел реестра Описание Прекратить проверку читаемости: замещающий текст AltText Если этот параметр включен, проверка читаемости не проверяет, содержат ли замещающий текст такие объекты, как изображения и фигуры. Если этот параметр отключен или не настроен, наличие замещающего текста в объектах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку осмысленности текста гиперссылок HyperlinkText Если этот параметр включен, проверка читаемости не проверяет, содержит ли гиперссылка понятный текст. Если этот параметр отключен или не настроен, наличие текста гиперссылки проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить поиск файлов мультимедиа с отсутствующими заголовками ClosedCaptions Если этот параметр включен, проверка читаемости не помечает файлы 507 Параметр для PowerPoint 2010 Связанный раздел реестра Описание мультимедиа, которым могут понадобиться данные о заголовках. Если этот параметр отключен или не настроен, проверяется наличие в презентациях мультимедийных файлов, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку HeaderRow читаемости: заголовки таблиц Если этот параметр включен, проверка читаемости не проверяет, имеется ли в таблицах строка заголовка. Если этот параметр отключен или не настроен, наличие строк заголовка в таблицах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия пустых строк и столбцов BlankRowCol Если этот параметр включен, проверка читаемости не проверяет, вставлены ли в таблицу пустые строки и пустые столбцы. Если этот параметр отключен или не настроен, пустые строки и пустые столбцы в таблицах проверяются, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия SimpleStructure объединенных и разделенных ячеек Если этот параметр включен, проверка читаемости не проверяет, содержат ли таблицы объединенные или разбитые ячейки. Если этот параметр отключен 508 Параметр для PowerPoint 2010 Связанный раздел реестра Описание или не настроен, наличие объединенных и разбитых ячеек в таблицах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия заголовков слайдов HasTitle Если этот параметр включен, проверка читаемости не проверяет, есть ли у каждого слайда заполнитель заголовка. Если этот параметр отключен или не настроен, проверяется наличие заголовков в слайдах, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку уникальности заголовков слайдов UniqueTitle Если этот параметр включен, проверка читаемости не проверяет, есть ли у каждого слайда уникальный заголовок. Если этот параметр отключен или не настроен, проверяется уникальность заголовков слайдов, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку разумности порядка объектов на слайдах NonPlaceholderShapes Если этот параметр включен, проверка читаемости не проверяет, содержит ли слайд не являющиеся заполнителями объекты, которые могут читаться не по порядку. Если этот параметр отключен или не настроен, проверяется наличие на слайдах объектов, 509 Параметр для PowerPoint 2010 Связанный раздел реестра Описание которые могут читаться не по порядку, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку возможности программного доступа к презентациям IRM Если этот параметр включен, проверка читаемости не проверяет, заблокирован ли презентациями программный доступ с помощью управления цифровыми правами. Если этот параметр отключен или не настроен, программный доступ к презентациям проверяется, и найденные проблемы отображаются в проверке читаемости. Параметры групповой политики для Word 2010 Параметр для Word 2010 Связанный раздел реестра Описание Прекратить проверку читаемости: замещающий текст AltText Если этот параметр включен, проверка читаемости не проверяет, содержат ли замещающий текст такие объекты, как изображения и фигуры. Если этот параметр отключен или не настроен, наличие замещающего текста в объектах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку MeaningfulHyperlinks Если этот параметр включен, 510 Параметр для Word 2010 Связанный раздел реестра осмысленности текста гиперссылок Описание проверка читаемости не проверяет, содержит ли гиперссылка понятный текст. Если этот параметр отключен или не настроен, наличие текста гиперссылки проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку читаемости: заголовки таблиц TableHeaders Если этот параметр включен, проверка читаемости не проверяет, имеется ли в таблицах строка заголовка. Если этот параметр отключен или не настроен, наличие строк заголовка в таблицах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия пустых строк и столбцов BlankTableCells Если этот параметр включен, проверка читаемости не проверяет, вставлены ли в таблицу пустые строки и пустые столбцы. Если этот параметр отключен или не настроен, пустые строки и пустые столбцы в таблицах проверяются, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия объединенных и разделенных ячеек 2DTableStructure Если этот параметр включен, проверка читаемости не проверяет, содержат ли таблицы объединенные или разбитые ячейки. Если этот параметр отключен или не настроен, наличие 511 Параметр для Word 2010 Связанный раздел реестра Описание объединенных и разбитых ячеек в таблицах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку возможности программного доступа к документам ProgrammaticAccess Если этот параметр включен, проверка читаемости не проверяет, заблокирован ли документами программный доступ с помощью управления цифровыми правами. Если этот параметр отключен или не настроен, программный доступ к документам проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку использования стилей для структурирования больших документов StylesAsStructure Если этот параметр включен, проверка читаемости не проверяет, используются ли в длинных документах стили для определения структуры контента. Если этот параметр отключен или не настроен, использование стилей в документах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку частоты использования стилей HeadingSpacing Если этот параметр включен, проверка читаемости не проверяет, используются ли стили в документах со стилями достаточно часто, чтобы точно представить структуру контента 512 Параметр для Word 2010 Связанный раздел реестра Описание документа. Если этот параметр отключен или не настроен, частота использования стилей проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку краткости заголовков в документе SuccinctHeadings Если этот параметр включен, проверка читаемости не проверяет, являются ли краткими заголовки в документе. Если этот параметр отключен или не настроен, длина заголовков в документе проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия перемещаемых объектов FloatingObjects Если этот параметр включен, проверка читаемости не проверяет, содержит ли документ перемещаемые объекты вместо встроенных. Если этот параметр отключен или не настроен, свойства переноса перемещаемого текста проверяются, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку использования пробелов для форматирования BlankCharacters Если этот параметр включен, проверка читаемости не проверяет, используются ли для форматирования несколько последовательных пробелов. Если этот параметр отключен или не настроен, 513 Параметр для Word 2010 Связанный раздел реестра Описание использование последовательных пробелов в документах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку графических подложек ImageWatermarks Если этот параметр включен, проверка читаемости не проверяет, содержит ли документ графические подложки. Если этот параметр отключен или не настроен, наличие подложек в документах проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия пропущенных уровней в стилях заголовков HeadingOrder Если этот параметр включен, проверка читаемости не проверяет правильность порядка использования заголовков в документе. Если этот параметр отключен или не настроен, порядок использования заголовков в документе проверяется, и найденные проблемы отображаются в проверке читаемости. Прекратить проверку наличия макетных таблиц LayoutTablesReadingOrder Если этот параметр включен, проверка читаемости не помечает таблицы, используемые для макета (то есть таблицы, к которым не применены стили). Если этот параметр отключен или не настроен, таблицы без стилей помечаются, и 514 Параметр для Word 2010 Связанный раздел реестра Описание нарушения отображаются в проверке читаемости. См. также Блог, посвященный вопросам инвестиций в читаемость и читаемости документов (Возможно, на английском языке) Читаемость и лента (Возможно, на английском языке) 515 Планирование многопользовательской активации Office 2010 Согласно политике Майкрософт необходимо активировать все выпуски клиентского ПО Microsoft Office 2010, в том числе корпоративные выпуски. Для Office 2010 многопользовательская активация выполняется с помощью технологий активации Office, основанных на платформе защиты программного обеспечения (SPP), которая используется в Windows Vista и Windows Server 2008. Содержание: Статья Описание Обзор многопользовательской активации Office 2010 Обзор корпоративного лицензирования Майкрософт и технологий активации Office для Office 2010. Планирование многопользовательской активации Office 2010 Планирование процесса активации корпоративного выпуска с помощью технологий активации Office. Планирование независимой MAK-активации Office 2010 Описание планирования развертывания Office 2010 с использованием независимой MAK-активации. Планирование прокси-активации MAK для Office 2010 Описание планирования развертывания Office 2010 с использованием прокси-активации MAK. Планирование KMS-активации Office 2010 Описание планирования развертывания Office 2010 с использованием KMS-активации. Сценарий: основная сеть — KMS- или MAKактивация Office 2010 Описание планирования KMS-активации в основной сети для многопользовательской активации Office 2010. Сценарий: защищенная сеть — KMS- или MAKактивация Office 2010 Описание планирования KMS- или MAKактивации в защищенной сети для многопользовательской активации Office 2010. Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 Описание планирования KMS- или MAKактивации мобильных или отключенных компьютерах для многопользовательской 516 Статья Описание активации Office 2010. Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010 Описание планирования KMS- или MAKактивации в сети лаборатории тестирования или разработки для многопользовательской активации Office 2010. См. также Краткое руководство по многопользовательской активации для Office 2010 Развертывание многопользовательской активации Office 2010 517 Обзор многопользовательской активации Office 2010 Корпорация Майкрософт включает технологии активации в следующие продукты, реализуемые по каналу корпоративного лицензирования: Windows 7, Windows Vista, Windows Server 2008 R2, Windows Server 2008 и клиентские продукты Microsoft Office 2010. Активация устанавливает связь между ключом продукта и соответствующей установкой продукта на устройстве. В этой статье представлен обзор корпоративного лицензирования и двух типов многопользовательской активации. Содержание: Обзор корпоративного лицензирования Технологии активации Office Обзор корпоративного лицензирования В рамках корпоративного лицензирования Майкрософт предлагаются программы, адаптированные под размер и предпочтения организациями вариантов приобретения. Эти программы предоставляют простые, гибкие и выгодные решения, позволяющие организациям легко управлять лицензиями. Некоторые выпуски Office 2010 доступны только через канал корпоративного лицензирования. Чтобы стать корпоративным клиентом, организации должны заключить с Майкрософт соглашение о корпоративном лицензировании. Получив лицензии на программное обеспечение по программам корпоративного лицензирования Майкрософт, организации оплачивают только лицензии на программное обеспечение, а не носители в коробочных версиях программного обеспечения. Помимо снижения общих расходов за счет устранения этих затрат на физические носители и приобретение большого количества лицензий часто позволяет уменьшить затраты и предоставить более гибкие варианты приобретения и администрирования программного обеспечения. В некоторых программах корпоративного лицензирования организации могут также приобретать программу Software Assurance (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=184005&clcid=0x419). Это выгодное предложение поддержки, помогающее организациям получить максимум от инвестиций в программное обеспечение. Программа Software Assurance объединяет последние версии программного обеспечения с технической поддержкой по телефону, партнерскими службами, обучением и ИТ-средствами. Организации могут присоединиться к программе Software Assurance во время приобретения и начать пользоваться преимуществами сразу в период действия лицензионного соглашения. В зависимости от выбранной программы корпоративного лицензирования организации могут получать при необходимости носители или иметь возможность получать носители (или дополнительные носители), документацию и техническую поддержку по продукту. 518 Дополнительные сведения о корпоративном лицензировании см. в разделе Корпоративное лицензирование Майкрософт (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=8523&clcid=0x419). Пошаговые инструкции по активации выпусков клиентских продуктов Office 2010, предназначенных для корпоративного лицензирования, см. в разделе Развертывание многопользовательской активации Office 2010. Если вы уже знакомы со службой управления ключами многопользовательской активации Windows (KMS) и ключом многократной активации (MAK), см. в разделе Краткое руководство по многопользовательской активации для Office 2010 инструкции, относящиеся к Office 2010. Изменения в политике активации Активация системы Microsoft Office 2007 раньше требовалась только для программного обеспечения Майкрософт, приобретаемого в розничных магазинах и у производителей оборудования. Ключи продуктов, вводимые в версию Microsoft Office Enterprise 2007, позволяли обойти активацию. В Office 2010 при активации используются технологии активации Office, основанные на платформе защиты программного обеспечения, представленной в Windows Vista и Windows Server 2008. Политика Майкрософт требует активации всех выпусков клиентского программного обеспечения Office 2010. Они включают и те, что получены по программе корпоративного лицензирования. Это требование применяется к Office 2010 при работе как на физических компьютерах, так и на виртуальных. Активация не требуется для всех серверных продуктов Office 2010: Microsoft SharePoint Server 2010 и Microsoft Project Server 2010, а также для всех версий Microsoft Exchange Server. Почему необходима активация Изготовление поддельного (контрафактного) ПО является важной проблемой отрасли программного обеспечения. В соответствии с недавними исследованиями группы Business Software Alliance, 41 % всего программного обеспечения для персональных компьютеров, установленного в мире в 2008 г., было получено нелегально. Хотя финансовое значение для производителей и поставщиков ПО является значительным, составляя примерно 50 миллиардов долларов США потерь в 2008 г., влияние изготовления поддельного (контрафактного) ПО распространяется за пределы потерь доходов производителей ПО. Многие потребители, имеющие поддельную копию ПО Майкрософт, являются невинными жертвами преступников. Также поддельное ПО всё больше становится средством для распространения вирусов и вредоносных программ, которые могут быть направлены на ничего не подозревающих пользователей, потенциально подвергая их риску повреждения и потери личной или деловой информации и краже персональных данных. Добавление требования активации в программное обеспечение Майкрософт позволяет предотвратить утечку ключей. При этом снижается число используемых копий поддельного ПО. Дополнительные сведения об исследовании группы Business Software Alliance см. на странице 519 Шестое годовое исследование BSA и IDC глобального пиратского программного обеспечения (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=155960&clcid=0x419). Пиратство Все методы активации, используемые Майкрософт, разработаны для защиты от пиратства пользователей. Собираемые данные используются для подтверждения того, что пользователь имеет легально лицензированную копию ПО. Затем они подвергаются статистическому анализу. Майкрософт не использует эти данные для идентификации пользователя или связи с ним. Технологии активации Office Технологии активации Office предоставляют методы активации продуктов, лицензированных по программам корпоративного лицензирования Майкрософт. Большинство клиентов корпоративного лицензирования Office знакомы с ключами многократной установки (VLK), которые выпускались по специальному лицензионному соглашению. Такие ключи позволяли "обходить" активацию. В Office 2010 технологии активации Office помогают управлять процессом активации и автоматизировать его, а также ориентированы на борьбу с пиратством и проблемы управления ключами продуктов, которые возникали с ключами, выпущенными для Office Enterprise 2007. Чтобы активировать Office 2010 посредством технологии активации Office, можно использовать следующие методы, идентичные методам, использованным в Windows Vista, Windows Server 2008 и последующих версиях Windows. Тип введенного ключа продукта определяет метод активации. Служба управления ключами (KMS) Компьютер служит узлом KMS, для чего нужно установить и активировать узел KMS Office 2010. Клиентский компьютер Office 2010 подключается к локальному KMS-серверу для активации. Ключ многократной активации (MAK) С помощью ключа многократной активации клиентские компьютеры Office 2010 активируются через Интернет, используя серверы активации, размещаемые Майкрософт, или через телефон. Сочетание службы управления ключами и ключа многократной активации Например, на настольные компьютеры с Office 2010 устанавливаются клиентские ключи KMS, а на портативные компьютеры с Office 2010 устанавливаются ключи MAK. Сведения о выборе метода многопользовательской активации см. в статье Планирование многопользовательской активации Office 2010 Служба управления ключами (KMS) Служба управления ключами позволяет осуществлять активацию продукта в локальной сети. Это устраняет необходимость в подключении отдельных компьютеров к Майкрософт для активации продукта. Это не требовательная к ресурсам служба, не требующая выделенной системы, она легко может размещаться в системе, предоставляющей другие службы. Компьютер 520 должен быть настроен для работы в качестве KMS-сервера. KMS-сервер содержит специфичный для пользователя ключ многократной установки (ключ KMS-сервера) для каждого продукта, предназначенного для активации. KMS-сервер для активации подключается однажды к серверам, размещаемым Майкрософт. Компьютеры под управлением Windows Server 2003, версий ОС Windows 7 с корпоративным лицензированием или Windows Server 2008 R2 могут быть настроены в качестве KMS-серверов Office 2010. Только один ключ узла KMS Office требуется для активации всех корпоративных версий клиентских продуктов Office 2010. Важно! Ключ KMS-сервера Office 2010 не является специфичным для операционной системы. Он разработан для использования на любых операционных системах, указанных выше, включая 32- и 64-разрядные выпуски. KMS-клиенты Office 2010 KMS-клиенты — это компьютеры под управлением выпусков Office 2010 с корпоративным лицензированием, которые предустанавливаются с ключом KMS-клиента. KMS-клиенты подключаются к KMS-серверу организации, чтобы запросить активацию. KMS-клиенты Office 2010 могут быть установлены в операционных системах, перечисленных в разделе Системные требования для Office 2010. По умолчанию ключ KMS-клиента уже установлен в выпусках Office 2010 с корпоративным лицензированием. Активации конечным пользователем не требуется и ему не нужно вводить ключ продукта для KMS-клиентов Office 2010. Единственное действие, требуемое от администратора, — начальная активация KMS-сервера. Дополнительные сведения см. в подразделе Планирование развертывания KMS раздела Планирование многопользовательской активации Office 2010. Ключ многократной активации (MAK) Уникальный ключ многократной активации выдается каждой организации для каждого корпоративного выпуска Office 2010. Каждый компьютер должен затем быть активирован однажды с помощью служб активации, размещаемых Майкрософт. С каждым ключом связано определенное число активаций. Например, ключ многократной активации для Office 2010 со 100 активациями позволяет организации установить ключ на 100 компьютеров и активировать их. Активация с помощью ключа многократной активации подходит организациям, в которых компьютеры не подключаются к корпоративной сети в течение долгого времени, например в случае портативных компьютеров. Чтобы такой механизм работал, ключ MAK должен быть установлен с ключом многократной активации вместо клиентского ключа KMS, используемого по умолчанию в выпусках Office 2010 с корпоративным лицензированием. Существует два способа активации компьютеров при помощи ключа многократной активации. Первый способ — это 521 активация с помощью ключа многократной активации, требующая независимого подключения каждого компьютера к Майкрософт и активации через Интернет или телефон. Второй способ — активация с помощью прокси-сервера ключа многократной активации, которая выполняется с помощью средства Volume Activation Management Tool (VAMT) 2.0.0 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). VAMT 2.0 поддерживает активацию Office 2010 через прокси-сервер ключа многократной активации. Используя этот способ, компьютер собирает сведения об активации со многих компьютеров в сети, а затем отправляет общий запрос на активацию. В данной конфигурации консоль VAMT 2.0 устанавливается только на тот компьютер, который подключается к серверам, размещаемым Майкрософт. Дополнительные сведения см. в разделе Планирование активации MAK в статье Планирование многопользовательской активации Office 2010. При активации с помощью ключа многократной активации нет требования периодического продления активации. Повторная активация потребуется при обнаружении значительных изменений оборудования (например, при замене жесткого диска) или переустановке операционной системы. Каждая повторная активация снижает число активаций, связанных с ключом. Если сохранить и применить идентификатор подтверждения, используемый при проксиактивации MAK с помощью VAMT 2.0, можно повторно активировать тот же компьютер без уменьшения числа активаций, связанных с ключом. Также при превышении заданного числа активаций необходимо запрашивать большее число допустимых активаций. Необходимо управлять установкой ключа многократной активации и может потребоваться ручная активация систем с помощью телефона, если подключение к Интернету недоступно. Примечание. Office 2010 поддерживают только VAMT 2.0 и более поздние версии. Ключи продуктов с корпоративным лицензированием При использовании выпусков Office 2010 с корпоративным лицензированием планирование многократной активации должно быть частью процесса развертывания Office 2010. Ключи KMSсервера и ключи многократной активации (MAK) выпускаются по определенному лицензионному соглашению, чтобы позволить организациям использовать лицензионные продукты. Эти ключи могут использоваться только для продуктов с корпоративным лицензированием. Они не могут использоваться с розничным программным обеспечением или программным обеспечением, предварительно установленным на новые компьютеры производителями оборудования, если организация не имеет соглашения с производителем оборудования на предварительную установку выпусков продуктов с корпоративным лицензированием. Чтобы получить ключ KMS-сервера или ключи многократной активации, посетите веб-сайт, с которого был загружен пакет Office 2010. См. также Планирование многопользовательской активации Office 2010 522 Развертывание многопользовательской активации Office 2010 Средства для настройки клиентских компьютеров в Office 2010 Устранение неполадок многопользовательской активации Office 2010 Форум многопользовательской активации Office 2010 (Возможно, на английском языке) Форумы Office 2010 (Возможно, на английском языке) 523 Планирование многопользовательской активации Office 2010 В этой статье описан процесс планирования тестирования технологий активации Office. Перед прочтением этой статьи рекомендуется ознакомиться со статьей Обзор многопользовательской активации Office 2010. Также настоятельно рекомендуется прочитать Руководство по планированию многопользовательской активации для Windows (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке). Содержание: Планирование развертывания Обзор методов активации Планирование развертывания KMS Планирование активации MAK Планирование развертывания При планировании развертывания Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2, возможно, будут учитываться те же вопросы, что и для Microsoft Office 2010. Для определения метода активации — службы управления ключами (KMS), ключа многократной активации (MAK) или обоих методов — используемого для Windows, ознакомьтесь со статьей Руководство по планированию многопользовательской активации для Windows (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке). Скорее всего, для Office 2010 будет использоваться тот же метод. Развертывание многопользовательской активации состоит из следующих этапов. 1. Изучение активации продукта. 2. Обзор доступных моделей активации. 3. Оценка возможностей подключение клиента. 4. Сопоставление физического компьютера или виртуальной машины с методом активации. 5. Определение потребностей в ключах продукта. 6. Определение потребностей для мониторинга и отчетности. Большинство из необходимых сведений представлены в руководстве по планированию многопользовательской активации для Windows (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке). В данной статье представлен обзор технологии, а основное внимание уделено разнице подходов для Windows и Office. 524 При планировании использования технологий активации Office следует учитывать следующие факторы: Порог активации KMS для Office 2010 равен пяти компьютерам. Это значит, что клиентские компьютеры Office 2010 будут активированы только после того, как пять или более клиентских компьютеров запросят активацию. Ввод ключа продукта для клиентов KMS Office 2010 не требуется. Ввод ключа узла KMS необходим только на компьютере узла KMS. При использовании ключа MAK необходимо вводить ключ продукта в центре развертывания Office (OCT) или в файле Config.xml. После установки Office 2010 ключ продукта можно изменить с помощью средства управления активацией корпоративных лицензий (VAMT) 2.0 или скрипта платформы защиты программного обеспечения Office (ospp.vbs). Дополнительные сведения о скрипте ospp.vbs см. в разделе Средства для настройки клиентских компьютеров в Office 2010. Визуальное представление методов многопользовательской активации для Office 2010, а также типовые сетевые сценарии см. в статье Многопользовательская активация Microsoft Office 2010 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=188811&clcid=0x419) (Возможно, на английском языке). Обзор методов активации Технологии активации Office предоставляют два метода активации: Служба управления ключами (KMS) Серверно-клиентская модель, в которой компьютер служит узлом KMS, на который нужно установить ключ узла KMS, а затем активировать его. При этом в среде создается локальная служба активации. Клиентские компьютеры Office 2010 подключаются к локальному узлу KMS Office 2010 для активации. Ключ многократной активации (MAK) С помощью ключа многократной активации клиентские компьютеры Office 2010 активируются через Интернет, используя серверы активации, размещаемые Майкрософт, или через телефон. Тип установленного ключа определяет метод активации. Во всех корпоративных выпусках Office 2010 ключ клиента KMS уже установлен. Не требуется ввести ключ продукта, если 525 выполняется развертывание клиентов KMS. Если нужно использовать активацию MAK, требуется ввести правильный ключ MAK. Также можно использовать сочетание методов KMS и MAK. Например, в Office 2010, работающем на компьютерах, установлен ключ KMS-клиента, а в Office 2010 на портативных компьютерах установлен ключ MAK. Выбор модели зависит от размера, инфраструктуры сети, структуры подключений, а также требований безопасности. Возможно использование одной модели или их сочетания. Обычно для Office используется тот же метод активации, что и для конкретного экземпляра Windows. Дополнительные сведения о выборе метода активации см. в руководстве по планированию многопользовательской активации для Windows (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке). Службу управления ключами (KMS) Служба KMS представляет собой модель "клиент-сервер", в которой компьютер выступает в качестве узла KMS. Активация KMS требует наличия подключения TCP/IP. По умолчанию узлы KMS публикуют службу KMS с использованием службы DNS, а клиентские компьютеры подключаются к узлу KMS для активации с помощью анонимных удаленных вызовов процедур (RPC) через коммуникационный TCP-порт 1688, который устанавливается по умолчанию при использовании брандмауэра на узле KMS. Возможны использование параметров по умолчанию, которые практически не требуют вмешательства администратора, или ручная настройка узлов и клиентов KMS в зависимости от структуры сети и требований безопасности. Для лицензирования необходимо активировать клиент KMS. В следующей таблице описывается состояние лицензии клиента KMS Office 2010 в соответствии с состоянием активации. Состояние лицензии Описание Лицензировано По умолчанию клиент KMS пытается выполнить активацию с помощью сервера KMS один раз каждые семь дней. (Число дней можно изменить.) Такой подход обеспечивает для клиента максимально возможное время нахождения в состоянии лицензирования. После успешной активации клиента KMS он остается в состоянии лицензировании 180 дней. В этом состоянии пользователи не видят уведомлений о необходимости активации. После 180 дней процесс активации возобновляется. Если повторная активация проходит успешно, весь процесс активации прозрачен для конечного пользователя. 526 Состояние лицензии Описание Не активировано Если в течение 180 дней не выполняется активация, Office 2010 переходит в неактивированное состояние на срок в 30 дней. Пользователи видят уведомления о необходимости активации. Уведомление о нелицензированном состоянии Если активация не происходит в неактивированном состоянии, Office 2010 переходит в нелицензированное состояние. Пользователи видят уведомления о необходимости активации и красную строку заголовка. Узел KMS должен быть установлен и активирован ключом узла KMS перед получением запросов активации KMS от клиентов KMS. Сведения о настройке узла KMS см. в разделе Подготовка и настройка узла KMS в статье Развертывание многопользовательской активации Office 2010. Важно Ключ узла KMS для Office 2010 не привязан к конкретной операционной системе. Он предназначен для использования в любой операционной системе, которая поддерживается как узел KMS Office 2010, в том числе для 32-разрядных и 64-разрядных версий. Публикация службы KMS Служба KMS использует записи SRV на DNS для хранения данных о расположении узлов KMS и передачи этих данных. Узлы KMS по возможности используют технологию динамического обновления для публикации записей SRV службы KMS. Если динамические обновления недоступны или узел KMS не имеет разрешений на публикацию записей ресурсов, необходимо вручную опубликовать записи DNS или настроить клиентские компьютеры на подключение к определенным узлам KMS. Для этого может потребоваться изменить разрешения на DNS и позволить нескольким узлам KMS публиковать записи SRV. Примечание. Распространение изменений DNS на все узлы DNS может занять некоторое время в зависимости от сложности и топологии сети. Обнаружение клиента KMS При первом запросе информации от клиента KMS в службу DNS он случайным образом выбирает узел KMS из списка записей SRV, возвращаемых службой DNS. Адрес DNS-сервера, содержащего записи SRV, может быть перечислен в клиентах KMS в виде записи с суффиксом. 527 Это позволяет распространять записи SRV для службы KMS на одном DNS-сервере, а также для клиентов KMS с другими основными DNS-серверами. Администратор может добавить параметры priority и weight в раздел реестра DnsDomainPublishList для узлов KMS в корпоративных выпусках Windows 7 или Windows Server 2008 R2. Это позволит установить группировку приоритета узла KMS и веса внутри каждой группы. Эти параметры определяют порядок использования узлов KMS и распределяют трафик на нескольких узлах KMS. При использовании параметров priority и weight рекомендуется отключить кэширование KMS на клиентском компьютере. Это позволит клиенту запрашивать DNS при каждой попытке активации с учетом параметров приоритета и веса вместо прямого соединения с кэшированным узлом KMS, которое в последний раз завершилось успешной активацией. Если выбранный клиентом узел KMS не отвечает, то клиент KMS удаляет его из списка записей SRV и случайным образом выбирает другой узел KMS из списка. Если установлены параметры priority и weight, то клиент KMS будет использовать их при поиске другого узла KMS. В противном случае узлы KMS будут выбираться в случайном порядке. После ответа узла KMS клиент кэширует имя узла и использует его для последующей активации и попыток обновления, если кэширование включено. Если кэшированный узел KMS не отвечает при последующем обновлении, то клиент KMS выполняет обнаружение нового узла KMS путем запроса записей SRV в службе DNS. Пороги активации KMS Минимальным требованием для активации KMS для Office 2010 — наличие узла KMS и минимум пяти клиентов KMS в сетевой среде. Пять или более компьютеров с корпоративными выпусками Office 2010 должны подключиться к узлу KMS в течение 30 дней, чтобы их запросы на активацию были выполнены. После того как у узлу KMS подключились пять клиентов, последующие клиенты при подключении получают ответы, разрешающие активацию. Согласно расписанию повторной активации исходные клиенты также активируются при повторном запросе активации с узла KMS. После инициализации KMS инфраструктура KMS работает без стороннего вмешательства. Служба KMS может быть размещена с другими службами. Один узел KMS может поддерживать сотни тысяч клиентов KMS. В большинстве организаций достаточно развернуть только два узла KMS (основной узел KMS и резервный узел для избыточности). Возобновление активации KMS Активация KMS действительна в течение 180 дней. Этот период называется периодом действия активации. Чтобы оставаться в активированном состоянии, клиенты KMS должны обновлять активацию путем подключения к узлу KMS по крайней мере каждые 180 дней. По умолчанию клиентские компьютеры KMS пытаются обновить активацию каждую неделю. После обновления активации период действия начинается заново. 528 Использование KMS для компьютеров с Windows и клиентами Office 2010 При использовании службы управления ключами для активации как компьютеров под управлением Windows, так и клиентов Office 2010 есть следующие варианты для Office 2010: Использование того же узла KMS на компьютере под управлением Windows Server 2003, корпоративных версий Windows 7 или Windows Server 2008 R2 (рекомендуется). Использование раздельных KMS-серверов для компьютеров Windows и Office 2010. Важно! Если в среде уже есть узел KMS, настроенный для активации продуктов Windows, все равно нужно установить файлы лицензии узла KMS Office 2010, ввести ключ узла KMS Office 2010 и активировать этот ключ. Для этого перейдите на веб-сайт Лицензионный пакет сервера KMS Microsoft Office 2010 (http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419) и загрузите и запустите программу KeyManagementServiceHost.exe. В качестве узла KMS Office 2010 поддерживаются следующие операционные системы. Windows Server 2008 R2 Корпоративные выпуски Windows 7 Windows Server 2003 Если компьютер уже используется как узел KMS Windows и требуется разместить узел KMS Office 2010 на том же компьютере, выполните действия, описанные в разделе Подготовка и настройка узла KMS статьи Развертывание многопользовательской активации Office 2010. Ключ многократной активации (MAK) Ключ MAK используется для однократной активации с помощью служб активации, размещенных в корпорации Майкрософт. Каждый ключ MAK имеет ограниченное количество активаций. Это количество определяется корпоративными лицензиями и может не совпадать с количеством лицензий в организации. Каждая активация, при которой ключ MAK используется со службой активации корпорации Майкрософт, учитывается в общем количестве активаций. После активации Office 2010 повторная активация не требуется, если оборудование значительно не поменялось. Существует два способа активации компьютеров с помощью ключа MAK: Независимая активация MAK. Независимая активация MAK требует независимого подключения каждого компьютера к серверу корпорации Майкрософт и последующей активации через Интернет или по телефону. Независимая активация MAK оптимально подходит для компьютеров в организации, которые не имеют подключения к корпоративной сети. Прокси-активация MAK с помощью пакета VAMT 2.0. В этом случае разрешается отправка общего запроса активации от имени нескольких компьютеров с подключением к серверам корпорации Майкрософт. Прокси-активация MAK настраивается с помощью 529 средства VAMT 2.0. Прокси-активация MAK подходит для сред, в которых требования безопасности могут ограничивать прямой доступ в Интернет или в корпоративную сеть. Он также подходит для разработки и тестирования в средах без такого подключения. Архитектура MAK Для активации MAK необходимо установить ключ MAK на клиентском компьютере. Ключ запустит активацию компьютера через Интернет на серверах активации корпорации Майкрософт. При прокси-активации MAK ключ необходимо установить на клиентский компьютер с помощью одного из описанных ранее способов. Средство VAMT 2.0 получает идентификатор установки IID с целевого компьютера, отправляет идентификатор в корпорацию Майкрософт от имени клиента и получает идентификатор подтверждения CID. Затем средство активирует клиент путем установки идентификатора CID. CID сохраняется и его можно использовать в дальнейшем, например, для активации тестовых компьютеров, образ которых был записан еще раз после 90 дней. VAMT 2.0 VAMT 2.0 — это оснастка консоли управления Майкрософт (MMC), которая предоставляет графический интерфейс пользователя для простого управления Windows и клиентскими продуктами Office 2010 с установленными ключами многопользовательской активации. VAMT 2.0 позволяет указать группу активируемых продуктов с помощью доменных служб Active Directory (AD DS), имен рабочей группы, IP-адресов, имен компьютера или общего запроса LDAP. Пакет Office 2010 совместно с Windows поддерживается только в версии VAMT 2.0 и выше. VAMT 2.0 может использоваться для переключения компьютеров между режимами активации MAK и KMS, если щелкнуть целевой компьютер и установить соответствующий ключ. VAMT 2.0 также позволяет выполнить активацию на удаленном компьютере. Если на целевом компьютере установлен ключ MAK, компьютер передает запрос на активацию серверам активации Майкрософт. Если установлен ключ клиента KMS, целевой компьютер передает запрос на активацию узлу KMS. Это средство также поддерживает сбор запросов активации от нескольких компьютеров и затем передает их серверам активации корпорации Майкрософт. Это называется прокси-активацией MAK через VAMT 2.0, а на целевых компьютерах должен быть установлен ключ MAK. В режиме прокси-активации средство VAMT 2.0 распределяет коды подтверждения активации с серверов активации корпорации Майкрософт на компьютеры, запрашивающие активацию. Так как средство VAMT также хранит эти коды подтверждения локально, с его помощью можно повторно активировать активированный ранее компьютер после создания его образа и без подключения к серверам корпорации Майкрософт. Планирование развертывания KMS Служба KMS не требует наличия выделенного сервера. Служба KMS может размещаться на сервере, на котором уже установлена служба KMS для Windows. А именно, можно настроить 530 компьютер под управлением Windows Server 2003 со службой KMS версии 1.1 или более поздней, корпоративные выпуски Windows 7 или Windows Server 2008 R2 на выполнение роли единого узла KMS, который отвечает на запросы активации Windows и Office 2010 от клиентов KMS. Это справедливо, если установлены соответствующие лицензии узла KMS Office 2010, а действительный ключ узла KMS установлен и активирован на серверах корпорации Майкрософт. Лицензии узла KMS Office 2010 можно установить с помощью средства, загруженного с вебсайта Лицензионный пакет сервера KMS Microsoft Office 2010 (http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419). Важно! Узлы KMS, настроенные с помощью бета-версии Office 2010, не могут использоваться для активации клиентских компьютеров с окончательной версией Office 2010. Для активации таких клиентских компьютеров можно запустить версию выпуска средства, загруженного с веб-сайта Лицензионный пакет сервера KMS Microsoft Office 2010 (http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419), и ввести ключ узла KMS на том же узле KMS, либо настроить новый сервер KMS только для активации окончательной версии выпуска Office 2010. Планирование конфигурации сервера DNS Функция автоматической публикации KMS по умолчанию требует наличия записи SRV и поддержки динамического обновления. Microsoft DNS или любой другой DNS-сервер с поддержкой SRV (согласно документу RFC 2782 рабочей группы проектирования сети Интернет (IETF)), и технология динамический обновлений (согласно документу 2136) могут поддерживать поведение клиента KMS по умолчанию и публикацию записей SRV KMS. Например, версии BIND 8.x и 9.x поддерживают записи SRV и динамическое обновление. Узел KMS должен иметь соответствующие учетные данные для создания и обновления записей SRV, A (IPv4) и AAAA (IPv6) на серверах динамического обновления. В противном случае необходимо создать эти записи вручную. Для предоставления узлу KMS необходимых учетных данных необходимо создать группу безопасности в доменных службах Active Directory и добавить в эту группу все узлы KMS. Для сервера Microsoft DNS следует убедиться в том, что группе безопасности предоставлен полный контроль над службой VLMCS. Запись TCP на каждом домене DNS будет содержать записи SRV KMS. Активация узла KMS Узел KMS должен выполнить активацию с помощью серверов активации корпорации Майкрософт через Интернет или по телефону. Узел KMS должен выполнить активацию с помощью серверов активации корпорации Майкрософт через Интернет или по телефону. При активации узла KMS он не передает никакие дополнительные данные в корпорацию Майкрософт. Дополнительные сведения см. в разделе Установка и настройка узла KMS документа Развертывание многопользовательской активации Office 2010. 531 Подготовка клиентов KMS По умолчанию корпоративные выпуски Office 2010 предварительно устанавливаются с ключом клиента KMS. Это преобразует их в клиенты KMS без дополнительной настройки. Клиенты KMS могут автоматически обнаружить узел KMS путем автоматической отправки в службу DNS запроса записей SRV, которые публикуют службы KMS. Если сетевая среда не использует записи SRV, администратор может вручную настроить клиент KMS на использование определенного узла KMS путем изменения следующего раздела реестра: HKLM\Software\Microsoft\OfficeSoftwareProtectionPlatform Имя узла KMS указывается значением KeyManagementServiceName (REG_SZ), а порт — значением KeyManagementServicePort (REG_SZ). Эти разделы реестра также можно настроить с помощью скрипта ospp.vbs. Дополнительные сведения о ospp.vbs см. в статье Средства для настройки клиентских компьютеров в Office 2010. Активация в роли обычного пользователя Office 2010 не требует разрешений администратора для активации KMS. При этом для MAKактивации корпоративных выпусков разрешения администратора необходимы. Администраторы могут разрешать пользователям без разрешений администратора активацию с помощью ключа MAK путем задания соответствующего раздела реестра в развертывании или в главном образе. HKEY_LOCAL_MACHINE\Software\Microsoft\OfficeSoftwareProtectionPlatform\UserOperations =1 Этот раздел реестра также можно настроить с помощью скрипта ospp.vbs. Дополнительные сведения о ospp.vbs см. в статье Средства для настройки клиентских компьютеров в Office 2010. Планирование активации MAK Ключ MAK рекомендуется для компьютеров, которые не подключаются или редко подключаются к корпоративной сети, а также для сред, в которых число физических компьютеров, требующих активации, не соответствует порогу активации KMS Office 2010 (пять компьютеров). Ключ MAK может использоваться для отдельных компьютеров или для образа, который можно установить с помощью решений развертывания корпорации Майкрософт или сторонних решений. Ключ MAK также может использоваться на компьютере, который был настроен на использование активации KMS. Эта возможность может быть полезна при перемещении компьютера из основной сети в изолированную среду. Дополнительные сведения об установке ключа многократной активации см. в разделе Развертывание многопользовательской активации Office 2010. Прокси-сервер с проверкой подлинности не поддерживается Активация через Интернет будет заблокирована, если прокси-сервер требует проверки подлинности пользователей. Для сервера Microsoft ISA этот параметр называется обычной 532 проверкой подлинности. Так как запросы активации не передают учетные данные пользователя на прокси-сервер, рекомендуется не использовать обычную проверку подлинности для сервера ISA и других прокси-серверов. Дополнительные сведения см. в статье базы знаний Майкрософт 921471: Ошибка активации при попытке активировать Windows Vista или Windows Server 2008 через Интернет (http://go.microsoft.com/fwlink/?linkid=183044&clcid=0x419). См. также Обзор многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 Средства для настройки клиентских компьютеров в Office 2010 Устранение неполадок многопользовательской активации Office 2010 Планирование KMS-активации Office 2010 Планирование независимой MAK-активации Office 2010 Планирование прокси-активации MAK для Office 2010 Форум многопользовательской активации Office 2010 (Возможно, на английском языке) Форумы Office 2010 (Возможно, на английском языке) 533 Планирование независимой MAK-активации Office 2010 Необходимо активировать развертывание корпоративных выпусков Microsoft Office 2010. В их число входят Microsoft Office профессиональный плюс 2010, Microsoft Project 2010 и Microsoft Visio 2010. Активация снижает вероятность развертывания поддельного ПО, которое может содержать вредоносные программы, вирусы и другие угрозы безопасности. Содержание: Обзор независимой активации MAK Планирование и оценка среды и конфигурации Office 2010 Получение ключей продукта Действия для выполнения независимой активации MAK Действия для управления средством управления активацией корпоративных лицензий VAMT Обзор независимой активации MAK Активация с помощью ключа многократной активации (MAK) выполняется непосредственно с участием Майкрософт (что отличается от активации с помощью службы KMS, когда активация выполняется на локальном сервере). Если в организации не больше пяти компьютеров, на которых нужно активировать Office 2010, рекомендуется использовать ключ MAK для независимой активации каждого компьютера. Также можно использовать средство управления активацией корпоративных лицензий (Возможно, на английском языке) (VAMT) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) для управления всеми активированными компьютерами. Далее представлены примеры сетей, в которых можно использовать независимую активацию MAK. Пример: офис удаленных продаж с изолированными переносными компьютерами В компании Fabrikam, Inc. есть несколько офисов удаленных продаж по всему миру. В каждом офисе не больше пяти переносных компьютеров, изолированных от всех сетей и Интернета. Решение: использовать активацию MAK по телефону отдельно для каждого переносного компьютера. Архитектура — офис продаж Fabrikam 534 Пример: малая организация с настольными компьютерами, подключенными к Интернету, и изолированными переносными компьютерами В компании Contoso, Ltd. три настольных компьютера, подключенных к Интернету, и два переносных компьютера, изолированных от Интернета. Другие сети недоступны. Решение: выполнить MAK-активацию настольных компьютеров с помощью средства VAMT (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) и активировать переносные компьютеры по телефону, используя ключ MAK. Архитектура — пример малой организации Contoso 535 Планирование и оценка среды и конфигурации Office 2010 В следующих статьях представлены сведения, которые помогут правильно настроить развертывание Office 2010 для активации с использованием ключа многократной активации (MAK). Сведения об оценке среды Office 2010 см. в статье Оценка совместимости Office 2010. Сведения о планировании конфигурации компьютеров для Office 2010 (если необходимо) см. в статье Планирование конфигураций настольных компьютеров для Office 2010. Сведения об оценке системных требований Office 2010 см. в статье Системные требования для Office 2010. 536 Получение ключей продукта Для получения ключей продукта для Office 2010 зарегистрируйтесь на веб-сайте Центр обслуживания многопользовательской активации (VLSC) (http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Лицензионное соглашение определяет число доступных MAK-активаций. Действия для выполнения независимой активации MAK Часть общего процесса настройки Office 2010 — настройка каждого компьютера для MAKактивации. Дополнительные сведения см. в статье Настройка выпуска 2010 системы Office. Используйте соответствующую процедуру для настройки Office 2010 с помощью центра развертывания Office (OCT), файла Config.xml или представления Backstage Microsoft Office. Действия для управления средством управления активацией корпоративных лицензий VAMT Загрузите и установите средство VAMT 2.0 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). Следуйте инструкциям на странице загрузки. Для получения дополнительных сведений об использовании средства VAMT щелкните Справка в строке меню VAMT 2.0. Если увеличить число компьютеров до числа, которое не превышает 50, рекомендуется использовать прокси-активацию MAK для всех компьютеров, которые могут подключиться к прокси-серверу MAK. Дополнительные сведения см. в статье Планирование прокси-активации MAK для Office 2010. Если увеличить число компьютеров до 50 или более, рекомендуется использовать активацию KMS для всех компьютеров, которые могут подключиться к серверу KMS. Дополнительные сведения см. в статье Планирование KMS-активации Office 2010. Все другие компьютеры можно активировать с помощью ключа MAK, используя ранее описанные методы. Примечание. Примеры сценариев с применением активации KMS вместе с активацией MAK см. в статьях Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010, Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 и Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010. См. также Планирование прокси-активации MAK для Office 2010 537 Планирование KMS-активации Office 2010 Планирование многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 Средство управления многопользовательской активацией (Возможно, на английском языке) Центр обслуживания многопользовательской активации 538 Планирование прокси-активации MAK для Office 2010 Необходимо активировать развертывание корпоративных выпусков Microsoft Office 2010. В их число входят Microsoft Office профессиональный плюс 2010, Microsoft Project 2010 и Microsoft Visio 2010. Активация снижает вероятность развертывания поддельного ПО, которое может содержать вредоносные программы, вирусы и другие угрозы безопасности. Содержание: Обзор прокси-активации MAK Планирование и оценка среды и конфигурации Office 2010 Получение ключей продукта Действия для выполнения прокси-активации MAK Действия для управления средством управления активацией корпоративных лицензий VAMT Обзор прокси-активации MAK Активация с помощью ключа многократной активации (MAK) выполняется непосредственно с участием Майкрософт (что отличается от активации с помощью службы KMS, когда активация выполняется на локальном сервере). Если в организации 6-49 компьютеров, на которых нужно активировать Office 2010, рекомендуется использовать прокси-активацию MAK, управляемую с помощью средства управления активацией корпоративных лицензий (Возможно, на английском языке) (VAMT) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419), для всех компьютеров, которые могут подключиться к прокси-серверу MAK. Для компьютеров, изолированных от корпоративной сети или Интернета, рекомендуется использовать независимую активацию MAK по телефону. Далее представлен пример сети, в которой можно использовать активацию MAK. Пример: средняя организация с настольными компьютерами, подключенными к Интернету, и изолированными переносными компьютерами В компании Contoso, Ltd. 15 настольных компьютеров и 10 переносных компьютеров в единственном офисе. Настольные компьютеры подключены к Интернету, а переносные компьютеры изолированы от всех сетей. Решение: использовать средство VAMT (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) для управления прокси-активацией MAK настольных компьютеров и выполнить независимую активацию переносных компьютеров по телефону. Архитектура — пример средней организации Contoso 539 Планирование и оценка среды и конфигурации Office 2010 В следующих статьях представлены сведения, которые помогут правильно настроить развертывание Office 2010 для активации с использованием ключа многократной активации (MAK). Сведения об оценке среды Office 2010 см. в статье Оценка совместимости Office 2010. Сведения о планировании конфигурации компьютеров для Office 2010 (если необходимо) см. в статье Планирование конфигураций настольных компьютеров для Office 2010. Сведения об оценке системных требований Office 2010 см. в статье Системные требования для Office 2010. Сведений о настройке компьютеров для активации MAK см. в статье Настройка выпуска 2010 системы Office. Используйте соответствующую процедуру для настройки Office 2010 с 540 помощью центра развертывания Office (OCT), файла Config.xml или представления Microsoft Office Backstage. Получение ключей продукта Для получения ключей продукта для Office 2010 зарегистрируйтесь на веб-сайте Центр обслуживания многопользовательской активации (VLSC) (http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Лицензионное соглашение определяет число доступных MAK-активаций. Действия для выполнения прокси-активации MAK Для активации Office 2010 с помощью прокси-сервера MAK под управлением средства VAMT выполните следующие действия. 1. В разделе средства VAMT Ключи продукта введите ключ MAK, отображаемый в поле Ключ продукта, а затем нажмите кнопку Проверить. 2. Правой кнопкой мыши щелкните компьютер, на котором следует установить ключ MAK, выберите команду Установить ключ продукта, выберите Ключ MAK, а затем нажмите кнопку ОК. 3. Чтобы активировать Office 2010, щелкните имя компьютера правой кнопкой мыши, выберите команду Активировать, а затем — команду Прокси-активация. Важно! Необходимо предоставить учетные данные администратора выбранного компьютера. Примечание Если в отделе или группе 6-49 компьютеров, которые не подключены к корпоративной сети, рекомендуется следовать рекомендациям по активации MAK, указанным в этой статье. Если в отделе или группе пять или меньше компьютеров, которые не подключены к корпоративной сети, рекомендуется использовать независимую активацию MAK для каждого компьютера. Дополнительные сведения см. в статье Планирование независимой MAK-активации Office 2010. Если увеличить число компьютеров до 50 или более, рекомендуется использовать активацию KMS для всех компьютеров, которые могут подключиться к серверу KMS. Дополнительные сведения см. в статье Планирование KMS-активации Office 2010. Все другие компьютеры можно активировать с помощью ключа MAK, используя ранее описанные методы. 541 Действия для управления средством управления активацией корпоративных лицензий VAMT Загрузите и установите средство VAMT 2.0 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) на прокси-сервер MAK. Следуйте инструкциям на странице загрузки. Для получения дополнительных сведений об использовании средства VAMT щелкните Справка в строке меню VAMT 2.0. Примечание. Примеры сценариев с применением активации KMS вместе с активацией MAK см. в статьях Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010, Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 и Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010. См. также Планирование независимой MAK-активации Office 2010 Планирование KMS-активации Office 2010 Планирование многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 Средство управления многопользовательской активацией (Возможно, на английском языке) Центр обслуживания многопользовательской активации 542 Планирование KMS-активации Office 2010 Необходимо активировать развертывание корпоративных выпусков Microsoft Office 2010. В их число входят Microsoft Office профессиональный плюс 2010, Microsoft Project 2010 и Microsoft Visio 2010. Активация снижает вероятность развертывания поддельного ПО, которое может содержать вредоносные программы, вирусы и другие угрозы безопасности. Содержание: Обзор активации с помощью службы управления ключами Планирование и оценка среды и конфигурации Office 2010 Получение ключей продукта Действия для активации с помощью службы управления ключами Действия для управления средством управления активацией корпоративных лицензий VAMT Обзор активации с помощью службы управления ключами Если в компании 50 или больше компьютеров, на которых нужно активировать Office 2010, рекомендуется использовать службу управления ключами (KMS). Служба KMS активирует компьютеры (KMS-клиенты) с сервера узла KMS, который содержит ключ узла KMS, предоставляемый корпорацией Майкрософт. Этот метод заменяет прямую активацию в Майкрософт и позволяет администраторам управлять процессом активации. Администратор может легко следить за компьютерами в сети с помощью средства управления активацией корпоративных лицензий (Возможно, на английском языке) (VAMT) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). Далее представлен пример сети, в которой можно использовать активацию KMS. Пример: средняя или крупная организация с настольными и переносными компьютерами, подключенными к корпоративной сети. В компании Contoso, Ltd. 175 настольных компьютеров, которые всегда подключены к корпоративной сети и 50 переносных компьютеров, которые периодически подключаются к сети. Решение: использовать активацию KMS для настольных и переносных компьютеров, а также убедиться, что переносные компьютеры подключены к сети для начальной активации и по крайней мере каждые 180 дней для повторной активации. Архитектура — пример средней-крупной организации Contoso 543 Планирование и оценка среды и конфигурации Office 2010 В следующих статьях представлены сведения, которые помогут правильно настроить развертывание Office 2010 для активации с использованием ключа многократной активации (MAK). Сведения об оценке среды Office 2010 см. в статье Оценка совместимости Office 2010. Сведения о планировании конфигурации компьютеров для Office 2010 (если необходимо) см. в статье Планирование конфигураций настольных компьютеров для Office 2010. Сведения об оценке системных требований Office 2010 см. в статье Системные требования для Office 2010. Сведения о требованиях сервера узла KMS см. в разделе Подготовка и настройка узла KMS статьи Развертывание многопользовательской активации Office 2010. Сведения о настройке DNS для узла KMS см. в разделе “Общие сведения о KMS” в статье Руководство по многопользовательской активации с размещение на клиенте (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=187539&clcid=0x419). Примечание. Как минимум пять компьютеров должны запросить активацию у узла KMS перед тем, как можно будет активировать KMS-клиенты. Все KMS-клиенты должны подключаться к узлу по крайней мере один раз каждые 180 дней для повторной активации. 544 Получение ключей продукта Для получения ключа продукта узла KMS для Office 2010 зарегистрируйтесь на веб-сайте Центр обслуживания многопользовательской активации (VLSC) (http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Для KMS-клиентов ключи продукта устанавливаются предварительно. Установка KMS на главный компьютер Служба узла KMS является частью Windows 7 и Windows Server 2008 R2. Поэтому компьютеры под управлением этих операционных систем можно настроить как узел KMS без установки дополнительного ПО. Для размещения службы на компьютере под управлением Windows Server 2003 с пакетом обновлений 2 (SP2) и более поздних версий нужно установить службу управления ключами (KMS) 1.2 для Windows Server 2003 с пакетом обновлений 2 (SP2) и для более поздних версий Windows Server 2003 1.2. Дополнительные сведения см. в статье базы знаний Майкрософт 968915: Доступно обновление, которое устанавливает службу управления ключами (KMS) 1.2 для Windows Server 2003 с пакетом обновлений 2 (SP2) и более поздних версий Windows Server 2003 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183046&clcid=0x419). Действия для активации с помощью службы управления ключами Хотя на ключ узла KMS позволяет активировать шесть узлов KMS, не рекомендуется активировать более двух узлов KMS. Для активации узла KMS по Интернету запустите программу KeyManagementServiceHost.exe на веб-сайте Лицензионный пакет сервера KMS Microsoft Office 2010 (http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419). Корпорация Майкрософт предоставляет эту программу для бесплатной загрузки. Для активации узла KMS по телефону или вручную и для его настройки используйте скрипт slmgr.vbs. Дополнительные сведения см. в статье Развертывание многопользовательской активации Office 2010. После активации узла KMS существующие KMS-клиенты активируются автоматически. В некоторых случаях необходимо настроить KMS-клиенты с помощью скрипта ospp.vbs. Дополнительные сведения см. в статье Средства для настройки клиентских компьютеров в Office 2010. Действия для управления средством управления активацией корпоративных лицензий VAMT Загрузите и установите средство VAMT 2.0 (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). Следуйте инструкциям на странице 545 загрузки. Для получения дополнительных сведений об использовании средства VAMT щелкните Справка в строке меню VAMT 2.0. Если в отделе или группе пять или меньше компьютеров, которые не подключены к корпоративной сети, рекомендуется использовать независимую активацию MAK для каждого компьютера. Дополнительные сведения см. в статье Планирование независимой MAK-активации Office 2010. Если увеличить число компьютеров до числа, которое не превышает 50, рекомендуется использовать прокси-активацию MAK с использованием VAMT для всех компьютеров, которые могут подключиться к прокси-серверу MAK. Дополнительные сведения см. в статье Планирование прокси-активации MAK для Office 2010. Примечание. Пример сценария, в котором применяется активация KMS, см. в статье Сценарий: основная сеть — KMS- или MAK-активация Office 2010. Примеры сценариев с применением активации KMS вместе с активацией MAK см. в статьях Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010, Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 и Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010. См. также Планирование независимой MAK-активации Office 2010 Планирование прокси-активации MAK для Office 2010 Планирование многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 Средство управления многопользовательской активацией (Возможно, на английском языке) Центр обслуживания многопользовательской активации (Возможно, на английском языке) 546 Сценарий: основная сеть — KMS- или MAKактивация Office 2010 В этой статье представлен более сложный сценарий многопользовательской активации, чем в примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации, рекомендуемый для этого сценария, определяется при использовании одного или нескольких методов активации — службы управления ключами (KMS) и ключа многократной активации (MAK) — описанных в этих статьях. Основная сеть с 50 или более компьютерами Если в организации 50 или более компьютеров, которые регулярно подключаются к основной сети, рекомендуется использовать службу KMS для активации Microsoft Office 2010. Дополнительные сведения см. в статье Планирование KMS-активации Office 2010. Вместо активации каждого компьютера отдельно, подключаясь к серверу Майкрософт, можно активировать все компьютеры (называемые KMS-клиентами) одновременно с помощью узла KMS в основной корпоративной сети. Хотя один узел KMS может активировать тысячи KMS-клиентов, можно физически настроить до шести узлов KMS в зависимости от размера и сложности сети. Однако для обеспечения максимальной простоты и эффективности рекомендуется следовать инструкциям, указанным в следующей таблице. Настройка основной сети Число узлов KMS (см. раздел Рекомендации) Среднее (50-99 компьютеров) 1 Среднее (100-249 компьютеров) 1 или 2 Предприятие (250 и более компьютеров) 2 или больше Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office 2010. Рекомендации При использовании службы KMS для активации Office 2010 в основной сети, нужно учитывать следующие факторы. 547 Число узлов KMS должно быть минимальным. Один ключ узла KMS может активировать до шести узлов KMS, а каждый узел KMS может активировать множество KMS-клиентов. Узел KMS можно активировать по телефону или по Интернету. Каждый узел KMS работает независимо от других узлов KMS. Каждый узел KMS должен убедиться, что более пяти KMS-клиентов запросили активацию в течение 30-дневного периода для поддержания порога активации KMS-клиента. См. также Планирование KMS-активации Office 2010 Планирование прокси-активации MAK для Office 2010 Планирование независимой MAK-активации Office 2010 Планирование многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 548 Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010 В этой статье представлен более сложный сценарий многопользовательской активации, чем в примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации, рекомендуемый для этого сценария, определяется при использовании одного или нескольких методов активации — службы управления ключами (KMS) и ключа многократной активации (MAK) — описанных в этих статьях. Защищенная сеть Если в организации используется защищенная сеть — например, сеть филиала или экстрасеть после брандмауэра — рекомендуется следовать инструкциям, указанным в следующей таблице, для активации Microsoft Office 2010 с помощью KMS и MAK. Настройка защищенной сети Рекомендуемый метод активации Брандмауэр можно открыть для доступа к основной сети. Используйте Планирование KMS-активации Office 2010 на узле KMS в основной сети. Политика не позволяет открыть брандмауэр. Более 50 компьютеров: Планирование KMS-активации Office 2010 с помощью локального узла KMS в защищенной сети. Меньше 50 компьютеров: Планирование независимой MAK-активации Office 2010 или Планирование прокси-активации MAK для Office 2010. Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office 2010. Дополнительные сведения о прокси-активации MAK см. в статье Планирование проксиактивации MAK для Office 2010. Дополнительные сведения о независимой активации MAK см. в статье Планирование независимой MAK-активации Office 2010. 549 Рекомендации При подготовке защищенной к многопользовательской активации Office 2010 необходимо учесть следующие факторы. Брандмауэр нужно настроить как RPC по протоколу TCP и использовать порт TCP 1688. Настройку брандмауэра клиентского компьютера можно инициировать на клиентском компьютере. См. также Планирование KMS-активации Office 2010 Планирование прокси-активации MAK для Office 2010 Планирование независимой MAK-активации Office 2010 Планирование многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 550 Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 В этой статье представлен более сложный сценарий многопользовательской активации, чем в примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации, рекомендуемый для этого сценария, определяется при использовании одного или нескольких методов активации — службы управления ключами (KMS) и ключа многократной активации (MAK) — описанных в этих статьях. Мобильные и отключенные сети В организации может использовать любой из следующих типов конфигурации сети. Сети или компьютеры, которые никогда не подключаются к Интернету или основной сети. Мобильные компьютеры, которые периодически подключаются к основной сети одним из следующих способов. Прямое подключение к сети. VPN-подключение. Мобильные компьютеры, подключенные к Интернету, но никогда не подключающиеся к основной сети. Если это так, рекомендуется использовать инструкции, указанные в следующей таблице, для активации Microsoft Office 2010 с помощью службы KMS и ключа MAK. Настройка сети Рекомендуемый метод активации Компьютеры с доступом в Интернет, которые никогда не подключаются к основной сети. Планирование независимой MAK-активации Office 2010 по Интернету. Компьютеры без доступа в Интернет, которые никогда не подключаются к основной сети. Планирование независимой MAK-активации Office 2010 по телефону. Сети, которые не могут подключиться к основной сети. Пять или более компьютеров (порог KMSактивации) нужно активировать, поэтому используйте Планирование KMS-активации Office 2010 следующим образом. Малая организация: 1 узел KMS Средняя организация: 1 или несколько 551 Настройка сети Рекомендуемый метод активации узлов KMS. Компьютеры, которые периодически подключаются к основной сети напрямую или через VPN. Крупная организация (предприятие): 2 или более узлов KMS. Если нужно активировать менее пяти компьютеров, используйте Планирование независимой MAK-активации Office 2010 или Планирование прокси-активации MAK для Office 2010 (с помощью средства VAMT (Возможно, на английском языке)). Планирование KMS-активации Office 2010 с помощью узлов KMS в основной сети. Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office 2010. Дополнительные сведения о прокси-активации MAK см. в статье Планирование проксиактивации MAK для Office 2010. Дополнительные сведения о независимой активации MAK см. в статье Планирование независимой MAK-активации Office 2010. Рекомендации При подготовке мобильных или отключенных сетей и компьютеров к многопользовательской активации Office 2010 следует учесть следующие факторы. Возможно существование ограниченных сред или сетей, которые не могут быть подключены к другим сетям. Узел KMS может быть активирован и затем перемещен в отключенную сеть. И активацию узла KMS, и независимую MAK-активацию можно выполнить по телефону. Прокси-активация MAK выполняется с помощью средства VAMT. См. также Планирование KMS-активации Office 2010 Планирование прокси-активации MAK для Office 2010 Планирование независимой MAK-активации Office 2010 Планирование многопользовательской активации Office 2010 552 Развертывание многопользовательской активации Office 2010 553 Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010 В этой статье представлен более сложный сценарий многопользовательской активации, чем в примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации, рекомендуемый для этого сценария, определяется при использовании одного или нескольких методов активации — службы управления ключами (KMS) и ключа многократной активации (MAK) — описанных в этих статьях. Лаборатория тестирования или разработки Если в организации есть сеть, используемая для краткосрочных тестов, или лаборатория разработки, в которой на компьютеры записываются новые образы после завершения тестирования или разработки, рекомендуется использовать инструкции, указанные в следующей таблице, для KMS- и MAK-активации Microsoft Office 2010. Настройка сети Рекомендуемый метод активации Пять или более компьютеров (порог KMSактивации). Планирование KMS-активации Office 2010 с помощью одного узла KMS. Примечание. Можно настроить узел KMS для каждой сети с пятью или более компьютерами, которые нужно активировать. Необходимо активировать менее пяти компьютеров. 1. Если на компьютеры образы записываются в течение 90 дней, активация не требуется. Просто сбросьте 25-дневный льготный период. Дополнительные сведения см. в разделе Возврат установки Office 2010 к исходному состоянию активации статьи Развертывание многопользовательской активации Office 2010. 2. В противном случае выполните активацию с помощью Планирование проксиактивации MAK для Office 2010, используя 554 Настройка сети Рекомендуемый метод активации сохраненный идентификатор подтверждения (CID). Дополнительные сведения см. в разделе Архитектура MAK статьи Планирование многопользовательской активации Office 2010. Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office 2010. Дополнительные сведения о прокси-активации MAK см. в статье Планирование проксиактивации MAK для Office 2010. Дополнительные сведения о независимой активации MAK см. в статье Планирование независимой MAK-активации Office 2010. Рекомендации При подготовке сети лаборатории тестирования или разработки к многопользовательской активации Office 2010 следует учесть следующие факторы. В сети лаборатории обычно меньше компьютеров, чем в рабочей сети. Конфигурация сети лаборатории может различаться, а метод активации (KMS, проксисервер MAK, независимая MAK-активации) также может быть другим. Если лабораторных сетей несколько, в каждой из них нужно использовать собственный метод активации. См. также Планирование KMS-активации Office 2010 Планирование прокси-активации MAK для Office 2010 Планирование независимой MAK-активации Office 2010 Планирование многопользовательской активации Office 2010 Развертывание многопользовательской активации Office 2010 555 Вопросы и ответы. Многопользовательская активация Office 2010 В этой статье приведены ответы на вопросы, посвященные многопользовательской активации Microsoft Office 2010. Содержание статьи Обзор часто задаваемых вопросов по многопользовательской активации Вопросы и ответы. Служба управления ключами (KMS) Вопросы и ответы. Ключ многократной активации (MAK) Вопросы и ответы. Средство управления активацией корпоративных лицензий (VAMT) Вопросы и ответы. Ключи продуктов Обзор часто задаваемых вопросов по многопользовательской активации Многопользовательская активация — это технология активации продуктов, которая была предложена в ОС Microsoft Windows Vista и Windows Server 2008. Эта технология позволяет клиентам корпоративного лицензирования автоматизировать процесс активации способом, который является прозрачным для пользователей. Многопользовательская активация используется только для активации систем, распространяемых в рамках программ корпоративного лицензирования, и не связана с выставлением счетов за покупку лицензий. Существует два метода многопользовательской активации: Службу управления ключами (KMS) Ключ многократной активации (MAK) Клиенты могут использовать любой из этих методов или оба метода. Служба управления ключами предназначена для активации систем Windows и Microsoft Office 2010. Для всех продуктов Office 2010, Microsoft Project 2010 и Microsoft Visio 2010 используется один клиентский ключ KMS. Ключ многократной активации (MAK) используется для однократной активации по телефону или через Интернет систем Windows или Office 2010 с помощью служб активации, размещенных в корпорации Майкрософт. Для каждого продукта, предоставляемого в рамках программ корпоративного лицензирования, существует уникальный клиентский ключ MAK. Для каждого продукта, использующего многопользовательскую активацию, важно спланировать развертывание (например, Windows 7, Windows Server 2008 и Windows Vista). Прежде чем приступать к развертыванию продукта в организации, ознакомьтесь с документами и видеоматериалами. Все материалы, посвященные Office 2010, Project 2010 и Visio 2010, 556 расположены на веб-странице Многопользовательская активация для Office 2010 (http://go.microsoft.com/fwlink/?linkid=189005&clcid=0x419) центра ресурсов. Как связаны между собой многопользовательская активация Office 2010 и Windows? Платформа защиты программного обеспечения (SPP), представленная в Windows Vista и Windows Server 2008 (также используется в Windows 7 и Windows Server 2008 R2) адаптирована для Office 2010. Для активации клиентских продуктов Office 2010 необходимо использовать службу управления ключами или ключ многократной активации. Как многопользовательская активация может помочь клиентам корпорации Майкрософт? Преимущества многопользовательской активации для клиентов: Надежность. Опыт показывает, что при загрузке нелицензионного ПО клиенты часто получают вредоносный код, такой как клавиатурные шпионы и вредоносные программы типа "Троянский конь". Многопользовательская активация позволяет снизить риск и обеспечивает надежность и безопасность. Возможность получения поддержки. Для версий программного обеспечения Office, подлинность которых проверена, после активации предоставляется полный пакет поддержки, осуществляемый корпорацией Майкрософт. Соответствие лицензий. Средства многопользовательской активации позволяют определить, какое программное обеспечение установлено и активировано. Связана ли многопользовательская активация с лицензирование? Активация связана с лицензированием. Однако активация не обеспечивает лицензирование. Активация не изменяет существующие соглашения или программы корпоративного лицензирования. Ключи и соответствующие ограничения на число активаций (только при использовании ключей многократной активации) зависят от конкретной корпоративной лицензии, имеющейся у пользователя. Корпорация Майкрософт использует сведения, собранные в ходе активации, для подтверждения, что у пользователя установлена лицензированная копия программного обеспечения. Эти сведения собираются для статистического анализа. Корпорация Майкрософт не использует полученные сведения для идентификации личности клиента или с целью установления контакта с клиентом. Можно ли вернуть активированную установку Office в прежнее состояние? Нет. Активированная установка Microsoft Office не может быть возвращена в исходное состояние. Отличается ли многопользовательская активация Office 2010, Project 2010 и Visio 2010? Различия в многопользовательской активации: Для установки и активации Office 2010 требуется только один клиентский ключ KMS. Клиентский ключ KMS Office 2010 используется для активации любой версии приложения Office 2010, Office 2010, Project 2010 и Visio 2010. Для каждой версии продукта Office 2010 имеется свой ключ многократной активации. Например,Office 2010 Standard MAK, Word 2010 MAK, Visio 2010 MAK и т. д. 557 Дополнительные сведения см. на веб-странице Многопользовательская активация для Office 2010 (http://go.microsoft.com/fwlink/?linkid=189005&clcid=0x419) центра ресурсов. Отличается ли многопользовательская активация Windows 7 и Windows Server 2008 R2? Различия в многопользовательской активации: Активация виртуальных компьютеров. Использование клиентского ключа KMS Windows Server 2008 R2 и клиентского ключа KMS Windows 7 для более ранних версий продуктов. Улучшение развертывания, управления ключами продуктов и создания отчетов. Использование аналогичной платформы активации как для Office 2010, Project 2010 и Visio 2010, так и для Windows Vista, Windows Server 2003 и Windows Server 2008. Дополнительные сведения см. в статье Многопользовательская активация Windows (http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x419). Какой метод активации следует использовать для виртуальных компьютеров? Для активации виртуальных компьютеров можно использовать ключ многократной активации или службу управления ключами. Однако в данном случае служба управления ключами является более предпочтительным методом, поскольку при активации с помощью ключа многократной активации число доступных активаций уменьшается. Это применимо как к физическим, так и к виртуальным компьютерам. Windows Vista с пакетом обновления 1, Windows Server 2008, Windows Server 2003 версии 1.1 и Windows 7 поддерживают размещение службы управления ключами на виртуальном сервере. Для Windows Vista с пакетом обновления 2 (SP2), Windows Server 2008 с пакетом обновления 2 (SP2), Windows 7, Windows Server 2008 R2 и Office 2010 при расчета порога KMS-активации учитывается число виртуальных компьютеров. Дополнительные сведения см. в статье Многопользовательская активация Windows (http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x4 Один ключ узла KMS может использоваться для 6 физических или виртуальных узлов KMS. Узел KMS должен получить запросы активации как минимум от пяти KMS-клиентов. Это неизменяемое пороговое значение позволяет гарантировать, что служба активации используется только в среде предприятия и служит в качестве защитного механизма от пиратства. Серверы могут быть как физическими, так и виртуальными, поэтому для больших развертываний не требуется соответствия этим минимальным требованиям. Для запуска узла KMS Office 2010 не требуется выделенный сервер. Узел KMS — это небольшая служба, поэтому можно объединить Office 2010 и узел KMS. Следует отметить, что в качестве операционных систем для узлов KMS для Office 2010 могут использоваться только Windows Server 2003, корпоративные выпуски Windows 7 и Windows Server 2008 R2 Можно ли запустить узел KMS Office 2010 на виртуальном компьютере? 558 Да, узел KMS Office 2010 можно запустить на виртуальном компьютере, работающем под управлением Windows Server 2003, корпоративных выпусков Windows 7 и Windows Server 2008 R2. Должна ли версия языка узла KMS Office 2010 для Windows Server 2003 соответствовать версии языка, выбранной на сервере? Да, версии языка операционной системы и узла KMS Office 2010 для Windows Server 2003 должны совпадать. Это требование применяется только к узлу KMS для Windows Server 2003. Я купил новый компьютер с предустановленной версией Windows 7 Профессиональная и планирую перейти на более раннюю версию ОС Windows. Какой ключ следует использовать? При выборе ключа необходимо основываться на следующих положениях: Узел KMS, активированный с помощью ключа KMS Windows 7, активирует клиентов Windows Vista и Windows 7. Узел KMS, активированный с помощью ключа KMS Windows Vista, активирует клиентов Windows Vista. Windows Vista также может использовать ключ многократной активации. Чтобы перейти на версию Windows XP;, необходимо использовать ключ Windows XP; Professional. Если дочерняя компания имеет отдельное соглашение, может ли главная компания использовать один ключ (например, ключ KMS Windows Server 2008 Standard/Enterprise R2) для развертывания Windows 7 и Windows Server 2008 R2 в обеих компаниях? Такой вариант возможен, однако клиенты не должны использовать ключи, предоставленные для конкретного номера лицензии (соглашение, соглашение о регистрации, аффилированное лицо или лицензия) с лицензией, указанной для этого номера лицензии. Что произойдет, если ПО не будет активировано? Активация создана для обеспечения прозрачного взаимодействия с пользователями. Если активация не выполнена в течение льготного периода (обычно 30 дней), Windows или Office 2010 переводится в режим уведомления. В режиме уведомления Windows при входе в систему пользователь видит на экране напоминание о необходимости активации. Например, в Windows 7 пользователь видит уведомление в Центре поддержки (http://go.microsoft.com/fwlink/?linkid=189038&clcid=0x419), при этом на рабочем столе отображается черная заставка. Чем отличается режим ограниченной функциональности от режима уведомления? В режиме ограниченной функциональности (используется только в розничных копиях) приложение запускается в режиме ограниченной функциональности, если активация не выполнена в 30-дневный срок. Важно отметить, что при использовании корпоративных версий режим ограниченной функциональности не применяется, а пользователи получают только уведомления по завершении льготного периода. Режим уведомления (применяется ко всем 559 системам Office 2010) — состояние лицензирования, при котором пользователь получает постоянные уведомления, если активация не выполнена в течение льготного периода. Что произойдет, если клиенты непредумышленно установили нелицензионное ПО? Для таких случаев корпорация Майкрософт предоставляет различные программы лицензирования, называемые Get Genuine. Можно ли использовать лицензионные ключи для повторного применения образов? Да. Права повторного применения образов назначаются всем клиентам корпоративного лицензирования Майкрософт. Клиенты могут повторно применять образы лицензированных копий ПВТ или коробочных продуктов с помощью носителя, предоставленного в рамках соглашения о корпоративном лицензировании, если копии идентичны исходному лицензированному продукту. Для клиентов корпоративного лицензирования ключи находятся на странице с ключами продуктов. Кроме того, для получения ключей можно обратиться в центр активации. Список центров активации см. на веб-сайте Центра поддержки корпоративных лицензий (http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Клиенты Open License должны приобрести по крайней мере одну копию продукта, для которого планируется создать образ, чтобы получить доступ к носителям и ключам. Дополнительные сведения см. в документе "Права на воспроизведение образа" на веб-странице, посвященной лицензированию (Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=154939&clcid=0x419) (Возможно, на английском языке). Как выполняется активация при использовании VPN-подключения? Напоминание отображается каждые два часа. После активации напоминание изменяется каждые семь дней. Эти параметры по умолчанию можно настроить в файле ospp.vbs. Мобильные пользователи, подключающиеся к сети с помощью VPN, могут вручную активировать приложение путем запуска Office 2010 для отправки запроса активации или с помощью команды ospp.vbs /act. Как удалить красную строку заголовка при использовании удаленного компьютера? Подключитесь с помощью VPN и выполните активацию, как описано в предыдущем ответе. Можно ли задать групповую политику для инструментария управления Windows (WMI)? Да. С помощью групповой политики можно открыть брандмауэр, чтобы разрешить использование WMI. Можно ли передавать сведения активации через System Center Configuration Manager (SCCM)? Да. Можно ли с помощью средства sysprep автоматически вернуть Office 2010 к исходному состоянию активации? Нет. В настоящий момент средство sysprep не поддерживает эту возможность. Что произойдет, если не вернуться к исходному состоянию активации перед созданием образа? 560 Компьютеры, на которых разворачивается образ, будут распознаваться как один и тот же компьютер. Счетчик запросов не увеличится, поэтому активация на этих компьютерах завершится с ошибкой. Можно ли использовать активацию на основе маркеров? Активация на основе маркеров может использоваться в Office 2010 для сред, требующих максимальную защиту. Вопросы и ответы. Служба управления ключами (KMS) Служба управления ключами — это не требовательная к ресурсам служба, не требующая выделенной системы, которая может размещаться в системе, предоставляющей другие службы. При использовании службы управления ключами процедура активации выполняется в локальной сети. Это устраняет необходимость в подключении отдельных компьютеров к серверам Майкрософт для активации продукта. Служба управления ключами предъявляет минимальные требования к числу физических или виртуальных компьютеров в сети. Порог активации для компьютеров с ОС Windows Server 2008 или Windows Server 2008 R2, равняется 5, для компьютеров с ОС Windows Vista или Windows 7 — 25, а для компьютеров с Office 2010, Project 2010 и Visio 2010 — 5. Эти значения называются порогами активации. Чтобы как можно больше клиентов удовлетворяли этим требованиям, для порогов активации заданы минимальные значения. Дополнительные сведения о порогах активации см. на веб-странице, посвященной многопользовательской активации Windows (http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x419). Дополнительные сведения для Office 2010, Project 2010 и Visio 2010 см. в статьях Краткое руководство по многопользовательской активации для Office 2010 и Обзор многопользовательской активации Office 2010. Ключ KMS используется для активации только узла KMS на сервере активации Майкрософт. Один ключ узла KMS может активировать до 6 узлов KMS с 10 активациями на каждый узел. Каждый узел KMS может активировать неограниченное число KMS-клиентов. Если требуется активировать более 6 узлов KMS, обратитесь в Центр поддержки корпоративных лицензий (http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419) и объясните, почему требуется повысить лимит активаций. Предупреждение. Дополнительные сведения об активации продуктов см. на веб-страницах, посвященных многопользовательской активации Windows (http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x419) и многопользовательской активации Office 2010 (http://go.microsoft.com/fwlink/?linkid=189005&clcid=0x419) центра ресурсов. Я установил часть набора Office 2010, для которого требуется активация с помощью службы управления ключами. Повлияет ли это на работу набора Office? 561 Это не повлияет на работу, если установка выполнена в соответствии с инструкциями. Можно ли установить лицензию и ключ KMS Office 2010 KMS в ОС Windows 7 и Windows Server 2008 R2? Да. Для Office 2010 используются разные ключи узла KMS? Для активации всех клиентских продуктов Office 2010 используется один ключ узла KMS. Компьютер узла KMS был активирован с помощью ключа KMS Windows Server 2008. Можно ли использовать этот компьютер в качестве узла для развертывания Windows Server 2008 R2? Существующие узлы KMS, установленные на компьютерах с ОС Windows Server 2003, Windows Server 2008 или Windows Vista, должны быть обновлены для поддержки активации Windows 7 и Windows Server 2008 R2 в дополнении к Office 20