Планирование для Outlook 2010 - Center

Руководство по планированию установки
Microsoft Office 2010 для ИТ-специалистов
Корпорация Майкрософт
Опубликовано: сентябрь 2010 г.
Автор: рабочая группа серверов и Office System (Microsoft) (itspdocs@microsoft.com)
Аннотация
В данной книге содержатся сведения о развертывании Microsoft Office 2010. Книга
предназначена для ИТ-инженеров, сотрудников службы поддержки и развертывания,
администраторов почтовых систем, консультантов и других ИТ-специалистов.
Содержимое этой книги является копией материалов технической библиотеки комплекта
ресурсов Office 2010 (http://go.microsoft.com/fwlink/?linkid=181453&clcid=0x419) на дату
публикации. Более новые сведения см. в технической библиотеке в Интернете.
1
Этот документ предоставляется на условиях "как есть". Сведения и мнения,
представленные в данном документе, включая URL-адреса и другие ссылки на веб-сайты в
Интернете, могут изменяться без уведомления. Риск, связанный с использованием таких
сведений, лежит на вас.
Некоторые примеры приведены только в качестве иллюстрации и являются
вымышленными. Никакой связи с реально существующими объектами не предполагается и
не подразумевается.
Данный документ не дает вам каких-либо юридических прав на любую интеллектуальную
собственность в любых продуктах Майкрософт. Разрешается копирование и использование
данного документа для внутренних справочных целей.
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.
Microsoft, Access, Active Directory, Backstage, Excel, Groove, Hotmail, InfoPath, Internet Explorer,
Outlook, PerformancePoint, PowerPoint, SharePoint, Silverlight, Windows, Windows Live, Windows
Mobile, Windows PowerShell, Windows Server и Windows Vista являются охраняемыми
товарными знаками корпорации Майкрософт в США и других странах.
Сведения, приведенные в данном документе, отражают позицию корпорации Майкрософт по
обсуждаемым вопросам на момент публикации документа. Поскольку корпорация Майкрософт
обязана реагировать на изменяющиеся рыночные условия, этот документ не следует
рассматривать как обязательство со стороны корпорации Майкрософт. Кроме того,
корпорация Майкрософт не может гарантировать точность каких-либо сведений,
представленных после даты публикации данного документа.
2
Содержание
Получение справки ................................................................................................................................ 20
Планирование развертывания Office 2010 .......................................................................................... 21
Обзор архитектуры установки для Office 2010 .................................................................................... 22
Процесс установки ............................................................................................................................. 23
Последовательность установки для событий .............................................................................. 23
запуск программы установки; ..................................................................................................... 24
Проверка наличия необходимых компонентов ......................................................................... 24
Чтение XML-данных..................................................................................................................... 25
Построение дерева компонентов ............................................................................................... 27
Создание локального источника установки на компьютере пользователя ............................ 27
Установка системы Office ............................................................................................................ 28
Применение файла настройки ................................................................................................... 28
Применение обновлений программного обеспечения ............................................................. 29
Включение в точку установки нескольких продуктов ................................................................... 29
Интерактивный запуск программы установки .............................................................................. 30
Не зависящая от языка конструкция ................................................................................................. 30
Языковые версии Office .................................................................................................................. 31
Языковые пакеты для Office ........................................................................................................... 32
Эффективная модель настройки ...................................................................................................... 32
Использование центра развертывания Office .............................................................................. 33
Настройка новой установки ............................................................................................................ 33
Внесение изменений в существующую установку системы Office ............................................. 34
Использование файла Config.xml для настройки системы Office ............................................... 34
Использование параметров командной строки программы установки ...................................... 35
Использование групповой политики .............................................................................................. 36
Обязательный локальный источник установки ............................................................................ 36
Создание локального источника установки на компьютерах пользователей ........................ 37
Самостоятельное развертывание локального источника установки ...................................... 38
Консолидированный процесс обновления.................................................................................... 39
Применение обновлений Office во время новых установок .................................................... 39
Обновление существующих установок Office ........................................................................... 40
См. также ............................................................................................................................................. 40
Планирование стратегии переноса и обновления Office 2010 .......................................................... 41
Планирование обновления Office 2010 ................................................................................................ 42
Обзор процесса обновления ............................................................................................................. 42
Сравнение вариантов обновления и понятие переноса данных ................................................... 43
3
Перенос документов........................................................................................................................... 44
См. также ............................................................................................................................................. 45
Перенос разделов реестра данных пользователя в Office 2010 ....................................................... 46
Параметры Microsoft Office 2003 ....................................................................................................... 46
Параметры Microsoft Office 2007 ....................................................................................................... 54
Выбор варианта развертывания Office 2010 ....................................................................................... 61
Параметры размещения .................................................................................................................... 61
Общая сетевая папка ..................................................................................................................... 61
Скрипты запуска групповой политики ........................................................................................... 61
Управляемое развертывание......................................................................................................... 62
Виртуализация приложений ........................................................................................................... 62
Виртуализация представления ...................................................................................................... 62
Планирование конфигураций настольных компьютеров для Office 2010 ........................................ 63
Планирование для OneNote 2010......................................................................................................... 65
Общие сведения о планировании ..................................................................................................... 65
Оценка требований организации ...................................................................................................... 66
Требования к системе для OneNote 2010 ..................................................................................... 66
Обновление до OneNote 2010 ........................................................................................................ 66
Вопросы безопасности ................................................................................................................... 66
Требования для многоязычной поддержки................................................................................... 66
Обзор изменений в OneNote 2010 .................................................................................................... 67
Проверка вопросов, связанных с переносом ................................................................................... 67
Планирование обновлений OneNote ................................................................................................ 67
Обновление с OneNote 2007 .......................................................................................................... 67
Обновление с OneNote 2003 .......................................................................................................... 68
Планирование для OneNote Web App .............................................................................................. 68
Требования к системе для Office Web Apps ................................................................................. 69
Ресурсы, посвященные развертыванию и использованию Office Web Apps ............................ 70
Рекомендации по использованию приложения OneNote с продуктами SharePoint ..................... 70
Отключение параметра "Требовать извлечения" ........................................................................ 70
Управление версиями ..................................................................................................................... 71
Смешанные среды с Microsoft Office OneNote 2007 .................................................................... 71
См. также ............................................................................................................................................. 72
Планирование для Outlook 2010........................................................................................................... 73
Обзор планирования для Outlook 2010 ................................................................................................ 74
Определение потребностей организации ........................................................................................ 74
Обновление или первая установка ............................................................................................... 74
Перенос данных .............................................................................................................................. 74
Удаленные и мобильные пользователи ....................................................................................... 75
4
Требования к нескольким языкам .................................................................................................. 75
Клиентская платформа и платформа сервера обмена сообщениями....................................... 76
Выбор времени и способа установки Outlook .................................................................................. 76
Настройка параметров и профилей Outlook ................................................................................. 76
Настройка подписки и других функций общего доступа.............................................................. 77
Использование Outlook со службой терминалов ......................................................................... 78
Зависимости объектов данных совместной работы .................................................................... 78
Автоархивация ................................................................................................................................ 78
Файлы данных Outlook (PST) ......................................................................................................... 79
Политики хранения ......................................................................................................................... 79
Вопросы безопасности и конфиденциальности .............................................................................. 79
Центр управления безопасностью для Office ............................................................................... 79
Ограничение вирусов и нежелательной почты для пользователей .......................................... 80
Настройка возможностей шифрования ......................................................................................... 81
Ограничение разрешений на сообщения электронной почты .................................................... 81
Outlook 2010 и протоколы и серверы электронной почты ........................................................... 81
Обновление более ранней версии Outlook ...................................................................................... 82
Обновление с включенным режимом кэширования Exchange ................................................... 82
Дополнительные вопросы, решаемые во время планирования обновления ............................... 83
Обновление других программ почты и планирования .................................................................... 83
См. также ............................................................................................................................................. 84
Определение времени установки Outlook 2010 .................................................................................. 85
Установка Outlook вместе с Office..................................................................................................... 85
Установка Outlook перед Office ......................................................................................................... 85
Преимущества установки Outlook перед Office ............................................................................ 86
Недостатки установки Outlook перед Office .................................................................................. 86
Установка Outlook после Office ......................................................................................................... 86
Преимущества установки Outlook после Office ............................................................................ 87
Недостатки установки Outlook после Office .................................................................................. 87
Поэтапное развертывание Outlook ................................................................................................... 87
Преимущества поэтапного развертывания .................................................................................. 88
Недостатки поэтапного развертывания ........................................................................................ 88
См. также ............................................................................................................................................. 88
Определение компонентов, которые требуется включить или настроить, в Outlook 2010 ............. 89
Автоархивация .................................................................................................................................... 90
Карточки контактов ............................................................................................................................. 91
Карточка контакта ........................................................................................................................... 92
Вкладка контакта ............................................................................................................................. 93
Представление беседы ...................................................................................................................... 97
Синхронизация с глобальным списком адресов ............................................................................. 99
Коррекции контактов Outlook во время синхронизации с глобальным списком адресов ........ 99
5
Настройка синхронизации с глобальным списком адресов ...................................................... 100
Интернет-календари......................................................................................................................... 103
Мгновенный поиск ............................................................................................................................ 104
Область навигации ........................................................................................................................... 106
Outlook Social Connector ................................................................................................................... 109
Папки поиска ..................................................................................................................................... 113
Надстройка SharePoint Server "Коллега" ........................................................................................ 115
См. также ........................................................................................................................................... 117
Планирование развертывания режима кэширования данных Exchange в Outlook 2010 .............. 118
Обзор ................................................................................................................................................. 118
Выбор между режимом кэширования данных Exchange и интерактивным режимом ................ 119
Когда использовать режим кэширования данных Exchange ..................................................... 119
Когда использовать интерактивный режим ................................................................................ 120
Особые требования ...................................................................................................................... 121
Повышение эффективности работы с Outlook при применении режима кэширования данных
Exchange ........................................................................................................................................ 122
Функции Outlook, снижающие эффективность режима кэширования данных Exchange .......... 123
Вопросы синхронизации, дискового пространства и производительности ................................. 125
Больше нет необходимости вручную синхронизировать учетные записи Exchange ............. 125
Преимущества доступа с помощью автономной адресной книги ............................................ 125
Рекомендации по использованию автономной папки (OST-файл) .......................................... 126
Управление вопросами производительности ............................................................................. 127
Управление общим доступом к папкам Outlook ......................................................................... 127
Вопросы использования общей папки "Избранное" .................................................................. 128
Управление поведением Outlook для обнаруженных медленных подключений........................ 128
Параметры промежуточного развертывания режима кэширования данных Exchange ............. 129
Обновление текущих пользователей режима кэширования данных Exchange до Outlook 2010
........................................................................................................................................................ 132
Развертывание режима кэширования данных Exchange для пользователей, у которых уже есть
OST-файлы .................................................................................................................................... 133
Настройка режима кэширования данных Exchange ...................................................................... 133
Дополнительные ресурсы ................................................................................................................ 135
Рекомендации по планированию режима кэширования Exchange в среде с узлами сеансов
удаленных рабочих столов (технический документ) ..................................................................... 137
Планирование автоматической настройки учетных записей пользователей в Outlook 2010 ....... 138
Обзор ................................................................................................................................................. 138
Использование функции автоматического обнаружения с DNS .................................................. 139
Сведения о протоколе автообнаружения ................................................................................... 140
Статический XML и XML веб-службы .......................................................................................... 140
Локальное использование автообнаружения ............................................................................. 140
Предшествование параметров XML ............................................................................................ 141
6
Сводка транзакций автоматического обнаружения ...................................................................... 141
Схема XML автоматического обнаружения ................................................................................... 142
Запрос POST, отправленный Outlook.......................................................................................... 142
Схема XML-ответа ........................................................................................................................ 142
Образец XML-ответов ................................................................................................................... 148
Поставщик услуг Интернета со службами POP3 и SMTP ...................................................... 148
Поставщик услуг Интернета со службами POP3, IMAP и SMTP с предпочтением POP3 для
клиентов .................................................................................................................................. 149
Перенаправление XML к расположению стандартного XML-файла .................................... 151
Обнаружение стандартных настроек.............................................................................................. 151
Параметры IMAP ........................................................................................................................... 152
Параметры POP3 .......................................................................................................................... 154
Параметры SMTP .......................................................................................................................... 158
См. также ........................................................................................................................................... 161
Планирование обеспечения соответствия и архивации в Outlook 2010 ......................................... 162
Планирование развертывания политики хранения ....................................................................... 162
Определение политик хранения .................................................................................................. 163
Определение типов создаваемых политик ................................................................................. 163
Личные теги ................................................................................................................................ 164
Списки рассылки ........................................................................................................................ 165
Период прогрева политики хранения и обучение ...................................................................... 165
Обучение пользователей применению политике хранения ...................................................... 166
Пользователи с юридическим удержанием или пользователи, в отношении которых ведется
расследование ........................................................................................................................... 167
Восстановление удаленных элементов .................................................................................. 168
Копирование при записи ........................................................................................................... 168
Использование удержания хранения ....................................................................................... 168
Использование удержания в связи с судебным процессом .................................................. 169
Планирование развертывания личного архива ............................................................................. 169
Определение архивных политик.................................................................................................. 170
Обучение пользователей использованию личного архива ....................................................... 170
PST-файлы данных Outlook в организации ................................................................................ 171
См. также ........................................................................................................................................... 174
Планирование обеспечения безопасности и защиты в Outlook 2010 ............................................. 175
Выбор параметров безопасности и защиты для Outlook 2010 ........................................................ 176
Обзор ................................................................................................................................................. 176
Выбор способа применения параметров безопасности в Outlook ............................................... 177
Выбор параметров безопасности с использованием групповой политики .............................. 178
Специальные среды .................................................................................................................. 178
Взаимодействие параметров безопасности администратора и пользователя в Outlook 2010 180
Работа с COM-надстройками Outlook ............................................................................................. 181
7
Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2010 ............. 182
Настройка поведения элементов управления ActiveX в одноразовых формах ...................... 182
Выбор параметров безопасности пользовательских форм ...................................................... 183
Настройка программных параметров в Outlook 2010.................................................................... 184
Дополнительные параметры ........................................................................................................... 186
См. также ........................................................................................................................................... 186
Планирование параметров вложений в Outlook 2010 ...................................................................... 187
Обзор ................................................................................................................................................. 187
Добавление или удаление расширений имен файлов 1-го уровня ............................................. 188
Добавление или удаление расширений имен файлов 2-го уровня ............................................. 189
Настройка дополнительных ограничений на вложения файлов .................................................. 190
См. также ........................................................................................................................................... 192
Планирование шифрования сообщений электронной почты в Outlook 2010................................. 193
Функции обмена зашифрованными сообщениями в Outlook 2010 .............................................. 193
Реализация обмена зашифрованными сообщениями в Outlook 2010 ..................................... 194
Цифровые удостоверения: комбинация открытых и закрытых ключей и сертификатов ....... 194
Управление цифровыми удостоверениями для шифрования ..................................................... 195
Место сохранения цифрового удостоверения ........................................................................... 196
Предоставление цифровых удостоверений другим пользователям ....................................... 196
Импорт цифровых удостоверений ............................................................................................... 197
Продление ключей и сертификатов ............................................................................................ 197
Метки безопасности и подписанные уведомления ....................................................................... 197
Настройка параметров шифрования в Outlook 2010 .................................................................... 198
Настройка дополнительных параметров шифрования................................................................. 205
Параметры политики безопасности для общего шифрования ................................................. 205
См. также ........................................................................................................................................... 206
Планирование ограничения нежелательной почты в Outlook 2010 ................................................ 207
Обзор ................................................................................................................................................. 207
Поддерживаемые типы учетных записей ....................................................................................... 208
Поддержка в Exchange Server ......................................................................................................... 209
Настройка пользовательского интерфейса фильтра нежелательной почты ............................. 209
Развертывание списков фильтра нежелательной электронной почты по умолчанию .............. 211
Настройка автоматической загрузки рисунков .............................................................................. 212
См. также ........................................................................................................................................... 213
Plan for spelling checker settings in Office 2010 (на английском языке) ............................................ 214
Office 2010 general spelling checker settings.................................................................................... 214
InfoPath 2010 spelling checker settings ............................................................................................. 216
OneNote 2010 spelling checker settings ............................................................................................ 217
Outlook 2010 spelling checker settings .............................................................................................. 218
PowerPoint 2010 spelling checker settings ........................................................................................ 219
8
Publisher 2010 spelling checker settings ........................................................................................... 219
Word 2010 spelling checker settings ................................................................................................. 220
См. также ........................................................................................................................................... 221
Планирование SharePoint Workspace 2010 ....................................................................................... 222
Планирование топологии SharePoint Workspace 2010 .................................................................. 222
SharePoint Workspace только как клиент SharePoint ................................................................. 225
SharePoint Workspace как клиент одноранговой совместной работы ...................................... 226
SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint .... 228
Сервер Groove Server и SharePoint Workspace как управляемая система для совместной
работы ........................................................................................................................................ 229
Планирование параметров сети для SharePoint Workspace 2010 ............................................... 231
Планирование загрузки .................................................................................................................... 233
Планирование безопасности ........................................................................................................... 234
Планирование проверки подлинности............................................................................................ 234
Планирование альтернативных сопоставлений доступа ............................................................. 235
Планирование мониторинга и регулирования производительности ........................................... 235
Планирование действий и параметров для списков и библиотек SharePoint ............................ 236
Планирование поиска ...................................................................................................................... 236
Планирование резервного копирования и восстановления SharePoint Workspace ................... 237
См. также ........................................................................................................................................... 238
Планирование настроек и параметров для Visio 2010 ..................................................................... 239
Параметры приложений ................................................................................................................... 239
Фоны, границы и галереи заголовков .......................................................................................... 239
Пользовательские темы ............................................................................................................ 240
Шаблоны схем .................................................................................................................................. 241
Настройка быстрых фигур ............................................................................................................... 242
Надежные документы....................................................................................................................... 242
SharePoint и репозиторий ................................................................................................................ 243
См. также ........................................................................................................................................... 243
Планирование обеспечения безопасности для Office 2010 ............................................................. 244
Обзор безопасности системы Office 2010 ......................................................................................... 246
Ключевой компонент — многоуровневая защита.......................................................................... 247
Четырехуровневый подход .......................................................................................................... 247
Дополнительные меры противодействия для усиления безопасности ................................... 249
Меры противодействия, связанные с целостностью данных ................................................ 249
Меры противодействия, связанные с конфиденциальностью .............................................. 250
Принятие пользователями эффективных решений, связанных с безопасностью ..................... 251
Предоставление администраторам полного доступа ................................................................... 254
Перенос параметров безопасности и конфиденциальности из Office 2003 ............................... 256
9
Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office ............................ 261
Риски, связанные с безопасностью данных ................................................................................... 261
Угрозы для приложений, обеспечивающих эффективную работу рабочих станций ................. 262
Угрозы, связанные с активным содержимым ............................................................................. 263
Угрозы, связанные с неавторизованным доступом ................................................................... 263
Угрозы, связанные с внешним содержимым .............................................................................. 264
Угрозы, связанные с браузером .................................................................................................. 265
Угрозы, связанные с эксплойтами нулевого дня ........................................................................ 265
Меры противодействия по умолчанию в Office 2010 .................................................................... 265
Параметры элемента управления ActiveX.................................................................................. 266
Параметры надстроек ................................................................................................................... 267
Параметры криптографии и шифрования .................................................................................. 267
Параметры предотвращения выполнения данных .................................................................... 267
Параметры цифровых подписей ................................................................................................. 267
Параметры внешнего контента .................................................................................................... 268
Параметры блокировки файлов .................................................................................................. 268
Параметры проверки файлов Office ............................................................................................ 268
Параметры сложности паролей ................................................................................................... 268
Параметры конфиденциальности ............................................................................................... 269
Параметры защищенного просмотра .......................................................................................... 269
Параметры надежных документов .............................................................................................. 270
Параметры надежных расположений ......................................................................................... 270
Параметры надежных издателей ................................................................................................ 270
Параметры макросов VBA ............................................................................................................ 270
См. также ........................................................................................................................................... 271
Планирование параметров надежных расположений в Office 2010 ............................................... 272
Планирование параметров надежных расположений .................................................................. 272
Надежные расположения Access 2010 ....................................................................................... 273
Надежные расположения Excel 2010 .......................................................................................... 273
Надежные расположения PowerPoint 2010 ................................................................................ 274
Надежные расположения Word 2010 .......................................................................................... 274
Реализация надежных расположений ............................................................................................ 274
Определение настраиваемых приложений ................................................................................ 275
Определение папок, используемых в качестве надежных расположений .............................. 275
использовать переменные среды для определения надежных расположений; ................. 276
Определение веб-папок в качестве надежных расположений .............................................. 277
Определение параметров общего доступа к папкам и их безопасности ................................. 277
Определение ограничений для надежных расположений ........................................................ 278
Отключить надежные расположения .............................................................................................. 279
См. также ........................................................................................................................................... 280
Планирование параметров надежных издателей в Office 2010 ...................................................... 281
10
Планирование параметров надежных издателей ......................................................................... 281
Получение сертификатов от известных издателей ....................................................................... 282
Определение сертификатов, добавляемых в список надежных издателей ............................... 282
Связанные параметры надежных издателей ................................................................................ 284
См. также ........................................................................................................................................... 284
Планирование параметров безопасности для надстроек в Office 2010 ......................................... 285
Планирование параметров надстроек ........................................................................................... 285
Отключение надстроек для отдельных приложений..................................................................... 286
Обязательное подписание надстроек приложений надежным издателем ................................. 286
Отключение уведомлений для неподписанных надстроек .......................................................... 287
См. также ........................................................................................................................................... 287
Планирование параметров безопасности для элементов управления ActiveX для Office 2010 .. 288
Планирование параметров для элементов управления ActiveX ................................................. 288
Отключение элементов управления ActiveX .................................................................................. 289
Изменение способа инициализации элементов управления ActiveX .......................................... 291
Связанные параметры элементов управления ActiveX ................................................................ 293
См. также ........................................................................................................................................... 294
Планирование параметров безопасности для макросов VBA в Office 2010 .................................. 295
Планирование параметров VBA и макросов VBA ......................................................................... 295
Изменение параметров предупреждений системы безопасности для макросов VBA .............. 296
Отключение VBA............................................................................................................................... 297
Изменение поведения макросов VBA в приложениях, автоматически запускаемых
программным способом ................................................................................................................ 297
Изменение способа проверки зашифрованных макросов VBA на наличие вирусов ................. 298
Связанные параметры макросов VBA ............................................................................................ 299
См. также ........................................................................................................................................... 300
Планирование категоризации объектов COM для Office 2010 ........................................................ 301
Сведения о категоризации объектов COM .................................................................................... 301
Настройка параметров безопасности групповой политики для категоризации объектов COM 301
Добавление категоризации объектов COM в реестр .................................................................... 302
Планирование параметров режима защищенного просмотра в Office 2010 .................................. 304
Планирование параметров режима защищенного просмотра ..................................................... 304
Поведение режима защищенного просмотра по умолчанию ................................................... 305
Изменение поведения режима защищенного просмотра ......................................................... 305
Запрет на открытие файлов в режиме защищенного просмотра ................................................ 306
Принудительное открытие файлов в режиме защищенного просмотра ..................................... 307
Использование компонента блокировки файлов для принудительного открытия файлов в
режиме защищенного просмотра ............................................................................................. 307
11
Использование параметров проверки файлов Office для принудительного открытия файлов в
режиме защищенного просмотра ............................................................................................. 307
Добавление файлов в список небезопасных файлов ................................................................... 308
См. также ........................................................................................................................................... 308
Планирование параметров проверки файлов Office для Office 2010 ............................................. 309
Планирование параметров проверки файлов Office ..................................................................... 309
Отключение проверки файлов Office .............................................................................................. 311
Изменение поведения не прошедших проверку документов ....................................................... 311
Отключение отчетов по проверке файлов Office........................................................................... 312
См. также ........................................................................................................................................... 313
Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и центра
развертывания Office ....................................................................................................................... 314
Планирование параметров длины и сложности паролей ............................................................. 314
Принудительное применение параметров длины и сложности паролей .................................... 315
Определение требований к минимальной длине пароля ......................................................... 316
Определение уровня правил для паролей ................................................................................. 316
Определение значения времени ожидания для домена ........................................................... 317
Связанные параметры длины и сложности паролей .................................................................... 318
См. также ........................................................................................................................................... 318
Планирование параметров криптографии и шифрования в Office 2010 ........................................ 319
Криптография и шифрование в Office 2010 ................................................................................... 319
Параметры криптографии и шифрования ...................................................................................... 320
Совместимость с предыдущими версиями Office ......................................................................... 323
См. также ........................................................................................................................................... 324
Планирование параметров цифровых подписей в Office 2010 ....................................................... 325
Цифровая подпись ........................................................................................................................... 325
Какие функции выполняют цифровые подписи ......................................................................... 325
Требования к цифровым подписям ............................................................................................. 326
Цифровые подписи в бизнес-среде ............................................................................................ 326
Проблемы совместимости ............................................................................................................ 327
Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации ............... 327
Сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI ...................... 328
Коммерческие сертификаты ........................................................................................................ 328
Использование цифровых подписей .............................................................................................. 329
Цифровые подписи с отметками времени .................................................................................. 330
Настройка цифровых подписей ................................................................................................... 331
Планирование параметров конфиденциальности для Office 2010 ................................................. 333
Планирование параметров конфиденциальности ........................................................................ 333
Отмена вывода диалогового окна "Добро пожаловать в Microsoft Office 2010" ......................... 335
12
Настройка параметров конфиденциальности ............................................................................... 335
Связанные параметры конфиденциальности ................................................................................ 337
См. также ........................................................................................................................................... 337
Планирование параметров блокировки файлов для Office 2010 .................................................... 338
Блокировка типов форматов файлов с помощью групповой политики или центра
развертывания Office .................................................................................................................... 338
Рекомендации по планированию для настройки параметров блокировки файлов ................ 338
Параметры групповой политики и центра развертывания Office ................................................. 339
Порядок доступа к параметрам ................................................................................................... 339
О параметре "Задать поведение заблокированных файлов по умолчанию" .......................... 340
Параметры Excel 2010 .................................................................................................................. 341
Параметры PowerPoint 2010 ........................................................................................................ 374
Параметры Word 2010 .................................................................................................................. 384
См. также ........................................................................................................................................... 408
Планирование управления правами на доступ к данным в Office 2010 ......................................... 409
Обзор IRM ......................................................................................................................................... 409
Как IRM работает в Office 2010 ....................................................................................................... 410
Использование IRM с сервером RMS ......................................................................................... 410
Использование IRM без локального сервера RMS .................................................................... 412
Настройка IRM для Office 2010........................................................................................................ 412
Настройка доступа к серверу RMS .............................................................................................. 412
Установка клиентского программного обеспечения управления правами .............................. 413
Настройка и развертывание политик разрешений .................................................................... 413
Права на управление разрешениями ...................................................................................... 413
Предварительно определенные группы разрешений ............................................................ 415
Дополнительные разрешения .................................................................................................. 416
Развертывание шаблонов политики прав ............................................................................... 416
Настройка параметров службы управления правами на доступ к данным в Office 2010 .......... 416
Параметры службы управления доступа к данным Office 2010 ............................................... 417
Параметры раздела реестра службы управления доступом к данным Office 2010 ............... 418
Настройка параметров службы управления правами на доступ к данным в Outlook 2010 ....... 421
Параметры службы управления доступа к данным Outlook 2010 ............................................ 421
Параметры раздела реестра службы управления доступом к данным Outlook 2010 ............ 422
См. также ........................................................................................................................................... 423
Security articles for end users (Office 2010) ......................................................................................... 424
Overview............................................................................................................................................. 424
New Security Features ....................................................................................................................... 424
Outlook ............................................................................................................................................... 425
Access, Excel, PowerPoint, Visio, and Word ..................................................................................... 425
Access only ........................................................................................................................................ 426
13
Планирование групповой политики для Office 2010 ......................................................................... 428
Обзор групповой политики для Office 2010 ....................................................................................... 429
Локальная групповая политика и групповая политика на основе Active Directory ...................... 429
Обработка групповой политики ....................................................................................................... 430
Наследование политики ............................................................................................................ 431
Синхронная и асинхронная обработка .................................................................................... 432
Функция оптимизации быстрого входа .................................................................................... 432
Обработка медленных подключений ....................................................................................... 432
Интервал обновления групповой политики ............................................................................. 432
Запуск обновления групповой политики .................................................................................. 433
Изменение того, как групповая политика обрабатывает объекты групповой политики ............ 433
Изменение порядка связей .......................................................................................................... 434
Блокировка наследования............................................................................................................ 434
Принудительное применение связи объекта групповой политики ........................................... 434
Отключение связи объекта групповой политики ........................................................................ 434
Использование фильтрования ..................................................................................................... 434
Использование фильтров инструментария управления Windows ........................................... 435
Использование обработки замыкания на себя .......................................................................... 436
Административные шаблоны .......................................................................................................... 436
Файлы административных шаблонов ...................................................................................... 436
Файлы административных шаблонов системы Office 2010 ................................................... 438
Истинные политики и предпочтения пользователя ...................................................................... 439
Истинные политики ....................................................................................................................... 439
Предпочтения ................................................................................................................................ 440
Средства управления групповыми политиками ............................................................................. 440
Консоль управления групповой политикой ................................................................................. 440
Редактор объектов групповой политики ..................................................................................... 441
Системные требования для консоли управления групповой политикой и редактора объектов
групповой политики. .................................................................................................................. 442
Центр развертывания Office и групповая политика....................................................................... 443
См. также ........................................................................................................................................... 443
Планирование групповой политики в Office 2010 ............................................................................. 444
Планирование групповой политики ................................................................................................ 444
Определение бизнес-целей и требований безопасности. ............................................................ 445
Оценка текущей среды. ................................................................................................................... 445
Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности.
........................................................................................................................................................ 446
Определение области применения ................................................................................................ 447
Тестирование и промежуточные шаги развертывания групповой политики .............................. 448
Вовлечение ключевых лиц .............................................................................................................. 449
См. также ........................................................................................................................................... 449
14
FAQ: Group Policy (Office 2010) ........................................................................................................... 450
Q: When should I use Group Policy instead of Office Configuration Tool (OCT)? ............................ 450
Q: Where can I find a list of Group Policies that are available for Office 2010? ................................ 450
Q: What is the difference between the two workbooks
Office2010GroupPolicyAndOCTSettings_Reference.xls and
Office2010GroupPolicyAndOCTSettings.xls? ................................................................................ 450
Q: What is the difference between .adm, .admx, and .adml administrative template files? .............. 451
Q: Do the Office 2010 .admx template files work with the 2007 Office system? Or must I download
the 2007 Office system template files separately? ......................................................................... 451
Q: How do I install the Office 2010 Group Policy templates? ............................................................ 451
Q: How can I map a specific UI element in Office 2010 to a Group Policy setting? .......................... 452
Q: How can I use Group Policy to disable commands and menu items? .......................................... 452
Q. Why does Microsoft not support the use of Group Policy Software Installation to deploy Office
2010? .............................................................................................................................................. 453
Q. What are the advantages and limitations of deploying Office 2010 using Group Policy computer
startup scripts? ................................................................................................................................ 453
Downloadable book: Group Policy for Office 2010 ................................................................................ 455
Планирование многоязычного развертывания Office 2010.............................................................. 456
Планирование установки ................................................................................................................. 456
Общее представление о логике программы установки для языка пользовательского
интерфейса оболочки................................................................................................................ 457
Планирование настроек ................................................................................................................... 459
Методы настройки языковых параметров .................................................................................. 459
Разрешение пользователям просматривать новые языковые параметры при первом
открытии ..................................................................................................................................... 460
Настройка зависящих от языка параметров, связанных с пользовательскими региональными
параметрами .............................................................................................................................. 460
Планирование средств проверки правописания ........................................................................... 461
Определение метода для развертывания средств проверки правописания .......................... 462
Настройка установки набора средств проверки правописания Office 2010 ............................ 463
Синтаксис ................................................................................................................................... 463
Атрибуты OptionState ................................................................................................................ 463
Пример файла Config.xml для набора средств проверки правописания Office 2010 .......... 464
Предварительное кэширование локального источника установки для набора средств
проверки правописания Office 2010 ......................................................................................... 466
См. также ........................................................................................................................................... 467
Планирование виртуализации Office 2010 ........................................................................................ 468
Обзор виртуализации при развертывании Office 2010 ..................................................................... 469
Сведения о виртуализации.............................................................................................................. 469
Типы и технологии виртуализации ................................................................................................. 470
15
Настольный компьютер, представление, приложение .............................................................. 470
Виртуализация приложений ..................................................................................................... 471
Методы доставки виртуализации .................................................................................................... 472
Методы доставки ........................................................................................................................... 472
Изменения и обновления виртуализации ...................................................................................... 474
Улучшения SoftGrid ....................................................................................................................... 474
Клиентская архитектура виртуализации приложений ................................................................... 475
См. также ........................................................................................................................................... 476
Методы развертывания Office 2010 с использованием виртуализации приложений ................... 477
Методы развертывания ................................................................................................................... 477
См. также ........................................................................................................................................... 477
Пакеты приложений Application Virtualization .................................................................................... 478
Application Virtualization Sequencer .................................................................................................. 478
Пакеты виртуализации приложений ............................................................................................... 478
Создание пакета Office 2010 ........................................................................................................... 479
Создание зависимостей приложения с помощью формирования динамических пакетов ........ 491
См. также ........................................................................................................................................... 492
Планирование служб удаленных рабочих столов (служб терминалов) ......................................... 493
Планирование развертывания Office 2010 в среде служб удаленных рабочих столов (служб
терминалов) ...................................................................................................................................... 494
Планирование среды служб удаленных рабочих столов ............................................................. 494
Оценка требований лицензирования .......................................................................................... 494
Оценка требований к программному обеспечению ................................................................... 494
Требования к серверу ................................................................................................................... 495
Требования к клиенту ................................................................................................................... 496
Оценка рекомендаций .................................................................................................................. 496
Единственная точка отказа ....................................................................................................... 496
Настройка сервера узла сеансов удаленных рабочих столов ..................................................... 497
Отключенные и отсутствующие компоненты .............................................................................. 497
Настройка установки Office 2010 .................................................................................................... 498
Установка Office 2010 на компьютере, использующем службы удаленных рабочих столов .... 498
Ручная установка Office 2010 ....................................................................................................... 499
Автоматическая установка Office 2010 .................................................................................... 500
См. также ........................................................................................................................................... 501
Настройки программы установки Office 2010, связанные со службами удаленных рабочих столов
(службами терминалов) ................................................................................................................... 502
Установка при первом вызове ......................................................................................................... 502
Мерцание экрана .............................................................................................................................. 502
TSAbsent и TSDisabled ..................................................................................................................... 502
16
См. также ........................................................................................................................................... 503
Планирование читаемости в Office 2010 ........................................................................................... 504
Улучшение видимости нарушений .................................................................................................. 504
Управление отчетами проверки ...................................................................................................... 504
Параметры групповой политики для Excel 2010 ........................................................................ 505
Параметры групповой политики для PowerPoint 2010............................................................... 507
Параметры групповой политики для Word 2010 ........................................................................ 510
См. также ........................................................................................................................................... 515
Планирование многопользовательской активации Office 2010 ....................................................... 516
См. также ........................................................................................................................................... 517
Обзор многопользовательской активации Office 2010 ..................................................................... 518
Обзор корпоративного лицензирования ......................................................................................... 518
Изменения в политике активации ................................................................................................ 519
Почему необходима активация .................................................................................................... 519
Пиратство....................................................................................................................................... 520
Технологии активации Office ........................................................................................................... 520
Служба управления ключами (KMS) ........................................................................................... 520
KMS-клиенты Office 2010 .......................................................................................................... 521
Ключ многократной активации (MAK) .......................................................................................... 521
Ключи продуктов с корпоративным лицензированием .............................................................. 522
См. также ........................................................................................................................................... 522
Планирование многопользовательской активации Office 2010 ....................................................... 524
Планирование развертывания ........................................................................................................ 524
Обзор методов активации ............................................................................................................... 525
Службу управления ключами (KMS) ........................................................................................... 526
Публикация службы KMS .......................................................................................................... 527
Обнаружение клиента KMS ...................................................................................................... 527
Пороги активации KMS .............................................................................................................. 528
Возобновление активации KMS ............................................................................................... 528
Использование KMS для компьютеров с Windows и клиентами Office 2010 ....................... 529
Ключ многократной активации (MAK) .......................................................................................... 529
Архитектура MAK ....................................................................................................................... 530
VAMT 2.0 ..................................................................................................................................... 530
Планирование развертывания KMS ............................................................................................... 530
Планирование конфигурации сервера DNS ............................................................................... 531
Активация узла KMS ..................................................................................................................... 531
Подготовка клиентов KMS ............................................................................................................ 532
Активация в роли обычного пользователя ................................................................................. 532
Планирование активации MAK ........................................................................................................ 532
Прокси-сервер с проверкой подлинности не поддерживается ................................................. 532
17
См. также ........................................................................................................................................... 533
Планирование независимой MAK-активации Office 2010 ................................................................ 534
Обзор независимой активации MAK ............................................................................................... 534
Пример: офис удаленных продаж с изолированными переносными компьютерами............. 534
Пример: малая организация с настольными компьютерами, подключенными к Интернету, и
изолированными переносными компьютерами ...................................................................... 535
Планирование и оценка среды и конфигурации Office 2010 ........................................................ 536
Получение ключей продукта ............................................................................................................ 537
Действия для выполнения независимой активации MAK ............................................................. 537
Действия для управления средством управления активацией корпоративных лицензий VAMT
........................................................................................................................................................ 537
См. также ........................................................................................................................................... 537
Планирование прокси-активации MAK для Office 2010 .................................................................... 539
Обзор прокси-активации MAK ......................................................................................................... 539
Пример: средняя организация с настольными компьютерами, подключенными к Интернету, и
изолированными переносными компьютерами ...................................................................... 539
Планирование и оценка среды и конфигурации Office 2010 ........................................................ 540
Получение ключей продукта ............................................................................................................ 541
Действия для выполнения прокси-активации MAK ....................................................................... 541
Действия для управления средством управления активацией корпоративных лицензий VAMT
........................................................................................................................................................ 542
См. также ........................................................................................................................................... 542
Планирование KMS-активации Office 2010 ....................................................................................... 543
Обзор активации с помощью службы управления ключами ........................................................ 543
Пример: средняя или крупная организация с настольными и переносными компьютерами,
подключенными к корпоративной сети. ................................................................................... 543
Планирование и оценка среды и конфигурации Office 2010 ........................................................ 544
Получение ключей продукта ............................................................................................................ 545
Установка KMS на главный компьютер .......................................................................................... 545
Действия для активации с помощью службы управления ключами ............................................ 545
Действия для управления средством управления активацией корпоративных лицензий VAMT
........................................................................................................................................................ 545
См. также ........................................................................................................................................... 546
Сценарий: основная сеть — KMS- или MAK-активация Office 2010 ............................................... 547
Основная сеть с 50 или более компьютерами ............................................................................... 547
Рекомендации ................................................................................................................................... 547
См. также ........................................................................................................................................... 548
Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010 ......................................... 549
Защищенная сеть ............................................................................................................................. 549
18
Рекомендации ................................................................................................................................... 550
См. также ........................................................................................................................................... 550
Сценарий: мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 551
Мобильные и отключенные сети ..................................................................................................... 551
Рекомендации ................................................................................................................................... 552
См. также ........................................................................................................................................... 552
Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010
............................................................................................................................................................ 554
Лаборатория тестирования или разработки .................................................................................. 554
Рекомендации ................................................................................................................................... 555
См. также ........................................................................................................................................... 555
Вопросы и ответы. Многопользовательская активация Office 2010 ............................................... 556
Обзор часто задаваемых вопросов по многопользовательской активации ............................... 556
Вопросы и ответы. Служба управления ключами (KMS) .............................................................. 561
Вопросы и ответы. Ключ многократной активации (MAK) ............................................................ 566
Вопросы и ответы. Средство управления активацией корпоративных лицензий (VAMT) ........ 569
Вопросы и ответы. Ключи продуктов .............................................................................................. 571
См. также ........................................................................................................................................... 573
19
Получение справки
Точность сведений, приведенных в данной книге, тщательно проверялась. Содержимое данного
файла соответствует материалам, доступным в библиотеке Office System на веб-сайте TechNet.
В случае возникновения проблем ознакомьтесь с обновлениями по адресу:
http://technet.microsoft.com/ru-ru/office/bb267342
Если вы не можете найти ответ на веб-сайте, отправьте сообщение электронной почты в
рабочую группу серверов и Office System (Microsoft) по адресу:
itspdocs@microsoft.com
Если ваш вопрос касается продуктов Microsoft Office, а не содержимого данной книги, выполните
поиск по материалам центра справки и поддержки и статьям базы знаний Майкрософт,
расположенным по адресу:
http://support.microsoft.com/?ln=ru-ru
20
Планирование развертывания Office 2010
Этот раздел содержит обзор архитектуры программы установки Office 2010 и сведения о
планировании конфигураций, безопасности и о приложениях, в том числе о Microsoft Access
2010, Microsoft Excel 2010 и Microsoft Outlook 2010. Кроме того, он также содержит сведения о
планировании перехода на новую версию и обновлении предыдущих версий Office, а также о
планировании виртуализации и службах удаленных рабочих столов.
Содержание
Статья
Описание
Обзор архитектуры установки для Office 2010
Обзор архитектуры программы установки для
Office 2010, последовательности событий
установки, не зависящего от языка пакета,
развертывания нескольких языков, методов
настройки, необходимых источников установки
и процессе обновления.
Планирование стратегии переноса и
обновления Office 2010
Сведения о планировании установки Microsoft
Office 2010 и переносе пользовательских
данных (например, параметров и документов
пользователей и компьютеров, созданных в
предыдущих версиях Microsoft Office).
Планирование конфигураций настольных
компьютеров для Office 2010
Важные сведения и указания, которые
необходимо учесть перед развертыванием
Office 2010.
Планирование многопользовательской
активации Office 2010
Обзор корпоративного лицензирования
корпорации Майкрософт и технологий
активации Office для Office 2010, а также
описание процедуры планирования
многопользовательской активации.
21
Обзор архитектуры установки для Office 2010
Основная архитектура программы установки пакета Microsoft Office 2010 совпадает с
архитектурой, представленной в системе Microsoft Office 2007. Новая программа установки
позволяет оптимизировать все аспекты установки и обслуживания Office. Программа установки
унифицирует и систематизирует весь процесс установки, включая настройку пользовательской
конфигурации Office, одновременное развертывание нескольких языков и применение
обновлений ПО к новым установкам. В этой статье приведены краткие сведения об архитектуре
программы установки, последовательности событий установки, о не зависящей от языка
конструкции и о развертывании на нескольких языках, а также о методах настройки,
обязательном локальном источнике установки и процессе обновления.
Изменения программы установки помогают администраторам более эффективно осуществлять
управление следующими процессами:

процессом развертывания, чтобы установка пакета Office осуществлялась наиболее
эффективным для имеющейся среды способом;

процессом настройки Office, чтобы создать на компьютерах пользователей оптимальную
конфигурацию;

процессом развертывания языковых возможностей для пользователей, расположенных в
офисах по всему миру;

процессом развертывания Office, чтобы будущее обслуживание системы, включая
обновление программного обеспечения, проходило с максимально возможной
эффективностью.
В версиях Office до Office 2007 каждый продукт Office (например, Microsoft Office стандартный)
содержался в одном файле установщика Windows (MSI-файле). MSI-файл — это реляционная
база данных, которую установщик Windows использует для установки продукта. Как и в Office
2007, продукты Office 2010 состоят из нескольких MSI-файлов, и ни один MSI-файл не
представляет собой полный продукт. Не зависящий от языка основной пакет (MSI-файл)
объединяется с одним или несколькими языковыми пакетами для установки всего продукта.
Любой продукт Office (например, Microsoft Office профессиональный плюс 2010) состоит из
основного пакета и одного или нескольких языковых пакетов. Программа установки собирает
отдельные пакеты, управляет непрерывной установкой и обрабатывает задачи по настройке и
обслуживанию во время и после установки Office на компьютеры пользователей.
В Office 2010 представлены встроенные 64-разрядные выпуски продуктов Office,
поддерживающие 64-разрядные процессоры, которые становятся привычными для всех систем,
начиная от серверов и до настольных компьютеров. Office 2010 также предоставляет поддержку
для 32-разрядных приложений Office 2010, выполняющихся в 64-разрядных операционных
системах Windows с помощью средства Windows-32-on-Windows-64 (WOW64). WOW64
представляет собой эмулятор x86, обеспечивающий свободное выполнение 32-разрядных
приложений Windows в 64-разрядной системе Windows. Office 2010 позволяет пользователям
22
продолжать использование сторонних надстроек Office, которые в основном являются 32разрядными, так как 64-разрядные версии многих надстроек еще не разработаны. Поддержка 32разрядной версии Office 2010 в 64-разрядных операционных системах предотвращает
блокировку 32-разрядных надстроек. Дополнительные сведения о 64-разрядных версиях
Office 2010 см. в разделе 64-разрядные выпуски Office 2010.
Содержание:

Процесс установки

Не зависящая от языка конструкция

Эффективная модель настройки

Обязательный локальный источник установки

Консолидированный процесс обновления
Процесс установки
Обычно установка Office в организации начинается с создания точки сетевой установки —
простой задачи копирования всех файлов и папок с компакт-диска Office в общую сетевую папку.
В точке сетевой установки находится как минимум не зависящий от языка основной пакет и
языковые папки для одного языка. Эта точка служит исходным пунктом для всех пользователей,
устанавливающих Office.
В простейшем варианте продукт Office развертывается из сетевой точки установки с одной
версией языка и одним набором настроек для всех пользователей. В этой ситуации мастер
установки работает автоматически. При развертывании нескольких продуктов или языков можно
их добавить в одну и ту же точку установки и точно указать продукты и языки, которые
включаются в установку. В любом случае при сборке нужного набора MSI и выполнении
установки мастер настройки выполняет одинаковые задачи.
Примечание.
Office 2010 не позволяет создавать административные точки установки путем запуска
мастера установки с помощью параметра командной строки /a, извлекающего файлы
источника из архива (это было возможно в версиях до Office 2007). Теперь установка
всегда выполняется из архива источника.
Содержание:

Последовательность установки для событий

Включение в точку установки нескольких продуктов

Интерактивный запуск программы установки
Последовательность установки для событий
Основная последовательность событий программы установки приводится далее и возникает в
том же порядке в каждом сценарии развертывания:
23
1. запуск программы установки;
2. проверка наличия необходимых компонентов;
3. чтение XML-данных;
4. построение дерева компонентов;
5. создание локального источника установки на компьютере пользователя;
6. установка системы Office;
7. применение файла настройки;
8. применение обновлений программного обеспечения.
запуск программы установки;
Setup.exe — это программа, которая запускает все механизмы процесса установки. Она
находится в корневом каталоге сетевой точки установки. Программа запускается один раз для
каждого устанавливаемого продукта Office. После запуска она находит в сетевой точке установки
устанавливаемый продукт Office. Если в точке установки больше одного продукта Office,
программа предлагает пользователю выбрать требуемый продукт.
Процесс можно обойти и выбрать продукт Office, указав Setup.exe файл Config.xml в папке
основного продукта. Например, чтобы установить Microsoft Office профессиональный плюс 2010,
можно использовать следующую строку:
\\server\share\Office14ProPlus\setup.exe /config
\\server\share\Office14ProPlus\Pro.WW\Config.xml
где Office14ProPlus — корневой каталог точки сетевой установки.
В версиях Office до Office 2007 программа Setup.exe вызывала установщик Windows
(Msiexec.exe) для выполнения установки Office. Хотя при установке по-прежнему используется
установщик Windows, программа установки обходит исполняемую программу установщика
Windows. Командную строку Msiexec.exe невозможно использовать для установки Office 2010
или Office 2007.
Примечание.
Эта версия Setup.exe распознает лишь несколько параметров командной строки.
Дополнительные сведения см. в статье Setup command-line options for Office 2010 (на
английском языке).
Проверка наличия необходимых компонентов
При запуске программа установки проверяет наличие условий для установки, в том числе
минимальные требования к операционной системе и административные разрешения. Чтобы
установить Office, пользователю необходимо иметь права администратора на локальном
компьютере или воспользоваться специальными средствами (например, Microsoft Systems
Management Server (SMS) или Microsoft System Center Configuration Manager 2007) для запуска
установки с проверкой прав.
24
При запуске программы Setup.exe из папки x64 программа установки определяет наличие
установленных 32-разрядных приложений Office. Если обнаружены 32-разрядные приложения
Office, то отображается сообщение об ошибке, связанное с необходимостью удаления всех 32разрядных приложений Office для продолжения установки 64-разрядного выпуска Office 2010. В
сообщении перечисляются все установленные 32-разрядные приложения Office. Если программа
установки не обнаруживает 32-разрядных приложений Office, то выполняется установка 64разрядного выпуска Office 2010.
При запуске программы Setup.exe из папки x32 программа установки определяет наличие
установленных 64-разрядных приложений Office 2010. Если программа установки обнаруживает
64-разрядную версию Office 2010, то отображается сообщение об ошибке, а установка
блокируется. Если программа установки не обнаруживает 64-разрядную версию Office 2010, то
выполняется установка 32-разрядной версии Office 2010. Дополнительные сведения см. в
разделе Процесс установки 64-разрядной версии документа 64-разрядные выпуски Office 2010.
Примечание
 Для установки системы Office на компьютерах, где пользователям не предоставлены
административные разрешения, необходимо запустить программу установки в контексте,
обеспечивающем такие разрешения. После установки Office пользователи, не имеющие
разрешений администратора, смогут запускать все установленные функции, в том числе
установку возможностей по запросу.

Например, в организациях, где пользователи не имеют прав администратора на своих
компьютерах, администраторы могут использовать следующие способы предоставления
соответствующих прав для программы установки Office.
Чтение XML-данных
Программа установки собирает информацию о каждом пакете в точке установки, определяет
настройки установки по умолчанию и включает выбранные пользовательские настройки. Вся
информация собирается из нескольких источников в виде данных XML:

Файлы Setup.xml и Package.xml для каждого пакета. Все папки в точке установки (как
папка не зависящего от языка основного пакета, так и папки для всех языковых пакетов)
содержат файлы Setup.xml и Package.xml (например, ProPlusWW.xml для Microsoft Office
профессиональный плюс 2010). Используя информацию из этих файлов, программа
установки выполняет следующие действия:

Идентифицирует продукт и доступные для него языки.

Соотносит не зависящие и зависящие от языка элементы и создает полноценные
компоненты.

Строит сводное дерево компонентов.

Создает набор необходимых для установки файлов MSI.
Примечание.
25
Файлы Setup.xml и Package.xml подписаны и не поддаются изменению. В случае
изменения установку выполнить не удастся.

Файл настроек программы установки. Сначала в процессе установки программа установки
определяет, был ли задан файл настроек программы установки (MSP-файл) для
устанавливаемого продукта. Файл настроек программы установки (MSP-файл) создается,
когда администраторы используют центр развертывания Office (OCT) для настройки
установки Office 2010. Центр развертывания Office является частью программы установки и
рекомендуется для выполнения большинства настроек. Файл настроек содержит все
изменения, заданные для установки, включая настройки, управляющие процессом
установки.
Центр развертывания Office доступен в корпоративных версиях Office 2010. Чтобы
определить, является ли установленная версия Office 2010 корпоративной, откройте
установочный диск Office 2010 и проверьте наличие на нем папки Admin. Если папка Admin
существует, то версия является корпоративной. В противном случае диск содержит
розничную версию.
Если файл настройки не указан в командной строке или файле Config.xml, то программа
установки ищет файл, относящийся к данному продукту, в папке Updates точки установки.
Папка Updates по умолчанию добавляется в точку установки. В большинстве случаев в ней
также рекомендуется сохранять как MSP-файл настройки программы установки, так и
обновления программ для всех продуктов Office, включенных для точки установки.

Важно
Если планируется развертывание нескольких файлов настройки установки (MSP-файлы),
в папку Updates для начальной установки можно поместить только один MSP-файл для
каждого устанавливаемого продукта Office 2010. В папке Updates поддерживается
размещение только одного MSP-файла (исправления) для каждого устанавливаемого
продукта Office 2010. Остальные MSP-файлы продукта можно развертывать только
после завершения установки Office.

При развертывании нескольких продуктов Office 2010 (например, Microsoft Office
профессиональный плюс 2010 и Microsoft Visio профессиональный 2010) в папку Updates
можно включить один MSP-файл настройки для Office профессиональный плюс 2010 и
один MSP-файл настройки для Visio профессиональный 2010. В первую очередь
развертываются MSP-файлы настройки, помещенные в папку Updates. В связи с этим в
этой папке должны размещаться все настройки установки, которые не могут быть
изменены после установки (например, место установки).

Если при развертывании начальной установки Office 2010 требуется также развернуть
обновления программ Office 2010 (например, пакеты обновления и исправления), они
могут устанавливаться в рамках процесса установки. Обновления для продуктов
Office 2010 можно поместить в папку Updates. Если в папке Updates одновременно
располагаются MSP-файлы настройки установки и обновления продуктов, программа
26
устанавливает только MSP-файл с начальной установкой. Обновления продуктов
устанавливаются по завершении установки.
Программа установки использует прикрепленные к файлу настройки данные XML для
определения метода установки (например, для определения необходимости выполнения
установки без вывода сообщений или для выбора компонентов, отображаемых в дереве).
Настройки из этого файла заменяют настройки по умолчанию в файлах Setup.xml и
Package.xml.
Дополнительные сведения о файлах настроек программы установки см. в статье
Эффективная модель настройки. Сведения об использовании центра развертывания Office
см. в разделе Office Customization Tool in Office 2010 (на английском языке).

Файл Config.xml В каждой папке основного продукта есть файл Config.xml, передающий
программе установки команду установить продукт. Файл Config.xml можно изменить и таким
образом настроить процесс установки. Например, с помощью элементов Config.xml можно
выбрать продукты или языки для включения в установку. Настройки файла Config.xml имеют
приоритет перед настройками файла настройки и настройками по умолчанию из файлов
Setup.xml и Package.xml.
Более подробные сведения о том, когда и как нужно настраивать файл Config.xml, см. в
статье Config.xml file in Office 2010 (на английском языке).
Построение дерева компонентов
Программа установки использует информацию из файлов XML для создания единого дерева
компонентов, в которое входят все доступные приложения и функции продукта. Пользователь
просматривает дерево и выбирает программы и компоненты для установки на компьютеры с
помощью средств настройки Office. Если разрешить пользователям запускать программу
установки в интерактивном режиме, они смогут просматривать дерево вместе с внесенными
изменениями из интерфейса пользователя программы установки.
Более подробную информацию о выборе устанавливаемых компонентов Office см. в разделе
Настройка состояний установки компонентов Office 2010.
Создание локального источника установки на компьютере пользователя
Программа установки вызывает программу под названием Office Source Engine (Ose.exe) для
создания локального источника установки (LIS) на компьютере пользователя. При создании
локального источника программа установки копирует файлы из точки установки в скрытую папку
на компьютере пользователя. По умолчанию выбрана папка \MSOCache\All Users в корневом
каталоге диска, куда устанавливается Office. Затем программа установки с помощью
установщика Windows устанавливает Office из этого локального источника.
У локального источника установки есть несколько важных преимуществ:

После установки Office программа установки может восстанавливать, переустанавливать или
добавлять компоненты Office из локального источника.
27

Снижается вероятность того, что при установке обновлений система предложит вставить
компакт-диск или подключиться к сети, поскольку существует локальный источник установки.

Локальный источник установки можно развернуть заранее и запустить установку Office на
компьютеры пользователей позднее, чтобы снизить нагрузку на сеть. В этом случае можно
даже запустить программу установки из локального источника и дать пользователям
возможность установить Office без подключения к сети.
Дополнительные сведения о локальном источнике установки см. в разделе Обязательный
локальный источник установки.
Установка системы Office
В начале установки программа установки проверяет наличие необходимого количества
свободного места на диске и зависимости компонентов, а затем вызывает установщик Windows
для установки нужного набора пакетов (MSI-файлов) из локального источника на компьютер
пользователя. Программа установки использует ранее описанные данные XML для выбора MSIфайлов. Индикатор хода выполнения, который программа установки отображает в ходе
установки, относится ко всему процессу, включая применение пользовательских настроек и
обновлений ПО из папки Updates.
Примечание.
Хотя программа установки устанавливает Office с помощью установщика Windows, сам
по себе он не в состоянии установить отдельные MSI-файлы и зависит от программы
установки.
Применение файла настройки
В процессе установки программа установки применяет к пользовательской конфигурации
параметры файла настройки. При этом выполняются те же действия, что и при использовании
преобразования установщика Windows (MST-файла) из предыдущих версий Office: выбранная
настройка становится пользовательской конфигурацией по умолчанию. Помимо данных XML,
изменяющих процесс установки, в файле настройки могут содержаться профили Microsoft
Outlook и другие изменения пользовательской конфигурации.
Файлы настройки относятся к конкретным продуктам, программа установки применяет только те
из них, которые относятся к конкретному устанавливаемому продукту.
Примечание.
Если планируется развернуть несколько MSP-файлов исправлений программы
установки, в папку Updates для начальной установки можно поместить только один MSPфайл настройки программы установки для каждого продукта Office 2010. Остальные
MSP-файлы настройки установки развертываются по завершении установки Office. Как
упоминалось выше, в папке Updates поддерживается только одно исправление
настройки для каждого продукта. MSP-файл настройки, помещенный в папку Updates,
28
будет развернут первым, поэтому он должен содержать все настройки программы
установки, которые нельзя будет изменить после установки, например место установки.
Если для разных групп пользователей создаются разные конфигурации, рекомендуется
сохранять их в другой папке, а затем выбирать нужный файл с помощью параметра командной
строки /adminfile. Пример.
\\server\share\Office14\setup.exe /adminfile \\server\share\Office14\MyUpdates\Engineering.msp
где Office14 — корневой каталог точки сетевой установки.
Примечание.
При предварительном кэшировании локального источника установки программа
установки копирует папку Updates из сетевой точки установки в локальную. Это
позволяет включить пользовательские настройки в ситуации автономной установки.
Только в этом случае программа установки предварительно кэширует файлы настройки
на локальный компьютер перед установкой. Дополнительные сведения см. в разделе
Предварительное кэширование локального источника установки для Office 2010.
Применение обновлений программного обеспечения
В конце установки программа установки заходит в папку Updates точки установки и проверяет
наличие обновлений ПО (файлов MSP). В отличие от файлов настройки программы установки,
создаваемых с помощью программы настройки Office, обновления предоставляются
корпорацией Майкрософт с целью улучшения продукта.
При развертывании Office для пользователей и необходимости параллельного развертывания
набора обновлений ПО программа установки может применить обновления в процессе
первоначальной установки. Они учитываются при вычислении необходимого дискового
пространства и в индикаторе хода выполнения. С точки зрения пользователя весь процесс
является непрерывным. В данном случае первоначальная точка установки сохраняется и
позволяет новым пользователям получить самые последние версии продукта.
Примечание.
Папка Updates используется только для первоначальных или новых установок
Office 2010. Папка Updates может содержать один MSP-файл исправления настроек
программы установки, а также несколько пакетов обновлений и исправлений только в
формате MSP.
Дополнительные сведения о процессе обновления ПО см. в статье Консолидированный процесс
обновления.
Включение в точку установки нескольких продуктов
Если в точке установки больше одного продукта Office 2010, программа установки ищет файлы
Config.xml и Setup.xml во всех папках и подпапках, а затем предлагает пользователю выбрать
продукт для установки.
29
При установке нескольких продуктов Office удобнее сохранять их все в одной точке установки, а
затем настраивать программу установки для установки конкретного продукта Office на
компьютерах пользователей.
Примечание.
При копировании нескольких продуктов Office в одну точку установки система, возможно,
предложит перезаписать общие файлы программы установки. Поскольку у всех
продуктов Office 2010файлы одинаковые, повторное копирование дублирующихся папок
не требуется. Такая эффективная конструкция экономит место и обеспечивает
единообразие при создании и копировании сетевых точек установки.
Интерактивный запуск программы установки
Можно выбрать установку без вывода сообщений, чтобы пользователи практически не замечали
хода процесса. В то же время, если разрешить пользователям просматривать пользовательский
интерфейс программы установки, то сделанный выбор изменит многие аспекты поведения
программы. Пример:

Если в точке установки присутствует несколько продуктов Office, и пользователь запускает
Setup.exe без параметров командной строки, то программа предложит выбрать продукты для
установки.

Если в точке установки доступно несколько языков, программа установки по умолчанию
выберет язык Office, соответствующий настройке Windows пользовательского компьютера.
Однако если пользователь выберет параметр Выборочная установка, то на вкладке Языки
интерфейса программы установки можно будет выбрать любой из языков сетевой точки
установки.

Если ввести ключ продукта и принять условия лицензионного соглашения корпорации
Майкрософт в файле настройки или Config.xml, в процессе установки пользователь не
увидит этих экранов.

Скрытые или заблокированные в файле настройки компоненты не отображаются в дереве
компонентов.
Дополнительные сведения о настройке параметров отображения см. в разделе Настройка
программы установки перед установкой выпуска 2010 системы Office.
Не зависящая от языка конструкция
В Office 2010 и Office 2007 продукт Office (например, Office профессиональный плюс 2010) имеет
следующую структуру:

не зависящие от языка элементы собраны в одном основном пакете (MSI-файле);

языковые элементы распределены по отдельным пакетам для каждого приложения.
Такая структура файлов существенно упрощает международное развертывание. Базовая
установка продукта Office состоит из основного пакета плюс один язык. Добавление других
30
языков осуществляется так же просто, как копирование дополнительных языковых пакетов для
одного языка к точке сетевой установки — все они работают с основным продуктом совершенно
одинаково. Все языковые версии Office, включая версию на английском языке, разворачиваются
одинаково. Программа установки объединяет не зависящий от языка основной пакет с
языковыми пакетами в процессе непрерывной установки.
Важно!
Сейчас выпуск Office 2010 содержит только английские, китайские, французские,
немецкие, японские, испанские и русские языковые источники. Дополнительные языки
будут предоставлены в будущих выпусках.
Содержание:

Языковые версии Office

Языковые пакеты для Office
Языковые версии Office
Каждый продукт Office должен содержать по крайней мере один набор пакетов, зависящих от
языка. Развертывание только основного пакета (файла MSI) невозможно. Языковые пакеты
расположены на компакт-диске продукта Office и в сетевой точке установки. Имя папки каждого
пакета содержит метку языка в в форме ll-cc (например, en-us для английского языка США),
которая определяет язык. Папки также содержат наборы файлов установки.
Например, продукт Office профессиональный плюс 2010 распределен в файлах этих папок.
Элементы, не зависящие от языка, — например, Winword.exe (исполняемый файл для Microsoft
Word 2010 — находятся в основном пакете ProPlus.WW. Другие элементы (например, справка и
пользовательский интерфейс Word 2010) находятся в соответствующих языковых пакетах для
Word или для общих функций Office.
Для создания функционально законченных компонентов необходимы оба типа элементов — как
не зависящие, так и зависящие от языка. Файл Winword.exe сам по себе не представляет собой
приложение Word, которое может использоваться любым пользователем. Аналогичным образом
основной MSI-файл Office профессиональный плюс 2010 в папке ProPlus.WW не представляет
собой полный продукт Office.
Программа установки собирает все эти части целого продукта. Файлы Package.xml и Setup.xml в
каждой папке содержат информацию, которую программа установки использует для сборки
полных компонентов, построения консолидированного дерева компонентов и подбора
корректного набора MSI-файлов для установки. После подбора XML-данных и необходимых MSIфайлов программа установки использует установщик Windows для установки Office на
компьютерах пользователей. С точки зрения пользователя, этот процесс проходит
автоматически и без проблем.
В пакете Office 2010 нельзя развернуть отдельное приложение, отделив зависящую от языка
папку, которая содержит индивидуальный MSI-файл (например, папку Word.en-us). Однако путем
31
настройки параметров установки можно определить, какие приложения и компоненты будут
устанавливаться на компьютеры пользователей.
Примечание.
Ни один из MSI-файлов из точки установки Office не может быть установлен независимо
с помощью установщика Windows или каким-либо иным методом. Кроме того, также не
следует править или изменять XML-файлы с цифровыми подписями (Setup.xml и
Package.xml). В пакете Office 2010 программа установки необходима для сбора файлов и
установочной информации и для управления процессом установки.
Языковые пакеты для Office
Зависящие от языка пакеты используются в двух контекстах: в языковой версии продукта Office и
в составе языкового пакета для одного языка (SLP) для этого языка. Например, во французскую
версию Office профессиональный плюс 2010 входит зависящая от языка папка для каждого
приложения и для общих функций Office профессиональный плюс 2010. Эти же папки включены
во французский пакет SLP, который также содержит зависящие от языка папки для других
продуктов Office 2010.
Языковые пакеты могут быть развернуты как отдельные продукты, или их можно использовать
для развертывания продукта Office на нескольких языках. Для языковых пакетов не требуется
вводить никаких уникальных ключей продукта независимо от того, развертываются ли они по
отдельности или при установке другого продукта.
Примечание.
В версиях Office до Office 2007 корпоративные клиенты добавляли языки путем
развертывания пакетов многоязыкового интерфейса пользователя (MUI) после установки
английской (США) версии Office. Локализованные версии, например японская версия
Office Standard Edition, не были идентичны основной версии с японским пакетом MUI. В
продукте Office 2007 это проектное решение было улучшено и сохранено в версии
Office 2010.
Эффективная модель настройки
В версиях системы Microsoft Office до Office 2007 для настройки программы установки и
управления системой Office после установки требовались некоторые служебные программы. В
версии Office 2007 реализована последовательная и эффективная модель. В Office 2010 (как и в
Office 2007) администраторы могут использовать программу установки для установки, настройки
и управления системой Office. Для применения определенных настроек пользователя и
компьютера администраторы могут воспользоваться групповой политикой (см. раздел
Использование групповой политики).
Содержание:

Использование центра развертывания Office
32

Настройка новой установки

Внесение изменений в существующую установку системы Office

Использование файла Config.xml для настройки системы Office

Использование параметров командной строки программы установки

Использование групповой политики
Использование центра развертывания Office
Настройка установки системы Office выполняется с помощью центра развертывания Office,
являющегося компонентом программы установки в корпоративных версиях клиента Office 2010.
Чтобы открыть центр развертывания Office, запустите программу установки с параметром
командной строки /admin. Используя центр развертывания Office, создайте файл настроек
программы установки (MSP-файл) и поместите его в папку Updates точки сетевой установки. Как
уже упоминалось ранее, папка Updates используется только при первоначальной или новой
установке Office 2010, и в папке Updates поддерживается только одно исправление настроек.
Файл настройки параметров установки является расширенной формой MSP-файла установщика
Windows. Каждый файл настраивается для определенного продукта, например, Office
профессиональный плюс 2010 или OneNote 2010. При запуске программы установки Office эта
программа выполняет поиск файла настройки, соответствующего устанавливаемому продукту, в
папке Updates. Когда программа устанавливает продукт, она применяет содержащиеся в этом
файле настройки.
Можно создать несколько файлов настройки параметров установки, чтобы выполнять настройку
системы Office для различных групп пользователей. При запуске программы установки
необходимо указать соответствующий файл настройки, который будет использоваться для
каждой установки, с помощью параметра командной строки программы установки /adminfile или
с помощью файла Config.xml (см. раздел Использование файла Config.xml для настройки
системы Office).
Подробные сведения об использовании центра развертывания Office для создания файла
настройки параметров установки см. в разделе Office Customization Tool in Office 2010 (на
английском языке).
Настройка новой установки
С помощью файла настройки параметров установки, созданного в центре развертывания Office,
можно изменить способ первой установки системы Office на компьютер пользователя. Например,
центр развертывания Office позволяет выполнить следующие настройки системы Office.

Запустить программу установки без вмешательства пользователя (без вывода сообщений).

Предварительно указать ключ продукта и принять лицензионное соглашение на
использование программного обеспечения корпорации Майкрософт от имени пользователя.

Указать место установки файлов системы Office на компьютере пользователя.
33

Определить необходимость удаления предыдущих версий системы Office перед установкой
Office 2010.

Определить, какие компоненты системы Office следует установить.

Определить значения по умолчанию для большого числа пользовательских параметров,
включая параметры Microsoft Outlook
Примечание.
Office 2010 не поддерживает параллельную установку 64-разрядного и 32-разрядного
пакета Office, в том числе и на уровне приложений. Например, не поддерживается
параллельная установка 32-разрядного пакета Office 2007 с 64-разрядным пакетом
Office 2010 или 64-разрядного пакета Microsoft SharePoint Workspace 2010 и 32разрядного пакета Microsoft Excel 2010. Средства настройки Office 2010 нельзя
использовать для изменения параллельных установок или настроек 64-разрядных и 32разрядных пакетов Office. Например, невозможно выполнить настроенную параллельную
установку 64-разрядного пакета Microsoft Office профессиональный 2010 и 32-разрядного
пакета Visio 2010 Single Image. Дополнительные сведения о 64-разрядном пакете
Office 2010 см. в разделе 64-разрядные выпуски Office 2010.
Сведения о настройке программы установки см. в разделе Настройка программы установки
перед установкой выпуска 2010 системы Office.
Внесение изменений в существующую установку системы Office
Чтобы внести изменения в существующую установку системы Office, используйте средство,
которое применялось для настройки исходной установки. Для этого запустите центр
развертывания Office, чтобы обновить существующий файл настройки параметров установки
или создать новый. Затем примените файл настройки к компьютеру пользователя точно так же,
как обновление программного обеспечения, после чего существующая установка системы Office
пользователя будет обновлена с использованием выполненных настроек. Это означает, что
настройки, доступные при установке системы Office, также доступны и при внесении изменений в
систему Office после установки.
Примечание.
Существует несколько настроек, которые программа установки применяет только при
первой установке системы Office. К их числу относятся настройки, указывающие место
установки системы Office на компьютере пользователя, определяющие ключ продукта и
удаляющие предыдущие версии входящих в Office приложений. Центр развертывания
Office определяет, какие пользовательские настройки применимы только к новым
установкам.
Использование файла Config.xml для настройки системы Office
Файл Config.xml можно использовать для внесения изменений в установку системы Office. Можно
настраивать большую часть параметров, которые настраиваются с помощью центра
34
развертывания Office, включая несколько дополнительных параметров, которые не доступны в
центре развертывания Office.
Использование файла Config.xml рекомендуется для выполнения следующих задач установки.

Настройка программы установки для выполнения копирования локального источника
установки на компьютер пользователя без установки системы Office.

Выбор пути к точке сетевой установки.

Выбор устанавливаемого продукта или языка.

Изменение места, где программа установки ищет файлы настройки параметров установки и
обновлений.

Выполнение настроек в последнюю минуту или одноразовых настроек, ради которых нет
смысла запускать центр развертывания Office для создания нового файла настройки.
Если поместить файл Config.xml в ту же папку, в которой находится файл Setup.exe, то
программа установки обнаружит и использует его. Кроме того, можно указать место
расположения этого файла с помощью параметра командной строки /config программы
установки.
Примечание.
Если одновременно указать файл настройки параметров установки и файл Config.xml, то
определенные в файле Config.xml настройки имеют преимущество перед теми же
настройками, включенными в файл пользовательских настроек.
Полное описание содержимого и формата файла Config.xml см. в статье Config.xml file in Office
2010 (на английском языке).
Использование параметров командной строки программы
установки
Программа установки распознает лишь некоторые параметры командной строки в Office 2010
(это поведение было характерно и для Office 2007). Центр развертывания Office является
основным средством для настройки свойств программы установки и задания других настроек.
Команды Setup.exe могут использоваться для выполнения следующих задач:

Запуск центра развертывания Office для создания MSP-файла настройки программы
установки.

Применение заданного файла параметров настройки программы установки к установке.
Можно задать путь к заданному файлу параметров настройки (MSP-файлу) или к папке, в
которой хранятся файлы параметров настройки.

Задание файла Config.xml, который программа установки использует во время установки.

Запуск программы установки в режиме обслуживания и внесение изменений в
существующую установку Office.

Запуск программы установки для восстановления заданного продукта на компьютере
пользователя.
35

Запуск программы установки для удаления указанного продукта из компьютера
пользователя.
Для получения более подробной информации о командах Setup.exe см. раздел Setup commandline options for Office 2010 (на английском языке). Сведения об атрибутах установщика Windows,
используемых в предыдущих версиях Office, и об атрибутах, которые можно использовать при
установке Office 2010, см. в разделе Setup properties in Office 2010 (на английском языке).
Использование групповой политики
Администраторы могут использовать параметры групповой политики для задания и
обслуживания конфигурации Office на компьютерах пользователей. Групповая политика
используется для настройки параметров политики Office 2010, содержащихся в
административных шаблонах, и операционная система обеспечивает применение этих
параметров политики. В среде Active Directory администраторы могут применять параметры
политики к группам пользователей и компьютеров на сайте, в домене или организационной
единице, с которыми связан объект групповой политики. Истинные параметры политики
записываются в утвержденные разделы реестра для политики. Эти параметры политики
предусматривают ограничения на основе списка управления доступом (ACL), которые
предотвращают их изменение пользователями, не являющимися администраторами. Это
позволяет администраторам создавать легко управляемые конфигурации с высокой степенью
ограничений.
Администраторы могут использовать параметры политики для приложений Office 2010, чтобы
управлять большинством параметров, которые служат для настройки пользовательского
интерфейса Office, в том числе следующих компонентов:

команды меню и соответствующие кнопки панели инструментов;

клавиши быстрого доступа;

большинство параметров в диалоговом окне Параметры.
Примечание.
Большинство параметров групповой политики Office 2010 также доступны в центре
развертывания Office (параметры OPA). Для настройки начальных параметров по
умолчанию в MSP-файле настроек программы установки администраторы могут
использовать центр развертывания Office. В то же время пользователи могут изменять
большинство параметров после установки. Чтобы применить определенные
конфигурации, следует использовать групповую политику. Параметры групповой
политики имеют приоритет над параметрами центра развертывания Office.
Обязательный локальный источник установки
В Office 2010 программа установки создает на компьютере пользователя локальный источник
установки в рамках процедуры установки по умолчанию. Программа установки устанавливает
все продукты Office 2010 в два этапа. Сначала она копирует сжатые файлы локального
36
источника установки на компьютер пользователя, а затем вызывает установщик Windows для
выполнения самой установки из локального источника установки. После завершения установки
локальный источник установки остается доступным для любых операций установки, которым
требуется доступ к оригинальному источнику. В минимальных требованиях дискового
пространства учитывается локальный источник установки.
Примечание.
Пакет Microsoft Office 2003 в больших организациях обычно устанавливался из точки
административной установки. При этом установка из локального источника установки
была возможна по выбору. Однако в Office 2010 точка административной установки
более не существует, а локальный источник установки является обязательной частью
программы.
Применение локального источника установки обеспечивает более высокую эффективность и
надежность процесса распространения программных обновлений. Ни точка сетевой установки,
ни локальный источник установки пользователя не обновляются напрямую. Установки
пользователей сохраняют синхронизацию при применении к ним клиентской версии обновления
программного обеспечения.
К дополнительным преимуществам постоянно доступного на локальном компьютере полного
источника установки можно отнести следующее:

Локальный источник установки для пользователей можно развернуть перед установкой ими
пакета Office. Это сводит к минимуму влияние на сеть и обеспечит одновременную установку
продукта и начало использования Office 2010 всеми пользователями.

Пользователь может выполнять задачи обслуживания, например обновление программного
обеспечения, без запросов к компакт-диску Office или сетевому источнику.

Мобильные пользователи или пользователи с нерегулярным сетевым подключением могут
запускать программу установки без доступа к сети при наличии заранее установленного
локального источника установки.
Затраты на получение этих преимуществ минимальны. Хотя локальный источник установки
использует некоторое пространство жесткого диска, создание локального источника установки и
установка Office занимает приблизительно столько же времени, сколько и сама установка пакета
Office.
Содержание:

Создание локального источника установки на компьютерах пользователей

Самостоятельное развертывание локального источника установки
Создание локального источника установки на компьютерах пользователей
Когда пользователи устанавливают пакет Office с компакт-диска или из точки сетевой установки,
программа установки создает локальный источник установки. При этом используется программа
Office Source Engine (Ose.exe) для копирования необходимых файлов установки в скрытую
37
папку на локальном компьютере. По умолчанию копирование производится в папку
\MSOCache\All Users в корне диска, на котором устанавливается пакет Office.
Каждый пакет, в котором содержится продукт Office (как не зависящий от языка основной пакет,
так и один или несколько пакетов, зависящих от языка), обладает отдельным кодом загрузки и
кэшируется во вложенной папке MSOCache\All Users. Программа установки всегда кэширует
весь локальный источник установки, в том числе все файлы, связанные с устанавливаемым
продуктом. Если в точке установки содержится несколько языков, то программа установки
кэширует только пакеты для языков, которые установлены на компьютере пользователя.
При установке дополнительных продуктов Office на компьютер пользователя эти продукты
кэшируются в тот же локальный источник установки.
Примечание.
Если пользователь устанавливает второй продукт Office на другой диск, то программа
установки создает второй локальный источник установки в корне этого диска. В этом
сценарии общие файлы могут повторяться в двух источниках установки, но такая
структура обеспечивает полноту и правильное функционирование каждого локального
источника установки.
Пользователь не может удалить локальный источник установки случайно с помощью
пользовательского интерфейса программы установки или с помощью мастера очистки диска.
При удалении или повреждении папки MSOCache программа установки автоматически повторно
создаст или восстановит папку при следующем запросе к источнику. Если пользователю не
хватает места на диске, программа выведет запрос на освобождение дискового пространства.
При распространении новых обновлений или настроек можно рассчитывать на тот факт, что у
каждого пользователя есть доступ к источнику.
Примечание.
После создания локального источника установки его местоположение на компьютере
пользователя не меняется. Пока пользователь не укажет иной диск, дополнительные
продукты Office, устанавливаемые впоследствии, всегда добавляются в существующую
папку MSOCache\All Users.
Самостоятельное развертывание локального источника установки
Поскольку программа установки выполняет установку пакета Office из локального источника
установки, можно свести использование сети к минимуму, заранее развернув источник
установки. Например, с помощью обычного метода запуска установки на компьютерах
пользователей можно одновременно распространить локальный источник установки для группы
пользователей. Когда у всех пользователей есть предварительно кэшированный источник, они
могут запустить программу установки Office одновременно. В этом случае основная часть
установочных действий производится на локальном компьютере, а не через сеть.
Дополнительные сведения см. в разделе Предварительное кэширование локального источника
установки для Office 2010.
38
Кроме того, можно запустить программу установки непосредственно из локального источника
установки на компьютере. Локальный запуск программы установки подразумевает, что все
действия, включая загрузку установочных файлов и считывание метаданных, выполняются без
использования сети. В этом случае необходимо определить в каталоге MSOCache\All Users
вложенную папку, в которой содержится основной устанавливаемый продукт. Каждая вложенная
папка основного продукта содержит копию программы установки, и запуск программы установки
из вложенной папки приведет к установке соответствующего продукта. Этот метод позволяет
пользователям устанавливать пакет Office без использования сетевого подключения.
Дополнительные сведения см. в разделе Запуск программы установки из локального источника
установки для установки Office 2010.
Консолидированный процесс обновления
В версиях системы Microsoft Office до Office 2007 была предусмотрена возможность выбора ряда
параметров, обеспечивающих получение клиентскими компьютерами новейших обновлений
программного обеспечения Office и их синхронизацию с точкой административной установки.
Можно было настраивать программу установки для последовательного обновления ПО с новыми
установками продуктов Office или применять обновление к точке административной установки и
переустанавливать Office на всех клиентских компьютерах.
Новая архитектура пакета Office 2007 существенно упрощает этот процесс. В системе
Office 2010 (как и в Office 2007) создается точка сетевой установки, которая никогда не требует
обновления. Вместо этого простая операция копирования делает обновление ПО доступным для
новых установок. Существующие установки обновляются независимо от точки сетевой
установки, поэтому нет необходимости беспокоиться о поддержании синхронизации клиентских
компьютеров с источником установки.
Содержание:

Применение обновлений Office во время новых установок

Обновление существующих установок Office
Применение обновлений Office во время новых установок
При получении обновлений программного обеспечения Office с веб-узлов Майкрософт
скопируйте эти обновления в папку Updates в корневом каталоге точки сетевой установки.
Существующие файлы в точке сетевой установки остаются такими же, какими они были после
первоначального копирования с компакт-диска Microsoft Office.
Примечание.
Папку Updates можно использовать для включения установки обновлений в
первоначальную установку продуктов Office 2010. В ходе первоначальной установки
устанавливаются только файлы обновлений установщика Windows, находящиеся в
данной папке. Следовательно, обновления необходимо извлечь из пакетов
39
самоизвлечения Microsoft. Для настройки первоначальных установок в папку Updates
также можно поместить MSP-файл исправления настроек программы установки.
Программа установки Office, запущенная на клиентском компьютере, выполняет поиск в папке
Updates обновлений ПО и автоматически включает эти обновления в процесс установки Office.
Если в этой папке находится несколько обновлений, программа установки применяет только те
из них, которые предназначены для устанавливаемого продукта Office. Если папка Updates
содержит как MSP-файл исправления настроек программы установки, так и обновления
продуктов, программа установки применяет MSP-файл исправления настроек программы
установки при первоначальной установке, а обновления продуктов применяются после
завершения установки. Программа установки также применяет обновления в правильном
последовательном порядке. В результате пользователь получает последние обновления
одновременно с новой установкой Office.
Совет.
Чтобы программа установки выполняла поиск обновлений ПО в папке, отличной от папки
Updates, используйте элемент SetupUpdates в файле Config.xml. Дополнительные
сведения см. в разделе Элемент SetupUpdates документа Config.xml file in Office 2010 (на
английском языке).
Обновление существующих установок Office
После установки пакета Office обновления ПО проводятся непосредственно на клиентском
компьютере без обращения к точке сетевой установки. Это выполняется с помощью программы
управления развертыванием, такой как Microsoft Systems Management Server или System Center
Configuration Manager 2007, с помощью служб Windows Server Update Services или посредством
обновления компьютеров непосредственно через Интернет с помощью центра обновления
Майкрософт.
Примечание.
После установки пакета Office на клиентском компьютере его переустановка относится
только к тем обновлениям ПО, которые были реализованы при первоначальной
установке. Если новые обновления ПО копируются в папку Updates, они не применяются
во время переустановки.
См. также
Office Customization Tool in Office 2010 (на английском языке)
Config.xml file in Office 2010 (на английском языке)
Setup command-line options for Office 2010 (на английском языке)
Setup properties in Office 2010 (на английском языке)
Изменения программы установки, введенные в выпуске 2007 системы Office
Обзор настройки Office 2010
40
Планирование стратегии переноса и
обновления Office 2010
В этом разделе приведены сведения о планировании установки Microsoft Office 2010 и переносе
пользовательских данных (например, параметров и документов пользователей и компьютеров,
созданных в предыдущих версиях Microsoft Office).
Содержание
Статья
Описание
Планирование обновления Office 2010
Описание процесса обновления Microsoft Office
2010, в том числе различные варианты
обновления и пути переноса данных.
Перенос разделов реестра данных
пользователя в Office 2010
Список разделов реестра, которые
переносятся при использовании обновления
без удаления или с удалением Office 2010.
Выбор варианта развертывания Office 2010
Описание функций, используемых для
развертывания Office 2010, включая общие
сетевые ресурсы, скрипты запуска групповой
политики, управляемое развертывание,
виртуализацию приложений и презентаций.
41
Планирование обновления Office 2010
В этой статье описывается процесс обновления Microsoft Office 2010, включая различные
варианты обновления и способы переноса данных.
Содержание:

Обзор процесса обновления

Сравнение вариантов обновления и понятие переноса данных

Перенос документов
Обзор процесса обновления
На схеме ниже приведены задачи, вовлеченные в процесс планирования обновления до
Office 2010.
Процесс обновления до Office 2010 можно разделить на две основные задачи:

установка новой версии Microsoft Office 2010;
42

перенос данных пользователей, таких как параметры пользователя и компьютера, и
документов, созданных в ранее установленных версиях Microsoft Office.
При планировании стратегии обновления следует прежде всего рассмотреть возможность
обновления до Office 2010, что является лучшим вариантом для организации. Выбранный тип
обновления поможет определиться с доступными вариантами переноса данных и способами
миграции.
Сравнение вариантов обновления и понятие
переноса данных
Варианты обновления до Office 2010 можно разделить на три категории:

обновление на месте — предыдущая версия Office, например система Microsoft Office 2007,
установлена на компьютеры;

обновление с удалением — предыдущая версия Office, например Office 2007, удаляется
перед обновлением до Office 2010;

обновление с новой операционной системой — на компьютеры устанавливается новая
версия операционной системы, например Windows 7, и выполняется обновление до
Office 2010.
В таблице ниже приводятся варианты обновления и порядок переноса параметров компьютера и
пользователя.
Вариант обновления
Перенос параметров пользователя и
компьютера
Обновление на месте
Перенос данных выполняется в ходе
установки. Office 2010
Обновление с удалением
Перенос данных выполняется при первом
использовании каждого приложения
Office 2010.
Обновление с новой версией операционной
системы
Перенос данных выполняется с помощью
средства миграции пользовательской среды,
которое осуществляет сбор параметров с
целевого компьютера до начала установки
новой операционной системы. После ее
установки средство миграции
пользовательской среды используется для
восстановления параметров.
43
Перенос данных в Office 2010 включает параметры пользователя и компьютера, а также
документы, созданные в предыдущих версиях Office. Список переносимых разделов реестра см.
в разделе Перенос разделов реестра данных пользователя в Office 2010.
Документы, созданные в ранее установленных версиях Office, сохраняются на компьютере в
исходных форматах и при необходимости могут затем быть перенесены или преобразованы,
если выполняется обновление на месте или обновление с удалением. Если осуществляется
обновление с новой операционной системой, документы необходимо перенести с исходного
компьютера в хранилище миграции, прежде чем приступать к установке новой операционной
системы и обновлению до Office 2010. Использование средства миграции пользовательской
среды упрощает этот процесс. Дополнительные сведения о работе с этим средством см. в
руководстве пользователя по средству миграции пользовательской среды (USMT 4.0)
(http://go.microsoft.com/fwlink/?linkid=166111&clcid=0x419).
После выбора наиболее подходящего варианта обновления необходимо определиться со
стратегией переноса документов, созданных пользователями организации с помощью
предыдущих версий Office.
Перенос документов
На схеме ниже приводятся задачи, вовлеченные в процесс планирования переноса документов в
Office 2010.
Эти задачи можно разбить на следующие этапы.
1. Анализ изменений. При планировании переноса документов прежде всего необходимо
проанализировать изменения, внесенные в приложения Office 2010, которые планируется
44
установить, то есть выяснить, какие компоненты были добавлены, изменены или удалены.
Дополнительные сведения можно найти в статье Изменения в Office 2010.
2. Анализ вопросов переноса данных. В ходе следующего этапа необходимо
проанализировать вопросы переноса данных, характерные для конкретных приложений.
Дополнительные сведения о вопросах переноса для каждого приложения см. в разделе
Изменения продуктов и компонентов в Office 2010.
3. Планирование поддержки форматов файлов. После анализа изменений и вопросов
переноса данных следует определиться со стратегией поддержки форматов файлов после
обновления до Office 2010. Дополнительные сведения см. в статье Вопросы и ответы:
формат файлов (http://go.microsoft.com/fwlink/?linkid=166107&clcid=0x419).
4. Оценка с помощью OMPM. Наконец, с помощью диспетчера планирования миграции Office
проверьте файлы в среде и решите, следует ли выполнить их архивацию, массовое
преобразование с помощью конвертера файлов Office, который входит в этот диспетчер, или
преобразование в ручном режиме.
См. также
Перенос разделов реестра данных пользователя в Office 2010
45
Перенос разделов реестра данных
пользователя в Office 2010
В этой статье в алфавитном порядке перечислены разделы реестра Microsoft Office 2003 и
приложений системы Microsoft Office 2007, переносимые при выполнении обновления на месте
или обновления Microsoft Office 2010 с предварительным удалением. Эти параметры можно
перенести при выполнении обновления на базе новой операционной системы, используя
средство миграции пользовательской среды (USMT) с файлом MigApp.xml file. В этой статье
также представлены разделы реестра, включенные в процесс миграции, а также явно
исключенные из него.
Дополнительные сведения о файле MigApp.xml для средства миграции пользовательской среды
см. в разделе Настройка XML-файлов средства миграции пользовательской среды
(http://go.microsoft.com/fwlink/?linkid=164974&clcid=0x419).
Содержание:

Параметры Microsoft Office 2003

Параметры Microsoft Office 2007
Параметры Microsoft Office 2003
Общие параметры <включают>
HKCU\Software\Microsoft\Office\Common\* [*]
HKCU\Software\Microsoft\Office\11.0\* [*]
HKCU\Software\Microsoft\Shared Tools\* [*]
HKCU\Software\Microsoft\Shared Tools\Proofing
Tools\Custom Dictionaries [*]
HKCU\Software\Microsoft\Office\11.0\Common\Internet\*
[*]
%APPDATA%\Microsoft\Office [*.acl]
%APPDATA%\Microsoft\Office\Recent [*]
%APPDATA%\Microsoft\Proof\* [*]
HKCU\Software\Microsoft\Office\Common\Smart
Tag\Recognizers\{4FFB3E8B-AE75-48F2-BF13D0D7E93FA8F9}\* [*]
46
HKCU\Software\Microsoft\Office\Common\Smart
Tag\Recognizers\{64AB6C69-B40E-40AF-9B7FF5687B48E2B6}\* [*]
HKCU\Software\Microsoft\Office\Common\Smart
Tag\Recognizers\{87EF1CFE-51CA-4E6B-8C76E576AA926888}\* [*]
Общие параметры <не включают>
HKCU\Software\Microsoft\Shared Tools\Proofing
Tools\1.0\Custom Dictionaries\* [*]
HKCU\Software\Microsoft\Office\11.0\Shortcut Bar
[LocalPath]
HKCU\Software\Microsoft\Office\11.0\Common\Internet
[LocationOfComponents]
HKCU\Software\Microsoft\Office\11.0\Common\Open Find\*
[*]
HKCU\Software\Microsoft\Office\11.0\Common\Internet
[UseRWHlinkNavigation]
HKCU\Software\Microsoft\Office\11.0\Common\InternetServer
Cache\* [*]
Access 2003 <включает>
HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources
[SKULanguage]
HKCU\Software\Microsoft\Office\Access\* [*]
HKCU\Software\Microsoft\Office\11.0\Access\* [*]
HKCU\Software\Microsoft\Office\11.0\CMA\* [*]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings\
[Microsoft Access]
%APPDATA%\Microsoft\Office [Access11.pip]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\Recent
Templates\* [*]
47
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\Recent
Templates\* [Template*]
Access 2003 <не включает>
HKCU\Software\Microsoft\Office\11.0\Access\Settings
[MRU*]
Excel 2003 <включает>
HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources
[SKULanguage]
HKCU\Software\Microsoft\Office\11.0\Excel\* [*]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings\
[Microsoft Excel]
%APPDATA%\Microsoft\Excel\ [EXCEL11.xlb]
%APPDATA%\Microsoft\Office\ [EXCEL11.pip]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\Recent
Templates\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\Recent
Templates\* [Template*]
Excel 2003 <не включает>
HKCU\Software\Microsoft\Office\11.0\Excel\Recent
Files\* [*]
FrontPage 2003 <include>
HKCU\Software\Microsoft\FrontPage\* [*]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings
[Microsoft FrontPage]
%APPDATA%\Microsoft\FrontPage\State [CmdUI.PRF]
%APPDATA%\Microsoft\Office [fp11.pip]
48
%APPDATA%\Microsoft\FrontPage\Snippets
[FPSnippetsCustom.xml]
FrontPage 2003 <включает>
HKCU\Software\Microsoft\FrontPage [WecErrorLog]
HKCU\Software\Microsoft\FrontPage\Explorer\FrontPage
Explorer\Recent File List\* [*]
HKCU\Software\Microsoft\FrontPage\Explorer\FrontPage
Explorer\Recent Web List\* [*]
OneNote 2003 <включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\LanguageResources
[SKULanguage]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\* [*]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\
[Microsoft Office OneNote]
%APPDATA%\Microsoft\Office\ [OneNot11.pip]
%APPDATA%\Microsoft\OneNote\ [Preferences.dat]
%APPDATA%\Microsoft\OneNote\ [Toolbars.dat]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent Templates\*
[*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent Templates\*
[Template*]
OneNote 2003 <не включает>
HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Save\
[BackupLastAutoBackupTime]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Save\
[BackupFolderPath]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\
[LastCurrentFolderForBoot]
49
HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\ [Last
Current Folder]
Outlook 2003 <включает>
HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources
[SKULanguage]
HKCU\Software\Microsoft\Office\Outlook\* [*]
HKCU\Software\Microsoft\Office\11.0\Outlook\* [*]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings
[Microsoft Outlook]
HKCU\Software\Microsoft\Office\Outlook\OMI Account
Manager\Accounts\* [*]
HKCU\Software\Microsoft\Office\11.0\Outlook\Journal\* [*]
%APPDATA%\Microsoft\Signatures\* [*]
%CSIDL_LOCAL_APPDATA%\Microsoft\FORMS [frmcache.dat]
%APPDATA%\Microsoft\Outlook [outcmd11.dat]
%APPDATA%\Microsoft\Outlook [outcmd.dat]
%APPDATA%\Microsoft\Outlook [views.dat]
%APPDATA%\Microsoft\Outlook [OutlPrint]
%APPDATA%\Microsoft\Office [MSOut11.pip]
%APPDATA%\Microsoft\Outlook [*.rwz]
%APPDATA%\Microsoft\Outlook [*.srs]
%APPDATA%\Microsoft\Outlook [*.NK2]
%APPDATA%\Microsoft\Outlook [*.xml]
HKCU\Software\Microsoft\Exchange\* [*]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Messaging Subsystem\Profiles\* [001e023d]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Messaging Subsystem\Profiles\* [001f023d]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
50
Messaging Subsystem\Profiles\* [*]
Outlook 2003 <не включает>
HKCU\Software\Microsoft\Office\11.0\Outlook
[FirstRunDialog]
HKCU\Software\Microsoft\Office\11.0\Outlook [Machine
Name]
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows Messaging
Subsystem\Profiles\*\0a0d020000000000c000000000000046
[111f031e]
HKCU\Identities\* [LDAP Server]
HKCU\Software\Microsoft\Internet Account
Manager\Accounts\* [LDAP Server]
HKCU\Software\Microsoft\Office\Outlook\OMI Account
Manager\Accounts\* [LDAP Server]
PowerPoint 2003 <включает>
HKCU\Software\Microsoft\Office\11.0\PowerPoint\* [*]
HKCU\Software\Microsoft\Office\11.0\PowerPoint\RecentFolderList
[Default]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings
[Microsoft PowerPoint]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\Recent
Templates\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\Recent
Templates\* [Template*]
PowerPoint 2003 <не включает>
HKCU\Software\Microsoft\Office\11.0\PowerPoint\Recent File List\*
[*]
HKCU\Software\Microsoft\Office\11.0\PowerPoint\RecentFolderList\*
51
[*]
Project 2003 <включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\LanguageResources
[SKULanguage]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings
[Microsoft Project]
%APPDATA%\Microsoft\Office [MSProj11.pip]
%APPDATA%\Microsoft\MS Project\11\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent
Templates\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent
Templates\* [Template*]
Project 2003 <не включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS
Project\Recent File List [*]
Publisher 2003 <включает>
HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources
[SKULanguage]
HKCU\Software\Microsoft\Office\11.0\Publisher\* [*]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings
[Microsoft Publisher]
%APPDATA%\Microsoft\Office [*.acl]
%APPDATA%\Microsoft\Publisher [pubcmd.dat]
%APPDATA%\Microsoft\Office\ [*.jsp]
52
Publisher 2003 <не включает>
HKCU\Software\Microsoft\Office\11.0\Publisher\Recent
File List\* [*]
Visio 2003 <включает>
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\* [*]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\
[Microsoft Office Visio]
CSIDL_APPDATA\Microsoft\Office\[Visio11.pip]
CSIDL_LOCAL_APPDATA\Microsoft\Visio\ [content.dat]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\*
[*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\*
[Template*]
Visio 2003 <не включает>
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\
[LastFile*]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\
[MyShapesPath]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\
[UserDictionaryPath1]
Word 2003 <включает>
HKCU\Software\Microsoft\Office\11.0\Common\LanguageResources
[SKULanguage]
HKCU\Software\Microsoft\Office\11.0\Word\* [*]
HKCU\Software\Microsoft\Office\11.0\Common\Toolbars\Settings
[Microsoft Word]
%APPDATA%\Microsoft\Templates [Normal.dot]
%APPDATA%\Microsoft\Office [Word11.pip]
53
%APPDATA%\Microsoft\Office [WordMa11.pip]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Word\Recent
Templates\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Word\Recent
Templates\* [Template*]
Word 2003 <не включает>
HKCU\Software\Microsoft\Office\11.0\Word\Options
[PROGRAMDIR]
Параметры Microsoft Office 2007
Общие параметры <включают>
HKCU\Software\Microsoft\Office\Common\* [*]
HKCU\Software\Microsoft\Office\12.0\Common\*
[*]
HKCU\Software\Microsoft\Shared Tools\* [*]
%APPDATA%\Microsoft\Office [*.acl]
%APPDATA%\Microsoft\Office\Recent [*]
%APPDATA%\Microsoft\Templates\* [*]
%APPDATA%\Microsoft\Proof\* [*]
%APPDATA%\Microsoft\UProof\* [*]
HKCU\Software\Microsoft\Shared
Tools\Proofing Tools\*\Custom Dictionaries [*]
HKCU\Software\Microsoft\Office\Common\Smart
Tag\Recognizers\{4FFB3E8B-AE75-48F2-BF13D0D7E93FA8F9}\* [*]
HKCU\Software\Microsoft\Office\Common\Smart
Tag\Recognizers\{64AB6C69-B40E-40AF9B7F-F5687B48E2B6}\* [*]
HKCU\Software\Microsoft\Office\Common\Smart
54
Tag\Recognizers\{87EF1CFE-51CA-4E6B8C76-E576AA926888}\* [*]
Общие параметры <не включают>
HKCU\Software\Microsoft\Office\12.0\Shortcut Bar
[LocalPath]
HKCU\Software\Microsoft\Office\12.0\Common\Internet
[LocationOfComponents]
HKCU\Software\Microsoft\Office\12.0\Common\Open
Find\* [*]
HKCU\Software\Microsoft\VBA\6.0\Common
%CSIDL_LOCAL_APPDATA%\Microsoft\Office [*.qat]
Access 2007 <включает>
%APPDATA%\Microsoft\Office [Access11.pip]
HKCU\Software\Microsoft\Office\Access\* [*]
HKCU\Software\Microsoft\Office\12.0\Access\* [*]
HKCU\Software\Microsoft\Office\12.0\CMA\* [*]
HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings\
[Microsoft Access]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\File
MRU\* [*]
Access 2007 <не включает>
HKCU\Software\Microsoft\Office\12.0\Access\Settings
[MRU*]
Excel 2007 <включает>
HKCU\Software\Microsoft\Office\12.0\Excel\* [*]
HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings\
55
[Microsoft Excel]
%APPDATA%\Microsoft\Excel\ [EXCEL11.xlb]
%APPDATA%\Microsoft\Office\ [EXCEL11.pip]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\File
MRU\* [*]
Excel 2007 <не включает>
HKCU\Software\Microsoft\Office\12.0\Excel\Recent
Files\* [*]
OneNote 2007 <включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\
[Microsoft Office OneNote]
%APPDATA%\Microsoft\Office\ [OneNot12.pip]
%APPDATA%\Microsoft\OneNote\%OFFICEVERSION%\ [Preferences.dat]
%APPDATA%\Microsoft\OneNote\%OFFICEVERSION%\ [Toolbars.dat]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent
Templates\* [*]
%APPDATA%\Microsoft\MS Project\12\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Recent
Templates\* [Template*]
OneNote 2007 <не включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\
[LastMyDocumentsPathUsed]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Paths\
[BackupFolderPath]
56
Outlook 2007 <включает>
HKCU\Software\Microsoft\Office\Outlook\* [*]
HKCU\Software\Microsoft\Office\12.0\Outlook\* [*]
HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings
[Microsoft Outlook]
HKCU\Software\Microsoft\Office\Outlook\OMI Account
Manager\Accounts\* [*]
%APPDATA%\Microsoft\Signatures\* [*]
%CSIDL_LOCAL_APPDATA%\Microsoft\FORMS [frmcache.dat]
%APPDATA%\Microsoft\Outlook [outcmd11.dat]
%APPDATA%\Microsoft\Outlook [outcmd.dat]
%APPDATA%\Microsoft\Outlook [views.dat]
%APPDATA%\Microsoft\Outlook [OutlPrint]
%APPDATA%\Microsoft\Office [MSOut11.pip]
HKCU\Software\Microsoft\Exchange\* [*]
%APPDATA%\Microsoft\Outlook [*.rwz]
%APPDATA%\Microsoft\Outlook [*.srs]
%APPDATA%\Microsoft\Outlook [*.NK2]
%APPDATA%\Microsoft\Outlook [*.xml]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Messaging Subsystem\Profiles\* [*]
HKCU\Software\Microsoft\Office\12.0\Outlook\Journal\* [*]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Messaging Subsystem\Profiles\* [001e023d]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Messaging Subsystem\Profiles\* [001f023d]
Outlook 2007 <не включает>
HKCU\Software\Microsoft\Office\12.0\Outlook
[FirstRunDialog]
57
HKCU\Software\Microsoft\Office\12.0\Outlook [Machine
Name]
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows Messaging
Subsystem\Profiles\*\0a0d020000000000c000000000000046
[111f031e]
HKCU\Identities\* [LDAP Server]
HKCU\Software\Microsoft\Internet Account
Manager\Accounts\* [LDAP Server]
HKCU\Software\Microsoft\Office\Outlook\OMI Account
Manager\Accounts\* [LDAP Server]
PowerPoint 2007 <включает>
HKCU\Software\Microsoft\Office\12.0\PowerPoint\* [*]
HKCU\Software\Microsoft\Office\12.0\PowerPoint\RecentFolderList
[Default]
HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings
[Microsoft PowerPoint]
%APPDATA%\Microsoft\PowerPoint [PPT11.pcb]
%APPDATA%\Microsoft\Office [PowerP11.pip]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\File
MRU\* [*]
PowerPoint 2007 <не включает>
HKCU\Software\Microsoft\Office\12.0\PowerPoint\Recent File List\*
[*]
HKCU\Software\Microsoft\Office\12.0\PowerPoint\RecentFolderList\*
[*]
Project 2007 <включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\* [*]
58
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings
[Microsoft Office Project]
%APPDATA%\Microsoft\Office [MSProj12.pip]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent
Templates\* [*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS Project\Recent
Templates\* [Template*]
Project 2007 <не включает>
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MS
Project\Recent File List [*]
Publisher 2007 <включает>
HKCU\Software\Microsoft\Office\12.0\Publisher\* [*]
HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings
[Microsoft Publisher]
%APPDATA%\Microsoft\Office [*.acl]
%APPDATA%\Microsoft\Publisher [pubcmd.dat]
%APPDATA%\Microsoft\Office [Publis11.pip]
%APPDATA%\Microsoft\Office\ [*.jsp]
Publisher 2007 <не включает>
HKCU\Software\Microsoft\Office\12.0\Publisher\Recent
File List\* [*]
Visio 2007 <включает>
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\* [*]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\
[Microsoft Office Visio]
%APPDATA%\Microsoft\Office\ [Visio12.pip]
59
%CSIDL_LOCAL_APPDATA%\Microsoft\Visio\ [content.dat]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\*
[*]
HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\Recent Templates\*
[Template*]
Visio 2007 <не включает>
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\
[LastFile*]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\
[MyShapesPath]
HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\
[UserDictionaryPath1]
Word 2007 <включает>
HKCU\Software\Microsoft\Office\12.0\Word\* [*]
%APPDATA%\Microsoft\Templates\* [*]
%APPDATA%\Microsoft\QuickStyles\* [*]
%APPDATA%\Microsoft\Document Building
Blocks\* [*]
%APPDATA%\Microsoft\Bibliography\* [*]
%APPDATA%\Microsoft\Office [Word11.pip]
%APPDATA%\Microsoft\Office [WordMa11.pip]
Word 2007 <не включает>
HKCU\Software\Microsoft\Office\12.0\Word\Data
[PROGRAMDIR]
HKCU\Software\Microsoft\Office\12.0\Word\Options
[PROGRAMDIR]
60
Выбор варианта развертывания Office 2010
Для развертывания Microsoft Office 2010 можно использовать пять функциональных областей:
сетевую папку, скрипты запуска групповой политики, управляемое развертывание,
виртуализацию приложений и виртуализацию представления. Возможно использование любого
способа или их сочетания, например управляемого развертывания для развертывания и
управления виртуальными приложениями Office 2010. Развертывание Office 2010 с помощью
групповой политики установки программ (GPSI) нами не поддерживается. В качестве
альтернативы методу GPSI администратор может назначить скрипты загрузки компьютера. В
этой статье описывается каждый из этих методов.
Графическую схему вариантов развертывания см. в разделе Варианты развертывания для
Microsoft Office 2010 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=168621&clcid=0x419), который содержит диаграммы,
описания, список преимуществ, ограничений, рекомендаций и средств.
Параметры размещения
Определение оптимальных вариантов развертывания в организации.
Общая сетевая папка
Простым способом развертывания Office 2010 является создание сетевой точки установки и
копирование содержимого компакт-диска Microsoft Office в сетевую папку. Убедитесь в том, что
сетевая папка доступна для целевых ресурсов: пользователей или компьютеров.
Скрипты запуска групповой политики
Администраторы могут использовать групповую политику для назначения скриптов загрузки для
развертывания Office 2010. Скрипт может быть написан на любом языке, который
61
поддерживается клиентским компьютером. Чаще всего используются языки, которые
поддерживает сервер скриптов Windows (например, VBScript и Jscript, а также файлы команд).
Управляемое развертывание
Администраторы могут использовать программное обеспечение для изменения и настройки при
развертывании приложений Office 2010 (например, Microsoft System Center Essentials и Microsoft
System Center Configuration Manager). Выбор между System Center Essentials или Configuration
Manager частично зависит от размера организации.
Виртуализация приложений
Администраторы могут использовать технологию виртуализации приложений Microsoft
Application Virtualization (App-V) при развертывании, чтобы позволить пользователям запускать
приложения Office 2010 на настольных компьютерах. Технология виртуализации приложений
Microsoft Application Virtualization при необходимости передает приложения на настольный
компьютер, с которого они запускаются. При этом установка приложения на компьютере не
производится.
Виртуализация представления
Администраторы могут использовать при развертывании службы терминалов Windows Server
2008 для управления приложениями Office 2010 с рабочих станций. Службы терминалов
запускаются на совместно используемом сервере и представляют пользовательский интерфейс
приложения на удаленной системе (например, на локальной рабочей станции). Технология
виртуализации приложений Microsoft Application Virtualization для служб терминалов
обеспечивает оптимизацию приложения Office 2010 путем последовательного выполнения
виртуализации приложений, а затем использует службы терминалов для их доставки в качестве
виртуализации представления.
62
Планирование конфигураций настольных
компьютеров для Office 2010
В этом разделе приведены сведения и указания о важных аспектах развертывания Microsoft
Office 2010.
Содержание
Статья
Описание
Планирование для OneNote 2010
Планирование развертывания Microsoft
OneNote 2010.
Планирование для Outlook 2010
Обзор важных особенностей развертывания
Microsoft Outlook 2010.
Планирование SharePoint Workspace 2010
Планирование развертывания Microsoft
SharePoint Workspace 2010.
Планирование настроек и параметров для Visio
2010
В данной статье описываются несколько из
доступных вариантов настройки в Microsoft
Visio 2010.
Планирование обеспечения безопасности для
Office 2010
Описание новых элементов управления
безопасности Office 2010, которые позволяют
создать мощную систему защиты от угроз без
снижения производительности пользователей.
Планирование групповой политики для Office
2010
Сведения об использовании групповой
политики при настройке и применении
параметров для приложений Office 2010.
Планирование многоязычного развертывания
Office 2010
Вопросы планирования развертывания
Office 2010 для нескольких языков.
Планирование виртуализации Office 2010
Общее описание виртуализации, способов
использования этой технологии в организации
и выбор лучших способов и видов
виртуализации для имеющейся среды.
Планирование служб удаленных рабочих
столов (служб терминалов)
Сведения о планировании развертывания
Office 2010 с помощью служб удаленных
рабочих столов (служб терминалов).
63
Статья
Описание
Планирование читаемости в Office 2010
Обзор Microsoft средства проверки
специальных возможностей Microsoft Office,
которое может сделать продукты Office 2010
более доступными для пользователей с
физическими недостатками.
64
Планирование для OneNote 2010
В этой статье описывается процесс планирования развертывания Microsoft OneNote 2010.
Содержание:

Общие сведения о планировании

Оценка требований организации

Обзор изменений в OneNote 2010

Проверка вопросов, связанных с переносом

Планирование обновлений OneNote

Планирование для OneNote Web App

Рекомендации по использованию приложения OneNote с продуктами SharePoint
Общие сведения о планировании
На следующем рисунке показаны этапы планирования развертывания OneNote 2010 в
организации.
65
Оценка требований организации
Процесс планирования обычно начинается с оценки текущей среды и определения требований
организации. Рекомендуется уделить внимание следующим вопросам:

Обеспечение соответствия компьютеров требованиям, предъявляемым к системе для
Microsoft Office 2010.

Необходимость обновления с более ранних версий продукта.

Вопросы переноса, в том числе используемые форматы файлов и перенос пользовательских
параметров данных.

Вопросы безопасности, в том числе необходимость запрета на совместное использование
документов через Интернет.

Требования для многоязычной поддержки.
Требования к системе для OneNote 2010
Сведения о требованиях к системе для OneNote 2010 приведены в разделе Microsoft OneNote
2010 статьи Системные требования для Office 2010.
Дополнительные сведения о средствах, обеспечивающих доступ к программному и аппаратному
обеспечению в среде, см. в статье Средства оценки для Office 2010.
Обновление до OneNote 2010
Если выполняется обновление с более ранней версии Microsoft OneNote, см. раздел
Планирование обновлений OneNote этой статьи, в котором приведены сведения о новом
формате файлов в OneNote 2010, а также рекомендации по выполнению обновления с версий
Microsoft Office OneNote 2007 и OneNote 2003.
Вопросы безопасности
Дополнительные сведения о планировании безопасности приложений Office 2010 в организации,
а также сведения о возможных угрозах и новых элементах управления безопасностью,
доступных в Office 2010, см. в следующих статьях: Обзор безопасности системы Office 2010,
Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office и Планирование
обеспечения безопасности для Office 2010.
Требования для многоязычной поддержки
Независимость архитектуры Office 2010 от языка значительно упрощает развертывание с
поддержкой нескольких языков. Продукт Office 2010, например Microsoft Office
профессиональный плюс 2010, состоит из не зависящего от языка основного пакета и одного или
нескольких языковых пакетов. Дополнительные сведения о развертывании приложений
Office 2010 на нескольких языках см. в статьях Планирование многоязычного развертывания
Office 2010 и Изменение языковых настроек и параметров в Office 2010.
66
Обзор изменений в OneNote 2010
В рамках планирования для OneNote 2010 следует ознакомиться с изменениями в текущем
выпуске. Описание новых, измененных и исключенных возможностей в OneNote 2010 см. в
статье Изменения в OneNote 2010.
Проверка вопросов, связанных с переносом
На следующем этапе процесса планирования необходимо рассмотреть вопросы, связанные с
переносом, для пользователей, которые выполняют перенос из предыдущих версий OneNote в
OneNote 2010. Дополнительные сведения о вопросах, которым следует уделить внимание, см. в
разделе Вопросы переноса статьи Изменения в OneNote 2010.
Планирование обновлений OneNote
В OneNote 2010 используется новый формат для сохранения файлов, отличающийся от
используемого в предыдущих версиях продукта. Этот формат используется в большинстве
новых компонентов OneNote 2010 (например, математические формулы, управление версиями,
ведение связанных заметок и многоуровневые вложенные страницы). Благодаря новому
формату файлов обеспечивается совместный доступ к записным книжкам через Интернет, что
позволяет просматривать и изменять их с помощью веб-браузера. По умолчанию записные
книжки OneNote 2010 создаются и сохраняются в новом формате.
В следующих разделах приведены сведения о выполнении обновления с предыдущих версий
продукта.
Обновление с OneNote 2007
В OneNote 2010 поддерживается просмотр, открытие и изменение записных книжек,
сохраненных в формате Microsoft Office OneNote 2007. При необходимости можно преобразовать
записные книжки Office OneNote 2007 в формат OneNote 2010 и обратно в формат Office
OneNote 2007.
По умолчанию существующие записные книжки Office OneNote 2007 не преобразуются
автоматически при обновлении с Office OneNote 2007 до OneNote 2010. Обратите внимание, что
в Office OneNote 2007 не поддерживается открытие записных книжек, сохраненных в формате
OneNote 2010.
В связи с этим рекомендуется определить необходимость совместного использования записных
книжек с пользователями Office OneNote 2007. По этому вопросу предлагаются следующие
рекомендации:

Если планируется совместное использование записных книжек с пользователями Office
OneNote 2007, у которых не установлено приложение OneNote 2010, рекомендуется не
выполнять обновление этих записных книжек.
67

Если совместное использование записных книжек с пользователями предыдущих версий
OneNote не планируется, рекомендуется преобразовать существующие записные книжки в
формат OneNote 2010. Это позволит использовать все новые возможности продукта.
При открытии записной книжки Office OneNote 2007 в заголовке окна приложения отображается
сообщение "[Режим совместимости]", которое свидетельствует о том, что файл имеет формат
Office OneNote 2007.
Чтобы изменить формат записной книжки, щелкните правой кнопкой мыши записную книжку в
панели навигации и выберите пункт Свойства. В диалоговом окне Свойства записной книжки
можно изменить формат с Office OneNote 2007 на OneNote 2010, а также преобразовать
записную книжку обратно в формат Office OneNote 2007.
Обновление с OneNote 2003
В OneNote 2010 и Office OneNote 2007 записные книжки OneNote 2003 поддерживаются в режиме
только для чтения. Это означает, что изменение файлов в формате OneNote 2003 в
приложениях OneNote 2010 и Office OneNote 2007 не поддерживается.
Для дальнейшей работы с заметками OneNote 2003 после обновления с OneNote 2003 до
OneNote 2010 необходимо обновить записную книжку до формата OneNote 2010 или Office
OneNote 2007. Для этого откройте записную книжку в OneNote 2010 и щелкните панель
информации, которая отображается в верхней части на каждой странице записной книжки
OneNote 2003.
Восстановление исходного формата записных книжек OneNote 2003, преобразованных в формат
OneNote 2010 или Office OneNote 2007, невозможно. В связи с этим перед преобразованием
файлов в более новый формат рекомендуется сохранить резервные копии записных книжек.
Планирование для OneNote Web App
Microsoft OneNote Web App — дополнительный интерактивный компонент для OneNote 2010,
который обеспечивает доступ к записным книжкам OneNote, а также их изменение и совместное
использование практически из любого места. С помощью OneNote Web App обеспечивается
возможность работы с записными книжками и их изменения с помощью веб-браузера даже с тех
компьютеров, на которых не установлена полная версия приложения OneNote. Пользователи
могут просматривать и совместно использовать документы, а также работать с ними вместе с
другими пользователями с помощью персонального компьютера, мобильного телефона или веббраузера.
Microsoft Office Web Apps доступны пользователям через Windows Live, а деловые клиенты могут
получить к ним доступ при использовании корпоративной лицензии Office 2010 и решений для
управления документами на основе Microsoft SharePoint 2010. Деловые клиенты могут запускать
Office Web Apps, установленные на сервере, на котором запущены Microsoft SharePoint Server
2010 или Microsoft SharePoint Foundation 2010. В среде предприятия выполнение Office Web Apps
68
на серверах, на которых запущены SharePoint 2010, обеспечивает более эффективное
администрирование данных организации.
В этом разделе описываются требования к системе, а также приводятся ссылки на ресурсы,
посвященные загрузке, развертыванию и использованию Microsoft Office Web Apps.
Рекомендуется ознакомиться со следующими статьями о развертывании Office Web Apps при
планировании развертывания OneNote Web App в среде: Общие сведения об Office Web Apps
(установка в продуктах SharePoint 2010)
(http://go.microsoft.com/fwlink/?linkid=185473&clcid=0x419)Планирование Office Web Apps
(установка в продуктах SharePoint 2010) (http://go.microsoft.com/fwlink/?linkid=185475&clcid=0x419)
и Развертывание Office Web Apps (установка в продуктах SharePoint 2010)
(http://go.microsoft.com/fwlink/?linkid=185483&clcid=0x419).
Содержание:

Требования к системе для Office Web Apps

Ресурсы, посвященные развертыванию и использованию Office Web Apps
Требования к системе для Office Web Apps
В следующей таблице приведены требования к системе для Office Web Apps.
Требования к системе
Подробности
Поддерживаемые операционные системы
Windows Server 2008
Windows Server 2008 R2 и Windows Server 2008
с пакетом обновления 2 (SP2)
Аппаратное обеспечение
Процессор: 64-разрядный двухъядерный
процессор с тактовой частотой 3 ГГц
Оперативная память: 4 ГБ для изолированной
установки; 8 ГБ для установки в ферме
Жесткий диск: 80 ГБ
Программное обеспечение
SharePoint Foundation 2010
-илиSharePoint Server 2010
Поддержка браузера
Internet Explorer 7.0 или более поздней версии
для Windows
Safari 4.0 или более поздней версии для Mac
Firefox 3.5 или более поздней версии для
Windows, Mac и Linux
69
Ресурсы, посвященные развертыванию и использованию Office
Web Apps
В следующей таблице перечислены ресурсы, на которых представлены загружаемые материалы
и документация, посвященные планированию, развертыванию и использованию Office Web Apps
и OneNote Web App в организации.
Ресурс
Описание
Microsoft Office Web Apps (бета-версия)
Загружаемые материалы для Office
(http://go.microsoft.com/fwlink/?linkid=183997&clcid=0x419) Web Apps.
Общие сведения об Office Web Apps (установка в
Общие сведения о локальном
продуктах SharePoint 2010)
решении Office Web Apps и его
(http://go.microsoft.com/fwlink/?linkid=185473&clcid=0x419) преимуществах для пользователей
организации.
Планирование Office Web Apps (установка в продуктах
Сведения о планировании локального
SharePoint 2010)
решения Office Web Apps в
(http://go.microsoft.com/fwlink/?linkid=185475&clcid=0x419) организации.
Развертывание Office Web Apps (установка в продуктах Сведения о развертывании локального
SharePoint 2010)
решения Office Web Apps в
(http://go.microsoft.com/fwlink/?linkid=185483&clcid=0x419) организации.
Управление Office Web Apps (установка в продуктах
Сведения об управлении локальным
SharePoint 2010)
решением Office Web Apps в
(http://go.microsoft.com/fwlink/?linkid=185498&clcid=0x419) организации.
Рекомендации по использованию приложения
OneNote с продуктами SharePoint
В этом разделе описываются основные вопросы, которым следует уделить внимание при
использовании приложения OneNote 2010 с SharePoint 2010.
Отключение параметра "Требовать извлечения"
При совместном редактировании несколько пользователей могут совместно работать с одним
документом в любое время, не мешая другим пользователям и не блокируя их изменения. При
настройке совместного редактирования и управлении этим процессом необходимо уделять
внимание следующим вопросам:
Извлечь При извлечении пользователем документа из библиотеки SharePoint Server 2010 для
изменения с помощью этого параметра документ блокируется и доступен для изменения
70
только этому пользователю, что не позволяет использовать функции совместного
редактирования. В библиотеках документов, для которых планируется использовать
совместное редактирование, следует снять флажок Требовать извлечения. По умолчанию
флажок Требовать извлечения снят в SharePoint Server 2010. При совместном
редактировании пользователи не должны извлекать документы вручную.
Управление версиями
В отличие от Microsoft Word 2010 и Microsoft PowerPoint 2010, в OneNote 2010 сведения о версии
хранятся в самом файле OneNote. В связи с этим администраторам рекомендуется
придерживаться следующих принципов хранения записных книжек OneNote в библиотеке
документов SharePoint Server 2010:

Не включайте управление дополнительными версиями. Этот параметр используется в
SharePoint Server 2010 по умолчанию.

Если включено управление основными версиями, рекомендуется задать разумно
обоснованное максимальное число версий для хранения. Для каждой основной версии,
создаваемой в SharePoint, сохраняется полный журнал версий, что может привести к
неэффективному использованию места в хранилище. Если требуется включить управление
основными версиями, рекомендуется включить параметр Хранить следующее число
основных версий. Это позволит предотвратить создание неограниченного числа версий в
результате длительного изменения файла и, таким образом, не допустить превышения
квоты хранилища сайта. По умолчанию в SharePoint Server 2010 управление основными
версиями не включено.
Дополнительные сведения о планировании управления версиями и извлечением документов см.
в статье Планирование управления версиями, утверждения контента и извлечения (SharePoint
Server 2010) (http://go.microsoft.com/fwlink/?linkid=186210&clcid=0x419).
Смешанные среды с Microsoft Office OneNote 2007
Приложение OneNote 2010 совместимо с форматом файлов Office OneNote 2007 и поддерживает
функции совместного редактирования с пользователями Office OneNote 2007. В смешанных
средах записные книжки необходимо сохранять в формате Office OneNote 2007, что позволит
пользователям Office OneNote 2007 и OneNote 2010 совместно работать с такими записными
книжками. Обновление до формата OneNote 2010 дает пользователям возможность
использовать новые функции, в том числе совместимость с OneNote Web App, что позволяет
пользователям, у которых не установлена полная версия OneNote, изменять и совместно
редактировать записные книжки.
OneNote 2010 поддерживает обновление файлов Office OneNote 2007 до формата OneNote 2010
в любое время, что позволяет значительно повысить эффективность обновления в
организациях, в которых осуществляется переход от смешанной к единой среде в Office 2010.
71
См. также
Изменения в OneNote 2010
Изменения в Office 2010
Развертывание Office Web Apps (установка в продуктах SharePoint 2010)
Блог справки по Microsoft OneNote 2010 (бета-версия) (Возможно, на английском языке)
72
Планирование для Outlook 2010
Среда обмена сообщениями организации позволяет сформировать развертывание Microsoft
Outlook 2010. В этом разделе приведены сведения о планировании развертывания Outlook 2010,
а также о факторах, которые следует учитывать при обновлении, при первой установке
приложения, при планировании среды мобильных или удаленных пользователей, момента
установки и системы безопасности.
Содержание
Статья
Описание
Обзор планирования для Outlook 2010
Обзор процесса планирования и описание
важных аспектов планирования развертывания
Outlook 2010.
Определение времени установки Outlook 2010
Описание требований, преимуществ и
недостатков различных стратегий
развертывания Outlook 2010.
Планирование развертывания режима
кэширования данных Exchange в Outlook 2010
Сведения, которые необходимо учитывать при
планировании развертывания Outlook 2010 в
режиме кэширования Exchange.
Планирование автоматической настройки
учетных записей пользователей в Outlook 2010
В этой статье описываются два механизма
обнаружения для автоматической настройки
учетных записей пользователей в Outlook 2010:
автоматическое обнаружение и обнаружение
стандартных параметров.
Планирование обеспечения безопасности и
защиты в Outlook 2010
Описание компонентов Outlook 2010, которые
обеспечивают безопасность обмена
электронной почтой на предприятии.
73
Обзор планирования для Outlook 2010
Тщательный анализ требований организации к службам обмена сообщениями поможет
спланировать оптимальное развертывание Microsoft Outlook 2010. В этой статье представлены
сведения, которые необходимо учитывать при развертывании Outlook 2010.
Содержание:

Определение потребностей организации

Выбор времени и способа установки Outlook

Вопросы безопасности и конфиденциальности

Обновление более ранней версии Outlook

Дополнительные вопросы, решаемые во время планирования обновления

Обновление других программ почты и планирования
Определение потребностей организации
Среда обмена сообщениями организации позволяет сформировать развертывание Outlook 2010.
На этом этапе следует проанализировать, выполняется ли обновление Outlook, устанавливается
ли приложение впервые, планируются ли мобильные или удаленные пользователи или
выбирается сочетание этих и других факторов.
Обновление или первая установка
При обновлении до Outlook 2010 с более ранней версии Microsoft Outlook решите, следует ли
переносить предыдущие параметры, изменять профили пользователей и использовать новые
параметры настройки. Центр развертывания Office позволяет переносить текущие параметры
пользователей и выполнять другие настройки, такие как определение новых серверов Microsoft
Exchange и настройка новых возможностей. Параметры пользователя, кроме параметров
безопасности, по умолчанию переносятся автоматически.
При первом развертывании Outlook на клиентских компьютерах для каждого пользователя
необходимо создать профиль Outlook, где хранятся сведения о подключениях к серверу обмена
сообщениями электронной почты и другие важные параметры Outlook. Для определения
параметров профиля для пользователей используйте центр развертывания Office или
разверните PRF-файл профиля Outlook.
Перенос данных
Если в организации используется другой почтовый клиент, может потребоваться перенести
данные из этого клиента в Outlook 2010. Для этого можно использовать средства импорта,
предоставленные в Outlook (например, для Eudora Light). Средства импорта не могут
74
выполняться автоматически. Их используют для переноса данных индивидуально для каждого
пользователя.
Удаленные и мобильные пользователи
Можно настроить параметры Outlook для оптимизация работы удаленных и мобильных
пользователей, а также для настройки Outlook для многих пользователей одного компьютера.
Для удаленных пользователей можно настроить такие возможности, как мобильный Outlook
(известный как RPC через HTTP в предыдущих версиях Outlook) и режим кэширования Exchange
для удаленных пользователей. Эти возможности повышают эффективность работы
пользователей, когда Outlook используется через медленные и менее надежные подключения.
При использовании мобильного Outlook можно настроить подключения, позволяющие
пользователям более безопасно подключаться к серверам Exchange организации через
Интернет (HTTP), не используя при этом подключения к виртуальной частной сети. Режим
кэширования Exchange — это возможность Outlook, введенная в Office Outlook 2003,
позволяющая создавать локальную копию почтовых ящиков пользователей. Режим кэширования
Exchange рекомендуется для всех конфигураций и особенно полезен удаленным пользователям.
Эта возможность позволяет пользователям получить более надежный доступ к данным Outlook
независимо от того, подключены ли они к сети или нет.
Если на одном и том же компьютере работают несколько человек, используйте возможность
входа в систему Windows в операционной системе на компьютере, чтобы управлять проверкой
при входе в систему. Если не выполняется развертывание с виртуализацией приложений,
пользователи должны применять одну версию Outlook, так как только одну версию Outlook
можно установить на один компьютер. Дополнительные сведения о настройке работы
нескольких пользователей Outlook на одном компьютере см. в статье Использование Outlook на
компьютере, за которым работают несколько человек
(http://go.microsoft.com/fwlink/?linkid=100528&clcid=0x419).
Требования к нескольким языкам
Microsoft Office 2010 обеспечивает обширную поддержку развертывания международных и
многоязычных сред. Как и система Microsoft Office 2007, Office 2010 состоит из основного
продукта, не зависящего от языка, и одного или нескольких языковых пакетов. Кроме средств
проверки правописания, включенных в каждую языковую версию, можно загрузить и развернуть
средства проверки правописания для других языков, что позволит многоязычным группам
пользователей работать с файлами, созданными на разных языках, и изменять их.
Outlook 2010 поддерживает Юникод в пределах всего продукта, что позволяет многоязычным
организациям организовать беспрепятственный обмен сообщениями и другими данными в
многоязычной среде.
75
Клиентская платформа и платформа сервера обмена
сообщениями
Для некоторых возможностей Outlook 2010 (например, режим кэширования данных Exchange)
Microsoft Exchange Server используется как платформа обмена сообщениями. Хотя Outlook 2010
нормально работает с предыдущими версиями Exchange, для некоторых возможностей Outlook
2010 необходимы определенные версии Exchange. Из-за этого и общей интеграции с Exchange в
приложении Outlook 2010 рекомендуется использовать Outlook 2010 с последней версией
Exchange.
Решения о развертывании Outlook 2010 зависят от используемой версии Exchange Server. Если
Exchange Server используется как сервер обмена сообщениями и обновление до Exchange 2003
или более поздней версии не выполнялось, следует обновить Exchange Server при
развертывании Outlook 2010. Exchange Server 2003 — это самая ранняя версия Exchange Server,
которую можно использовать с Outlook 2010.
Выбор времени и способа установки Outlook
При установке Outlook 2010 можно выбрать время и способ ее выполнения. Например, решите,
будет ли для организации лучше выполнить следующие действия.

Установить или обновить Outlook для разных групп пользователей поэтапно или
одновременно.

Установить Outlook как автономное приложение.

Установить Outlook перед установкой Office 2010, во время установки или после нее.
В каждой организации используются разные среды, и выбор времени обновления Outlook 2010
будет различным. Например, в организации может быть группа по обмену сообщениями,
отвечающая за обновление Outlook, и отдельная группа, планирующая развертывание других
приложений Microsoft Office. В этом случае, наверное, проще всего обновить Outlook отдельно от
других приложений Office, а не пытаться скоординировать развертывание, выполняемое двумя
группами.
Учтите, что приложение Outlook 2010 не может существовать одновременно с предыдущими
версиями Outlook на одном компьютере. Чтобы использовать предыдущие версии, не
устанавливайте Outlook 2010 и не выполняйте развертывание Outlook 2010 с виртуализацией
приложений. Дополнительные сведения см. в разделе Определение времени установки Outlook
2010.
Настройка параметров и профилей Outlook
Существуют два способа настройки установки Outlook для обработки параметров и профилей
пользователей Outlook.

Указывать параметры пользователя Outlook в центре развертывания Office.
76

Указывать параметры управления новыми и существующими профилями Outlook в центре
развертывания Office или использовать PRF-файл профилей Outlook.
Например, можно разрешить пользователям Outlook переносить свои текущие профили и
настройки, а для новых пользователей Outlook создаются настройки и профили по умолчанию.
Можно также изменять существующие профили и создавать новые профили по умолчанию для
новых пользователей Outlook. Если развертывание Outlook 2010 выполняется с развертыванием
Microsoft Exchange Server 2010, в профиль можно добавить несколько учетных записей Exchange
с помощью центра развертывания Office или PRF-файла.
При настройке Outlook с использованием центра развертывания Office выбранные параметры
установки сохраняются в файле настройки, применяемом во время процедуры установки.
Впоследствии можно обновить параметры и сведения профилей, открыв этот файл в центре
развертывания Office и сохранив его новую копию.
Дополнительные сведения о настройке профилей Outlook см. в статье Office Customization Tool
in Office 2010 (на английском языке).
Важно
 Это известная проблема, при которой в профиль Outlook добавляется лишняя учетная
запись Exchange, когда пользователь, в профиле которого уже есть учетная запись
Exchange, выполняет обновление с Outlook 2003 или Outlook 2007. Эта проблема может
возникнуть при обновлении Outlook и применении настроек с помощью
пользовательского файла центра развертывания Office (MSP-файла) или PRF-файла,
для которого заданы параметры "Изменить профиль" и "Определить изменения
существующего профиля по умолчанию".

Чтобы при обновлении до Outlook 2010 в одном профиле не создавалось несколько
учетных записей Exchange, создайте PRF-файл и задайте свойства BackupProfile=False и
UniqueService=Yes. Инструкции см. в статье После обновления с предыдущей версии
Office с помощью настраиваемого MSP-файла в уже существующих профилях Outlook
2010 создается несколько учетных записей Exchange (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=199704&clcid=0x419) (Возможно, на английском
языке).
Настройка подписки и других функций общего доступа
Как и Office Outlook 2007, Outlook 2010 содержит возможности, позволяющие легко подписаться
на новые источники контента и использовать возможности совместно с пользователями внутри и
вне организации. К источникам контента относятся контакты, задачи и календари Microsoft
SharePoint Foundation 2010 и SharePoint Foundation 2010, а также локальные и интернеткалендари (iCals).
Технология RSS (Really Simple Syndication) — это еще одна возможность совместной работы,
позволяющая пользователям подписываться на внутренние или интернет-источники сводного
контента (XML-файлы), чтобы устранить необходимость проверки сайтов на наличие новых
сведений. Можно развернуть для пользователей определенные RSS-каналы или календарные
77
подписки, настроить параметры, чтобы определять, каким образом пользователи могут получить
общий доступ к этим подписками или контенту, указать, с какой частотой серверы обновляют
копии данных пользователей и т. д.
Использование Outlook со службой терминалов
Службы терминалов в Windows Server позволяют установить одну копию Outlook 2010 на
компьютере со службами терминалов. Вместо запуска Outlook на локальных компьютерах
несколько пользователей подключаются к серверу и запускают Outlook с него.
Для получения оптимальных результатов при использовании Outlook со службами терминалов
следует уделить внимание настройке конфигурации Outlook. Например, в Outlook 2010 можно
настроить режим кэширования данных Exchange Mode и службы терминалов. Однако
необходимо предоставить достаточно места на диске для размещения всех почтовых ящиков
пользователей на компьютере со службами терминалов. Обратите внимание, что Outlook может
оказаться частью окружения, включающего другие приложения, поддерживаемые на том же
самом компьютере со службами терминалов.
Зависимости объектов данных совместной работы
Объекты данных совместной работы (CDO) не поддерживаются в Outlook 2010. Хотя некоторые
решения, зависящие от CDO 1.2.1, могут работать, объекты CDO 1.2.1 не предназначены для
работы с несколькими учетными записями Exchange, поэтому возможны непредсказуемые
результаты. Для решений Outlook используйте объектную модель Outlook, а не CDO 1.2.1.
Автоархивация
Размер почтовых ящиков Outlook растут по мере того, как пользователи создают и принимают
элементы. Для сохранения управляемости ящиков пользователям нужно другое место
сохранения или архивации более старых элементов, которые хотя и важны, но используются
редко. Обычно их удобнее всего автоматически перемещать в папки архива и удалять элементы,
чье содержимое устарело и потеряло значение. Автоархивация Outlook 2010 может управлять
этим процессом автоматически. Однако рекомендуется использовать личный архив в системе
управления записями сообщений Microsoft Exchange Server 2010, так как при этом устраняется
необходимость в файлах личных папок (PST). При использовании личного архива в Exchange
Server 2010 архивные папки электронной почты хранятся в Интернете и пользователи могут
получать к ним доступ с помощью Microsoft Outlook Web App или с дополнительного компьютера
с помощью Outlook 2010. Используя эти клиентские приложения, пользователи могут
просматривать архивный почтовый ящик и перемещать или копировать сообщения из основных
ящиков в архивные и наоборот. Если планируется развертывание Outlook 2010 с Exchange
Server 2010, следует рассмотреть использование личного архива Exchange Server 2010 вместо
автоархивации Outlook 2010. Дополнительные сведения см. в разделе Общие сведения о
функции личного архива: справка Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=169269&clcid=0x419).
78
Если автоархивация будет использоваться в Outlook 2010, можно задать параметры для ее
настройки в Outlook 2010, используя шаблон групповой политики Outlook (Outlk14.adm). Вместо
этого можно выбрать параметры по умолчанию с помощью центра развертывания Office (OCT).
В этом случае пользователи смогут менять настройки.
Файлы данных Outlook (PST)
Если планируется развертывание Outlook 2010 c Exchange Server 2010, рекомендуется
использовать функцию личного архива в системе управления записями сообщений Exchange
Server 2010, так как при этом устраняется необходимость в файлах данных Outlook (PST). При
использовании личного архива в Exchange Server 2010 архив электронной почты хранится в
Интернете и пользователи могут получать к ним доступ с помощью Microsoft Outlook Web App
или с дополнительного компьютера с помощью Outlook 2010. Используя эти клиентские
приложения, пользователи могут просматривать архивный почтовый ящик и перемещать или
копировать сообщения из основных ящиков в архивные и наоборот. Дополнительные сведения
см. в разделе, содержащем общие сведения о личных архивах в справке Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=169269&clcid=0x419).
Если планируется развертывание Outlook 2010 с Exchange Server 2003 или Exchange Server
2007, можно настроить хранение PST-файлов локально (рекомендуется) или в сетевой папке.
Настраивайте хранение PST-файлов в сетевой папке, только если сеть обладает высокой
пропускной способностью и надежностью. Если PST-файлы пользователя хранятся в сетевой
папке и пользователь теряет подключение к сети, взаимодействие Outlook с пользователем
может ухудшиться и несохраненные изменения могут быть потеряны.
Политики хранения
Настройки хранения могут помочь пользователям следовать правилам политики хранения,
которые компания установила для документов. С помощью Outlook 2010 нельзя развертывать
параметры хранения, связанные с функцией автоархивации, через Outlook 2010 с применением
групповой политики. Если требуется выполнить развертывание политик хранения, рассмотрите
возможности системы управления записями сообщений в Exchange Server 2010.
Дополнительные сведения см. в разделе, посвященном системе управления записями
сообщений в справке Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=169263&clcid=0x419).
Вопросы безопасности и конфиденциальности
В Outlook включено множество возможностей для обеспечения безопасности и
конфиденциальности.
Центр управления безопасностью для Office
Центр управления безопасностью, представленный в Office 2007, предоставляет единое
местоположение параметров обеспечения безопасности и конфиденциальности.
79
Использовавшиеся в предыдущих версиях Office очень высокий, высокий, средний и низкий
уровни безопасности заменены на более рациональную систему.
Ограничение вирусов и нежелательной почты для
пользователей
Outlook 2010 содержит возможности, созданные для ограничения распространения вирусов и
получения нежелательных почтовых сообщений.
Как и в Office Outlook 2007, в Outlook 2010 можно настроить защиту от вирусов и другие
параметры обеспечения безопасности в групповой политике для удовлетворения потребностей
организации. Для настройки этих параметров можно также использовать шаблон безопасности
Outlook, как это было в более ранних выпусках Outlook. Используя любой из методов настройки,
можно, например, изменить список типов файлов, блокируемых в сообщениях электронной
почты.
Обновлена защита объектной модели, предотвращающая доступ вирусов к адресной книге
Outlook с целью своего распространения. Outlook проверяет наличие последних антивирусных
программ, чтобы определить, когда необходимо отображать предупреждение о доступе к
адресной книге, а также других предупреждений системы безопасности Outlook.
В Outlook 2010 есть несколько возможностей, позволяющих пользователям избегать получения
нежелательной почты. В состав Outlook 2010 входит фильтр нежелательной почты для
пользователей, заменяющий правила, использовавшиеся для фильтрации почты в предыдущих
версиях Outlook. Сообщения, перехваченные фильтром, помещаются в папку нежелательной
почты, где их впоследствии можно просмотреть или удалить. В Outlook 2010 входит новая
функция добавления штемпеля, представленная в Office Outlook 2007 и помогающая фильтру
нежелательной почты определять допустимые сообщения электронной почты.
Отправители нежелательной почты могут добавлять веб-маяк к сообщениям электронной почты
в формате HTML, содержащий внешнее содержимое, такое как изображения. Когда
пользователи открывают или просматривают письмо, веб-маяки проверяют, является ли адрес
допустимым. Это повышает вероятность того, что пользователи будут получать еще больше
нежелательной почты. Блокируя автоматическую загрузку рисунков с внешних серверов по
умолчанию, Outlook 2010 снижает вероятность того, что пользователи в будущем станут
получать нежелательные почтовые сообщения.
Outlook 2010 обеспечивает защиту в ситуациях, вызванных получением фишинговых сообщений
электронной почты и ложными именами доменов. По умолчанию Outlook отслеживает
фишинговые сообщения электронной почты, которые кажутся нормальными, но созданы для
получения персональных данных, таких как номер банковского номера пользователя или пароль.
Outlook также позволяет избежать получения сообщений электронной почты от ложных
пользователей, предупреждая о подозрительных именах доменов в адресах электронной почты.
Outlook 2010 поддерживает стандарт "Отображение имен доменов на разных языках" (IDN) для
адресов электронной почты, что позволяет регистрировать и использовать доменные имена не
на английском языке, а на родном. Поддержка стандарта IDN позволяет злоумышленникам
80
инициировать омографические атаки: при такой атаке создается похоже выглядящее имя
домена с использованием букв алфавита другого языка, а не только английского, с целью ввести
пользователей в заблуждение и создать впечатление, что они переходят на разрешенный вебсайт.
Дополнительные сведения о планировании параметров безопасности и конфиденциальности
Outlook 2010 см. в разделе Планирование обеспечения безопасности и защиты в Outlook 2010.
Настройка возможностей шифрования
Outlook предоставляет возможности шифрования для передачи и получения сообщений
электронной почты с повышенным уровнем безопасности через Интернет или локальную
интрасеть. Можно настроить эти возможности при развертывании Outlook 2010 для задания
параметров и указать параметры шифрования, соответствующие потребностям организации.
Можно также реализовать дополнительные возможности для дальнейшего повышения
безопасности сообщений электронной почты. Например, можно предоставить метки
безопасности, соответствующие политике обеспечения безопасности в организации. В качестве
метки безопасности для сообщений, которые нельзя посылать или пересылать за пределы
компании, можно реализовать метку "Только для внутреннего использования".
Ограничение разрешений на сообщения электронной почты
Служба управления правами на доступ к данным (IRM) позволяет пользователям предотвратить
пересылку, изменение или копирование конфиденциальных сообщений электронной почты и
другого содержимого Office 2007 (например, документов и таблиц) неавторизированными
пользователями. В Outlook 2010 пользователи могут использовать службу управления правами
на доступ к данным, чтобы пометить сообщения электронной почты как сообщения "Не для
пересылки", что автоматически ограничивает разрешения получателей на пересылку, печать и
копирование таких сообщений. Кроме того, можно определить настроенные политики
разрешений службы управления правами на доступ к данным для всей системы Office с учетом
потребностей организации, а затем развернуть новые политики разрешений, которые
пользователи будут использовать для сообщений электронной почты и других документов Office.
Outlook 2010 и протоколы и серверы электронной почты
Outlook 2010 можно использовать в сочетании с разнообразными серверами и службами
электронной почты. К основным серверам и службам, поддерживаемым Outlook, относятся
следующие.

Протокол SMTP

Протокол POP3

Протокол Internet Mail Access Protocol, версия 4 (IMAP4)

Интерфейс MAPI для Exchange Server (версия 2003 и более поздние)
81

Другие источники сообщений и данных, в том числе Hewlett-Packard OpenMail.
Использование этих дополнительных поставщиков услуг стало возможным, благодаря тому,
каким образом Outlook 2010 использует интерфейс расширяемости MAPI.
HTTP поддерживается при установке Outlook Connector.
Пользователи могут использовать Outlook 2010 без сервера электронной почты. Тогда
возможности "Контакты", "Задачи" и "Календарь" используются в автономной конфигурации.
Обновление более ранней версии Outlook
Можно установить Outlook 2010 поверх любой предыдущей версии Outlook. Как и в других
приложениях Office 2010, выполняется перенос хранимых в реестре пользовательских
параметров. Если на пользовательском компьютере уже существует профиль MAPI, обычно
можно настроить развертывание на использование этого профиля. Однако при обновлении
приложения Outlook 2000 или более ранней версии, установленного в режиме "Internet Mail Only"
(IMO), может возникнуть необходимость повторно создать профили пользователей.
Приложение Outlook 2010 не может существовать одновременно с предыдущими версиями
Outlook на одном компьютере. Если пользователям необходима предыдущая версия, не
устанавливайте Outlook 2010 и не развертывайте Outlook 2010 с виртуализацией приложений.
При обновлении ранних версий Outlook необходимо принять решение о настройках профилей
пользователей, а также учесть проблемы режима кэширования Exchange и изменения в области
факсов и форм.
Обзор изменений и сведения о переносе см. в статье Изменения в Outlook 2010.
Обновление с включенным режимом кэширования Exchange
Обновление пользователей до Outlook 2010 с режимом кэширования Exchange, уже включенным
в Office Outlook 2003 и Office Outlook 2007, выполняется очень просто. Если параметры режима
кэширования данных Exchange не были изменены, они будут сохранены и для Outlook 2010.
Поскольку отсутствуют изменения формата OST-файлов и файлов автономной адресной книги,
то нет необходимости повторно создавать эти файлы во время установки.
Однако если в организации используются OST-файлы данных Outlook в формате ANSI, могут
потребоваться дополнительные шаги при переносе файлов в Outlook 2010. Пользователи с
OST-файлами в формате ANSI и большие почтовые ящики Exchange могут вызвать ошибки,
когда Outlook попытается синхронизировать их почтовые ящики с OST-файлами. Рекомендуется
преобразовать OST-файлы пользователей в формат Юникод, так как при этом у файлов нет
ограничения размера до 2 гигабайт (ГБ), как у файлов Outlook в формате ANSI. Юникод
используется по умолчанию для Outlook 2010. Дополнительные сведения о преобразовании
существующих OST-файлов в формате ANSI в формат Юникод см. в разделе "Принудительное
преобразование OST-файлов в формате ANSI в формат Юникод" статьи Настройка режима
кэширования Exchange в Outlook 2010.
82
Дополнительные сведения о планировании режима кэширования Exchange см. в статье
Планирование развертывания режима кэширования данных Exchange в Outlook 2010.
Дополнительные вопросы, решаемые во время
планирования обновления
При подготовке к обновлению необходимо решить следующие дополнительные вопросы:

Следует ли выполнить обновление до Exchange Server 2010, чтобы воспользоваться новыми
возможностями, такими как встроенный архив электронной почты, централизованное
управление правами, поддержка нескольких учетных записей Exchange, подсказки,
предварительный просмотр голосовой почты и защищенная голосовая почта?
Дополнительные сведения о Exchange Server 2010 см. в статье Microsoft Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=163579&clcid=0x419).

Следует ли изменить профили пользователей Outlook при обновлении? Например, можно
назначить новый сервер Exchange или включить новые функции Outlook 2010.
Дополнительные сведения о настройке профилей Outlook см. в статье Office Customization
Tool in Office 2010 (на английском языке).

Каким образом следует создавать и хранить архив существующей установки? Перед
обновлением до любого нового выпуска рекомендуется создавать архив существующих
данных. Дополнительные сведения об архивации файлов Outlook см. в статье Резервное
копирование данных Outlook с помощью инструмента резервного копирования личных папок
Microsoft Outlook (http://go.microsoft.com/fwlink/?linkid=81366&clcid=0x419).

Как пользователи могут узнавать о новых компонентах и особенностях интерфейса
Office 2010? Дополнительные сведения см. на веб-сайте Office.com
(http://go.microsoft.com/fwlink/?linkid=169378&clcid=0x419).

Будут ли влиять отключенные или новые функции и измененные функциональные
возможности на выбор времени и методов обновления? Список отличий от предыдущих
версий Outlook см. в статье Изменения в Outlook 2010.
Обновление других программ почты и
планирования
Можно обновить другие программы почты и планирования до Outlook 2010. Процедура может
быть упрощена при помощи функции импорта в Outlook.
В следующей таблице указаны пути миграции, которые поддерживаются в Outlook 2010.
Программа
Версия
Outlook Express
4. x, 5. x, 6. x
83
Программа
Версия
Eudora Pro, Eudora Light
2. x, 3. x, 4. x, 5. x, 6. x, 7. x
Примечание.
Импортировать файлы Microsoft Mail в Outlook 2010 и нельзя передавать данные между
Outlook 2010 и Schedule Plus.
См. также
Office Customization Tool in Office 2010 (на английском языке)
Изменения в Outlook 2010
Планирование развертывания режима кэширования данных Exchange в Outlook 2010
84
Определение времени установки Outlook
2010
Microsoft Outlook 2010 можно установить перед установкой других приложений Microsoft Office
2010, во время установки или после нее. Можно также развернуть Outlook 2010 для различных
групп пользователей в разное время.
Учтите, что установка Outlook 2010 без Microsoft Word 2010 ограничивает функциональность
Outlook 2010 следующим образом. 1) У редактора электронной почты Outlook 2010 меньше
функций. 2) Факс через Интернет недоступен.
В этой статье описываются требования, преимущества и недостатки каждого метода установки.
Содержание:

Установка Outlook вместе с Office

Установка Outlook перед Office

Установка Outlook после Office

Поэтапное развертывание Outlook
Установка Outlook вместе с Office
Приложение Outlook 2010 можно установить как часть общего обновления до пакета Office 2010.
Outlook 2010 включен в большинство версий системы Microsoft Office.
Чтобы избежать дополнительных операций, связанных с отдельным развертыванием
приложения, установите Outlook 2010 с Office 2010.
Установка Outlook перед Office
Перечисленные ниже сценарии предусматривают установку приложения Outlook 2010 до
развертывания других приложений из пакета Office 2010:

Проверка пользовательских решений, опирающихся на предыдущие версии приложений
Office (например, Microsoft Office Word 2007 и Microsoft Office Excel 2007), перед установкой
текущей версии.

Группа поддержки системы сообщений имеет достаточные ресурсы для немедленной
установки приложения Outlook 2010, а группа поддержки приложений для настольных
компьютеров должна приступить к установке остального пакета Office позднее. Учтите, что
Outlook 2010 не может сосуществовать с предыдущими версиями Microsoft Outlook. Если
пользователям или каким-то средствам необходимо наличие предыдущей версии, не
устанавливайте Outlook 2010, пока среда не сможет поддерживать Outlook 2010, или
выполните развертывание Outlook 2010 с виртуализацией приложений.
85
Чтобы установить Outlook 2010 перед установкой Office 2010, выполните следующие действия.
1. Настройте программу установки Office так, чтобы выполнялась только установка приложения
Outlook 2010 из точки сетевой установки.
2. Воспользуйтесь центром развертывания Office для создания или обновления файла
параметров настройки установки, посредством которого устанавливается пакет Office 2010
из той же точки сетевой установки.
Дополнительные сведения о поэтапной установке приложений Office 2010 см. в статье
Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office
(http://go.microsoft.com/fwlink/?linkid=162650&clcid=0x419).
Преимущества установки Outlook перед Office
Если быстро развернуть Outlook 2010, пользователи смогут начать использование новых
функций, не дожидаясь пока тестирование и техническая поддержка будут готовы к полному
обновлению.
Недостатки установки Outlook перед Office
Установка приложения Outlook 2010 перед установкой остального пакета Office 2010 имеет
следующие недостатки.

Если другие приложения Office 2010 развертываются позднее, придется настраивать
процесс установки таким образом, чтобы сохранить первоначальные параметры приложения
Outlook 2010.

Функциональные возможности редактора Outlook 2010 ограничены, если одновременно не
было установлено приложение Word 2010.

Предварительный просмотр вложения в Outlook 2010 не применяется к файлам формата
Microsoft Office 2003 и более ранних версий.

При использовании одной и той же точки сетевой установки для приложения Outlook 2010 и
пакета Office 2010 приходится выполнять дополнительные операции по изменению
параметров установки.
Установка Outlook после Office
Можно отложить установку приложения Outlook 2010 до тех пор, пока не будет установлен пакет
Office 2010. Если какой-нибудь из следующих сценариев соответствует ситуации в организации
клиента, он может рассмотреть вопрос о целесообразности отложить развертывание
приложения Outlook 2010.

Планируется скоординировать развертывание Outlook 2010 с будущим обновлением
Microsoft Exchange Server.

Есть желание перейти от Lotus Notes к решению Exchange Server перед обновлением до
пакета Outlook 2010.
86

Группа поддержки настольных компьютеров имеет достаточные ресурсы для немедленного
обновления до пакета Office 2010, но группа поддержки системы сообщений еще не готова к
развертыванию приложения Outlook 2010.
Чтобы установить Outlook 2010 после установки Office 2010, выполните следующие действия.
1. Настройте программу установки Office так, чтобы выполнялась только установка приложения
Office 2010 без Outlook 2010 из точки сетевой установки.
2. Воспользуйтесь центром развертывания Office для создания или обновления файла
параметров настройки установки, посредством которого устанавливается пакет Outlook 2010
из той же точки сетевой установки.
Дополнительные сведения о поэтапной установке приложений Office 2010 см. в статье
Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office
(http://go.microsoft.com/fwlink/?linkid=162650&clcid=0x419).
Преимущества установки Outlook после Office
Для многих организаций имеет смысл скоординировать развертывание приложения Outlook 2010
с обновлением почтового сервера, а не с обновлением других приложений для настольных
компьютеров. Например, если планируется провести обновление до новой версии Exchange
Server, можно наметить сразу после этого обновление приложения Outlook 2010, независимо от
обновления других приложений Office 2010, чтобы воспользоваться преимуществами функций,
работающих совместно между сервером и клиентом электронной почты.
Недостатки установки Outlook после Office
Если пакет Office устанавливается без приложения Outlook 2010, следует использовать центр
развертывания Office для настройки программы установки. Это позволит гарантировать
сохранение предыдущих версий Outlook на компьютерах пользователей.
Вне зависимости от того, когда и как устанавливается приложение Outlook 2010 отдельно от
пакета Office 2010, необходимо выполнить дополнительные операции по управлению
настройками процесса установки.
Поэтапное развертывание Outlook
Некоторые группы в организации клиента могут быть готовы к немедленному обновлению
приложения Outlook 2010, тогда как другим группам может потребоваться больше времени.
Поэтапное развертывание Outlook 2010 может оказаться целесообразным в следующих
ситуациях.

Поэтапное обновление является обычной политикой организации, чтобы обеспечить
плавный переход всех служб на новое программное обеспечение.
87

В организации имеются удаленные группы системной поддержки (например, в региональных
офисах продаж), которым требуется определенная автономия в планировании обновлений
для своих регионов.

Некоторые группы хотели бы дождаться завершения текущего проекта, прежде чем вносить
изменения в программное обеспечение своих локальных компьютеров.

Ограниченные ресурсы организации диктуют необходимость поэтапного обновления систем.
Преимущества поэтапного развертывания
Поэтапное развертывание приложения Outlook 2010 придает больше гибкости в управлении
ресурсами обновления. Кроме того, первые пользователи немедленно знакомятся с новыми
функциями и средствами повышения производительности Outlook 2010.
В большинстве случаев не возникает серьезных технических проблем при работе пользователей
с различными версиями Outlook. Пользователи Outlook 2010 могут легко обмениваться
информацией с пользователями Office Outlook 2007 и Office Outlook 2003. Однако, если
пользователи применяют передачу прав доступа в Outlook, лицо, предоставляющее право
доступа, и лицо, пользующееся этим правом, должны работать с одной и той же версией
Outlook.
Недостатки поэтапного развертывания
Необходимо учитывать логистику планирования и управления поэтапным развертыванием.
Организации могут потребоваться дополнительные ресурсы для поддержки пользователей с
различными версиями одного и того же продукта; например, может понадобиться
дополнительное обучение персонала службы поддержки.
Дополнительные сведения о поэтапной установке приложений Office 2010 см. в статье
Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office
(http://go.microsoft.com/fwlink/?linkid=162650&clcid=0x419).
См. также
Обзор планирования для Outlook 2010
Поэтапное развертывание приложений в выпуске 2007 системы Microsoft Office
88
Определение компонентов, которые
требуется включить или настроить, в Outlook
2010
В этой статье приведен исходный список компонентов Microsoft Outlook, которые может
потребоваться настроить и развернуть с Microsoft Outlook 2010, например карточки контактов и
Outlook Social Connector. Сведения о параметрах безопасности и защиты см. в статье
Планирование обеспечения безопасности и защиты в Outlook 2010.
Настройку Outlook 2010 можно выполнить с помощью групповой политики или центра
развертывания Office. Для принудительного применения параметров используйте шаблон
групповой политики Outlook 2010 (Outlk14.adm), а для некоторых параметров, например для
параметров карточек контактов, шаблон групповой политики Microsoft Office 2010 (Office14.adm).

Сведения о загрузке административного шаблона Outlook 2010 и о других административных
шаблонах Office 2010 см. в статье Office 2010 Administrative Template files (ADM, ADMX,
ADML) and Office Customization Tool (на английском языке).

Дополнительные сведения о групповой политике см. в статьях Обзор групповой политики для
Office 2010 и Принудительное применение параметров с помощью групповой политики в
Office 2010.
Для настройки параметров по умолчанию при наличии такой возможности и достаточных прав
следует использовать центр развертывания Office. Параметры центра развертывания находятся
в соответствующих разделах параметров групповой политики на странице Изменение
параметров пользователя центра развертывания. Дополнительные сведения о центре
развертывания Office см. в статье Office Customization Tool in Office 2010 (на английском языке).
Для настройки с помощью групповой политики или центра развертывания Office доступны два
новых компонента: карточки контактов и Outlook Social Connector. Настройка компонентов
Outlook 2010 "Быстрые действия" и "Очистка" с помощью групповой политики или центра
развертывания не поддерживается. Настройка компонента "Почтовые подсказки"
осуществляется администратором исключительно с помощью Microsoft Exchange Server 2010.
Однако при необходимости пользователи могут настроить пользовательские параметры для
этих трех компонентов в Outlook 2010. Для доступа к параметрам пользователей для
компонентов "Очистка" и "Почтовые подсказки" на вкладке Файл выберите пункт Параметры и
затем элемент Почта. Для управления компонентом "Быстрые действия" в Outlook 2010 на
вкладке Главная в группе Быстрые действия щелкните расположенную в нижнем правом углу
кнопку развертывания.
Дополнительные сведения о настройке компонента "Почтовые подсказки" в Exchange Server
2010 см. в статьях Общие сведения о подсказках
(http://go.microsoft.com/fwlink/?linkid=181931&clcid=0x419) и Управление подсказками
(http://go.microsoft.com/fwlink/?linkid=181934&clcid=0x419).
89
Содержание:

Автоархивация

Карточки контактов

Представление беседы

Синхронизация с глобальным списком адресов

Интернет-календари

Мгновенный поиск

Область навигации

Outlook Social Connector

Папки поиска

Надстройка SharePoint Server "Коллега"
Автоархивация
Outlook 2010С помощью функции автоархивации можно настроить управление сообщениями
электронной почты в пользовательских почтовых ящиках. С помощью параметров архивации для
пользователей организации можно настроить, например, частоту выполнения автоархивации и
необходимость запроса пользователей на ее выполнение.
Если планируется развертывание Outlook 2010 с Exchange Server 2010, рассмотрите
возможность использования функции личного архива Exchange Server 2010 вместо функции
автоархивации Outlook 2010. Дополнительные сведения см. в статье Общие сведения о личных
архивах: справка Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=169269&clcid=0x419).
Сведения о планировании обеспечения соответствия и архивации см. в статье Планирование
обеспечения соответствия и архивации в Outlook 2010.
По умолчанию функция автоархивации включена и запускается автоматически, с
запланированными интервалами, удаляя старые или просроченные элементы из папок.
Старыми называются элементы, достигшие выбранного пользователем возраста архивации
(выбранное по умолчанию значение зависит от типа элемента Outlook). Просроченными
называются элементы сообщений и собраний, содержимое которых через определенное время
теряет актуальность. Например, это элемент сообщения, срок действия которого в соответствии
с настройкой истек два месяца назад, и который все еще находится в папке входящих.
Пользователи могут указать дату истечения срока действия элемента в Outlook 2010 при
создании или отправке элемента, или позже. Просроченный элемент становится недоступным и
отображается в списке папки в виде перечеркнутого значка.
После запуска автоархивации элементы удаляются или перемещаются в папку архива в
зависимости от выбранной настройки.
Файл архива — это файл данных Outlook (файл PST), который отображается с именем
Архивные папки в списке папок Outlook 2010. При первом запуске автоархивации в Outlook
2010 файл архива автоматически создается в следующем расположении:
90
%UserProfile%\AppData\Local\Microsoft\Outlook\Archive.pst
При необходимости можно заблокировать параметры настройки автоархивации с помощью
шаблона групповой политики Outlook (Outlk14.adm). Эти параметры располагаются в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Параметры Outlook\Другие\Автоархивация. Также можно настроить параметры по
умолчанию с помощью центра развертывания Office. В этом случае поддерживается изменение
параметров пользователями. Параметры центра развертывания Office можно найти в
соответствующих местах на странице Изменение параметров пользователя центра
развертывания Office.
Параметры автоархивации, которые можно выбрать в этом разделе, перечислены в следующей
таблице.
Параметр
Описание
Включить автоархивацию
Запуск автоархивации для пользователей с
частотой, которая определяется параметром
Автоархивация каждые <x> дн.
Автоархивация каждые <x> дн.
Ввод интервала автоархивации в днях.
Запрос перед автоархивацией
Отображение уведомлений для пользователей
о начале автоархивации.
Удалять просроченные элементы (только
почта)
Удаление просроченных сообщений
электронной почты вместо перемещения в
папку архива.
Архивировать или удалять старые элементы
Перемещение элементов Outlook в файлы
архивов или удаление элементов.
Показывать папку архива в списке папок
Отображение папки архива в
пользовательском списке папок Outlook.
Удалять элементы старше
Выбор времени хранения элементов до
момента архивации или удаления.
Удалять старые элементы навсегда
Удаление элементов без возможности
восстановления вместо перемещения в папку
удаленных элементов.
Карточки контактов
В Microsoft Office 2010 карточки контактов отображаются при удержании указателя мыши над
именем, например над именем отправителя сообщения электронной почты или именем автора в
91
документе Office 2010. При установке Office 2010 с Office Communicator 2007 R2 или Office
Communicator Server 2007 R2 в карточках контактов отображаются сведения о доступности
пользователя, что позволяет быстро начать беседу посредством функций обмена мгновенными
сообщениями, голосовой или видеосвязи. Если развернуть карточку контакта, можно
просмотреть вкладки Контакт, Организация и Участие в группе. Вкладка Контакт — это
представление по умолчанию, в котором отображаются сведения, в том числе подразделение,
место расположения офиса и номер рабочего телефона. На вкладке Организация отображается
руководитель контакта и контакты с общим руководителем. На вкладке Участие в группе
отображаются списки рассылки, участником которых является контакт.
В Office 2010 можно настраивать карточки контактов, отключая определенные компоненты и
задавая отображаемые значки присутствия. На вкладке Контакт карточки контакта можно
заменять названия и значения. Доступные для настройки параметры карточек контактов
описываются в следующих двух разделах. Обратите внимание, что существует известная
проблема, связанная с использованием параметров групповой политики и центра развертывания
Office для настройки вкладки Контакт, для которой существует обходное решение. Для
настройки вкладки Контакт необходимо вручную развернуть соответствующие разделы реестра.
См. статью, посвященную обходному решению для настройки вкладки "Контакт" карточки
контакта (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=184612&clcid=0x419) (Возможно, на английском языке).
Карточка контакта
В групповой политике параметры, приведенные в следующей таблице, располагаются в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Office 2010\Карточка
контакта. Параметры центра развертывания Office можно найти в соответствующих местах на
странице Изменение параметров пользователя центра развертывания Office.
Параметр
Описание
Настройка значков присутствия
Настройка параметров отображения значков
присутствия.
Показывать все Отображение значков
присутствия.
Показывать некоторые Отображение
значков присутствия только в карточке контакта
и в списках в Microsoft SharePoint 2010.
Не показывать Отключение значков
присутствия.
Отображать прежнее диалоговое окно
Отображение диалогового окна глобального
списка адресов вместо карточки контакта при
92
Параметр
Описание
глобального списка адресов
двойном щелчке контакта в Outlook.
Не отображать меню при наведении указателя
мыши
Отключение отображения меню при удержании
указателя мыши на значке присутствия или
отображаемом имени контакта.
Не показывать фотографию
Отключение отображения фотографии в
карточке контакта, заголовке сообщения
электронной почты, области чтения,
результатах быстрого поиска, диалоговом окне
глобального списка адресов и на вкладке
Файл.
Удалить вкладку "Участие в группе"
Удаление вкладки Участие в группе из
карточки контакта.
Удалить вкладку "Организация"
Удаление вкладки Организация из карточки
контакта.
Отключить возможность вызова мгновенных
сообщений
Удаление функции обмена мгновенными
сообщениями из карточки контакта и с ленты
Outlook.
Отключить возможность звонка по телефону
Удаление функции звонка по телефону из
карточки контакта и с ленты Outlook.
Отключить интеграцию оповещения о
присутствии
Отключение интеграции оповещения о
присутствии для приложений Office 2010.
Вкладка контакта
Существует известная проблема, связанная с использованием параметров групповой политики и
центра развертывания Office для настройки вкладки Контакт, для которой существует обходное
решение. Для настройки вкладки Контакт необходимо вручную развернуть соответствующие
разделы реестра. См. статью Обходное решение для настройки вкладки "Контакт" карточки
контакта (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=184612&clcid=0x419) (Возможно, на английском языке).
Следующие параметры вкладки Контакт в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Office 2010\Карточка контакта
групповой политики, а также в соответствующих местах на странице Изменение параметров
пользователей в центре развертывания Office будут полностью функциональны в более
позднем выпуске административных шаблонов.
93
Для настройки вкладки Контакт карточки контакта в Outlook 2010 воспользуйтесь параметрами
Заменить свойство MAPI. Чтобы настроить вкладку Контакт для других приложений
Office 2010, например Microsoft Word 2010, воспользуйтесь параметрами Заменить атрибут
Active Directory.
Дополнительные сведения об атрибутах Active Directory см. в статьях Наборы свойств в сервере
Exchange Server 2007 (http://go.microsoft.com/fwlink/?linkid=183812&clcid=0x419) и Атрибуты,
определяемые в Active Directory (Windows) (Возможно, на английском языке) (
http://go.microsoft.com/fwlink/?linkid=183814&clcid=0x419). Дополнительные сведения о свойствах
MAPI см. в статье Пользовательские свойства почты (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183815&clcid=0x419) (Возможно, на английском языке)
Параметр
Описание
Переместить строку календаря
Перемещение значения поля Календарь для
заданной строки в другое место в карточке
контакта с заменой размещающегося в новом
месте значения.
Переместить строку размещения
Перемещение значения поля Расположение
для заданной строки в другое место в карточке
контакта с заменой размещающегося в новом
месте значения.
Заменить подпись — должность
Ввод нового имени в поле Должность
(должность, отдел).
Заменить подпись — расположение
Ввод нового имени в поле Комната
(расположение комнаты).
Заменить подпись — рабочий телефон
Ввод нового имени в поле Рабочий (рабочий
телефон).
Заменить подпись — мобильный телефон
Ввод нового имени в поле Мобильный
(мобильный телефон).
Заменить подпись — домашний телефон
Ввод нового имени в поле Домашний
(домашний телефон).
Заменить подпись — адрес электронной почты
Ввод нового имени в поле Электронная почта
(адрес электронной почты).
Заменить подпись — календарь
Ввод нового имени в поле Календарь
(сведения о занятости).
Заменить подпись — расположение
Ввод нового имени в поле Расположение
(сведения о расположении).
94
Параметр
Описание
Заменить атрибут Active Directory —
"должность, отдел"
Ввод атрибута Active Directory (AD),
замещающего значение поля Должность.
Например, чтобы отображать псевдоним
электронной почты, введите атрибут
sAMAccountName.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "должность, отдел".
Заменить атрибут Active Directory —
"расположение комнаты"
Ввод атрибута Active Directory (AD),
замещающего значение поля Комната.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "расположение комнаты".
Заменить атрибут Active Directory — "рабочий
телефон"
Ввод атрибута Active Directory (AD),
замещающего значение поля Рабочий.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "рабочий телефон".
Заменить атрибут Active Directory —
"мобильный телефон"
Ввод атрибута Active Directory (AD),
замещающего значение поля Мобильный.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "мобильный телефон".
Заменить атрибут Active Directory — "домашний Ввод атрибута Active Directory (AD),
телефон"
замещающего значение поля Домашний.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "домашний телефон".
Заменить атрибут Active Directory — "адрес
электронной почты"
Ввод атрибута Active Directory (AD),
замещающего значение поля Электронная
почта.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "адрес электронной
почты".
Заменить атрибут Active Directory — "сведения
Ввод атрибута Active Directory (AD),
95
Параметр
Описание
о доступности в календаре"
замещающего значение поля Календарь.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "сведения о доступности
в календаре".
Заменить атрибут Active Directory — "сведения
о расположении"
Ввод атрибута Active Directory (AD),
замещающего значение поля Расположение.
Если включен этот параметр, также
необходимо задать атрибут Заменить
свойство MAPI — "сведения о
расположении".
Заменить свойство MAPI — "должность, отдел"
Ввод свойства MAPI, замещающего значение
поля Должность. Например, для отображения
псевдонима электронной почты введите
свойство MAPI 0x3a00001f.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory — "должность, отдел".
Заменить свойство MAPI — "расположение
комнаты"
Ввод свойства MAPI, замещающего значение
поля Комната.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory — "расположение комнаты".
Заменить свойство MAPI — "рабочий телефон"
Ввод свойства MAPI, замещающего значение
поля Рабочий.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory — "рабочий телефон".
Заменить свойство MAPI — "мобильный
телефон"
Ввод свойства MAPI, замещающего значение
поля Мобильный.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory — "мобильный телефон".
Заменить свойство MAPI — "домашний
телефон"
Ввод свойства MAPI, замещающего значение
поля Домашний.
Если включен этот параметр, также
96
Параметр
Описание
необходимо задать атрибут Заменить атрибут
Active Directory - "домашний телефон".
Заменить свойство MAPI — "адрес
электронной почты"
Ввод свойства MAPI, замещающего значение
поля Электронная почта.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory — "адрес электронной
почты".
Заменить свойство MAPI — "сведения о
доступности в календаре"
Ввод свойства MAPI, замещающего значение
поля Календарь.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory — "сведения о доступности
в календаре".
Заменить свойство MAPI — "сведения о
расположении"
Ввод свойства MAPI, замещающего значение
поля Расположение.
Если включен этот параметр, также
необходимо задать атрибут Заменить атрибут
Active Directory - "сведения о
расположении".
Представление беседы
В представлении беседы отображаются цепочки сообщений электронной почты в папке Microsoft
Outlook. Чтобы открыть представление беседы в Outlook 2010, выберите Вид установите флажок
Показывать как беседы.
В следующей таблице перечислены параметры представления беседы, которые можно
настроить в групповой политике и с помощью центра развертывания Office. В групповой
политике эти параметры размещены в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры
Outlook\Параметры\Параметры электронной почты. Параметры центра развертывания Office
можно найти в соответствующих местах на странице Изменение параметров пользователя
центра развертывания Office.
97
Параметр
Описание
Настройка режима содержимого разных папок
в представлении беседы
Включение и выбор контента папок
электронной почты для включения в
представление беседы.
Включен: все файлы данных Отображаются
сообщения электронной почты из всех
подключенных файлов данных Outlook
независимо от того, кэшируются они на
локальном компьютере или доступны в
Интернете.
Выключен В представлении беседы
отображаются только сообщения электронной
почты из текущей папки (например,
"Входящие").
Включен: текущий файл данных В
представлении беседы отображаются только
сообщения электронной почты из
просматриваемого в текущий момент файла
данных Outlook.
Включен: локальные файлы
данных Отображаются только сообщения
электронной почты из просматриваемого в
текущий момент файла данных Outlook и
любых других локальных файлов данных
Outlook (например, файлы персональных
данных с расширением PST).
Запретить использование представления
сообщений по беседам
Существует известная проблема с
пояснительным текстом для этого параметра,
которая будет исправлена в более позднем
выпуске административных шаблонов.
Если этот параметр не настроен, в
представлениях Outlook 2010 по умолчанию
отображается представление даты. Включите
этот параметр, чтобы запретить использование
представления беседы пользователями
Outlook 2010. Отключите этот параметр, чтобы
включить представление беседы в качестве
представления Outlook 2010 по умолчанию.
98
Синхронизация с глобальным списком адресов
Outlook 2010 синхронизирует записи папки Контакты с контактами в глобальном списке адресов
Exchange, если они имеют соответствующие SMTP-адреса. Это односторонняя синхронизация:
из глобального списка адресов в папку OutlookКонтакты.
Несоответствия в телефонных номерах контактов могут возникнуть, если записи телефонных
номеров в пользовательской папке OutlookКонтакты созданы в формате, отличном от
используемого в корпоративном глобальном списке адресов. Например, для региональных
стандартов может требоваться один тип формата префикса телефонного номера для звонков в
пределах страны и другой — для звонков из-за границы. Если пользователь создает контакты
Outlook 2010 с форматом префикса для звонков из-за границы, при обновлении контактов
Outlook 2010 из глобального списка адресов происходит "коррекция смещения".
При этой коррекции телефонные номера, созданные пользователем в контактах Outlook,
перезаписываются и перемещаются в смежное поле телефонного номера. Например,
телефонный номер в поле "Рабочий" перемещается в поле "Рабочий 2". Дополнительные
сведения о коррекции смещения см. в разделе Коррекции контактов Outlook во время
синхронизации с глобальным списком адресов.
После выполнения синхронизации невозможно отменить изменения в массовом порядке. Тем не
менее пользователь может обновить контакты Outlook вручную либо, если отличий много,
восстановить почтовый ящик Exchange. Возможно программное решение, но оно требует
сложной проверки данных для извлечения предыдущих значений из поля Примечания. Такие
решения быстро становятся неосуществимыми для крупной корпорации.
Однако, если синхронизация контактов является большой проблемой для организации, ее можно
отключить в Outlook 2010 либо перед развертыванием Microsoft Office 2010, либо при
возникновении этой проблемы.
Коррекции контактов Outlook во время синхронизации с
глобальным списком адресов
Если контакт Outlook обновляется посредством синхронизации с глобальным списком адресов,
Outlook "корректирует" несовпадающие поля контакта, используя один из следующих методов:

Нормальная коррекция При нормальной коррекции Outlook заносит старое значение поля
в поле Примечания, а затем обновляет поле новым значением из глобального списка
адресов.

Коррекция смещения При коррекции смещения Outlook перемещает старое значение поля
в смежное поле. Если выполнить это действие не удается, Outlook выполняет нормальную
коррекцию. Если все поля в группе контактов заполнены, коррекция смещения становится
нормальной коррекцией
Для следующих полей метод коррекции смещения используется по умолчанию. Для остальных
полей Outlook всегда выполняет нормальную коррекцию.
99
Группа рабочих телефонов
Рабочий телефон
Рабочий телефон 2
Другой телефон
Группа домашних телефонов
Домашний телефон
Домашний телефон 2
Другой телефон
Группа мобильных телефонов
Мобильный телефон
Другой телефон
Группа рабочих адресов
Рабочий адрес
Другой адрес
Группа домашних адресов
Домашний адрес
Другой адрес
Настройка синхронизации с глобальным списком адресов
В Outlook 2010 синхронизация с глобальным списком адресов включена по умолчанию.
Синхронизацию глобального списка адресов с контактами Outlook можно отключить, настроив
параметр Блокировать синхронизацию с глобальным списком адресов в групповой
политике. После применения этого параметра групповой политики пользователи не смогут
изменить настройку.
Если для отключения синхронизации с глобальным списком адресов используется центр
развертывания Office, пользователи могут включить ее в пользовательском интерфейсе. Для
этого необходимо перейти на вкладку Вид на ленте, щелкнуть стрелку раскрывающегося списка
рядом с кнопкой Область пользователей, выбрать из списка команду Параметры учетной
записи и нажать кнопку Параметры в нижней части диалогового окна Учетные записи
социальных сетей.
Можно настроить параметры синхронизации с глобальным списком адресов в следующей
таблице. Параметры в групповой политике можно найти в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook 2010\Outlook Social
Connector. Параметры центра развертывания Office можно найти в соответствующих местах на
странице Изменение параметров пользователя центра развертывания Office. Описание
действий по настройке этих параметров см. в статье Отключение синхронизации списка
глобальных адресов для Outlook 2010.
100
Параметр
Описание
Блокировать синхронизацию с глобальным
списком адресов
Включение блокировки синхронизации
контактов между Outlook и глобальным списком
адресов. Если отключить или не настроить этот
параметр, синхронизация с глобальным
списком адресов будет включена.
Задать интервал синхронизации контактов с
глобальным списком адресов
Включение управления периодичностью (в
минутах) синхронизации данных контактов
между Outlook и подключенными социальными
сетями. По умолчанию, если эта политика
отключена или не настроена, данные контактов
синхронизируются один раз в день или каждые
1440 минут.
Можно настроить запрос на обновление при синхронизации с глобальным списком адресов
вместо обновления без запроса (которое является поведением по умолчанию), настроив
параметры реестра, перечисленные в следующей таблице. Описание действий для
развертывания данных реестра см. в статье Отключение синхронизации списка глобальных
адресов для Outlook 2010.
Корень
Тип
Ключ
Имя параметра
Значение
данн
ых
HKEY_CURR
ENT_USER
DW
Software\
ScheduleConta
ORD Microsoft\Office\Outlook ctGALSync
\SocialConnector
Настраивает конфигурацию
синхронизации с глобальным
списком адресов. Эту
конфигурацию можно
переопределить из
пользовательского интерфейса
на вкладке ленты Вид, щелкнув
стрелку раскрывающегося
списка рядом с кнопкой Область
пользователей, выбрав
команду Параметры учетной
записи и нажав кнопку
Параметры в диалоговом окне
101
Корень
Тип
Ключ
Имя параметра
Значение
данн
ых
Учетные записи социальных
сетей.
0 = не синхронизировать
контакты с глобальным списком
адресов
1 = автоматически обновлять
контакты последними данными
из глобального списка адресов
2 = выводить запрос перед
обновлением контактов
последними данными из
глобального списка адресов
HKEY_CURR
ENT_USER
Стр
ока
Software\
GalSyncExclud
Microsoft\Office\Outlook edLocales
\SocialConnector
Сведения о кодах стран см. в
стандарте ISO 3166-1 alpha-3
(Возможно, на английском
языке)
(http://go.microsoft.com/fwlink/?link
id=197158&clcid=0x419)
(Возможно, на английском
языке).
Важно!
Это значение реестра
учитывается, только
если нет раздела
ScheduleContactGALSy
nc. Раздел
ScheduleContactGALSy
nc создается, если
пользователь задает
параметры
синхронизации с
глобальным списком
адресов вручную из
пользовательского
интерфейса.
102
Интернет-календари
Интернет-календарь — это календарь, который можно опубликовать на интернет-сайте, где он
становится доступен для просмотра и подписки другим пользователям. Можно создать интернеткалендарь из календаря, отправить его в качестве вложения в сообщение электронной почты и
передать его в Office.com или на сервер WebDAV для публикации. Также можно принимать
интернет-календари в виде вложений в сообщения электронной почты или загружать файлы
сторонних интернет-календарей для оформления подписки на них. Дополнительные сведения
см. в статье Введение в публикацию интернет-календарей
(http://go.microsoft.com/fwlink/?linkid=193168&clcid=0x419).
В Outlook 2010 можно настраивать функции подписки на интернет-календари. Можно отключить
подписки на интернет-календари в Outlook 2010, если, например, из-за недостаточной
пропускной способности требуется отложить оформление подписки на интернет-календари. По
умолчанию подписка на интернет-календари включена. Также можно развернуть подписки на
интернет-календари по умолчанию, которые пользователи смогут изменять и удалять. При
необходимости можно заблокировать подписки, запретив пользователям вносить изменения или
удалять их. Однако пользователи смогут добавлять новые подписки. По умолчанию подписки на
интернет-календари отсутствуют, однако пользователи могут добавлять и удалять их.
В Outlook 2010 задается интервал синхронизации, обеспечивающий обновление всех подписок
на интернет-календари через рекомендуемые издателем периоды времени. Если это явно не
запрещено, пользователи могут переопределять установленные по умолчанию интервалы.
Слишком частое обновление может привести к снижению производительности.
Включите параметр групповой политики Переопределить интервал синхронизации
публикации, чтобы принудительно применять установленные издателем интервалы обновления
и запретить их изменение пользователями. Этот параметр используется для всех подписок на
интернет-календари. Установка этого параметра для отдельных подписок не поддерживается.
В следующей таблице перечислены параметры интернет-календарей, которые можно настроить
в групповой политике и с помощью центра развертывания Office. В групповой политике эти
параметры размещены в разделе Конфигурация пользователя\Административные
шаблоны\Microsoft Outlook 2010\Настройка учетных записей\Интернет-календари.
Параметры центра развертывания Office можно найти в соответствующих местах на странице
Изменение параметров пользователя центра развертывания Office.
Параметры
Описание
Автоматически загружать вложения
Включение автоматической загрузки вложений
(например, графиков) для встреч из интернеткалендаря.
Подписки на интернет-календари по
умолчанию
Добавление URL-адресов, которые требуется
добавить в каждый пользовательский профиль
в качестве подписки на интернет-календарь.
103
Параметры
Описание
Отключить перемещение интернет-календарей
Предоставление доступа к интернеткалендарям только на клиентах, к которым они
изначально были привязаны.
Не включать интеграцию с интернеткалендарями в Outlook
Запрет на подписку пользователей на
интернет-календари в Outlook.
Переопределить интервал синхронизации
публикации
Запрет на переопределение пользователями
интервалов синхронизации, установленных
поставщиками интернет-календарей.
Мгновенный поиск
В Microsoft Outlook 2010 пользователи могут использовать возможность мгновенного поиска для
быстрого поиска элемента (например, сообщения электронной почты, задачи или встречи).
Элемент, соответствующий критерию поиска, выделяется. Пользователи могут фильтровать
результаты, вводя дополнительные буквы (поиск по мере ввода символов).
Функция мгновенного поиска в Outlook 2010 работает посредством доступа к индексированному
контенту. Индексирование контента Outlook позволяет быстрее получать результаты поиска. По
умолчанию индексируется текст всех элементов Outlook, доступ к которым не ограничен,
включая вложения. Этот процесс выполняется при первом запуске Outlook 2010. Можно
отключить полное индексирование текста или только индексирование вложений.
Индексирование выполняется в фоновом режиме и только при наличии дополнительных
обрабатывающих ресурсов на компьютере пользователя.
Управление индексированием поиска в Outlook определяется следующими параметрами
Windows:


HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Search\PreventIndexingO
utlook


HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Search\PreventIndexingE
mailAttachments
Зашифрованные элементы и элементы, доступ к которым ограничен в результате использования
службы управления правами на доступ к данным, не индексируются.
Если приложение Outlook 2010 установлено на компьютере под управлением ОС Windows Vista
или Windows 7, можно настроить параметры индексирования поиска для Outlook с помощью
групповой политики или центра развертывания Office.
104
В следующей таблице перечислены доступные для настройки параметры мгновенного поиска. В
групповой политике эти параметры размещены в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook 2010\Параметры
Outlook\Параметры\Параметры поиска. Параметры центра развертывания Office можно найти
в соответствующих местах на странице Изменение параметров пользователя центра
развертывания Office.
Параметр
Описание
Изменить цвет выделения совпадений поиска
Выбор цвета фона, используемого для
выделения совпадений в результатах поиска
(по умолчанию используется желтый).
Не выделять найденные совпадения в
результатах поиска
Отключение выделения найденных
совпадений.
Не отображать результаты поиска во время
ввода запроса
Отключение отображения результатов поиска
при вводе пользователем запроса поиска
(отключение функции отображения
результатов по мере ввода символов в Word).
Не включать серверный архив при поиске во
всех элементах почты
При поиске во всех элементах почты по
умолчанию не включаются результаты поиска
из серверного архива.
Расширить область поиска
Расширение области поиска для мгновенного
поиска до всех папок в текущем модуле
(например, "Почта" или "Календарь"). По
умолчанию при мгновенном поиске в Outlook
возвращаются результаты только из
выбранной папки.
Предотвратить индексирование текста и
вложений сообщений с подписью открытым
текстом
Отключение индексирования текста и
вложений для сообщений с подписью
открытым текстом. Отправитель, строка темы и
дата по-прежнему индексируются и доступны
для поиска.
Отключить приглашения установки в случае
отсутствия компонента "Панель поиска
Windows"
При запуске Outlook запрещает отображение
диалогового окна, запрашивающего
необходимость загружать панель поиска
Windows (если оно еще не установлено). Также
удаляет из Outlook ссылки, позволяющие
пользователям загрузить панель поиска
Windows.
105
Параметр
Описание
Отключить автоматическое согласование
индекса поиска
Отключение автоматической проверки
целостности индекса поиска Outlook, которая
выполняется каждые 72 часа.
Область навигации
В Outlook 2010 модули в области навигации (например "Календарь", "Почта" и т. д.) можно
настроить для отображения в определенном порядке или для отображения только некоторых
модулей.
Можно использовать параметр центра развертывания Office (OCT) Добавление записей в
реестр для распределения разделов реестра, определяющих отображение модулей. Для
блокировки параметров области навигации нельзя использовать групповую политику.
В следующей таблице перечислены параметры реестра, которые можно настроить для
выборочной установки.
Корень
Тип
данных
Раздел
Имя
Значение
параметра
HKEY_CURRENT
_USER
REG_DW
ORD
Software\Microsoft\Office\14.0\Outloo NumBigMo
k\Preferences
dules
Управляет
числом
больших
кнопок
(представля
ющих
модули
области
навигации),
отображаем
ых в области
навигации.
Значение по
умолчанию:
4.
Максимальн
ое значение:
8.
HKEY_CURRENT
REG_SZ
Software\Microsoft\Office\14.0\Outloo ModuleOrd
Определяет
порядок
106
Корень
Тип
Раздел
данных
_USER
Имя
Значение
параметра
k\Preferences
er
отображения
модулей в
области
навигации.
Данные —
упорядоченн
ый список
индексов, в
котором
каждая
позиция
представляе
т модуль
области
навигации, а
число в этой
позиции
определяет,
где
соответству
ющий
модуль
отображаетс
я.
По
умолчанию:
1,2,3,4,5,6,7,
8. Позиции
индекса,
соответству
ющие этому
списку:
"Почта",
"Календарь",
"Контакты",
"Задачи",
"Заметки",
"Список
папок",
107
Корень
Тип
данных
Раздел
Имя
Значение
параметра
"Ярлыки",
"Журнал".
Например,
если
пользовател
ь
переключает
отображени
е модуля
"Почта" в
третью
позицию, а
модуля
"Контакты"
— в первую,
значение
реестра
будет иметь
такие
данные:
3,2,1,4,5,6,7,
8
HKEY_CURRENT
_USER
REG_SZ
Software\Microsoft\Office\14.0\Outloo ModuleVisi
k\Preferences
ble
Определяет,
отображаетс
я ли модуль
в области
навигации.
Значения
соответству
ют
позициям,
используем
ым в списке
порядка
модулей.
По
умолчанию:
1,1,1,1,1,1,1,
0.
108
Корень
Тип
Раздел
данных
Имя
Значение
параметра
Например,
первая
позиция
определяет
отображени
е модуля
"Почта". По
умолчанию,
модуль
"Журнал" не
отображаетс
я в области
навигации.
Также можно
отключить
отображени
е других
модулей.
Например,
для
отключения
отображения
модулей
Контакты,
Задачи,
Заметки и
Ярлыки
задайте
такие
данные:
1,1,0,0,0,1,0,
0.
Outlook Social Connector
Outlook Social Connector — это надстройка, предоставляющая доступ к данным из социальных
сетей, в том числе друзьям, профилям, действиям и сведениям о состоянии в Outlook 2010. В
области пользователей в нижней части сообщения электронной почты отображаются сведения
109
об отправителе (в том числе фотография, имя и должность), журнал сообщений для этого
пользователя (в том числе собрания и вложения), а также веб-каналы активности пользователей
из социальных сетей.
Чтобы использовать преимущества функций Outlook Social Connector, необходимо запускать
Outlook 2010 в режиме кэширования Exchange с панелью поиска. Кроме того, требуется
настройка личного сайта Microsoft SharePoint Server 2010 для пользователей. В такой
конфигурации локальные элементы, в том числе сообщения электронной почты, собрания и
вложения от отправителя, будут включаться в журнал сообщений. Кроме того, если настроен
личный сайт, можно просматривать веб-канал активности с личного сайта отправителя.
Если приложение Outlook 2010 запущено в интерактивном режиме, в журнале сообщений
отображаются только те элементы, связанные с отправителем, которые хранятся на сервере.
Также поддерживается отображение сведений веб-каналов активности об отправителе только от
поставщиков социальных сетей по запросу, например, Facebook. Веб-каналы активности с
личного сайта пользователя недоступны.
Чтобы включить в Outlook Social Connector сведения с личного сайта пользователя, необходимо
запустить Outlook 2010 в режиме кэширования Exchange с панелью поиска Windows и настроить
раздел реестра MySiteHost, как описано в следующей таблице.
Корень
Тип
Ключ
Имя
данны
параметр
х
а
Значение
HKEY_CURRENT
_USER
REG_
SZ
Software\Policies\Microsoft\Office\14.0\com
mon\Portal\Link Providers\MySiteHost
URL
URL-адрес
личного
сайта,
например
http://Office/M
ySite.
HKEY_CURRENT
_USER
REG_
SZ
Software\Policies\Microsoft\Office\14.0\com
mon\Portal\Link Providers\MySiteHost
DisplayN
ame
Необязатель
ный
параметр.
Имя,
отображаемо
е
пользовател
юв
надстройке
Outlook Social
Connector,
например
110
Корень
Тип
Ключ
Имя
данны
параметр
х
а
Значение
MySite.
Поддерживается управление поставщиками социальных сетей, из которых пользователи могут
просматривать веб-каналы активности. Можно запретить просмотр веб-каналов активности из
любых поставщиков социальных сетей с помощью параметра групповой политики Запретить
соединение с социальными сетями. Также можно развернуть конкретные поставщики с
помощью параметра Указать список загружаемых поставщиков социальных сетей в центре
развертывания Office и запретить установку других поставщиков с помощью параметра
групповой политики Блокировать определенных поставщиков социальных сетей.
Также можно включить запрос пользователей на обновление с помощью Outlook Social Connector
или поставщиков социальных сетей, либо самостоятельное управление обновлениями с
помощью параметра групповой политики Не показывать информационные панели
социальных сетей.
В следующей таблице перечислены параметры представления беседы, которые можно
настроить в групповой политике и с помощью центра развертывания Office. В групповой
политике эти параметры размещены в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook 2010\Outlook Social
Connector. Параметры центра развертывания Office можно найти в соответствующих местах на
странице Изменение параметров пользователя центра развертывания Office.
Параметр
Описание
Блокировать
синхронизаци
юс
глобальным
списком
адресов
Блокировка синхронизации между Outlook и глобальным списком адресов.
Блокировать
синхронизаци
ю сведений об
активности в
социальных
сетях
Блокировка синхронизации сведений об активности между Outlook и
социальными сетями.
Блокировать
синхронизаци
Блокировка синхронизации контактов между Outlook и социальными сетями.
111
Параметр
Описание
ю контактов в
социальных
сетях
Блокировать
определенных
поставщиков
социальных
сетей
Определение списка поставщиков социальных сетей, блокируемых по
программному идентификатору. Программный идентификатор поставщика
регистрируется в разделе
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\SocialConnector\So
cialNetworks.
Запретить
синхронизаци
ю сведений об
активности по
запросу
Запрет синхронизации сведений об активности между Outlook и социальными
сетями по запросу.
Не загружать
Запрет на загрузку фотографий контактов из Active Directory.
фотографии из
Active Directory
Не показывать Отключение отображения сообщений информационных панелей с запросом на
информационн установку доступных обновлений Outlook Social Connector или на установку и
ые панели
обновление поставщиков социальных сетей.
социальных
сетей
Запретить
соединение с
социальными
сетями
Запрет на соединение с социальными сетями в Outlook Social Connector. При
этом в Outlook Social Connector по-прежнему поддерживается агрегирование
управления персональными данными, что позволяет пользователями
просматривать выбранный контакт из файлов данных Outlook 2010 (например,
сообщений электронной почты и собраний, которым пользователь обменивался
с этим контактом).
Задать
интервал
синхронизации
контактов с
глобальным
списком
адресов
Управление частотой синхронизации сведений о контактах между Outlook и
подключенными социальными сетями (в минутах). По умолчанию эта политика
отключена или не настроена, а сведения о контактах синхронизируются один
раз в день (1440 минут).
Задать
Управление частотой синхронизации сведений о веб-каналах активности между
интервал
Outlook и подключенными социальными сетями (в минутах). По умолчанию,
синхронизации если эта политика отключена или не настроена, сведения о каналах активности
112
Параметр
Описание
веб-канала
активности
синхронизируются каждые 60 минут.
Указать список
загружаемых
поставщиков
социальных
сетей
Ввод списка поставщиков социальных сетей (по программному
идентификатору), которые будут загружены в Outlook Social Connector.
Программный идентификатор поставщика регистрируется в разделе
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\SocialConnector\So
cialNetworks.
Отключить
Outlook Social
Connector
Отключение надстройки Outlook Social Connector.
Папки поиска
В папках Outlook хранятся такие элементы, как новые сообщения электронной почты (папка
"Входящие"), переданные сообщения электронной почты (папка "Отправленные") или
сохраненные сообщения электронной почты (папки, которые можно создать). Папки поиска —
это виртуальные папки, содержащие представления всех элементов электронной почты,
соответствующих определенным критериям поиска. В папках поиска не сохраняются сообщения
электронной почты.
В папках поиска отображаются результаты ранее заданных поисковых запросов по папкам
Outlook 2010. Сообщения электронной почты хранятся в одной или нескольких папках Outlook. В
каждой папке поиска сохраняются результаты, актуальность которых поддерживается
автоматически. По умолчанию компонент "Папки поиска" обеспечивает мониторинг всех папок
Outlook на наличие новых элементов, соответствующих заданным критериям папки поиска. При
необходимости можно настроить отслеживаемые папки. В Outlook 2010 щелкните элемент Папка
и выберите команду Настроить эту папку поиска.
Когда пользователь создает папку поиска, ему предлагается несколько параметров папок поиска
по умолчанию, такие как "Письма с вложениями" или "Письма от указанных адресатов". Он также
может создать настраиваемые папки поиска. Чтобы создать папку поиска в Outlook 2010,
щелкните элемент Папка ленты и выберите команду Создать папку поиска.
По умолчанию папки поиска остаются активными в течение 1000 дней. Можно настроить время,
в течение которого папки поиска остаются активными для учетных записей режима кэширования
Exchange и учетных записей Exchange Server в Интернете. Можно указать число дней, по
истечении которого папки поиска становятся неактивными, то есть элементы в папке поиска
перестают обновляться в соответствии с последними результатами поиска по папкам Outlook.
Неактивная папка поиска отображается курсивом в панели навигации пользователя. Когда
113
пользователь открывает неактивную папку поиска, ее вид обновляется, и подсчет истекшего
времени начинается заново.
Период времени, указанный для этого параметра, начинается с последнего раза, когда
пользователь щелкал по папке поиска. Можно указать другое число дней для пользователей,
работающих в интерактивном режиме Exchange и в режиме кэширования Exchange. Для каждой
папки в каждом режиме ведется отдельный подсчет. Если выбран параметр Сохранять папки
поиска Exchange в сети, и ему присвоено значение 0, папки поиска в интерактивном режиме
Exchange всегда неактивны. Аналогичным образом, если присвоить значение 0 дней параметру
Сохранять папки поиска в автономном режиме, папки поиска в режиме кэширования
Exchange всегда остаются неактивными.
Можно ограничить число папок поиска, разрешенных для почтового ящика каждого
пользователя. Кроме того, можно вообще отключить пользовательский интерфейс папок поиска.
Примечание.
При использовании папок поиска в интерактивном режиме (с применением почтового
ящика Exchange Server), а не в режиме кэширования Exchange, число пользователей,
поддерживаемых Exchange Server, может сократиться.
В следующей таблице перечислены параметры папок поиска, которые можно настроить в
групповой политике и с помощью центра развертывания Office. В групповой политике эти
параметры размещаются в разделе Конфигурация пользователя\Шаблоны
администрирования\Microsoft Outlook 2010\Папки поиска. Параметры центра развертывания
Office можно найти в соответствующих местах на странице Изменение параметров
пользователя центра развертывания Office.
Параметр
Описание
Не создавать папки поиска при запуске Outlook
Для этого параметра политики существует
известная проблема. В Outlook 2010 удален
параметр "Папки поиска по умолчанию". Эта
политика не применяется к существующим
профилям в Outlook 2010.
Сохранять папки поиска Exchange в сети
Определение числа дней, в течение которого
папки поиска будут оставаться активными при
работе Outlook в интерактивном режиме.
Сохранять папки поиска в автономном режиме
Определение числа дней, в течение которого
папки поиска будут оставаться активными при
работе Outlook в автономном режиме
кэширования.
Максимальное число сетевых папок поиска для
почтового ящика
Определение максимального числа папок
поиска для Exchange. Не влияет на число папок
114
Параметр
Описание
поиска на клиентском компьютере.
Надстройка SharePoint Server "Коллега"
Надстройка "Коллега" Microsoft SharePoint Server в Outlook 2010 сканирует пользовательскую
папку Отправленные, выполняя поиск имен и ключевых слов вместе с частотой их вхождения.
Список возможных коллег периодически обновляется и хранится в профиле пользователя на
локальном компьютере. Этот список доступен на странице Добавление коллег
пользовательского сайта SharePoint "Мой сайт" в интрасети, где можно выбрать коллег, которых
пользователь желает добавить на страницу "Мой сайт". Пользователь может одобрить или
отклонить имена контактов и ключевые слова, добавляемые в веб-часть Спроси меня.
Дополнительные сведения см. в статьях, посвященных планированию профилей пользователей
(SharePoint Server 2010) (http://go.microsoft.com/fwlink/?linkid=182364&clcid=0x419) и управлению
данными, открытыми для общего доступа на сайте "Мой сайт" и в профиле
(http://go.microsoft.com/fwlink/?linkid=198208&clcid=0x419).
По умолчанию, надстройка "Коллега" SharePoint Server 2010 устанавливается и включается при
установке Outlook 2010. Однако для использования этой надстройки SharePoint Server 2010
необходима установка как SharePoint Server 2010, так и Outlook 2010. Также необходимо
развернуть данные реестра URL-адреса сайта "Мой сайт", приведенные в следующей таблице.
Описание действий по развертыванию данных реестра см. в статье Включение компонента
"Коллега" SharePoint Server 2010 в Outlook 2010.
Корень
Тип
Ключ
Имя
данны
параметр
х
а
Значение
HKEY_CURRENT
_USER
REG_
SZ
Software\Policies\Microsoft\Office\14.0\com
mon\Portal\Link Providers\MySiteHost
URLадрес
URL-адрес
личного
сайта —
например
http://Office/M
ySite.
HKEY_CURRENT
_USER
REG_
SZ
Software\Policies\Microsoft\Office\14.0\com
mon\Portal\Link Providers\MySiteHost
DisplayN
ame
Необязатель
ный: имя,
отображаемо
е для
пользователя
, например
115
Корень
Тип
Ключ
Имя
данны
параметр
х
а
Значение
MySite.
Параметры для отключения или блокировки надстройки SharePoint Server "Коллега" с помощью
групповой политики приведены в следующей таблице и находятся в разделе параметров
Microsoft Office 2010: Конфигурация пользователя\Административные шаблоны\Microsoft
Office 2010\Параметры сервера\SharePoint Server. Также можно настроить параметры по
умолчанию, используя центр развертывания Office, и в этом случае пользователи могут их
менять. Параметры центра развертывания Office находятся в соответствующих местах на
странице Изменение параметров пользователя центра развертывания Office в разделе
параметров Microsoft Office 2010. Описание действий по настройке этих параметров см. в
разделе Настройка компонента "Коллеги" на сайте "Мой сайт".
Параметр
Описание
Включить надстройку "Импорт коллег" для
Outlook, взаимодействующую с Microsoft
SharePoint Server
Включите этот параметр, чтобы включить
надстройку SharePoint Server "Коллега" для
Outlook 2010.
Отключите этот параметр, чтобы отключить
данный компонент. Если этот параметр не
задан, надстройка "Коллега" включена по
умолчанию.
Максимальное количество дней до текущего
дня, которые будут анализироваться с целью
выявления коллег пользователя при создании
рекомендации
Включите этот параметр, чтобы указать
количество дней до текущего дня, для которых
будут анализироваться отправленные
элементы Outlook для создания списка
рекомендаций по коллегам пользователя.
Например, при значении по умолчанию (20
дней) надстройка SharePoint Server "Коллега"
будет анализировать элементы, отправленные
за последние 20 дней.
Чем большее количество дней задано, тем
точнее рекомендации. Чем меньше количество
дней, тем быстрее создаются рекомендации.
Максимальное количество элементов до
текущего дня, которые будут анализироваться
Включите этот параметр, чтобы задать
максимальное количество отправленных
116
Параметр
Описание
с целью выявления коллег пользователя при
создании рекомендации
элементов, которые будут анализироваться
для создания списка рекомендаций по
коллегам пользователя.
Максимальное количество получателей
элемента Outlook, которое будет
анализироваться с целью выявления коллег
пользователя при создании рекомендации
Включите этот параметр, чтобы задать
максимальное количество получателей
отправленного элемента Outlook, которое
будет анализироваться для создания списка
рекомендаций по коллегам пользователя.
Максимальное число строк, извлекаемых при
каждом запросе при заполнении столбца
просмотра в элементе управления списком
SharePoint
Включите этот параметр, чтобы задать
максимальное число строк, извлекаемых при
каждом запросе при заполнении элемента
управления списком SharePoint.
Минимальный срок перед началом проверки
рекомендаций по коллегам
Включите этот параметр, чтобы задать
минимальное время ожидания (в
миллисекундах) перед началом сканирования
надстройкой SharePoint Server "Коллеги" папки
Outlook "Отправленные".
Минимальное время ожидания перед
повторным сканированием почтового ящика
Outlook для создания новых рекомендаций
Включите этот параметр, чтобы задать
минимальное время ожидания (в часах) перед
повторным сканированием папки
OutlookОтправленные для создания новых
рекомендаций по коллегам.
См. также
Планирование обеспечения безопасности и защиты в Outlook 2010
Настройка пользовательских параметров Office 2010
Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (на
английском языке)
Office Customization Tool in Office 2010 (на английском языке)
Обзор групповой политики для Office 2010
117
Планирование развертывания режима
кэширования данных Exchange в Outlook
2010
В Microsoft Outlook 2010 представлены два основных режима подключения при подключении к
серверу Microsoft Exchange Server: режим кэширования данных Exchange и интерактивный
режим.
В этой статье обсуждается, какой режим подключения может применяться в конкретной среде, а
также предоставляются рекомендации по планированию и настройке параметров для
развертывания режима кэширования данных Exchange в Outlook 2010.
Содержание:

Обзор

Выбор между режимом кэширования данных Exchange и интерактивным режимом

Повышение эффективности работы с Outlook при применении режима кэширования данных
Exchange

Функции Outlook, снижающие эффективность режима кэширования данных Exchange

Вопросы синхронизации, дискового пространства и производительности

Управление поведением Outlook для обнаруженных медленных подключений

Параметры промежуточного развертывания режима кэширования данных Exchange

Обновление текущих пользователей режима кэширования данных Exchange до Outlook 2010

Развертывание режима кэширования данных Exchange для пользователей, у которых уже
есть OST-файлы

Настройка режима кэширования данных Exchange

Дополнительные ресурсы
Обзор
Когда для учетной записи Outlook 2010 настроен режим кэширования данных Exchange, Outlook
2010 работает с локальной копией пользовательского почтового ящика Microsoft Exchange,
который хранится в автономном файле данных (OST-файле) на компьютере пользователя
вместе с автономной адресной книгой (OAB). Кэшированный почтовый ящик и автономная
адресная книга периодически обновляются с компьютера Exchange Server.
Режим кэширования данных Exchange впервые появился в Outlook 2003 для улучшения
взаимодействия с пользователем в интерактивном и автономном режимах. Режим кэширования
данных Exchange позволяет пользователям чередовать работу в подключенных и отключенных
118
средах, не прерывая взаимодействия с Outlook. Кроме того, он защищает пользователей от
задержек в сети и проблем подключения во время использования Outlook.
С другой стороны, интерактивный режим работает, используя данные непосредственно с
сервера. Когда для Outlook требуются новые данные, выполняется запрос сервера и
отображаются полученные сведения. Данные почтового ящика кэшируются только в памяти и не
записываются на диск.
Пользователь может выбрать режим кэширования данных Exchange или интерактивный режим
во время настройки учетной записи или при изменении параметров этой настройки. Данный
режим также можно развернуть с помощью центра развертывания Office (OCT) или с помощью
групповой политики.
Важно
 Это известная проблема, при которой в профиль Outlook добавляется лишняя учетная
запись Exchange, когда пользователь, в профиле которого уже есть учетная запись
Exchange, выполняет обновление с Outlook 2003 или Outlook 2007. Эта проблема может
возникнуть при обновлении Outlook и применении настроек с помощью
пользовательского файла центра развертывания Office (MSP-файла) или PRF-файла,
для которого заданы параметры "Изменить профиль" и "Определить изменения
существующего профиля по умолчанию".

Чтобы при обновлении до Outlook 2010 в одном профиле не создавалось несколько
учетных записей Exchange, создайте PRF-файл и задайте свойства BackupProfile=False и
UniqueService=Yes. Инструкции см. в статье После обновления с предыдущей версии
Office с помощью настраиваемого MSP-файла в уже существующих профилях Outlook
2010 создается несколько учетных записей Exchange (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=199704&clcid=0x419) (Возможно, на английском
языке).
Выбор между режимом кэширования данных
Exchange и интерактивным режимом
Когда использовать режим кэширования данных Exchange
Режим кэширования данных Exchange — это основная конфигурация в Outlook 2010. Этот режим
рекомендуется в любых условиях, кроме специально указанных в разделе Когда использовать
интерактивный режим далее в этой статье.
Хотя режим кэширования данных Exchange рекомендуется в большинстве пользовательских
конфигураций, он особенно полезен для следующих пользователей:

Пользователи портативных компьютеров, часто чередующие работу с подключением и без
подключения.
119

Пользователи, часто работающие в автономном режиме или без подключения.

Пользователи, использующие подключения к серверу Exchange Server с высокой задержкой
(более 500 мс).
Когда использовать интерактивный режим
Интерактивный режим — это традиционный способ подключения к серверу Microsoft Exchange.
Эта конфигурация полностью поддерживается в Office Outlook 2003, Outlook 2007 и Outlook 2010.
Интерактивный режим полезен в некоторых сценариях, когда поведение, характерное для
режима кэширования данных Exchange, нежелательно. К таким сценариям относятся
следующие:

Сценарии "Интернет-киосков", когда один компьютер используется множеством
пользователей, которые получают доступ к разным учетным записям Outlook, и задержка
загрузки сообщений электронной почты в локальный кэш недопустима.

Среды, совместимость с которыми трудно настроить, или безопасные среды, в которых
данные не должны храниться локально по какой-либо причине. В таких средах
рекомендуется продумать в качестве возможного решения использование системы
шифрования файлов (EFS) или BitLocker в дополнение к режиму кэширования данных
Exchange.

Очень большие почтовые ящики на компьютерах, у которых недостаточно дискового
пространства для локальной копии почтового ящика.

Очень большие почтовые ящики (больше 25 Гб), для которых использование режима
кэширования данных Exchange нежелательно по соображениям производительности.

Виртуализованные среды или среды со службами удаленных рабочих столов (службами
терминалов), которые выполняют Outlook 2007 или Outlook 2003. Режим кэширования
данных Exchange не поддерживается при выполнении Outlook 2007 или Outlook 2003 на
компьютере под управлением служб удаленных рабочих столов (служб терминалов).

Виртуализованные среды или среды со службами удаленных рабочих столов (службами
терминалов), выполняющие Outlook 2010, в которых ограничения дискового пространства
или ввода-вывода мешают выполнению режима кэширования данных Exchange в требуемом
масштабе.
При работе с очень большим почтовым ящиком можно уменьшить размер файла локальных
данных с помощью фильтров синхронизации. Дополнительные сведения см. в статьях,
посвященных созданию фильтра синхронизации
(http://go.microsoft.com/fwlink/?linkid=193917&clcid=0x419) и оптимизации производительности
режима кэширования данных Outlook 2007 для очень больших почтовых ящиков (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=193918&clcid=0x419) (Возможно, на
английском языке).
При работе с очень большим почтовым ящиком, для которого использование режима
кэширования данных Exchange нежелательно по соображениям производительности,
120
ознакомьтесь со статьей, посвященной диагностике проблем производительности в Outlook
(http://go.microsoft.com/fwlink/?linkid=193920&clcid=0x419).
Особые требования
Outlook 2010 поддерживает работу в режиме кэширования данных Exchange в среде служб
удаленных рабочих столов (служб терминалов), имеющей несколько пользователей. При
настройке компьютера, на котором выполняются службы удаленных рабочих столов (службы
терминалов) для использования режима кэширования данных Exchange необходимо
предусмотреть дополнительное дисковое пространство и требования к выполнению дисковых
операций ввода-вывода для доступа нескольких клиентов.
По умолчанию новые учетные записи Exchange, настроенные на компьютере, на котором
выполняются службы удаленных рабочих столов (службы терминалов), будут использовать
интерактивный режим. Пользователь может включить режим кэширования данных Exchange при
настройке учетной записи или с помощью настройки параметра Использовать режим
кэширования Exchange для новых и существующих профилей Outlook в центре
развертывания Office или в групповой политике.
В средах с ограниченной полосой пропускания режим кэширования данных Exchange может
быть настроен для загрузки только заголовков сообщений электронной почты и 256-символьного
просмотра текста сообщения. Дополнительные сведения см. в статье Настройка режима
кэширования Exchange в Outlook 2010.
Даже при настройке в режиме кэширования данных Exchange Outlook 2010 должен связаться с
сервером напрямую для выполнения определенных операций. Эти операции не будут работать,
если Outlook не подключен, и могут выполняться дольше при подключении с высокой задержкой.
Это относится к следующим операциям:

Работа с делегированными хранилищами данных почтового ящика.

Работа с общими папками, недоступными в автономном режиме. Дополнительные сведения
см. в статье, посвященной настройке доступности в автономном режиме для общей
папки(http://go.microsoft.com/fwlink/?linkid=193926&clcid=0x419).

Получение сведений о доступности

Настройка, изменение или отмена сообщения "Нет на месте"

Доступ к общим папкам.

Получение прав для защищенного сообщения.

Изменение правил.

Получение почтовых подсказок.
121
Повышение эффективности работы с Outlook при
применении режима кэширования данных
Exchange
При использовании режима кэширования данных Exchange доступны следующие основные
преимущества.

Защита пользователя от проблем соединения сети и сервера.

Упрощение процедуры переключения между интерактивным и автономным режимами
работы для пользователей мобильных устройств.
Поскольку в приложении Outlook применяется локальное кэширование почтового ящика и
автономной адресной книги, то непрерывное сетевое подключение для доступа к
пользовательской информации более не требуется. Во время подключения к сети Outlook
постоянно обновляет почтовые ящики пользователей, чтобы поддерживать их актуальность.
Если пользователь отсоединяется от сети, например, отключая ноутбук от стыковочного узла,
последние данные будут автоматически доступны при автономной работе.
Кроме использования локальных копий почтовых ящиков для повышения эффективности
работы, в режиме кэширования данных Exchange оптимизируется тип и объем данных,
пересылаемых через подключение к серверу. Например, при включении параметра При
медленных подключениях загружать только заголовки в центре развертывания приложение
Outlook изменяет тип и объем данных, пересылаемых через подключение.
Примечание.
В приложении Outlook проверяется скорость сетевого адаптера на компьютере
пользователя для определения скорости подключения пользователя, поддерживаемой
операционной системой. Если скорость сетевого адаптера составляет 128 килобайт (КБ)
или менее, то соединение определяется как медленное. В некоторых ситуациях скорость
сетевого адаптера может не в точности соответствовать скорости передачи данных для
пользователей. Дополнительные сведения о корректировке поведения Outlook в таких
ситуациях см. в разделе Управление поведением Outlook для обнаруженных медленных
подключений далее в этой статье.
Приложение Outlook может адаптироваться к изменениям сред соединения, предлагая
различные уровни оптимизации, например, отключение от локальной сети организации, переход
в автономный режим, а затем восстановление соединения с сервером через более медленное
соединение удаленного доступа. При смене типа соединения с Exchange Server (например,
через локальную сеть, беспроводное, сотовое соединение или в режиме автономной работы)
переход незаметен, и для него никогда не требуется изменять параметры или перезапускать
Outlook.
Например, на работе пользователь может подключать переносной компьютер к локальной сети
организации. В этом случае пользователь получает доступ к заголовкам и полным элементам, в
122
том числе к вложениям. Пользователь также получает быстрый доступ к компьютеру, на котором
работает Exchange Server. Если пользователь отключает портативный компьютер от локальной
сети, то Outlook переключается на режим Попытка подключения. Пользователь может
непрерывно работать со своими данными в Outlook. Если используется беспроводное
соединение, то Outlook может восстановить соединение с сервером и переключиться на режим
Подключен.
Если впоследствии пользователь подключается к серверу Exchange Server с помощью
телефонного соединения, то приложение Outlook определяет, что используется медленное
подключение и автоматически оптимизирует его, загружая только заголовки и не обновляя
автономную адресную книгу. Кроме того, Outlook 2010 и Office Outlook 2007 применяют
оптимизацию для уменьшения объема данных, пересылаемых при подключении. Пользователям
нет необходимости изменять параметры или перезапускать Outlook при данном сценарии.
В Outlook 2010 также применяется режим Требуется пароль. Сообщение Требуется пароль
отображается, если Outlook находится в отключенном состоянии и для подключения необходимы
учетные данные пользователя, например, если пользователь нажмет кнопку Отмена в
диалоговом окне проверки подлинности учетных данных. Когда Outlook находится в
отключенном состоянии, но не в автономном режиме, действия пользователя (например,
нажатие кнопки Отправить и получить или Введите пароль на ленте) приводят к повторному
запросу Outlook на ввод пароля и к отображению сообщения Попытка подключения, пока
пользователь не сможет успешно пройти проверку подлинности и подключиться.
Функции Outlook, снижающие эффективность
режима кэширования данных Exchange
Некоторые функции Outlook могут снизить эффективность режима кэширования данных
Exchange, поскольку для них требуется сетевой доступ, или они не используют возможности
режима кэширования данных Exchange. Основным преимуществом режима кэширования данных
Exchange является защищенность пользователя от проблем подключения к сети и серверу.
Функции, которым необходим сетевой доступ, могут вызвать задержки отклика Outlook, которых
обычно не бывает при работе в режиме кэширования данных Exchange.
Перечисленные далее функции могут зависеть от сетевого доступа и вызывать задержки при
работе Outlook, если у пользователей нет быстрого подключения к данным Exchange Server.

Передача прав доступа в случаях, когда не производится локальное кэширование папок (по
умолчанию локальное кэширование выполняется).

Открытие календаря или папки другого пользователя, которые не кэшированы локально (по
умолчанию локальное кэширование выполняется).

Использование общей папки, для которой кэширование не выполнено.
Дополнительные сведения см. в подразделе Управление общим доступом к папкам Outlook
раздела Вопросы синхронизации, дискового пространства и производительности далее в этой
статье.
123
При развертывании режима кэширования данных Exchange рекомендуется отключить или не
внедрять следующие функции и их комбинации:

Функция уведомлений с цифровыми подписями в сообщениях электронной
почты Приложение Outlook проверяет сервер для проверки цифровой подписи. По
умолчанию при появлении в папке входящей почты пользователя новых сообщений
электронной почты Outlook отображает уведомление, содержащее часть сообщения. Если
пользователь щелкает уведомление для открытия подписанного сообщения электронной
почты, Outlook использует сетевой доступ для проверки допустимости подписи сообщения.

Набор контейнеров адресной книги В адресной книге обычно содержатся папки
глобального списка адресов и контактов пользователя. В некоторых организациях
настраиваются подмножества глобального списка адресов, которые отображаются в
адресной книге. Эти подмножества адресных книг также можно включить в список,
определяющий порядок поиска для адресных книг. Если адресные книги подмножества
включены в список порядка поиска, то приложению Outlook может требоваться доступ к сети
для проверки этих адресных книг при каждом сопоставлении имени в сообщении
электронной почты, создаваемом пользователем.

Настраиваемые свойства на вкладке "Общие" диалогового окна "Свойства" для
пользователей Диалоговое окно Свойства отображается после двойного щелчка по имени
пользователя (например, в строке Кому сообщения электронной почты). Это диалоговое
окно можно настроить таким образом, чтобы в нем отображались настраиваемые свойства,
уникальные для определенной организации, например, центр затрат пользователей. Однако
при добавлении свойств к этому диалоговому окну не рекомендуется добавлять их на
вкладке Общие. Чтобы получить настраиваемые свойства, приложение Outlook должно
выполнить удаленный вызов процедуры с сервера. Поскольку вкладка Общие по умолчанию
отображается при доступе к диалоговому окну Свойства, то удаленный вызов процедуры
будет выполняться при каждом доступе пользователя к диалоговому окну Свойства. В
результате пользователь, у которого запущено приложение Outlook в режиме кэширования
данных Exchange, может столкнуться с заметными задержками при доступе к этому
диалоговому окну. Чтобы избежать этих задержек, необходимо создать новую вкладку в
диалоговом окне Свойства для настраиваемых свойств или добавить их на вкладке
Телефоны и заметки.
Установка определенных надстроек Outlook может повлиять на режим кэширования данных
Exchange. Некоторые надстройки могут получать доступ к данным приложения Outlook с
помощью объектной модели в обход предполагаемых функциональных возможностей
параметров Загружать только заголовки и При медленных подключениях загружать только
заголовки в режиме кэширования данных Exchange. Например, загрузка полных компонентов
Outlook, а не только заголовков, выполняется при использовании технологии Microsoft ActiveSync
для синхронизации карманного компьютера даже через медленное подключение. Кроме того,
процесс обновления выполняется медленнее, чем при загрузке элементов в Outlook, поскольку в
отдельных приложениях используются менее эффективные способы синхронизации.
124
Вопросы синхронизации, дискового пространства
и производительности
Режим кэширования данных Exchange использует локальную копию почтового ящика
пользователя, и в некоторых случаях можно улучшить работу режима кэширования данных для
всей организации или для группы пользователей (например, для пользователей, работающих
удаленно).
Больше нет необходимости вручную синхронизировать учетные
записи Exchange
Синхронизация файлов OST и файлов автономной адресной книги пользователя с данными
Exchange Server производится независимо от действий приложения Outlook по отправке и
получению сообщений. Обновление данных для пользователей Outlook с помощью параметров
отправки и получения сообщений происходит так же, как и в ранних версиях Outlook.
Пользователи с учетными записями Exchange, в которых используется функция "Отправить и
получить", синхронизирующие данные Outlook, нажимая клавишу F9 или кнопку Отправить и
получить могут не осознавать, что ручная синхронизация больше не требуется. На практике
повторяющиеся пользовательские запросы к Exchange Server на доставку почты могут повлиять
на сетевой трафик и загрузку сервера. Для уменьшения таких эффектов следует
проинформировать пользователей, что ручные запросы на доставку почты в режиме
кэширования данных Exchange не являются обязательными. Это может быть особенно полезно
для удаленных пользователей, которые обычно использовали Outlook ранних версий в
автономном режиме и применяли запрос на доставку почты для синхронизации данных или
перед отключением от сети. Этот тип синхронизации в режиме кэширования данных Exchange
выполняется автоматически.
Другой метод устранения этой проблемы — это отключение параметра "Отправить и получить"
для пользователей. Однако иногда это не рекомендуется, так как может вызвать у некоторых
пользователей проблемы, например, при обновлении существующих пользователей Outlook,
использующих учетные записи POP, и существующих групп отправки и получения до версии
Outlook 2010. В этой ситуации, если отключить параметр "Отправить и получить", пользователи
не смогут загружать сообщения электронной почты по протоколу POP или HTTP, используя
Outlook Connector.
Преимущества доступа с помощью автономной адресной книги
С помощью режима кэширования данных Exchange приложение Outlook получает возможность
доступа к локальной автономной адресной книге для получения информации о пользователе,
что заменяет запрос данных с сервера Exchange Server. Локальный доступ к пользовательским
данным заметно уменьшает потребность Outlook в удаленном вызове процедур с сервера
Exchange Server и позволяет пользователям большую часть времени не зависеть от сетевого
доступа, который необходим в оперативном режиме Exchange и в предыдущих версиях Outlook.
125
Если у пользователей есть автономная адресная книга на компьютере, требуются только
добавочные обновления автономной адресной книги для защиты от необязательных запросов к
серверу. В режиме кэширования данных Exchange приложение Outlook синхронизирует
автономную адресную книгу пользователя с обновлениями копии автономной адресной книги на
сервере Exchange Server каждые 24 часа. Можно управлять частотой загрузки обновлений
автономной адресной книги пользователями, ограничив частоту обновления копии автономной
адресной книги на сервере Exchange Server. Если во время проверки приложением Outlook не
обнаруживается новых данных для синхронизации, то обновления автономной адресной книги
пользователя не происходит.
Примечание.
Пользователям рекомендуется использовать автономную адресную книгу в кодировке
Юникод по умолчанию. Файлы автономной адресной книги в кодировке ANSI не содержат
некоторых свойств, которые имеются в файлах автономной адресной книги в кодировке
Юникод. Приложение Outlook должно отправлять запросы на сервер для получения
необходимых свойств пользователей, которые недоступны в локальной автономной
адресной книге. Это может привести к значительным затратам времени сетевого
доступа, если у пользователей не установлена полная автономная адресная книга в
кодировке Юникод.
Рекомендации по использованию автономной папки (OST-файл)
При развертывании режима кэширования данных Exchange для Outlook рекомендуется
учитывать то, что локальные OST-файлы пользователя могут увеличить размер почтового ящика
на 50-80 процентов по сравнению с тем размером, который отображается на Exchange Server.
Формат, используемый Outlook для локального хранения данных в режиме кэширования данных
Exchange, занимает больше места, чем формат хранения данных на сервере. Это приводит к
увеличению используемого дискового пространства при загрузке почтовых ящиков для
предоставления локальной копии в режиме кэширования данных Exchange.
Когда в режиме кэширования данных Exchange впервые создается локальная копия почтового
ящика пользователя, текущий OST-файл пользователя, при его наличии, обновляется. Если
пользователи используют OST-файлы в формате ANSI (а не Юникод), рекомендуется
преобразовать эти файлы в Юникод. ANSI-файлы Outlook позволяют хранить до 2 гигабайт (ГБ)
данных. Максимальный размер OST-файла в формате Юникод можно изменить, по умолчанию
он равен 50 ГБ.
Также убедитесь, что OST-файлы пользователя размещены в папке с достаточным дисковым
пространством для размещения почтовых ящиков пользователя. Например, если жесткие диски
пользователей разбиты на разделы, самый маленький из которых используется для системных
программ (по умолчанию OST-файл хранится на системном диске), укажите папку на другом
диске для хранения OST-файлов пользователей.

Дополнительные сведения о развертывании OST-файлов в папке, отличной от папки по
умолчанию, см. в разделе Настройка местоположения по умолчанию для OST-файла с
126
помощью групповой политики статьи Настройка режима кэширования Exchange в Outlook
2010.

Чтобы определить применяемый формат OST-файлов (ANSI или Юникод), см. статью
Определение режима, который Outlook 2007 или Outlook 2003 использует для файлов
автономных папок (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=159924&clcid=0x419) (Возможно, на английском языке).

Дополнительные сведения о преобразовании существующих OST-файлов в формате ANSI в
формат Юникод см. в разделе Принудительное преобразование OST-файлов в формате
ANSI в формат Юникод статьи Настройка режима кэширования Exchange в Outlook 2010.

Дополнительные сведения о задании размера OST-файлов в формате Юникод см. в статье
Ограничение размера PST-файлов и OST-файлов в Outlook 2003 и Outlook 2007
(http://go.microsoft.com/fwlink/?linkid=159750&clcid=0x419).
Управление вопросами производительности
Многим пользователям покажется, что режим кэшированных данных Exchange быстрее, чем
интерактивный режим. Однако восприятие пользователем работы в режиме кэширования
данных Exchange зависит от многих факторов, в том числе от размера жесткого диска, скорости
центрального процессора и ожидаемого уровня производительности.
Советы по диагностике и решению проблем, связанных с производительностью Outlook, см. в
статье базы знаний Майкрософт 940226, посвященной диагностике проблем
производительности в Outlook 2007 (http://go.microsoft.com/fwlink/?linkid=100887&clcid=0x419), а
также в статье, содержащей советы по оптимизации производительности при развертывании
Outlook 2007 (http://go.microsoft.com/fwlink/?linkid=160227&clcid=0x419).
Управление общим доступом к папкам Outlook
В Outlook 2010 и Office Outlook 2007 по умолчанию, общие папки, к которым пользователи
получают доступ в других почтовых ящиках, загружаются и кэшируются в локальный OST-файл
пользователя, если включен режим кэширования данных Exchange. Не кэшируются только
общие папки почты. Например, если сотрудник предоставляет доступ к календарю другому
пользователю, и этот пользователь открывает календарь, то Outlook 2010 начинает локальное
кэширование папки, чтобы пользователь получил автономный доступ к папке и был изолирован
от сетевых проблем. Однако если менеджер передает участнику группы права на доступ к
своему ящику входящей почты, то доступ к папке может быть выполнен только в интерактивном
режиме и может вызвать задержки отклика.
Кэшированные непочтовые папки, такие как календарь, активируют автономный доступ и
обеспечивают повышенную надежность при работе в медленных или нестабильных сетях. Но
нужно учитывать, что для их первоначального наполнения требуется больше времени, больше
данных синхронизируется, поэтому размер локального OST-файла увеличивается. А при
медленных соединениях или когда пользователь отключен от сети, непочтовая папка не
обновляется до синхронизации и загрузки последних изменений.
127
Этот параметр (Загружать общие папки (кроме почтовых)) можно настроить в центре
развертывания Office (OCT) во время настройки развертывания режима кэширования данных
Exchange.
Также можно включить общие почтовые папки для пользователей, если это необходимо. Однако
примечания, указанные выше и касающиеся непочтовых папок, также применяются и к общему
доступу почтовых папок. Размер локального OST-файла увеличивается для пользователей с
включенными общими почтовыми папками. Дополнительные сведения о включении этого
параметра см. в статье Настройка режима кэширования Exchange в Outlook 2010.
Дополнительные сведения см. в статье В Outlook 2007 нельзя кэшировать общие почтовые
папки (http://go.microsoft.com/fwlink/?linkid=159948&clcid=0x419).
Вопросы использования общей папки "Избранное"
В режиме кэширования данных Exchange можно настроить загрузку и синхронизацию общих
папок, содержащихся в пользовательской папке "Избранное" общих папок Outlook. По
умолчанию общие папки "Избранное" не синхронизируются. Однако если в организации широко
используются общие папки, то рекомендуется включить эту возможность. Настроить загрузку
общей папки "Избранное" можно в OST-файле во время настройки развертывания режима
кэширования данных Exchange.
Если в общих папках "Избранное" пользователей содержатся большие общие папки, то
соответствующие OST-файлы также будут большими по объему. Это может отрицательно
сказаться на производительности Outlook в режиме кэширования данных Exchange. Перед
включением этой возможности в режиме кэширования данных Exchange убедитесь, что
пользователи контролируют добавление общих папок в папку "Избранное". Также убедитесь, что
OST-файлы пользователей достаточно велики и находятся в папках с достаточным дисковым
пространством для удовлетворения дополнительных требований по хранению загружаемых
общих папок.
Управление поведением Outlook для
обнаруженных медленных подключений
В приложении Outlook проверяется скорость сетевого адаптера на компьютере пользователя
для определения скорости его подключения, которая поддерживается операционной системой.
Если скорость сетевого адаптера составляет 128 КБ или менее, то подключение определяется
как медленное.
При обнаружении медленного подключения пользователя к серверу Exchange Server для
оптимизации работы Outlook уменьшает объем менее важной информации, синхронизируемой с
сервером Exchange Server. В Outlook применяются следующие изменения поведения
синхронизации при медленных подключениях.

Переключение на загрузку только заголовков.

Отключение загрузки автономной адресной книги и ее обновлений.
128

Загрузка текста сообщения и соответствующих вложений только по запросу пользователя.
В Outlook по-прежнему производится синхронизация данных с мобильными устройствами, а
также могут работать некоторые правила клиентской стороны.
Примечание.
Не рекомендуется выполнять синхронизацию мобильных устройств с включенным
параметром Режим кэширования Exchange, загружать только заголовки. При
синхронизации мобильного устройства (например, с помощью ActiveSync) в Outlook
загружаются полные элементы, а поэтому процесс синхронизации менее эффективен,
чем при регулярной синхронизации Outlook на компьютерах пользователей.
Параметр Загружать только заголовки при синхронизации разработан для пользователей
Outlook, использующих телефонное или сотовое беспроводное подключение, для минимизации
сетевого трафика медленного или дорогого подключения.
В некоторых ситуациях скорость сетевого адаптера может не в точности соответствовать
скорости передачи данных для пользователей. Например, если компьютер пользователя
подключен к локальной сети для быстрого доступа к локальным файловым серверам, скорость
сетевого адаптера считается высокой, так как пользователь подключен к локальной сети. Однако
при доступе пользователя к другим ресурсам в сети организации, включая сервер Exchange
Server, может применяться медленное соединение, такое как ISDN. В таком случае, когда
фактическая скорость передачи данных пользователей мала, хотя скорость сетевых адаптеров
заявлена как высокая, можно изменить параметр или заблокировать поведение Outlook,
например, отключив автоматическое переключение в режим загрузки только заголовков с
помощью параметра редактора объектов групповой политики, Запретить загрузку только
заголовков при медленном подключении. Также возможны подключения, которые в Outlook
определяются как медленные, но в которых пользователи имеют высокую реальную скорость
передачи данных. В этом случае также можно отключить автоматическое переключение на
загрузку только заголовков.
Параметр При медленном подключении загружать только заголовки можно задать в центре
развертывания Office или отключить его с помощью редактора объектов групповой политики,
установив параметр Запретить загрузку только заголовков при медленном подключении.
Дополнительные сведения об изменении этого параметра см. в статье Настройка режима
кэширования Exchange в Outlook 2010.
Параметры промежуточного развертывания
режима кэширования данных Exchange
Предусмотрите постепенное развертывание, если у большой группы пользователей планируется
обновление версии Outlook 2010 с включенным режимом кэширования данных. Режим
кэширования данных не применяется в Outlook 2002 и более ранних версиях, в Office Outlook
2003 и Office Outlook 2007 без установленного режима кэширования данных. Постепенное
129
развертывание позволяет серверам Exchange Server в организации управлять требованиями
создания и обновления OST-файлов пользователей.
Внимание!
Если для большинства учетных записей пользователей предусмотрено одновременное
обновление с внедрением режима кэширования данных Exchange, а затем выполняется
одновременный запуск Outlook (например, в понедельник утром после выполненного на
выходных обновления), то серверы Exchange Server будут испытывать определенные
проблемы с производительностью. Иногда эти проблемы могут быть незначительны —
например, если у большинства сотрудников организации присутствуют необходимые
OST-файлы. Но в целом рекомендуется поэтапное развертывание режима кэширования
данных Exchange.
В следующих сценариях приведены примеры того, как следует развертывать режим
кэширования Exchange, чтобы предотвратить сильное первоначальное влияние на
производительность серверов Exchange Server, а в некоторых случаях и минимизировать время,
которое пользователи тратят на ожидание начальной синхронизации.

Сохранение OST-файлов Outlook во время развертывания режима кэширования
данных Exchange. Поскольку при первом запуске приложения Outlook в режиме
кэширования данных Exchange существующие OST-файлы просто обновляются с
использованием последней информации почтового ящика, то сохранение данных файлов во
время развертывания режима кэширования данных Exchange способствует снижению
нагрузки на корпоративные серверы Exchange Server. Пользователям, у которых уже
присутствуют OST-файлы, требуется синхронизировать с сервером меньше информации для
Outlook. Этот сценарий оптимально подходит, если у большинства пользователей уже есть
OST-файлы, недавно синхронизированные с Exchange Server. Чтобы сохранить OST-файлы
во время развертывания Outlook в режиме кэширования данных Exchange, не следует
указывать новый сервер Exchange Server при настройке информации профиля Outlook в
центре развертывания Office. Или же во время настройки профиля Outlook снимите флажок
Переписывать существующие параметры Exchange при наличии соединения с
Exchange (применяется только при изменении профиля). (Если указать компьютер с
Exchange Server при настройке и развертывании Outlook, когда этот параметр включен,
Outlook заменяет поставщика службы Exchange в профиле MAPI, при этом удаляются записи
профиля для существующих OST-файлов.) Если используются OST-файлы в формате ANSI,
рекомендуется преобразовать OST-файлы пользователей в формат Юникод для улучшения
быстродействия и функциональности. В этом случае сохранить старые OST-файлы (ANSI)
нельзя, так как они будут созданы в формате Юникод.
Дополнительные сведения о преобразовании существующих OST-файлов в формате ANSI в
формат Юникод см. в разделе “Принудительное преобразование OST-файлов в формате
ANSI в формат Юникод” статьи Настройка режима кэширования Exchange в Outlook 2010.
130

Предоставление начальных OST-файлов удаленным пользователям и развертывание
режима кэширования данных Exchange после установки пользователями
предоставленных OST-файлов. Если у большинства сотрудников организации
отсутствуют OST-файлы и не используется режим кэширования данных Exchange, можно
развернуть Outlook 2010 с отключенным режимом кэширования данных Exchange. В этом
случае перед наступлением запланированной даты развертывания режима кэширования
данных Exchange необходимо предоставить начальные OST-файлы каждому пользователю
с помощью моментальных снимков их почтовых ящиков. Это можно реализовать, например,
передав или отправив по почте пользователю компакт-диск, на котором содержится файл с
инструкциями установки. Также можно предоставить последнюю версию полной
корпоративной адресной книги Office. Процедуры настройки и развертывания режима
кэширования данных Exchange осуществляются, когда пользователи подтвердят, что они
установили файлы.
При последующем обновлении развертывания Outlook для использования режима
кэширования данных Exchange сервер Exchange Server обновит существующие OST-файлы.
В этом случае необходимо синхронизировать гораздо меньше данных, чем если бы для
каждого пользователя создавались новые OST-файлы и файлы автономной адресной книги.
Создание индивидуальных компакт-дисков для каждого пользовательского OST-файла
может занять немало времени. Поэтому эта процедура эффективна для отдельных групп
удаленных пользователей. В противном случае эти пользователи могут потратить большое
количество времени, ожидая начала синхронизации почтового ящика и автономной адресной
книги. При определенных сценариях удаленного соединения это может оказаться затратно.
Дополнительные сведения о создании начальных OST-файлов см. в статье Предоставление
начального OST-файла для развертывания Outlook с режимом кэширования данных
Exchange (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=74518&clcid=0x419) (Возможно, на английском языке). В
этой статье описывается создание начальных OST-файлов для Office Outlook 2003.
Аналогичный процесс применяется для Office Outlook 2007 и Outlook 2010.

Развертывание Outlook с режимом кэширования данных Exchange для нескольких
групп пользователей с течением времени. Можно сбалансировать рабочую нагрузку
между серверами Exchange Server и локальной сетью, переводя группы пользователей через
определенный период времени в режим кэширования данных Exchange. Чтобы избежать
слишком больших объемов сетевого трафика и нагрузки на сервер при заполнении OSTфайлов элементами почтовых ящиков пользователей и загрузке OAB, происходит поэтапное
развертывание новых функциональных возможностей. Способы создания и развертывания
режима кэширования данных Exchange для групп пользователей зависят от стандартной
политики развертывания программ в организации. Например, группы пользователей можно
создавать в Microsoft Systems Management Server (SMS), на котором будет развернут пакет
SMS, переводящий Outlook в режим кэширования данных Exchange. Необходимо
периодически выполнять развертывание SMS для каждой группы пользователей. Чтобы
наиболее эффективно сбалансировать нагрузку, выбирайте группы пользователей с
учетными записями, находящимися в разных группах серверов Exchange Server.
131
Обновление текущих пользователей режима
кэширования данных Exchange до Outlook 2010
Обновление пользователей до Outlook 2010 с режимом кэширования Exchange, уже включенным
в Office Outlook 2003 и Office Outlook 2007, выполняется очень просто. Если параметры режима
кэширования данных Exchange не были изменены, они будут сохранены и для Outlook 2010.
Поскольку отсутствуют изменения формата OST-файлов и файлов автономной адресной книги,
то нет необходимости повторно создавать эти файлы во время установки.
Однако следует учитывать, что в Office Outlook 2007 есть возможность общего доступа к
непочтовым папкам, которая включена по умолчанию. Поэтому для существующих профилей
Office Outlook 2003, использующих режим кэширования данных Exchange, этот параметр
включается при обновлении. Проблемы возможны в следующих ситуациях.

Если в организации используются OST-файлы в кодировке ANSI.

Если размер пользовательских OST-файлов приближается к установленному пределу.

В организации используется очень много общих папок.
Если присутствуют все вышеперечисленные факторы, то загрузка общих непочтовых папок
может вызвать как проблемы производительности, так и иные проблемы.
Для новых профилей Outlook 2010 и для обновления существующих профилей Office Outlook
2003 следует с помощью центра развертывания Office отключить параметр общего доступа к
непочтовым папкам и тем самым предотвратить проблемы с загрузкой непочтовых папок. При
обновлении существующих профилей Office Outlook 2007 этот параметр можно отключить с
помощью редактора объектов групповой политики.
Кроме того, необходимо учитывать, что кэширование общих непочтовых папок работает иначе,
чем другие типы кэширования в режиме кэширования данных Exchange. Репликация в
локальный OST-файл для общих непочтовых папок начинается, только когда пользователь
щелкает общую папку. Когда пользователь активизирует кэширование для папки, щелкнув ее,
приложение Outlook обновляет папку так же, как и другие папки Outlook при синхронизации в
режиме кэширования данных Exchange. Однако если пользователь не переходит в папку хотя бы
один раз в 45 дней (значение по умолчанию), то локальные данные не будут более обновляться,
пока пользователь вновь не щелкнет папку.
Можно настроить параметр Синхронизация данных в общих папках в групповой политике.
Дополнительные сведения о настройке режима кэширования данных Exchange с помощью
групповой политики см. в разделе Настройка режима кэширования Exchange в Outlook 2010.
132
Развертывание режима кэширования данных
Exchange для пользователей, у которых уже есть
OST-файлы
Некоторые пользователи Outlook, подключающиеся к Exchange Server в интерактивном режиме,
могут использовать OST-файлы. Если они используют OST-файлы в формате ANSI и большие
почтовые ящики Exchange, то при попытке Outlook синхронизировать их почтовые ящики с OSTфайлами возможно возникновение ошибок. Рекомендуется преобразовать старые OST-файлы
пользователей в формат Юникод, так как у таких файлов нет ограничения в 2 ГБ, как у файлов в
формате ANSI. Юникод используется по умолчанию в Outlook 2010. Дополнительные сведения о
преобразовании существующих OST-файлов в формате ANSI в формат Юникод см. в разделе
Принудительное преобразование OST-файлов в формате ANSI в формат Юникод статьи
Настройка режима кэширования Exchange в Outlook 2010.
Настройка режима кэширования данных Exchange
Можно заблокировать эти параметры, чтобы настроить режим кэширования данных Exchange с
помощью административного шаблона групповой политики Outlook (Outlk12.adm). Также можно
настроить параметры по умолчанию, используя центр развертывания Office, и в этом случае
пользователи могут их менять.
С помощью групповой политики можно запретить включение пользователями режима
кэширования данных Exchange в Outlook 2010 и принудительно применить параметры загрузки
для режима кэширования данных Exchange или настроить другие параметры режима
кэширования данных Exchange. Например, можно указать время по умолчанию между
синхронизациями Exchange Server при изменении данных на сервере Exchange Server или на
клиентском компьютере.
Сведения о блокировке параметров с помощью групповой политики см. в статье Настройка
режима кэширования Exchange в Outlook 2010.
В следующей таблице приведены некоторые параметры, которые можно настроить для режима
кэширования данных Exchange. В групповой политике эти параметры находятся в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Параметры учетной записи\Exchange\Режим кэширования данных Exchange.
Параметры центра развертывания Office можно найти в соответствующих местах на странице
Изменение параметров пользователя центра развертывания Office.
Параметр
Описание
Запретить загрузку сообщений целиком
Включите, чтобы отключить параметр
Загружать сообщения целиком в Outlook.
Чтобы найти этот параметр, перейдите на
вкладку Отправка и получение и щелкните
133
Параметр
Описание
Параметры загрузки.
Запретить загрузку заголовков
Включите, чтобы отключить параметр
Загружать заголовки в Outlook. Чтобы найти
этот параметр, перейдите на вкладку Отправка
и получение.
Запретить загрузку заголовков, а затем
сообщений
Включите, чтобы отключить параметр
Загружать заголовки, а затем сообщения в
Outlook. Чтобы найти этот параметр, перейдите
на вкладку Отправка и получение и щелкните
Параметры загрузки.
Запретить загрузку только заголовков при
медленном подключении
Включите, чтобы отключить параметр При
медленных подключениях загружать только
заголовки в Outlook. Чтобы найти этот
параметр, перейдите на вкладку Отправка и
получение и щелкните Параметры загрузки.
Загружать общую папку ''Избранное''
Включите, чтобы синхронизировать общие
папки "Избранное" в режиме кэширования
данных Exchange.
Загружать общие папки, не содержащие почту
Включите, чтобы синхронизировать общие
непочтовые папки в режиме кэширования
данных Exchange.
Использовать режим кэширования данных
Exchange для новых и существующих
профилей Outlook
Включите, чтобы настраивать новые и
существующие профили Outlook для
использования режима кэширования данных
Exchange. Отключите, чтобы настраивать
новые и существующие профили Outlook для
использования интерактивного режима.
В следующей таблице приведены некоторые дополнительные параметры, которые можно
настроить для подключения к Exchange. В групповой политике эти параметры находятся в
разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Параметры учетной записи\Exchange. Параметры центра развертывания Office можно
найти в соответствующих местах на странице Изменение параметров пользователя центра
развертывания Office.
134
Параметр
Описание
Автоматическая настройка профиля на основе
основного SMTP-адреса Active Directory
Запрещает пользователям изменять SMTPадрес электронной почты, используемый для
настройки новой учетной записи, полученный
из службы каталогов Active Directory.
Настройка параметров пользовательского
интерфейса мобильного Outlook
Позволяет пользователям просматривать и
изменять параметры пользовательского
интерфейса для мобильного Outlook.
Запретить создание OST-файла
Запрещает использование автономной папки.
Ограничить устаревшие учетные записи
Exchange
Включите, чтобы наложить ограничение на
первую учетную запись, добавляемую в
профиль.
Задание максимального числа учетных записей Включите, чтобы задать максимальное число
Exchange для одного профиля
учетных записей Enable, разрешенных для
профиля Outlook.
Синхронизация данных в общих папках
Включите, чтобы настроить число дней,
прошедших с момента последнего обращения
пользователя к папке Outlook, перед тем, как
Outlook прекратит синхронизацию этой папки с
Exchange.
Дополнительные ресурсы
Дополнительные сведения о планировании развертывания режима кэширования данных
Exchange см. в следующих ресурсах.

При использовании Office Outlook 2003, Office Outlook 2007 или Outlook 2010 в сочетании с
системами на основе Exchange Server можно применять режим кэширования данных
Exchange и другие функции для повышения эффективности работы пользователя в таких
условиях, как большое время задержки, потеря подключения к сети и ограниченная
пропускная способность сети. Дополнительные сведения об этих улучшениях см. в
техническом документе, посвященном сетевому трафику клиентов при использовании
Exchange 2003 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=79063&clcid=0x419) (Возможно, на английском языке).

В Outlook 2010 используется функция автоматической настройки учетных записей
пользователей. Дополнительные сведения о механизмах обнаружения и способах
изменения XML-файла с целью настройки функции автообнаружения для своей организации
135
см. в статье Планирование автоматической настройки учетных записей пользователей в
Outlook 2010.
136
Рекомендации по планированию режима
кэширования Exchange в среде с узлами
сеансов удаленных рабочих столов
(технический документ)
Этот технический документ является приложением к документу, посвященному планированию
емкости узла сеанса удаленных рабочих столов в Windows Server 2008 R2 (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=196861&clcid=0x419) (Возможно, на
английском языке). Используйте этот документ при подготовке к развертыванию Outlook 2010 в
режиме кэширования Exchange в среде с узлами сеансов удаленных рабочих столов. В этом
техническом документе освещены три основных вопроса, которые необходимо рассмотреть при
планировании развертывания:

выбор системы хранения;

влияние на производительность;

использование систем сетевого хранения данных.
Загрузите технический документ в формате Microsoft Word (DOCX), содержащий рекомендации
по планированию режима кэширования Exchange в среде с узлами сеансов удаленных рабочих
столов (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=200170&clcid=0x419) (Возможно, на английском языке).
137
Планирование автоматической настройки
учетных записей пользователей в Outlook
2010
В этой статье описываются два механизма обнаружения для автоматической настройки учетных
записей пользователей в Microsoft Outlook 2010: автоматическое обнаружение и обнаружение
стандартных параметров.
Содержание:
Обзор
Использование функции автоматического обнаружения с DNS
Сводка транзакций автоматического обнаружения
Схема XML автоматического обнаружения
Обнаружение стандартных настроек
Обзор
Как и Microsoft Office Outlook 2007, Outlook 2010 поддерживает функцию автоматической
настройки учетных записей пользователей. Для этого Outlook 2010 использует один из двух
механизмов обнаружения: автообнаружение и обнаружение стандартных параметров.
Автообнаружение — это основанный на стандартах XML-файл, который может быть настроен
администратором поставщика услуг Интернета, корпорацией или динамически создан службой,
например ролью сервера клиентского доступа сервера Microsoft Exchange Server 2007 и Microsoft
Exchange Server 2010. Этот механизм является рекомендуемым для параметров обнаружения,
поскольку поддерживает оптимальную производительность. Кроме того, он позволяет
минимизировать возможность возникновения ошибки конфигурации на клиентском ПК; это
происходит потому, что параметры определены явно и намеренно администратором почтовых
серверов.
Обнаружение стандартных параметров отличается меньшей способностью к настройке и
большей простотой, однако данный механизм позволяет настраивать большинство типов
почтовых серверов в мире на основании стандартных параметров. Вначале выполняется
проверки зашифрованных подключений; если подключения не отвечают, пользователям
предлагается проверить незашифрованные подключения и выполнить проверку тех же серверов
без шифрования. Многие ISP не требуют использование шифрования, однако включают данную
возможность, чтобы пользователи могли настраивать свои учетные записи с использованием
шифрования.
Дополнительные сведения о развертывании службы автообнаружения и управления ею в
Exchange Server 2007 см. в разделе Обзор службы автообнаружения: справка Exchange 2007
138
(http://go.microsoft.com/fwlink/?linkid=183290&clcid=0x419). Описание для Exchange Server 2010
см. в статье Общие сведения о службе автообнаружения: справка Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=183289&clcid=0x419).
Использование функции автоматического
обнаружения с DNS
Функция автообнаружения в приложении Outlook 2010 представляет собой XML-файл,
помещенный в одно из двух расположений, в зависимости от имени домена, предоставленного
пользователем. В Интернете автообнаружение находит XML-файл с помощью системы DNS.
Расположение XML-файла зависит от адреса электронной почты, предоставленного
пользователем. Например, если в качестве адреса указано "barbara@contoso.com", приложение
Outlook 2010 ищет XML-файл в следующих расположениях и в следующем порядке:
1. https://contoso.com/autodiscover/autodiscover.xml
2. https://autodiscover/.contoso.com/autodiscover/autodiscover.xml
Если в корневом домене у компании также имеется веб-сайт (например, contoso.com), вторая
возможность (решение автообнаружения "запись ресурса сайта (A)") разрешает запускать вебсервер и файл или службу автообнаружения на разных серверах. Для компаний меньшего
размера задачи по управлению отдельными записями DNS можно игнорировать, а один сервер
может выполнять как веб-сайт, так и службу автообнаружения (например, вариант 1, показанный
выше).
Необходимо установить подключение с помощью протокола Secure Sockets Layer (SSL), для
которого требуется действительный сертификат SSL. Сертификат необходим в связи с тем, что
компания или поставщик услуг Интернета могут предоставить только зашифрованный доступ к
почтовым серверам. В этом случае, если приложение Outlook 2010 вначале проверяет
расположения не-SSL или позволяет переместиться в расположение не-SSL, а пользователь
указывает адрес электронной почты и пароль в уязвимой ситуации с системой безопасности, как,
например, во время атаки main-in-the-middle, служба автоматической настройки в приложении
Outlook 2010 может ослабить защиту системы, поскольку при разрешении подключения не-SSL
является наиболее незащищенным звеном. Без использования зашифрованного подключения
служба автоматической настройки позволяет незашифрованного веб-сайту настраивать
параметры почтового сервера и позволяет выполнять проверку подлинности на основании
имени и пароля пользователя на незашифрованном сайте. В то же время SSL требуется в
протоколе Autodiscover для обеспечения совместимости с компаниями и ISP, которые реализуют
процедуры безопасной настройки.
Однако если компания или ISP предпочитают размещать множество доменов электронной
почты, Outlook 2010 может использовать незашифрованную пересылку HTTP или запись ресурса
DNS SRV (эта функция поиска записи DNS SRV включена в Office Outlook 2007 с пакетом
обновления 1 и более поздних версиях) на защищенный веб-сайт, на котором хранятся эти
параметры. Например, предположим, что contoso.com находится на размещенном домене
электронной почты, а служба хостинга выполняет файл Autodiscover в hoster.com. В этом случае
139
префикс autodiscover может использовать компанией хостинга, чтобы направить приложение
Outlook 2010 на безопасный сайт с параметрами автообнаружения.

HTTP redirect: http://autodiscover/.contoso.com/autodiscover/autodiscover.xml --> redirects to
https://autodiscover/.hoster.com/autodiscover/autodiscover.xml

DNS SRV: _autodiscover._tcp.contoso.com --> points to
https://autodiscover/.hoster.com/autodiscover/autodiscover.xml
В обоих примерах пользователям будет показано в Outlook 2010 диалоговое окно с
предупреждением о перенаправлении на адрес autodiscover.hoster.com в соответствии с
параметрами сервера. Диалоговое окно поддерживает возможность разрешения пересылки или
последующего игнорирования данного запроса (в этом примере — autodiscover.hoster.com).
Сведения о протоколе автообнаружения
В доменной среде с настроенной точкой подключения службы (SCP) сначала выполняется поиск
SCP. В противном случае первая попытка подключения всегда производится с предиката HTTPS
POST на домен, на котором зарегистрирован электронный почтовый адрес пользователя
адрес@домен. Если параметры получены, то никаких дополнительных запросов сети не
требуется. Если же нет, предикат HTTPS POST выполняется на домене autodiscoverдомен. Если
параметры для этого сайта не получены, выполняется финальный поиск в записях HTTP GET и
DNS SRV только на сайте autodiscover.домен. Данный поиск записей HTTP GET и DNS SRV
может быть перенаправлен только на защищенный сайт (если параметры присутствуют в
расположении HTTP, Outlook 2010 не будет настраивать в связи с тем, что подключение не было
зашифровано).
Outlook 2010 может поддерживать до 10 перенаправлений любого типа. То есть, можно
воспользоваться перенаправлением HTTPS POST, HTTP GET или тегами пересылки
Autodiscover XML-схемы, которые подробнее описаны далее в данной статье. Если параметры
не были получены после 10 перенаправлений, обнаружение параметров невозможно.
Статический XML и XML веб-службы
Предикат POST используется таким образом, чтобы приложение Outlook 2010 могла создать
запрос к динамической веб-службе, как, например, роль сервера клиентского доступа в Exchange
2007 или Exchange Server 2010. Однако если статический XML-файл достаточен или выполнение
веб-службы автообнаружения не требуется, XML-ответ будет возвращен в виде настроенного
ответа 405 (предикат POST не поддерживается) с любого веб-сервера, который также будет
выполнять роль XML настройки, используемой Outlook 2010.
Локальное использование автообнаружения
Реестр на ПК можно настроить таким образом, чтобы выполнять поиск локального XML-файла,
который определяет серверные параметры. В то же время настойчиво рекомендуется
размещать параметры на сервере live, чтобы можно было легко обновить их. При тестирование
140
добавление записей к реестру может привести к тому, что приложение Outlook 2010 будет
использовать локальные XML-файлы для настройки домена электронной почты, не настроенного
на сервере. Сервер переопределяет локальный XML для обеспечения лучшей безопасности и
управления настройкой.
Например, чтобы получить параметры адреса электронной почты contoso.com из локального
XML-файла, можно настроить следующий параметр реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Autodiscover]
"contoso.com"="%PROGRAMFILES%\Microsoft Office\Office14\contoso.xml"
В этом примере файл параметров XML расположен в следующем месте:
%PROGRAMFILES%\Microsoft Office\Office14\contoso.xml. Образец файла параметров XML
представлен далее в этой статье.
Предшествование параметров XML
Outlook 2010 настраивает тип сервера на основании команды с помощью которой в файле
параметров автообнаружения XML задаются серверы. Например, если поставщик почтовых
служб поддерживает вход через протоколы POP3 и IMAP, однако предпочитает протокол POP3,
параметры POP3 должны быть перечислены в файле Autodiscover.
Сводка транзакций автоматического обнаружения
Далее представлены сведения о порядке операций для обнаружения параметров службы
автообнаружения в Outlook 2010.
1. Автоматически получить адрес электронной почты из службы каталогов Active Directory, если
компьютер присоединен к домену.
2. Получить имя компьютера Exchange Server, если таковое имеется, и сохранить его для
последующих операций.
3. Выполните поиск объектов точки подключения службы или объекты указателя точки
подключения службы, которые соответствуют адресу электронной почты пользователя, и
найдите правильный сервер автообнаружения для подключения. После этого подключитесь к
серверу автообнаружения и получите параметры.
4. Если предыдущее действие не удалось выполнить, попытаться воспользоваться функцией
обнаружения DNS средства Autodiscover XML (поддерживает 10 перенаправлений).
a. HTTPS POST: https://домен/autodiscover/autodiscover.xml
b. HTTPS POST: https://autodiscover/.домен/autodiscover/autodiscover.xml
c.
HTTP GET: http://autodiscover/.домен/autodiscover/autodiscover.xml (только для
выполнения перенаправления, а не для получения параметров)
d. DNS SRV lookup: _autodiscover._tcp.домен (только для выполнения перенаправления, на
которое указывает запись ресурса SRV)
141
5. Если предыдущее действие не удалось выполнить, попытаться воспользоваться функцией
локального обнаружения XML и использовать файл XML на локальном компьютере, если это
возможно.
6. Если действие на предыдущем этапе не было выполнено, однако имя компьютера Exchange
Server было получено на этапе 2, настройте учетную запись сервера Exchange в
соответствии с именем компьютера Exchange Server.
7. Если предыдущее действие неприменимо, попытаться использовать функцию обнаружения
стандартных параметров, как описано в разделе Обнаружение стандартных настроек далее
в этой статье.
Схема XML автоматического обнаружения
Описание XML-схемы для функции автообнаружения в Outlook 2010 представлено в следующих
разделах.
Запрос POST, отправленный Outlook
При извлечении параметров XML для настройки учетной записи электронной почты Outlook 2010
всегда использует метод POST. HTTP POST показан в следующем примере кода.
<!-- REQUEST TO SERVER. In HTTP POST DATA -->
<?xml version="1.0" encoding="utf-8" ?>
<Autodiscover
xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006">
<Request>
<AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responsesc
hema/2006a</AcceptableResponseSchema>
<!-- EMailAddress: Optional
This tag indicates the user’s email address.
-->
<EMailAddress>JohnDoe@sample.com</EMailAddress>
</Request>
</Autodiscover>
Схема XML-ответа
Сервер может ответить на запрос Outlook 2010 несколькими способами. Если достаточным
является статический файл XML (например, служба POP3, предоставленная поставщиком услуг
Интернета с одинаковыми именами серверов для всех пользователей), то используется
142
настроенное сообщение об ошибке 405 POST с XML-содержимым. В случае выполнения службы
автообнаружения ответ может быть вычислен динамически на основании сообщение
пользователя POST, показанного в предыдущем разделе. Вне зависимости от выбранного
способа используется схема, представленная в следующем образце кода.
<!-- RESPONSE FROM THE SERVER -->
<?xml version="1.0" encoding="utf-8" ?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<!-- Response: Required
This tag serves as an indication that the retrieved XML is an Autodiscovery Response
-->
<Response
xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
<!-- User: Optional
This tag gives user-specific information.
Autodiscover must be UTF-8 encoded.
-->
<User>
<!-- DisplayName: Optional
The server may have a good formal display name.
it.
The client can decide to accept it or change
This will save the user time in the default case.
-->
<DisplayName>John Doe</DisplayName>
</User>
<!-- Account: Required
This tag specifies the type of account, such as Email vs Newsgroups, vs SIP server, etc.
-->
<Account>
<!-- AccountType: Required
This value indicates the type of the account.
VALUES:
email: The values under this Account tag indicate configuration settings for an email server.
nntp: The values under this Account tag indicate configuration settings for a NNTP server. (not
used by Outlook 2007)
-->
143
<AccountType>email | nntp</AccountType>
<!-- Action: Required
This value indicates if the goal of this account results is to provide the settings or redirect
to another web server that can provide results.
VALUES:
redirectUrl: If this value is specified, then the URL tag will specify the http: or https: URL
containing the Autodiscover results to be used.
In order to prevent the server from being able
to send the client into an infinite loop, the client should stop redirecting after 10
redirects.
redirectAddr: If this value is specified, then the XML tag will specify the e-mail address that
Outlook should use to execute Autodiscover again.
In other words, the server is telling the
client that the e-mail address the client should really be using for Autodiscover is not the
one that was posted, but the one specified in this tag.
settings: If this value is specified, then the XML will contain the settings needed to
configure the account.
The settings will primarily be under the PROTOCOL tag.
-->
<Action>redirectUrl | redirectAddr | settings</Action>
<!-- RedirectUrl: Required if ACTION tag has value of 'redirectUrl'. Otherwise this tag must
not exist.
The value will be a https: URL that the client should use to obtain the Autodiscover settings
or a http: URL that the client should use for further redirection.
-->
<RedirectUrl>redirect.URL</RedirectUrl>
<!-- RedirectAddr: Required if ACTION tag has value of 'redirectAddr'. Otherwise this tag must
not exist.
The value will be an email address that the client should use to rediscover settings using the
Autodiscover protocol.
-->
<RedirectAddr>email@address</RedirectAddr>
<!-- Image: Optional
144
This is a JPG picture to brand the ISP configuration experience with. The client can choose
whether or not they download this picture to display. (not used by Outlook 2007)
-->
<Image>http://path.to.image.com/image.jpg</Image>
<!-- ServiceHome: Optional
This is a link to the ISP’s Home Page. The client can choose whether or not they expose this
link to the user. (not used by Outlook 2007)
-->
<ServiceHome>http://web.page.com</ServiceHome>
<!-- Protocol: Required if ACTION tag has value of 'settings'. Otherwise, this tag must not
exist.
The tag encloses the specifications for a single account type.
in order of preference of the server.
The list of Protocol tags are
The client may over ride the preference.
-->
<Protocol>
<!-- TYPE: Required.
The value here specifies what kind of mail account is being configured.
POP3: The protocol to connect to this server is POP3. Only applicable for AccountType=email.
SMTP: The protocol to connect to this server is SMTP. Only applicable for AccountType=email.
IMAP: The protocol to connect to this server is IMAP. Only applicable for AccountType=email.
DAV: The protocol to connect to this server is DAV. Only applicable for AccountType=email.
WEB: Email is accessed from a web browser using an URL from the SERVER tag. Only applicable for
AccountType=email. (not used by Outlook 2007)
NNTP: The protocol to connect to this server is NNTP. Only applicable for AccountType=nntp.
(not used by Outlook 2007)
-->
<Type>POP3 | SMTP | IMAP | DAV | WEB | NNTP</Type>
<!-- ExpirationDate: Optional.
The value here specifies the last date which these settings should be used. After that date,
the settings should be rediscovered via Autodiscover again. If no value is specified, the
default will be no expiration.
145
-->
<ExpirationDate>YYYYMMDD</ExpirationDate>
<!-- TTL: Optional.
The value here specifies the time to live in hours that these settings are valid for. After
that time has elapsed (from the time the settings were retrieved), the settings should be
rediscovered via Autodiscovery again. A value of 0 indicates that no rediscovery will be
required. If no value is specified, the default will be a TTL of 1 hour.
-->
<TTL>168</TTL>
<!-- Server: Required.
The value here specifies the name of the mail server corresponding to the server type specified
above.
For protocols such as POP3, SMTP, IMAP, or NNTP, this value will be either a hostname or an IP
address.
For protocols such as DAV or WEB, this will be an URL.
-->
<Server>mail.contoso.com</Server> <!--IP Addr or DNS name of server-->
<!-- Port: Optional.
The value specifies the Port number to use.
If no value is specified, the default settings
will be used depending on the mail server type.
This value is not used if the SERVER tag
contains an URL.
-->
<Port>110</Port>
<!-- LoginName: Optional.
This value specifies the user's login.
If no value is specified, the default will be set to
the string preceding the '@' in the email address.
format should be <Username>@<Domain>.
If the Login name contains a domain, the
Such as JoeUser@SalesDomain.
-->
<LoginName>johndoe</LoginName>
146
<!-- DomainRequired: Optional.
Default is off.
If this value is true, then a domain is required during authentication.
If the domain is not
specified in the LOGINNAME tag, or the LOGINNAME tag was not specified, the user will need to
enter the domain before authentication will succeed.
-->
<DomainRequired>on | off</DomainRequired>
<!-- DomainName: Optional.
This value specifies the user's domain. If no value is specified, the default authentication
will be to use the e-mail address as a UPN format <Username>@<Domain>. Such as
JoeUser@SalesDomain.
-->
<DomainName></DomainName>
<!-- SPA: (Secure Password Authentication) Optional.
This value specifies whether or not secure password authentication is needed.
If unspecified, the default is set to on.
-->
<SPA>on | off</SPA>
<!-- SSL: Optional.
This value specifies whether secure login is needed.
If unspecified, the default is set to on.
-->
<SSL>on | off</SSL>
<!-- AuthRequired: Optional.
This value specifies whether authentication is needed (password).
If unspecified, the default is set to on.
-->
<AuthRequired>on | off</AuthRequired> <!-- Optional: Is Authentication required? -->
<!-- UsePOPAuth: Optional.
This value can only be used for SMTP types.
147
If specified, then the authentication information provided for the POP3 type account will also
be used for SMTP.
-->
<UsePOPAuth>on | off</UsePOPAuth>
<!-- SMTPLast: Optional.
Default is off.
If this value is true, then the SMTP server requires that email be downloaded before sending
email via the SMTP server.
This is often required because the SMTP server verifies that the
authentication succeeded when downloading email.
-->
<SMTPLast>on | off</SMTPLast>
</Protocol>
</Account>
</Response>
</Autodiscover>
Образец XML-ответов
Возвращаемый XML-ответ зависит от конфигурации, заданной поставщиком услуг Интернета.
Поставщик услуг Интернета со службами POP3 и SMTP
Следующий XML-файл будет настроен в качестве настраиваемого ответа на ошибку 405 по
адресу https://contoso.com/autodiscover/autodiscover.xml или
https://autodiscover/.contoso.com/autodiscover/autodiscover.xml.
<?xml version="1.0" encoding="utf-8" ?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<Response
xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
<Account>
<AccountType>email</AccountType>
<Action>settings</Action>
<Protocol>
<Type>POP3</Type>
<Server>mail.contoso.com</Server>
<Port>995</Port>
148
<DomainRequired>off</DomainRequired>
<SPA>off</SPA>
<SSL>on</SSL>
<AuthRequired>on</AuthRequired>
</Protocol>
<Protocol>
<Type>SMTP</Type>
<Server>mail.contoso.com</Server>
<Port>587</Port>
<DomainRequired>off</DomainRequired>
<SPA>off</SPA>
<SSL>on</SSL>
<AuthRequired>on</AuthRequired>
<UsePOPAuth>on</UsePOPAuth>
<SMTPLast>on</SMTPLast>
</Protocol>
</Account>
</Response>
</Autodiscover>
Поставщик услуг Интернета со службами POP3, IMAP и SMTP с
предпочтением POP3 для клиентов
Следующий XML-файл будет настроен в точности, как показано в предыдущем разделе.
<?xml version="1.0" encoding="utf-8" ?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<Response
xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
<Account>
<AccountType>email</AccountType>
<Action>settings</Action>
<Protocol>
<Type>POP3</Type>
<Server>mail.contoso.com</Server>
149
<Port>995</Port>
<DomainRequired>off</DomainRequired>
<SPA>off</SPA>
<SSL>on</SSL>
<AuthRequired>on</AuthRequired>
</Protocol>
<Protocol>
<Type>IMAP</Type>
<Server>mail.contoso.com</Server>
<Port>993</Port>
<DomainRequired>off</DomainRequired>
<SPA>off</SPA>
<SSL>on</SSL>
<AuthRequired>on</AuthRequired>
</Protocol>
<Protocol>
<Type>SMTP</Type>
<Server>mail.contoso.com</Server>
<Port>587</Port>
<DomainRequired>off</DomainRequired>
<SPA>off</SPA>
<SSL>on</SSL>
<AuthRequired>on</AuthRequired>
<UsePOPAuth>on</UsePOPAuth>
<SMTPLast>on</SMTPLast>
</Protocol>
</Account>
</Response>
</Autodiscover>
150
Перенаправление XML к расположению стандартного XML-файла
Чтобы перенаправить пользователей к стандартному XML-файлу, необходимо настроить
следующий XML-файл в размещенном домене с использованием незашифрованного URLадреса. При использовании этого XML-файла появится сообщение о перенаправлении
пользователей на другой веб-сайт для применения параметров автообнаружения.
Например, если домен размещен на hoster.com с адресом электронной почты contoso.com, файл
будет расположен по адресу http://autodiscover/.contoso.com/autodiscover/autodiscover.xml.
Содержимое файла в данном случае показано в следующем образце кода.
<?xml version="1.0" encoding="utf-8" ?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<Response
xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
<Account>
<AccountType>email</AccountType>
<Action>redirectUrl</Action>
<RedirectUrl>https://autodiscover.hoster.com/autodiscover/autodiscover.xml</RedirectUrl>
</Account>
</Response>
</Autodiscover>
Также перенаправление может быть выполнено с помощью стандартного перенаправления
HTTP 302 к исходному расположению. В рамках XML-ответа Outlook 2010 поддерживает как
перенаправления 302, так и теги перенаправления "redirectUrl".
Учтите, что содержимое XML-файлов для всех откликов автообнаружения должно быть названо
Autodiscover.xml.
Обнаружение стандартных настроек
Если параметры, необходимые для автоматической настройки учетной записи пользователя в
Outlook 2010, не удается найти с помощью методов, описанных в предыдущих разделах о
функции автообнаружения, то для определения серверов используется резервный алгоритм на
основе общих имен и стандартных портов.
В Outlook 2010 при автоматической настройке учетной записи веб-почты тип учетной записи
задается как IMAP по умолчанию для учетных записей с поддержкой IMAP, таких как Google
Gmail. Если пользователи предпочитают POP3, они могут вручную настраивать параметры
протокола после их определения Outlook 2010 посредством выбора параметра Настроить
вручную параметры сервера в диалоговом окне Добавить новую учетную запись. Чтобы
сделать процесс выбора проще, поставщики услуг электронной почты по протоколам POP3 и
IMAP должны использовать одинаковые имена серверов для каждого протокола. Таким образом,
151
при переключении с протокола IMAP на POP3 пользователю нужно только поменять поле
выбора.
Outlook 2010 поддерживает ряд параметров серверов исходящих и входящих сообщений, а
также позволяет увеличить производительность и сократить время ожидания для
пользователей. Параметры, настраиваемые в приложении Outlook 2010, перечислены в
представленных ниже таблицах. Все зашифрованные параметры настраиваются в первую
очередь и являются взаимоисключающими. Затем, по желанию пользователей,
устанавливаются незашифрованные параметры.
Параметры IMAP
Прежде всего настраиваются зашифрованные параметры. Перестановки подключений для
сервера IMAP показаны в следующей таблице.
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
mail.домен
imap.домен
адрес_эл._почты@домен
993
SSL
SPA
адрес_эл._почты@домен
993
Протокол SSL
без SPA
адрес_эл._почты@домен
993
TLS
SPA
адрес_эл._почты@домен
993
TLS
без SPA
адрес_эл._почты@домен
143
SSL
SPA
адрес_эл._почты@домен
143
Протокол SSL
без SPA
адрес_эл._почты@домен
143
TLS
SPA
адрес_эл._почты@домен
143
TLS
без SPA
адрес_эл._почты
993
Протокол SSL
SPA
адрес_эл._почты
993
Протокол SSL
без SPA
адрес_эл._почты
993
TLS
SPA
адрес_эл._почты
993
TLS
без SPA
адрес_эл._почты
143
Протокол SSL
SPA
адрес_эл._почты
143
Протокол SSL
без SPA
адрес_эл._почты
143
TLS
SPA
адрес_эл._почты
143
TLS
без SPA
адрес_эл._почты@домен
993
SSL
SPA
152
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
домен
адрес_эл._почты@домен
993
Протокол SSL
без SPA
адрес_эл._почты@домен
993
TLS
SPA
адрес_эл._почты@домен
993
TLS
без SPA
адрес_эл._почты@домен
143
Протокол SSL
SPA
адрес_эл._почты@домен
143
Протокол SSL
без SPA
адрес_эл._почты@домен
143
TLS
SPA
адрес_эл._почты@домен
143
TLS
без SPA
адрес_эл._почты
993
SSL
SPA
адрес_эл._почты
993
Протокол SSL
без SPA
адрес_эл._почты
993
TLS
SPA
адрес_эл._почты
993
TLS
без SPA
адрес_эл._почты
143
SSL
SPA
адрес_эл._почты
143
Протокол SSL
без SPA
адрес_эл._почты
143
TLS
SPA
адрес_эл._почты
143
TLS
без SPA
адрес_эл._почты@домен
993
SSL
SPA
адрес_эл._почты@домен
993
Протокол SSL
без SPA
адрес_эл._почты@домен
993
TLS
SPA
адрес_эл._почты@домен
993
TLS
без SPA
адрес_эл._почты@домен
143
SSL
SPA
адрес_эл._почты@домен
143
SSL
без SPA
адрес_эл._почты@домен
143
TLS
SPA
адрес_эл._почты@домен
143
TLS
без SPA
адрес_эл._почты
993
SSL
SPA
адрес_эл._почты
993
SSL
без SPA
адрес_эл._почты
993
TLS
SPA
153
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
адрес_эл._почты
993
TLS
без SPA
адрес_эл._почты
143
SSL
SPA
адрес_эл._почты
143
SSL
без SPA
адрес_эл._почты
143
TLS
SPA
адрес_эл._почты
143
TLS
без SPA
После того как пользователю предлагается продолжить настройку незашифрованных
подключений, настраиваются незашифрованные перестановки. Незашифрованные параметры
IMAP, которые пытается настроить Outlook 2010, показаны в следующей таблице.
Сервер
Имя пользователя
Порт
Протокол TLS/SSL
SPA
mail.домен
адрес_эл._почты@домен
143
Без шифрования
SPA
адрес_эл._почты@домен
143
Без шифрования
без SPA
адрес_эл._почты
143
Без шифрования
SPA
адрес_эл._почты
143
Без шифрования
без SPA
адрес_эл._почты@домен
143
Без шифрования
SPA
адрес_эл._почты@домен
143
Без шифрования
без SPA
адрес_эл._почты
143
Без шифрования
SPA
адрес_эл._почты
143
Без шифрования
без SPA
адрес_эл._почты@домен
143
Без шифрования
SPA
адрес_эл._почты@домен
143
Без шифрования
без SPA
адрес_эл._почты
143
Без шифрования
SPA
адрес_эл._почты
143
Без шифрования
без SPA
imap.домен
домен
Параметры POP3
Прежде всего настраиваются зашифрованные параметры. Перестановки подключений для
сервера POP3 показаны в следующей таблице.
154
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
mail.домен
pop3.домен
адрес_эл._почты@домен
995
SSL
SPA
адрес_эл._почты@домен
995
SSL
без SPA
адрес_эл._почты@домен
995
TLS
SPA
адрес_эл._почты@домен
995
TLS
без SPA
адрес_эл._почты@домен
110
SSL
SPA
адрес_эл._почты@домен
110
SSL
без SPA
адрес_эл._почты@домен
110
TLS
SPA
адрес_эл._почты@домен
110
TLS
без SPA
адрес_эл._почты
995
SSL
SPA
адрес_эл._почты
995
SSL
без SPA
email
995
TLS
SPA
адрес_эл._почты
995
TLS
без SPA
адрес_эл._почты
110
SSL
SPA
адрес_эл._почты
110
SSL
без SPA
адрес_эл._почты
110
TLS
SPA
адрес_эл._почты
110
TLS
без SPA
адрес_эл._почты@домен
995
SSL
SPA
адрес_эл._почты@домен
995
SSL
без SPA
адрес_эл._почты@домен
995
TLS
SPA
адрес_эл._почты@домен
995
TLS
без SPA
адрес_эл._почты@домен
110
SSL
SPA
адрес_эл._почты@домен
110
SSL
без SPA
адрес_эл._почты@домен
110
TLS
SPA
адрес_эл._почты@домен
110
TLS
без SPA
адрес_эл._почты
995
SSL
SPA
адрес_эл._почты
995
SSL
без SPA
155
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
pop.домен
домен
адрес_эл._почты
995
TLS
SPA
адрес_эл._почты
995
TLS
без SPA
адрес_эл._почты
110
SSL
SPA
адрес_эл._почты
110
SSL
без SPA
адрес_эл._почты
110
TLS
SPA
адрес_эл._почты
110
TLS
без SPA
адрес_эл._почты@домен
995
SSL
SPA
адрес_эл._почты@домен
995
SSL
без SPA
адрес_эл._почты@домен
995
TLS
SPA
адрес_эл._почты@домен
995
TLS
без SPA
адрес_эл._почты@домен
110
SSL
SPA
адрес_эл._почты@домен
110
SSL
без SPA
адрес_эл._почты@домен
110
TLS
SPA
адрес_эл._почты@домен
110
TLS
без SPA
адрес_эл._почты
995
SSL
SPA
адрес_эл._почты
995
SSL
без SPA
адрес_эл._почты
995
TLS
SPA
адрес_эл._почты
995
TLS
без SPA
адрес_эл._почты
110
SSL
SPA
адрес_эл._почты
110
SSL
без SPA
адрес_эл._почты
110
TLS
SPA
адрес_эл._почты
110
TLS
без SPA
адрес_эл._почты@домен
995
SSL
SPA
адрес_эл._почты@домен
995
SSL
без SPA
адрес_эл._почты@домен
995
TLS
SPA
адрес_эл._почты@домен
995
TLS
без SPA
156
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
адрес_эл._почты@домен
110
SSL
SPA
адрес_эл._почты@домен
110
SSL
без SPA
адрес_эл._почты@домен
110
TLS
SPA
адрес_эл._почты@домен
110
TLS
без SPA
адрес_эл._почты
995
SSL
SPA
адрес_эл._почты
995
SSL
без SPA
адрес_эл._почты
995
TLS
SPA
адрес_эл._почты
995
TLS
без SPA
адрес_эл._почты
110
SSL
SPA
адрес_эл._почты
110
SSL
без SPA
адрес_эл._почты
110
TLS
SPA
адрес_эл._почты
110
TLS
без SPA
После того как пользователю предлагается продолжить настройку незашифрованных
подключений, настраиваются незашифрованные перестановки. Незашифрованные параметры
POP3, которые пытается настроить Outlook 2010, показаны в следующей таблице.
Сервер
Имя пользователя
Порт
Протокол TLS/SSL
SPA
mail.домен
адрес_эл._почты@домен
110
Без шифрования
SPA
адрес_эл._почты@домен
110
Без шифрования
без SPA
адрес_эл._почты
110
Без шифрования
SPA
адрес_эл._почты
110
Без шифрования
без SPA
адрес_эл._почты@домен
110
Без шифрования
SPA
адрес_эл._почты@домен
110
Без шифрования
без SPA
адрес_эл._почты
110
Без шифрования
SPA
адрес_эл._почты
110
Без шифрования
без SPA
адрес_эл._почты@домен
110
Без шифрования
SPA
pop3.домен
pop.домен
157
Сервер
домен
Имя пользователя
Порт
Протокол TLS/SSL
SPA
адрес_эл._почты@домен
110
Без шифрования
без SPA
адрес_эл._почты
110
Без шифрования
SPA
адрес_эл._почты
110
Без шифрования
без SPA
адрес_эл._почты@домен
110
Без шифрования
SPA
адрес_эл._почты@домен
110
Без шифрования
без SPA
адрес_эл._почты
110
Без шифрования
SPA
адрес_эл._почты
110
Без шифрования
без SPA
Параметры SMTP
Прежде всего настраиваются зашифрованные параметры. Перестановки подключений для
сервера SMTP показаны в следующей таблице.
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
mail.домен
адрес_эл._почты@домен
587
SSL
SPA
адрес_эл._почты@домен
587
SSL
без SPA
адрес_эл._почты@домен
587
TLS
SPA
адрес_эл._почты@домен
587
TLS
без SPA
адрес_эл._почты@домен
25
SSL
SPA
адрес_эл._почты@домен
25
SSL
без SPA
адрес_эл._почты@домен
25
TLS
SPA
адрес_эл._почты@домен
25
TLS
без SPA
адрес_эл._почты
587
SSL
SPA
адрес_эл._почты
587
SSL
без SPA
адрес_эл._почты
587
TLS
SPA
адрес_эл._почты
587
TLS
без SPA
адрес_эл._почты
25
SSL
SPA
158
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
smtp.домен
адрес_эл._почты
25
SSL
без SPA
адрес_эл._почты
25
TLS
SPA
адрес_эл._почты
25
TLS
без SPA
Анонимный доступ
587
SSL
неприменимо
Анонимная
587
TLS
неприменимо
Анонимная
25
SSL
неприменимо
Анонимная
25
TLS
неприменимо
адрес_эл._почты@домен
587
SSL
SPA
адрес_эл._почты@домен
587
SSL
без SPA
адрес_эл._почты@домен
587
TLS
SPA
адрес_эл._почты@домен
587
TLS
без SPA
адрес_эл._почты@домен
25
SSL
SPA
адрес_эл._почты@домен
25
SSL
без SPA
адрес_эл._почты@домен
25
TLS
SPA
адрес_эл._почты@домен
25
TLS
без SPA
адрес_эл._почты
587
SSL
SPA
адрес_эл._почты
587
SSL
без SPA
адрес_эл._почты
587
TLS
SPA
адрес_эл._почты
587
TLS
без SPA
адрес_эл._почты
25
SSL
SPA
адрес_эл._почты
25
SSL
без SPA
адрес_эл._почты
25
TLS
SPA
адрес_эл._почты
25
TLS
без SPA
Анонимный доступ
587
SSL
неприменимо
Анонимная
587
TLS
неприменимо
Анонимная
25
SSL
неприменимо
159
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
домен
Анонимная
25
TLS
неприменимо
адрес_эл._почты@домен
587
SSL
SPA
адрес_эл._почты@домен
587
SSL
без SPA
адрес_эл._почты@домен
587
TLS
SPA
адрес_эл._почты@домен
587
TLS
без SPA
адрес_эл._почты@домен
25
SSL
SPA
адрес_эл._почты@домен
25
SSL
без SPA
адрес_эл._почты@домен
25
TLS
SPA
адрес_эл._почты@домен
25
TLS
без SPA
адрес_эл._почты
587
SSL
SPA
адрес_эл._почты
587
SSL
без SPA
адрес_эл._почты
587
TLS
SPA
адрес_эл._почты
587
TLS
без SPA
адрес_эл._почты
25
SSL
SPA
адрес_эл._почты
25
SSL
без SPA
адрес_эл._почты
25
TLS
SPA
адрес_эл._почты
25
TLS
без SPA
Анонимный доступ
587
SSL
неприменимо
Анонимная
587
TLS
неприменимо
Анонимная
25
SSL
неприменимо
Анонимная
25
TLS
неприменимо
После того как пользователю предлагается продолжить настройку незашифрованных
подключений, настраиваются незашифрованные перестановки. Незашифрованные параметры
SMTP, которые пытается настроить Outlook 2010, показаны в следующей таблице.
160
Сервер
Имя пользователя
Порт
Протокол
SPA
TLS/SSL
mail.домен
smtp.домен
домен
адрес_эл._почты@домен
25
Без шифрования
SPA
адрес_эл._почты@домен
25
Без шифрования
без SPA
адрес_эл._почты
25
Без шифрования
SPA
адрес_эл._почты
25
Без шифрования
без SPA
Анонимный доступ
25
Без шифрования
неприменимо
адрес_эл._почты@домен
25
Без шифрования
SPA
адрес_эл._почты@домен
25
Без шифрования
без SPA
адрес_эл._почты
25
Без шифрования
SPA
адрес_эл._почты
25
Без шифрования
без SPA
Анонимный доступ
25
Без шифрования
неприменимо
адрес_эл._почты@домен
25
Без шифрования
SPA
адрес_эл._почты@домен
25
Без шифрования
без SPA
адрес_эл._почты
25
Без шифрования
SPA
адрес_эл._почты
25
Без шифрования
без SPA
Анонимный доступ
25
Без шифрования
неприменимо
См. также
Обзор службы автообнаружения: справка Exchange 2007
Общие сведения о службе автообнаружения: справка Exchange 2010
161
Планирование обеспечения соответствия и
архивации в Outlook 2010
В этой статье описываются вопросы планирования развертывания политики хранения и личного
архива в Microsoft Outlook 2010 и Microsoft Exchange Server 2010. Эти возможности позволяют
пользователям следовать политикам хранения и хранить важные бизнес-данные в личном
архиве.
Даже если в организации нет строгих правил соответствия этим политикам, личный архив — это
прекрасное решение для переноса данных из личных PST-файлов Microsoft Outlook или решений
архивации сторонних производителей. Личный архив позволяет пользователям архивировать их
сообщения электронной почты в управляемой папке для резервного копирования,
восстановления и соблюдения правил хранения данных организации.
Политика хранения и личный архив доступны, только если Outlook 2010 используется как часть
Microsoft Office профессиональный 2010 или Microsoft Office профессиональный плюс 2010 с
учетной записью Exchange Server 2010 и администратор Exchange включил политику хранения и
сетевой архив.
Содержание:

Планирование развертывания политики хранения

Планирование развертывания личного архива
Планирование развертывания политики хранения
Политика хранения — это эффективный способ применения политик хранения сообщений
электронной почты, которые размещаются на сервере Exchange Server 2010. Кроме того,
политику хранения можно использовать, чтобы помогать пользователям не превышать квоту для
их почтовых ящиков. Политику хранения можно применять на уровне почтового ящика, папки и
отдельных сообщений электронной почты, при этом она поддерживается только для сообщений
электронной почты. Другие типы сообщений, такие как элементы календаря и задач, не
поддерживаются в Outlook 2010 и Exchange Server 2010. Для принудительного применения
политики хранения сообщения электронной почты должны храниться в почтовом ящике или
личном архиве на компьютере под управлением Exchange Server.
При планировании развертывания политики хранения следует рассмотреть следующие
ключевые этапы.

Поработайте с юридическим отделом или отделом нормативно-правового соответствия для
определения политик.

Определите оптимальное сочетание политик для почтовых ящиков, папок и пользователей.

Обновите параметры пользователей для применения политики хранения.
162

Уведомите пользователей о политике хранения.

Для пользователей, в отношении которых ведется расследование, следует включить
удержание хранения или юридическое удержание.
Определение политик хранения
Выбор политик хранения, которые будут применяться к организации, отделам и пользователям
должен заключаться в разговоре с юридическим отделом или отделом нормативно-правового
соответствия. В организации могут использоваться правительственные или другие нормы,
которые можно применить с помощью политик хранения. Так как в отделах могут использоваться
разные нормы, политики следует объединить в логические легко управляемые группы. После
выявления необходимых политик можно определить, как лучше всего их реализовать.
Личные теги — это политики, которые пользователи могут применять к отдельным созданным
ими сообщениям и папкам. При определении политик для пользователей не рекомендуется
применять более 10 личных тегов. Большее количество может запутать пользователей. Кроме
того, в галерее политик на ленте в Outlook одновременно отображается только 10 личных тегов.
Если пользователям нужно более 10 личных тегов, они могут выбрать параметр
Дополнительные политики хранения в галерее политик.
Определение типов создаваемых политик
Теперь, когда известны группы пользователей, которым нужны политики хранения, можно
определить, как их требуется реализовать.
Существует три основных типа политик хранения.
1. Тег политики по умолчанию Это политика, которая развертывается администратором
Exchange и применяется ко всем папкам, созданным пользователем, и всем сообщениям
электронной почты в почтовом ящике пользователя. Пользователь не может изменять эту
политику. Это единственный тип политики, который гарантирует, что ко всем сообщениям
электронной почты будет применяться по крайней мере одна политика.
2. Тег политики сохранения Это тип политики, который можно применять к следующим
папкам в почтовом ящике пользователя.

Входящие

Черновики

Отправленные

Удаленные

Нежелательная почта

Исходящие

RSS-каналы

Ошибки синхронизации

Журнал бесед
163
Примечание.
Пользователи не могут менять политики для этих папок, даже если к ним не
применен тег политики сохранения.
3. Личный тег Этот тип политики отображается в интерфейсе пользователя политики
хранения, чтобы пользователи могли применять его к созданным папкам или отдельным
сообщениям электронной почты.
a. Пользователи не могут применять эти политики к специальным папкам, указанным ранее
в этом разделе.
b. Пользователи могут применять эти политик к сообщениям электронной почты в
специальных папках, но не к самим папкам.
c.
Пользователи могут применять эти политики к созданным самостоятельно папкам.
Примечание.
Папки поиска не поддерживают политики хранения, так как они не содержат
сообщений электронной почты.
Личные теги
Чтобы пользователи могли установить политику хранения для папки или сообщения электронной
почты, им нужно предоставить один или несколько личных тегов. По умолчанию в галерее
политик ленты отображаются первые 10 политик (личных тегов) в алфавитном порядке. В этом
списке отображаются недавно использованные политики. Однако при применении
дополнительных политик они отображаются на ленте в алфавитном порядке. Если пользователь
применяет политику к папке в диалоговом окне свойств папки, отображается полный список
личных тегов.
Имена личных тегов, созданных для пользователей, должны описывать тип контента, для
которого требуется соответствующая политика. Например, если сообщения электронной почты с
упоминанием слова "патент" должны храниться 7 лет, создайте политику с именем "Патентная
информация" и установите срок хранения 2555 дней. Outlook автоматически преобразует дни в
понятный для людей формат и добавит полученный срок после имени политики. В Outlook
политика будет отображаться как Патентная информация (7 лет).
Также следует добавить описание политики, чтобы пользователям было понятнее, какие
сообщения электронной почты входят в область действия этого личного тега. В описании
следует указать тип контента, к которому применяется политика. Например:
Политика: Патентная информация (7 лет)
Описание: Все сообщения электронной почты, связанные с патентом.
Далее указан приоритет политик для сообщений электронной почты:
1. Политика для электронной почты (личный тег)
2. Политика для папки с сообщениями электронной почты
3. Политика для родителя этой папки и родительских папок выше
164
4. Политика для почтового ящика (тег политики по умолчанию)
Например, у пользователя есть папка с именем Финансовые документы, к которой
применяется политика хранения Финансы (– 3 года). В одном из сообщений электронной почты
в этой папке описывается политика финансового отдела и оно хранится в папке "Финансовые
документы" для быстрого поиска. Пользователь может применить к этому сообщению политику
Справочные материалы (– никогда), чтобы эти сообщения никогда не удалялись, даже если к
папке применяется политика Финансы (– 3 года).
Списки рассылки
Если в организации используются списки рассылки, личный тег, который удаляет сообщения
через 1-4 недели, помогает пользователям управлять квотой почтового ящика. Пользователи
могут создать правило Outlook для автоматического применения политики к сообщениям или
перемещения сообщений в папку, к которой применяется политика.
Период прогрева политики хранения и обучение
При обучению пользователей применению политики хранения очень важно, чтобы они знали, как
правильно использовать систему, и понимали, когда и почему удаляются их сообщения. Следует
убедиться, что пользователи понимают почему данные сохраняются или удаляются, чтобы они
могли применять личные теги соответствующим образом, и знают, какой контент удаляется
через определенное время.
Рекомендуемые этапы.
1. Назначьте политики почтовым ящикам пользователей и установите для них состояние
Удержание хранения. Так ни одна политика не сможет удалить сообщения электронной
почты. Дополнительные сведения см. в разделе Установка состояния удержания хранения
для почтового ящика (http://go.microsoft.com/fwlink/?linkid=195158&clcid=0x419).
2. Дайте пользователям инструкции по применению политики хранения. Объясните, что во
время прогрева пользователи должны применить политики к папкам и сообщениям, иначе
старые сообщения будут удалены. Дополнительные сведения см. в разделе Назначение
политики хранения для сообщений электронной почты (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=195157&clcid=0x419) (Возможно, на английском языке).
3. За несколько дней до окончания периода прогрева напомните пользователям о сроке его
завершения.
4. В последний день прогрева отмените состояние удержания хранения для пользователей.
Так как пользователям может понадобиться какое-то время, чтобы привыкнуть к новой системе,
период прогрева очень важен для облегчения работы с политикой хранения. Пользователи
должны уметь применять правильные личные теги к нужным папкам и должны привыкнуть к идее
автоматического удаления их информации. Рекомендуется предоставить пользователям по
крайней мере 3 месяца для применения политики хранения к своим почтовым ящикам перед
тем, как отменить состояние удержания хранения. Так пользователи смогут ознакомиться с
политикой хранения до удаления любых данных. Это облегчит для пользователей процесс
165
интеграции политики хранения в их рабочий процесс и упростит понимание того, что происходит
с их сообщениями электронной почты.
Предупреждение.
Без периода прогрева важные сообщения могут быть удалены раньше, чем
пользователь сможет применить нужную политику.
Аналогично, во время любого другого периода, в течение которого пользователи не следят за
своими сообщениями, например в отпуске или декрете, их почтовые ящики следует перевести в
состояние удержания хранения. Это необходимо, чтобы случайно не удалить их информацию.
Когда пользователи вернутся на работу и обработают свою почту, состояние удержания
хранения можно отключить.
Важно
 Если для почтовых ящиков пользователей или специальных папок применяется тег
политики по умолчанию или тег политики хранения и пользователи применяют режим
кэширования для подключения к Exchange, производительность Outlook слегка
уменьшится во время обновления профиля Outlook данными политики. Время,
необходимое для обработки файла данных, зависит от его размера и скорости
компьютера. Пользователей необходимо уведомить о снижении производительности при
обновлении почтового ящика.

Или же можно удалить профиль пользователя Outlook и создать новый профиль для
этой учетной записи. Если пользователь запускает Outlook, Outlook загрузит сообщения
электронной почты с уже добавленной информацией о политике. В зависимости от
размера почтового ящика учетной записи это может быть быстрее обновления
существующей учетной записи. Однако после создания нового профиля с этой учетной
записью все сообщения необходимо индексировать еще раз, чтобы включить поиск в
Outlook.
Обучение пользователей применению политике хранения
Пользователей следует проинформировать о следующих аспектах политики хранения, так как
они повлияют на их работу и общую эффективность политик хранения организации.
Дополнительные сведения см. в разделе Назначение политики хранения для сообщений
электронной почты (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=195157&clcid=0x419) (Возможно, на английском языке).

Пользователи должны проверить и при необходимости изменить политики хранения для
своих папок, чтобы их сообщения не удалились случайно в конце периода прогрева.

Во время прогрева политики хранения не удаляют сообщения автоматически.

Тег политики по умолчанию удаляет все сообщения электронной почты, которые старее
длительности политики, если пользователи не изменят параметры политики хранения для
своих папок или отдельных сообщений электронной почты. Требуется четко указать
длительность хранения тега политики по умолчанию.
166

Пользователи не могут изменить политики для специальных папок, таких как "Отправленные"
и "Удаленные". Если существует политика для специальных папок, ее необходимо четко
указать.

Если пользователям требуется, чтобы к сообщениям в специальной папке применялась
другая политика, они могут вручную применить к ним личный тег.

Если пользователь добавляет личный тег в сообщение электронной почты, он будет иметь
приоритет над политикой папки и тегом политики по умолчанию.

Политика хранения применяется только к сообщениями электронной почты. Поэтому
собрания и встречи в календаре не будут удалены.

Дочерние папки наследуют политику хранения родительских папок.

Политика хранения не удаляет сообщения в файлах данных Outlook (PST).

Пользователи могут применить политику хранения к сообщению с помощью галереи политик
на ленте.

Пользователи могут применить политику хранения к созданным папкам с помощью команды
Задать политику для папки в галерее политик.

Пользователи могут получить список всех сообщений, которые устареют через 30 дней,
выбрав команду Просмотр элементов, срок действия которых скоро истекает в галерее
политик.

Пользователи могут узнать, какая политика хранения применяется к сообщению, посмотрев
под строку "Копия" в области чтения или в нижней части инспектора чтения.
Пользователи с юридическим удержанием или пользователи, в
отношении которых ведется расследование
В Outlook 2010 и Exchange Server 2010 существует два вида юридического удержания:
удержание хранения и удержание в связи с судебным процессом. При удержании хранения
пользователям известно, что почтовый ящик удерживается. Удержание в связи с судебным
процессом выполняется без уведомления, и пользователи не знают о том, что почтовый ящик
используется в расследовании.
В следующей таблице указаны функции, которые доступны при удержании хранения и
удержании в связи с судебным процессом. Восстанавливаемые элементы и возможности
копирования при записи описываются в следующих разделах.
Функция
Удержание хранения
Удержание в связи с судебным
процессом
Политики хранения
принудительно применяются на
сервере
Нет
Да. Удаленные элементы
записываются в скрытую папку
в почтовом ящике
пользователя.
167
Функция
Удержание хранения
Удержание в связи с судебным
процессом
Архивные политики
принудительно применяются на
сервере
Нет
Да
Контейнер восстанавливаемых
элементов может очистить себя
Да
Нет
Копирование при записи
включено
Нет
Да
Восстановление удаленных элементов
Папка "Восстановление удаленных элементов" в Exchange, ранее известная как корзина — это
область для элементов, удаленных пользователями в Outlook, веб-клиенте Microsoft Outlook
(OWA) и других клиентах электронной почты. Пользователи могут восстановить удаленные в
Outlook и OWA элементы, открыв папку "Восстановление удаленных элементов".
Дополнительные сведения см. в разделе Восстановление удаленных элементов (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=195172&clcid=0x419) (Возможно, на
английском языке).
По умолчанию в папке "Восстановление удаленных элементов" элементы хранятся 14 дней или
до достижения квоты для папки. В папке "Восстановление удаленных элементов" элементы
удаляются по принципу FIFO, если квота хранения папки превышена. Если для почтового ящика
пользователя включено удержание в связи с судебным процессом, папка "Восстановление
удаленных элементов" не очищается с помощью этих методов. Это гарантирует, что удаленные
данные можно найти и восстановить. Дополнительные сведения см. в разделе Сведения о
юридическом удержании (http://go.microsoft.com/fwlink/?linkid=195174&clcid=0x419).
Копирование при записи
В Exchange Server 2010 можно убедиться, что все версии сообщения электронной почты
сохраняются с помощью функции копирования при записи. Эта функция копирует исходную
версию измененного сообщения и сохраняет его в скрытой папке Versions. Свойства сообщения
электронной почты, которые могут инициировать копирование, см. в разделе Сведения о
юридическом удержании (http://go.microsoft.com/fwlink/?linkid=195174&clcid=0x419). Эта функция
включается автоматически при использовании удержания в связи с судебным процессом.
Использование удержания хранения
Если сообщения электронной почты какого-то пользователя используются в расследовании и не
должны удаляться, для этого почтового ящика можно включить удержание хранения. Используя
168
эту функцию, можно отображать комментарий в представлении Backstage, сообщающий
пользователю о состоянии удержании. Если у пользователей есть личный архив, им потребуется
вручную переместить сообщения в архив. Удержание не позволяет политикам хранения и
архивации удалять или перемещать сообщения.
Если почтовый ящик пользователя находится в состоянии удержания хранения, его квоту
следует увеличить, чтобы сохранить важные для расследования сообщения.
Если пользователь находится в состоянии удержания хранения, его следует проинформировать
о следующем.

Политики хранения и архивации больше не будут удалять и перемещать сообщения.

Пользователь может вручную переместить сообщения в личный архив, если такой
существует.
Использование удержания в связи с судебным процессом
Если в отношении пользователя часто проводятся судебные расследования или одновременно
проводится несколько расследований, с помощью удержания в связи с судебным процессом
можно гарантировать, что все сообщения электронной почты будут сохранены без ведома этого
пользователя. При использовании удержания в связи с судебным процессом Outlook не
уведомляет пользователей о том, что почтовый ящик удерживается. Это может быть полезно
при внутреннем расследовании.
Так как политики хранения и архивации позволяют пользователям удалять и перемещать
сообщения, при удержании в связи с судебным процессом пользователи могут работать, не
ощущая расследования. Все удаленные элементы сохраняются в папке "Восстановление
удаленных элементов", а функция копирования при записи сохраняет все версии сообщений
электронной почты. Сочетание этих функций облегчает задачу сохранения информации, которая
может иметь значение для юридического расследования. Дополнительные сведения см. в
разделе Сведения о юридическом удержании
(http://go.microsoft.com/fwlink/?linkid=195174&clcid=0x419).
Планирование развертывания личного архива
Личный архив можно использовать в качестве замены PST-файлов Outlook для архивации
сообщений электронной почты в организации. Кроме того, он предоставляет пользователям
дополнительное место для сообщений, которые необходимо хранить в соответствии с
различными правилами.
При планировании развертывания личного архива следует рассмотреть следующие ключевые
этапы.

Определите архивные политики организации.

Обучите пользователей использованию личного архива.

Обработайте PST-файлы Outlook в организации.
169
Определение архивных политик
По умолчанию для пользователей создаются следующие архивные политики, если им
предоставляется личный архив.

Политика по умолчанию (– 2 года) Политика архивации по умолчанию применяется ко
всему почтовому ящику пользователя. Она архивирует все сообщения электронной почты,
которые получены более 2 лет назад.

Личные теги По умолчанию следующие личные теги предоставляются пользователям,
чтобы они могли применять их к своим папкам и сообщениям электронной почты.

6 месяцев

1 год

2 года

5 лет

Никогда
Архивные политики нельзя применять через Exchange к специальным папкам в почтовом ящике
пользователя, таким как папки "Входящие" и "Отправленные". По умолчанию все папки в
почтовом ящике пользователя наследуют политику по умолчанию. Но пользователь может
изменить политику для любой папки с помощью личных тегов.
Обучение пользователей использованию личного архива
Пользователей следует проинформировать о следующих аспектах личного архива, так как они
повлияют на их работу и способ применения данной возможности. Рекомендуется использовать
период прогрева, во время которого к папкам почтовых ящиков пользователей будут
применяться архивные политики. Так пользователи не будут удивлены, если ночью сообщения
будут перемещены в архив.

Личный архив нельзя применять, если пользователь отключен от сети или не удается
установить соединение с компьютером пользователя, на котором работает Exchange Server.

В течение 24 часов Exchange Server автоматически перемещает сообщения электронной
почты, которые готовы к архивации. Поэтому пользователи, которые задают политику
архивации для папки, не увидят незамедлительного результата этого действия.

Exchange Server не позволяет пользователям архивировать сообщения незамедлительно.
Сообщения, которые требуется архивировать незамедлительно, следует переместить в
архив вручную.

Автоархивация будет недоступна для пользователей и не позволит архивировать
сообщения. Если пользователи применяют автоархивацию для удаления или перемещения
сообщений в PST-файл Outlook, они должны применить соответствующие политики хранения
и архивации для достижения такого же эффекта.

К папкам, созданным в архиве, применяется такая же политика хранения, как и в почтовом
ящике. Аналогично, к сообщениям в архиве применяется такая же политика хранения (если
170
она задана), как и в почтовом ящике. Сообщения с политикой хранения будут так же
устаревать в личном архиве.
PST-файлы данных Outlook в организации
Чтобы убедиться, что сообщения электронной почты не перемещаются из почтового ящика
пользователя или инфраструктуры соответствия требованиям организации, можно развернуть
раздел реестра DisableCrossAccountCopy. Это не позволит пользователю сохранять данные в
PST-файле Outlook или копировать их в другую учетную запись электронной почты в Outlook.
Раздел реестра можно развернуть вручную, добавив его в реестр пользователя, или с помощью
параметра Запретить копирование и перемещение элементов между учетными записями в
групповой политике.
Этот раздел реестра обеспечивает больше контроля, чем обычно используемые разделы
реестра DisablePST и PSTDisableGrow в Outlook 2010. Так как он не позволяет пользователям
перемещать данные из ограниченных учетных записей, не ограничивая применение PSTфайлов, пользователи могут применять личные учетные записи электронной почты в Outlook,
которые позволяют записывать сообщения в PST-файл. Пользователи также могут читать
сообщения и копировать их из существующих PST-файлов. Поэтому рекомендуется применять
раздел реестра DisableCrossAccountCopy для полной замены разделов DisablePST и
PSTDisableGrow. Кроме того, можно запретить пользователям копировать данные из
синхронизированных списков в Microsoft SharePoint 2010.
Раздел реестра DisableCrossAccountCopy размещен в области
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\.
Запись реестра
Тип
Значение
Описание
Развертывани
е
DisableCrossAccountCop
y
REG_MULTI_S
Z
Для этого раздела
реестра можно
определить три
строковых
значения:
1. Символ
звездочки (*)
ограничивает
копирование
или
перемещение
сообщений из
любой
учетной
записи или
Определяет
учетные
записи или
PST-файлы
Outlook, в
которых
перемещени
еи
копирование
данных
запрещено.
Этот раздел
реестра
можно
развернуть
вручную,
добавив его в
реестр
пользователя,
или с
помощью
параметра
Запретить
копирование
и
перемещение
171
Запись реестра
Тип
Значение
Описание
Развертывани
е
PST-файла
Outlook.
2. Доменное имя
ограничиваем
ой учетной
записи
электронной
почты. Можно
задать домен
учетных
записей,
которые
нужно
ограничить.
Например,
contoso.com.
элементов
между
учетными
записями в
групповой
политике.
3.
SharePoin
t Эта строка
ограничивает
копирование и
перемещение
данных изо
всех списков
SharePoint.
Или можно задать параметр DisableCrossAccountCopy в групповой политике, установив
параметр Запретить копирование и перемещение элементов между учетными записями в
области Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Параметры учетной записи\Exchange.
Если в организации уже развернуты разделы реестра DisablePST или PSTDisableGrow, они не
повлияют на функционирование раздела DisableCrossAccountCopy. Если в организации есть
пользователи, которые не применяют Outlook 2010, все три раздела можно развернуть
одновременно. Однако для большинства организаций разделы реестра DisablePST и
PSTDisableGrow необязательны.
Далее представлен список ситуаций, в которых копирование и перемещение сообщений
электронной почты из учетной записи или PST-файла Outlook ограничено.
172

Пользователи не могут перетаскивать сообщения из ограниченной учетной записи в другую
учетную запись или PST-файл Outlook.

Пользователи не могут применять команду меню Переместить для копирования или
перемещения сообщений из ограниченной учетной записи в другую учетную запись или PSTфайл Outlook.

При использовании автоархивации для всех ограниченных учетных записей архивация
данных будет отключена.

В меню Очистка почтового ящика представления Backstage ограниченные учетные записи
не будут включены в список параметров, доступных для архивации.

Правила не будут перемещать сообщения из ограниченных учетных записей.

Пользователи не смогут экспортировать сообщения из ограниченных учетных записей.

Функция очистки не удаляет избыточные части сообщений электронной почты в
ограниченных учетных записях.
Чтобы запретить пользователям перемещение и копирование сообщений из ограниченных
учетных записей на свои компьютеры, можно развернуть раздел реестра
DisableCopyToFileSystem.
Раздел реестра DisableCopyToFileSystem размещен в области
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\.
Запись реестра
Тип
Значение
Описание
Развертывани
е
DisableCopyToFileSyste
m
REG_MULTI_S
Z
Для этого
раздела реестра
можно
определить три
строковых
значения:
1. Символ
звездочки (*)
не позволит
пользователя
м
перетаскивать
сообщения из
любой
учетной
записи или
PST-файла
Outlook на
Определяет
учетные
записи или
PST-файлы
Outlook, для
которых
перетаскивани
е сообщений
на компьютер
запрещено.
Этот раздел
реестра
можно
развернуть
вручную,
добавив его в
реестр
пользователя.
173
Запись реестра
Тип
Значение
Описание
Развертывани
е
компьютер.
2. Доменное имя
ограничиваем
ой учетной
записи
электронной
почты. Можно
задать домен
учетных
записей,
которые
нужно
ограничить.
Например,
contoso.com.
3.
SharePoin
t Эта строка
ограничивает
перетаскиван
ие данных изо
всех списков
SharePoint на
компьютер.
См. также
Установка состояния удержания хранения для почтового ящика
Сведения о юридическом удержании
Сведения о тегах и политиках хранения: справка Exchange 2010
Сведения о личном архиве: справка Exchange 2010
174
Планирование обеспечения безопасности и
защиты в Outlook 2010
В этом разделе описаны компоненты Microsoft Outlook 2010, которые обеспечивают
безопасность обмена электронной почтой на предприятии.
Содержание
Статья
Описание
Планирование ограничения нежелательной
почты в Outlook 2010
Описание работы фильтра нежелательной
почты Outlook 2010, а также процесса
настройки фильтра нежелательной почты и
автоматической загрузки рисунков.
175
Выбор параметров безопасности и защиты
для Outlook 2010
В Microsoft Outlook 2010 можно настроить множество из возможностей, связанных с
безопасностью. В том числе способ применения параметров безопасности, разрешенные для
выполнения типы элементов управления ActiveX, параметры настраиваемых форм и
программные параметры безопасности. Также можно настроить параметры безопасности
Outlook 2010 для вложений, управления правами на доступ к данным, нежелательной
электронной почты и шифрования, которые описываются в статьях, указанных в разделе
Дополнительные параметры далее в этой статье.
Внимание!
По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий
уровень безопасности может привести к ограничениям функциональности Outlook,
например к ограничениям на типы файлов вложений в сообщениях электронной почты.
Учтите, что снижение любых параметров безопасности по умолчанию может увеличить
риск получения и распространения вирусов. При изменении этих параметров необходимо
соблюдать осторожность и заранее ознакомиться с документацией.
Содержание:

Обзор

Выбор способа применения параметров безопасности в Outlook

Взаимодействие параметров безопасности администратора и пользователя в Outlook 2010

Работа с COM-надстройками Outlook

Настройка параметров безопасности ActiveX и настраиваемых форм в Outlook 2010

Настройка программных параметров в Outlook 2010

Дополнительные параметры
Обзор
По умолчанию в Outlook настроены параметры безопасности высокого уровня. Высокий уровень
безопасности может привести к ограничениям функциональности Outlook, например к
ограничениям на типы файлов вложений в сообщениях электронной почты. Для организации
может потребоваться снизить уровень безопасности. Учтите, что снижение любых параметров
безопасности по умолчанию может увеличить риск получения и распространения вирусов.
Перед настройкой параметров безопасности для Outlook 2010 с помощью групповой политики
или шаблона безопасности Outlook следует настроить режим безопасности Outlook в групповой
политике. Если не установить режим безопасности Outlook, Outlook 2010 использует параметры
176
безопасности по умолчанию и игнорирует любые заданные пользователем параметры
безопасности Outlook 2010.
Сведения о загрузке административного шаблона Outlook 2010 и других административных
шаблонов Office 2010 см. в статье Office 2010 Administrative Template files (ADM, ADMX, ADML)
and Office Customization Tool (на английском языке). Дополнительные сведения о групповой
политике см. в статьях Обзор групповой политики для Office 2010 и Принудительное применение
параметров с помощью групповой политики в Office 2010.
Выбор способа применения параметров
безопасности в Outlook
Как и в Microsoft Office Outlook 2007, параметры безопасности Outlook 2010 можно настроить с
помощью групповой политики (рекомендуется), или можно изменить параметры с помощью
шаблона безопасности Outlook и опубликовать их в форме папки верхнего уровня в общих
папках Exchange Server. Если в среде не используется Office Outlook 2003 или более ранние
версии, рекомендуется применять групповую политику для настройки параметров безопасности.
Для использования обоих вариантов следует включить режим безопасности Outlook в групповой
политике и задать значение политики безопасности Outlook. Если не включить этот параметр, то
будут применяются параметры безопасности продукта по умолчанию. Параметр режима
безопасности Outlook размещен в шаблоне групповой политики Outlook 2010 (Outlk14.adm) в
разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Параметры формы безопасности. Если включить параметр Режим
безопасности Outlook, будут доступны четыре параметра политики безопасности Outlook,
которые описаны в следующей таблице.
Параметр режима безопасности Outlook
Описание
Безопасность Outlook по умолчанию
Outlook игнорирует все параметры, связанные
с безопасностью, настроенные с помощью
групповой политики или шаблона безопасности
Outlook. Это значение используется по
умолчанию.
Использовать групповую политику
безопасности Outlook
Outlook использует параметры безопасности из
групповой политики (рекомендуется).
Использовать форму "Безопасность" в общей
папке "Параметры безопасности Outlook"
В Outlook используются параметры из формы
безопасности, опубликованной в
соответствующей общей папке.
Использовать форму "Безопасность" в общей
В Outlook используются параметры из формы
177
Параметр режима безопасности Outlook
Описание
папке "Параметры безопасности Outlook 10"
безопасности, опубликованной в
соответствующей общей папке.
Выбор параметров безопасности с использованием групповой
политики
При использовании групповой политики для настройки параметров безопасности Outlook 2010
необходимо учесть следующие фактор.

Параметры в шаблоне безопасности Outlook следует вручную перенести в групповую
политику. Если шаблон безопасности Outlook использовался ранее для управления
параметрами безопасности, а теперь для применения параметров в Outlook 2010
используется групповая политика, следует вручную перенести параметры, заданные ранее, в
соответствующие параметры групповой политики Outlook 2010.

Параметры, настроенные с помощью групповой политики, могут активироваться не
мгновенно. Можно настроить автоматическое обновление групповой политики (в фоновом
режиме) на пользовательских компьютерах во время работы пользователей в системе, при
этом указывается необходимая частота. Чтобы новые параметры групповой политики
активировались сразу, пользователям необходимо выйти, а затем снова войти в систему на
своих компьютерах.

В программе Outlook проверка параметров безопасности выполняется только при
запуске. Если параметры безопасности обновляются во время работы Outlook, то новые
настройки будут применены, когда пользователь закроет и перезапустит Outlook.

В режиме только диспетчера персональных данных (PIM) не применяются
пользовательские параметры. При использовании режима PIM в программе Outlook
используются параметры безопасности по умолчанию. В этом режиме параметры
администратора не требуются и не используются.
Специальные среды
При использовании групповой политики для настройки параметров безопасности Outlook 2010
следует учитывать, реализуется ли в среде один из сценариев, указанных в следующей таблице.
Сценарий
Проблема
Пользователи, которые используют внешний
сервер Exchange для доступа к почтовым
ящикам
Если пользователи используют внешний
сервер Exchange Server для доступа к
почтовым ящикам, то можно применить шаблон
безопасности Outlook для настройки
параметров безопасности или использовать
178
Сценарий
Проблема
параметры безопасности Outlook по
умолчанию. Во внешних средах пользователи
используют удаленный доступ к почтовым
ящикам, например при помощи подключения к
виртуальной частной сети (VPN) или используя
Outlook Anywhere (RPC через HTTP). Поскольку
групповая политика развернута с помощью
Active Directory, а в этом сценарии локальный
компьютер пользователя не является частью
домена, то параметры безопасности групповой
политики применить нельзя.
Кроме того, если для настройки параметров
безопасности используется шаблон
безопасности Outlook, то пользователи
автоматически получают обновления
параметров безопасности. Пользователь не
может получать обновления параметров
безопасности групповой политики, если его
компьютер не принадлежит к домену Active
Directory.
Пользователи с правами администратора на
своих компьютерах
Если пользователь входит в систему с правами
администратора, то ограничения параметров
групповой политики не выполняются.
Пользователи с правами администратора могут
изменять параметры безопасности Outlook на
своем компьютере, а также удалять и изменять
настроенные ограничения. Это касается не
только параметров безопасности Outlook, но и
всех параметров групповой политики.
Поскольку это может вызвать проблемы, если в
организации предполагаются
стандартизированные параметры для всех
пользователей, то существуют факторы,
снижающие отрицательные последствия.

При следующем входе в систему
локальные изменения переписываются с
применением настроек групповой политики.
При входе пользователя измененные
параметры безопасности Outlook
179
Сценарий
Проблема
возвращаются к параметрам групповой
политики.
Пользователи, которые используют Outlook
Web App для доступа к почтовым ящикам
Exchange

Переопределение параметра групповой
политики влияет только на локальный
компьютер. Пользователи с правами
администратора могут влиять только на
параметры безопасности своего
компьютера, но не на параметры
безопасности компьютеров других
пользователей.

Пользователи без прав администратора не
могут изменять политики. В этом сценарии
параметры безопасности групповой
политики обеспечивают уровень
защищенности, соответствующий
параметрам, которые указаны с помощью
шаблона безопасности Outlook.
В приложениях Outlook и Outlook Web App
используются разные модели безопасности.
Для OWA существуют отдельные параметры
безопасности, которые хранятся на сервере
Exchange Server.
Взаимодействие параметров безопасности
администратора и пользователя в Outlook 2010
Параметры безопасности, определенные пользователем с помощью пользовательского
интерфейса приложения Outlook 2010, работают так же, как если бы они были включены в
параметры групповой политики, задаваемые администратором. Если возникает конфликт между
этими двумя наборами, приоритет отдается параметрам с более высоким уровнем
безопасности.
Например, при использовании параметра безопасности вложений групповой политики
Добавить расширения имен файлов для блокирования на уровне 1 для создания списка
блокируемых расширений файлов уровня 1, список пользователя имеет приоритет по сравнению
со списком по умолчанию, который применяется в Outlook 2010, и имеет приоритет по сравнению
180
с параметрами пользователя для блокируемых расширений имен файлов уровня 1. Даже если
пользователям будет разрешено удалять расширения имен файлов из группы уровня 1 по
умолчанию, они не смогут удалить типы файлов, которые были добавлены к списку.
Например, если пользователь хочет удалить расширения имен файлов EXE, REG и COM из
группы уровня 1, но для добавления EXE к списку типов файлов уровня 1 использовался
параметр групповой политики Добавить расширения файлов уровня 1, пользователь сможет
удалить из группы уровня 1 в Outlook только файлы REG и COM.
Работа с COM-надстройками Outlook
Надстройка COM должна быть написана таким образом, чтобы использовались преимущества
доверенной модели Outlook и она выполнялась в Outlook 2010 без появления предупреждающих
сообщений. Возможно, пользователи будут видеть эти сообщения при подключении к
компонентам Outlook, использующим эту надстройку (например, при синхронизации ручных
устройств с Outlook 2010 на настольном компьютере).
В Outlook 2010 это менее вероятно, чем в Office Outlook 2003 или предыдущих версиях. Защита
объектной модели (OM), помогающая предотвратить распространение вирусов с
использованием адресной книги Office Outlook 2007 и Outlook 2010, обновлена. Outlook 2010
проверяет наличие последних антивирусных программ, чтобы определить, когда необходимо
отображать предупреждение о доступе к адресной книге и другие предупреждения системы
безопасности Outlook.
Параметры защиты объектной модели нельзя изменить с помощью формы безопасности Outlook
или групповой политики. Однако при использовании параметров безопасности Outlook 2010 по
умолчанию все COM-надстройки по умолчанию устанавливаются в Outlook 2010 как надежные.
При настройке с использованием групповой политики можно указать доверенные COMнадстройки, которые можно запускать, не сталкиваясь с блоками объектной модели Outlook.
Чтобы сделать надстройку COM надежной, нужно включить имя ее файла в настройку групповой
политики с вычисленным значением хэш-функции. Перед тем как сделать ее надежной
надстройкой Outlook, необходимо установить программу вычисления значения хэш-функции.
Дополнительные сведения см. в разделе Управление надежными надстройками для Outlook
2010.
При применении пользовательских настроек безопасности Outlook с использованием форм
безопасности Microsoft Exchange Server из общей папки Exchange Server можно узнать, как
сделать надстройки COM надежными. См. раздел Надежный код в статье набора ресурсов
Microsoft Office 2003 Параметры шаблона безопасности Outlook (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=75744&clcid=0x419) (Возможно, на английском языке).
Если после включения надстройки в список доверенных пользователь по-прежнему видит
предупреждающие сообщения, к решению проблемы нужно будет привлечь разработчика
надстройки COM. Дополнительные сведения о кодировании надежных надстроек см. в разделе
Важные замечания о безопасности для разработчиков надстроек Microsoft Outlook COM
181
(Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=74697&clcid=0x419)
(Возможно, на английском языке).
Настройка параметров безопасности ActiveX и
настраиваемых форм в Outlook 2010
Настройки безопасности ActiveX и пользовательских форм можно указать для пользователей
Outlook 2010. В настройках безопасности пользовательских форм есть параметры для
изменения того, как Outlook 2010 ограничивает скрипты, пользовательские элементы управления
и действия.
Настройка поведения элементов управления ActiveX в
одноразовых формах
Когда Outlook получает сообщение с определением формы, элементом является одноразовая
форма. Чтобы помочь предотвратить запуск нежелательного скрипта или элемента управления
в одноразовых формах, Outlook по умолчанию не загружает элементы управления ActiveX в
такие формы.
Пользовательскую настройку элементов управления ActiveX можно заблокировать с помощью
шаблона групповой политики Outlook 2010 (Outlk14.adm). Либо можно выбрать настройки по
умолчанию с помощью центра развертывания Office (OCT). В этом случае пользователи смогут
менять настройки. В групповой политике используйте параметр Разрешить одноразовые
формы ActiveX в разделе Конфигурация пользователя\Административные
шаблоны\Microsoft Outlook 2010\Безопасность. В центре развертывания Office параметр
Разрешить одноразовые формы ActiveX размещен на странице Изменение параметров
пользователя. Дополнительные сведения о центре развертывания Office см. в статье Office
Customization Tool in Office 2010 (на английском языке).
Если включить параметр Разрешить одноразовые формы ActiveX, доступны три варианта,
описанные в следующей таблице.
Параметр
Описание
Разрешает все элементы ActiveX
Разрешает запуск всех элементов управления
ActiveX без ограничений.
Разрешает только надежные элементы
управления
Разрешает запуск только безопасных
элементов управления ActiveX. Безопасным
элемент управления ActiveX является в том
случае, если он подписан при помощи
Authenticode, а автор подписи включен в список
182
Параметр
Описание
доверенных издателей.
Загрузить только элементы управления Outlook
Outlook загружает только следующие элементы
управления. Только их можно использовать в
одноразовых формах.

Элементы управления из fm20.dll

Элемент управления Microsoft Office
Outlook Rich Format

Элемент управления Microsoft Office
Outlook Recipient

Элемент управления Microsoft Office
Outlook View
Если ни один из этих параметров не выбран, по умолчанию загружаются только элементы
управления Outlook.
Выбор параметров безопасности пользовательских форм
Можно заблокировать параметры для настройки безопасности пользовательских форм при
помощи шаблона групповой политики Outlook 2010 (Outlk14.adm). Параметры по умолчанию
также можно настроить с помощью центра развертывания Office, и в этом случае пользователи
смогут изменять их. В групповой политике эти параметры находятся в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Параметры формы безопасности\Безопасность пользовательских
форм. Параметры центра развертывания Office можно найти в соответствующих местах на
странице Изменение параметров пользователя центра развертывания Office.
Настройки, которые можно выбрать для скриптов, пользовательских элементов управления и
действий, перечислены в следующей таблице.
Параметр
Описание
Разрешить скрипты в одноразовых формах
Outlook
Запускает скрипты в формах, где скрипт и
макет содержатся в сообщении. Одновременно
с одноразовой формой, содержащей скрипт,
пользователи получают сообщение с
вопросом, нужно ли запускать скрипт.
Задать текст запроса объектной модели
Outlook при выполнении настраиваемых
действий
Параметр определяет, что будет происходить,
когда программа попытается запустить
пользовательское действие с использованием
183
Параметр
Описание
объектной модели Outlook. Можно создать
пользовательское действие для ответа на
сообщение и обхода только что описанных мер
по защите при отправке. Выберите один из
следующих вариантов:

Параметр Запросить у пользователя
позволяет пользователю получить
сообщение и разрешить или запретить
программный доступ на отправку в запросе.

Параметр Разрешать автоматически
всегда разрешает программный доступ к
отправке без отображения сообщения.

Параметр Запрещать автоматически
всегда запрещает программный доступ к
отправке без отображения сообщения.

Параметр Запрашивать в соответствии с
настройками безопасности компьютера
применяет конфигурацию по умолчанию в
Outlook 2010.
Настройка программных параметров в Outlook
2010
Администратор Outlook 2010 может настроить программные параметры для управления
ограничениями объектной модели Outlook. Объектная модель Outlook позволяет программно
обрабатывать данные, которые хранятся в папках Outlook.
Примечание.
В шаблоне безопасности Exchange Server есть параметры для объектов данных
совместной работы (CDO). Однако их использование с Outlook 2010 не поддерживается.
Для настройки программных параметров безопасности объектной модели Outlook можно
использовать групповую политику. Загрузите в групповой политике шаблон Outlook 2010
(Outlk14.adm). Параметры групповой политики расположены в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Параметры форм безопасности\Программная безопасность. Эти
параметры не могут быть настроены с помощью центра развертывания Office.
Далее перечислены возможности групповой политики для программных параметров. Для
каждого элемента можно выбрать один из следующих параметров.
184

Запросить у пользователя Пользователи получают сообщение, позволяющее разрешить
или запретить операцию. В некоторых запросах пользователи могут выбрать разрешение
или запрет операций без запросов на срок до 10 минут.

Разрешать автоматически Outlook автоматически предоставляет программный доступ для
запросов из любой программы. Этот параметр может создать значительную уязвимость, это
не рекомендуется.

Запрещать автоматически Outlook автоматически отказывает в доступе любой программе,
а пользователь не получает запроса.

Запрашивать в соответствии с настройками безопасности компьютера Outlook
использует параметр в разделе "Программный доступ" центра управления безопасностью.
Это значение установлено по умолчанию.
Параметры программной безопасности, которые можно настроить для объектной модели
Outlook, показаны в следующей таблице.
Параметр
Описание
Настройка запроса объектной модели Outlook
при доступе к адресной книге
Указывает, что происходит при попытке
программы получить доступ к адресной книге с
помощью объектной модели Outlook.
Настройка запроса объектной модели Outlook
при доступе к свойству Formula (Формула)
объекта UserProperty
Указывает, что происходит при добавлении
пользовательского поля "Комбинация" или
"Формула" и привязки его к полю "Информация
адреса". После выполнения этого программа
может быть использована для непрямого
получения значения поля "Информация
адреса" через его свойство "Значение".
Настройка запроса объектной модели Outlook
при выполнении команды "Сохранить как"
Указывает, что происходит при попытке
программы использовать программно команду
"Сохранить как" для сохранения элемента.
Когда элемент сохранен, вредоносная
программа может выполнить в файле поиск
адреса электронной почты.
Настройка запроса объектной модели Outlook
при чтении адресных сведений
Указывает, что происходит при попытке
программы получить доступ к полю получателя
(например, к полю Кому) с помощью объектной
модели Outlook.
Настройка запроса объектной модели Outlook
при ответе на приглашения на собрания и
поручения
Указывает, что происходит при попытке
программы отправить почту программно,
используя метод ответа на приглашение на
185
Параметр
Описание
собрание и поручение. Этот метод аналогичен
методу отправки почтовых сообщений.
Настройка запроса объектной модели Outlook
при отправке почты
Указывает, что происходит при попытке
программы отправить почту программно с
помощью объектной модели Outlook.
Дополнительные параметры
В следующей таблице указаны статьи, в которых описываются дополнительные параметры
безопасности, не представленные в этой статье.
Функция
Связанные ресурсы
Элементы управления ActiveX
Планирование параметров безопасности для
элементов управления ActiveX для Office 2010
Вложения
Планирование параметров вложений в Outlook
2010
Криптография
Планирование шифрования сообщений
электронной почты в Outlook 2010
Цифровые подписи
Планирование параметров цифровых подписей
в Office 2010
Нежелательная почта
Планирование ограничения нежелательной
почты в Outlook 2010
Управление правами на доступ к данным
Планирование управления правами на доступ к
данным в Office 2010
Защищенный просмотр
Планирование параметров режима
защищенного просмотра в Office 2010
См. также
Планирование обеспечения безопасности для Office 2010
186
Планирование параметров вложений в
Outlook 2010
В Microsoft Outlook 2010 можно задать ограничение вложений в элементы Outlook (например,
электронные сообщения или встречи) в зависимости от типа файла вложения. Тип файла может
иметь ограничение 1-го или 2-го уровня. Можно также настроить действия, которые
пользователи могут выполнять с ограничениями на вложения. Например, пользователям можно
дать разрешение изменять ограничения для группы типов файлов вложений с 1-го уровня
(пользователи не могут видеть файл) до 2-го уровня (пользователи могут открыть файл после
сохранения его на диске).
Примечание.
Для принудительного использования параметров вложений сначала необходимо
настроить метод, который используется в Outlook 2010 для принудительного применения
параметров безопасности с помощью групповой политики. Дополнительные сведения о
настройке метода Outlook 2010 на принудительное применение параметров см. в
разделе Выбор способа применения параметров безопасности в Outlook в статье Выбор
параметров безопасности и защиты для Outlook 2010.
Эта статья предназначена для администраторов Outlook. Дополнительные сведения о причине
блокировки некоторых вложений Outlook см. в статье Блокировка вложений: особенность
Outlook, которую все привыкли ненавидеть
(http://go.microsoft.com/fwlink/?linkid=81268&clcid=0x419). Дополнительные сведения об обмене
файлами с ограниченными типами файлов см. в статье Блокировка вложений в Outlook
(http://go.microsoft.com/fwlink/?linkid=188575&clcid=0x419).
Содержание:

Обзор

Добавление или удаление расширений имен файлов 1-го уровня

Добавление или удаление расширений имен файлов 2-го уровня

Настройка дополнительных ограничений на вложения файлов
Обзор
В Outlook 2010 ограничен доступ к некоторым вложениям в элементах (таких как сообщения
электронной почты или встречи). Файлы определенных типов могут быть отнесены к категории
"Уровень 1" (запрет на просмотр файла пользователем) или "Уровень 2" (файл можно открыть
после сохранения на диск).
По умолчанию ряд типов расширений файлов в Outlook 2010 относится к категории "Уровень 1".
Получение пользователями файлов с такими расширениями блокируется. К примерам таких
187
файлов относятся файлы с расширениями CMD, EXE и VBS. Администратор может
использовать групповую политику в целях управления классификацией типов файлов для
блокировки вложений электронных сообщений. Например, можно изменить категорию, к которой
относится тип файла, с уровня 1 на уровень 2 или создать список типов файлов уровня 2. По
умолчанию к категории "Уровень 2" не относится ни один тип файлов.
Параметры безопасности вложений Outlook 2010 можно настроить с помощью групповой
политики и шаблона Outlook 2010 (Outlk14.adm). Большинство параметров безопасности
вложений находятся в разделе Конфигурация пользователя\Административные
шаблоны\Microsoft Outlook 2010\Безопасность\Параметры формы
безопасности\Безопасность вложений. Параметры, запрещающие настройку параметров
безопасности вложений пользователями и позволяющие использовать режим защищенного
просмотра для вложений, полученных от внешних отправителей, находятся в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность. Настройка параметров безопасности вложений с помощью центра
развертывания Office не поддерживается.
Дополнительные сведения о режиме защищенного просмотра см. в статье Планирование
параметров режима защищенного просмотра в Office 2010.
Сведения о загрузке административного шаблона Outlook 2010 и других административных
шаблонов Office 2010 см. в разделах Office 2010 Administrative Template files (ADM, ADMX, ADML)
and Office Customization Tool (на английском языке). Дополнительные сведения о групповой
политике см. в разделах Обзор групповой политики для Office 2010 и Принудительное
применение параметров с помощью групповой политики в Office 2010.
Добавление или удаление расширений имен
файлов 1-го уровня
Файлы 1-го уровня скрыты от пользователя. Пользователь не может открывать, сохранять или
печатать вложение 1-го уровня. (Если разрешить пользователям снижать уровень вложения 1-го
уровня до вложения 2-го уровня, к файлам применяются ограничения 2-го уровня.) При
получении сообщения электронной почты или приглашения на встречу, содержащего
заблокированные вложения, в информационной панели в верхней части сообщения
отображается список заблокированных файлов. (Информационная строка не отображается в
настраиваемой форме.) При удалении типа файла из списка уровня 1, вложения, имеющие такой
тип файла, более не блокируются. Установленный по умолчанию список типов файлов уровня 1
см. в статье Attachment file types restricted by Outlook 2010 (на английском языке).
В следующей таблице описаны параметры для добавления типов файлов уровня 1 к списку по
умолчанию и удаления их из списка. В групповой политике эти параметры находятся в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Настройка
этих параметров с помощью центра развертывания Office не поддерживается.
188
Параметр
Описание
Добавить расширения имен файлов для
блокировки на уровне 1
Задает типы файлов (обычно состоящие из
трех букв), которые следует добавить к списку
файлов 1-го уровня. Не вводите точку перед
каждым расширением имени файла. При вводе
нескольких расширений имен файлов
разделяйте их точкой с запятой.
Удалить расширения имен файлов,
блокируемых на уровне 1
Указывает типы файлов (обычно состоящие из
трех букв), которые следует удалить из списка
файлов 1-го уровня. Не вводите точку перед
каждым типом файла. При вводе нескольких
типов файлов разделяйте их точкой с запятой.
Добавление или удаление расширений имен
файлов 2-го уровня
При работе с файлом 2-го уровня пользователь должен сохранить файл на жесткий диск, и
только после этого файл можно открыть. Файл 2-го уровня нельзя открывать непосредственно из
элемента.
При удалении типа файла из списка 2-го уровня он становится обычным типом файла, который
можно открывать, сохранять и печатать в Outlook 2010. Для этого файла ограничений нет.
В следующей таблице описаны параметры для добавления типов файлов уровня 2 к списку по
умолчанию и удаления их из списка. В групповой политике эти параметры находятся в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Настройка
этих параметров с помощью центра развертывания Office не поддерживается.
Параметр
Описание
Добавить расширения имен файлов для
блокировки на уровне 2
Задает расширения имен файлов (обычно
состоящие из трех букв), которые следует
добавить к списку файлов 2-го уровня. Не
вводите точку перед каждым расширением
имени файла. При вводе нескольких
расширений имен файлов разделяйте их
точкой с запятой.
Удалить расширения имен файлов,
Задает расширения имен файлов (обычно
состоящие из трех букв), которые следует
189
Параметр
Описание
блокируемых на уровне 2
удалить из списка файлов 2-го уровня. Не
вводите точку перед каждым расширением
имени файла. При вводе нескольких
расширений имен файлов разделяйте их
точкой с запятой.
Настройка дополнительных ограничений на
вложения файлов
В следующей таблице описаны дополнительные параметры, доступные для настройки вложений
в групповой политике. В групповой политике эти параметры находятся в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Параметры формы безопасности\Безопасность вложений. Настройка
этих параметров с помощью центра развертывания Office не поддерживается.
Параметр
Описание
Отображать
вложения
уровня 1
Позволяет пользователям получить доступ ко всем вложениям с типами файлов
уровня 1, сначала сохранив вложения на диске, а затем открыв их (как вложения
уровня 2).
Разрешить
пользователя
м понижать
уровень
вложений до
уровня 2
Позволяет пользователям создавать список имен расширений файлов вложений
для их понижения с уровня 1 до 2. Если этот параметр групповой политики не
настроен, в Outlook списки пользователя по умолчанию игнорируются.
Пользователи создают список типов файлов для понижения уровня в разделе
реестра
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security\Level1
Remove. В этом разделе реестра пользователи указывают типы файлов
(обычно, указав три буквы, разделяя их точкой с запятой), которые следует
удалить из списка файлов уровня 1.
Не
запрашивать
пользователя
о вложениях
уровня 1 при
отправке
элемента
Блокирует отображение сообщения при отправке пользователем элемента,
содержащего вложение уровня 1. Этот параметр влияет только на
предупреждение. После отправки элемента получатели, в зависимости от
установленных параметров безопасности, в некоторых случаях не смогут
просмотреть вложения или получить доступ к ним. Чтобы это сообщение не
отображалось, когда пользователи размещают элементы в общей папке,
необходимо установить как этот флажок, так и флажок Не запрашивать
пользователя о вложениях уровня 1 при закрытии элемента.
190
Параметр
Описание
Не
запрашивать
пользователя
о вложениях
уровня 1 при
закрытии
элемента
Блокирует отображение сообщения, когда пользователи закрывают электронные
сообщения, встречи или другие элементы, содержащие вложение уровня 1. Этот
параметр влияет только на предупреждение. После закрытия элемента
пользователь не может просматривать вложение или получать к нему доступ.
Чтобы это сообщение не отображалось, когда пользователи размещают
элементы в общей папке, необходимо установить как этот флажок, так и флажок
Не запрашивать пользователя о вложениях уровня 1 при отправке
элемента.
Отображать
объекты
пакетов OLE
Отображает упакованные объекты OLE. Пакет — это значок, соответствующий
внедренному или связанному объекту OLE. При двойном щелчке пакета
программа, использованная для его создания, либо воспроизводит объект
(например, если объект является звуковым файлом), либо открывает и
отображает его. Поскольку этот значок можно легко изменить и использовать для
маскировки вредоносных файлов, разрешение применять Outlook для
отображения пакетных объектов OLE может привести к осложнениям.
Параметры, приведенные в следующей таблице, располагаются в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook 2010\Безопасность.
Настройка этих параметров с помощью центра развертывания Office не поддерживается.
Действие
Описание
Запретить пользователям настраивать
параметры безопасности вложений
При включении этого параметра пользователи
не могут настраивать списки типов файлов,
разрешенных в качестве вложений Outlook, вне
зависимости от настройки других параметров
безопасности Outlook.
Использовать режим защищенного просмотра
для вложений, полученных от внутренних
отправителей
Если этот параметр включен, вложения,
принятые от отправителей из вашей
организации, открываются в режиме
защищенного просмотра. Этот параметр
применяется только к учетным записям
Microsoft Outlook, которые подключены к
серверу Microsoft Exchange Server.
191
См. также
Выбор параметров безопасности и защиты для Outlook 2010
Attachment file types restricted by Outlook 2010 (на английском языке)
Планирование параметров режима защищенного просмотра в Office 2010
192
Планирование шифрования сообщений
электронной почты в Outlook 2010
В Microsoft Outlook 2010 присутствует поддержка функций безопасности, позволяющих
пользователям отправлять и получать зашифрованные сообщения электронной почты. К этим
функциям относятся обмен зашифрованными сообщениями электронной почты, метки
безопасности и подписанные уведомления.
Примечание.
Для обеспечения полной функциональности системы безопасности Microsoft Outlook
необходимо установить Outlook 2010 с правами локального администратора.
Содержание:

Функции обмена зашифрованными сообщениями в Outlook 2010

Управление цифровыми удостоверениями для шифрования

Метки безопасности и подписанные уведомления

Настройка параметров шифрования в Outlook 2010

Настройка дополнительных параметров шифрования
Функции обмена зашифрованными сообщениями
в Outlook 2010
В Outlook 2010 поддерживаются функции обмена зашифрованными сообщениями,
предоставляющие пользователю следующие возможности:

Цифровая подпись сообщения электронной почты. Цифровая подпись обеспечивает
невозможность подделки и проверку контента (сообщение содержит то, что было
отправлено, без изменений).

Шифрование сообщений электронной почты. Шифрование помогает обеспечить
конфиденциальность, поскольку его не может прочесть никто, кроме получателя.
Можно настроить дополнительные функции для обмена зашифрованными сообщениями. Если в
организации поддерживаются эти функции, обмен защищенными сообщениями предоставляет
пользователям следующие возможности:

Отправление сообщения электронной почты с запросом уведомления. Это позволяет
удостовериться, что получатель проверил цифровую подпись пользователя (сертификат,
который пользователь применил к сообщению).

Добавление метки безопасности к сообщению электронной почты. В организации
может быть создана настроенная политика обеспечении безопасности S/MIME версии 3, что
позволяет добавлять метки к сообщениям. Политика безопасности S/MIME версии 3 — это
193
программа, которая добавляется к Outlook. Она добавляет к заголовку сообщения сведения
о конфиденциальности сообщения. См. раздел Метки безопасности и подписанные
уведомления далее в этой статье.
Реализация обмена зашифрованными сообщениями в Outlook
2010
В модели шифрования Outlook 2010 для отправки и получения подписанных и зашифрованных
сообщений электронной почты используется шифрование с открытым ключом. В Outlook 2010
предусмотрена поддержка системы безопасности S/MIME версии 3, что позволяет
пользователям обмениваться зашифрованными сообщениями электронной почты с другими
клиентами S/MIME через Интернет или интрасеть. Сообщения электронной почты,
зашифрованные с помощью открытого ключа пользователя, могут быть расшифрованы только
при использовании соответствующего закрытого ключа. Это означает, что когда пользователь
отправляет зашифрованное сообщение электронной почты, оно шифруется с помощью
сертификата пользователя (открытый ключ). При прочтении зашифрованного сообщения оно
расшифровывается закрытым ключом пользователя.
Для использования возможности шифрования в Outlook 2010 пользователям необходимо иметь
профиль безопасности. Профиль безопасности — это набор параметров, в котором описаны
сертификаты и алгоритмы, используемые во время отправки сообщений с помощью функций
шифрования. Если профиль еще не настроен, то профили безопасности настраиваются
автоматически в следующих случаях:

На компьютере пользователя присутствуют сертификаты для шифрования.

Пользователь начинает использование функции шифрования.
Можно заранее настроить эти параметры безопасности для пользователей. Можно использовать
параметры реестра или групповой политики, чтобы настроить Outlook в соответствии с
политиками шифрования в организации и настроить (и применить принудительно с помощью
групповой политики) параметры, которые следует включить в профили безопасности. Эти
параметры описаны в таблице в разделе Настройка параметров шифрования в Outlook 2010
далее в этой статье.
Цифровые удостоверения: комбинация открытых и закрытых
ключей и сертификатов
Функции S/MIME основываются на цифровых удостоверениях (также называются цифровыми
сертификатами), которые связывают удостоверение пользователя с парой открытого и
закрытого ключей. Комбинация пары открытого и закрытого ключей и сертификата называется
цифровым удостоверением. Закрытый ключ может храниться в безопасном хранилище,
например в зоне сертификатов Windows, на компьютере пользователя или смарт-карте. В
Outlook 2010 предусмотрена полная поддержка стандарта X.509v3, согласно которому все
закрытые и открытые ключи должны создаваться в центре сертификации организации, например
на компьютере под управлением Windows Server 2008, на котором работают службы
194
сертификации Active Directory, или в общедоступном центре сертификации, например VeriSign.
Дополнительные сведения о выборе оптимального варианта для вашей организации см. в
разделе Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации
статьи Планирование параметров цифровых подписей в Office 2010.
Пользователи могут получить цифровые удостоверения, используя открытые центры
сертификации в Интернете (например, VeriSign и Microsoft Certificate Services). Дополнительные
сведения о получении цифрового удостоверения см. в разделе справки Outlook Получение
цифрового удостоверения (http://go.microsoft.com/fwlink/?linkid=185585&clcid=0x419).
Администраторы могут предоставлять цифровые удостоверения группам пользователе
Когда у сертификатов цифровых удостоверений заканчивается срок действия, пользователям
обычно необходимо обновить сертификаты в выдавшем их центре сертификации. Если в
организации для работы с сертификатами используется центр сертификации в Windows Server
2003 или службы сертификации Active Directory (AD CS) в Windows Server 2008, Outlook 2010
автоматически совершает для пользователей обновление сертификата.
Управление цифровыми удостоверениями для
шифрования
Outlook 2010 позволяет пользователям управлять своими цифровыми удостоверениями,
которые являются комбинацией сертификата пользователя и набора открытых и закрытых
ключей шифрования. Цифровые удостоверения помогают обеспечивать безопасность
сообщений электронной почты пользователей, позволяя им обмениваться зашифрованными
сообщениями. Процесс управления цифровыми удостоверениями включает в себя:

Получение цифрового удостоверения. Дополнительные сведения о получении цифрового
удостоверения см. в разделе справки Outlook Получение цифрового удостоверения
(http://go.microsoft.com/fwlink/?linkid=185585&clcid=0x419).

Сохранение цифрового удостоверения, чтобы иметь возможность перенести удостоверение
на другой компьютер или сделать его доступным для других пользователей.

Предоставление цифрового удостоверения другим пользователям.

Экспорт цифрового удостоверения в файл. Это необходимо, когда пользователь создает
резервную копию удостоверения или перемещает его на другой компьютер.

Импорт цифрового удостоверения из файла в Outlook. Файл цифрового удостоверения
может быть резервной копией, созданной пользователем, или содержать цифровое
удостоверение другого пользователя.

Продление цифрового удостоверения, срок действия которого истек.
Пользователь, обменивающийся зашифрованными сообщениями на нескольких компьютерах,
должен скопировать свое цифровое удостоверение на каждый компьютер.
195
Место сохранения цифрового удостоверения
Цифровые удостоверения можно хранить в трех местах:

Глобальная адресная книга Microsoft Exchange Сертификаты, созданные центром
сертификации или службами сертификации Active Directory, автоматически публикуются в
глобальной адресной книге. Созданные во внешних системах сертификаты можно
опубликовать в глобальной адресной книге вручную. Для этого в Outlook 2010 на вкладке
Файл выберите элемент Параметр и затем элемент Центр управления безопасностью. В
группе Центр управления безопасностью Microsoft Outlook нажмите кнопку Параметры
центра управления безопасностью. На вкладке Защита электронной почты в группе
Цифровые удостоверения (сертификаты) нажмите кнопку Опубликовать в глобальном
списке адресов.

Служба каталогов LDAP Внешние службы каталогов, центры сертификации или другие
поставщики сертификатов могут опубликовать сертификаты пользователей с
использованием службы каталогов LDAP. Outlook разрешает доступ к этим сертификатам с
использованием каталогов LDAP.

Файл Microsoft Windows Цифровые удостоверения можно хранить на компьютерах
пользователей. Пользователи экспортируют свои цифровые удостоверения в файл из
Outlook 2010. Для этого на вкладке Файл следует выбрать элемент Параметры и затем
элемент Центр управления безопасностью. В группе Центр управления безопасностью
Microsoft Outlook нажмите кнопку Параметры центра управления безопасностью. На
вкладке Защита электронной почты в группе Цифровые удостоверения (сертификаты)
нажмите кнопку Импорт-экспорт. Пользователи могут зашифровать файл с помощью
пароля при его создании.
Предоставление цифровых удостоверений другим
пользователям
Чтобы пользователь мог обмениваться зашифрованными сообщениями электронной почты с
другими пользователями, они должны иметь открытые ключи друг друга. Пользователи
предоставляют доступ к своим открытым ключам с использованием сертификата. Существует
несколько способов передачи цифрового удостоверения другим пользователям. Например,
пользователи могут:

Использовать сертификат, чтобы подписать сообщение электронной почты цифровой
подписью. Пользователь передает свой открытый ключ другому пользователю, создав
сообщение электронной почты и подписав его электронной подписью, используя сертификат.
Когда пользователи Outlookполучают подписанное сообщение, они могут щелкнуть правой
кнопкой мыши имя пользователя в строке От и выбрать команду Добавить в контакты.
Сведения об адресе и сертификат сохраняются в списке контактов пользователя Outlook.

Предоставить сертификат с помощью службы каталогов, такой как глобальный список
адресов Microsoft Exchange. Другой возможностью для пользователя является
автоматическое получение сертификата другого пользователя из каталога LDAP на
196
стандартном сервере LDAP, когда он или она посылает зашифрованное сообщение
электронной почты. Чтобы получить таким образом доступ к сертификату, пользователи
должны подать заявку на службы безопасности S/MIME с использованием цифровых
удостоверений для их учетных записей электронной почты.
Пользователь может также получить сертификаты из глобальной адресной книги.
Импорт цифровых удостоверений
Пользователи могут импортировать цифровое удостоверение из файла. Это необходимо, когда
пользователь хочет передать зашифрованное электронное сообщение с другого компьютера. На
каждом компьютере, с которого пользователь передает зашифрованные сообщения, должны
быть установлены сертификаты пользователя. Пользователи экспортируют свои цифровые
удостоверения в файл из Outlook 2010. Для этого на вкладке Файл следует выбрать элемент
Параметры и затем элемент Центр управления безопасностью. В группе Центр управления
безопасностью Microsoft Outlook нажмите кнопку Параметры центра управления
безопасностью. На вкладке Защита электронной почты в группе Цифровые удостоверения
(сертификаты) нажмите кнопку Импорт-экспорт.
Продление ключей и сертификатов
Для каждого сертификата и открытого ключа установлен срок действия. Когда срок действия
ключей, предоставленных центром сертификации или службами сертификации Active Directory,
истекает, в Outlook отображается предупреждение и предлагается обновить ключи. Outlook
предлагает пользователю отправить сообщение об обновлении на сервер от лица каждого
пользователя.
Если пользователи решают не обновлять ключи до истечения срока действия или при
использовании другого центра выдачи сертификатов, отличного от центра сертификации или
служб сертификации Active Directory, пользователи должны обратиться в центр сертификации
для обновления сертификата.
Метки безопасности и подписанные уведомления
В Outlook 2010 предусмотрена поддержка расширений S/MIME V3 Enhanced Security Services
(ESS) для меток безопасности и подписанных уведомлений. Эти расширения полезны в
организации при обеспечении обмена безопасными сообщениями электронной почты, а также
при настройке безопасности для соответствия требованиям.
Если в организации разрабатываются и внедряются политики безопасности S/MIME V3 для
добавления настраиваемых меток безопасности, то код в политике безопасности может
принудительно прикреплять метки безопасности к сообщениям электронной почты. Рассмотрим
два примера использования меток безопасности:
197

Метка "Только для внутреннего использования" может быть реализована как метка
безопасности: ее можно применить к почте, которая не должна быть отправлена за пределы
организации.

Метка может указывать, что определенные получатели не могут перенаправить или
распечатать сообщение, если у получателя также установлена политика безопасности.
Чтобы удостовериться, что получатель распознает цифровую подпись пользователя,
пользователи также могут отправлять вместе с сообщениями зашифрованные подписанные
уведомления. Когда сообщение получено и сохранено (даже если оно еще не прочитано), а
подпись сверена, то в папку "Входящие" возвращается уведомление, подразумевающее, что
сообщение прочитано. Если же подпись не сверена, то уведомление не отправляется. Когда
возвращается уведомление, поскольку оно также подписано, то оно подтверждает, что
пользователь получил и проверил сообщение.
Настройка параметров шифрования в Outlook
2010
Чтобы обеспечить более безопасный обмен сообщениями и шифрование сообщений в
организации, можно воспользоваться большим числом параметров функций шифрования
приложения Outlook 2010, настраиваемых с помощью шаблона групповой политики Outlook 2010
(Outlook14.adm). Например, можно настроить параметр групповой политики, требующий, чтобы
вся исходящая почта снабжалась меткой безопасности, или параметр, запрещающий
публикацию глобального списка адресов. Также можно использовать центр развертывания Office
для настройки стандартных параметров, при этом пользователь может менять параметры.
Кроме того, некоторые параметры конфигурации шифрования можно задать только с помощью
разделов реестра.
Дополнительные сведения о загрузке административного шаблона Outlook 2010 и о других
административных шаблонах Office 2010 см. в статье Office 2010 Administrative Template files
(ADM, ADMX, ADML) and Office Customization Tool (на английском языке). Дополнительные
сведения о групповой политике см. в статьях Обзор групповой политики для Office 2010 и
Принудительное применение параметров с помощью групповой политики в Office 2010.
Дополнительные сведения о центре развертывания Office см. в статье Office Customization Tool
in Office 2010 (на английском языке).
Для настройки шифрования можно заблокировать параметры, приведенные в следующей
таблице. На странице Изменение параметров пользователя центра развертывания Office эти
параметры располагаются в разделе Microsoft Outlook 2010\Безопасность\Криптография. В
групповой политике эти параметры размещаются в разделе Конфигурация
пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Криптография.
198
Параметр
Описание
шифрования
Всегда
Использование во всех случаях формата TNEF в сообщениях S/MIME вместо
использовать
заданного пользователем формата.
форматирован
ие TNEF в
сообщениях
S/MIME
Не сверять
Отключение сверки адреса электронной почты пользователя с адресом
адрес
сертификатов, используемых для шифрования или подписи.
электронной
почты с
используемым
адресом
сертификатов
Не
отображать
кнопку
Опубликоват
ьв
глобальном
списке
адресов
Отключение кнопки Опубликовать в глобальном списке адресов на странице
Защита электронной почты в центре управления безопасностью.
Не предлагать
возможность
продолжения
в диалоговых
окнах
предупрежден
ия
шифрования
Отключение кнопки Продолжить. Пользователи смогут нажимать кнопку
Продолжить для отправки сообщений.
Включить
значки
шифрования
Отображение значков шифрования Outlook в пользовательском интерфейсе
Outlook.
Шифровать
все
сообщения
электронной
почты
Шифрование исходящих сообщений электронной почты.
199
Параметр
Описание
шифрования
Обеспечить
добавление
меток ко всем
подписанным
сообщениям
S/MIME
Обязательное требование на наличие метки безопасности во всех сообщениях
с подписью S/MIME. Пользователи Outlook 2010 могут присоединять метки к
сообщениям электронной почты. Для этого на вкладке Параметры в группе
Дополнительно в разделе Безопасность нажмите кнопку Параметры
безопасности. В диалоговом окне Свойства безопасности установите флажок
Добавить в сообщение цифровую подпись. В поле Метка безопасности
выберите метку для элемента Политика.
Политики
сертификата
Fortezza
Введите список политик, разрешенных в расширениях политик сертификата и
показывающий, что данный сертификат является сертификатом Fortezza.
Отделяйте политики в списке друг от друга точкой с запятой.
Форматы
сообщений
Выберите форматы сообщений для поддержки: S/MIME (по умолчанию),
Exchange, Fortezza или их комбинации.
Сообщать,
когда
программе
Outlook не
удается найти
цифровое
удостоверени
е для
расшифровки
сообщения
Введите сообщение, которое должно отображаться для пользователей (не
более 255 знаков).
Минимальные
параметры
шифрования
Установите для зашифрованного сообщения электронной почты значение,
равное минимальной длине ключа. При попытке отправить сообщение с
использованием ключа шифрования, длина которого меньше минимально
заданной, в приложении Outlook отображается предупреждение. Пользователь
может игнорировать это предупреждение и отправить сообщение с
использованием изначально выбранного ключа шифрования.
Подписывать
и шифровать
ответы и
пересылки
для
подписанных
или
зашифрованн
ых сообщений
Включение подписи или шифрования ответов и пересылки для подписанных
или зашифрованных сообщений, даже если для пользователя не настроена
политика S/MIME.
200
Параметр
Описание
шифрования
Запрашивать
уведомление
S/MIME для
всех
подписанных
сообщений
S/MIME
Запрос уведомления с повышенной безопасностью для исходящих подписанных
сообщений электронной почты.
Принудительн Использование только алгоритмов пакета B NSA для операций S/MIME.
ое
использовани
е алгоритмов
пакета B NSA
при операциях
S/MIME
Обязательный
центр
сертификации
Ввод названия обязательного центра сертификации. Если для этого параметра
введено значение, Outlook запрещает подписывать электронную почту
пользователю, если его сертификат выдан другим центром сертификации.
Запуск в
режиме
совместимост
и со
стандартом
FIPS
Принудительный запуск Outlook в режиме FIPS 140-1.
Обработка
S/MIME
внешними
клиентами:
Укажите поведение при обработке сообщений S/MIME: Внутренняя обработка,
Внешняя обработка или Обработка по возможности.
Поведение
при запросах
уведомления
S/MIME
Выбор способа обработки запросов уведомлений S/MIME.
Открыть сообщение, если отправка уведомления невозможна
Не открывать сообщение, если не удается отправить уведомление
Всегда запрашивать перед отправкой уведомления
Никогда не отправлять уведомления S/MIME
Отправлять
все
подписанные
Отправка подписанных сообщений по электронной почте открытым текстом.
201
Параметр
Описание
шифрования
сообщения
открытым
текстом
Подписывать
все
сообщения
электронной
почты
Принудительная цифровая подпись всех исходящих сообщений электронной
почты.
Предупрежден Укажите условие, при котором отображается для пользователей
ие о подписи
предупреждение о подписи:
URL-адрес
сертификатов
S/MIME

Пользователь решает, следует ли отображать предупреждения. При
выборе этого параметра применяется конфигурация по умолчанию.

Всегда предупреждать о недействительных подписях.

Никогда не предупреждать о недействительных подписях.
Предоставьте URL-адрес, по которому пользователи могут получать
уведомление S/MIME. Этот URL-адрес может содержать три переменные (%1,
%2 и %3), которые будут заменены соответственно именем пользователя,
адресом электронной почты и языком.
Если задается значение для параметра URL-адрес сертификатов S/MIME,
используйте следующие параметры для отправки информации о пользователе
на веб-страницу регистрации.
Параметр
Заполнитель в строке URL-адреса
Отображаемое имя пользователя
%1
Имя электронной почты (SMTP)
%2
Идентификатор языка
пользовательского интерфейса
%3
Например, чтобы послать информацию о пользователе на веб-страницу
регистрации Майкрософт, задайте для записи URL-адрес сертификатов
S/MIME следующее значение, включая параметры:
www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3
Например, если пользователя зовут Jeff Smith, его адрес электронной почты —
202
Параметр
Описание
шифрования
someone@example.com, а идентификатор языка пользовательского интерфейса
равен 1033, то заполнители заменяются следующими значениями:
www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&h
elplcid=1033
В групповой политике параметры, приведенные в следующей таблице, располагаются в
разделе Конфигурация пользователя\Административные шаблоны\Microsoft Outlook
2010\Безопасность\Криптография\Диалоговое окно состояния подписи. Параметры центра
развертывания Office можно найти в соответствующих местах на странице Изменение
параметров пользователя центра развертывания Office.
Параметр шифрования
Описание
Безопасная временная папка для вложений
Укажите путь к безопасной временной папке
для файлов. При этом путь по умолчанию
переопределяется, что не рекомендуется.
Чтобы использовать отдельную папку для
вложений Outlook, следуйте приведенным ниже
рекомендациям:
Отсутствуют списки отзыва сертификатов

Используйте локальный каталог для
максимальной производительности.

Помещайте папку в папку временных
файлов Интернета, чтобы использовать ее
расширенные возможности безопасности.

Используйте уникальное и трудное для
подбора имя.
Укажите действие Outlook при отсутствии
списка отзыва сертификатов: предупреждение
(по умолчанию) или отображение ошибки.
Цифровые сертификаты могут содержать
атрибут, определяющий расположение
соответствующего списка отзыва
сертификатов. В них содержится список
цифровых сертификатов, отозванных
соответствующими контролирующими
центрами сертификации (обычно из-за ошибок
при выпуске сертификатов или раскрытия
203
Параметр шифрования
Описание
связанных закрытых ключей). Если список
отзыва сертификатов отсутствует или
недоступен, приложению Outlook не удается
определить, был ли сертификат отозван. В
результате этого становится возможным
использование ошибочно выпущенного или
раскрытого сертификата для доступа к данным.
Отсутствуют корневые сертификаты
Укажите действие Outlook при отсутствии
корневых сертификатов: не отображать
сообщения об ошибке и предупреждения (по
умолчанию), отображать предупреждение или
сообщение об ошибке.
Обрабатывать ошибки уровня 2 как ошибки, а
не как предупреждения
Укажите действия Outlook при обработке
ошибок второго уровня: отображать сообщение
об ошибке или предупреждение (по
умолчанию). К потенциальным условиям
ошибки уровня 2 относятся следующие:
Получение списков отзыва сертификатов

Неизвестный алгоритм подписи

Не найден сертификат для подписи

Неверные наборы атрибутов

Не найден сертификат издателя

Не найден список отзыва сертификатов

Устаревший список отзыва сертификатов

Проблема корневого доверия

Устаревший список доверия сертификатов
Укажите действия Outlook при извлечении
списков отзыва сертификатов:

Использовать системные параметры по
умолчанию. В Outlook используется
расписание загрузки списков отзыва
сертификатов, которое настроено в
операционной системе.

При работе в сети всегда загружать списки
отзыва сертификатов. Это значение
параметра используется в Outlook по
умолчанию.

Никогда не загружать списки отзыва
204
Параметр шифрования
Описание
сертификатов.
Настройка дополнительных параметров
шифрования
В следующем разделе представлены дополнительные сведения о параметрах конфигурации
шифрования.
Параметры политики безопасности для общего шифрования
В следующей таблице показаны дополнительные параметры реестра Windows, которые можно
использовать для пользовательской конфигурации. Эти параметры реестра расположены в
разделе
HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default.
Соответствующий параметр групповой политики не предусмотрен.
Запись реестра
Тип
Значение
Описание
ShowWithMultiLabels
DWORD
0, 1
Установите 0, чтобы
пытаться отобразить
сообщение, когда слой
подписи имеет другие
метки, установленные в
других подписях.
Установите 1, чтобы не
отображать сообщение.
Значение по
умолчанию: 0.
CertErrorWithLabel
DWORD
0, 1, 2
Установите 0, чтобы
обрабатывать
сообщение с ошибкой
сертификата, если
сообщение снабжено
меткой. Установите 1,
чтобы запретить доступ
к сообщению с ошибкой
сертификата.
Установите 2, чтобы
205
Запись реестра
Тип
Значение
Описание
пропустить метку
сообщения и
предоставить доступ к
этому сообщению
(несмотря на то что
пользователь видит
ошибку сертификата).
Значение по
умолчанию: 0.
См. также
Планирование обеспечения безопасности и защиты в Outlook 2010
Планирование обеспечения безопасности для Office 2010
Планирование параметров цифровых подписей в Office 2010
Получение цифрового удостоверения
206
Планирование ограничения нежелательной
почты в Outlook 2010
В этой теме описана работа фильтра нежелательной почты Outlook 2010 и процесс настройки
фильтра нежелательной почты и автоматической загрузки рисунков с учетом потребностей
организации.
Этот раздел предназначен для администраторов Outlook. Для настройки параметров
фильтрации почты Outlook на компьютере см. статью Фильтр нежелательной почты
(http://go.microsoft.com/fwlink/?linkid=81371&clcid=0x419).
Содержание:

Обзор

Поддерживаемые типы учетных записей

Поддержка в Exchange Server

Настройка пользовательского интерфейса фильтра нежелательной почты

Настройка автоматической загрузки рисунков
Обзор
Microsoft Outlook 2010 содержит возможности, помогающие пользователям избежать получения
и чтения нежелательной электронной почты, включая фильтр нежелательной почты и
отключение автоматической загрузки контента с внешних серверов.
Настройки автоматической загрузки рисунков уменьшают риск активизации веб-маяков в
сообщениях электронной почты благодаря автоматической блокировке загрузки рисунков, звуков
и другого контента с внешних серверов. Автоматическая загрузка контента отключена по
умолчанию.
Примечание.
Outlook 2010 автоматически сохраняет активный контент, загружаемый из Интернета. Как
в Office Outlook 2007 и более ранних версиях, Outlook 2010 выдает предупреждение
перед загрузкой активного контента, который может использоваться в качестве вебмаяка. Однако в отличие от Office Outlook 2007 и более ранних версий при закрытии
элемента не предлагается сохранить изменения. Вместо этого загруженный контент
сохраняется автоматически.
Фильтр нежелательной почты помогает пользователям избежать чтения нежелательных
сообщений электронной почты. Фильтр включен по умолчанию, а в качестве уровня защиты
установлен низкий, настроенный для фильтрации наиболее очевидных примеров
нежелательной почты. Фильтр заменяет правила обработки нежелательной почты в предыдущих
версиях Outlook (более ранних, чем Microsoft Office Outlook 2003). Фильтр содержит встроенную
207
технологию для оценки электронных сообщений и определения сообщений, которые наверняка
являются нежелательными, а также списки фильтрации, автоматически блокирующие или
разрешающие сообщения с определенных адресов или на определенные адреса.
Фильтр нежелательной почты состоит из двух частей:

Трех списков фильтра нежелательной почты: списка надежных отправителей, списка
надежных получателей и списка заблокированных отправителей.

Фильтр нежелательной почты, который определяет, является ли непрочитанное сообщение
нежелательным, по нескольким факторам, включая содержимое сообщения и наличие
отправителя в списках фильтра нежелательной почты.
Все параметры фильтра нежелательной почты сохраняются в профиле каждого пользователя
Outlook. Можно перезаписать параметры профиля с помощью групповой политики или задать
настройки фильтра нежелательной почты по умолчанию с помощью центра развертывания
Office.
Фильтр нежелательной почты доступен для нескольких типов учетных записей Outlook 2010. Эти
типы указаны в следующем разделе Поддерживаемые типы учетных записей. Фильтр работает
наилучшим образом, если используется совместно с учетными записями Microsoft Exchange
Server 2003 (или более поздних версий). Обратите внимание, что Exchange Server 2003 является
наиболее ранней версией, с которой может использоваться Outlook 2010.
Когда пользователи Outlook выполняют обновление до Outlook 2010, существующие списки
фильтра нежелательной почты сохраняются, если не развернуты новые списки.
Поддерживаемые типы учетных записей
Outlook 2010 поддерживает фильтрацию нежелательной почты для следующих типов учетных
записей:

Учетные записи электронной почты Microsoft Exchange Server в режиме кэширования данных

Учетные записи электронной почты Microsoft Exchange Server при доставке почты в файл
личных данных Outlook (PST)

Учетные записи HTTP

Учетные записи POP

Учетные записи Windows Live Hotmail

Учетные записи IMAP
Следующие типы учетных записей не поддерживаются фильтром нежелательной почты Outlook
2010:

Учетные записи электронной почты Microsoft Exchange Server в оперативном режиме

Сторонние поставщики MAPI
208
Поддержка в Exchange Server
Если пользователи работают в режиме кэширования данных Exchange или загружают почту в
личный файл данных Outlook (PST), списки фильтра нежелательной почты, доступные с любого
компьютера, также используются сервером для оценки почты. Это означает, что если
отправитель сообщения находится в списке заблокированных отправителей пользователя, почта
перемещается в папку нежелательной почты на сервере и не обрабатывается Outlook 2010.
Кроме того, Outlook 2010 использует фильтр нежелательной почты для оценки сообщений
электронной почты.
Настройка пользовательского интерфейса
фильтра нежелательной почты
Можно указать несколько параметров для настройки работы фильтра нежелательной почты для
пользователей. В том числе можно:

Установить уровень защиты фильтра нежелательной почты.

Безвозвратно удалять подозрительные сообщения электронной почты или перемещать их в
папку нежелательной почты.

Доверять сообщениям электронной почты от контактов пользователя.
Значения по умолчанию для фильтра нежелательной почты выбраны таким образом, чтобы
обеспечить пользователям максимальное удобство. Однако можно указать для этих параметров
другие значения по умолчанию и задать другие параметры и политики при развертывании
Outlook 2010 в организации.
Параметры нежелательной почты задаются один раз. Когда пользователь запускает Outlook
2010 первый раз, настраиваются параметры выбранного пользователем профиля. Другие
профили пользователя или профили, созданные позже, не включают настроенные параметры.
Вместо них используются параметры по умолчанию.
Значения по умолчанию для фильтра нежелательной почты:

Уровень защиты нежелательной почты: задайте значение "Низкая"

Удалять нежелательную почту без возможности восстановления: "Отключено"

Доверять сообщениям от контактов: значение "Отключено"
Для настройки значений по умолчанию для пользователей можно использовать центр
развертывания Office или внедрить их при помощи групповой политики. Дополнительные
сведения о настройке параметров фильтра нежелательной почты см. в разделе Настройка
параметров нежелательной почты в Outlook 2010.
Важно
Для фильтра нежелательной почты Outlook 2010 можно настроить следующие параметры. На
странице Изменение параметров пользователя центра развертывания Office эти параметры
находятся в меню Microsoft Outlook 2010\Параметры Outlook\Настройки\Нежелательная
209
почта. В групповой политики эти параметры находятся в разделе Конфигурация
пользователя\Шаблоны администрирования\Microsoft Outlook 2010\Параметры
Outlook\Свойства\Нежелательная почта.
Параметр нежелательной почты
Описание
Добавлять получателей электронной почты в
списки надежных отправителей пользователя
Автоматически добавляет всех получателей
электронной почты в пользовательские списки
надежных отправителей.
Скрыть интерфейс нежелательной почты
Используется в групповой политике для
отключения фильтрации нежелательной
электронной почты и скрытия связанных с ней
параметров в Outlook.
Скрыть предупреждения о подозрительных
именах доменов в адресах электронной почты
Скрытие предупреждений о подозрительных
именах доменов в адресах электронной почты.
Список импорта нежелательной почты
Используется в центре развертывания Office.
Необходимо включить этот параметр, чтобы
включить все прочие параметры
нежелательной почты, настроенные в центре
развертывания Office или с помощью групповой
политики.
Уровень защиты нежелательной почты
Выбор уровня защиты от нежелательной
почты: "Без защиты", "Низкая", "Высокая",
"Только надежные списки".
Перезаписывать или добавлять список
импорта нежелательной почты
Изменение настройки по умолчанию: вместо
перезаписи списка импорта нежелательной
почты используется добавление к списку.
Удалять нежелательную почту без
возможности восстановления
Безвозвратное удаление возможной
нежелательной почты без перемещения в
папку нежелательной почты.
Укажите путь к списку заблокированных
отправителей
Указание текстового файла со списком адресов
электронной почты, добавляемых к списку
заблокированных отправителей или
перезаписывающих его.
Укажите путь к списку надежных получателей
Указание текстового файла со списком адресов
электронной почты, добавляемых к списку
надежных получателей или перезаписывающих
его.
210
Параметр нежелательной почты
Описание
Укажите путь к списку надежных отправителей
Указание текстового файла со списком адресов
электронной почты, добавляемых к списку
надежных отправителей или
перезаписывающих его.
Доверять сообщениям от контактов
Доверие письмам от адресатов из списка
контактов пользователя.
Развертывание списков фильтра нежелательной
электронной почты по умолчанию
Можно развертывать для пользователей списки фильтра нежелательной почты по умолчанию.
Фильтр нежелательной почты использует эти списки следующим образом:

Список надежных отправителей Сообщения электронной почты, полученные с адресов
электронной почты из этого списка или с любого адреса электронной почты, включающего
имя домена из списка, никогда не рассматриваются как нежелательная почта.

Список надежных получателей Сообщения электронной почты, отправленные на адреса
электронной почты из этого списка или на любой адрес, включающий имя домена из списка,
никогда не рассматриваются как нежелательная почта.

Список заблокированных отправителей Сообщения электронной почты, полученные с
адресов электронной почты в этом списке или с любого адреса, включающего имя домена из
списка, всегда рассматриваются как нежелательная почта.
Если имя домена или адрес электронной почты включены как в список заблокированных
отправителей, так и в список надежных отправителей, то список надежных отправителей имеет
преимущество. Это уменьшает риск того, что нужная почта будет по ошибке отфильтрована как
нежелательная. Эти списки хранятся на сервере Exchange и доступны даже при перемещении
пользователей.
Для развертывания списков фильтра нежелательной почты создайте списки на тестовом
компьютере и распространите их среди пользователей. Можно распространять списки,
разместив их на общем сетевом ресурсе. Если имеются удаленные пользователи, которые не
подключены к домену, можно использовать центр развертывания Office для добавления файлов
с помощью параметра Добавить файлы. Предоставляемые списки являются списками по
умолчанию. Если развернуть списки с помощью групповой политики, пользователи смогут
изменять эти списки в сеансе Outlook. При перезапуске Outlook применение групповой политики
приведет к добавлению списка по умолчанию или, если включен параметр Перезаписывать
или добавлять список импорта нежелательной почты, пользовательские изменения будут
переопределены исходным развернутым списком. Сведения о создании и развертывании
211
списков по умолчанию см. в разделе Настройка параметров нежелательной почты в Outlook
2010.
Настройка автоматической загрузки рисунков
Сообщения в формате HTML часто содержат рисунки и звуковые данные. Иногда эти рисунки и
звуковые данные не включаются в сообщение, а загружаются с веб-сервера при его открытии
или предварительном просмотре. Как правило, так делают допустимые отправители во
избежание отправки сообщений очень большого размера.
Однако отправители нежелательной почты могут использовать ссылку на контент внешних
серверов для включения в сообщения электронной почты веб-маяка, который уведомляет вебсервер о прочтении или предварительном просмотре сообщения пользователем. Уведомление
по веб-маякам подтверждает существование адреса электронной почты пользователя для
отправителя нежелательной почты, что может привести к отправке большего числа сообщений
нежелательной почты пользователю.
Возможность запрета автоматической загрузки рисунков или другого контента также поможет
избежать просмотра потенциально нежелательного контента (когда внешний контент связан с
сообщением). Кроме того, при подключении с низкой скоростью передачи блокировка позволяет
решить, имеет ли смысл тратить время на загрузку данного изображения. Заблокированные
рисунки или контент в сообщении можно просмотреть, щелкнув информационную панель под
заголовком сообщения или щелкнув заблокированное изображение правой кнопкой мыши.
По умолчанию Outlook 2010 не загружает рисунки или другой контент, если этот контент не
приходит с веб-сайта из зоны доверенных сайтов или от отправителя или домена в списке
надежных отправителей. Это поведение можно изменить таким образом, чтобы контент из
любых зон (доверенные сайты, местная интрасеть и Интернет) загружался или блокировался
автоматически.
Можно настроить следующие параметры автоматической загрузки рисунков. На странице
Изменение параметров пользователя центра развертывания Office эти параметры
располагаются в меню Microsoft Outlook 2010\Безопасность\Параметры автоматической
загрузки рисунков. В групповой политики эти параметры находятся в разделе Конфигурация
пользователя\Шаблоны администрирования\Microsoft Outlook
2010\Безопасность\Параметры автоматической загрузки рисунков.
Параметр автоматической загрузки рисунков
Описание
Автоматически загружать содержимое из
сообщений от адресатов из списков надежных
отправителей и надежных получателей
Включение этого параметра позволяет
автоматически загружать содержимое при
получении сообщения от пользователя из
списка надежных отправителей или списка
надежных получателей.
212
Параметр автоматической загрузки рисунков
Описание
Блокировать надежные зоны
Отключение этого параметра приводит к
включению доверенных зон в надежные зоны
для автоматической загрузки рисунков.
Отображать рисунки и внешнее содержимое в
сообщениях формата HTML
Включение этого параметра позволяет
автоматически отображать внешнее
содержимое в сообщениях в формате HTML.
Не разрешать загрузку содержимого из
безопасных зон
Отключение этого параметра позволяет
автоматически загружать контент сайтов из
надежных зон (определяется параметрами
доверенных зон, Интернета и интрасети).
Включить Интернет в список безопасных зон
для автоматической загрузки рисунков
Автоматическая загрузка рисунков для всех
сообщений из Интернета.
Включить интрасеть в список безопасных зон
для автоматической загрузки рисунков
Автоматическая загрузка рисунков для всех
сообщений из интрасети.
Дополнительные сведения о настройке автоматической загрузки рисунков см. в разделе
Настройка параметров нежелательной почты в Outlook 2010.
См. также
Настройка параметров нежелательной почты в Outlook 2010
213
Plan for spelling checker settings in Office 2010
(на английском языке)
Depending on your objectives, you can use either Group Policy or the Office Customization Tool (OCT)
to manage the behavior of spelling checker in Office 2010. To determine which of these tools to use,
you must decide whether or not you want users to be able to change your configurations:

Group Policy enables you to set policies, which are configurations that users cannot change.

The OCT enables you to set preferences, which are configurations that users can change through
the user interface (UI). Preferences are deployed during Office 2010 setup.
The Office 2010 Group Policy and OCT settings are available in the Office 2010 Administrative
Template files (ADM, ADMX, ADML) and Office Customization Tool
(http://go.microsoft.com/fwlink/?LinkID=189316) download package. The download package also
contains an Excel 2010 workbook (“Office2010GroupPolicyAndOCTSettings.xls”) that has more
information about the settings. It includes registry information that can be useful if you want to configure
spelling checker options by using a script.
In this article:

Office 2010 general spelling checker settings

InfoPath 2010 spelling checker settings

OneNote 2010 spelling checker settings

Outlook 2010 spelling checker settings

PowerPoint 2010 spelling checker settings

Publisher 2010 spelling checker settings

Word 2010 spelling checker settings
The sections in this article are grouped by application. Each section contains a table that lists the
setting names, descriptions, the behavior that occurs when you enable, disable, or do not configure the
setting, and the location of the setting in the Group Policy object editor and OCT.
Примечание
Office 2010 general spelling checker settings
The following table lists the settings that apply globally to Office 2010.
214
Name
Description
When
When
When not
Group Policy
enabled
disabled
configure
object editor
d
location
OCT location
Improve
proofing
tools
Controls
whether the
Help
Improve
Proofing
Tools
feature
sends usage
data to
Microsoft.
Data is sent
to Microsoft
if users
decide to
participate in
the
Customer
Experience
Improvemen
t Program
(CEIP).
Data is not
collected or
sent to
Microsoft.
Same as
if it is
enabled,
except
users
can
change
the
setting
through
the UI.
Microsoft
Office
2010\Tools |
Options |
Spelling\Proofi
ng Data
Collection
Microsoft
Office
2010\Tools |
Options |
Spelling\Proofi
ng Data
Collection
Flag
Repeated
Words
Allows users
to flag or
ignore
repeated
words.
Spelling
checker
flags
repeated
words.
Spelling
checker
does not flag
repeated
words.
Same as
if it is
enabled,
except
users
can
change
the
setting
through
the UI.
Microsoft
Office
2010\Tools |
Options |
Spelling\Proofi
ng Data
Collection
Microsoft
Office
2010\Tools |
Options |
Spelling
Ignore
words in
UPPERCAS
E
Allows users
to ignore
words that
are written in
UPPERCAS
E.
Spelling
checker
ignores
words that
are written in
UPPERCAS
E.
Spelling
checker
does not
ignore words
that are
written in
UPPERCAS
E.
Same as
if it is
enabled,
except
users
can
change
the
setting
through
the UI.
Microsoft
Office
2010\Tools |
Options |
Spelling\Proofi
ng Data
Collection
Microsoft
Office
2010\Tools |
Options |
Spelling
Ignore
words with
numbers
Allows users
to ignore
words that
contain
Spelling
checker
ignores
words that
Spelling
checker
does not
ignore words
Same as
if it is
enabled,
except
Microsoft
Office
2010\Tools |
Options |
Microsoft
Office
2010\Tools |
Options |
215
Name
Description
When
When
When not
Group Policy
enabled
disabled
configure
object editor
d
location
OCT location
numbers.
contain
numbers.
that contain
numbers.
users
can
change
the
setting
through
the UI.
Spelling\Proofi
ng Data
Collection
Spelling
Ignore
Internet and
file
addresses
Allows users
to ignore
URLs and
file paths.
Spelling
checker
ignores
URLs and
file paths.
Spelling
checker
does not
ignore URLs
and file
paths.
Same as
if it is
enabled,
except
users
can
change
the
setting
through
the UI.
Microsoft
Office
2010\Tools |
Options |
Spelling\Proofi
ng Data
Collection
Microsoft
Office
2010\Tools |
Options |
Spelling
Suggest
from main
dictionary
only.
Allows users
to select
words from
the main
dictionary
only.
Spelling
checker lets
users select
words from
the main
dictionary
only.
Spelling
checker lets
users select
words from
other
sources.
Same as
if it is
enabled,
except
users
can
change
the
setting
through
the UI.
Microsoft
Office
2010\Tools |
Options |
Spelling\Proofi
ng Data
Collection
Microsoft
Office
2010\Tools |
Options |
Spelling
InfoPath 2010 spelling checker settings
The following table lists the settings that apply to InfoPath 2010.
216
Name
Description
When
When
When not
Group Policy object
enabled
disabled
configure
editor location
OCT location
d
Hide
spelling
errors
Allows
users to
hide spelling
errors (the
wavy line
under a
misspelled
word)
Spelling
errors (the
wavy lines
under a
misspelled
word) are
hidden.
Spelling
errors are
designate
d by a
wavy line
that is
under the
misspelle
d word.
Disable
command
s
Allows the
administrato
r to disable
UI options.
The
UI option
administrato is
r can
enabled.
disable the
following UI
option:
Home tab |
Spelling
Menu | Set
Proofing
Language
Same as
if it is
enabled,
except
users can
change
the
setting
through
the UI.
Microsoft InfoPath
2010\InfoPath
Options\Spelling &
Grammar
Microsoft
InfoPath
2010\InfoPath
Options\Spellin
g & Grammar
Same as
if it is
disabled,
except
users can
change
the
setting
through
the UI.
Microsoft InfoPath Not available in
2010\Disable Items the OCT.
in User
Interface\Predefine
d
OneNote 2010 spelling checker settings
The following table lists the settings that apply to OneNote 2010.
Name
Description
When
When
When not
Group Policy
enabled
disabled
configured
object editor
OCT location
location
OneNote
Spelling
Options
Determines
the following
spelling
options for
users

No spell
One or
more
options
can be
enabled.
One or
more
options
can be
disabled.
Same as
enabling
the “Check
spelling as
you type”
option, but
Microsoft
OneNote
2010\OneNote
Options\Spelling
Microsoft
OneNote
2010\OneNote
Options\Spelling
217
Name
Description
When
When
When not
Group Policy
enabled
disabled
configured
object editor
OCT location
location
checking

Check
spelling
as you
type

Hide
spelling
errors

Check
spelling
but hide
errors
users can
change this
through the
UI.
Outlook 2010 spelling checker settings
The following table lists the settings that apply to Outlook 2010.
Name
Description
When
When
When not
Group Policy
enabled
disabled
configured
object editor
OCT location
location
General
Enables or
disables the
following
spelling
options for
users:

Always
check
spelling
before
sending

Ignore
original
messag
e text in
One or
more
options
can be
enabled.
One or
more
options
can be
disabled.
Both
options are
enabled,
but users
can change
this through
the UI.
Microsoft Outlook
2010\Outlook
Options\Spelling
Microsoft Outlook
2010\Outlook
Options\Spelling
218
Name
Description
When
When
When not
Group Policy
enabled
disabled
configured
object editor
OCT location
location
software
PowerPoint 2010 spelling checker settings
The following table lists the settings that apply to PowerPoint 2010.
Name
Description
When
When
When not
Group Policy
enabled
disabled
configured
object editor
OCT location
location
Use
contextual
spelling
Enables or
disables
contextual
spelling for
users.
Contextual
spelling is
enabled for
users.
Contextual
spelling is
disabled
for users.
Same as if
it is
enabled,
except
users can
change
through
the UI.
Microsoft
PowerPoint
2010\PowerPoint
Options\Proofing
Microsoft
PowerPoint
2010\PowerPoint
Options\Proofing
Check
Enables
spelling as PowerPoint
you type
2010 to
check the
spelling
while the
user types.
Check
spelling
as you
type is
enabled for
users.
Check
spelling
as you
type is
disabled
for users.
Same as if
it is
enabled,
except
users can
change
through
the UI.
Microsoft
PowerPoint
2010\PowerPoint
Options\Proofing
Microsoft
PowerPoint
2010\PowerPoint
Options\Proofing
Publisher 2010 spelling checker settings
The following table lists the settings that apply to Publisher 2010.
219
Name
Check
spelling
as you
type
Description
Enables or
disables the
following
options:

Check
spelling
as you
type.

Hide
spelling
errors.

''Check
spelling
as you
type''
and
''Hide
spelling
errors''
are
both
enabled
.
When
When
When not
Group Policy object
enabled
disabled
configured
editor location
One or
more of
the
options
can be
enabled.
One or
more of
the
options
can be
disabled.
Check
spelling as
you type is
enabled,
but users
can
change
this
through
the UI.
Microsoft Publisher
2010\Publisher
Options\L_Proofing
OCT location
Microsoft Publisher
2010\Publisher
Options\L_Proofing
Word 2010 spelling checker settings
The following table lists the settings that apply to Word 2010.
Name
Description
When
When
When
Group Policy object
enabled
disable
not
editor location
d
configur
OCT location
ed
Check
grammar
with
spelling
Allows users to
configure spelling
checker to check
the grammar at the
Spelling
checker
checks for
grammar
Spellin
g
checke
r does
Same
as if it is
enabled
, except
Microsoft Word
2010\Word
Options\Proofing\Auto
Format as you
Microsoft
Word
2010\Word
Options\Proo
220
Name
Description
When
When
When
Group Policy object
enabled
disable
not
editor location
d
configur
OCT location
ed
Delay
before
starting
backgrou
nd
spelling
checker
same time that they
check the spelling.
when it
checks
spelling.
not
check
for
gramm
ar
when it
checks
spellin
g.
Allows the
administrator to add
a delay, expressed
in
milliseconds.Millise
conds (e.g. 5000
milliseconds = 5
seconds), before
background
spelling checker
starts.)
The
There
administra is no
tor can
delay.
specify a
delay in
millisecon
ds,
between 0
–
21474836
47.
users
can
change
through
the UI.
type\Automatically as
you type
There is Microsoft Word
no
2010\Word
delay.
Options\Proofing\Auto
Format as you
type\Automatically as
you type
fing
Microsoft
Word
2010\Word
Options\Proo
fing
См. также
Обзор групповой политики для Office 2010
Принудительное применение параметров с помощью групповой политики в Office 2010
Планирование средств проверки правописания
221
Планирование SharePoint Workspace 2010
В этой статье описана процедура планирования развертывания Microsoft SharePoint Workspace
2010. SharePoint Workspace 2010 — это клиент для Microsoft SharePoint Server 2010 и Microsoft
SharePoint Foundation 2010, поддерживающий совместную работу в автономном и
интерактивном режимах. Таким образом, он обеспечивает непрерывную синхронизацию
контента настольного компьютера с документами и списками SharePoint. SharePoint Workspace
2010 также предоставляет возможности для поддержки одноранговой совместной работы путем
создания рабочих областей и общих папок Groove, не требующих подключения к SharePoint, как
описано в статье Обзор SharePoint Workspace 2010. SharePoint Workspace 2010 устанавливается
автоматически вместе с корпоративными версиями Microsoft Office 2010 или может быть
установлен отдельно из центра загрузки Майкрософт (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=162268&clcid=0x419) (Возможно, на английском языке).
Этапы планирования, описанные в этой статье, помогут подготовиться к успешному
развертыванию, оптимизирующему совместную работу во всей инфраструктуре управления
приложениями организации.
Сведения о развертывании SharePoint Workspace 2010 в управляемой Microsoft Groove Server
среде см. в статье, посвященной Deployment for Groove Server 2010 (на английском языке).
Содержание:

Планирование топологии SharePoint Workspace 2010

Планирование параметров сети для SharePoint Workspace 2010

Планирование загрузки

Планирование безопасности

Планирование проверки подлинности

Планирование альтернативных сопоставлений доступа

Планирование мониторинга и регулирования производительности

Планирование действий и параметров для списков и библиотек SharePoint

Планирование поиска

Планирование резервного копирования и восстановления SharePoint Workspace
Планирование топологии SharePoint Workspace
2010
Планирование развертывания SharePoint Workspace следует начинать с выбора уровня
совместной работы, который требуется обеспечить сотрудникам организации. Затем можно
выбрать топологию, которая лучшим образом поддерживает выбранную стратегию. При выборе
222
топологии SharePoint Workspace учитывайте особенности операционной среды и требования в
отношении производительности. Ответы на следующие вопросы помогут в принятии решения.

Является ли SharePoint Server 2010 или SharePoint Foundation 2010 частью системы
совместной работы организации?

Как работают корреспонденты: автономно или в интерактивном режиме?

Требуется ли поддержка гибкой одноранговой совместной работы?

Допускают ли процедуры управления использованием одноранговую совместную работу?

Требуется ли расширение совместной работы группы за пределы частной сети, локальной
сети, необходима ли связь с доверенными партнерами или сайтами на местах?

Используется ли система каталогов Active Directory?

Предполагается ли ввод данных клиентами, не имеющими доступ к серверу SharePoint
Server 2010?

Требуется ли в инфраструктуре управления и безопасности организации использование
централизованного управления одноранговой совместной работой?
В следующей таблице показано, в какой мере различные топологии SharePoint Workspace
отвечают перечисленным критериям.
Топологии и возможности SharePoint Workspace
Топология
Возможности
SharePoint Workspace только как клиент
SharePoint
Эта топология основана на следующих
возможностях:
SharePoint Workspace как клиент одноранговой
совместной работы

Доступ к библиотекам и спискам SharePoint
Server 2010 или SharePoint Foundation
2010.

Автономная и интерактивная работа
корреспондентов.
Эта топология основана на следующих
возможностях:

Автономная и интерактивная работа
корреспондентов.

Гибкая одноранговая совместная работа.
Рабочие области Groove поддерживают
различные протоколы обмена данными.
Это позволяет организации контролировать
открытые порты для транспорта сообщений
в одноранговых сетях.

Расширение совместной работы групп на
пределы частной сети с подключением
223
Топология
Возможности
доверенных партнеров и сайтов на местах.

SharePoint Workspace как клиент одноранговой
совместной работы и клиент SharePoint
Сервер Groove Server и SharePoint Workspace
как управляемая система для совместной
работы
Ввод данных клиентами, не имеющими
доступа к серверу SharePoint Server 2010.
Эта топология основана на следующих
возможностях:

Доступ к библиотекам и спискам SharePoint
Server 2010 или SharePoint Foundation
2010.

Автономная и интерактивная работа
корреспондентов.

Гибкая одноранговая совместная работа.
Рабочие области Groove поддерживают
различные протоколы обмена данными.
Это позволяет организации контролировать
открытые порты для транспорта сообщений
в одноранговых сетях.

Расширение совместной работы групп на
пределы частной сети с подключением
доверенных партнеров и сайтов на местах.

Ввод данных клиентами, не имеющими
доступа к серверу SharePoint Server 2010.
Эта топология основана на следующих
возможностях:

Использование централизованного
управления одноранговой совместной
работой в инфраструктуре управления и
безопасности организации.

Автономная и интерактивная работа
корреспондентов.

Гибкая одноранговая совместная работа.

Расширение совместной работы групп на
пределы частной сети с подключением
доверенных партнеров и сайтов на местах.

Ввод данных клиентами, не имеющими
доступа к серверу SharePoint Server 2010.

Наличие интеграции с системой Active
Directory.
224
Топология
Возможности
Дополнительные сведения об этой топологии
развертывания см. в статье Groove Server 2010
(на английском языке).
В следующих разделах описано, как основные топологии развертывания SharePoint Workspace
соотносятся с различными потребностями в совместной работе.
SharePoint Workspace только как клиент SharePoint
SharePoint Workspace как клиент SharePoint больше всего подходит для организаций, где члены
групп и партнеры SharePoint должны осуществлять ввод данных, находясь за пределами
корпоративной инфраструктуры — на местах или при отсутствии подключения к серверу
SharePoint. Такая топология предоставляет пользователям SharePoint Workspace следующие
варианты совместной работы:

Возможность простого создания рабочей области SharePoint, устанавливающей связь между
сервером SharePoint и клиентом SharePoint Workspace. Это позволяет отдельным членам
групп или партнерам SharePoint загружать содержимое сайтов SharePoint на локальный
компьютер. С помощью рабочей области SharePoint корреспонденты могут добавлять,
изменять или удалять содержимое библиотеки документов или списка SharePoint как в
автономном, так и в интерактивном режиме независимо от наличия подключения к серверу
SharePoint. Синхронизация и обновление контента между клиентом SharePoint Workspace и
сайтами SharePoint происходит автоматически при входе клиента в интерактивный режим,
что позволяет обмениваться данными, созданными как в автономном режиме, так и
создаваемыми во время наличия подключения к Интернету.
Примечание.
Клиент SharePoint Workspace позволяет пользователям создавать рабочие области
SharePoint и одноранговые рабочие области. Одноранговые рабочие области могут быть
областями Groove или общими папками, как описано в разделе SharePoint Workspace как
клиент одноранговой совместной работы и клиент SharePoint. Для развертывания
SharePoint Workspace только в качестве клиента SharePoint с поддержкой только рабочих
областей SharePoint в развертывание можно включить политику, запрещающую
реализацию возможностей одноранговых рабочих областей, как описано в разделе
Настройка SharePoint Workspace 2010.
В этой конфигурации базовый уровень управления клиентами может быть достигнут с помощью
средств Windows и Active Directory.
Рабочие области SharePoint полагаются на технологии связи и динамики SharePoint Workspace,
поддерживая отдельные подключения "клиент — SharePoint", позволяющие пользователям
SharePoint Workspace работать с контентом документов и списков SharePoint на своих
225
локальных компьютерах и обновлять их. На рис. 1 показана базовая установка SharePoint
Workspace и Microsoft SharePoint Server 2010.
Рисунок 1. Подключение SharePoint Workspace к SharePoint
SharePoint Workspace как клиент одноранговой совместной
работы
SharePoint Workspace как клиент одноранговой совместной работы больше всего подходит для
организаций, в которых работникам необходимо предоставить хорошо оснащенную и простую в
использовании среду совместной работы без наличия Microsoft SharePoint Server 2010 или
Microsoft SharePoint Foundation 2010. Эта топология предоставляет пользователям SharePoint
Workspace два варианта реализации одноранговой совместной работы:

Возможность простого и быстрого создания рабочих областей Groove, в которых сотрудники
могут безопасно работать совместно с доверенными партнерами без необходимости
создания виртуальной частной сети (VPN) и с доступом к полному набору локальных
автономных и интерактивных средств совместной работы. Средства совместной работы
рабочей области Groove поддерживают создание и совместное использование документов,
интерактивные обсуждения, управление совещаниями и формы Microsoft InfoPath в среде
совместной работы членов групп и партнеров, расположенных по обе стороны брандмауэра
корпоративной сети, в режиме реального времени.

Возможность создания общих папок, позволяющих пользователям SharePoint Workspace
совместно работать с контентом определенных папок Windows на компьютерах членов
рабочей области.
В этой конфигурации базовый уровень управления клиентами может быть достигнут с помощью
средств Windows и Active Directory.
Для обеспечения одноранговой совместной работы в рабочих областях Groove и общих папках
SharePoint Workspace использует возможности подключений и динамики, а также предоставляет
модуль диспетчера рабочей области с набором средств, диспетчер контактов, диспетчер
226
сообщений и основанную на стандартах инфраструктуру открытых ключей (PKI), что
обеспечивает защиту рабочих областей Groove и проверку подлинности членов рабочих
областей. Данные рабочей области Groove располагаются на клиентских компьютерах, а
встроенные средства безопасности гарантируют шифрование данных членом рабочих областей
в сети. Основные возможности средств и компонентов SharePoint Workspace могут
использоваться на двух клиентских компьютерах, непосредственно подключенных по локальной
сети, как показано на рисунке 2.
Рисунок 2. Одноранговые подключения рабочей области Groove в локальной сети
Для поддержки однорангового подключения в рабочих областях Groove и к общим папкам, когда
клиент подключен к глобальной сети, находится в автономном режиме или по ту сторону
брандмауэра, SharePoint Workspace полагается на поддержку диспетчера Microsoft Groove
Server и служб ретрансляции, как показано на рисунке 3. Эти серверы, размещенные на базе
Майкрософт или установленные на местах, гарантируют своевременное подключение
независимо от контекста пользователя или условий среды Интернета.
Рис. 3. Подключения рабочей области Groove за пределами локальной сети
227
SharePoint Workspace как клиент одноранговой совместной
работы и клиент SharePoint
SharePoint Workspace как клиент одноранговой совместной работы и клиент SharePoint больше
всего подходит для организаций, в которых существует потребность в синхронизации контента
клиентских компьютеров с библиотеками документов и списками SharePoint при одновременном
расширении совместной работы с включением групп, находящихся за пределами
инфраструктуры документов SharePoint. Этот вариант объединяет описанные выше топологии и
предоставляет пользователям SharePoint Workspace следующие возможности совместной
работы:

Возможность создания рабочей области SharePoint, устанавливающей связь между
сервером SharePoint и клиентом SharePoint Workspace. Это позволяет отдельным членам
групп SharePoint или партнерам загружать контент сайтов SharePoint на локальный
компьютер, как описано в разделе SharePoint Workspace только как клиент SharePoint.

Возможность простого создания рабочих областей Groove, в которых доверенные партнеры
могут безопасно сотрудничать без необходимости использования VPN, как описано в
разделе Обзор SharePoint Workspace 2010.

Возможность создания рабочей области общих папок, позволяющих пользователям
SharePoint Workspace совместно работать с контентом определенных папок Windows на
компьютерах членов рабочей области.
В этой конфигурации базовый уровень управления клиентами может быть достигнут с помощью
средств Windows и Active Directory.
Модули обмена информацией SharePoint Workspace вместе с протоколами TCP/IP, описанными
в разделе Планирование параметров сети для SharePoint Workspace 2010, поддерживают
транспорт сообщений и синхронизацию контента между отдельными клиентами и серверами
SharePoint, а также между одноранговыми клиентами. На рисунке 4 показана система клиентсервер SharePoint Workspace, включающая сервер SharePoint, службы ретрансляции и
управления сервера Groove Server и четыре клиента SharePoint Workspace:
228
Рисунок 4. SharePoint Workspace с серверами SharePoint и Groove
Сервер Groove Server и SharePoint Workspace как управляемая
система для совместной работы
При использовании рабочих областей Groove и общих папок установка Microsoft Groove Server
2010 на месте в составе развертывания SharePoint Workspace предоставляет оптимальные
возможности администрирования клиентов. Groove Server предусматривает два приложения,
упрощающих развертывание и эксплуатацию SharePoint Workspace в корпоративной среде:
Groove Server Manager предоставляет службы управления, отчетности и службы распределения
политик, а Groove Server Relay упрощает обмен сообщениями между клиентами. Эта система
способна функционировать как с SharePoint Server, так и самостоятельно, и допускает
расширение с подключением партнеров, находящихся за пределами корпоративного
брандмауэра. Дополнительные сведения о Groove Server 2010 см. в статье Groove Server 2010
(на английском языке).
В следующей таблице представлены варианты топологии SharePoint Workspace,
соответствующие различным сценариям.
229
Сценарии и топологии развертывания SharePoint Workspace
Сценарий
Описание
Выбранная топология и
обязательные компоненты
Финансовые службы
Региональная сеть школ
Региональная сеть системы
здравоохранения

Область использования:
город

Размер: 2000 сотрудников

Количество пользователей Обязательные компоненты:
SharePoint Workspace: 1000  SharePoint Server

Инфраструктура SharePoint 
в наличии

Область использования:
штат (регион)

Размер: 4000 сотрудников

Количество пользователей
SharePoint Workspace:
10 000

Инфраструктура SharePoint
отсутствует

Область использования:
регион

Размер: 5000 сотрудников

Количество пользователей
SharePoint Workspace:
10 000

SharePoint Workspace
только как клиент
SharePoint
SharePoint Workspace как
клиент одноранговой
совместной работы
Обязательные компоненты:

Обязательные компоненты:

Инфраструктура SharePoint 
в наличии

Область использования:
глобально

Размер: 500 000
сотрудников

Количество пользователей
SharePoint Workspace:
50 000

Клиенты SharePoint
Workspace с
возможностью
подключения к Интернету
SharePoint Workspace как
клиент одноранговой
совместной работы и
клиент SharePoint

Многонациональная
корпорация
Клиенты SharePoint
Workspace
SharePoint Server
Клиенты SharePoint
Workspace
Подключение к
Интернету.
Сервер Groove Server и
SharePoint Workspace как
управляемая система
SharePoint для совместной
работы
Обязательные компоненты:

Microsoft Groove Server
2010

Клиенты SharePoint
Отдел ИТ: есть
230
Сценарий
Описание
Выбранная топология и
обязательные компоненты
Workspace

Система Active Directory
(рекомендуется)

Подключение к Интернету
(рекомендуется)
Планирование параметров сети для SharePoint
Workspace 2010
Microsoft SharePoint Workspace 2010 автоматически настраивает сетевые порты брандмауэра
Windows для обеспечения оптимальной производительности. Чтобы проверить подключения
портов или настроить порты Microsoft SharePoint Server и SharePoint Workspace только для
рабочих областей SharePoint, запустите надстройку панели управления брандмауэра Windows и
измените необходимые параметры.
Дополнительные сведения о протоколах SharePoint Workspace см. в статье Документация
протоколов Microsoft Office (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=162294&clcid=0x419) (Возможно, на английском языке).
В следующей таблице указано, какие порты для каких протоколов требуются в SharePoint
Workspace.
Параметры клиентских портов для SharePoint Workspace 2010
Порт
Поддерживаемые протоколы
Описание
80/TCP — исходящий
Служба синхронизации файлов
Майкрософт по протоколу
SOAP через HTTP (MSFSSHTTP)
Поддержка следующих
соединений:

Для рабочих областей
SharePoint —
синхронизация контента
документов и списков
между клиентами Microsoft
SharePoint Server и
SharePoint Workspace.

Для рабочих областей
Groove и общих папок —
передача SSTP-сообщений
между клиентами
HTTP-инкапсуляция протокола
SSTP в Microsoft Groove (MSGRVHENC)
231
Порт
Поддерживаемые протоколы
Описание
SharePoint Workspace и
серверами ретрансляции
Groove Relay при
недоступности SSTPпортов 2492/TCP и
443/TCP. Инкапсуляция
SSTP-передачи в HTTP.

443/TCP — исходящий
HTTPS
HTTP-инкапсуляция протокола
безопасности SSTP в Microsoft
Groove (MS-GRVSSTPS)
2492/TCP — входящий и
исходящий
Протокол SSTP в Microsoft
Groove (MS-GRVSSTP)
Для рабочих областей
Groove и общих папок —
обмен данными по
протоколу SOAP между
клиентами SharePoint
Workspace и серверами
управления Groove.
Поддержка следующих
соединений:

Для рабочих областей
SharePoint —
синхронизация контента с
защитой SSL между
клиентами Microsoft
SharePoint Server и
SharePoint Workspace.

Для рабочих областей
Groove и общих папок —
передача SSTP-сообщений
между клиентами
SharePoint Workspace и
серверами ретрансляции
при недоступности SSTPпорта 2492/TCP.
Используется технология
защищенного
туннелирования HTTP.
Поддержка следующих
соединений:

Для рабочих областей
Groove и общих папок —
передача SSTP-сообщений
232
Порт
Поддерживаемые протоколы
Описание
между клиентами
SharePoint Workspace и
серверами ретрансляции.
1211/TCP — входящий и
исходящий
Протокол LANDPP
Поддержка следующих
соединений:

Для рабочих областей
Groove и общих папок —
обнаружение присутствия
устройств локальной сети
между клиентами
SharePoint Workspace.
Планирование загрузки
Для создания топологии, поддерживающей предполагаемую базу пользователей SharePoint
Workspace, ответьте на следующие вопросы и определите соответствующие потребности в
сетевом оборудовании и аппаратные требования SharePoint Server:

Каково предполагаемое количество пользователей SharePoint Workspace, поддерживаемых
локальной сетью?

Какое количество внутренних клиентов будет выполнять синхронизацию с SharePoint Server
посредством рабочих областей SharePoint?

Какое количество внутренних и внешних клиентов будет обмениваться данными
посредством рабочих областей Groove или общих папок?

Каково предполагаемое количество одновременных одноранговых подключений SharePoint
Workspace?

Каков предполагаемый суточный объем клиентских данных (в байтах), синхронизируемых с
SharePoint Server?

Каков предполагаемый суточный объем клиентских данных (в байтах), передаваемых между
рабочими областями Groove?
Информацию о выборе оборудования, соответствующего предполагаемой нагрузки на клиент
SharePoint Workspace, см. в требованиях к клиенту Office в разделе Системные требования для
Office 2010.
Дополнительные сведения об определении требований SharePoint Server, предъявляемых к
поддержке предполагаемой нагрузки на SharePoint Workspace, см. в разделе Планирование
мониторинга и регулирования производительности, а также в спецификациях SharePoint Server
2010 в статье Развертывание SharePoint Server
2010(http://go.microsoft.com/fwlink/?linkid=188459&clcid=0x419).
233
Планирование безопасности
При взаимодействии клиента SharePoint Workspace с сайтами SharePoint используются протокол
синхронизации и внешние механизмы защиты, предоставляемые, например, технологией VPN
или SSL. Поэтому для подключений к SharePoint из-за пределов корпоративного домена
рекомендуется использовать шифрование SSL. Можно настроить параметры групповой
политики, применяемые ко всему подразделению Active Directory, как описано в статье
Настройка SharePoint Workspace 2010. Кроме этого, можно защитить сайт SharePoint от
несанкционированного доступа, соответствующим образом настроив списки управления
доступом. Руководство по настройке управления доступом пользователей для синхронизации с
библиотеками и списками SharePoint см. в статьях Управление группами сайтов и разрешениями
(Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=162300&clcid=0x419)
(Возможно, на английском языке) и Управление пользователями сайтов и определение
разрешений (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=162301&clcid=0x419) (Возможно, на английском языке).
SharePoint Workspace использует сильные алгоритмы шифрования для защиты учетных данных
SharePoint Workspace, которые являются защищенными хранилищами ключей шифрования,
личных данных, контактов, сообщений и уникальных идентификаторов рабочих областей
пользователей. Для доступа к учетным данных SharePoint Workspace используется проверка
подлинности Windows и учетные данные пользователя для входа в Windows.
SharePoint Workspace 2010 не шифрует документы SharePoint Workspace 2010 и другие
двоичные файлы, в том числе содержимое рабочей области SharePoint на диске. Поэтому для
защиты данных на дисках клиентов рекомендуется использовать шифрование дисков BitLocker.
Дополнительные сведения см. в статье Шифрование диска BitLocker (Возможно, на английском
языке) (http://go.microsoft.com/fwlink/?linkid=163122&clcid=0x419) (Возможно, на английском
языке). Для усиления защиты также можно блокировать доступ службы Windows Search к
каталогу данных рабочей области SharePoint, чтобы запретить создание нешифрованных
индексов поиска. Но помните, что контент, используемый совместно с другими клиентами, не
применяющими такие же средства защиты, остается незашифрованным и доступным для
поиска.
В рабочих областях Groove и общих папках для проверки подлинности, шифрования и защиты
данных, передаваемых по сети между клиентами, SharePoint Workspace использует встроенные
технологии шифрования на основе симметричных и открытых ключей. Для защиты следующего
контента на диске используется надежное шифрование: мгновенные сообщения Groove,
приглашения Groove, записи обсуждений и блокнота Groove, архивированные рабочие области
Groove и шаблоны средств Forms.
Планирование проверки подлинности
Для проверки подлинности пользователей и доступа к учетным записям SharePoint Workspace
SharePoint Workspace 2010 использует учетную запись входа в Windows и API защиты данных
234
(DPAPI). Такой способ единого входа (SSO) означает, что дополнительные учетные данные для
SharePoint Workspace, не требуются.
Для проверки подлинности пользователей SharePoint Workspace при доступе к SharePoint Server
система SharePoint Workspace поддерживает следующие методы SharePoint Server: проверку
подлинности Windows и проверку подлинности на основе форм. Как правило, проверка
подлинности Windows применяется для доступа внутренних пользователей SharePoint
Workspace к сайтам SharePoint, а проверка подлинности на основе форм — для доступа
внешних пользователей SharePoint Workspace к сайтам SharePoint.
При проверке подлинности пользователей SharePoint Workspace между собой (для рабочих
областей Groove, общих папок и систем обмена сообщениями) SharePoint Workspace полагается
на встроенную инфраструктуру открытых ключей (PKI).
Дополнительные сведения о едином входе для SharePoint Server см. в статье Единый вход в
корпоративной среде (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=162302&clcid=0x419) (Возможно, на английском языке).
Дополнительные сведения о проверке подлинности на основе форм см. в статье Настройка
проверки подлинности на основе форм (http://go.microsoft.com/fwlink/?linkid=149721&clcid=0x419).
Планирование альтернативных сопоставлений
доступа
SharePoint Server поддерживает альтернативные сопоставления доступа, позволяющие задать
для сайта несколько URL-адресов. При использовании рабочих областей SharePoint это
преимущество можно использовать, чтобы обеспечить возможность синхронизации SharePoint
Workspace с несколькими URL-адресами SharePoint Server. Определение нескольких URLадресов выгодно в сценариях развертывания, где URL-адрес запроса, получаемого с помощью
службы IIS, отличается от URL-адреса, вводимого конечным пользователем (например, в
сценарии, предполагающем публикацию обратного прокси-сервера и балансировку нагрузки).
Дополнительные сведения об альтернативных сопоставлениях доступа см. в статье
Планирование альтернативных сопоставлений доступа
(http://go.microsoft.com/fwlink/?linkid=114854&clcid=0x419).
Планирование мониторинга и регулирования
производительности
SharePoint Server 2010 управляет потоком обмена данных с клиентами с помощью
регулирующих запросов, когда встроенные средства мониторинга исправности сервера
указывают на отставание производительности по причине чрезмерной нагрузки. При
использовании рабочих областей SharePoint клиенты SharePoint Workspace реагируют на
сигналы SharePoint Server, регулируя периодичность запросов сервера. Корректировка
периодичности синхронизации SharePoint Workspace отражает активность рабочей области
235
SharePoint и изменения на сайте SharePoint, снижаясь при снижении активности. Корректировка
снижает использование клиентами общей пропускной способности и повышает
производительность сервера.
В случае с рабочими областями Groove SharePoint Workspace предоставляет встроенные
средства обеспечения производительности и полагается на службы Groove Server Relay,
размещенные на сайте Майкрософт или установленные на месте (для оптимизации обмена
данными). Для оптимизации производительности SharePoint Workspace передает данные
рабочих областей Groove непосредственно из клиента, когда позволяют условия сети. Если
данные адресованы клиенту, непосредственное подключение к которому невозможно, Groove
отправляет данные через серверы ретрансляции, что оптимизирует процесс передачи
сообщений. Когда передача сообщений осуществляется с участием серверов ретрансляции,
общее использование пропускной способности в условиях высокого трафика, как правило, ниже.
Планирование действий и параметров для
списков и библиотек SharePoint
К SharePoint Workspace 2010 применяются следующие действия и параметры SharePoint Server
2010:

Действия сайта: Синхронизация с SharePoint Workspace — пользователи SharePoint
Workspace, подключенные к сайту SharePoint, могут выбрать действие Синхронизировать с
SharePoint Workspace, чтобы создать рабочую область SharePoint на локальном
компьютере корреспондента или синхронизировать контент, если рабочая область
SharePoint для сайта уже существует. Из локальной рабочей области пользователь может
добавить, изменить или удалить контент независимо от наличия подключения к сайту
SharePoint. Синхронизация с сайтом SharePoint выполняется автоматически с заданной
периодичностью. Кроме этого, пользователь может перейти на вкладку Синхронизация
рабочей области SharePoint и выполнить синхронизацию принудительно.
Примечание.
Действие Синхронизация с SharePoint Workspace также доступно на ленте
библиотеки документов и списков SharePoint.

Действия сайта/Параметры сайта/Администрирование сайта/Поиск и доступность для
автономных клиентов/Доступность для автономных клиентов — администратор сайтов
SharePoint должен установить этот флажок, чтобы клиенты SharePoint Workspace могли
получить доступ к сайту.
Планирование поиска
Поиск по контенту SharePoint Workspace можно выполнять с помощью службы поиска Windows
Search версии 4.0 или более поздних версий. По умолчанию для части контента SharePoint
Workspace включен обход (индексирование) службой поиска Windows Search. Пользователи
236
SharePoint Workspace могут получить доступ к службе поиска Windows Search версии 4.0,
щелкнув Поиск на вкладке Главная ленты (если эта возможность не запрещена политикой
Windows).
Администратор может заблокировать службу поиска Windows Search для контента SharePoint
Workspace и переопределить любые параметры поиска, заданные пользователем, развернув
объект групповой политики Active Directory, как описано в разделе Настройка SharePoint
Workspace 2010. Дополнительные сведения об использовании службы поиска Windows Search
см. в статье Руководства по администрированию службы Windows Search (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=164567&clcid=0x419) (Возможно, на
английском языке).
Планирование резервного копирования и
восстановления SharePoint Workspace
Все сведения учетных записей SharePoint Workspace хранятся на клиентских компьютерах. Эти
сведения включают ключи шифрования и учетные данные пользователя. SharePoint Workspace
предоставляет средства резервного копирования и восстановления учетных записей
пользователей. Кроме этого, пользователи могут выполнять резервное копирование рабочих
областей Groove в виде архивов рабочих областей.
Для обеспечения надежной защиты учетных записей пользователей SharePoint Workspace
следите за тем, чтобы пользователи SharePoint Workspace выполняли следующие
рекомендации:

Включите восстановление учетных записей SharePoint Workspace. Параметр Разрешить
восстановление учетной записи находится в SharePoint Workspace 2010 в разделе
Параметры учетной записи и предоставляет пользователям защищенный метод
восстановления доступа к учетным записям в случае необходимости изменения учетной
записи входа в Windows. Флажок Разрешить восстановление учетной записи должен быть
установлен на всех клиентских компьютерах. Предупредите пользователей о
недопустимости снятия этого флажка.
Примечание.
Функция Разрешить восстановление учетной записи также поддерживает
переносимость учетной записи и возможность ее использования на нескольких
компьютерах. Для организаций, в которых необходимо запретить использование
учетных записей пользователей на других компьютерах, Microsoft Groove Server 2010
предоставляет политику, ограничивающую использование управляемых учетных
записей одним компьютером. Дополнительные сведения о развертывании Groove
Server на своем сайте см. в разделе Deployment for Groove Server 2010 (на
английском языке).

Сохраните файл резервных копий учетных записей пользователей SharePoint Workspace в
надежном месте. SharePoint Workspace поддерживает восстановление в случае потери или
237
повреждения записей, предоставляя возможность пользователям сохранять учетные записи
в GRV-файлах. Следите за тем, чтобы пользователи регулярно регулярно сохраняли свои
учетные данные в файлы в надежном местоположении. Для сохранения учетной записи
перейдите на вкладку Файл ленты и в раскрывающемся списке Управление учетной
записью выберите пункт Параметры учетной записи, а затем на вкладке Учетная запись
выберите Сохранить учетную запись как файл, укажите имя файла и пароль для
восстановления. Помните, что для отправки пользователю кода для восстановления учетной
записи, если пользователь забыл свой рабочий пароль, должен быть установлен флажок
Разрешить восстановление учетной записи. Если флажок установлен, SharePoint
Workspace отправляет код восстановления пароля по указанному пользователем адресу
электронной почты (адрес указывается в мастере настройки учетной записи при создании
учетной записи).
Чтобы помочь защитить рабочие области Groove, стимулируйте пользователей периодически
выполнять резервное копирование всех рабочих областей Groove. Для этого на вкладке Файл
им необходимо выбрать Совместное использование и установить параметр Рабочая область
как архив. Дополнительные сведения о резервном копировании и восстановлении рабочих
областей Groove см. в справке по продукту SharePoint Workspace на веб-сайте Продукты
Майкрософт в Интернете (http://go.microsoft.com/fwlink/?linkid=162269&clcid=0x419).
Примечание.
Данные и средства рабочей области Groove располагаются на клиентских компьютерах.
Поэтому, если рабочая область Groove используется совместно с другими членами
группы, то потерянные данные могут быть восстановлены с другого клиентского
компьютера.
См. также
Обзор SharePoint Workspace 2010
Настройка SharePoint Workspace 2010
Deployment for Groove Server 2010 (на английском языке)
Документация протоколов Microsoft (Возможно, на английском языке)
238
Планирование настроек и параметров для
Visio 2010
В данной статье описываются несколько из доступных вариантов настройки в Microsoft Visio
2010.
Содержание:

Параметры приложений

Шаблоны схем

Настройка быстрых фигур

Надежные документы

SharePoint и репозиторий
Параметры приложений
В Visio 2010 есть несколько способов настройки параметров приложений, с которым работает
пользователь, начиная с внешнего вида и поведения приложения и заканчивая правилами
управления созданным документом.
Фоны, границы и галереи заголовков
Фоны, границы и галереи заголовков на вкладке Конструктор заполняются из встроенных
наборов элементов. Однако галереи можно настроить, размещая фигуру в папке "Мои фигуры"
пользователя (которая размещена в папке "Документы" или "Мои документы").
Наборы элементов должны иметь следующие имена.
_BCKGRND.VSS для галереи фонов
_BORDERS.VSS для галереи границ и заголовков
Примечание.
Имена файлов должны начинаться с подчеркивания.
Если Visio находит набор элементов с таким именем файла (это имя должно быть одинаково для
всех языков) в папке "Мои фигуры", она будет использоваться для заполнения галереи вместо
фигуры, включенной с Visio 2010.
Предупреждение.
Фигуры в этих галереях обладают особенным поведением, поэтому для их репликации
нужно знание Visio ShapeSheet.
Для получения базиса контента настраиваемой галереи выполните следующие шаги.
239
1. Найдите наборы элементов, включенные в Visio 2010 в папке \Program Files\Microsoft
Office\Office14\Visio Content\1033 (для английского языка).
2. Скопируйте файлы в папку "Мои фигуры":
a. Фон (США и метрическая система мер)
BCKGRN_U.VSS
BCKGRN_M.VSS
b. Границы и заголовки (США и метрическая система мер)
BORDRS_U.VSS
BORDRS_M.VSS
3. Переименуйте и настройте эти файлы.
Пользовательские темы
В Microsoft Office Visio 2007 темы позволяют легко применять профессиональный дизайн к
диаграмме. В Visio 2010 темы используют интерфейс пользователя Microsoft Office Fluent и
применяют возможность предварительного просмотра.
Пользовательские темы Visio хранятся в документа, а не во внешнем файле. Для развертывания
пользовательской темы нужно определить ее в документе Visio и сохранить ее как шаблон (*.vst)
для использования в компании. Метод создания шаблонов в Visio 2010 не отличается от их
создания в Office Visio 2007 и предыдущих версиях.
Для создания пользовательской темы, которая будет храниться как шаблон, выполните
следующие действия.
1. Перейдите на вкладку Конструктор.
2. Щелкните Цвета .
3. Выберите команду Создать новые цвета темы.
4. Выберите имя темы и цвета, а затем нажмите кнопку ОК.
5. Щелкните Эффекты.
6. Выберите команду Создать новые эффекты темы.
7. Выберите нужные эффекты, а затем нажмите кнопку ОК.
Все пользователи должны начинать создание чертежей с шаблона, чтобы применять
пользовательскую тему.
Настраиваемые правила проверки
В Visio 2010 можно развернуть пользовательские шаблоны с наборами правил проверки и
правилами, которые обеспечивают соответствие диаграмм стандартам компании. Правило
проверки представляет один тип требования, которое должна выполнять диаграмма. Если
пользователь начинает проверку, Visio отображает список требований, которые не выполняются.
Правило проверки определяет логический тест, выполняемый на основе содержимого
диаграммы. Правила проверки пакуются в наборы правил. В документе может быть несколько
240
наборов правил. Каждый набор правил может быть активным или неактивным (отключенным), а
несколько наборов могут быть активными одновременно. У каждого набора правил в документе
уникальное имя. Такое же правило может использоваться в нескольких наборах правил в
документе, а один и тот же набор правил может применяться в нескольких документах,
использующих приложение. Microsoft Visio премиум 2010 предоставляет правила в шаблонах
простой блок-схемы, функциональной блок-схемы, схемы "Шесть сигм", рабочем процессе
Microsoft SharePoint и схемы BPMN. Настраиваемые правила и наборы правил можно добавить в
любой шаблон.
При выполнении проверки Visio проверяет каждое активное правило в документе со всеми
целевыми объектами, найденными в документе. Для каждого целевого объекта, не
соответствующего требованиям правила, Visio создает ошибку проверки. Все ошибки проверки
отображаются в одном списке.
Проверку может начать пользователь с помощью кнопки команд на ленте, если пользователь
хочет проверить документ на наличие ошибок. Эти ошибки можно не исправлять или специально
игнорировать, при этом они будут игнорироваться при последующих проверках.
Для доступа к функции проверки выполните следующие действия.
1. На вкладке Процесс выберите Окно вопросов. Под чертежом откроется окно проверка.
2. Затем на вкладке Процесс нажмите кнопку Проверить схему.
После запуска проверки правила нет определенного порядка обработки правил или фигур.
Однако если операция занимает более трех секунд, показывается строка хода выполнения.
Операцию можно остановить, а Visio отображает все ошибки, найденные на данный момент.
Если Visio находит больше ошибок в документе, чем можно отобразить в окне вопросов (на
данный момент — 32767), проверка останавливается автоматически. В диалоговом окне
отображается сообщение : “Проверка схемы остановлена из-за слишком большого количества
вопросов, превышающих возможности отслеживания Visio”.
После остановки проверки (после завершения или до завершения), если найдены ошибки, Visio
открывает окно вопросов, если оно еще не открыто, в котором отображаются ошибки.
Шаблоны схем
После запуска Visio 2010 первым делом отображается новое окно представления Microsoft Office
Backstage, где можно выбрать шаблон создаваемой схемы. Оно напоминает на окно начала
работы Office Visio 2007. Документы Visio 2010 создаются в единицах измерения США или
метрических единицах. Единственный SKU, который содержит единицы измерения США или
метрические единицы — U.S. English (en-us). При использовании этого SKU и создании схемы
можно выбрать, какие единицы измерения нужно использовать. Есть параметр и групповая
политика для выбора одного из параметров, используемого по умолчанию, если он доступен и
используется английский язык (США).
241
Настройка быстрых фигур
В Visio 2010 окно фигур изменено. В окне фигур есть группа "Быстрые фигуры". Быстрые фигуры
— подмножество фигур, которые используются более часто в данном наборе элементов.
Быстрые фигуры можно настроить с помощью интерфейса пользователя, после чего настройки
сохраняются в реестре. Сведения о числе быстрых фигурах хранятся в таблице опубликованных
компонентов и используются по умолчанию.
Если пользователь настраивает набор элементов с помощью интерфейса пользователя, Visio
сохраняет число быстрых фигур и основной порядок сортировки в разделе реестра
HKCU\Software\Microsoft\Office\14.0\Visio\Quick Shapes с использованием следующего
формата.
Имя:
Полный путь к файлу набора элементов
Тип:
REG_BINARY
Данные:
Число быстрых фигур и последовательность
основных идентификаторов, представленных в
двоичной форме. Число быстрых фигур и
каждый основной идентификатор
представлены 4 байтами
Надежные документы
Надежные документы — это улучшенная возможность Office 2010, которая взаимодействует с
компонентами безопасности документа. Она активирует активное содержимое (например,
макросы и элементы управления ActiveX) в документе на основе доверия к файлу и запоминает
выбор при каждом открытии документа. Версии Office до выхода Office 2007 запрашивали
разрешение для использования макросов и другого активного содержимого перед каждым
открытием документа.
В Office 2010 при создании или открытии документа с макросом или получении документа,
использующего подключение к данным на надежном сервере, если активировано содержимое в
записи доверия, уведомление безопасности больше не будет отображаться. При использовании
надежных документов состояние доверия записывается на основе файлов. Запись доверия
добавляется в раздел текущего пользователя локального реестра и содержит полный путь к
файлу и другие данные, такие как время создания документа.
Примечание.
Записи доверия хранятся на определенном компьютере, поэтому при открытии файла на
другом компьютере появится запрос.
242
Есть два способа сделать документ надежным. Чтобы сделать документ надежным, выполните
следующие действия.
1. На панели сообщений нажмите кнопку Включить содержимое.
2. Щелкните панель сообщений для получения дополнительных сведений. Откроется
представление Backstage.
В представлении Backstage нажмите кнопку Включить содержимое. Появятся два
дополнительных параметра.
a. Включить все содержимое и сделать его надежным документом.
b. Нажмите кнопку Дополнительные параметры, чтобы включить содержимое на один раз
(как и в Office 2007).
Доверие документам в сетевой общей папке более опасно, чем доверие документам на
локальном жестком диске, так как другие пользователи с доступом к сетевым папкам смогут
изменять содержимое файла. Поэтому при первой попытке сделать документ в сетевой папке
надежным отображается предупреждение безопасности. В центре управления безопасностью
можно запретить доверие к документам из сетевых папок. При этом Office будет показывать
предупреждение безопасности при каждом открытии документа из сетевой папки.
В центре управления безопасностью можно изменить параметры, чтобы включить или отключить
доверие к документам из сети, отключить надежные документы или сбросить доверие для всех
надежные документы. Все эти параметры может настроить администратор с помощью групповой
политики.
SharePoint и репозиторий
В Visio 2010 можно сохранять файлы в Microsoft SharePoint 2010 с помощью представления
Backstage. Для этого выполните следующие действия.
1. Перейдите на вкладку Файл.
2. Нажмите кнопку Сохранить и передать.
3. Щелкните Сохранить в SharePoint.
4. Сохраните чертеж как
Документ (*.vsd) или веб-документ (*.vdw)
5. В диалоговом окне Сохранить какможно подтвердить или изменить выбор.
Если выбран веб-документ (*.vdw), убедитесь, что установлены продукты SharePoint 2010 и
Visio Services для отображения схемы в браузере.
См. также
Изменения в Visio 2010
243
Планирование обеспечения безопасности
для Office 2010
Успешная деятельность организации часто зависит от производительности сотрудников, а также
от неприкосновенности и секретности ее интеллектуальной собственности. В многих случаях ИТотдел сталкивается с трудностями, так как безопасность часто обеспечивается за счет снижения
производительности. В этом разделе описываются новые элементы управления безопасности,
доступные в версии Microsoft Office 2010 и позволяющие создать мощную систему защиты от
угроз без снижения производительности пользователей.
Содержание
Статья
Описание
Обзор безопасности системы Office 2010
Обзор новых элементов обеспечения
безопасности Microsoft Office 2010, которые
позволяют обеспечить надежную защиту от
угроз безопасности и поддерживать высокую
производительность информационных
работников.
Угрозы безопасности и контрмеры для выпуска
2010 системы Microsoft Office
Сведения о планировании безопасной
конфигурации для Office 2010, в том числе
описание рисков и угроз Office 2010, а также
угроз активам или процессам организации.
Планирование параметров надежных
расположений в Office 2010
Сведения об использовании функции
надежных расположений в Office 2010 для
отделения безопасных файлов от
потенциально вредоносных.
Планирование параметров надежных
издателей в Office 2010
Сведения об использовании функции
надежных издателей Office 2010 для указания
доверенных издателей содержимого.
Планирование параметров безопасности для
надстроек в Office 2010
Описание процесса управления поведением
надстроек или отключения их выполнения
пользователями путем изменения параметров
надстроек Office 2010.
Планирование параметров безопасности для
элементов управления ActiveX для Office 2010
Описание поведения элементов управления
Microsoft ActiveX в Office 2010 можно изменять
244
Статья
Описание
путем изменения параметров ActiveX.
Планирование параметров безопасности для
макросов VBA в Office 2010
Описание способа управления поведением
элементов управления и макросов VBA путем
изменения параметров VBA и макросов VBA в
Microsoft Office 2010.
Планирование категоризации объектов COM
для Office 2010
Описание процесса управления поведением
определенных объектов COM в Office 2010 с
помощью категоризации объектов COM.
Планирование параметров режима
защищенного просмотра в Office 2010
Сведения о настройке режима защищенного
просмотра — нового компонента обеспечения
безопасности в Office 2010, который позволяет
уменьшить риск использования вредоносных
программ на компьютере за счет открытия
файлов в среде с ограниченными
разрешениями, где их можно проверить до
открытия.
Планирование параметров проверки файлов
Office для Office 2010
Сведения о настройке функции проверки
файлов Office — нового компонента
обеспечения безопасности Office 2010,
позволяющего предотвратить атаки подмены
форматов файлов за счет проверки двоичных
файлов в формате Office до их открытия.
Планирование параметров
конфиденциальности для Office 2010
Описание настройка параметров
конфиденциальности Office 2010 в
соответствии со стандартами безопасности
компании.
Планирование управления правами на доступ к
данным в Office 2010
Обзор технологии управления правами на
доступ к данным (IRM) и ее применения в
приложениях Office.
Планирование обеспечения безопасности и
защиты в Outlook 2010
Описываются возможности Microsoft Outlook
2010 для защиты сообщений электронной
почты организации.
245
Обзор безопасности системы Office 2010
Финансовый успех организации часто зависит от производительности труда ее информационных
работников, а также от целостности и конфиденциальности интеллектуальной собственности. В
прошлом эти цели были практически недостижимы для ИТ-специалистов, поскольку для
обеспечения защиты приходилось жертвовать производительностью. При реализации большого
количества элементов обеспечения безопасности снижается производительность сотрудников.
При реализации небольшого количества элементов безопасности увеличивается не только
производительность сотрудников, но и возможность атаки, что приводит к повышению затрат на
ликвидацию последствий и увеличению совокупной стоимости владения. Однако благодаря
новым элементам обеспечения безопасности Microsoft Office 2010 ИТ-специалисты могут
обеспечить надежную защиту от угроз безопасности и поддерживать высокую
производительность информационных работников.
Четыре новых элемента управления позволяют повысить безопасность и уменьшить
вероятность атаки, что позволит устранить угрозы злоумышленного использования эксплойтов.
Ниже приведены эти элементы управления:
Поддержка предотвращения выполнения данных (DEP) для приложений Office. Аппаратная
и программная технология, усиливающая защиту путем предотвращения выполнения
вирусов и червей, использующих уязвимости переполнения буфера.
Проверка файлов Office Компонент ПО, который способствует снижению вероятности атаки
посредством поиска файлов, не соответствующих определению допустимого формата
файлов.
Расширенные параметры блокировки файлов Параметры, управляемые в центре
управления безопасностью и в групповой политике, которые способствуют снижению
вероятности атаки путем предоставления более точного управления типами файлов,
доступными для приложения.
Защищенный просмотр Функция, которая позволяет устранять атаки путем разрешения
предварительного просмотра пользователями ненадежных или потенциально вредоносных
файлов в изолированной среде.
В дополнение к этим элементам управления Office 2010 содержит другие улучшения
безопасности, которые снижают вероятность атаки, обеспечивают целостность и
конфиденциальность данных. В их число входят:

Криптографическая гибкость

Поддержка надежных меток времени для цифровых подписей

Проверка и принудительное применение зависимости сложности пароля от домена

Усиление шифрования

Улучшения функции защиты с помощью пароля

Проверка целостности зашифрованных файлов
246
Office 2010 также содержит некоторые улучшения безопасности, которые напрямую влияют на
производительность пользователей. Улучшения пользовательского интерфейса панели
сообщений, параметров пользовательского интерфейса центра управления безопасностью и
модель доверия с записью решений пользователя являются примерами новых функций, которые
позволяют принимать решения, связанные с безопасностью, и делают эти действия более
удобными для сотрудников. Кроме того, многие новые и улучшенные элементы обеспечения
безопасности можно настраивать с помощью параметров групповой политики. Это облегчает
применение и поддержку архитектуры безопасности в организации.
Содержание:

Ключевой компонент — многоуровневая защита

Принятие пользователями эффективных решений, связанных с безопасностью

Предоставление администраторам полного доступа

Перенос параметров безопасности и конфиденциальности из Office 2003
Ключевой компонент — многоуровневая защита
Центральным компонентом эффективной системы безопасности является стратегия
безопасности, которая реализует несколько взаимодополняющих друг друга уровней защиты от
неавторизованных пользователей и вредоносного кода. Как правило, в средних и крупных
организациях реализованы следующие уровни защиты:

Защита демилитаризованной зоны с помощью брандмауэров и прокси-серверов

Меры физической безопасности, такие как ограниченный доступ к центрам данным и
серверным помещениям

Средства безопасности рабочих станций, такие как личные брандмауэры, антивирусные
приложения и средства обнаружения шпионских программ
Стратегия защиты позволяет устранять угрозы безопасности посредством нескольких
дополняющих и повторяющих друг друга элементов обеспечения безопасности. Например, если
вирус-червь проходит через брандмауэр в демилитаризованной зоне и получает доступ к
внутренней сети, ему еще предстоит пройти проверку в антивирусной программе и обойти
личный брандмауэр, чтобы нанести вред рабочей станции. Такой же механизм встроен в
архитектуру безопасности Office 2010.
Четырехуровневый подход
Архитектура безопасности Office 2010 позволяет не только расширить стратегию защиты, но и
вывести ее за пределы средств обеспечения безопасности рабочих станций путем
предоставления мер противодействия, способствующих построению многоуровневой защиты.
При реализации эти меры противодействия вступают в силу с момента попытки открытия файла
пользователем в приложении Office 2010, после чего они обеспечивают многоуровневую защиту
до фактического открытия файла и подготовки его к редактированию. На следующем рисунке
показаны четыре уровня защиты, встроенные в архитектуру безопасности Office 2010.
247
Усиление защиты против атак
Этот уровень защиты позволяет снизить вероятность атаки на приложения Office 2010 с
помощью меры противодействия, известной как предотвращение выполнения данных (DEP).
Предотвращение выполнения данных позволяет предотвратить атаки, связанные с
переполнением буфера, посредством идентификации файлов, которые пытаются выполнить код
из той части памяти, которая зарезервирована только для данных. По умолчанию функция
предотвращения выполнения данных в Office 2010 включена. Параметрами предотвращения
выполнения данных можно управлять в центре управления безопасностью или в параметрах
групповой политики.
Снижение вероятности атаки
Этот уровень защиты позволяет снизить вероятность атаки на приложения Office 2010 путем
ограничения типов файлов, которые будут доступны для открытия приложениями, а также путем
предотвращения запуска в приложениях определенных типов кода, содержащегося в файлах.
Для этого в приложениях Office задействованы три меры противодействия.

Проверка файлов Office Этот программный компонент сканирует файлы на отличия в
формате и, основываясь на встроенных параметрах, может предотвратить открытие файла
для редактирования, если формат является недопустимым. Например, недопустимым будет
считаться файл, в формате которого содержится угроза безопасности приложения
Office 2010. По умолчанию средство проверки файлов Office включено. Управлять им можно
с помощью параметров групповой политики.

Параметры блокировки файлов Эти параметры были представлены в системе Microsoft
Office 2007 для снижения вероятности атаки. С их помощью можно запретить приложениям
открывать и сохранять определенные типы файлов. Кроме того, можно указать, что должно
происходить в случае разрешения открытия типа файла. Например, можно указать, будет ли
файл открываться в режиме защищенного просмотра и будет ли разрешено редактирование.
В Office 2010 были добавлены некоторые новые параметры блокировки файлов. Этими
параметрами можно управлять в центре управления безопасностью и с помощью групповой
политики.
248

Флаг блокировки Office ActiveX Эта новая функция Office 2010 позволяет предотвратить
запуск в приложениях Office 2010 определенных элементов управления ActiveX, не
затрагивая параметры запуска этих элементов управления в Microsoft Internet Explorer. По
умолчанию флаг блокировки Office ActiveX не настроен. Однако его можно настроить,
изменив реестр.
Устранение эксплойтов
Этот уровень защиты позволяет устранять эксплойты путем открытия потенциально опасных
файлов в изолированной среде. Эта среда называется защищенным просмотром. С ее помощью
пользователи могут предварительно просматривать файлы перед их фактическим открытием в
приложении. По умолчанию защищенный просмотр включен. Однако можно отключить его и
управлять его параметрами в центре управления и безопасности, а также через групповую
политику.
Улучшение взаимодействия с пользователем
Этот уровень защиты служит для устранения уязвимостей путем уменьшения принимаемых
пользователями решений, относящихся к безопасности, и повышения эффективности способов
принятия таких решений. Например, документы, к которым нет доверия, автоматически
открываются для защищенного просмотра без вмешательства со стороны пользователя.
Пользователи могут просматривать и закрывать эти документы без принятия решений,
относящихся к безопасности, что чаще всего означает эффективное выполнение работы без
необходимости отвечать на запросы, связанные с безопасностью. Если пользователь желает
изменить документ, который отображается в режиме защищенного просмотра, можно выбрать
режим редактирования. После включения редактирования документ уже не будет открываться в
защищенном просмотре. Если документ содержит активное содержимое, такое как элементы
управления ActiveX и макросы, отображается панель сообщений, запрашивающая разрешение
на открытие активного содержимого. После включения такого содержимого пользователь уже не
будет отвечать на запросы панели сообщений об открытии активного содержимого. Параметры
панели сообщений и доверенных документов можно настроить в центре управления
безопасностью и в групповой политике.
Дополнительные меры противодействия для усиления
безопасности
Помимо мер противодействия, описанных в предыдущем разделе, Office 2010 предоставляет
некоторые новые и улучшенные меры противодействия для дальнейшего предотвращения
угроз. Эти меры противодействия помогают обезопасить среду от атак, обеспечивая защиту
целостности и конфиденциальности данных.
Меры противодействия, связанные с целостностью данных
Параметры целостности позволяют устранить угрозы целостности бизнес-данных и бизнеспроцессов. Злоумышленники пытаются нарушить целостность данных, повреждая документы,
презентации и электронные таблицы. Например, злоумышленник может нарушить целостность
249
данных и бизнес-процессов, заменив файл на похожий файл с поврежденными данными или
недостоверной информацией. В связи с этим были улучшены две меры противодействия —
цифровые подписи и проверка целостности защищенных файлов, — что позволяет устранять
угрозы целостности данных.
Улучшения, связанные с цифровыми подписями
В цифровых подписях теперь поддерживаются надежные отметки времени, что делает
документы Office совместимыми со стандартом W3C XML Advanced Electronic Signatures
(XAdES). Надежные отметки времени обеспечивают допустимость цифровых подписей и их
защиту даже в том случае, если истек срок годности сертификата, используемого для подписи.
Поддержка надежных отметок времени доступна только в Microsoft Excel 2010, Microsoft Access
2010, Microsoft PowerPoint 2010 и Microsoft Word 2010. Чтобы воспользоваться этой функцией,
необходимо использовать центр, отвечающий за метки времени.
Помимо поддержки отметок времени Office 2010 содержит ряд улучшений в пользовательском
интерфейсе, которые упрощают для пользователей реализацию цифровых подписей и
управление ими. Кроме того, отметки времени можно настроить в параметрах групповой
политики.
Проверка целостности зашифрованных файлов
Теперь администраторы могут выбирать, следует ли реализовывать код проверки подлинности
сообщений на основе хэша (HMAC) при использовании зашифрованных файлов, что помогает
определить, был ли файл изменен злоумышленником. Код HMAC полностью совместим с
интерфейсом API шифрования Windows: Next Generation (CNG), что позволяет администраторам
настраивать поставщика шифрования, хэш и контекст, которые используются для генерации
кода HMAC. Эти параметры можно настроить в групповой политике.
Меры противодействия, связанные с конфиденциальностью
Параметры конфиденциальности способствуют устранению угроз для данных, которые не
должны быть доступны широкому кругу пользователей, таким как сообщения электронной почты,
сведения о планировании проектов, спецификации разработки, финансовые данные,
информация по клиентам, а также личные и конфиденциальные сведения. Чтобы устранить
угрозы конфиденциальности, были улучшены и расширены некоторые меры противодействия.
Улучшения в криптографии
Теперь некоторые приложения Office 2010 гибко поддерживают шифрование и CNG. Это
означает, что администраторы могут указать любой алгоритм шифрования для кодирования и
подписи документов. Кроме того, некоторые приложения Office 2010 теперь поддерживают
шифрование по стандарту Suite B.
Улучшение шифрования с использованием паролей
Функция шифрования с использованием паролей теперь совместима с требованиями ISO/IEC
29500 и ISO/IEC 10118-3:2004. Эта функция также поддерживается Office 2010 и Office 2007 с
пакетом обновления 2 (SP2), однако только при поддержке операционной системой тех же
поставщиков шифрования. Кроме того, Office 2010 содержит некоторые изменения в
250
пользовательском интерфейсе, которые позволяют упростить понимание и использование
пользователями функции шифрования с помощью пароля.
Проверка и принудительное применение сложности паролей
Пароли, используемые функцией шифрования с помощью пароля, теперь могут проверяться на
длину и сложность, что регулируется политиками паролей в домене. Это применимо только к
паролям, созданным с помощью функции шифрования с использованием паролей. Можно
задействовать некоторые новые параметры групповой политики для управления проверкой и
принудительным применением сложности паролей.
Улучшения, связанные с шифрованием
Был улучшен механизм шифрования, что обеспечивает невозможность сохранения ключа
шифрования и расшифровки в виде файла с открытым текстом. В целом эти улучшения
шифрования прозрачны как для пользователей, так и для администраторов.
Принятие пользователями эффективных
решений, связанных с безопасностью
Одним из преимуществ многоуровневой защиты является возможность пошагового ослабления
и замедления атак, что дает администраторам больше времени для определения векторов атак
и принятия адекватных мер противодействия, если в таковых возникнет необходимость. Другим
преимуществом многоуровневой защиты является возможность снижения количества решений,
относящихся к безопасности, которые должны приниматься пользователями. При использовании
конфигурации безопасности по умолчанию большинство решений в Office 2010 принимается
самой системой, а не пользователем. Это делается для того, чтобы обезопасить пользователей
от принятия неверных решений, связанных с безопасностью, что способствует повышению
производительности.
На следующем рисунке показано высокоуровневое представление основных элементов
управления безопасностью при открытии пользователем файла в Excel 2010, PowerPoint 2010
или Word 2010. Элементы обеспечения безопасности, которые не нуждаются в
пользовательском вмешательстве, отмечены желтым цветом. Элементы управления,
нуждающиеся в действиях пользователей, отмечены голубым цветом. На рисунке показано
поведение Office 2010 по умолчанию. Можно управлять этим поведением по умолчанию, чтобы
приспособить его под нужды безопасности и архитектуры организации. Также на этом рисунке не
показаны все доступные для реализации элементы обеспечения безопасности, такие как DEP,
шифрование или управления правами на доступ к данным.
251
Как показано на предыдущем рисунке, документы должны пройти через несколько уровней
защиты, прежде чем пользователи смогут принять решение, связанное с безопасностью. Если
252
пользователи не должны редактировать документ, они могут ознакомиться с ним в защищенном
просмотре, а затем закрыть документ без принятия каких-либо решений. Эффективность этого
рабочего процесса обеспечивается несколькими ключевыми функциями.
Улучшенная модель доверия Когда пользователи пытаются открыть файл, Office 2010
оценивает состояние доверия к этому файлу. По умолчанию довершенные файлы обходят
большинство проверок безопасности и открываются для редактирования без принятия
пользователями каких-либо решений. Файлы, к которым нет доверия, должны пройти те
проверки безопасности, из которых состоит многоуровневая защита. Документы, которые не
заслуживают доверия, автоматически открываются в режиме защищенного просмотра без
вмешательства со стороны пользователя. Если пользователь желает изменить документ,
отображаемый в режиме защищенного просмотра, можно выбрать параметр разрешения
редактирования. После включения редактирования документ уже не будет открываться в
режиме защищенного просмотра. Если документ содержит активное содержимое, такое как
элементы управления ActiveX и макросы, отображается панель сообщений, запрашивающая
разрешение на открытие активного содержимого. После включения такого содержимого
пользователь уже не будет отвечать на запросы панели сообщений об открытии активного
содержимого. В Office 2007 можно использовать надежные размещения и надежных издателей
для определения заслуживающих доверия файлов и содержимого. Кроме того, в Office 2010
можно использовать новую функцию, которая называется "Надежные документы". С помощью
этой функции пользователи могут определять файлы как надежные после их защищенного
просмотра. Если файл был определен как надежный, это свойство сохраняется вместе с
файлом, так что в следующий раз при открытии этого файла пользователь не будет принимать
решение, относящееся к безопасности.
Примечание.
Надежные файлы не освобождаются от проверки антивирусными программами или
проверки на флаг блокировки ActiveX. Если файл является надежным, он сканируется
локальной антивирусной программой (при наличии таковой). Кроме того при снятом
флаге блокировки ActiveX элементы управления активным содержимым не запускаются.
Прозрачные меры противодействия Некоторые меры противодействия в Office 2010
осуществляются незаметно для пользователей и не требуют их вмешательства. Например,
приложения Office 2010 оценивают ненадежные файлы на наличие отличий в формате,
используя новую технологию проверки файлов Office. Эта технология работает самостоятельно
при открытии пользователем ненадежного файла. Если возможные несоответствия в формате
файла не обнаружены, пользователь даже не узнает о сканировании файла с использованием
этой технологии.
Примечание.
В некоторых случаях функция проверки файлов Office может привести к возникновению
запроса об отправке сведений о сканировании в корпорацию Майкрософт, чтобы
улучшить возможность этой функции находить угрозы безопасности. Отключить
возникновение этих запросов можно с помощью параметров групповой политики.
253
Просмотр в изолированной среде Ненадежные файлы открываются для просмотра в
изолированной среде, известной как защищенный просмотр. В этой среде пользователи могут
просматривать файлы и копировать содержимое в буфер обмена. Однако они не могут печатать
или редактировать файлы. В большинстве случаев предварительный просмотр документа
является достаточным для пользователей, поэтому они смогут просмотреть и закрыть файл, не
отвечая на какие-либо запросы. Например, даже если файл содержит ненадежный макрос VBA,
пользователь не должен включать макросы VBA для защищенного просмотра содержимого.
В большинстве случаев конфигурация безопасности по умолчанию в Office 2010 достаточна для
обеспечения надежной защиты; она предоставляет несколько уровней защиты без снижения
эффективности работы пользователей. Однако некоторым организациям может понадобиться
изменить конфигурацию безопасности, чтобы сделать свою среду более жесткой, или же
наоборот — ослабить безопасность, чтобы сделать работу пользователей более гибкой.
Например, если в организации работают достаточно опытные пользователи, которым нет
необходимости просматривать файлы в изолированной среде, можно отключить защищенный
режим. Делать это не рекомендуется (так как влечет за собой множество рисков), однако это
способствует снижению количества решений, связанных с безопасностью, которые должны
принимать пользователи. И наоборот, если необходимо сделать среду максимально жесткой,
можно задать параметры таким образом, чтобы все ненадежные документы открывались в
защищенном просмотре и никогда не покидали его. Это повысит безопасность, но сделает
невозможным редактирование пользователями подобных документов. Независимо от
потребности организации в обеспечении безопасности, многоуровневые меры противодействия
в Office 2010 позволяют эффективно сочетать безопасность и производительность труда; то есть
можно увеличивать и уменьшать количество решений, связанных с безопасностью, которые
должны приниматься пользователями, без негативного воздействия на архитектуру
безопасности.
Предоставление администраторам полного
доступа
Большинство крупных и средних организаций используют централизованные средства
управления, такие как параметры групповых политик в домене. С их помощью организации
развертывают и управляют конфигурациями безопасности. Использование параметров
доменных групповых политик позволяет обеспечить согласованность конфигураций
компьютеров в организации и принудительно внедрять конфигурацию безопасности. Это два
основных требования к эффективной стратегии безопасности. В рамках этой концепции
Office 2010 предоставляет расширенный набор параметров групповой политики, которые
помогут эффективно развертывать конфигурацию безопасности и управлять ей.
В следующей таблице показаны различные способы управления новыми элементами
обеспечения безопасности в Office 2010. Также здесь показано, какие приложения поддерживают
новые средства безопасности.
254
Средство безопасности
Доступно для
Доступно для
Применимо к
настройки в центре
настройки в
следующим
управления
параметрах групповой приложениям
безопасностью
политики
Предотвращение
выполнения данных
Да
Да
Все приложения
Office 2010.
Проверка файлов Office
Нет
Да
Excel 2010
PowerPoint 2010
Word 2010
Параметры блокировки
файлов
Да
Да
Excel 2010
PowerPoint 2010
Word 2010
Флаг блокировки Office
ActiveX
Нет
Нет (необходимо
включить в реестре)
Microsoft Access 2010
Excel 2010
PowerPoint 2010
Microsoft Visio 2010
Word 2010
Защищенный просмотр
Да
Да
Excel 2010
PowerPoint 2010
Word 2010
Надежные документы
Да
Да
Access 2010
Excel 2010
PowerPoint 2010
Visio 2010
Word 2010
Параметры шифрования Нет
(гибкость криптографии)
Да
Access 2010
Excel 2010
InfoPath 2010
OneNote 2010
PowerPoint 2010
Word 2010
Отметки времени
цифровых подписей
Нет
Да
Excel 2010
InfoPath 2010
255
Средство безопасности
Доступно для
Доступно для
Применимо к
настройки в центре
настройки в
следующим
управления
параметрах групповой приложениям
безопасностью
политики
PowerPoint 2010
Word 2010
Проверка целостности
зашифрованных файлов
Нет
Да
Excel 2010
PowerPoint 2010
Word 2010
Проверка и
принудительное
применение сложности
паролей
Нет
Да
Excel 2010
PowerPoint 2010
Word 2010
Перенос параметров безопасности и
конфиденциальности из Office 2003
Office 2010 содержит различные средства безопасности, которые помогут защитить документы и
обезопасить рабочие станции. Некоторые из этих средств безопасности были представлены в
Office 2007 и были улучшены в Office 2010. Другие параметры безопасности были представлены
в Office 2010. При переходе на Office 2010 с Microsoft Office 2003 или более ранней версии Office
следует ознакомиться со временем введения различных средств безопасности и
конфиденциальности Office 2010.
В следующей таблице показаны основные средства безопасности и конфиденциальности,
которые были добавлены или улучшены в Office 2007 и Office 2010.
Средство
Описание
безопасности
Центр управления
безопасностью.
Основная консоль
пользовательского
интерфейса, с
помощью которой
пользователи могут
просматривать и
настраивать
Состояние
Состояние
Дополнительные
средства в
средства в
сведения
Office 2007
Office 2010
Представлен
о в Office
2007
Расширенные и
улучшенные
параметры в
Office 2010
Обзор системы
безопасности
для выпуска
2007 системы
Microsoft Office
256
Средство
Описание
безопасности
Состояние
Состояние
Дополнительные
средства в
средства в
сведения
Office 2007
Office 2010
параметры
безопасности и
конфиденциальности
.
Панель сообщений
Элемент
пользовательского
интерфейса, на
котором
отображаются
уведомления и
предупреждения при
открытии
пользователями
документа с
потенциально
опасным
содержимым.
Представлен
о в Office
2007
Улучшенный
пользовательски
й интерфейс
панели
сообщений в
Office 2010
Обзор системы
безопасности
для выпуска
2007 системы
Microsoft Office
Надежные
расположения
Функция
Представлен
безопасности,
о в Office
которая позволяет
2007
разделять документы
на надежные и
ненадежные.
В Office 2010 нет
значительных
функциональных
изменений
Планирование
надежных
расположений и
надежных
издателей в
системе Office
2007
Параметры
блокировки
файлов
Набор параметров
безопасности,
которые позволяют
предотвратить
открытие
пользователями
некоторых типов
файлов.
Представлен
о в Office
2007
Расширенные и
улучшенные
параметры в
Office 2010
Планирование
параметров
блокировки
форматов
файлов для
выпуска 2007
системы
Microsoft Office
Инспектор
документов
Средство
обеспечения
конфиденциальности
, с помощью которого
пользователи могут
Представлен
о в Office
2007
Улучшенный
пользовательски
й интерфейс в
Office 2010
Обзор системы
безопасности
для выпуска
2007 системы
257
Средство
Описание
безопасности
Состояние
Состояние
Дополнительные
средства в
средства в
сведения
Office 2007
Office 2010
удалить из документа
персональные
данные и скрытые
сведения.
Microsoft Office
Параметры для
элементов
управления ActiveX
на глобальном
уровне и на уровне
отдельных
приложений
Позволяет отключать
элементы
управления ActiveX,
настраивать
инициализацию
элементов
управления ActiveX и
запросы элементов
управления ActiveX.
Представлен
о в Office
2007
В Office 2010 нет
значительных
функциональных
изменений
Обзор системы
безопасности
для выпуска
2007 системы
Microsoft Office
Улучшенные
параметры для
макросов VBA на
глобальном уровне
и на уровне
приложений
Позволяет отключать
VBA и настраивать
параметры
оповещения о
макросах.
Представлен
о в Office
2007
В Office 2010 нет
значительных
функциональных
изменений
Обзор системы
безопасности
для выпуска
2007 системы
Microsoft Office
Параметры
надстроек на
уровне отдельных
приложений
Позволяет отключать
надстройки,
требовать подписи
надстройки от
доверенного
издателя и
настраивать
предупреждения о
надстройках.
Представлен
о в Office
2007
В Office 2010 нет
значительных
функциональных
изменений
Обзор системы
безопасности
для выпуска
2007 системы
Microsoft Office
Предотвращение
выполнения
данных (DEP)
Аппаратная и
программная
технология, которая
обеспечивает защиту
от угроз,
предотвращая атаки
с использованием
переполнения
буфера вирусами и
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
предотвращени
я выполнения
данных в Office
2010
258
Средство
Описание
безопасности
Состояние
Состояние
Дополнительные
средства в
средства в
сведения
Office 2007
Office 2010
червями.
Проверка файлов
Office
Мера
противодействия,
которая служит для
сканирования
файлов на наличие
различий в формате
файлов и
предотвращения
открытия файлов с
недопустимым
форматом для
редактирования.
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
проверки
файлов Office
для Office 2010
Флаг блокировки
Office ActiveX
Функция Office,
которую могут
использовать
администраторы для
предотвращения
запуска
определенных
элементов
управления ActiveX в
приложениях Office.
Доступно в
приложениях
Office 2007
как флаг
блокировки
ActiveX в
Internet
Explorer
Представлено в
Office 2010 как
флаг блокировки
ActiveX в Office
Как отключить
запуск элемента
управления
ActiveX в
обозревателе
Internet Explorer
Защищенный
просмотр
Функция, которая
позволяет устранять
атаки путем
разрешения
предварительного
просмотра
пользователями
ненадежных или
потенциально
вредоносных файлов
в изолированной
среде.
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
режима
защищенного
просмотра в
Office 2010
Надежные
Средство
безопасности,
Недоступно в
приложениях
Представлено в
Планирование
параметров
259
Средство
Описание
Состояние
Состояние
Дополнительные
средства в
средства в
сведения
Office 2007
Office 2010
Office 2007
Office 2010
надежных
документов в
Office 2010
Надежные отметки Обеспечивают
времени цифровых допустимость
подписей
цифровых подписей
и их защиту даже в
том случае, если
истек срок годности
сертификата,
используемого для
подписи.
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
цифровых
подписей в
Office 2010
Проверка
целостности
зашифрованных
файлов
Позволяет
реализовывать код
HMAC при
шифровании файла.
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
криптографии и
шифрования в
Office
Проверка и
принудительное
применение
сложности паролей
Позволяет проверять
пароли на длину и
сложность, а также
принудительно
задавать
соответствующие
параметры с
использованием
доменных политик.
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
сложности
паролей в Office
2010
Криптографическа
я гибкость
Позволяет задавать
параметры
криптографии для
шифрования
документов.
Недоступно в
приложениях
Office 2007
Представлено в
Office 2010
Планирование
параметров
криптографии и
шифрования в
Office 20
безопасности
документы
которое позволяет
пользователям
определять
надежные
документы.
260
Угрозы безопасности и контрмеры для
выпуска 2010 системы Microsoft Office
Безопасная конфигурация настольных ПК является обязательной частью любой стратегии
защиты организации. Однако перед началом планирования такой конфигурации (которая
включает в себя Microsoft Office 2010) необходимо понять, какие угрозы безопасности действуют
для Office 2010, а затем определить, какие из этих угроз представляют опасность для бизнесактивов и бизнес-процессов организации. Также необходимо выяснить, какие угрозы
конфиденциальности представляют опасность для личных и конфиденциальных сведений
пользователей.
Содержание:

Риски, связанные с безопасностью данных

Угрозы для приложений, обеспечивающих эффективную работу рабочих станций

Меры противодействия по умолчанию в Office 2010
Риски, связанные с безопасностью данных
Большинство ИТ-специалистов и специалистов по безопасности разделяют угрозы, связанные с
безопасностью, на три общие категории:

Риски, связанные с конфиденциальностью Эти риски представляют собой угрозы
интеллектуальной собственности организации, исходящие от неавторизованных
пользователей и вредоносного кода, целью которых является получение доступа к
сказанному, написанному и созданному в этой организации.

Риски, связанные с целостностью данных Эти риски представляют угрозы бизнесресурсам, исходящие от неавторизованных пользователей и вредоносного кода, целью
которых является повреждение критически важных бизнес-данных организации. Эти риски
распространяются на любые бизнес-активы, содержащие критически важную для
организации информацию, такие как серверы баз данных, файлы данных и серверы
электронной почты.

Риски доступности Эти риски представляют угрозы бизнес-процессам, исходящие от
неавторизованных пользователей и вредоносного кода, целью которых является нарушение
бизнес-процессов и работы сотрудников. Процессы бизнес-аналитики, компоненты и
возможности приложений и рабочие процессы подвержены рискам, связанным с
доступностью данных.
Чтобы обеспечить защиту организации от этих трех категорий рисков, рекомендуется
использовать стратегию безопасности, включающую несколько дополняющих друг друга уровней
защиты от неавторизованных пользователей и вредоносного кода. Как правило, используются
следующие уровни:
261

Защита демилитаризованной зоны с помощью брандмауэров и прокси-серверов.

Меры физической безопасности, такие как ограниченный доступ к центрам данным и
серверным помещениям.

Средства безопасности рабочих станций, такие как личные брандмауэры, антивирусные
приложения и средства обнаружения шпионских программ.
Если Office 2010 является частью среды организации, стратегия защиты должна включать
механизмы устранения угроз. Эти механизмы содержатся в Office 2010 и задействуют различные
технологии, параметры и компоненты. С помощью этих механизмов можно устранить угрозы
приложениям Office 2010 и обезопасить интеллектуальную собственность, бизнес-ресурсы и
бизнес-процессы, которые являются критически важными для организации.
По умолчанию модель безопасности Office 2010 способствует устранению всех трех типов
рисков в организации. Однако каждая организация имеет различные возможности
инфраструктуры, различные требования к производительности и различные требования к
безопасности рабочих мест. Чтобы определить, насколько организация может устранить эти
бизнес-риски, необходимо оценивать как сами угрозы, так и источники этих угроз.
Угрозы для приложений, обеспечивающих
эффективную работу рабочих станций
Модель обеспечения безопасности Office 2010 позволяет устранить пять видов угроз,
относящихся к приложениям обеспечения эффективной работы. Каждая из таких угроз включает
в себя несколько источников угрозы и может применяться в широком диапазоне различных атак
на систему безопасности. На следующем рисунке показаны угрозы безопасности и примеры
наиболее распространенных источников угрозы.
262
Большинство организаций сталкиваются с потенциальными рисками, связанными со всеми
пятью видами угроз. Однако большинство организаций имеет дело с уникальными сочетаниями
источников угроз и видов атак.
Угрозы, связанные с активным содержимым
Угрозы кодам и приложениям являются стандартными угрозами безопасности для настольных
ПК. К числу наиболее распространенных факторов угроз относятся элементы управления
ActiveX, надстройки и макросы VBA. Эти факторы могут использоваться программистами для
создания вредоносных кодов или программ, выполняемых на компьютерах пользователей.
Угрозы, связанные с активным содержимым, являются потенциальным риском для организаций
любого размера, особенно для тех организаций, где пользователям разрешено выполнять
следующие действия:

Запускать макросы VBA, элементы управления ActiveX или надстройки.

Открывать вложения в сообщениях электронной почты.

Совместно использовать документы в рамках общедоступной сети, например, через
Интернет.

Открывать документы, полученные из внешних источников, например, от клиентов,
поставщиков или партнеров.
Угрозы, связанные с неавторизованным доступом
Угрозы, связанные с неавторизованным доступом, возникают при попытке неавторизованного
доступа к данным. Ниже приведены возможные цели злоумышленников:

Файлы документов Если неавторизованные пользователи получили доступ к файлам
документов, они могут удалить, заменить или повредить эти файлы. Например, программист
может использовать атаку с использованием формата файла для получения с помощью
измененного документа несанкционированного доступа.

Сведения в самих документах Эти сведения включают тексты, схемы, комментарии,
правки, аннотации, пользовательские XML-данные, скрытый текст, водяные знаки, данные в
колонтитулах. Если неавторизованные пользователи получают доступ к сведениям в
документах, им становятся доступными конфиденциальные данные компании и личные
данные пользователей. Злоумышленники могут изменять, повреждать и удалять данные, а
также добавлять активное содержимое в те документы, которые хранятся в надежных
расположениях.

Метаданные Данные, связанные с документами, которые включают такие свойства, как имя
автора, название организации, время редактирования документа или номер версии
документа. Неавторизованные пользователи, получающие доступ к метаданным, могут в
дальнейшем получить доступ к конфиденциальным данным компании или личным данным
пользователей. Злоумышленники могут повредить или удалить метаданные.
263
Большинство организаций сталкивается с неавторизованным доступом, однако не
предпринимает достаточных мер для устранения подобных угроз, так как считает их
незначительными или считает стоимость устранения этих угроз чрезмерно высокой. Однако
такой подход может привести к возникновению следующих угроз безопасности:

Архитектура защиты сети организации не может предотвратить несанкционированный
доступ злоумышленников во внутреннюю сеть, что повышает риск доступа таких людей к
документам организации.

Организация позволяет пользователям отсылать, получать или совместно использовать
конфиденциальные документы в сети Интернет, включая финансовые сведения, проекты,
презентации или чертежи.

Организация позволяет пользователям подключать портативные компьютеры к
общедоступным сетям, что увеличивает риски доступа злоумышленников к документам,
хранящимся на этих компьютерах.

Организация не препятствует пользователям выносить документы с конфиденциальными
сведениями за пределы офиса.

У злоумышленников существует возможность получения несанкционированного доступа к
конфиденциальным сведениям.
Угрозы, связанные с внешним содержимым
К числу таких угроз относятся любые факторы, которые связывают документы с другими
документами, базами данных или веб-сайтами через интрасеть или общедоступную сеть, такую
как Интернет. Угрозы, связанные с внешними данными, могут исходить из следующих
источников:

Гиперссылки Обычно злоумышленники используют гиперссылки на ненадежные
документы или веб-сайты, которые содержат вредоносный код или контент.

Подключения к данным Обычно злоумышленники используют данный источник угрозы,
создавая подключения к источникам или базам данных, а затем используют эти подключения
для вредоносного управления данными или их извлечения.

Веб-маяки Обычно злоумышленники используют данный фактор угрозы, внедряя
невидимую ссылку на удаленное изображение в сообщение электронной почты. После
открытия пользователем такого сообщения ссылка активируется и загружается удаленное
изображение. В результате данные пользователя, например адрес электронной почты и IPадрес компьютера, могут быть отправлены на удаленный компьютер.

Объекты пакетов Злоумышленник может использовать встроенный объект для запуска
вредоносного кода.
Внешние угрозы представляют собой риски для организации в следующих случаях:

Пользователям предоставлен неограниченный доступ к общедоступным сетям (например, к
Интернету).
264

Пользователи могут получать сообщения электронной почты, содержащие встроенные
изображения и HTML.

Пользователи могут использовать подключения к данным в таблицах или других документах.
Угрозы, связанные с браузером
Эти угрозы могут возникнуть при программном использовании в приложении или в документе
функциональных возможностей веб-браузера, такого как Microsoft Internet Explorer. Браузер
представляет угрозу приложениям и документам, так как любые угрозы, относящиеся к браузеру,
также относятся к приложениям и документам, использующим этот браузер. Такие угрозы
включают в себя ряд факторов, которые могут использоваться в различных атаках. К факторам
угрозы относится установка элемента управления ActiveX, загрузка файлов, пробная проверка
MIME, повышение уровня зоны и установка надстроек.
Угрозы, связанные с браузером, представляют опасность для системы безопасности
организации в следующих случаях:

Пользователям позволено запускать элементы управления ActiveX, надстройки или макросы,
в которых используются возможности браузера.

Пользователи могут разрабатывать и распространять решения Office, которые используют
возможности браузера.
Угрозы, связанные с эксплойтами нулевого дня
Угрозы, связанные с эксплойтами нулевого дня, могут активизироваться при обнаружении
уязвимости, которая еще не была устранена обновлением ПО, таким как обновление
безопасности Майкрософт или пакет обновления. Атаки с использованием эксплойта нулевого
дня могут принимать различные формы, включая следующие:

удаленное выполнение кода;

несанкционированное получение прав;

раскрытие информации.
Пользователи и программисты-злоумышленники могут использовать уязвимые места системы
безопасности в рамках различных атак. До выхода обновления безопасности или пакета
обновления, ориентированных на определенный вид уязвимости, такие угрозы могут
представлять серьезную опасность для организации.
Меры противодействия по умолчанию в Office
2010
Office 2010 предоставляет различные меры противодействия, которые помогают устранить
угрозы бизнес-активам и бизнес-процессам. Мера противодействия — это средство
безопасности или элемент обеспечения безопасности, с помощью которых можно устранить
одну или несколько угроз безопасности. Как правило, можно изменить поведение меры
265
противодействия путем настройки параметров в центре развертывания Office или в групповой
политике с помощью административных шаблонов Office 2010.
Многие меры противодействия в Office 2010 устраняют определенные виды угроз для
определенного приложения. Например, Microsoft InfoPath 2010 содержит меру противодействия,
которая служит для предупреждения пользователей о возможном присутствии в формах вебмаяков. Можно изменить поведение этой меры противодействия, настроив параметр
Пользовательский интерфейс маяка для форм, открытых в InfoPath в центре
развертывания или в групповой политике.
Другие меры противодействия устраняют более широкий спектр угроз, которые часто возникают
в нескольких приложениях. Например, функция защищенного просмотра позволяет
пользователям просмотреть содержимого ненадежных документов, презентаций, электронных
таблиц без необходимости включения небезопасного содержимого или вредоносного кода,
который может нанести вред компьютеру. Эта меры противодействия используется в Microsoft
Excel 2010, Microsoft PowerPoint 2010, Microsoft Word 2010 и Microsoft Outlook 2010 при
предварительном просмотре вложения в виде файла Excel 2010, PowerPoint 2010, Microsoft Visio
2010 и Word 2010. Можно изменить это поведение, настроив ряд параметров в центре
развертывания или в групповой политике.
В следующих разделах описаны часто используемые меры противодействия, входящие в состав
Office 2010.
Параметры элемента управления ActiveX
Можно использовать параметры управления ActiveX для отключения элементов управления
ActiveX и изменения способов загрузки элементов управления ActiveX в приложениях
Office 2010. По умолчанию надежные элементы управления ActiveX загружаются в безопасном
режиме с постоянными значениями параметров. При этом пользователи не уведомляются о
загрузке элементов управления ActiveX. Ненадежные элементы управления ActiveX загружаются
другим способом, зависящим от метки того или иного элемента управления и наличия в файле
проекта VBA вместе с самим элементом управления ActiveX. Ниже приведено поведение по
умолчанию при работе с ненадежными элементами управления ActiveX:

Если элемент управления ActiveX помечен как безопасный для инициализации (SFI) и
содержится в документе, в котором отсутствует проект VBA, этот элемент управления
загружается в безопасном режиме с использованием постоянных значений параметров.
Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента
управления ActiveX. Чтобы использовалось подобное поведение, все элементы управления
ActiveX в документе должны быть помечены как SFI.

Если элемент управления ActiveX помечен как небезопасный для инициализации (UFI) и в
документе отсутствует проект VBA, пользователь видит уведомление на панели сообщений,
а элементы управления ActiveX отключаются. Однако пользователь может использовать
панель сообщений для включения элементов управления ActiveX. Если пользователь
266
включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI)
будут загружены в безопасном режиме с постоянными значениями параметров.

Если в документе, где присутствует проект VBA, имеются элементы, помещенные как UFI и
SFI, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX
отключаются. Однако пользователь может использовать панель сообщений для включения
элементов управления ActiveX. Если пользователь включит элементы управления ActiveX,
все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме
с постоянными значениями параметров.
Важно!
Если в реестре для элемента управления ActiveX установлен флаг блокировки, то
элемент управления не загружается и не может быть загружен ни при каких
обстоятельствах. Панель сообщений не отображается, и пользователь не уведомляется
о наличии элемента управления ActiveX.
Чтобы изменить поведение по умолчанию для элементов управления ActiveX, ознакомьтесь со
статьей Планирование параметров безопасности для элементов управления ActiveX для Office
2010.
Параметры надстроек
Можно использовать параметры надстроек для отключения надстроек, требовать подпись
надстроек от надежного издателя и отключать уведомления, связанные с надстройками. По
умолчанию установленные и зарегистрированные надстройки могут выполняться без
вмешательства пользователей и отображения предупреждений. Чтобы изменить это поведение
по умолчанию, ознакомьтесь со статьей Планирование параметров безопасности для надстроек
в Office 2010.
Параметры криптографии и шифрования
Эти параметры будут доступны после официального выпуска Office 2010.
Параметры предотвращения выполнения данных
Параметры предотвращения выполнения данных (DEP) можно использовать для отключения
предотвращения выполнения данных в приложениях Office 2010. Предотвращение выполнения
данных — это программная и аппаратная мера противодействия, которая помогает
предотвратить запуск вредоносного кода. По умолчанию функция предотвращения выполнения
данных включена в приложениях Office 2010, и рекомендуется не изменять этот параметр по
умолчанию.
Параметры цифровых подписей
Эти параметры будут доступны после официального выпуска Office 2010.
267
Параметры внешнего контента
Параметры внешнего контента можно использовать для изменения способов доступа
приложений Office 2010 к внешнему контенту. Внешний контента — это любой вид контента,
доступ к которому необходимо получать удаленно, например подключения к данным и ссылки на
электронные таблицы, ссылки на веб-страницы и документы, ссылки на изображения и
мультимедиа. По умолчанию при открытии пользователем файла, содержащего ссылку на
внешний контент, на панели сообщений появляется уведомление об отключенных ссылках.
Чтобы включить ссылки, пользователи должны щелкнуть панель сообщений. Рекомендуется не
изменять эти параметры по умолчанию.
Параметры блокировки файлов
Параметры блокировки файлов можно использовать, чтобы запретить открывать и сохранять
определенные типы файлов. Эти параметры можно использовать для принудительного открытия
некоторых типов файлов в режиме защищенного просмотра. По умолчанию Excel 2010,
PowerPoint 2010 и Word 2010 принудительно открывают некоторые типы файлов в режиме
защищенного просмотра.
Параметры проверки файлов Office
Параметры проверки файлов Office можно использовать для отключения функции проверки
файлов Office и изменения обработки этой функцией файлов, которые не прошли проверку.
Также можно использовать эти параметры для предотвращения отображения запросов
пользователей об отправке сведений о проверке в корпорацию Майкрософт. По умолчанию
функция проверки файлов Office включена. Файлы, которые не проходят проверку, открываются
в режиме защищенного просмотра, и пользователи могут изменить их только после открытия
файлов в этом режиме. Дополнительные сведения о параметрах проверки файлов Office см. в
разделе Планирование параметров проверки файлов Office для Office 2010/
Параметры сложности паролей
Параметры сложности паролей можно использовать для принудительного применения длины и
сложности паролей, которые будут использоваться функцией шифрования с использованием
паролей. Параметры сложности паролей позволяют принудительно применять длину и
сложность пароля на доменном уровне, если в организации были установлены правила
сложности паролей в групповой политике домена или на локальном уровне, если в организации
не используются доменные параметры сложности паролей. По умолчанию приложения
Office 2010 не проверяют длину или сложность пароля при шифровании пользователем файла с
помощью функции шифрования с использованием паролей.
268
Параметры конфиденциальности
Параметры конфиденциальности можно использовать для предотвращения появления
диалогового окна приветствия Microsoft Office 2010 при первом запуске пользователем
Office 2010. С помощью этого диалогового окна пользователь может зарегистрироваться в
различных интернет-службах для защиты и улучшения работы приложений Office 2010. Также
можно использовать параметры конфиденциальности для включения интернет-служб,
отображающихся на странице приветствия Microsoft Office 2010. По умолчанию диалоговое
окно приветствия Microsoft Office 2010 появляется при первом запуске пользователем
Office 2010, после чего пользователи могут включить рекомендованные интернет-службы,
включить только некоторые из них или не вносить никаких изменений. Если пользователь не
вносит изменения в конфигурацию, в силу вступают следующие параметры по умолчанию:

Приложения Office 2010 не подключаются к Office.com для обновления содержимого справки.

Приложения Office 2010 не загружают небольшие программы, облегчающие поиск
неисправностей, а сведения сообщения об ошибке не отправляются в корпорацию
Майкрософт.

Пользователи не регистрируются в программе улучшения качества программного
обеспечения.

При выполнении пользователем поискового запроса в справочной системе сведения об
установленных приложениях Office 2010 не отправляются в корпорацию Майкрософт для
улучшения результатов поиска, связанных с Office.com.
Чтобы изменить это поведение по умолчанию или запретить отображение диалогового окна
приветствия Microsoft Office 2010, ознакомьтесь с разделом Планирование параметров
конфиденциальности для Office 2010.
Параметры защищенного просмотра
Параметры защищенного просмотра можно использовать для предотвращения открытия файлов
в режиме защищенного просмотра или принудительного открытия файлов в этом режиме. Также
можно указать, следует ли запускать скрипты и программы, работающие в сеансе 0, в режиме
защищенного просмотра. По умолчанию защищенный просмотр включен, и все ненадежные
файлы открываются в этом режиме. Скрипты и программы, работающие в сеансе 0, не
открываются в режиме защищенного просмотра. Дополнительные сведения о параметрах
защищенного просмотра см. в разделе Планирование параметров режима защищенного
просмотра в Office 2010.
Примечание.
Также можно использовать параметры защищенного просмотра для предотвращения
открытия определенных типов файлов в режиме защищенного просмотра или
принудительного открытия определенных видов файлов в таком режиме.
269
Параметры надежных документов
Параметры надежных документов можно использовать для отключения функции надежных
документов и предотвращения пометки хранящихся на общих сетевых ресурсах документов как
надежных. Надежные документы обходят большинство проверок безопасности при открытии,
кроме того, в них разрешено все активное содержимое (антивирусную проверку и проверку на
флаг блокировки ActiveX нельзя обойти). По умолчанию функция надежных документов
включена. Это означает, что пользователи могут помечать безопасные файлы как надежные
документы. Кроме того, пользователи могут помечать файлы на общих сетевых ресурсах как
надежные. Рекомендуется не изменять эти параметры по умолчанию. Дополнительные сведения
о параметрах надежных документов см. в разделе, посвященном параметрам и политикам
безопасности Office 2010.
Параметры надежных расположений
Параметры надежных расположений можно использовать для назначения файлам надежных
расположений. Файлы, хранящиеся в надежных расположениях, обходят большинство проверок
безопасности при открытии, и все содержимое этих файлов разрешено (антивирусную проверку
и проверку на флаг блокировки ActiveX нельзя обойти). По умолчанию несколько расположений
помечены как надежные. Кроме того, отключены надежные расположения в сети, например в
общих сетевых папках. Чтобы изменить это поведение по умолчанию и узнать, какие
расположения считаются надежными по умолчанию, ознакомьтесь с разделом Планирование
параметров надежных расположений в Office 2010.
Параметры надежных издателей
Параметры надежных издателей можно использовать для обозначения некоторых типов
активного содержимого как безопасного, например элементов управления ActiveX, надстроек и
макросов VBA. Если издатель подписывает активное содержимое цифровым сертификатом и
цифровой сертификат издателя добавляется в список "Надежные издатели", активное
содержимое считается надежным. По умолчанию в списке "Надежные издатели" нет издателей.
Необходимо добавить издателей в список "Надежные издатели", чтобы реализовать эту
функцию безопасности. Подробные сведения о включении функции "Надежные издатели" см. в
разделе Планирование параметров надежных издателей в Office 2010.
Параметры макросов VBA
Параметры макросов VBA можно использовать для изменения способа поведения макросов
VBA, отключения VBA и изменения способа поведения макросов VBA в программно запущенных
приложениях. По умолчанию VBA включен, и разрешается выполнение надежных макросов VBA
без уведомления. Надежные макросы VBA включают в себя макросы, которые были подписаны
надежным издателем, хранятся в надежном документе или хранятся в документе,
расположенном в надежном расположении. Ненадежные макросы VBA отключены, однако на
панели сообщений появляется оповещение, с помощью которого можно включить ненадежные
270
макросы VBA. Кроме того, макросы VBA могут выполняться в приложениях, запускаемых
программным способом.
Чтобы изменить это поведение по умолчанию, см. раздел Планирование параметров
безопасности для макросов VBA в Office 2010.
См. также
Обзор безопасности системы Office 2010
271
Планирование параметров надежных
расположений в Office 2010
Чтобы отделить безопасные файлы от потенциально вредоносных, можно использовать
функцию "Надежные расположения" приложения Microsoft Office 2010. Эта функция позволяет
указать на жестких дисках компьютеров пользователей или на общем сетевом ресурсе
надежные источники файлов. Если папка помечена как надежный источник файлов, то все
файлы, сохраненные в этой папке, считаются надежными файлами. При открытии надежного
файла все содержимое этого файла включено и активно, а пользователи не оповещаются о
потенциальных рисках, связанных с данным файлом (например, о неподписанных надстройках и
макросах Microsoft Visual Basic для приложений (VBA), ссылках на контент из Интернета или о
подключениях к базе данных).
Содержание:

Планирование параметров надежных расположений

Реализация надежных расположений

Отключить надежные расположения
Планирование параметров надежных
расположений
Пакет Office 2010 предусматривается несколько параметров, позволяющих управлять
поведением надежных расположений. Настройка этих параметров позволяет выполнить
следующие действия.

Определить надежные расположения глобально или по отдельным приложениям.

Разрешить существование надежных расположений на удаленных общих ресурсах.

Запретить пользователям создание надежных расположений.

Отключение функции надежных расположений.
Функция надежных расположений доступна в следующих приложениях: Microsoft Access 2010,
Microsoft Excel 2010, Microsoft InfoPath 2010, Microsoft PowerPoint 2010, Microsoft Visio 2010 и
Microsoft Word 2010.
В следующем списке перечислены параметры настройки по умолчанию для функции надежных
расположений:

Надежные расположения включены.

Пользователи не могут назначать сетевые папки в качестве надежных расположений, однако
данный параметр можно изменить в центре управления безопасностью.

Пользователи могут добавлять папки к списку надежных расположений.
272

Возможно использование пользовательских надежных расположений и расположений,
определенных политикой.
Кроме того, в качестве надежных расположений в установке по умолчанию Office 2010
назначаются несколько папок. Папки по умолчанию для каждого приложения перечислены в
следующих таблицах. InfoPath 2010 и Visio 2010 не имеют надежных расположений по
умолчанию.
Надежные расположения Access 2010
В таблице далее перечислены надежные расположения по умолчанию для Access 2010.
Надежные расположения по
Описание папки
Надежные подпапки
Базы данных мастеров
Не разрешено
умолчанию
Program Files\Microsoft
Office\Office14\ACCWIZ
Надежные расположения Excel 2010
В таблице далее перечислены надежные расположения по умолчанию для Excel 2010.
Надежные расположения по умолчанию
Описание
Надежные
папки
подпапки
Program Files\Microsoft Office\Шаблоны
Шаблоны
приложений
Разрешено
Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны
Шаблоны
пользователя
Не
разрешено
Program Files\Microsoft Office\Office14\XLSTART
Автозагрузка
Excel
Разрешено
Users\имя_пользователя\Appdata\Roaming\Microsoft\Excel\XLSTART Автозагрузка
пользователя
Не
разрешено
Program Files\Microsoft Office\Office14\STARTUP
Автозагрузка
Office
Разрешено
Program Files\Microsoft Office\Office14\Library
Надстройки
Разрешено
273
Надежные расположения PowerPoint 2010
В таблице далее перечислены надежные расположения по умолчанию для PowerPoint 2010.
Надежные расположения по умолчанию
Описание папки
Надежные
подпапки
Program Files\Microsoft Office\Шаблоны
Шаблоны
приложений
Разрешено
Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны Шаблоны
пользователя
Разрешено
Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны Надстройки
Не разрешено
Program Files\Microsoft Office\Document Themes 14
Темы
приложений
Разрешено
Надежные расположения Word 2010
В таблице далее перечислены надежные расположения по умолчанию для Word 2010.
Надежные расположения по умолчанию
Описание
Надежные
папки
подпапки
Program Files\Microsoft Office\Шаблоны
Шаблоны
приложений
Разрешено
Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны
Шаблоны
пользователя
Не
разрешено
Users\имя_пользователя\Appdata\Roaming\Microsoft\Word\Startup Автозагрузка
пользователя
Не
разрешено
Примечание.
Сведения о настройке параметров безопасности в центре развертывания Office и
административных шаблонах Office 2010 см. в разделе Настройка безопасности Office
2010.
Реализация надежных расположений
Для реализации надежных расположений необходимо определить следующие компоненты.
274

Приложения, для которых должны быть настроены надежные расположения.

Папки, которые предполагается использовать в качестве надежных расположений.

Параметры предоставления доступа к папкам и их безопасности, которые предполагается
применить к надежным расположениям.

Ограничения, которые предполагается применить к надежным расположениям.
Определение настраиваемых приложений
Следуйте рекомендациям ниже для определения приложений, для которых необходимо
настроить надежные расположения.

Надежные расположения влияют на весь активный контент файла, в том числе надстройки,
элементы управления ActiveX, гиперссылки, ссылки на источники данных и мультимедиа и
макросы VBA. Кроме того, для файлов, открытых из надежных расположений, пропускаются
проверки действительности, блокировки файлов, а также к ним не применяется защищенное
представление.

В приложениях существуют одинаковые параметры для настройки надежных расположений.
Это означает, что для каждого приложения можно настаивать надежные расположения
независимо.

Надежные расположения можно отключить для одного или нескольких приложений и
реализовать их для других приложений.
Определение папок, используемых в качестве надежных
расположений
Следуйте рекомендациям ниже для определения папок, которые следует указать в качестве
надежных расположений.

Надежные расположения можно определять для каждого приложения в отдельности или
глобально.

Одно или несколько приложений могут иметь общее надежное расположение.

Чтобы исключить для злоумышленников возможность добавления файлов в надежные
расположения или изменения файлов, сохраняемых в надежном расположении, необходимо
применить параметры безопасности операционной системы ко всем папкам, установленным
в качестве надежного расположения.

По умолчанию допустимыми в качестве надежных расположений являются только папки,
размещенные на жестких дисках пользователей. Чтобы разрешить использование сетевых
общих папок как надежных расположений, необходимо включить параметр Разрешить
надежные расположения не на компьютере.

Не рекомендуется определять в качестве надежных расположений корневые папки
(например, диск С) или все папки "Документы" или "Мои документы". Лучше создать внутри
этих папок вложенную папку и определить только эту папку как надежное расположение.
275
Кроме того, необходимо использовать инструкции, приведенные в следующих разделах, если
предполагается:

использовать переменные среды для определения надежных расположений;

указывать интернет-папки (т.е. пути http://) в качестве надежных расположений;
использовать переменные среды для определения надежных
расположений;
Переменные среды можно использовать для определения надежных расположений в групповой
политике и в центре развертывания Office, но для правильной работы переменных среды в
центре развертывания необходимо изменить тип значения, используемый для хранения
надежных расположений в реестре. Если для определения надежного расположения
используется переменная среды и при этом не производится необходимое изменение реестра,
надежное расположение появляется в "Центре управления безопасностью", но оно недоступно и
появляется как относительный путь, содержащий переменные среды. После изменения типа
значения в реестре надежное расположение появится в "Центре управления безопасностью" как
абсолютный путь и будет доступно.
Использование переменные среды для определения надежных расположений
1. Используйте редактор реестра для указания надежного расположения, представленного
переменной среды.
Чтобы запустить редактор реестра, нажмите кнопку Пуск, выберите команду
Выполнить, введите regedit и нажмите кнопку ОК.
Надежные расположения, настраиваемые с помощью центра развертывания Office,
хранятся в следующем разделе:
HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/имя_приложения/Security/Trust
ed Locations
Где имя_приложения может быть приложениями Microsoft Access, Microsoft Excel,
Microsoft PowerPoint, Microsoft Visio или Microsoft Word.
Надежные расположения хранятся в записях реестра под именем Path, и они хранятся
как типы значений "Строковый параметр" (REG_SZ). Убедитесь, что найдены все записи
Path, в которых используются переменные среды для определения надежного
расположения.
2. Измените тип значения Path.
Приложения в пакете Office 2010 не могут распознать переменные среды, хранящиеся
как типы значений "Строковый параметр" (REG_SZ). Чтобы приложения могли
распознать переменные среды, необходимо изменить тип значения записи Path на
"Расширяемый строковый параметр" (REG_EXPAND_SZ). Для этого выполните
следующие операции.
a. Запишите или скопируйте значение записи Path. Это должен быть относительный
276
путь, содержащий одну или несколько переменных среды.
b. Удалите запись Path.
c.
Создайте новую записьPathтипа "Расширяемый строковый параметр"
(REG_EXPAND_SZ).
d. Измените новую запись Path так, чтобы она имела такое же значение, как то, которое
было записано или скопировано на первом шаге.
Проделайте это изменение для каждой записи Path, в которой используются переменные
среды для определения надежного расположения.
Определение веб-папок в качестве надежных расположений
Пользователь может определить веб-папки (т.е. пути http://) как надежные расположения, но в
качестве надежных расположений будут распознаваться только те веб-папки, которые
поддерживают протоколы WebDAV или FPRPC. Если нет уверенности в том, поддерживает ли
веб-папка протоколы WebDAV или FPRPC, воспользуйтесь следующими инструкциями.

Если приложение открывается браузером Internet Explorer, проверьте список последних
использованных файлов. Если из этого списка следует, что указанные файлы размещены на
удаленном сервере, а не в папке временных файлов Интернета, это означает, что, вероятно,
веб-папка поддерживает протокол WebDAV в той или иной форме. Например, если щелкнуть
документ во время просмотра в Internet Explorer и документ открывается в Word 2010, список
последних использованных файлов показывает, что документ расположен на удаленном
сервере, а не в папке временных файлов Интернета.

Попытайтесь использовать диалоговое окно Открыть, чтобы перейти в веб-папку. Если эта
папка поддерживает протокол WebDAV, такой переход произойдет сразу или программа
попросит учетные данные. Если же веб-папка не поддерживает WebDAV, переход
прекращается и диалоговое окно закрывается.
Примечание.
Сайты, создаваемые с помощью Windows SharePoint Services и Microsoft SharePoint
Server, могут быть обозначены как надежные расположения.
Определение параметров общего доступа к папкам и их
безопасности
Все папки, определяемые как надежные расположения, должны быть защищены. Выполните
следующие действия, чтобы определить параметры общего доступа и безопасности, которые
необходимо применить для каждого из надежных расположений.

Если папка является общей, следует настраивать разрешения на совместное использование
таким образом, чтобы доступ к общей папке имели только авторизованные пользователи.
Старайтесь придерживаться принципа минимальных привилегий и предоставлять
разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что
277
разрешение "Чтение" следует предоставлять пользователям, у которых нет необходимости
изменять надежные файлы, а разрешение "Полный доступ" — пользователям, у которых
есть такая необходимость.

Применяйте разрешения системы безопасности папок таким образом, чтобы читать или
изменять файлы из надежных расположений могли только авторизованные пользователи.
Старайтесь придерживаться принципа минимальных привилегий и предоставлять
разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что
разрешения "Полный доступ" следует предоставлять только пользователям, которые
должны изменять файлы, а пользователям, которым требуется только читать файлы, будет
достаточно более ограниченных прав.
Определение ограничений для надежных расположений
Office 2010 содержит несколько параметров, которые можно использовать для ограничения
доступа к надежным расположениям или контроля за поведением при их использовании. В
следующей таблице приведены рекомендации по настройке этих параметров.
Имя параметра. Разрешить расположения, создаваемые пользователями и определяемые
политиками
Описание. Этот параметр определяет возможность определения надежных расположений
пользователями, центром развертывания Office и групповой политикой или только групповой
политикой. По умолчанию пользователи могут указать любое расположение в качестве
надежного расположения, а компьютер может иметь любое сочетание надежных
расположений созданных пользователями, центром развертывания Office и групповой
политикой.
Влияние. Если этот параметр отключен, то запрещаются все надежные расположения, не
созданные групповой политикой. При этом пользователи не смогут создавать новые
расположения в центре управления безопасностью. Отключение этого параметра вызовет
неполадки для пользователей, определивших собственные надежные расположения в
центре управления безопасностью. Приложения обрабатывают эти расположения как другие
ненадежные расположения, то есть при открытии файлов на панели сообщений
отображается предупреждение об элементах управления ActiveX и макросах VBA.
Пользователи должны будут подтвердить необходимость включения элементов управления
или макросов или оставить их в отключенном состоянии. Этот глобальный параметр
применяется ко всем приложениями, для которых настраиваются надежные расположения.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается. Если в организации поддерживается собственная конфигурация с
помощью групповой политики, то этот параметр обычно отключается.
Имя параметра. Разрешить надежные расположения, находящиеся не на компьютере
Описание. Этот параметр определяет возможность использования надежных расположений в
сети. По умолчанию отключаются надежные расположения, являющиеся общими сетевыми
ресурсами. При этом пользователи также могут установить флажок Разрешить надежные
278
расположения в моей сети в центре управления безопасностью, который позволит
пользователям указать сетевые ресурсы в качестве надежных расположений. Этот параметр
не является глобальным. Этот параметр настраивается отдельно для приложений Access
2010, Excel 2010, PowerPoint 2010, Visio 2010 и Word 2010.
Влияние. Отключение этого параметра приведет к отключению всех надежных расположений,
являющихся общими сетевыми ресурсами, а также запретит пользователям устанавливать
флажок Разрешить надежные расположения в моей сети в центре управления
безопасностью. Отключение этого параметра вызовет неполадки для пользователей,
определивших собственные надежные расположения в центре управления безопасностью.
Если этот параметр отключен, а пользователь пытается указать общий сетевой ресурс в
качестве надежного расположения, то будет выведено предупреждение о том, что текущие
параметры безопасности не разрешают создание надежных расположений, являющихся
удаленными или сетевыми путями. Если администратор указывает общий сетевой ресурс в
качестве надежного расположения через групповую политику или с помощью центра
развертывания Office, а этот параметр отключен, то будет отключено и надежное
расположение. Приложения обрабатывают эти расположения как другие ненадежные
расположения, то есть при открытии файлов на панели сообщений отображается
предупреждение об элементах управления ActiveX и макросах VBA.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно отключается.
Примечание.
Можно также использовать параметр Удалить все надежные расположения,
записанные центром развертывания Office при установке, чтобы удалить все
надежные расположения, которые были созданы путем настройки центра развертывания
Office.
Отключить надежные расположения
Office 2010 позволяет отключить функцию надежных расположений с помощью особого
параметра. Этот параметр необходимо настроить отдельно для приложений Access 2010, Excel
2010, PowerPoint 2010, Visio 2010 и Word 2010. Следуйте указанным ниже рекомендациям для
определения необходимости использования этого параметра.
Имя параметра. Отключить все надежные расположения
Описание. Этот параметр позволяет администраторам отключать функцию надежных
расположений для отдельных приложений. По умолчанию функция надежных расположений
включена, а пользователи могут создавать надежные расположения.
Влияние. Включение этого параметра отключает все надежные расположения, в том числе
надежные расположения, которые:

созданы по умолчанию во время установки;

созданы с помощью центра развертывания Office;
279

созданы пользователями с помощью центра управления безопасностью;

созданы с помощью групповой политики;
Включение этого параметра также запрещает пользователям настраивать параметры
надежных расположений в центре управления безопасностью. При включении этого
параметра убедитесь в том, что пользователи оповещены о том, что использование функции
надежных расположений невозможно. Если пользователи открывали файлы из надежных
расположений, то после включения данного параметра пользователям будет необходимо
включать содержимое на панели сообщений (например, элементы управления ActiveX,
надстройки и макросы VBA).
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
280
Планирование параметров надежных
издателей в Office 2010
Если организация использует опубликованный контент (например, элементы управления
Microsoft ActiveX, надстройки и макросы Visual Basic для приложений (VBA)), то для указания
доверенных поставщиков контента можно использовать список надежных издателей. Издателем
является любой разработчик, компания, разрабатывающая программное обеспечение, или
организация, разрабатывающая и распространяющая подписанные элементы управления
ActiveX, надстройки или макросы. Надежным издателем является любой издатель, внесенный в
список надежных издателей. При открытии файла, содержимое которого создано надежным
издателем, оно активируется, а пользователи не оповещаются о потенциальных рисках, которые
могут быть связаны с данным файлом.
Содержание:

Планирование параметров надежных издателей

Получение сертификатов от известных издателей

Определение сертификатов, добавляемых в список надежных издателей

Связанные параметры надежных издателей
Планирование параметров надежных издателей
Чтобы указать издателя в качестве надежного издателя, следует добавить сертификат издателя
в список надежных издателей. В данном случае сертификат издателя представляет собой
цифровой сертификат (CER-файл), использованный для подписания контента. В большинстве
случаев CER-файл можно получить от издателя или экспортировать его из файлов с
расширениями CAB, DLL, EXE или OCX, связанного с опубликованным контентом. Если
используемый опубликованный контент неизвестен, то следует определить другой
опубликованный контент, выполняемый в приложениях Microsoft Office 2010 организации, а
затем получить сертификаты для данного контента.
Существует два способа добавления сертификата издателя в список "Надежные издателя":
через центр развертывания Office или с помощью групповой политики. Центр развертывания
Office не содержит параметров для управления сертификатами за исключением добавления
сертификата надежного издателя в список надежных издателей. Чтобы управлять
сертификатами или устанавливать особые отношения доверия в соответствии с бизнессценариями, необходимо использовать групповую политику. Дополнительные сведения о
добавлении надежных издателей в список, а также об управлении корневыми сертификатами см.
в разделах Управление доверенными корневыми сертификатами
(http://go.microsoft.com/fwlink/?linkid=164939&clcid=0x419) и Управление надежными издателями
(http://go.microsoft.com/fwlink/?linkid=164941&clcid=0x419).
281
Получение сертификатов от известных издателей
Чтобы получить сертификат на опубликованный контент, следует попросить издателя контента
отправить его. Если получение сертификата таким способом невозможно, но известно имя
подписанного файла с расширением CAB, DLL, EXE или OCX с опубликованным контентом, то
для экспорта файла сертификата следует выполнить следующие действия.
Важно!
В данном примере подразумевается, что компьютер работает под управлением
операционной системы Windows Vista.
Экспорт сертификата из DLL-файла
1. Щелкните правой кнопкой мыши DLL-файл, подписанный издателем, и выберите команду
Свойства.
2. Перейдите на вкладку Цифровые подписи.
3. В Списке подписей выберите сертификат, а затем щелкните элемент Состав.
4. В диалоговом окне Состав цифровой подписи щелкните Показать сертификат.
5. Перейдите на вкладку Состав и выберите Копировать в файл.
6. На начальной странице мастера по работе с сертификатами нажмите Далее.
7. На странице "Формат экспортируемого файла" выберите элемент Файлы в DERкодировке X.509 (CER) и нажмите кнопку Далее.
8. На странице "Имя экспортируемого файла" введите путь и имя CER-файла, а затем
нажмите кнопки Далее и Готово.
Убедитесь в том, что все CER-файлы сохранены на общем сетевом ресурсе, который будет
доступен с клиентских компьютеров во время установки.
Определение сертификатов, добавляемых в
список надежных издателей
В некоторых случаях организация может использовать опубликованный контент по случайности,
а определение опубликованного контента для добавления в список также может оказаться
невозможным. Это обычно справедливо только в среде с высоким уровнем безопасности при
необходимости подписания всего опубликованного контента. Чтобы протестировать приложения
Office 2010 на наличие подписанного контента, необходимо выполнить следующие действия:
Важно!
В следующем примере описывается использование приложения Word 2010, но эти же
действия можно выполнить и в других приложениях Office 2010.
282
Определение опубликованного контента и добавление издателя контента в список
надежных издателей
1. Не тестовом компьютере или на компьютере клиента со стандартной для организации
конфигурацией (включающей все используемые пользователями надстройки) выберите
параметр "Требовать подпись надежных издателей для надстроек приложений" в центре
управления безопасностью. Для этого выполните следующие действия:

Последовательно щелкните вкладку Файл, Параметры, Центр управления
безопасностью, Параметры центра управления безопасностью, Надстройки,
Требовать подпись надежных издателей для надстроек приложений, а затем
нажмите кнопку ОК.
2. Выйдите из приложения Word и перезапустите его. Если надстройки установлены, то на
панели сообщений отобразится следующее сообщение: Предупреждение
безопасности: запуск активного контента отключен. Щелкните для получения
дополнительных сведений..
3. >Щелкните сообщение Запуск активного контента отключен. Щелкните для
получения дополнительных сведений. на панели сообщений.
4. Щелкните вкладку Файл, перейдите в представление Backstage, щелкните команду
Включить контент, а затем щелкните элемент Дополнительные параметры.
5. В окне Оповещение системы безопасности — несколько проблем установите все
сертификаты в список надежных издателей, выполнив следующие действия для каждой
надстройки, снабженной действительной цифровой подписью:
a. Щелкните команду Показать состав подписи.
b. В окне Состав цифровой подписи щелкните команду Показать сертификат.
c.
В окне Сертификат щелкните команду Установить сертификат.
d. В мастере импорта сертификатов последовательно щелкните элементы Далее,
Поместить все сертификаты в следующее хранилище, Обзор, Надежные
издатели, ОК, Далее, Готово.
6. Подготовка файлов сертификатов к распространению
a. Перейдите на вкладку Файл, щелкните элементы Параметры, Центр управления
безопасностью, Параметры центра управления безопасностью, а затем
щелкните элемент Надежные издатели.
b. Выберите каждый сертификат, нажмите кнопку Просмотр и выполните следующие
действия:
a. В окне Сертификат на вкладке Состав щелкните команду Копировать в файл.
b. В мастере экспорта сертификатов щелкните Далее и еще раз Далее, чтобы принять
формат файла по умолчанию, введите имя файла, выберите расположение для его
сохранения и нажмите кнопку Готово.
283
Связанные параметры надежных издателей
Вместе с параметрами надежных издателей часто используются следующие параметры:
Надстройки приложений должны быть подписаны надежными издателями
Этот параметр ограничивает число надстроек только теми надстройками, которые
подписаны надежным издателем.
Отключить уведомление панели безопасности для неподписанных надстроек приложений
Этот параметр скрывает от пользователей предупреждения панели сообщений о
надстройках, не подписанных надежным издателем.
Параметры предупреждений макроса VBA
Этот параметр ограничивает число макросов VBA только теми надстройками, которые
подписаны надежным издателем.
Отключить все элементы управления ActiveX
Этот параметр ограничивает число элементов управления ActiveX только теми
надстройками, которые подписаны надежным издателем.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
284
Планирование параметров безопасности для
надстроек в Office 2010
Для управления поведением надстроек или отключения их выполнения пользователями можно
изменить параметры надстроек Microsoft Office 2010.
Содержание:

Планирование параметров надстроек

Отключение надстроек для отдельных приложений

Обязательное подписание надстроек приложений надежным издателем

Отключение уведомлений для неподписанных надстроек
Планирование параметров надстроек
Microsoft Office 2010 поддерживает несколько параметров, позволяющих управлять поведением
надстроек. Настраивая эти параметры, можно выполнить следующие действия:

Отключение надстроек для отдельных приложений.

Обязательное подписание надстроек надежным издателем.

Отключение уведомлений для неподписанных надстроек.
Параметры надстроек настраиваются только для отдельных приложений. Глобальные
параметры надстроек не поддерживаются.
Дополнительные сведения о приведенных в этой статье параметрах см. в статье "Политики и
параметры безопасности в Office 2010". Дополнительные сведения о настройке параметров
безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в
статье "Настройка системы безопасности Office 2010".
Любая установленная и зарегистрированная надстройка может выполняться по умолчанию без
вмешательства пользователей и создания предупреждений. К числу установленных и
зарегистрированных надстроек могут относиться следующие компоненты:

Надстройки модели COM.

Надстройки набора средств Visual Studio Tools for Office (VSTO).

Надстройки автоматизации.

Серверы данных в режиме реального времени (RTD).

Надстройки приложений (например, файлы WLL, XLL и XLAM).

Пакеты расширений XML.

Таблицы стилей XML.
285
Такое поведение по умолчанию аналогично выбору параметра Доверять всем установленным
надстройкам и шаблонам вMicrosoft Office 2003 или более ранней версии системы Microsoft
Office.
Отключение надстроек для отдельных
приложений
Office 2010 поддерживает параметр, позволяющий отключать надстройки. Ниже приведены
рекомендации по использованию этого параметра.
Имя параметра. Отключить все надстройки приложений.
Описание. При выборе этого параметра отключаются все надстройки. По умолчанию разрешено
выполнение всех установленных и зарегистрированных надстроек.
Влияние. При выборе этого параметра надстройки отключаются без уведомления пользователя
об этом. Включение этого параметра может привести к серьезным проблемам для
пользователей, работающих с надстройками. При использовании важных надстроек может
потребоваться отключение этого параметра.
Рекомендации. В большинстве организаций используется значение этого параметра по
умолчанию.
Обязательное подписание надстроек приложений
надежным издателем
Office 2010 поддерживает параметр, позволяющий настроить обязательное подписание всех
надстроек надежным издателем. Ниже приведены рекомендации по использованию этого
параметра.
Имя параметра. Надстройки приложений должны быть подписаны надежными издателями.
Описание. Этот параметр определяет необходимость подписания надстройки надежным
издателем. По умолчанию для выполнения надстройки ее издатель не обязательно должен
входить в список надежных издателей.
Влияние. При включении этого параметра надстройки, подписанные издателем, который
находится в списке надежных издателей, будут запускаться без уведомления.
Неподписанные надстройки и надстройки, подписанные издателями, которые отсутствуют в
списке надежных издателей, отключаются, но пользователям выдается запрос о включении
надстроек. Включение этого параметра может привести к проблемам у пользователей,
которые используют надстройки, подписанные поставщиками, не являющимися надежными.
Таким пользователям потребуется использовать подписанные версии надстроек или
прекратить их использование.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается.
286
Отключение уведомлений для неподписанных
надстроек
Office 2010 поддерживает параметр, позволяющий отключить отображение предупреждений на
панели сообщений в тех случаях, когда не удается выполнить неподписанную надстройку. Ниже
приведены рекомендации по использованию этого параметра.
Имя параметра. Отключить уведомление панели безопасности для неподписанных надстроек
приложений.
Описание. Этот параметр определяет отображение уведомлений при загрузке неподписанных
надстроек приложений или автоматическое отключение таких надстроек без уведомления.
По умолчанию при попытке выполнить неподписанную надстройку на панели сообщений
отображается строка сообщений.
Влияние. Если этот параметр включен, при попытке выполнить неподписанную надстройку на
панели сообщений не отображается соответствующее предупреждение, в результате чего
пользователи не смогут включить такие надстройки. Включение этого параметра может
привести к проблемам у пользователей, которые используют надстройки, подписанные не
являющимися надежными поставщиками. Таким пользователям потребуется использовать
подписанные версии надстроек или прекратить их использование.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается в том случае, если все надстройки должны быть подписаны надежным
издателем.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
287
Планирование параметров безопасности для
элементов управления ActiveX для Office
2010
Поведение элементов управления Microsoft ActiveX в Microsoft Office 2010 можно изменять путем
изменения параметров ActiveX.
Содержание:

Планирование параметров для элементов управления ActiveX

Отключение элементов управления ActiveX

Изменение способа инициализации элементов управления ActiveX

Связанные параметры элементов управления ActiveX
Планирование параметров для элементов
управления ActiveX
Office 2010 позволяет управлять поведением элементов управления ActiveX и способом
уведомления пользователей о потенциально небезопасных элементах управления с помощью
специальных параметров безопасности. Подобные параметры обычно используются для
выполнения следующих действий:

Отключение элементов управления ActiveX

Изменение способа инициализации элементов управления ActiveX на основании параметров
безопасного режима, параметров "Безопасно для инициализации" (SFI) и "Небезопасно для
инициализации" (UFI).
Сведения о настройке параметров безопасности в центре развертывания Office и
административных шаблонах Office 2010 см. в разделе Настройка безопасности Office 2010.
Надежные элементы управления ActiveX по умолчанию загружаются в безопасном режиме с
постоянными значениями, а пользователи не уведомляются о загруженных элементах
управления ActiveX. Надежный элемент управления ActiveX представляет собой любой элемент
управления ActiveX, подписанный надежным издателем, содержащийся в документе, открытом
из надежного расположения, или считающийся надежным документом. Ненадежные элементы
управления ActiveX загружаются по-разному в зависимости от пометки элемента управления
ActiveX и наличия проектов VBA в файле вместе с элементом управления ActiveX. По умолчанию
элементы управления ActiveX имеют следующее поведение:

Если элемент управления ActiveX помечен как безопасный для инициализации (SFI) и
содержится в документе, в котором отсутствует проект VBA, этот элемент управления
загружается в безопасном режиме с использованием постоянных значений параметров.
288
Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента
управления ActiveX. Чтобы использовалось подобное поведение, все элементы управления
ActiveX в документе должны быть помечены как SFI.

Если элемент управления ActiveX помечен как небезопасный для инициализации (UFI) и в
документе отсутствует проект VBA, пользователь видит уведомление на панели сообщений,
а элементы управления ActiveX отключаются. Однако пользователь может использовать
панель сообщений для включения элементов управления ActiveX. Если пользователь
включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI)
будут загружены в безопасном режиме с постоянными значениями параметров.

Если в документе, где присутствует проект VBA, имеются элементы, помещенные как UFI и
SFI, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX
отключаются. Однако пользователь может использовать панель сообщений для включения
элементов управления ActiveX. Если пользователь включит элементы управления ActiveX,
все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме
с постоянными значениями параметров.
Важно!
Если в реестре для элемента управления ActiveX установлен флаг блокировки, то
элемент управления не загружается и не может быть загружен ни при каких
обстоятельствах. Панель сообщений не отображается, и пользователь не уведомляется
о наличии элемента управления ActiveX.
Отключение элементов управления ActiveX
Office 2010 позволяет отключить элементы управления ActiveX с помощью особого параметра.
Это позволит предотвратить инициализацию элементов управления (загрузку) при открытии
файлов, а также запретить пользователям добавлять элементы управления ActiveX в документ.
В некоторых случаях отключенный элемент управления ActiveX может присутствовать в файле в
виде красного значка "x" или другого символа, однако это означает, что элемент отключен и
действия с ним возможны только после нажатия пользователем этого значка. Также
пользователи не уведомляются об отключении элемента управления ActiveX.
Ниже приведены рекомендации по определению необходимости отключения элементов
управления ActiveX.
Имя параметра. Отключить все элементы ActiveX
Описание. Этот параметр определяет, отключены ли элементы управления ActiveX в
Office 2010. Этот параметр является глобальным и не может быть настроен отдельно для
каждого приложения.
Влияние. Если этот параметр включен, то элементы ActiveX не инициализируются, а
пользователи не уведомляются о том, что элементы управления ActiveX отключены. Кроме
того, пользователи не могут вставлять элементы управления ActiveX в документы. Элементы
управления ActiveX могут предоставлять дополнительную функциональность в документах.
289
Таким образом, их отключение может привести к отключению некоторых пользовательских
функций. Следует убедиться в том, что пользователи осведомлены о значении этого
параметра, так как приложение не уведомляет их об отключении элементов управления
ActiveX. Перед включением параметра следует также определить, используются ли
элементы управления ActiveX для предоставления критически важных функций.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается.
Примечание.
Если этот параметр включен, то элементы управления ActiveX отключены в файлах,
сохраненных в надежных расположениях.
Кроме того, можно использовать бит аннулирования Office COM, введенный в версии Office 2010.
Этот элемент позволяет предотвратить запуск определенных объектов COM в приложениях
Office 2010, в том числе элементов управления ActiveX. Эта возможность была доступна в
версии Office 2007, но ее поведение зависело от параметров бита аннулирования Internet
Explorer ActiveX. Теперь Office 2010 позволяет с помощью реестра указывать COM-объекты,
недоступные для запуска. Например, если бит аннулирования Office 2010 установлен для одного
элемента управления ActiveX в Office и в Internet Explorer, а параметры противоречат друг другу,
то приоритет имеет бит аннулирования Office COM. Бит аннулирования Office COM часто
используется при применении обновления из бюллетеня по безопасности (Майкрософт) для
устранения определенной проблемы безопасности Office 2010.
Предупреждение.
Не рекомендуется отменять действие по аннулированию объекта COM, так как это
может привести к созданию уязвимостей. Бит аннулирования обычно устанавливается
для предотвращения определенной ошибки, поэтому при отмене аннулирования
элемента управления ActiveX следует проявлять особую осторожность.
Чтобы связать идентификатор CLSID нового элемента управления ActiveX, измененного для
устранения угрозы безопасности, с идентификатором CLSID элемента управления ActiveX, к
которому был применен бит аннулирования Office COM, можно использовать AlternateCLSID (т.н.
бит Phoenix). Office 2010 поддерживает использование идентификатора AlternateCLSID только
для объектов COM элементов управления ActiveX. Дополнительные сведения о поведении битов
аннулирования (в том числе о AlternateCLSID) см. в разделе Как отключить запуск элемента
управления ActiveX в обозревателе Internet Explorer
(http://go.microsoft.com/fwlink/?linkid=183124&clcid=0x419).
Так как следующие действия достаточно сложны, не выполняйте их при отсутствии опыта
выполнения подобных действий.
Важно!
Этот раздел, метод или задача содержат действия по изменению реестра. При неверном
изменении реестра могут возникнуть серьезные проблемы, поэтому следует убедиться в
корректности выполнения этих действий. Для обеспечения дополнительной защиты
290
следует создать резервную копию реестра перед его изменением. Это позволит
восстановить реестр при возникновении ошибок.
Бит аннулирования Office COM в реестре настраивается в папке
HKLM/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}, где CLSID представляет
собой идентификатор класса для объекта COM. Чтобы включить бит аннулирования Office COM,
необходимо добавить ключ реестра, в том числе идентификатор CLSID элемента управления
ActiveX, а затем добавить значение 0x00000400 в параметр "Флаги совместимости" типа
REG_DWORD.
Примечание.
На поведение битов аннулирования (для Internet Explorer и Office COM) может повлиять
включение категоризации COM в Office 2010. Дополнительные сведения см. в разделе
Планирование категоризации объектов COM для Office 2010.
Элементы управления, которые возможно потребуется занести в список запрещенных для Office:
Microsoft HTA Document 6.0 - 3050F5C8-98B5-11CF-BB82-00AA00BDCE0B
htmlfile - 25336920-03F9-11CF-8FD0-00AA00686F13
htmlfile_FullWindowEmbed - 25336921-03F9-11CF-8FD0-00AA00686F13
mhtmlfile - 3050F3D9-98B5-11CF-BB82-00AA00BDCE0B
Элемент управления веб-браузера - 8856F961-340A-11D0-A96B-00C04FD705A2
DHTMLEdit - 2D360200-FFF5-11d1-8d03-00a0c959bc0a
Изменение способа инициализации элементов
управления ActiveX
В Office 2010 поддерживается особый параметр безопасности, позволяющий контролировать
инициализацию элементов управления ActiveX на основании параметров SFI, UFI и безопасного
режима. SFI, UFI и безопасный режим представляют собой параметры, настраиваемые
разработчиками при создании элементов управления ActiveX. Если элементы управления
ActiveX помечены, как SFI, для инициализации используются безопасные источники данных.
Безопасным источником данных является надежный известный источник, который не приводит к
нарушению безопасности. Элементы управления, не помеченные SFI, считаются UFI.
Безопасный режим — это еще один механизм, с помощью которого разработчики могут
обеспечить безопасность элементов управления ActiveX. Если разработчик создает элемент
управления ActiveX, реализующий безопасный режим, такой элемент управления может быть
инициализирован двумя способами: в безопасном и небезопасном режиме. Если элемент
управления запускается в безопасном режиме, используются некоторые ограничения
функциональных возможностей элемента управления. Если же используется небезопасный
режим инициализации, ограничения на функциональные возможности элемента управления не
налагаются. Например, если элемент управления ActiveX, предназначенный для чтения и записи
файлов, запущен в безопасном режиме, он поддерживает только операции чтения, а в
291
небезопасном режиме — как чтение, так и запись файлов. В безопасном режиме могут быть
инициализированы только элементы управления ActiveX, помеченные как SFI. Элементы
управления ActiveX в режиме UFI всегда запускаются в небезопасном режиме.
Если инициализация элементов управления ActiveX недостаточна для организации, а
отключение элементов управления не требуется ActiveX, необходимо следовать приведенным
ниже рекомендациям для определения способа инициализации элементов управления ActiveX.
Имя параметра. Инициализация элемента ActiveX
Описание. Этот параметр определяет способ инициализации элементов управления ActiveX для
всех приложений Office 2010. Этот параметр является глобальным, и его настройка для
отдельных приложений невозможна. Для этого параметра можно выбрать один из шести
возможных уровней безопасности:

Уровень безопасности 1 Элемент управления загружается вне зависимости от
пометки, а также используются постоянные значения (при их наличии). Этот параметр
отключает вывод запросов пользователей.

Уровень безопасности 2 Если элемент управления помечен как элемент SFI, то он
загружается в безопасном режима, а также используются постоянные значения (при их
наличии). Если элемент управления не помечен как SFI, он загружается в небезопасном
режиме с постоянными значениями (при их наличии) или используются параметры по
умолчанию (параметры первой инициализации). Этот уровень схож с конфигурацией по
умолчанию, но оповещение пользователей в этом случае отключается.

Уровень безопасности 3 Если элемент управления помечен как элемент SFI, то он
загружается в небезопасном режиме, а также используются постоянные значения (при их
наличии). Если элемент управления не помечен как SFI, то программа выводит
предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в
диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном
случае он загружается с параметрами по умолчанию для первой инициализации.

Уровень безопасности 4 Если элемент управления помечен как элемент SFI, то он
загружается в безопасном режиме, а также используются постоянные значения (при их
наличии). Если элемент управления не помечен как SFI, то программа выводит
предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в
диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном
случае он загружается с параметрами по умолчанию для первой инициализации.

Уровень безопасности 5 Если элемент управления помечен как элемент SFI, то он
загружается в небезопасном режиме, а также используются постоянные значения (при их
наличии). Если элемент управления не помечен как SFI, то программа выводит
предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в
диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном
случае он загружается с постоянными значениями.

Уровень безопасности 6 Если элемент управления помечен как элемент SFI, то он
загружается в безопасном режиме, а также используются постоянные значения (при их
292
наличии). Если элемент управления не помечен как SFI, то программа выводит
предупреждение, сообщающее пользователю об этом. Если пользователь нажимает в
диалоговом окне кнопку "Нет", то элемент управления не загружается. В противном
случае он загружается с постоянными значениями.
Влияние. Если элемент управления не помечен как SFI, то это свидетельствует о том, что он
может повлиять на работу компьютера, или о том, что элемент управления не протестирован
во всех возможных ситуациях и может представлять угрозу для безопасности. Кроме того,
некоторые элементы управления ActiveX не учитывают параметр реестра для безопасного
режима и могут загружать постоянные данные даже в том случае, если параметр определяет
инициализацию элементов управления ActiveX в безопасном режиме. Включение этого
параметра при выбранном уровне безопасности 2, 4 или 6 приводит к повышению
безопасности элементов управления ActiveX, корректно помеченных как SFI. Во вредоносных
и плохо разработанных программах элемент управления ActiveX может быть некорректным
образом помечен как SFI.
Рекомендации. В большинстве организаций данный параметр включается, а также выбирается
уровень безопасности 2, в котором используются те же критерии инициализации, что и в
конфигурации по умолчанию, но предупреждения на панели сообщений не выводятся. В
организациях со строгими требованиями к безопасности среды этот параметр обычно
отключается, что соответствует конфигурации по умолчанию.
Связанные параметры элементов управления
ActiveX
В приложениях Office 2010 также используется ряд других параметров, влияющих на поведение
элементов управления ActiveX. При изменении параметров элементов управления ActiveX в
соответствии со специальными требованиями безопасности среды может потребоваться
настройка следующих параметров:
Загрузить элементы управления в Forms3 Этот параметр определяет инициализацию
элементов управления ActiveX в формах UserForms.
Отключить все уведомления панели безопасности Этот параметр отключает отображение
предупреждений на панели сообщений, в том числе предупреждений о небезопасных
элементах управления ActiveX.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
293
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
294
Планирование параметров безопасности для
макросов VBA в Office 2010
Для управления поведением Visual Basic для приложений (VBA) и макросов VBA можно изменить
параметры VBA и макросов VBA Microsoft Office 2010 для следующих приложений: Microsoft
Access 2010, Microsoft Excel 2010, Microsoft PowerPoint 2010, Microsoft Publisher 2010, Microsoft
Visio 2010 и Microsoft Word 2010.
Содержание:

Планирование параметров VBA и макросов VBA

Изменение параметров предупреждений системы безопасности для макросов VBA

Отключение VBA

Изменение поведения макросов VBA в приложениях, автоматически запускаемых
программным способом

Изменение способа проверки зашифрованных макросов VBA на наличие вирусов

Связанные параметры макросов VBA
Планирование параметров VBA и макросов VBA
Office 2010 поддерживает несколько параметров, позволяющих управлять поведением VBA и
макросов VBA. Настраивая эти параметры, можно выполнить следующие действия:

Изменение параметров предупреждений системы безопасности для макросов VBA. Данный
параметр позволяет отключать макросы VBA, включать все макросы VBA и изменять способ
оповещения пользователей о макросах VBA.

Отключение VBA.

Изменение поведения макросов VBA в приложениях, запускаемых программным способом
через средства автоматизации.

Изменение способа проверки зашифрованных макросов VBA с использованием
антивирусных программ.
Сведения о настройке параметров безопасности в центре развертывания Office и
административных шаблонах Office 2010 см. в статье Настройка безопасности Office 2010.
По умолчанию VBA включен и разрешается выполнение надежных макросов VBA. К числу таких
макросов относятся макросы VBA в документах, сохраненных в надежных расположениях,
макросы VBA в надежных документах и макросы VBA, удовлетворяющие следующим
требованиям:

макрос должен быть удостоверен цифровой подписью разработчика;

цифровая подпись должна быть действительной;
295

цифровая подпись должна быть действующей (не просроченной);

сертификат цифровой подписи должен быть выдан общепризнанным центром
сертификации;

разработчик, удостоверивший макрос, должен быть надежным.
Примечание.
В Microsoft Outlook 2010 используется другой параметр безопасности для макросов по
умолчанию. Дополнительные сведения см. в документации по вопросам безопасности
Outlook 2010.
Выполнение ненадежных макросов VBA допускается только после разрешения пользователем
запуска макроса VBA на панели сообщений.
Изменение параметров предупреждений системы
безопасности для макросов VBA
Office 2010 поддерживает параметр, позволяющий управлять предупреждениями системы
безопасности и поведением макросов VBA. Ниже приведены рекомендации по настройке этого
параметра в тех случаях, когда требуется изменить способ уведомления пользователей о
ненадежных макросах VBA или изменить поведение макросов VBA по умолчанию.
Имя параметра. Настройка уведомлений о макросах VBA.
Описание. Этот параметр определяет способ уведомления пользователя приложением о
макросах Visual Basic для приложений (VBA). Настройка данного параметра осуществляется
для отдельных приложений Access 2010, Excel 2010, PowerPoint 2010, Publisher 2010, Visio
2010 и Word 2010. Для этого параметра можно выбрать одно из четырех возможных
значений:
Отключить все с уведомлением. Панель безопасности отображается в приложении для
всех макросов независимо от того, подписаны они или нет. Это значение установлено по
умолчанию.
Отключить все, кроме макросов с цифровой подписью. Панель безопасности
отображается в приложении только для макросов с цифровой подписью. Это позволяет
пользователям включать такие макросы или оставлять их отключенными. Все
неподписанные макросы отключаются без уведомления пользователя и без возможности
их включения.
Отключить все без уведомления. В приложении отключены все макросы (как
подписанные, так и неподписанные), и не отображаются уведомления.
Включить все макросы (не рекомендуется). Включены все макросы (как подписанные,
так и неподписанные). Выбор этого значения может привести к значительному снижению
безопасности из-за того, что выполнение вредоносного кода может быть не обнаружено.
Влияние. Если включить этот параметр и выбрать параметр Отключить все, кроме макросов
с цифровой подписью, в документах и шаблонах, содержащих неподписанные макросы,
296
будут недоступны функциональные возможности, которые предоставляются этими
макросами. Чтобы предотвратить потерю функциональных возможностей, можно поместить
файлы, содержащие макросы, в надежное расположение.
Важно!
Если выбран параметр Отключить все, кроме макросов с цифровой подписью,
пользователи не смогут открывать неподписанные базы данных Access 2010.
Если выбран параметр Отключить все без уведомления, в документах и шаблонах,
содержащих неподписанные и подписанные макросы, будут недоступны функциональные
возможности, которые предоставляются этими макросами. Такие возможности будут
недоступны даже в том случае, если макрос подписан, а его издатель находится в списке
надежных издателей.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается вместе с параметром Отключить все, кроме макросов с цифровой
подписью. В организациях, в которых запрещено выполнение макросов пользователями,
этот параметр обычно включается вместе с параметром Отключить все без уведомления.
Отключение VBA
Office 2010 поддерживает параметр, позволяющий отключать VBA. По умолчанию VBA включен.
Ниже приведены рекомендации по настройке этого параметра и отключению VBA.
Имя параметра. Отключить VBA для приложений Office.
Описание. Отключение VBA в приложениях Excel 2010, Microsoft Outlook 2010, PowerPoint 2010,
Publisher 2010, Microsoft SharePoint Designer 2010 и Word 2010, а также запрет на
выполнение любого кода VBA в этих приложениях. Этот параметр нельзя настраивать для
отдельных приложений, поскольку он является глобальным. При включении этого параметра
на компьютере пользователя не устанавливается и не удаляется какой-либо код VBA.
Влияние. При выборе этого параметра код VBA не выполняется. Если в организации
используются важные документы, содержащие код VBA, не включайте этот параметр.
Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр
обычно включается.
Изменение поведения макросов VBA в
приложениях, автоматически запускаемых
программным способом
Office 2010 поддерживает параметр, позволяющий изменять поведение макросов VBA в
приложениях, запускаемых программным способом через средства автоматизации. По
умолчанию при использовании отдельной программы для запуска приложения Excel 2010,
PowerPoint 2010 или Word 2010 программным способом в запущенном таким образом
297
приложении могут выполняться любые макросы. Ниже приведены рекомендации по настройке
этого параметра, если необходимо выполнить следующие действия:

Запретить выполнение макросов в приложениях, запускаемых программным способом через
средства автоматизации.

Разрешить выполнение макросов VBA в соответствии с параметрами безопасности макросов
VBA, которые настроены для приложений, запускаемых программным способом через
средства автоматизации.
Имя параметра. Безопасность автоматизации.
Описание. Этот параметр определяет возможность выполнения макросов в приложениях,
запускаемых программным способом с помощью другого приложения. Этот параметр
является глобальным и применяется к приложениям Excel 2010, PowerPoint 2010 и Word
2010. Этот параметр нельзя настраивать для отдельных приложений. Для него можно
выбрать одно из трех значений:
Отключить макросы по умолчанию. В приложениях, запускаемых программным
способом, все макросы отключены.
Включить макросы (по умолчанию). В приложениях, запускаемых программным
способом, разрешено выполнение макросов. При выборе этого параметра применяется
конфигурация по умолчанию.
Использовать уровень безопасности макросов в приложениях. Функциональные
возможности макроса определяются в соответствии со значением параметра Настройка
предупреждений о макросах VBA для каждого приложения.
Влияние. Если включить этот параметр и выбрать параметр Отключить макросы по
умолчанию, в приложениях, запущенных программным способом, макросы выполняться не
будут. Это может привести к проблемам при программном запуске приложения и
последующем открытии в нем документа или шаблона, в котором содержатся макросы. В
этом случае функциональные возможности макросов будут недоступны. Такая же ситуация
может возникнуть при выборе параметра Использовать уровень безопасности макросов
в приложениях и отключении макросов с помощью параметра Настройка предупреждений
о макросах VBA.
Рекомендации. В большинстве организаций этот параметр включается вместе с параметром
Использовать уровень безопасности макросов в приложениях. Однако в организациях
со строгими требованиями к безопасности среды этот параметр обычно включается вместе с
параметром Отключить макросы по умолчанию.
Изменение способа проверки зашифрованных
макросов VBA на наличие вирусов
Office 2010 поддерживает параметр, позволяющий изменить способ проверки зашифрованных
макросов VBA с помощью антивирусных программ в приложениях Excel 2010, PowerPoint 2010 и
Word 2010. По умолчанию, если на клиентском компьютере не установлена антивирусная
298
программа, в зашифрованных документах, презентациях и книгах, содержащих макросы VBA,
такие макросы отключаются. Кроме того, зашифрованные макросы VBA проверяются
антивирусной программой клиентского компьютера при открытии документа, содержащего такие
макросы. Ниже приведены рекомендации по настройке этого параметра, если необходимо
выполнить следующие действия:

Разрешить выполнение всех зашифрованных макросов VBA без проверки с помощью
антивирусной программы.

Проверять зашифрованные макросы VBA при наличии антивирусной программы, но
разрешить их выполнение при отсутствии такой программы.
Имя параметра. Проверять зашифрованные макросы в книгах Excel в формате Open XML.
Проверять зашифрованные макросы в презентациях PowerPoint в формате Open XML.
Проверять зашифрованные макросы в документах Word в формате Open XML.
Описание. Этот параметр определяет способ проверки зашифрованных макросов VBA на
наличие вирусов. Этот параметр настраивается отдельно для каждого приложения Excel
2010, PowerPoint 2010 и Word 2010. Для него можно выбрать одно из трех значений:
Проверять зашифрованные макросы (по умолчанию). Все зашифрованные макросы
VBA, которые не проверяются антивирусной программой, отключаются. При выборе
этого параметра применяется конфигурация по умолчанию.
Проверять, если антивирусная программа установлена. Зашифрованные макросы VBA,
которые не проверяются антивирусной программой, отключаются. Если на клиентском
компьютере не установлена антивирусная программа, все зашифрованные макросы VBA
будут разрешены.
Загружать макросы без проверки. Зашифрованные макросы VBA включены и не
проверяются независимо от наличия на клиентском компьютере антивирусной
программы.
Влияние. Если включить этот параметр и выбрать параметрЗагружать макросы без проверки,
возможно значительное снижение безопасности из-за выполнения зашифрованных
макросов, не проверенных на наличие вирусов. Аналогичная ситуация возникает в тех
случаях, когда на клиентском компьютере не установлена антивирусная программа, включен
этот параметр и выбрано значение Проверять, если антивирусная программа
установлена.
Рекомендации. В большинстве организаций используется значение этого параметра по
умолчанию.
Связанные параметры макросов VBA
В приложениях Office 2010 также используется ряд других параметров, влияющих на поведение
макросов VBA. При изменении параметров макросов VBA в соответствии со специальными
требованиями безопасности среды может потребоваться настройка следующих параметров:
Доверять доступ к проекту VBA
299
Этот параметр определяет возможность доступа клиентов автоматизации к проекту VBA.
Отключить все уведомления панели безопасности
Этот параметр отключает вывод предупреждений, в том числе предупреждений о
небезопасных макросах VBA, на панели сообщений.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
300
Планирование категоризации объектов COM
для Office 2010
Для управления поведением определенных объектов COM в Microsoft Office 2010 следует
использовать категоризацию объектов COM. Объектами COM могут являться элементы ActiveX,
объекты OLE, серверы Excel RealTimeData (RTD), а также поставщики источников данных для
веб-компонентов Office (OWC). Например, можно создать список разрешенных объектов,
который будет разрешать загрузку только определенных объектов COM, или переопределить
бит аннулирования Internet Explorer.
В этой статье:

Сведения о категоризации объектов COM

Настройка параметров безопасности групповой политики для категоризации объектов COM

Добавление категоризации объектов COM в реестр
Сведения о категоризации объектов COM
Office 2010 вначале проверяет, настроены ли параметры групповой политики для категоризации
объектов COM. Если параметры предусматривают использование категоризации объектов COM,
то Office 2010 проверяет правильность категоризации указанных объектов COM в реестре.
Чтобы включить категоризацию объектов COM в организации, необходимо вначале определить
оптимальный способ настройки параметров безопасности групповой политики в соответствии с
потребностями бизнеса. Затем следует добавить идентификатор категории для
соответствующих объектов COM в реестре.
Настройка параметров безопасности групповой
политики для категоризации объектов COM
Существует четыре параметра групповой политики для категоризации объектов COM:

Проверять поставщики источников данных OWC

Проверить серверы RTD Excel

Проверять объекты OLE

Проверять объекты ActiveX
Параметры Проверять поставщики источников данных OWC и Проверить серверы RTD
Excel можно включить или отключить. При включении этих параметров Office 2010 будет
загружать только корректно категоризованные объекты COM.
301
Параметры Проверять объекты OLE и Проверять объекты ActiveX содержат
дополнительные варианты работы при выборе значения Включено. Эти параметры
перечислены в следующей таблице.
Параметр
Описание
Не проверять
Office загружает объекты OLE/ActiveX без
предварительной проверки корректности
категоризации.
Переопределить список битов аннулирования
Internet Explorer (поведение по умолчанию)
Office использует список категорий для
переопределения проверки битов
аннулирования Internet Explorer.
Только белый список
Office загружает только активные и корректно
категоризованные объекты Active X.
Параметр Переопределить список битов аннулирования Internet Explorer позволяет
перечислить элементы управления OLE или ActiveX, загрузка которых будет разрешена в
Office 2010 при корректной категоризации даже в том случае, если они содержатся в списке
битов аннулирования Internet Explorer. Используйте этот элемент управления, чтобы разрешить
загрузку в Internet Explorer объекта COM, помеченного как небезопасный, но заведомо
безопасного для загрузки в Microsoft Office. Office также проверяет, включен ли бит
аннулирования Office COM. Дополнительные сведения о бите аннулирования Office COM см. в
разделе Планирование параметров безопасности для элементов управления ActiveX для Office
2010. Если бит аннулирования Office COM включен, а альтернативного идентификатора CLSID
(бита Phoenix) не существует, то объект COM не будет загружен. Дополнительные сведения о
поведении битов аннулирования см. в разделе Как отключить запуск элемента управления
ActiveX в обозревателе Internet Explorer (http://go.microsoft.com/fwlink/?linkid=183124&clcid=0x419).
Используйте параметр Только белый список, чтобы создать белый список безопасности,
разрешающий загрузку только определенных элементов управления и запрещающий остальные
объекты OLE или ActiveX, не входящие в список.
После включения любых параметров категоризации объектов COM в групповой политике
необходимо добавить категоризацию объектов в реестр.
Добавление категоризации объектов COM в
реестр
Каждому параметру групповой политики в реестре соответствует категоризация объекта COM.
Эти соответствия перечислены в следующей таблице.
302
Параметр групповой политики
Идентификатор категории (CATID)
Проверять поставщики источников данных
OWC
{A67A20DD-16B0-4831-9A66-045408E51786}
Проверить серверы RTD Excel
{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}
Проверять объекты OLE
{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Проверять объекты ActiveX
{4FED769C-D8DB-44EA-99EA-65135757C156}
Если параметр групповой политики не имеет значение Отключено или Включено | Не
проверять, то для указанных объектов COM необходимо добавить идентификатор CATID. Для
этого следует добавить в реестр ключ Implemented Categories в идентификатор CLSID объекта
COM. Затем добавляется подраздел, содержащий идентификатор CATID раздела Implemented
Categories.
Например, при создании белого списка, разрешающего для использования в Office только
объект OLE Microsoft Graph Chart, следует вначале найти идентификатор CLSID этого объекта
COM в следующем расположении реестра:
HKEY_CLASSES_ROOT\CLSID
Идентификатор CLSID для объекта Microsoft Graph Chart равен {00020803-0000-0000-C000000000000046}. Затем необходимо проверить, существует ли раздел Implemented Categories и
создать его в случае его отсутствия. В этом примере используется путь
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented
Categories
Затем необходимо добавить новый подраздел для идентификатора CATID, соответствующего
параметру групповой политики "Проверить объекты OLE" раздела Implemented Categories. В
этом примере используется следующее значение и путь:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented
Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
303
Планирование параметров режима
защищенного просмотра в Office 2010
Для управления компонентом предварительного просмотра изолированной среды в Microsoft
Office 2010 можно настроить параметры режима защищенного просмотра. Режим защищенного
просмотра — это новый компонент обеспечения безопасности в Office 2010, который позволяет
уменьшить риск использования эксплойтов на компьютере за счет открытия файлов в среде с
ограниченными разрешениями, где их можно проверить до открытия в приложениях Microsoft
Excel 2010, Microsoft PowerPoint 2010 или Microsoft Word 2010.
Содержание:

Планирование параметров режима защищенного просмотра

Запрет на открытие файлов в режиме защищенного просмотра

Принудительное открытие файлов в режиме защищенного просмотра

Добавление файлов в список небезопасных файлов
Планирование параметров режима защищенного
просмотра
Применение режима защищенного просмотра позволяет уменьшить риск использования
различных эксплойтов за счет открытия документов, презентаций и книг в изолированной среде
("песочнице"). "Песочница" представляет собой фрагмент памяти компьютера или отдельный
процесс, изолированный от определенных системных компонентов и приложений. Благодаря
этому программы и процессы, выполняющиеся в изолированной среде, являются менее
опасными. Изолированные среды часто применяют для тестирования новых приложений и
служб, которые могут привести к нестабильной работе или сбою компьютера. Изолированные
среды также позволяют защитить компьютер от вреда, который могут нанести приложения и
процессы.
При открытии файла в режиме защищенного просмотра пользователи могут просматривать его
контент, но не могут редактировать, сохранять или распечатывать его. Активный контент файла,
например элементы управления ActiveX, надстройки, подключения к базам данных, гиперссылки
и макросы Visual Basic для приложений (VBA), в этом режиме отключен. Пользователи могут
скопировать контент из файла и вставить его в другой документ. Кроме того, в режиме
защищенного просмотра пользователи не могут просматривать сведения о цифровых подписях,
которые используются для подписания документа, презентации или книги.
304
Поведение режима защищенного просмотра по умолчанию
По умолчанию в приложениях Excel 2010, PowerPoint 2010 и Word 2010 режим защищенного
просмотра включен. Тем не менее файл открывается в этом режиме только в определенных
ситуациях. В некоторых случаях файлы открываются для редактирования в обход режима
защищенного просмотра. Например, файлы, открытые из надежных расположений или
являющиеся надежными документами, обходят некоторые проверки безопасности и не
открываются в режиме защищенного просмотра.
По умолчанию файлы открываются в режиме защищенного просмотра при соблюдении любого
из следующих условий:

Файл пропускается при проверке файлов Office или не проходит эту
проверку. Проверка файлов Office — это новый компонент обеспечения безопасности,
который обеспечивает проверку файлов на наличие эксплойтов формата файлов. Если в
результате проверки файлов Office обнаруживается потенциальный эксплойт или
небезопасное повреждение файла, он открывается в режиме защищенного просмотра.

Файл определен как небезопасный в сведениях о зоне AES. Служба выполнения
вложений (AES) добавляет сведения о зоне к файлам, загружаемым с помощью Microsoft
Outlook или Microsoft Internet Explorer. Если в сведениях о зоне загруженного файла
указывается, что он получен с ненадежного веб-сайта или из Интернета, он открывается в
режиме защищенного просмотра.

Пользователь открывает файл в режиме защищенного просмотра. Пользователи могут
сами открывать файлы в режиме защищенного просмотра. Для этого следует выбрать
команду Открыть в режиме защищенного просмотра в диалоговом окне Открыть либо,
удерживая нажатой клавишу SHIFT, щелкнуть файл правой кнопкой мыши и выбрать
команду Открыть в режиме защищенного просмотра.

Файл открывается из небезопасного расположения. По умолчанию к небезопасным
расположениям относятся папка временных файлов Интернета и папка загружаемых
программ. При необходимости можно назначить другие небезопасные расположения с
помощью групповой политики.
В некоторых случаях режим защищенного просмотра не используется даже при соблюдении
одного или нескольких из приведенных выше условий. В частности, файлы не открываются в
режиме защищенного просмотра при соблюдении любого из следующих условий:

Файл открывается из надежного расположения.

Файл является надежным документом.
Изменение поведения режима защищенного просмотра
Не рекомендуется изменять поведение режима защищенного просмотра по умолчанию,
поскольку этот режим является важной частью многоуровневой стратегии защиты в Office 2010 и
предназначен для совместного применения с другими компонентами обеспечения безопасности,
такими как проверка файлов Office и блокировка файлов. Тем не менее в некоторых
305
организациях возможно изменение параметров режима защищенного просмотра в соответствии
с особыми требованиями безопасности. Для таких случаев в Office 2010 предусмотрена
возможность изменять поведение режима защищенного просмотра. С помощью этих параметров
можно выполнить следующие действия:

Запретить открытие в режиме защищенного просмотра файлов, которые загружены из
Интернета.

Запретить открытие в режиме защищенного просмотра файлов, которые хранятся в
небезопасных расположениях.

Запретить открытие в режиме защищенного просмотра вложений, открываемых в Microsoft
Outlook 2010.

Добавить расположения в список небезопасных расположений.
Кроме того, можно использовать параметры блокировки файлов и проверки файлов Office для
принудительного открытия файлов в режиме защищенного просмотра. Дополнительные
сведения см. в разделе Принудительное открытие файлов в режиме защищенного просмотра
этой статьи.
Примечание.
Дополнительные сведения о приведенных в этой статье параметрах см. в статье
"Политики и параметры безопасности в Office 2010". Дополнительные сведения о
настройке параметров безопасности в центре развертывания Office и административных
шаблонах Office 2010 см. в статье "Настройка системы безопасности Office 2010".
Запрет на открытие файлов в режиме
защищенного просмотра
Параметры защищенного просмотра можно настроить таким образом, чтобы не использовать
этот режим для определенных файлов. Для этого используются следующие параметры:
Не открывать файлы из зоны Интернета в режиме защищенного просмотра. Этот
параметр определяет принудительный обход режима защищенного просмотра файлами в
том случае, если в сведениях о зоне AES указано, что файл загружен из зоны Интернета.
Этот параметр применяется к файлам, загружаемым с помощью Internet Explorer, Outlook
Express и Outlook.
Не открывать файлы из небезопасных расположений в режиме защищенного
просмотра. Этот параметр определяет принудительный обход режима защищенного
просмотра файлами, которые открыты из небезопасных расположений. Для добавления
папок в список небезопасных расположений можно использовать параметр Задать список
небезопасных расположений, который рассматривается далее в этой статье.
Отключить режим защищенного просмотра для вложений, открытых в Outlook. Этот
параметр определяет принудительный обход режима защищенного просмотра файлами
Excel 2010, PowerPoint 2010 и Word 2010, которые открыты как вложения Outlook 2010.
306
Эти параметры не применяются в том случае, если в параметрах блокировки файлов задано
принудительное открытие файлов в режиме защищенного просмотра. Кроме того, эти
параметры не применяются, если файл не прошел проверку файлов Office. Каждый из этих
параметров можно настраивать отдельно для приложений Excel 2010, PowerPoint 2010 и Word
2010.
Принудительное открытие файлов в режиме
защищенного просмотра
Компоненты блокировки файлов и проверки файлов Office поддерживают параметры,
позволяющие настроить принудительное открытие файлов в режиме защищенного просмотра
при соблюдении определенных условий. С помощью этих параметров можно задать условия,
при которых файлы будут открываться в режиме защищенного просмотра.
Использование компонента блокировки файлов для
принудительного открытия файлов в режиме защищенного
просмотра
С помощью компонента блокировки файлов можно запретить открытие или сохранение файлов
определенных типов пользователями. При настройке блокировки типа файла с помощью
параметров этого компонента можно выбрать одно из трех действий блокировки файлов:

Заблокировано и не может открываться.

Заблокировано и может открываться только в режиме защищенного просмотра
(редактирование недоступно).

Заблокировано и открывается в режиме защищенного просмотра (возможно
редактирование).
При выборе второго и третьего параметров можно настроить принудительное открытие файлов
заблокированных типов в режиме защищенного просмотра. Параметры блокировки файлов
настраиваются только для отдельных приложений Excel 2010, PowerPoint 2010 и Word 2010.
Дополнительные сведения о параметрах блокировки файлов см. в статье "Планирование
параметров блокировки файлов в Office 2010".
Использование параметров проверки файлов Office для
принудительного открытия файлов в режиме защищенного
просмотра
Проверка файлов Office — это новый компонент обеспечения безопасности, который
обеспечивает проверку файлов на наличие эксплойтов формата файлов до их открытия в
приложении Office 2010. По умолчанию файлы, не прошедшие проверку файлов Office,
открываются в режиме защищенного просмотра с возможностью редактирования после
предварительного просмотра. При необходимости можно воспользоваться параметром
307
Поведение не прошедших проверку документов для изменения поведения по умолчанию.
При использовании этого параметра можно выбрать один из следующих вариантов для файлов,
не прошедших проверку файлов Office:

Полностью блокировать. Файлы, не прошедшие проверку файлов Office, не могут
открываться в режиме защищенного просмотра и недоступны для редактирования.

Открыть в режиме защищенного просмотра и запретить редактирование. Файлы, не
прошедшие проверку файлов Office, открываются в режиме защищенного просмотра, но
недоступны для редактирования.

Открыть в режиме защищенного просмотра и разрешить редактирование. Файлы, не
прошедшие проверку файлов Office, открываются в режиме защищенного просмотра и
доступны для редактирования. Это значение по умолчанию.
При выборе второго параметра можно ограничить поведение режима защищенного просмотра
для файлов, не прошедших проверку файлов Office. Этот параметр проверки файлов Office
настраивается только для отдельных приложений Excel 2010, PowerPoint 2010 и Word 2010.
Дополнительные сведения о параметрах проверки файлов Office см. в статье Планирование
параметров проверки файлов Office для Office 2010.
Добавление файлов в список небезопасных
файлов
С помощью параметра Задать список небезопасных расположений можно добавить
расположения в список небезопасных расположений. Находящиеся в таких расположениях
файлы всегда открываются в режиме защищенного просмотра. При использовании компонента
небезопасных расположений пользователи по-прежнему могут редактировать документы. В этом
случае принудительно выполняется только открытие документа в режиме защищенного
просмотра до его редактирования. Это глобальный параметр, который применяется к
приложениям Excel 2010, PowerPoint 2010 и Word 2010.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office
Планирование параметров проверки файлов Office для Office 2010
308
Планирование параметров проверки файлов
Office для Office 2010
Чтобы изменить способ, используемый в Microsoft Office 2010 для проверки двоичных файлов в
формате Microsoft Office, можно настроить параметры проверки файлов Office. Проверка файлов
Office — это новый компонент обеспечения безопасности Office 2010, позволяющий
предотвратить атаки форматов файлов за счет проверки двоичных файлов в формате Office до
их открытия в Microsoft Excel 2010, Microsoft PowerPoint 2010 или Microsoft Word 2010.
Содержание:

Планирование параметров проверки файлов Office

Отключение проверки файлов Office

Изменение поведения не прошедших проверку документов

Отключение отчетов по проверке файлов Office
Планирование параметров проверки файлов
Office
Применение проверки файлов Office позволяет обнаруживать и предотвращать наличие
эксплойтов, связанных с так называемыми атаками форматов файлов или файловым фаззингом
(fuzzing). Атаки форматов файлов нарушают целостность файлов. Как правило, при этом виде
атак изменяется структура файла, а в сам файл добавляется вредоносный код. Такой код
обычно выполняется удаленно и используется для повышения прав ограниченной учетной
записи на компьютере. В результате злоумышленник может получить доступ к ранее
недоступному компьютеру. Это может повлечь за собой раскрытие конфиденциальной
информации, хранящейся на жестком диске компьютера, или установку вредоносных программ,
например червей или программ для регистрации нажатий клавиш. Применение компонента
проверки файлов Office позволяет предотвратить такие атаки за счет проверки файлов до их
открытия. При проверке файлов Office структура файла сравнивается с предопределенной
схемой файла, которая представляет собой набор правил, определяющих структуру доступного
для чтения файла. Если при проверке файлов Office обнаруживается, что структура файла не
соответствует всем определенным в схеме правилам, файл не проходит проверку.
Атаки форматов файлов чаще всего присутствуют в двоичных файлах в формате Office. В связи
с этим компонент проверки файлов Office выполняет сканирование и проверку следующих видов
файлов.

Файлы книг Excel 97-2003 с расширением XLS, в том числе любые файлы в формате BIFF8.

Файлы шаблонов Excel 97-2003 с расширением XLT, в том числе любые файлы в формате
BIFF8.
309

Файлы Microsoft Excel 5.0/95 с расширением XLS, в том числе любые файлы в формате
BIFF5.

Файлы презентаций PowerPoint 97-2003 с расширением PPT.

Файлы демонстраций PowerPoint 97-2003 с расширением PPS.

Файлы шаблонов PowerPoint 97-2003 с расширением POT.

Файлы документов Word 97-2003 с расширением DOC.

Файлы шаблонов Word 97-2003 с расширением DOT.
Office 2010 поддерживает ряд параметров, определяющих поведение компонента проверки
файлов Office. С помощью этих параметров можно выполнить следующие действия.

Отключение проверки файлов Office.

Определение поведения файлов, не прошедших проверку.

Отключение функции Office 2010, обеспечивающей отправку сведений о проверке файлов
Office в корпорацию Майкрософт.
Примечание.
Дополнительные сведения о приведенных в этой статье параметрах см. в статье
"Политики и параметры безопасности в Office 2010". Дополнительные сведения о
настройке параметров безопасности в центре развертывания Office и административных
шаблонах Office 2010 см. в статье "Настройка системы безопасности Office 2010".
По умолчанию проверка файлов Office включена в приложениях Excel 2010, PowerPoint 2010 и
Word 2010. Любые файлы, не прошедшие проверку, открываются в режиме защищенного
просмотра. При этом пользователи могут разрешить редактирование файлов, которые не
прошли проверку и открыты в режиме защищенного просмотра. Кроме того, отображается
запрос на отправку сведений о проверке файлов Office в корпорацию Майкрософт. Сбор
сведений осуществляется только для файлов, не прошедших проверку.
Изменять установленные по умолчанию параметры проверки файлов Office не рекомендуется.
Тем не менее, в некоторых организациях возможна настройка параметров проверки файлов
Office в соответствии с особыми требованиями безопасности. В частности, изменение
установленных по умолчанию параметров проверки файлов Office может потребоваться в
организациях со следующими ограничениями безопасности.

Организации с ограничениями доступа в Интернет. Компонент проверки файлов Office
запрашивает отправку сведений об ошибках проверки в корпорацию Майкрософт каждые две
недели. Такое поведение может не соответствовать определенным в организации политикам
доступа в Интернет. В таком случае можно отключить отправку сведений о проверке файлов
Office в корпорацию Майкрософт. Дополнительные сведения см. в разделе Отключение
отчетов по проверке файлов Office этой статьи.

Организации со строгими требованиями к безопасности среды. Можно запретить открытие
файлов, не прошедших проверку файлов Office, или разрешить их открытие только в режиме
защищенного просмотра. Такое поведение является более строгим по сравнению с
определенным по умолчанию и может подойти организациям с заблокированными
310
защищенными средами. Дополнительные сведения об изменении поведения документов см.
в разделе Изменение поведения не прошедших проверку документов этой статьи.

Организации, в которых не допускается отправка файлов в корпорацию Майкрософт. При
получении подтверждения от пользователя компонент проверки файлов Office отправляет
копии всех не прошедших проверку файлов в корпорацию Майкрософт. При необходимости
можно отключить запрос на отправку таких файлов в корпорацию Майкрософт.
Отключение проверки файлов Office
С помощью параметра Отключить проверку файлов можно отключить проверку файлов Office.
Этот параметр настраивается отдельно для каждого приложения Excel 2010, PowerPoint 2010 и
Word 2010. Этот параметр отключает сканирование и проверку двоичных файлов в формате
Office. Например, если параметр Отключить проверку файлов включен для Excel 2010,
компонент проверки файлов Office не выполняет сканирование и проверку файлов книг и
шаблонов Excel 97-2003, а также файлов Microsoft Excel 5.0/95. При открытии файла одного из
этих типов, содержащего атаку формата файлов, такая атака не будет обнаружена и
предотвращена, если ее не выявит какое-либо другое средство обеспечения безопасности.
Не рекомендуется отключать проверку файлов Office, поскольку она является важнейшей
частью многоуровневой стратегии защиты в Office 2010 и по возможности должна
использоваться на всех компьютерах организации. Чтобы запретить проверку файлов Office,
рекомендуется использовать компонент "Надежные расположения". Для файлов, открываемых
из надежных расположений, проверка файлов Office не выполняется. Кроме того, для этой цели
можно использовать компонент "Надежные документы". Для файлов, определенных как
надежные документы, проверка файлов Office также не выполняется.
Изменение поведения не прошедших проверку
документов
С помощью параметра Поведение не прошедших проверку документов можно изменить
поведение документов, не прошедших проверку. Если этот параметр включен, можно выбрать
один из трех параметров поведения:

Полностью блокировать файлы. Файлы, не прошедшие проверку, не открываются в
режиме защищенного просмотра и недоступны для редактирования.

Открыть файлы в режиме защищенного просмотра и запретить
редактирование. Файлы открываются в режиме защищенного просмотра контента, однако
недоступны для редактирования.

Открыть файлы в режиме защищенного просмотра и разрешить
редактирование. Файлы открываются в режиме защищенного просмотра и доступны для
редактирования. Такое поведение компонента проверки файлов Office настроено по
умолчанию.
311
Если выбран параметр Открыть файлы в режиме защищенного просмотра и запретить
редактирование, для файлов, не прошедших проверку, на панели сообщений отображается
следующий текст:
Защищенный просмотр. Обнаружена проблема с этим файлом. Редактирование может
повредить компьютер. Щелкните для получения дополнительных сведений.
Если щелкнуть в панели сообщений, открывается представление Microsoft Office Backstage, в
котором приводится подробное описание проблемы и предоставляется возможность разрешить
редактирование файла.
Если выбран параметр Полностью блокировать файлы, для файлов, не прошедших проверку,
в диалоговом окне отображается следующий текст:
Система Office обнаружила проблему с этим файлом. Чтобы обеспечить защиту
компьютера, этот файл не будет открыт.
Можно развернуть это диалоговое окно и просмотреть подробное описание проблемы или
закрыть его, нажав кнопку ОК.
Отключение отчетов по проверке файлов Office
С помощью параметра Отключить отправку отчетов об ошибках для не прошедших
проверку файлов можно отключить вывод диалогового окна с запросом на отправку сведений в
корпорацию Майкрософт. В этом случае также отключается отправка сведений о проверке в
корпорацию Майкрософт.
Для каждого файла, не прошедшего проверку, в Office 2010 собираются сведения о причинах
этого. Примерно через две недели после того, как файл не прошел проверку, в Office 2010
отображается запрос на отправку сведений о проверке файлов Office в корпорацию Майкрософт.
В сведениях о проверке указываются типы и размеры файлов, а также время, затраченное на
открытие и проверку файлов. Кроме того, в корпорацию Майкрософт отправляются копии
файлов, не прошедших проверку. Список соответствующих файлов отображается в запросе на
отправку сведений. При необходимости можно отменить отправку сведений в корпорацию
Майкрософт. В этом случае не отправляются ни сведения, ни файлы. Если в организации
ограничивается доступ в Интернет, применяются политики ограничения доступа в Интернет или
не допускается отправка файлов в корпорацию Майкрософт, можно включить параметр
Отключить отправку отчетов об ошибках для не прошедших проверку файлов.
Важно!
В некоторых случаях компонент проверки файлов Office может ошибочно определить
файл как не прошедший проверку. Отправка отчетов о проверке в корпорацию
Майкрософт позволит усовершенствовать компонент проверки файлов Office и свести к
минимуму число ложных положительных результатов.
Примечание.
312
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
313
Обновления файлов административных
шаблонов (ADM, ADMX, ADML) Office 2007 и
центра развертывания Office
В Microsoft Office 2010 представлены параметры, позволяющие принудительно применять
надежные пароли на основе правил, определяющих длину и сложность паролей, при
использовании компонента Зашифровать паролем в Microsoft Excel 2010, Microsoft PowerPoint
2010 и Microsoft Word 2010. С помощью этих параметров можно реализовать принудительное
применение в приложениях Office 2010 локальных паролей или требований на уровне домена,
которые задаются в параметрах политики паролей групповой политики.
Содержание:

Планирование параметров длины и сложности паролей

Определение уровня правил для паролей

Связанные параметры длины и сложности паролей
Планирование параметров длины и сложности
паролей
По умолчанию для компонента Зашифровать паролем не установлены ограничения на длину и
сложность пароля. Это означает, что пользователи могут шифровать документы, презентации и
рабочие книги без указания пароля. Тем не менее, рекомендуется изменять эту установленную
по умолчанию настройку и принудительно задавать длину и сложность пароля, чтобы
гарантировать использование надежных паролей в компоненте Зашифровать паролем.
В большинстве организаций надежные пароли для входа в систему и проверки подлинности
принудительно применяются с использованием групповой политики домена. В этом случае
рекомендуется устанавливать единые требования к длине и сложности пароля для компонента
Зашифровать паролем на уровне всей организации. Дополнительные сведения о надежных
паролях, в том числе рекомендации по определению длины и сложности паролей, см. в статье
Создание политики надежных паролей (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=166269&clcid=0x419) (Возможно, на английском языке).
Внимание!
При задании политик паролей необходимо найти компромисс между безопасностью и
простотой реализации политики для пользователей. Если сотрудник забудет пароль или
уволится из организации, не сообщив пароли для сохранения и шифрования данных,
соответствующие данные будут недоступны до тех пор, пока не будет введен
правильный пароль.
314
Принудительное применение параметров длины и
сложности паролей
При настройке параметров, принудительно задающих длину и сложность паролей, в Office 2010
можно использовать параметры в составе Office 2010 отдельно или в сочетании с параметрами
паролей, доступными в объекте групповой политики домена. Если для входа в систему и
проверки подлинности в домене уже применяются надежные пароли, рекомендуется настроить
параметры длины и сложности паролей для Office 2010, аналогичные установленным для
объекта групповой политики паролей для домена.
В Office 2010 представлены следующие параметры паролей:

Задать минимальную длину пароля

Задать уровень правил для паролей

Задать время ожидания домена для проверки правил для паролей
Для настройки параметров паролей Office 2010 можно использовать центр развертывания Office
или административные шаблоны Office 2010 для локальных или доменных групповых политик.
Дополнительные сведения о настройке параметров безопасности с помощью центра
развертывания Office и административных шаблонов Office 2010 см. в статье Настройка
безопасности Office 2010.
Для объекта групповой политики паролей домена доступны следующие параметры паролей:

Вести журнал паролей

Максимальный срок действия пароля

Минимальный срок действия пароля

Минимальная длина пароля

Пароль должен отвечать требованиям сложности

Хранить пароли, используя обратимое шифрование
Для настройки параметров политики паролей домена можно использовать редактор объектов
групповой политики (Объект групповой политики | Конфигурация компьютера | Политики |
Параметры Windows | Параметры безопасности | Политики учетной записи | Политика
паролей). Дополнительные сведения см. в статье Технический справочник по редактору
объектов групповой политики (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=188682&clcid=0x419) (Возможно, на английском языке).
Параметр Задать уровень правил для паролей в Office 2010 определяет требования к
сложности паролей, а также необходимость использования объекта групповой политики паролей
для домена.
Для принудительного применения параметров длины и сложности паролей для компонента
Зашифровать паролем выполните следующие действия:

Определите минимальную длину пароля, которую требуется применять локально.
315

Определите уровень правил для паролей.

Определите значение времени ожидания для принудительного применения параметров
паролей домена. Этот шаг является необязательным. Настройка этого значения может
потребоваться в том случае, если на контроллере домена установлен настраиваемый
фильтр паролей, и установленного по умолчанию времени ожидания для подключения к
контроллеру домена (4 секунды) недостаточно.
Определение требований к минимальной длине пароля
Для принудительного применения параметров длины и сложности паролей сначала необходимо
определить минимальную длину пароля, которую требуется применять локально. Для этого
используется параметр Задать минимальную длину пароля. Если этот параметр включен,
можно задать длину пароля в диапазоне от 0 до 255. Обратите внимание, что установка
минимальной длины пароля не влечет за собой принудительного ограничения длины. Чтобы
принудительно применять параметры длины или сложности паролей, необходимо изменить
значение параметра Задать уровень правил для паролей, который описывается в следующем
разделе.
Внимание!
При задании политик паролей необходимо найти компромисс между безопасностью и
простотой реализации политики для пользователей. Если сотрудник забудет пароль или
уволится из организации, не сообщив пароли для сохранения и шифрования данных,
соответствующие данные будут недоступны до тех пор, пока не будет введен
правильный пароль.
Определение уровня правил для паролей
После установки минимальной длины пароля для локального применения необходимо
определить правила, по которым применяются параметры длины и сложности паролей. Для
этого используется параметр Задать уровень правил для паролей. Если этот параметр
включен, можно выбрать один из следующих четырех уровней правил:

Не выполнять проверку паролей Параметры длины и сложности паролей не
применяются. Этот уровень соответствует конфигурации по умолчанию.

Локальная проверка длины Применение параметра длины паролей без ограничения
сложности. Кроме того, параметр длины паролей применяется только на локальном уровне в
соответствии с ограничениями, заданными в параметре Задать минимальную длину
пароля.

Локальная проверка длины и сложности Параметр длины паролей применяется на
локальном уровне в соответствии с ограничениями, заданными в параметре Задать
минимальную длину пароля. Параметр сложности пароля применяется также на
локальном уровне (пароль должен содержать, по крайней мере, три из следующих категорий
знаков:
316

Строчные буквы a-z

Прописные буквы A-Z

Цифры 0–9

Прочие знаки, не являющиеся буквами и цифрами
Этот параметр действует только в том случае, если в параметре Задать минимальную
длину пароля установлена длина пароля не менее шести знаков.

Локальная проверка длины и сложности, а также политика домена Параметры длины и
сложности пароля применяются в соответствии с параметрами политики паролей домена,
установленными в групповой политике. Если компьютер находится в автономном режиме, и
отсутствует подключение к контроллеру домена, применяются локальные параметры длины
и сложности, как показано в описании параметра Локальная проверка длины и сложности.
Чтобы принудительно применять параметры длины и сложности паролей на основе параметров
домена, необходимо настроить параметры политики паролей в групповой политике. Применение
параметров домена имеет ряд преимуществ по сравнению с локальными параметрами, в том
числе следующие:

Требования к длине и сложности паролей для входа в систему и проверки подлинности
соответствуют аналогичным требованиям для компонента Зашифровать паролем.

Требования к длине и сложности паролей устанавливаются одинаковыми на уровне всей
организации.

Требования к длине и сложности паролей могут применяться отдельно к подразделениям,
сайтам и доменам организации.
Дополнительные сведения о принудительном применении параметров длины и сложности
паролей с использованием групповой политики домена см. в статье Принудительное
применение надежных паролей на уровне организации (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=166262&clcid=0x419) (Возможно, на английском языке).
Определение значения времени ожидания для домена
Если для применения параметров длины и сложности паролей для компонента Зашифровать
паролем используются параметры групповой политики домена, и на контроллере домена
установлен настраиваемый фильтр паролей, может понадобиться настройка параметра Задать
время ожидания домена для проверки правил для паролей. Это значение определяет время
ожидания приложением Office 2010 ответа от контроллера домена, по истечении которого будут
принудительно применены локальные правила длины и сложности паролей. Чтобы изменить
установленное для домена значение, можно установить соответствующее значение параметра
Задать время ожидания домена для проверки правил для паролей. По умолчанию
установлено время ожидания 4000 мс (4 с). Это означает, что если контроллер домена не
отвечает в течение 4 секунд, приложение Office 2010 принудительно применяет локальные
параметры длины и сложности паролей.
Примечание.
317
Значение времени ожидания домена действует только в том случае, если включены
параметры Задать минимальную длину пароля, Задать уровень правил для
паролей и выбран параметр Локальная проверка длины и сложности, а также
политика домена.
Связанные параметры длины и сложности
паролей
В случае принудительного применения параметров длины и сложности паролей в организации
часто используются следующие дополнительные параметры:
Параметры криптографической гибкости С помощью этих параметров можно задать
поставщики и алгоритмы шифрования, которые будут использоваться для шифрования
документов, презентаций и рабочих книг.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
318
Планирование параметров криптографии и
шифрования в Office 2010
Microsoft Office 2010 содержит параметры, которые позволяют управлять способом шифрования
данных при использовании Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010,
Microsoft PowerPoint 2010, Microsoft Project 2010 и Microsoft Word 2010. В этой статье
представлен обзор возможностей криптографии и шифрования в Office 2010, а также описание
параметров, которые можно использовать для шифрования данных, и указаны сведения о
совместимости с предыдущими версиями Microsoft Office. Дополнительные сведения о
приложении Microsoft Outlook 2010 см. в статье Планирование шифрования сообщений
электронной почты в Outlook 2010.
При планировании параметров шифрования необходимо учитывать следующие аспекты.

Не рекомендуется изменять параметры шифрования по умолчанию, если для модели
безопасности организации не требуются другие параметры шифрования.

Рекомендуется применять правила длины и сложности пароля, чтобы обеспечить
использование стойких паролей при шифровании данных. Дополнительные сведения см. в
статье Обновления файлов административных шаблонов (ADM, ADMX, ADML) Office 2007 и
центра развертывания Office.

Не рекомендуется использовать шифрование RC4. Дополнительные сведения см. в разделе
Совместимость с предыдущими версиями Office далее в этой статье.

Административные параметры, принуждающие пользователей зашифровывать документы,
отсутствуют. Однако существует параметр, позволяющий удалять возможность добавления
паролей в документы и, таким образом, отключать шифрование документов.
Дополнительные сведения см. в разделе Параметры криптографии и шифрования далее в
этой статье.

Сохранение документов в надежных расположениях не оказывает влияния на параметры
шифрования. Если документ зашифрован и сохранен в надежном расположении, открытие
документа возможно только при указании пароля.
Содержание:

Криптография и шифрование в Office 2010

Параметры криптографии и шифрования

Совместимость с предыдущими версиями Office
Криптография и шифрование в Office 2010
Доступные в Office алгоритмы шифрования зависят от алгоритмов, доступ к которым можно
получить через интерфейсы API в операционной системе Windows. Office 2010, помимо
319
поддержки Cryptography API (CryptoAPI), также поддерживает интерфейс CNG (CryptoAPI: Next
Generation), который впервые стал доступен в Microsoft Office 2007 с пакетом обновления 2
(SP2).
CNG обеспечивает более динамичное шифрование. При этом можно указать различные
алгоритмы шифрования и хэширования, которые поддерживаются на главном компьютере, для
шифрования документа. CNG также расширяет возможности шифрования и позволяет
использовать модули сторонних производителей.
Если Office использует CryptoAPI, алгоритмы шифрования зависят от алгоритмов, доступных в
поставщике службы криптографии (CSP), который входит в операционную систему Windows. В
следующем разделе реестра содержится список поставщиков службы криптографии,
установленных на компьютере:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
В Office 2010 и Office 2007 с пакетом обновления 2 (SP2) можно использовать следующие
алгоритмы шифрования CNG и другие криптографические расширения CNG, установленные в
системе:
AES, DES, DESX, 3DES, 3DES_112 и RC2
В Office 2010 и Office 2007 с пакетом обновления 2 (SP2) можно использовать следующие
алгоритмы хэширования CNG и другие криптографические расширения CNG:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 и SHA512
Хотя в Office 2010 есть параметры для изменения способа шифрования, при шифровании
документов в формате Open XML (DOCX, XSLX, PPTX и т. д.) значения по умолчанию —
алгоритм AES, 128-разрядный ключ, SHA1 и CBC — обеспечивают стойкое шифрование и
подходят для большинства организаций. Алгоритм AES — это самый стойкий алгоритм
шифрования в отрасли, который был выбран Агентством национальной безопасности (NSA) в
качестве стандарта для правительства США. Алгоритм AES поддерживается в операционных
системах Windows XP с пакетом обновления 2 (SP2), Windows Vista, Windows 7, Windows Server
2003 и Windows Server 2008.
Параметры криптографии и шифрования
В следующей таблице перечислены параметры, которые позволяют изменить алгоритмы
шифрования при использовании версий Microsoft Office, применяющих CryptoAPI. В их число
входят версии Office до Office 2010.
Параметр
Описание
Тип шифрования для защищенных
паролем файлов Office Open XML
Этот параметр позволяет указать тип шифрования
файлов Open XML от доступных поставщиков служб
криптографии (CSP). Он требуется при применении
пользовательской COM-надстройки шифрования.
320
Параметр
Описание
Дополнительные сведения см. в “Руководстве
разработчиков шифрования для Office 2007” , которое
доступно в пакете SDK SharePoint Server 2007
(Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=107614&clcid=0x419)
(Возможно, на английском языке). Этот параметр также
необходим при использовании Office 2007 с пакетом
обновления 1 (SP1) или версии пакета совместимости,
которая старее пакета совместимости Microsoft Office
для форматов файлов Word, Excel и PowerPoint
(http://go.microsoft.com/fwlink/?linkid=78517&clcid=0x419),
и если требуется изменить алгоритм шифрования на
вариант, отличный от алгоритма по умолчанию.
Тип шифрования для защищенных
паролем файлов Office 97-2003
Этот параметр позволяет указать тип шифрования
двоичных файлов Office 97–2003 от доступных
поставщиков служб криптографии (CSP). При этом
поддерживается только один алгоритм шифрования —
RC4, который, как сказано выше, не рекомендуется
использовать.
В Office 2010, если требуется изменить параметр Тип шифрования для защищенных паролем
файлов Office Open XML, сначала следует включить параметр Задать совместимость
шифрования и выбрать параметр Использовать формат прежних версий. Параметр Задать
совместимость шифрования доступен в Access 2010, Excel 2010, PowerPoint 2010 и Word 2010.
В следующей таблице перечислены параметры, которые позволяют изменить алгоритмы
шифрования при использовании Office 2010. Эти параметры применяются к Access 2010, Excel
2010, OneNote 2010, PowerPoint 2010, Project 2010 и Word 2010.
Примечание.
Все следующие параметры, кроме Задать параметры для контекста CNG и Задать
алгоритм генерации случайных чисел CNG, применимы даже при использовании
поддерживаемой операционной системы для Office 2010, такой как Windows XP с пакетом
обновления 3 (SP3), которая не поддерживает CNG. В этом случае Office 2010
использует CryptoAPI вместо CNG. Эти параметры применяются только при
использовании Office 2010 для шифрования файлов Open XML.
Параметр
Описание
Задать алгоритм шифрования CNG
Этот параметр позволяет настроить используемый
321
Параметр
Описание
алгоритм шифрования CNG. Значение по умолчанию:
AES.
Настройка режима цепочки
шифрования CNG
Этот параметр позволяет настроить используемый
режим цепочки. По умолчанию используется Cipher
Block Chaining (CBC).
Задать длину ключа шифрования
CNG
Этот параметр позволяет настроить количество
разрядов, используемых при создании ключа
шифрования. Значение по умолчанию: 128 разрядов.
Задать совместимость шифрования
Этот параметр позволяет задать формат
совместимости. Значение по умолчанию:
Использовать формат следующего поколения.
Задать параметры для контекста
CNG
Этот параметр позволяет задать параметры
шифрования, которые будут использоваться для
контекста CNG. Для применения этого параметра
сначала нужно создать контекст CNG с помощью
CryptoAPI: Next Generation (CNG). Дополнительные
сведения см. в разделе Функции настройки
криптографии CNG (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=192996&clcid=0x419)
(Возможно, на английском языке).
Задать алгоритм хэширования CNG
Этот параметр позволяет указать используемый
алгоритм хэширования. Значение по умолчанию: SHA1.
Задать число смен хэша пароля
CNG
Этот параметр позволяет задать количество смен
(повторного хэширования) средства проверки пароля.
Значение по умолчанию: 100000.
Задать алгоритм генерации
случайных чисел CNG
Этот параметр позволяет настроить генератор
случайных чисел CNG. По умолчанию используется
RNG (Random Number Generator).
Задать длину соли CNG
Этот параметр позволяет указать используемое
количество байт соли. Значение по умолчанию: 16.
Помимо параметров CNG, указанных в предыдущей таблице, для Excel 2010, PowerPoint 2010 и
Word 2010 можно настроить параметры CNG, перечисленные в следующей таблице.
322
Параметр
Описание
Использовать новый ключ при смене
пароля
Этот параметр позволяет указать, следует ли
использовать новый ключ шифрования при
изменении пароля. По умолчанию при
изменении пароля новый ключ не
используется.
Параметр, указанный в следующей таблице, можно использовать, чтобы запретить добавлять
пароли в документы и, тем самым, отключить шифрование документов.
Параметр
Описание
Отключить пароль для открытия
пользовательского интерфейса
Этот параметр управляет тем, могут ли
пользователи Office 2010 добавлять пароли в
документы. По умолчанию пользователи могут
добавлять пароли.
Примечание.
Сведения о настройке параметров безопасности в центре развертывания Office и
административных шаблонах Office 2010 см. в разделе Настройка безопасности Office
2010.
Совместимость с предыдущими версиями Office
Если требуется зашифровать документы Office, рекомендуется сохранить их в формате Open
XML (DOCX, XLSX, PPTX и т. д.) вместо формата Office 97–2003 (DOC, XLS, PPT и т. д.). При
шифровании двоичных документов (DOC, XLS, PPT) используется алгоритм RC4, что не
рекомендуется, как описано в разделах 4.3.2 и 4.3.3 спецификации структуры криптографии
документов Office (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=192287&clcid=0x419) (Возможно, на английском языке).
Документы, которые сохранены в старых двоичных форматах Office, можно шифровать только с
помощью RC4 для обеспечения совместимости со старыми версиями Microsoft Office. AES,
стандартный и рекомендуемый алгоритм шифрования, используется для шифрования файлов в
формате Open XML.
Office 2010 и Office 2007 позволяют сохранять документы в формате Open XML. Кроме того, если
используется Microsoft Office XP или Office 2003, можно применить пакет совместимости для
сохранения документов в формате Open XML.
323
Кроме того, если в организации используется пакет обеспечения совместимости Microsoft Office
в форматах Word, Excel и PowerPoint для шифрования файлов форматов Open XML,
необходимо проверить следующие сведения.

По умолчанию в пакете обеспечения совместимости используются следующие параметры
для шифрования файлов параметров Open XML:

Поставщик служб шифрования Microsoft Enhanced RSA и AES (прототип),AES
128,128 (в операционной системе Windows XP Professional).

Поставщик служб шифрования Microsoft Enhanced RSA и AES,AES 128,128 (в
операционной системе Windows Server 2003 и Windows Vista).

Пользователей не предупреждают, что в пакете обеспечения совместимости используются
данные параметры.

В случае установки пакета обеспечения совместимости графический интерфейс
пользователя в более ранних версиях системы Microsoft Office может показывать неверные
параметры шифрования для файлов форматов Open XML.

Нельзя использовать графический интерфейс пользователя в более ранних версиях
системы Microsoft Office для изменения параметров шифрования в файлах форматов Open
XML.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
Спецификация структуры криптографии документов Office (Возможно, на английском языке)
324
Планирование параметров цифровых
подписей в Office 2010
С помощью Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010 можно ставить
цифровые подписи на документах. Также можно добавлять строку или штамп подписи с
помощью Excel 2010, Microsoft InfoPath 2010 и Word 2010. Microsoft Office 2010 поддерживает
стандарт XAdES (XML Advanced Electronic Signatures), набор расширений стандарта XML-DSig.
Впервые этот стандарт поддерживался в Microsoft Office 2007.
Содержание:

Цифровая подпись

Цифровой сертификат: самозаверяющий или выдаваемый центром сертификации

Использование цифровых подписей
Цифровая подпись
Цифровую подпись в цифровых документах ставят в тех же случаях, что и при использовании
бумажных документов. Вместе с алгоритмами шифрования цифровая подпись используется для
подтверждения личности создателя цифровых данных, включая документы, сообщения
электронной почты и макросы.
Цифровые подписи основаны на цифровых сертификатах, которые являются средством
подтверждения личности, выдаваемым надежной третьей стороной, называемой центром
сертификации (ЦС). Действует данное средство так же, как и обычные печатные документы,
удостоверяющие личность. Например, надежная третья сторона (государственное объединение
или коммерческая организация) выдает документы удостоверения личности (водительские
права, паспорт или идентификационные карты сотрудников), которые должны подтвердить
личность, предъявляющего эти документы лица.
Какие функции выполняют цифровые подписи
Цифровые подписи помогают установить следующие меры проверки подлинности.

Подлинность Цифровая подпись и цифровой сертификат позволяют гарантировать
подлинность личности подписавшего, чтобы другое лицо не могло выдать себя за создателя
документа (что соответствовал бы подделыванию печатного документа).

Целостность С помощью цифровой подписи можно удостоверить неизменность
содержимого документа с момента его подписания. Таким образом, документ не может быть
перехвачен и изменен без ведома его создателя.

Неотрекаемость Цифровая подпись помогает доказать любой из сторон подлинность
создателя подписанного контента. "Отречение" означает, что владелец подписи отрицает
325
свою связь с подписанным контентом. Можно доказать, что создатель документа является
истинным создателем вне зависимости от утверждений лица, подписавшего документ.
Подписавший не может отречься от подписи на документе без отречения от своего
цифрового ключа и, следовательно, от других документов, подписанных с помощью этого
ключа.
Требования к цифровым подписям
Для выполнения условий создатель документа должен заверить его содержимое цифровой
подписью, которая должна удовлетворять следующим требованиям.

Цифровая подпись должна быть действительной. Центр сертификации, которому доверяет
ОС, должен подписать цифровой сертификат, на котором основана цифровая подпись.

Срок действия сертификата, связанного с цифровой подписью, не истек или содержит
временной штамп, который указывает, что сертификат был действителен во время подписи.

Сертификат, связанный с цифровой подписью, не был отозван.

Лицо или организация, поставившие цифровую подпись (называемые издателем), должны
вызывать доверие у получателя.
Word 2010, Excel 2010 и PowerPoint 2010 обнаруживают эти критерии и предупреждают
пользователя, если есть какая-либо проблема с цифровой подписью. Сведения о проблемах с
сертификатами можно легко получить с помощью панели задач сертификата в приложении
Office 2010. Приложения Office 2010 позволяют добавлять несколько цифровых подписей к
одному и тому же документу.
Цифровые подписи в бизнес-среде
Далее показано, как можно использовать цифровые подписи документов в бизнес-среде.
1. Сотрудник использует Excel 2010 для создания отчетов о расходах; он создает три строки
подписи: для себя, для руководителя и для бухгалтерии. Эти строки позволяют определить
создателя документа и гарантировать, что после передачи документа руководителю и в
бухгалтерию никаких изменений внесено не будет. Также это позволит подтвердить
получение документа руководителей и бухгалтерией.
2. Руководитель получает документ и удостоверяет его цифровой подписью, подтверждая
получение и одобрение документа. Затем документ пересылается в бухгалтерию для
оплаты.
3. Сотрудник бухгалтерии получает и подписывает документ, тем самым подтверждая его
получение.
В этом примере показано использование нескольких подписей в одном документе Office 2010.
Кроме подписи создатель документа может добавить рисунок с подписью или использовать
планшетный ПК, чтобы внести подпись вручную. Также поддерживается функция “резиновой
печати”, которая служит для подтверждения получения документа определенным сотрудником.
326
Проблемы совместимости
Office 2010, как и Office 2007, использует формат цифровых подписей XML-DSig. Кроме того, в
Office 2010 добавлена поддержка XAdES (XML Advanced Electronic Signatures). XAdES — это
набор уровневых расширений XML-DSig, уровни которых основаны на предыдущих для
обеспечения более высокой надежности цифровых подписей. Дополнительные сведения об
уровнях XAdES, которые поддерживаются в Office 2010, см. в разделе Использование цифровых
подписей далее в этой статье. Дополнительные сведения о стандарте XAdES см. в
спецификации XML Advanced Electronic Signatures (XAdES) (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=186631&clcid=0x419) (Возможно, на английском языке).
Важно помнить, что цифровые подписи, созданные в Office 2010, несовместимы с версиями
Microsoft Office более ранними, чем Office 2007. Например, если документ подписан
приложением в Office 2010 или Office 2007 и открывается с помощью приложения в Microsoft
Office 2003, в котором установлен пакет обеспечения совместимости Office, пользователь будет
проинформирован, что документ подписан в более новой версии Microsoft Office, и цифровая
подпись будет утеряна.
На рисунке далее представлено предупреждение об удалении цифровой подписи при открытии
документа в более ранней версии Office.
Кроме того, если XAdES используется для цифровой подписи в Office 2010, цифровая подпись
не будет совместима с Office 2007, если не задать для параметра групповой политики Не
включать объект ссылки XAdES в манифест значение Отключено. Дополнительные
сведения о параметрах цифровой подписи в групповой политике см. в разделе Настройка
цифровых подписей далее в этой статье.
Если требуется, чтобы цифровые подписи, созданные в Office 2010, были совместимы с Office
2003 и более ранними версиями, можно задать для параметра групповой политики Подписи в
формате предыдущей версии значение Включено. Этот параметр групповой политики
размещен в разделе Конфигурация пользователя\Административные
шаблоны\(ADM\ADMX)\Microsoft Office 2010\Подписи. После задания значения Включено
приложения Office 2010 используют двоичный формат Office 2003 для применения цифровых
подписей к двоичным документам Office 97–2003, созданным в Office 2010.
Цифровой сертификат: самозаверяющий или
выдаваемый центром сертификации
Цифровые сертификаты могут быть самозаверяющими, либо они могут выдаваться центрами
сертификации организации, такими как компьютер под управлением Windows Server 2008 со
327
службами сертификатов Active Directory, или публичными центрами сертификации, например
VeriSign или Thawte. Самозаверяющие сертификаты обычно используются частными лицами и
небольшими компаниями, которые не хотят устанавливать в организациях инфраструктуру PKI
или приобретать коммерческий сертификат.
Основной недостаток самозаверяющих сертификатов в том, что они могут использоваться
только при обмене документами между знакомыми пользователями, которые точно являются
создателями передаваемых документов. При использовании данных сертификатов отсутствует
третья сторона, которая может подтвердить подлинность сертификата. Каждый человек,
получивший подписанный документ, должен самостоятельно решить вопрос о надежности
сертификата.
Для более крупных организаций доступны два основных метода получения цифровых
сертификатов: сертификаты, создаваемые с помощью корпоративной инфраструктуры PKI, и
коммерческие сертификаты. Для сокращения расходов организаций, поддерживающих обмен
документами только между сотрудниками, больше подходит корпоративная инфраструктура PKI.
Чтобы совместно использовать документы с лицами за пределами организации, необходимо
использовать коммерческие сертификаты.
Сертификаты, создаваемые с помощью корпоративной
инфраструктуры PKI
Организации могут создать собственную инфраструктуру PKI. В этом случае компания должна
настроить один или несколько центров сертификации (ЦС), которые могут создавать цифровые
сертификаты для компьютеров и пользователей компании. В сочетании со службой каталогов
Active Directory возможно создание сложного решения PKI, при котором цепочка корпоративных
центров сертификации устанавливается на всех компьютерах, управляемых компанией, а
пользователям и компьютерам автоматически назначаются цифровые сертификаты для
удостоверения и шифрования документов. Это позволяет всем сотрудникам организации
автоматически доверять цифровым сертификатам от других сотрудников той же организации.
Дополнительные сведения см. в разделе Службы сертификатов Active Directory
(http://go.microsoft.com/fwlink/?linkid=119113&clcid=0x419) (Возможно, на английском языке).
Коммерческие сертификаты
Коммерческие сертификаты приобретаются у специализированной компании по продаже
цифровых сертификатов. Основное преимущество таких сертификатов в том, что коммерческий
сертификат центра сертификации автоматически устанавливается в операционных системах
Windows, что позволяет компьютерам автоматически считать корневой сертификат этого
поставщика надежным. В отличие от корпоративного решения PKI коммерческие сертификаты
позволяют совместно использовать подписанные документы с пользователями, не
относящимися к данной организации.
Существует три вида коммерческих сертификатов.
328

Класс 1 Сертификаты данного класса выдаются частным лицам с допустимыми адресами
электронной почты. Сертификаты класса 1 подходят для цифровых подписей, шифрования и
управления электронным доступом к некоммерческим операциям, для которых не требуется
подтверждение личности.

Класс 2 Сертификаты класса 2 выдаются частным лицам и устройствам. Сертификаты для
частных лиц позволяют ставить цифровые подписи, выполнять шифрование и осуществлять
электронный доступ к операциям, в которых достаточно подтверждения подлинности
личности на основе сведений в проверяющей базе данных. Сертификаты класса 2 для
устройств позволяют проверять подлинность устройств, целостность сообщений, ПО и
контента и выполнять шифрование конфиденциальных сведений.

Класс 3 Сертификаты класса 3 выдаются частным лицам, организациям, серверам,
устройствам и администраторам для центров сертификации и служб выдачи корневых
сертификатов (RA). Индивидуальные сертификаты данного вида позволяют ставить
цифровые подписи, выполнять шифрование и получать доступ к элементам управления
операций, в которых необходимо подтверждение подлинности личности. Сертификаты для
серверов позволяют выполнять проверку подлинности серверов, целостности сообщений,
ПО и контента, а также выполнять шифрование конфиденциальных сведений.
Дополнительные сведения о коммерческих сертификатах см. в разделе Цифровое
удостоверение: Office Marketplace (http://go.microsoft.com/fwlink/?linkid=119114&clcid=0x419).
Использование цифровых подписей
С помощью Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010 можно ставить
цифровые подписи на документах. Также можно добавлять строку или штамп подписи с
помощью Excel 2010, Microsoft InfoPath 2010 и Word 2010. Цифровая подпись документа с
цифровым сертификатом, но без строки или штампа подписи называется невидимой цифровой
подписью. Оба метода, видимые и невидимые цифровые подписи, применяют цифровой
сертификат для подписи документа. Различие состоит в графическом представлении видимой
цифровой подписи в документе. Дополнительные сведения о добавлении цифровой подписи см.
в разделе Добавление и удаление цифровой подписи в документах Office
(http://go.microsoft.com/fwlink/?linkid=187659&clcid=0x419).
По умолчанию во время создания цифровой подписи Office 2010 создает цифровые подписи
XAdES-EPES при использовании самозаверяющего сертификата или сертификата, выданного
центром сертификации.
Уровни цифровых подписей XAdES, основанные на стандарте XML-DSig и доступные в
Office 2010, указаны в следующей таблице. Каждый из этих уровней основан на предыдущем
уровне и содержит возможности всех предшествующих уровней. Например, XAdES-X также
содержит возможности XAdES-EPES, XAdES-T и XAdES-C помимо новых функций уровня
XAdES-X.
329
Уровень подписи
Описание
XAdES-EPES (Base)
Добавляет сведения о сертификате в подпись
XML-DSig. Это уровень по умолчанию для
подписей Office 2010.
XAdES-T (Timestamp)
Добавляет отметку времени в разделы XMLDSig и XAdES-EPES подписи, что позволяет
предотвратить проблемы в случае истечения
срока действия сертификата.
XAdES-C (Complete)
Добавляет ссылки на цепочку сертификатов и
сведения о состояние отзыва.
XAdES-X (Extended)
Добавляет отметку времени в элемент XMLDSig SignatureValue и разделы –T и –C
подписи. Дополнительная отметка времени
обеспечивает неотрекаемость дополнительных
данных.
XAdES-X-L (Extended Long Term)
Хранит фактический сертификат и сведения об
аннулировании сертификата вместе с
подписью. Это позволяет проверять
сертификаты, даже если серверы
сертификации стали недоступными.
Цифровые подписи с отметками времени
Возможность Office 2010 добавлять отметку времени в цифровую подпись позволяет расширить
ее жизненный цикл. Например, если аннулированный сертификат ранее использовался для
создания цифровой подписи, которая содержит отметку времени от надежного сервера
временных штампов, цифровая подпись будет считаться действительной, если она была
создана перед аннулированием сертификата. Для использования отметок времени с цифровыми
подписями требуется выполнить следующие действия.

Настройте сервер отметок времени, соответствующий стандарту RFC 3161.

Используйте параметр групповой политики Указать имя сервера для ввода расположения
сервера отметок времени в сети.
Кроме того, можно настроить дополнительные параметры отметок времени с помощью
следующих параметров групповой политики:

Настроить алгоритм хэширования отметок времени

Задать время ожидания для сервера отметок времени
330
Если не настроить и не включить параметр Настроить алгоритм хэширования отметок
времени, будет использоваться значение по умолчанию SHA1. Если не настроить и не включить
параметр Задать время ожидания для сервера отметок времени, то Office 2010 будет
ожидать ответа от сервера отметок времени в течение 5 секунд.
Настройка цифровых подписей
Помимо параметров групповой политики для настройки параметров, связанных с отметками
времени, есть другие параметры групповой политики, с помощью которых можно задать способы
настройки цифровых подписей и управлениями ими в организации. Имена и описание
параметров указаны в следующей таблице.
Параметр
Описание
Требовать данные OCSP во время создания
подписи
Этот параметр политики позволяет
определить, требует ли Office 2010 данные
аннулирования OCSP для всех цифровых
сертификатов в цепочке при создании
цифровых подписей.
Задать минимальный уровень XAdES для
создания цифровой подписи
Этот параметр политики позволяет определить
минимальный уровень XAdES, используемый
приложениями Office 2010 для создания
цифровой подписи XAdES. Если минимальный
уровень XAdES недоступен, приложение Office
не создает цифровую подпись.
Проверять части XAdES в цифровой
подписи
Этот параметр политики позволяет указать,
выполняет ли Office 2010 проверку частей
XAdES цифровой подписи в документе, если
она есть.
Не разрешать просроченные сертификаты
при проверке подписей
Этот параметр политики позволяет
определить, принимают ли приложения
Office 2010 цифровые сертификаты с истекшим
сроком действия при проверке цифровых
подписей.
Не включать объект ссылки XAdES в
манифест
Этот параметр политики позволяет
определить, должен ли ссылочный объект
XAdES отображаться в манифесте. Для этого
параметра следует задать значение
Отключено, если требуется, чтобы Office 2007
мог читать подписи Office 2010, содержащие
331
Параметр
Описание
контент XAdES; в противном случае Office 2007
будет считать подписи с контентом XAdES
недействительными.
Выбрать алгоритм хэширования цифровой
подписи
Этот параметр политики позволяет настроить
алгоритм хэширования, используемый
приложениями Office 2010 для подтверждения
цифровых подписей.
Задать уровень проверки подписей
Этот параметр политики позволяет установить
уровень проверки, используемый
приложениями Office 2010 при проверке
цифровой подписи.
Требуемый уровень XAdES при создании
подписи
Этот параметр политики позволяет установить
необходимый уровень XAdES при создании
цифровой подписи.
Далее перечислены дополнительные параметры групповой политики, связанные с цифровыми
подписями:

Фильтрация использования ключа

Задать каталог для изображений по умолчанию

Фильтрация расширенного использования ключа

Подписи в формате предыдущей версии

Не отображать поставщики подписи Office

Не отображать пункт меню "Добавить службы подписи"
Дополнительные сведения о каждом параметре групповой политики см. в файлах справки,
которые содержатся в файлах шаблонов администрирования Office 2010. Дополнительные
сведения о файлах шаблонов администрирования см. в статье Обзор групповой политики для
Office 2010.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
332
Планирование параметров
конфиденциальности для Office 2010
Если нужно отменить вывод диалогового окна Добро пожаловать в Microsoft Office 2010,
появляющегося, когда пользователь в первый раз запускает Microsoft Office 2010, можно
настроить параметры конфиденциальности. Диалоговое окно Добро пожаловать в Microsoft
Office 2010, также называемое мастером согласия или диалоговым окном Рекомендуемые
параметры, позволяет пользователям включать и отключать различные Интернет-службы,
помогающие защитить и улучшить приложения Office 2010.
Содержание:

Планирование параметров конфиденциальности

Отмена вывода диалогового окна "Добро пожаловать в Microsoft Office 2010"

Настройка параметров конфиденциальности

Связанные параметры конфиденциальности
Планирование параметров конфиденциальности
Когда пользователь в первый раз запускает Office 2010, появляется следующее диалоговое
окно:
Если пользователь выбирает вариант Использовать рекомендуемые параметры, включаются
нижеперечисленные настройки безопасности и параметры конфиденциальности:
333

Рекомендуемые и важные обновления автоматически устанавливаются для Windows Vista и
последующих операционных систем, а также для приложений Office 2010. Пользователи
получают уведомления о новом необязательном программном обеспечении. Для Windows
XP устанавливаются обновления с высоким приоритетом.

Приложения могут подключаться к Office.com для обновления содержимого справки и
получать нужное содержимое справки для установленных приложений Office 2010.

Приложения могут периодически загружать небольшие файлы, которые помогают
определить проблемы системы и предлагают пользователям отправить корпорации
Майкрософт отчеты об ошибках.

Пользователи участвуют в программе улучшения качества программного обеспечения.
Если пользователи выбирают вариант Установить только обновления, рекомендуемые и
важные обновления автоматически устанавливаются для операционных систем Windows Vista и
последующих операционных систем Windows, а также для приложений Office 2010.
Пользователи получают уведомления о новом необязательном программном обеспечении. Для
Windows XP устанавливаются только обновления с высоким приоритетом. Но параметры
конфиденциальности в приложениях Office 2010 не меняются, то есть действуют параметры
конфиденциальности по умолчанию. Если пользователи выбирают вариант Не вносить
изменения, настройки автоматического обновления в Центре обеспечения безопасности
Windows не меняются, не меняются и параметры конфиденциальности в Office 2010, то есть
действуют параметры конфиденциальности по умолчанию.
Параметрами конфиденциальности по умолчанию для приложений Office 2010 являются
следующие значения:

Приложения Office 2010 не подключаются к Office.com для обновления содержимого справки,
и обнаружение офисных приложений на компьютере пользователя для улучшения
результатов поиска не выполняется.

Приложения Office 2010 не загружают небольшие программы, помогающие диагностировать
проблемы, и сведения сообщений об ошибках не отправляются корпорации Майкрософт.

Пользователи не участвуют в программе улучшения качества программного обеспечения.
Так как диалоговое окно Добро пожаловать в Microsoft Office 2010 позволяет пользователям
включать или отключать различные Интернет-службы, администратор может запретить вывод
этого диалогового окна и настроить эти службы самостоятельно. Если вывод диалогового окна
отменен, рекомендуется включить все Интернет-службы, что можно сделать, настраивая
параметры конфиденциальности.
Примечание.
Сведения о настройке параметров безопасности в центре развертывания Office и
административных шаблонах Office 2010 см. в статье Настройка безопасности Office
2010.
334
Отмена вывода диалогового окна "Добро
пожаловать в Microsoft Office 2010"
Вывод диалогового окна Добро пожаловать в Microsoft Office 2010 можно отменить с
помощью параметра Не отображать диалоговое окно рекомендуемых параметров. Этот
параметр групповой политики находится в разделе Конфигурация
пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office 2010\Прочее редактора
объектов групповой политики. Этот параметр запрещает появление диалогового окна Добро
пожаловать в Microsoft Office 2010 при первом запуске пользователем Office 2010. Если этот
параметр включен, возможность автоматических обновлений остается без изменений, а
параметры безопасности, управляющие интернет-службами, не включаются.
Отмена вывода диалогового окна Добро пожаловать в Microsoft Office 2010 без включения
определенных параметров безопасности отключает ряд возможностей, улучшающих
приложения Office 2010, и может привести к появлению угроз безопасности компьютера.
Следовательно, при включении этого параметра рекомендуется также включить все параметры
безопасности, рассматриваемые в разделе Настройка параметров конфиденциальности.
Этот параметр включается в большинстве организаций, в том числе в организациях со строгими
требованиями к безопасности среды или со средой безопасности, ограничивающей доступ к
Интернету.
Настройка параметров конфиденциальности
Office 2010 предоставляет несколько параметров, позволяющих управлять раскрытием
конфиденциальных сведений. Эти параметры часто называются параметрами
конфиденциальности. Любой из этих параметров можно включить или отключить в соответствии
с требованиями безопасности конкретной организации. Но если вывод диалогового окна Добро
пожаловать в Microsoft Office 2010 отменен, рекомендуется включить все эти параметры.
Имя параметра: Параметры контента в Интернете. Этот параметр групповой политики
находится в разделе "Конфигурация пользователя\Административные
шаблоны\(ADM\ADMX)\Microsoft Office 2010\ Инструменты | Параметры | Общее | Служебные
параметры… \ Контент в Интернете" редактора объектов групповой политики.

Описание: этот параметр управляет возможностью системы справки Office 2010 загружать
содержимое справки из Office.com. Можно выбрать для этого параметра один из трех
возможных вариантов:
Никогда не показывать интернет-контент и точки входа. Система справки не
подключается к Office.com для загрузки контента. Это значение является значением по
умолчанию, если отключен вывод диалогового окна Добро пожаловать в Microsoft
Office 2010 или если пользователь выбрал вариант Не вносить изменения или
Установить только обновления в диалоговом окне Добро пожаловать в Microsoft
Office 2010.
335
По возможности выполнять поиск только в автономном контенте. Система справки не
подключается к Office.com для загрузки контента.
По возможности выполнять поиск в интернет-контенте. Когда компьютер подключен к
Интернету, система справки подключается Office.com для загрузки контента.

Влияние: если этот параметр включен и выбрано значение Никогда не показывать
интернет-контент и точки входа или По возможности выполнять поиск только в
автономном контенте, пользователи не смогут получать доступ к обновленным разделам
справки с помощью системы справки, кроме того, становится невозможным получение
шаблонов из Office.com.

Указания: большинство организаций включают этот параметр и выбирают значение По
возможности выполнять поиск в интернет-контенте. Это рекомендуемая конфигурация
для этого параметра. Но организации со строгими требованиями к безопасности среды или
со средой безопасности, ограничивающей доступ к Интернету, обычно включают этот
параметр и выбирают значение Никогда не показывать интернет-контент и точки входа.
Имя параметра: Автоматически получать небольшие обновления для улучшения надежности.
Этот параметр групповой политики находится в разделе "Конфигурация
пользователя\Административные шаблоны\(ADM\ADMX)\Microsoft Office
2010\Конфиденциальность\Центр управления безопасностью" редактора объектов групповой
политики.
Описание: этот параметр определяет, выполняют ли клиентские компьютеры периодическую
загрузку небольших файлов, позволяющих корпорации Майкрософт диагностировать
проблемы системы.
Влияние: если этот параметр включен, корпорация Майкрософт собирает сведения о
конкретных ошибках и IP-адресе компьютера. Никакие сведения, раскрывающие личность
пользователя, кроме IP-адреса компьютера, запрашивающего обновление, не передаются
корпорации Майкрософт.
Указания: в большинстве организаций этот параметр включен, что является рекомендуемой
конфигурацией. Организации со строгими требованиями к безопасности среды или со средой
безопасности, ограничивающей доступ к Интернету, обычно отключают этот параметр.
Имя параметра : Включить программу улучшения качества ПО. Этот параметр групповой
политики находится в разделе "Конфигурация пользователя\Административные
шаблоны\(ADM\ADMX)\Microsoft Office 2010\Конфиденциальность\Центр управления
безопасностью" редактора объектов групповой политики.
Описание: Этот параметр управляет участием пользователей в программе улучшения качества
программного обеспечения, призванной помочь улучшить Office 2010. Когда пользователи
участвуют в этой программе, приложения Office 2010 автоматически отправляют корпорации
Майкрософт сведения об использовании этих приложений. Эти сведения объединяются с
другими данными программы улучшения качества программного обеспечения, чтобы помочь
корпорации Майкрософт решать проблемы и улучшать продукты и функции, чаще всего
используемые пользователями. Участие в этой программе не предполагает сбора имен
336
пользователей, их адресов или других идентифицирующих данных за исключением IPадреса компьютера, используемого для отправки данных.
Влияние: если этот параметр включен, пользователи участвуют в программе улучшения
качества программного обеспечения.
Указания: в большинстве организаций этот параметр включен, что является рекомендуемой
конфигурацией. Организации со строгими требованиями к безопасности среды или со средой
безопасности, ограничивающей доступ к Интернету, обычно не включают этот параметр.
Связанные параметры конфиденциальности
С раскрытием конфиденциальности в приложениях Office 2010 связаны некоторые другие
параметры. При изменении параметров конфиденциальности из-за использования специальной
среды безопасности может понадобиться учитывать следующие параметры:
Защита метаданных в защищенных паролем файлах Этот параметр определяет,
шифруются ли метаданные при использовании функции "Зашифровать паролем".
Защита метаданных в файлах Office Open XML с управлением правами Этот параметр
определяет, шифруются ли метаданные при использовании функции "Ограничить
разрешения для пользователей".
Предупреждать перед печатью, сохранением и отправкой файла, который содержит
записанные исправления или примечания Этот параметр определяет, будут ли
пользователи получать предупреждения о комментариях и записанных исправлениях перед
печатью, сохранением или отправкой документа.
Показывать скрытую разметку Этот параметр определяет, будут ли при открытии документа
видимы все записанные исправления.
Запретить выполнение инспекторов документов Этот параметр позволяет отключить
модули инспекторов документов.
Примечание.
Последние сведения о параметрах политики см. в книге Microsoft Excel 2010
Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе
Файлы, включенные в данную загрузку страницы загрузки Файлы административных
шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно,
на английском языке).
См. также
Обзор безопасности системы Office 2010
Настройка безопасности Office 2010
337
Планирование параметров блокировки
файлов для Office 2010
В этой статье представлены сведения о параметрах групповой политики и центра
развертывания Office, настройка которых позволяет блокировать определенные типы форматов
файлов для пользователей Microsoft Excel 2010, Microsoft PowerPoint 2010 и Microsoft Word 2010.
Содержание:

Блокировка типов форматов файлов с помощью групповой политики или центра
развертывания Office

Параметры групповой политики и центра развертывания Office
Блокировка типов форматов файлов с помощью
групповой политики или центра развертывания
Office
Путем настройки параметров в групповой политике или центре развертывания Office можно
блокировать определенные типы файлов для пользователей Excel 2010, PowerPoint 2010 и Word
2010, а также определять порядок открытия и сохранения пользователями этих блокированных
файлов. Хотя параметры блокировки форматов файлов позволяют управлять использованием
файлов во многих сценариях, чаще всего эти параметры используются для следующих целей:

Принуждение организации к использованию определенных форматов файлов.

Устранение атак нулевого дня (атаки этого типа происходят до выпуска обновления или
пакета обновления программного обеспечения для устранения общеизвестной уязвимости)
путем временного запрета пользователям открывать определенные типы файлов.

Предотвращение открытия в организации файлов, которые были сохранены в более ранних
и предварительных (бета-) Microsoft Office версиях форматов.
Рекомендации по планированию для настройки параметров
блокировки файлов
При планировании параметров блокировки файлов придерживайтесь следующих общих правил:

Примите решение о том, требуется ли пользователям возможность внесения изменений в
конфигурации:

Если параметры блокировки файлов были настроены с помощью групповой политики
(политики), пользователи не могут изменять конфигурации.
338

Если параметры блокировки файлов были настроены с помощью центра развертывания
Office (предпочтения), пользователи могут вносить изменения в параметры в
пользовательском интерфейсе центра управления безопасностью.

Параметры блокировки открытия не применяются к файлам, открываемым из надежных
расположений.

Параметры блокировки форматов файлов связаны с приложениями. Предотвратить
использование других приложений для открытия или сохранения блокированных типов или
форматов файлов невозможно. Например, можно включить параметры блокировки формата
файлов, предотвращающие открытие пользователями DOT-файлов в Word 2010, но
пользователи смогут открывать DOT-файлы в приложении Microsoft Publisher 2010, которое
использует конвертер для чтения DOT-файла.

Отключение уведомлений на панели сообщений не влияет на параметры блокировки
форматов файлов. Диалоговое окно предупреждения о блокировке формата файлов
выводится раньше любых уведомлений на панели сообщений.
Параметры групповой политики и центра
развертывания Office
В этом разделе описывается порядок доступа к параметрам в групповой политике и центре
развертывания Office, а также перечисляются параметры для Excel 2010, PowerPoint 2010 и
Word 2010.
Порядок доступа к параметрам
Если не указано иное, параметры имеют следующее расположение:

В групповой политике параметры доступны в узле Конфигурация
пользователя/Административные шаблоны редактора объектов групповой политики.
Примечание.
Расположения в редакторе объектов групповой политики, представленные в этой статье,
применяются при вызове редактора объектов групповой политики для редактирования
объекта групповой политики. Для редактирования локальной групповой политики
используйте локальный редактор объектов групповой политики. Для редактирования
доменной групповой политики используйте консоль управления групповой политикой
(GPMC). Каждый из этих инструментов вызывает редактор объектов групповой политики
при редактировании объекта групповой политики. Дополнительные сведения см. в
статьях Принудительное применение параметров с помощью групповой политики в Office
2010 и Обзор групповой политики для Office 2010.

В центре развертывания Office параметры политики доступны на странице Изменение
параметров пользователя.
339
В групповой политике и центре развертывания Office пути к папкам, содержащим параметры
блокировки файлов для Excel 2010, PowerPoint 2010 и Word 2010, параллельны:

Параметры блокировки файлов Excel 2010:


Параметры блокировки файлов PowerPoint 2010:


Microsoft Excel 2010\Excel Options\Security\Trust Center\File Block Settings
Microsoft PowerPoint 2010\PowerPoint Options\Security\Trust Center\File Block
Settings
Параметры блокировки файлов Word 2010:

Microsoft Word 2010\Word Options\Security\Trust Center\File Block Settings
Примечание.
По умолчанию пользователи могут задать параметры блокировки файлов по умолчанию
в пользовательском интерфейсе центра безопасности для Excel 2010, PowerPoint 2010 и
Word 2010 (на вкладке Файл последовательно выберите Параметры, Центр
управления безопасностью, Параметры центра управления безопасностью и
Параметры блокировки файлов). Можно отключить параметры блокировки файлов,
заданные в центре управления безопасностью, настроив параметры через групповую
политику. В случае настройки параметров через центр развертывания Office для
пользователей сохраняется возможность указать поведение типа файлов через
пользовательский интерфейс центра управления безопасностью. Дополнительные
сведения см. в статье, в которой описывается, что такое блокировка файлов (Возможно,
на английском языке) (http://go.microsoft.com/fwlink/?linkid=195498&clcid=0x419)
(Возможно, на английском языке).
О параметре "Задать поведение заблокированных файлов по
умолчанию"
Параметр "Задать поведение заблокированных файлов по умолчанию" задает режим открытия
заблокированных файлов (например: не открывать, открыть в режиме защищенного просмотра
или открыть в режиме защищенного просмотра, но с возможностью редактирования). Если этот
параметр включен, заданное поведение заблокированных файлов по умолчанию применяется ко
всем форматам файлов, заблокированным пользователями в пользовательском интерфейсе
центра управления безопасностью. Кроме того, оно применяется только к определенному
формату файлов, если включен параметр данного формата файлов (дополнительные сведения
о параметрах отдельных форматов файлов см. в таблицах данной статьи) и выбран вариант
Блокировать открытие и сохранение, использовать политику открытия. В противном
случае настройка параметра отдельного формата файла переопределяет настройку параметра
Задать поведение заблокированных файлов по умолчанию для соответствующего формата
файлов.
Примечание.
340
Параметры в разделе Поведение при открытии для выбранных типов
пользовательского интерфейса центра управления безопасностью, в группе Блокировка
файлов, сопоставлены непосредственно со значениями параметра Задать поведение
заблокированных файлов по умолчанию. Можно отключить эти параметры
пользовательского интерфейса для пользователей, включив параметр "Задать
поведение заблокированных файлов по умолчанию" в групповой политике.
Параметры Excel 2010
В следующей таблице приведены параметры блокировки файлов в групповой политике и центре
развертывания Office, которые можно настроить для пользователей Excel 2010. За исключением
параметра Задать поведение заблокированных файлов по умолчанию имена параметров
соответствуют типам файлов, которые они могут блокировать.
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Задать поведение
заблокированных
файлов по
умолчанию


Заблокированные
форматы файлов,
заданные
пользователями в
пользовательском
интерфейсе центра
управления
безопасностью
Отдельные типы
файлов, если этот
параметр включен и
выбрано
Блокировать
открытие и
сохранение,
использовать
политику открытия
Примечание.
Параметры
отдельных типов
файлов
переопределяют

Заблокированные
файлы не
открываются.

Заблокированные
файлы
открываются в
режиме
защищенного
просмотра и
недоступны для
изменения.

Заблокированные
файлы
открываются в
режиме
защищенного
просмотра и
доступны для
изменения.
Заблокированные
файлы не
открываются
(пользователи не
могут открывать
заблокированные
файлы).
341
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
этот параметр.
Книги и шаблоны
Excel 2007 и более
поздних версий
*.xlsx

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
*.xltx
Тип формата
файлов не
блокирован.
342
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.
Книги и шаблоны
Excel 2007 и более
поздних версий с
поддержкой
макросов

*.xlsm

*.xltm

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
Тип формата
файлов не
блокирован.
343
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
344
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
этого типа
включена.
Файлы надстроек
Excel 2007 и более
поздних версий
Двоичные книги
Excel 2007 и более
поздних версий


*.xlam
*.xlsb

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
Тип формата
файлов не
блокирован.
Тип формата
файлов не
блокирован.
345
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
346
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Файлы электронных
таблиц
OpenDocument

*.ods

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
Тип формата
файлов не
блокирован.
347
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов этого типа,
и файл не
открывается.
Файлы надстроек
Excel 97–2003

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
Тип формата
файлов не
блокирован.
348
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Книги и шаблоны
Excel 97–2003

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
Тип формата
файлов не
блокирован.
349
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов по
умолчанию.
Книги и шаблоны
Excel 95-97

*.xls

*.xla

*.xlt

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.
Тип формата
файлов не
блокирован.
350
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:

*.xlm

*.xlw

*.xlb

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
351
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Книги Excel 95

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
Тип формата
файлов не
блокирован.
352
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.
Книги Excel 4

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
Тип формата
файлов не
блокирован.
353
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
354
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Листы Excel 4

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
Тип формата
файлов не
блокирован.
355
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.
Листы Excel 3

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
Тип формата
файлов не
блокирован.
356
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов по
умолчанию.
Листы Excel 2

*.xls

*.xla

*.xlt

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.
Тип формата
файлов не
блокирован.
357
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:

*.xlm

*.xlw

*.xlb

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
358
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Файлы листов
макросов и
надстроек Excel 4

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.
Тип формата
файлов не
блокирован.
359
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Файлы листов
макросов и
надстроек Excel 3

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
Тип формата
файлов не
блокирован.
360
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
361
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Файлы листов
макросов и
надстроек Excel 2

*.xls

*.xla

*.xlt

*.xlm

*.xlw

*.xlb

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
Тип формата
файлов не
блокирован.
362
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
отключена.
Веб-страницы и
таблицы XML Excel
2003

*.mht

*.mhtml

*.htm

*.html

*.xml

*.xlmss

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
Тип формата
файлов не
блокирован.
363
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов по
умолчанию.
XML-файлы

*.xml

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.
Тип формата
файлов не
блокирован.
364
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Текстовые файлы

*.txt

*.csv

*.prn

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
Тип формата
файлов не
блокирован.
365
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Файлы надстроек
Excel
Файлы dBase III / IV


*.xll (*.dll)
*.dbf

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Тип формата
файлов не
блокирован.
Тип формата
файлов не
блокирован.
366
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Файлы запросов
Microsoft Office

*.iqy

*.dqy

*.oqy

*.rqy

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Тип формата
файлов не
блокирован.
367
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.
Файлы подключений 
к данным Microsoft
Office
*.odc

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
Тип формата
файлов не
блокирован.
368
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Другие файлы
источников данных
Файлы автономных
кубов

*.udl

*.dsn

*.mdb

*.mde

*.accdb

*.accde

*.dbc

*.uxdc

*.cub

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
Тип формата
файлов не
блокирован.
Тип формата
файлов не
блокирован.
369
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Файлы Dif и Sylk

*.dif

*.slk

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
Тип формата
файлов не
блокирован.
370
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов по
умолчанию.
Конвертеры
прежних версий для
Excel

Все форматы файлов,
открываемые с
помощью конвертера

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
Тип формата
файлов не
блокирован.
371
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
изменения файлов
этого типа
отключена.
Конвертеры

Microsoft Office Open
XML для Excel
Все форматы файлов,
открываемые с
помощью конвертера
OOXML

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
Тип формата
файлов не
блокирован.
372
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
373
Параметры PowerPoint 2010
В следующей таблице приведены параметры блокировки файлов в групповой политике и центре
развертывания Office, которые можно настроить для пользователей PowerPoint 2010. За
исключением параметра Задать поведение заблокированных файлов по умолчанию имена
параметров соответствуют типам файлов, которые они могут блокировать.
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Задать поведение
заблокированных
файлов по
умолчанию


Заблокированные
форматы файлов,
заданные
пользователями в
пользовательском
интерфейсе центра
управления
безопасностью
Отдельные типы
файлов, если этот
параметр включен и
выбрано
Блокировать
открытие и
сохранение,
использовать
политику
открытия


Заблокированные
файлы не
открываются.
Заблокированные
файлы не
открываются
(пользователи не
Заблокированные
файлы открываются могут открывать
заблокированные
в режиме
файлы).
защищенного
просмотра и
недоступны для
изменения.

Заблокированные
файлы открываются
в режиме
защищенного
просмотра и
доступны для
изменения.

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
Примечание.
Параметры отдельных
типов файлов
переопределяют этот
параметр.
Презентации,
демонстрации,
шаблоны и
надстройки
PowerPoint 2007 и
более поздних

*.pptx

*.pptm

*.potx

*.ppsx

*.ppam
Тип формата файлов
не блокирован.
374
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
версий

*.thmx

*.xml
этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и файл
не открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
375
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
включена.
Файлы презентаций
OpenDocument

*.odp

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Тип формата файлов
не блокирован.
376
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и файл
не открывается.
Файлы презентаций,
демонстраций,
шаблонов и
надстроек
PowerPoint 97–2003

*.ppt

*.pot

*.pps

*.ppa

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
этого типа
Тип формата файлов
не блокирован.
377
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и файл
не открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
378
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
включена.
Веб-страницы

*.mht

*.mhtml

*.htm

*.html

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
Тип формата файлов
не блокирован.
379
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие, так и
сохранение файлов
этого типа, и файл
не открывается.
Файлы структуры

*.rtf

*.txt

*.doc

*.wpd

*.docx

*.docm

*.wps

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
этого типа
заблокировано.
Тип формата файлов
не блокирован.
380
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Конвертеры прежних
версий для
PowerPoin

Файлы презентаций
более ранних
версий, чем
PowerPoint 97

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
Тип формата файлов
не блокирован.
381
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
заблокированных
файлов по
умолчанию.
Графические
фильтры

*.jpg

*.png

*.tif

Блокировать.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и файл
не открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов не
блокируется.
Тип формата файлов
не блокирован.
382
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Конвертеры Microsoft
Office Open XML для
PowerPoint

*.bmp

*.wmf

*.emf

Все форматы
файлов,
открываемые с
помощью
конвертера OOXML

Блокировать
сохранение.
Сохранение файлов
этого типа
заблокировано.

Не блокировать.
Этот тип файлов не
блокируется.

Блокировать
сохранение.
Сохранение файлов
этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение файлов
этого типа. Файл
открывается на
основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и файл
не открывается.

Открыть в режиме
Тип формата файлов
не блокирован.
383
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение файлов
этого типа, и
возможность
изменения файлов
этого типа
включена.
Параметры Word 2010
В следующей таблице приведены параметры блокировки файлов в групповой политике и центре
развертывания Office, которые можно настроить для пользователей Word 2010. За исключением
параметра Задать поведение заблокированных файлов по умолчанию имена параметров
соответствуют типам файлов, которые они могут блокировать.
384
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Задать поведение
заблокированных
файлов по
умолчанию


Заблокированные
форматы файлов,
заданные
пользователями в
пользовательском
интерфейсе центра
управления
безопасностью
Отдельные типы
файлов, если этот
параметр включен и
выбрано
Блокировать
открытие и
сохранение,
использовать
политику открытия

Заблокированные
файлы не
открываются.

Заблокированные
файлы
открываются в
режиме
защищенного
просмотра и
недоступны для
изменения.

Заблокированные
файлы
открываются в
режиме
защищенного
просмотра и
доступны для
изменения.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
Примечание.
Параметры
отдельных типов
файлов
переопределяют
этот параметр.
Документы и
шаблоны Word 2007
и более поздних
версий

*.docx

*.dotx

*.docm

*.dotm

*.xml (Word Flat Open
XML)
Заблокированные
файлы не
открываются
(пользователи не
могут открывать
заблокированные
файлы).
Тип формата
файлов не
блокирован.
385
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
386
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Текстовые файлы
OpenDocument

*.odt

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
Тип формата
файлов не
блокирован.
387
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открывается.
Двоичные
документы и
шаблоны Word 2007
и более поздних
версий

*.doc

*.dot

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
Тип формата
файлов не
блокирован.
388
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
389
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Двоичные
документы и
шаблоны Word 2003

*.doc

*.dot

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Тип формата
файлов не
блокирован.
390
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.
XML-документы
Word 2003 и
обычные XMLдокументы

*.xml

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
Тип формата
файлов не
блокирован.
391
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
392
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
изменения файлов
этого типа
включена.
Двоичные
документы и
шаблоны Word XP

*.doc

*.dot

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
Тип формата
файлов не
блокирован.
393
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
и возможность
изменения файлов
этого типа
отключена.
Двоичные
документы и
шаблоны Word 200

*.doc

*.dot

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Тип формата
файлов не
блокирован.
394
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Двоичные
документы и
шаблоны Word 97

*.doc

*.dot

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
Тип формата
файлов не
блокирован.
395
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
396
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Двоичные
документы и
шаблоны Word 95

*.doc

*.dot

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
Тип формата
файлов не
блокирован.
397
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.
Двоичные
документы и
шаблоны Word 6.0

*.doc

*.dot

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
Тип формата
файлов не
блокирован.
398
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
поведение
заблокированных
файлов по
умолчанию.
Двоичные

*.doc

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Тип формата
399
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
документы и
шаблоны Word 2.0 и
более ранних
версий

Этот тип файлов
не блокируется.
*.dot

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
файлов не
блокирован.
400
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.
Веб-страницы

*.htm

*.html

*.mht

*.mhtml

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.
Тип формата
файлов не
блокирован.
401
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
RTF-файлы

*.rtf

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Тип формата
файлов не
блокирован.
402
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.
403
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
Обычные текстовые
файлы
*.txt

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
Тип формата
файлов не
блокирован.
404
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
умолчанию.
Конвертеры
прежних версий для
Word

Все форматы файлов,
открываемые с
помощью конвертера

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
Тип формата
файлов не
блокирован.
405
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.
Конвертеры Office
Open XML для Word

Все форматы файлов,
открываемые с
помощью конвертера
OOXML

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
включена.

Не блокировать.
Этот тип файлов
не блокируется.

Блокировать
сохранение.
Сохранение
файлов этого типа
заблокировано.

Блокировать
открытие и
сохранение,
использовать
политику открытия.
Заблокировано как
открытие, так и
сохранение
Тип формата
файлов не
блокирован.
406
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
файлов этого типа.
Файл открывается
на основе значения
параметра Задать
поведение
заблокированных
файлов по
умолчанию.

Блокировать.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и файл не
открывается.

Открыть в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
этого типа
отключена.

Разрешить
редактирование и
открытие в режиме
защищенного
просмотра.
Заблокировано как
открытие, так и
сохранение
файлов этого типа,
и возможность
изменения файлов
407
Имя параметра
Расширение формата
Если этот параметр
Если этот параметр
файла
включен, можно
отключен или не
выбрать один из
настраивается вами
следующих вариантов:
этого типа
включена.
См. также
Планирование обеспечения безопасности для Office 2010
Обзор групповой политики для Office 2010
Принудительное применение параметров с помощью групповой политики в Office 2010
Office Customization Tool in Office 2010 (на английском языке)
408
Планирование управления правами на
доступ к данным в Office 2010
На многих предприятиях для защиты уязвимой информации, например, медицинских и
финансовых документов сотрудников, платежных ведомостей и персональных данных
используется только ограничение доступа к сетям или компьютерам, где все это хранится.
Технология управления правами на доступ к данным (IRM), которая применяется в Microsoft
Office 2010, помогает организациям и сотрудникам информационных центров обеспечить
электронный контроль уязвимой информации методом выбора разрешений на доступ и
использование документов и сообщений.
В этой теме кратко описана технология IRM и принципы ее работы в приложениях Office, а также
приведены ссылки на дополнительную информацию о настройке и установке необходимых
серверов и программного обеспечения внедрения IRM в Office 2010.
Содержание:

Обзор IRM

Как IRM работает в Office 2010

Настройка IRM для Office 2010

Настройка параметров службы управления правами на доступ к данным в Office 2010

Настройка параметров службы управления правами на доступ к данным в Outlook 2010
Обзор IRM
IRM — это разработанная корпорацией Майкрософт устойчивая технология файлового уровня,
с помощью разрешений и проверки подлинности помогающая предотвратить печать,
переадресацию или копирование уязвимой информации посторонними лицами. Ограниченные с
помощью этой технологии разрешения на доступ к документу или сообщению сохраняются в нем
как часть содержимого.
Примечание.
Возможность создавать содержимое или сообщения электронной почты с
ограниченными разрешениями, используя управление правами на доступ к данным,
доступна в выпусках Office 2010: Microsoft Office профессиональный 2010 и Microsoft
Office профессиональный плюс 2010. IRM Управление правами на доступ к данным также
доступно в автономных версиях приложений Microsoft Excel 2010, Microsoft Outlook 2010,
Microsoft PowerPoint 2010, Microsoft InfoPath 2010 и Microsoft Word 2010. Контент IRM,
созданный в Office 2010, можно просматривать в Microsoft Office 2003, системе Microsoft
Office 2007 или Office 2010.
409
Поддержка IRM в Office 2010 помогает организаций и сотрудникам информационных центров
решить две фундаментальные задачи:

Alt+1 Ограничение разрешений на доступ к уязвимой информации IRM помогает
предотвратить несанкционированный доступ и повторное использованием уязвимой
информации. Для защиты уязвимой интеллектуальной собственности корпорации
используют брандмауэры, имена для входа и другие сетевые технологии. Основной
недостаток этой технологии в том, что имеющие доступ к информации зарегистрированные
пользователи могут ее передать посторонним. Это потенциальная брешь в политике
безопасности.

Информационная политика, контроль и целостность Сотрудники информационных
центров часто работают с конфиденциальный или уязвимой информацией. При
использовании технологии IRM сотрудникам не придется полагаться на других лиц в
надежде, что уязвимые материалы не выйдут за стены компании. IRM не позволяет
передавать, копировать или печатать конфиденциальные данные, помогая отключить эти
функции в документах и сообщениях с использованием ограниченных разрешений.
Менеджерам отдела информационных технологий (ИТ) IRM помогает внедрять существующие
корпоративные политики, относящиеся к конфиденциальности документов, рабочих процессов и
электронной почты. Для исполнительных директоров и начальников охраны IRM снижает риск
попадания важнейшей информации компании в руки посторонних, как случайно или по
незнанию, так и злонамеренно.
Как IRM работает в Office 2010
Пользователи Office применяют к сообщениям или документам разрешения с использованием
параметров ленты, например, команды Ограничить редактирование из вкладки Ознакомиться
в Word. Доступные параметры защиты зависят от политик разрешений, настроенных в
организации. Политики разрешений — это группы прав IRM, которые применяются совместно,
как одна политика. Кроме того, в Office 2010 его несколько готовых групп прав, например, Не
пересылать в Microsoft Outlook 2010.
Использование IRM с сервером RMS
Обычно для внедрения IRM в организации необходим доступ к серверу управления правами с
установленными службами управления правами на доступ к данным Microsoft Windows (RMS)
для Windows Server 2003 или службы управления правами Active Directory (AD RMS) для
Windows Server 2008. (Кроме того, IRM можно использовать, применяя службу Windows Live ID
для проверки подлинности разрешений, как описано в следующем разделе). Разрешения
вводятся с использованием проверки подлинности, обычно через службу каталогов Microsoft
Active Directory. Windows Live ID может проверять подлинность разрешений, Active Directory не
внедрена.
Пользователям не нужно устанавливать Office для чтения защищенных документов и
сообщений. Для пользователей, которые применяют Windows XP и предыдущие версии,
410
средство просмотра Excel (http://go.microsoft.com/fwlink/?linkid=184596&clcid=0x419) и средство
просмотра Word (http://go.microsoft.com/fwlink/?linkid=184595&clcid=0x419) позволяют
пользователям Windows с нужными разрешениями читать документы с ограниченными
разрешениями, не используя программное обеспечение Office. Пользователи, применяющие
Windows XP и более ранние версии, могут использовать Microsoft Outlook Web App или
надстройку управления правами для Internet Explorer
(http://go.microsoft.com/fwlink/?linkid=82926&clcid=0x419), для чтения сообщений электронной
почты с ограниченными разрешениями, не применяя программы Outlook. Для пользователей
Windows 7 Windows Vista с пакетом обновлений 1 (SP1), Windows Server 2008 или Windows
Server 2008 R2 эта функциональность уже доступна. клиентское программное обеспечение
службы управления правами Active Directory уже включено в операционную систему.
В Office 2010 компании могут создавать политики разрешений, которые используются в
приложениях Office. Например, можно определить политику разрешений с именем Для
служебного пользования, которая указывает, что документы и сообщения электронной почты,
к которым применяется политика, могут открывать только пользователи компании. Ограничений
по количеству создаваемых политик разрешений нет.
Примечание.
Службы Windows SharePoint Services 3.0 поддерживают использование технологии IRM
для документов, которые хранятся в библиотеках документов. Используя IRM в Windows
SharePoint Services, можно определить возможные действия пользователей с
документами, которые открываются из библиотеки Windows SharePoint Services 3.0. Это
отличается от от применения IRM к документам, которые хранятся на клиентских
компьютерах, когда владелец может выбирать права, присваиваемые каждому
пользователю документа. Дополнительные сведения об использовании IRM в
библиотеках документов см. в разделе Планирование библиотек документ (службы
Windows SharePoint Services) (http://go.microsoft.com/fwlink/?linkid=183051&clcid=0x419).
С помощью службы AD RMS в Windows Server 2008 пользователи могут обмениваться
защищенными документами между компаниями с федеративным отношением доверия.
Дополнительные сведения см. в разделах Обзор службы управления правами Active Directory
(http://go.microsoft.com/fwlink/?linkid=183051&clcid=0x419) и Федеративная служба управления
правами Active Directory (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183053&clcid=0x419) (Возможно, на английском языке).
Кроме того, благодаря службам AD RMS Microsoft Exchange Server 2010 обеспечивает новую
функциональность электронной почты с защитой IRM, включая защиту AD RMS для единой
системы обмена сообщениями и правил защиты Microsoft Outlook, которые могут автоматически
применять защиту IRM к сообщениям в Outlook 2010 перед тем, как они покидают клиент
Microsoft Outlook. Дополнительные сведения см. в разделах Новые возможности Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=183062&clcid=0x419) и Общие сведения об управлении
правами на доступ к данным: справка Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=183063&clcid=0x419).
411
Дополнительные сведения об установке и настройке серверов RMS см. в статьях Службы
управления правами Windows Server 2003
(http://go.microsoft.com/fwlink/?linkid=73121&clcid=0x419) и Службы управления правами Active
Directory Windows Server 2008 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=180006&clcid=0x419) (Возможно, на английском языке).
Использование IRM без локального сервера RMS
В типовой установке Windows Server 2003 with RMS or Windows Server 2008 с AD RMS со
службой управления правами Windows разрешения IRM можно использовать в Office 2010. Если
сервер RMS не настроен в одном домене с пользователями, служба Windows Live ID может
проверять подлинность разрешений вместо Active Directory. Для подключения к серверам
Windows Live ID пользователям необходим доступ в Интернет.
Учетные записи Windows Live ID можно использовать для присвоения разрешений
пользователям, которым нужен доступ к содержимому защищенных файлов. При использовании
учетных записей Windows Live ID для проверки подлинности каждому пользователю нужно
предоставить отдельное разрешение на доступ к файлу. Присвоить его группе пользователей
нельзя.
Настройка IRM для Office 2010
Для применения разрешений IRM к документам или сообщениям электронной почты необходимо
следующее:

Доступ к RMS для Windows Server 2003 или AD RMS для Windows Server 2008 или выше, для
проверки подлинности разрешений. Вместо этого проверку подлинности можно выполнить с
помощью веб-службы Windows Live ID.

Клиентское программное обеспечение службы управления правами (RM). Клиентское
программное обеспечение службы управления правами включено в Windows Vista и более
поздние версии или доступно как надстройка для Windows XP и Windows Server 2003.

Microsoft Office 2003, система Microsoft Office 2007 или Office 2010. Только определенные
версии Office позволяют создавать разрешения IRM.
Настройка доступа к серверу RMS
Windows RMS или AD RMS управляет лицензированием и другими административными
функциями сервера, который обеспечивает управление правами по технологии IRM. Клиентская
программа с поддержкой RMS, например, Office 2010, позволяет пользователям создавать и
просматривать защищенное содержимое.
Дополнительные сведения о том, как работает служба RMS и как устанавливать и настраивать
сервер RMS, см. в статьях Служба управления правами на доступ к данным (RMS) в Windows
Server 2003 (http://go.microsoft.com/fwlink/?linkid=73121&clcid=0x419), Служба управления
правами Active Directory в Windows Server 2008 (Возможно, на английском языке)
412
(http://go.microsoft.com/fwlink/?linkid=180006&clcid=0x419) (Возможно, на английском языке) и
Общие сведения об управлении правами на доступ к данным: справка Exchange 2010
(http://go.microsoft.com/fwlink/?linkid=183062&clcid=0x419).
Установка клиентского программного обеспечения управления
правами
Клиентское программное обеспечение RM включено в Windows Vista и более поздние версии
Windows. Отдельная установка и конфигурация необходимого клиентского программного
обеспечения RMS требуется для Windows XP и Windows Server 2003 с целью взаимодействия со
службами RMS AD RMS на компьютере под управлением Windows или службой Windows Live ID
в Интернете.
Загрузитепакет обновления RMS Client Service Pack
(http://go.microsoft.com/fwlink/?linkid=82927&clcid=0x419), чтобы пользователи Windows XP и
Windows Server 2003 смогли запускать приложения, ограничивающие разрешения на основе
технологий RMS.
Настройка и развертывание политик разрешений
Как и в Office 2003, в Office 2007 и Office 2010 есть готовые группы прав, которые пользователи
могут применять к документам и сообщениям, например, Чтение и Изменение в Microsoft Word
2010, Microsoft Excel 2010 и Microsoft PowerPoint 2010. Кроме того, можно создать
пользовательские политики разрешений IRM для сотрудников организации.
Создание шаблонов прав и управление ими осуществляется с помощью сайта
администрирования на сервере AD RMS. Дополнительные сведения о создании, редактировании
и публикации пользовательских шаблонов политик разрешений см. в статьях Служба
управления правами на доступ к данным (RMS) в Windows Server 2003
(http://go.microsoft.com/fwlink/?linkid=73121&clcid=0x419) и Пошаговая инструкция по
развертыванию шаблонов политики службы AD RMS в Windows Server 2008
(http://go.microsoft.com/fwlink/?linkid=183068&clcid=0x419). Сведения о правилах защиты Outlook в
Exchange Server 2010 см. в статье Общие сведения о правилах защиты Outlook: справка
Exchange 2010 (http://go.microsoft.com/fwlink/?linkid=183067&clcid=0x419).
Права, которые можно включить в шаблоны политики разрешений для Office 2010, перечислены
в следующих разделах.
Права на управление разрешениями
Каждое из перечисленных в следующей таблице прав на управление разрешениями службы
управления правами на доступ к данным может быть реализовано приложениями Office 2010,
настроенными в сети, в которой работает сервер, на котором запущена служба RMS или AD
RMS.
413
Право службы управления правами на доступ к
Описание
данным
Полный доступ
Предоставляет пользователю все
перечисленные ниже права, а также право
вносить изменения в разрешения, связанные с
содержимым. Истечение срока действия не
применимо к пользователям, имеющим право
полного доступа.
Просмотр
Позволяет пользователю открывать
содержимое управления правами на доступ к
данным. Это право соответствует праву
доступа на чтение в пользовательском
интерфейсе Office 2010.
Изменение
Позволяет пользователю изменять
содержимое управления правами на доступ к
данным.
Сохранение
Позволяет пользователю сохранять файл.
Извлечение
Позволяет пользователю копировать любую
часть файла и вставлять эту часть файла в
рабочую область другого приложения.
Экспорт
Позволяет пользователю удалить ограничения
из контента и сохранить его в другом месте или
другом формате, который поддерживает IRM.
Печать
Позволяет пользователю печатать содержимое
файла.
Разрешить макросы
Позволяет пользователю запускать макросы
применительно к содержимому файла.
Перенаправление
Позволяет получателю сообщения электронной
почты пересылать сообщение с защитой IRM,
добавлять или удалять получателей из строк
"Кому:" и "Копия:".
Ответ
Позволяет получателям электронной почты
отвечать на сообщения электронной почты, к
которым применяется управление правами на
доступ к данным.
Ответить всем
Позволяет получателям сообщений
414
Право службы управления правами на доступ к
Описание
данным
электронной почты отвечать всем
пользователям, включенным в поля "Кому" и
"Копия" сообщения электронной почты, к
которому применяется управление правами на
доступ к данным.
Просмотр прав
Предоставляет пользователю разрешение
просматривать связанные с файлом права.
Система Office не использует это право.
Предварительно определенные группы разрешений
Office 2010 предоставляет следующие предварительно определенные группы прав, которые
пользователи могут выбирать при создании содержимого, защищенного службой управления
правами на доступ к данным. Параметры доступны в диалоговом окне Разрешение для Word
2010, Excel 2010 и PowerPoint 2010. В приложении Office щелкните вкладку Файл, выберите
Сведения, нажмите кнопку Защитить документ, выберите Разрешение ограничения по
людям, щелкните Ограничить доступ и затем выберите Ограничение разрешения для этого
документа, чтобы включить параметры разрешений, перечисленные в следующей таблице.
Предварительно определенная группа службы
Описание
управления правами на доступ к данным
Чтение
Пользователи, получившие разрешение на
чтение, имеют только право на просмотр.
Изменение
Пользователи, получившие разрешение на
изменение, имеют права на просмотр,
редактирование, извлечение и сохранение.
В Outlook 2010 пользователи могут выбрать следующую предварительно заданную группу прав
при создании элемента электронной почты. Для доступа к этому параметру в сообщении
электронной почты щелкните вкладку Файл, Сведения и выберите Задать разрешения.
Предварительно определенная группа службы
Описание
управления правами на доступ к данным
Не пересылать
В приложении Outlook автор сообщения
415
Предварительно определенная группа службы
Описание
управления правами на доступ к данным
электронной почты, защищенных службой
управления правами на доступ к данным,
может применить разрешение "Не пересылать"
к пользователям, указанным в полях "Кому",
"Копия" и "Скрытая копия". Это разрешение
включает права на просмотр, изменение, ответ
и ответ всем.
Дополнительные разрешения
Другие разрешения службы управления правами на доступ к данным можно определить в
дополнительном диалоговом окне Разрешения приложений Word 2010, Excel 2010 и PowerPoint
2010. В первом диалоговом окне Разрешение щелкните Дополнительные параметры.
Например, пользователи могут определить дату истечения срока действия, позволить другим
пользователям печатать или копировать содержимое и т. д.
Кроме того, приложение Outlook по умолчанию разрешает просматривать сообщения в браузере,
поддерживающим управление правами.
Развертывание шаблонов политики прав
По завершении создания шаблонов политики прав поместите их на общий ресурс сервера, где
все пользователи могут получить доступ к этим шаблонам или копировать их в локальные папки
на своих компьютерах. Параметры политики службы управления правами на доступ к данным,
доступные в шаблоне групповой политики Office (Office 14.adm), можно настроить таким образом,
чтобы указывать расположение хранения шаблонов политики предоставления прав (локальное
или на доступном общем ресурсе сервера). Дополнительные сведения см. в статье Настройка
управления правами на доступ к данным в Office 2010.
Настройка параметров службы управления
правами на доступ к данным в Office 2010
Можно заблокировать множество параметров для настройки службы управления доступом к
данным с помощью шаблона групповой политики Office (Office14.adm). Также можно
использовать центр развертывания Office для настройки стандартных параметров, при этом
пользователь может менять параметры. Кроме того, есть параметры конфигурации службы IRM,
которые можно задать только с помощью разделов реестра.
416
Параметры службы управления доступа к данным Office 2010
В следующей таблице перечислены параметры IRM, которые можно выбрать в групповой
политике и с помощью OCT. В групповой политике эти параметры размещены в разделе
Конфигурация пользователя\Административные шаблоны\Microsoft Office
2010\Управление ограниченными разрешениями. Параметры центра развертывания Office
располагаются в соответствующих разделах на странице Изменение пользовательских
настроек центра развертывания Office.
Параметр IRM
Описание
Время ожидания Active Directory для запроса
одной записи для расширения группы
Укажите время ожидания при передаче
запроса к записи Active Directory при
расширении группы.
URL-адрес запроса дополнительных
разрешений
Укажите место, где пользователь сможет
получить дополнительную информацию о
доступе к содержимому IRM.
Разрешает пользователям предыдущих версий
Office чтение в браузерах.
Предоставление пользователям без Office 2010
разрешения просматривать содержимое с
настроенными правами с помощью надстройки
управления правами для Windows Internet
Explorer.
Всегда развертывать группы в Office при
ограничении разрешений для документов
Когда пользователи применяют разрешения к
документу, выбирая имя группы в диалоговом
окне Разрешения, имя группы автоматически
расширяется для отображения всех членов
группы.
Пользователи всегда должны подключаться
для проверки разрешений
Пользователи, которые открывают документ
Office с настроенными правами, должны
подключиться к Интернет или локальной сети и
с помощью RMS или Windows Live ID
подтвердить, что у них есть действующая
лицензия IRM.
Отключение службы Microsoft Passport для
контента с ограниченными разрешениями
Если включено, пользователи не могут
открывать контент, созданный с помощью
учетной записи Windows Live ID с проверкой
подлинности.
Никогда не разрешать пользователям
указывать группы при ограничении разрешений
Когда пользователи выбирают группу в
диалоговом окне Разрешения, возвращается
сообщение об ошибке: ''Невозможно
417
Параметр IRM
Описание
для документов
опубликовать содержимое в списках рассылки.
Можно только указать адреса электронной
почты отдельных пользователей''.
Не позволять пользователям изменять
Если включено, пользователи могут
разрешения в контенте с управлением правами пользоваться содержимым, в которое уже
включены разрешения IRM, но не могут
применять разрешения IRM к новому
содержимому или редактировать права на
доступ к документу.
Определение путь политики разрешения
Отображение в диалоговом окне Разрешение
шаблонов политики разрешений из указанной
папки.
Отключить интерфейс пользователя службы
управления доступом к данным
Отключение всех параметров, относящихся к
управлению правами и включенных в
интерфейс всех приложений Office.
URL-адрес для размещения шаблонов
документов, отображаемых, если приложения
не распознают документы с управлением к
доступом к данным
Предоставление пути папки с настроенными
текстовыми шаблонами оболочки, которые
будут использоваться предыдущими версиями
Office, которые не поддерживают контент с
управлением правами.
Дополнительные сведения о настройке этих параметров см. в статье Настройка управления
правами на доступ к данным в Office 2010.
Параметры раздела реестра службы управления доступом к
данным Office 2010
Следующие параметры реестра IRM хранятся в разделе
HKCU\Software\Microsoft\Office\14.0\Common\DRM.
Запись реестра
Тип
Значение
Описание
CorpCertificationServer
Строка
URL-адрес
корпоративного
сервера сертификации
Обычно Active
Directory используется
для указания сервера
RMS. Этот параметр
позволяет
переопределить
418
Запись реестра
Тип
Значение
Описание
расположение
хранения Windows
RMS, которое указано
в Active Directory для
целей сертификации.
RequestPermission
DWORD
1 = в поле стоит
флажок.
0 = флажка нет.
Этот раздел реестра
переключает
выбранное по
умолчанию состояние
флажка
Пользователи могут
запрашивать
дополнительные
разрешения от.
CloudCertificationServer
Строка
URL-адрес
пользовательского
сервера сертификации
из глобальной сети
Отсутствуют
соответствующие
параметры групповой
политики.
CloudLicenseServer
Строка
URL-адрес сервера
лицензирования
Отсутствуют
соответствующие
параметры групповой
политики.
DoNotUseOutlookByDefault
DWORD
0 = Outlook
используется
Диалоговое окно
Разрешение
использует Outlook для
проверки введенного
адреса электронной
почты, введенного в
этом диалоговом окне.
После этого при
наличии ограниченных
разрешений
запускается экземпляр
Outlook. Раздел
позволяет отключить
параметр.
1 = Outlook не
используется
419
Следующий параметр реестра IRM находится в разделе
HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers.
Запись реестра
Тип
Значение
Описание
LicenseServers
Раздел/куст.
Содержит
значения
DWORD с
именем сервера
лицензий.
Устанавливает
URL-адрес
сервера. Если
значение DWORD
— 1, Office не
предлагает
получить лицензию
(она просто
получается).
Пример: если
"http://contoso.com/_wmcs/licensing
= 1" является значением этого
параметра, пользователь, который
попытается запросить лицензию с
этого сервера для открытия
документа с настроенными
правами, не получит запроса
лицензии.
Если значение
нулевое или в
реестре нет записи
для этого сервера,
Office запрашивает
лицензию.
Следующий параметр реестра IRM находится в разделе
HKCU\Software\Microsoft\Office\12.0\Common\Security. Соответствующего параметра
групповой политики нет.
Запись реестра
Тип
Значение
Описание
DRMEncryptProperty
DWORD
1 = метаданные
файла шифруются.
Укажите, нужно ли
шифровать все
метаданные, которые
хранятся в файле с
настроенными
правами.
0 = метаданные
сохраняются в
простом текстовом
формате. Значение
по умолчанию равно
0.
Для открытых форматов файлов Open XML (например, docx, xlsx, pptx и т. д.) пользователи
могут выбирать шифрование метаданных Microsoft Office, которые хранятся в файле с
настроенными правами. Пользователи могут шифровать все метаданные Office, включая
420
гиперссылки, или оставить содержимое без шифрования, чтобы к нему можно было
подключаться из других приложений.
При желании можно зашифровать метаданные, настроив раздел реестра. Развернув параметр
реестра, можно установить для пользователей параметры по умолчанию.
Кроме того, параметр реестра DRMEncryptProperty не определяет, шифруется ли хранилище
метаданных клиента, не относящегося к Office (например, созданного продуктами Microsoft
SharePoint 2010).
Эти настройки шифрования не относятся к Microsoft Office 2003 и прочим форматам файла
предыдущих версий. Office 2010 обращается с ранними форматами так же, как Office 2007 и
Microsoft Office 2003.
Настройка параметров службы управления
правами на доступ к данным в Outlook 2010
В Outlook 2010 пользователи могут создавать и отправлять сообщения электронной почты с
ограниченными разрешениями, чтобы запретить пересылку, печать, копирование и вставку
сообщений. Документы, книги и презентации Office 2010, прикрепленные к сообщениям с
ограниченными разрешениями, также автоматически имеют ограниченные разрешения.
Администратор Microsoft Outlook может настраивать ряд параметров для электронной почты
службы управления правами на доступ к данными, например, отключать управление
электронными правами на доступ к данным или настроить кэширование локальных лицензий.
При настройке обмена сообщениями электронной почты с управлением правами можно
использовать следующие параметры и возможности службы управления правами на доступ к
данным.

Настройка автоматического кэширования лицензий для управления правами на доступ к
данным.

Помощь при внедрении срока действия сообщения электронной почты.

Запрет использования Outlook для проверки правильности адресов электронной почты для
разрешений службы управления правами на доступ к данными.
Примечание.
Для отключения управления правами на доступ к данным в Outlook необходимо
отключить управление правами на доступ к данным для всех приложений Office.
Невозможно отключить управление правами на доступ к данным только для Outlook.
Параметры службы управления доступа к данным Outlook 2010
Можно заблокировать большую часть параметров, чтобы настроить управление правами на
доступ к данным для Outlook с использованием шаблона групповой политики Outlook
421
(Outlk14.adm) или шаблона групповой политики Office (Office14.adm). Также для большинства
параметров можно настроить значения по умолчанию, используя центр развертывания Office,
который позволяет пользователям изменять параметры. Параметры центра развертывания
Office можно найти в соответствующих местах на странице Изменение параметров
пользователя центра развертывания Office.
Расположение
Параметр IRM
Описание
Microsoft Outlook 2010\Прочее
Не загружать информацию о
лицензии разрешения на
права для почты управления
правами на доступ к данным
во время синхронизации
автономной папки Exchange
Включите, чтобы запретить
локальное кэширование
сведений о лицензии. Если
включено, пользователи
должны подключиться к сети
для получения сведений о
лицензии, чтобы открыть
сообщений электронной почты
с управлением правами.
Microsoft Outlook
2010\Параметры Outlook\
Параметры электронной
почты\ Дополнительные
параметры электронной почты
При отправке сообщения
Для принудительного
применения истечения срока
сообщения электронной почты
включите правило и введите
число дней до истечения срока
действия сообщения. Период
истечения применяется, только
если пользователь отправляет
сообщение с управлением
правами, а после истечения
периода срока действия доступ
к сообщению запрещен.
Дополнительные сведения о настройке этих параметров см. в статье Настройка управления
правами на доступ к данным в Office 2010.
Параметры раздела реестра службы управления доступом к
данным Outlook 2010
Диалоговое окно Разрешения использует Outlook для проверки адресов электронной почты,
введенных в этом диалоговом окне. В результате при ограничении разрешений запускается
экземпляр Outlook. Можно отключить этот параметр, используя раздел реестра, указанный в
следующей таблице. Этому параметру не соответствует групповая политика или параметр
центра развертывания Office.
422
Следующий параметр IRM размещен в разделе
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM.
Запись реестра
Тип
Значение
Описание
DoNotUseOutlookByDefault
DWORD
0 = Outlook
используется
Раздел позволяет
отключить
параметр.
1 = Outlook не
используется
См. также
Настройка управления правами на доступ к данным в Office 2010
Служба управления правами на доступ к данным (RMS) в Windows Server 2003
Служба управления правами Active Directory Windows Server 2008 (Возможно, на английском
языке)
Общие сведения об управлении правами на доступ к данным: справка Exchange 2010
Планирование библиотек документов (службы Windows SharePoint Services)
423
Security articles for end users (Office 2010)
IT pros can share the Microsoft Office 2010 security resources that are listed in this article with end
users in their organizations. These resources include articles, videos, and training courses that are
designed to assist end users who use Product Short Name 2010 applications. The resources are listed
in a series of tables that are organized into the following categories:

Overview

New Security Features

Outlook/Access/Excel/PowerPoint/Visio/Word

Access only
To see a list of all security and privacy related articles for a specific program, such as Word,
PowerPoint, or another Office program, go to the Office.com website, select the support tab, select All
Support, select the application you want, and then select Security and privacy.
Overview
Resource
Description
Office 2010 Security: Protecting your files
Self-paced training that assists the user in
becoming familiar with the security features that
help protect files in Microsoft Excel 2010,
Microsoft PowerPoint 2010, and Microsoft Word
2010.
View my options and settings in the Trust Center
Discusses the Trust Center, where you can find
security and privacy settings for Office 2010
programs.
New Security Features
Resource
Feature
What is Protected View?
Protected View, a new security feature in
Office 2010 that helps protect your computer by
opening files in a restricted environment so they
can be examined before they are opened for
424
Resource
Feature
editing in Excel, PowerPoint, or Word.
Office 2010 Security video: file validation
Office File Validation, a new security feature in
Office 2010 that helps protect your computer by
scanning and validating Office binary file formats
before they are opened.
Outlook
Resource
Description
How Outlook helps protect you from viruses,
spam, and phishing
Describes how Outlook 2010 helps protect your
computer from viruses, spam, and phishing.
Blocked attachments in Outlook
Describes the default behavior of Outlook 2010,
which does not allow you to receive certain kinds
of files as attachments.
Encrypt e-mail messages
Explains how message encryption works in
Outlook 2010 and includes procedures for
encrypting e-mail messages.
Introduction to IRM for e-mail messages
Explains what Information Rights Management
(IRM) is and how you can use it to restrict
permission to content in e-mail messages in
Microsoft Outlook.
Access, Excel, PowerPoint, Visio, and Word
Resource
Description
Enable or disable ActiveX settings in Office files
Explains how to work with ActiveX controls that
are in your files, how to change their settings, and
how to enable or disable them by using the
Message Bar and the Trust Center.
Enable or disable macros in Office files
Describes the risks involved when you work with
macros, and how to enable or disable macros in
425
Resource
Description
the Trust Center.
Trusted documents
Explains what trusted documents are, when to use
them, and how to configure their settings.
Add, remove, or modify a trusted location for your
files
Describes trusted locations, how and where you
can create them, and the precautions that you
should take before you use a trusted location.
Active content types in your files
Lists active-content types that can be blocked by
the Trust Center and cause Message Bars to
appear when you open files. Active content types
include macros, add-ins, and data connections.
Access only
Resource
Description
Introduction to Access 2010 security
Summarizes the security features that are offered
by Access 2010, and explains how to use the tools
that Access provides for helping to secure a
database.
Decide whether to trust a database
Discusses how trust works in Access 2010, how it
differs from security in earlier versions of Access,
and what factors that you should consider when
you decide whether to trust a database.
Set or change Access 2003 user-level security in
Access 2010
Explains how the Access 2003 security features
work, and how to start and use them in Access
2010.
How database objects behave when trusted and
untrusted
Explains how, by default, Access 2010 disables
several database objects unless you apply a
digital signature to them or you place the database
in a trusted location. The article also lists the
components that Access disables.
Show trust by adding a digital signature
Explains how to create your own security
certificate to show that you believe that a database
is safe and that its content can be trusted.
426
427
Планирование групповой политики для
Office 2010
Групповая политика — это инфраструктура, которая используется для применения одной или
нескольких конфигураций или параметров политики к группе пользователей и компьютеров в
среде службы каталогов Active Directory. Инфраструктура групповой политики состоит из модуля
групповой политики и нескольких отдельных расширений. Инфраструктура групповой политики
состоит из модуля групповой политики и нескольких отдельных расширений. В этом разделе
представлены сведения для ИТ-администраторов, которые планируют использовать групповую
политику для настройки и принудительного применения параметров приложений Microsoft Office
2010.
Содержание:
Статья
Описание
Обзор групповой политики для Office 2010
Краткий обзор использования групповой
политики для настройки и принудительного
применения параметров для приложений
Office 2010.
Планирование групповой политики в Office
2010
В этой статье описываются ключевые этапы
планирования для управления приложениями
Office 2010 с помощью групповой политики.
428
Обзор групповой политики для Office 2010
В этой статье представлен краткий обзор понятий групповой политики. Целевая аудитория для
этой статьи — ИТ-администраторы, которые планируют использовать групповую политику для
настройки и применения параметров приложений Microsoft Office 2010.
Содержание:

Локальная групповая политика и групповая политика на основе Active Directory

Обработка групповой политики

Изменение того, как групповая политика обрабатывает объекты групповой политики

Административные шаблоны

Истинные политики и предпочтения пользователя

Средства управления групповыми политиками

Центр развертывания Office и групповая политика
Локальная групповая политика и групповая
политика на основе Active Directory
Групповая политика — это инфраструктура, которая используется для применения одной или
нескольких конфигураций или параметров политики к группе пользователей и компьютеров в
среде службы каталогов Active Directory. Инфраструктура групповой политики состоит из модуля
групповой политики и нескольких отдельных расширений. Инфраструктура групповой политики
состоит из модуля групповой политики и нескольких отдельных расширений.
В каждой установке групповой политики присутствует по два расширения:

Серверное расширение оснастки консоли управления (MMC) редактора объектов групповой
политики, используемое для определения и настройки параметров политики, применяемых к
клиентским компьютерам.

Клиентское расширение, вызываемое модулем групповой политики для применения
параметров политики.
Параметры групповой политики содержатся в объектах групповой политики, которые связаны с
выбранными контейнерами Active Directory: сайтами, доменами или подразделениями (OU).
Созданный объект групповой политики хранится в домене. При связывании объекта групповой
политики с контейнером Active Directory (например, с подразделением) эта связь становится
компонентом данного контейнера Active Directory. Связь не является компонентом объекта
групповой политики. Параметры в объектах групповой политики оцениваются по
задействованным целевым объектам на основе иерархической структуры Active Directory.
Например, можно создать объект групповой политики с именем Параметры Office 2010, который
будет влиять только на параметры приложений Office 2010. Этот объект можно применить к
429
определенному сайту, чтобы к приложениям Office 2010 пользователей, входящих в этот сайт,
применились указанные в объекте групповой политики Параметры Office 2010 параметры.
На каждом компьютере имеется локальный объект групповой политики, который обрабатывается
всегда вне зависимости от того, входит ли компьютер в домен или является автономным.
Локальный объект групповой политики не может блокироваться доменными объектами
групповой политики. Однако параметры доменных объектов групповой политики всегда имеют
преимущество, поскольку обрабатываются после локального объекта групповой политики.
Примечание.
Windows Vista, Windows Server 2008 и Windows 7 обеспечивают поддержку для
управления несколькими локальными объектами групповой политики на автономных
компьютерах. Дополнительные сведения см. в статье Пошаговая инструкция по
управлению несколькими локальными объектами групповой политики (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=182215&clcid=0x419) (Возможно,
на английском языке).
Хотя локальные объекты групповой политики можно настроить на каждом отдельном
компьютере, максимальные преимущества групповой политики можно получить в сети на основе
Windows Server 2003 или Windows Server 2008 с установленной службой каталогов Active
Directory.
Обработка групповой политики
Групповая политика для компьютеров применяется при запуске компьютера, а групповая
политика для пользователей применяется при входе пользователя в систему. Кроме начальной
обработки групповой политики в момент запуска и входа в систему, групповая политика
периодически применяется впоследствии в фоновом режиме. При обновлении в фоновом
режиме клиентское расширение повторно применяет параметры политики только в случае
обнаружения изменений на сервере в любом из объектов групповой политики или списке
объектов групповой политики. Для установки программного обеспечения и перенаправления
папок обработка групповой политики выполняется только во время запуска компьютера или
входе пользователя в систему.
Параметры групповой политики обрабатываются в следующем порядке:

Локальный объект групповой политики. На каждом компьютере имеется локальный
объект групповой политики. Этот объект групповой политики обрабатывается для групповой
политики как компьютера, так и пользователя.

Сайт. После этого обрабатываются объекты групповой политики, связанные с сайтом, к
которому принадлежит компьютер. Порядок обработки определяется администратором на
вкладке Связанные объекты групповой политики для сайта в консоли управления
групповыми политиками. Объект групповой политики, имеющий самый низкий порядок
ссылки, обрабатывается последним и имеет наивысший приоритет. Сведения о консоли
430
управления групповыми политиками см. в разделе Средства управления групповыми
политиками.

Домен. Группа связанных с доменом объектов групповой политики обрабатывается в
порядке, заданном администратором на вкладке Связанные объекты групповой политики
для домена в консоли управления групповыми политиками. Объект групповой политики,
имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший
приоритет.

Подразделения. Объекты групповой политики, связанные с подразделением,
расположенным в самом верху иерархии Active Directory, обрабатываются первыми. Затем
обрабатываются объекты групповой политики, связанные с дочерним подразделением и т. д.
Объекты групповой политики, связанные с подразделением, в котором находится компьютер
или пользователь, обрабатываются последними.
Порядок обработки зависит от следующих условий:

Примененные к объектам групповой политики инструментарий управления Windows (WMI)
или фильтры параметров безопасности.

Любой доменный объект групповой политики (не локальный групповой политики) может быть
принудительно применен при помощи параметра Обеспечить, так что его параметры
политики невозможно перезаписать. Поскольку принудительный объект групповой политики
обрабатывается последним, никакие другие параметры не могут перезаписать параметры
такого объекта групповой политики. При наличии нескольких объектов групповой политики
одному параметру в каждом объекте можно присвоить разные значения. В этом случае
порядок связей объектов групповой политики определяет, какой параметр групповой
политики содержит окончательные параметры.

В любом домене или подразделении наследование для групповой политики можно
выборочно указать параметр Блокировать наследование. Однако, поскольку
принудительные объекты групповой политики применяются всегда, и блокировать их нельзя,
блокировка наследования не предотвращает применение параметров политики из
принудительных объектов групповой политики.
Наследование политики
Действующие для пользователя или компьютера параметры политики — это результат
объединения объектов групповой политики, примененных на сайте, в домене и подразделении.
При применении нескольких объектов групповой политики к пользователям и компьютерам в
таких контейнерах Active Directory параметры в объектах групповой политики объединяются. По
умолчанию параметры, развернутые в объектах групповой политики, связанных с контейнерами
верхнего уровня (родительскими контейнерами) в Active Directory, наследуются дочерними
контейнерами и объединяются с параметрами, развернутыми в объектах групповой политики,
связанных с дочерними контейнерами. Если несколько объектов групповой политики пытаются
настроить параметры политики с использованием конфликтующих значений, параметр задается
из объекта групповой политики с высшим приоритетом. Обрабатываемые впоследствии объекты
431
групповой политики имеют преимущество по отношению к ранее обработанным объектам
групповой политики.
Синхронная и асинхронная обработка
Синхронные процессы можно представить в виде ряда процессов, запускаемых друг за другом
по мере завершения. Асинхронные процессы могут выполняться одновременно несколькими
потоками, поскольку их результат не зависит от других процессов. Администраторы могут
использовать параметр политики для каждого объекта групповой политики для изменения
режима обработки по умолчанию с синхронного на асинхронный.
При синхронной обработке существует ограничение по времени (60 минут) обработки всех
объектов групповой политики на клиентском компьютере. Клиентским расширениям, которым не
удалось завершить обработку за 60 минут, отправляется сигнал прекращения обработки. В этом
случае связанные параметры политики могут быть применены не полностью.
Функция оптимизации быстрого входа
Функция оптимизации быстрого входа по умолчанию включена для членов домена и рабочей
группы. Она приводит к асинхронному применению политики при запуске компьютера и входе
пользователя в систему. Такое применение политики аналогично обновлению в фоновом
режиме. Это может сократить время отображения диалогового окна входа в систему, и
пользователь быстрее получает доступ к рабочему столу.
Администраторы могут отключить функцию оптимизации быстрого входа, используя параметр
политики Всегда ожидать инициализации сети при загрузке и входе в систему,
расположенный в узле редактора объектов групповой политики Конфигурация
компьютера\Административные шаблоны\Система\Вход в систему.
Обработка медленных подключений
Некоторые расширения групповой политики не обрабатываются, если скорость подключения
опускается ниже заданных предельных значений. В качестве значению по умолчанию,
определяющего медленное подключение для групповой политики, можно указать любое
значение до 500 килобит в секунду (Кбит/с).
Интервал обновления групповой политики
По умолчанию групповая политика обрабатывается каждые 90 минут с произвольной задержкой
не более 30 минут, следовательно, общий максимальный интервал обновления составляет не
более 120 минут.
При изменении политик параметров безопасности параметры политики обновляются на
компьютерах подразделения, с которым связан объект групповой политики, в следующих
случаях.

При перезапуске компьютера.
432

Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена.

По умолчанию параметры политики безопасности в групповой политике также применяются
каждые 16 часов (960 минут), даже если объект групповой политики не был изменен.
Запуск обновления групповой политики
Изменения, вносимые в объект групповой политики, сначала должны копироваться на
соответствующий контроллер домена. Таким образом, изменения параметров групповой
политики могут не сразу стать доступными на рабочих столах пользователей. В ряде случаев
(например, при применении параметров политики безопасности), может возникать
необходимость немедленного применения параметров политики.
Администраторы могут вручную запустить обновление политики с локального компьютера, не
дожидаясь автоматического обновления в фоновом режиме. Для этого в командной строке
администраторы должны ввести команду gpupdate для обновления параметров политики
пользователя или компьютера. Консоль управления политиками безопасности для запуска
обновления политики использовать нельзя.
Команда gpupdate запускает фоновое обновление политики на локальном компьютере, на
котором она запущена. Команда gpupdate используется в средах Windows Server 2003 и
Windows XP.
Применение групповой политики по требованию сервера на клиентских компьютерах
невозможно.
Изменение того, как групповая политика
обрабатывает объекты групповой политики
Основной способ определения пользователей и компьютеров, к которым применяются
параметры объекта групповой политики, заключается в связывании объекта с сайтами,
доменами и подразделениями.
Для изменения порядка обработки объектов групповой политики администраторы могут
использовать один из следующих методов.

Изменение порядка связей.

Блокировка наследования.

Принудительное применение связи объекта групповой политики.

Отключение связи объекта групповой политики.

Использование фильтрования.

Использование фильтрации WMI.

Использование обработки замыкания на себя.
Эти методы описаны в следующих подразделах.
433
Изменение порядка связей
От порядка связей групповой политики на сайте, домене или подразделении зависит
очередность применения связей. Администраторы могут менять приоритет связи, изменив
порядок связей, перемещая каждую связь вверх или вниз по списку в соответствующее место
списка. Связь старшего порядка (1 — самый старший порядок) имеет наивысший приоритет для
сайта, домена или подразделения.
Блокировка наследования
Блокировка наследования для домена или подразделения препятствует автоматическому
наследованию контейнером Active Directory дочернего уровня объектов групповой политики,
связанных с сайтами, доменами или подразделениями более высокого уровня.
Принудительное применение связи объекта групповой политики
Можно указать, что параметры в связи объекта групповой политики имеют приоритет по
отношению к параметрам любого дочернего объекта, указав для этой связи параметр
Принудительный. Принудительные связи объекта групповой политики не могут блокироваться
родительским контейнером. Если в объектах групповой политики содержатся конфликтующие
параметры, и они не имеют принуждений от контейнера более высокого уровня, то параметры
связей объекта групповой политики родительского контейнера более высокого уровня
перезаписываются параметрами в объектах групповой политики, связанных с дочерними
подразделениями. При принудительном применении связь родительского объекта групповой
политики всегда имеет приоритет. По умолчанию, связи объектов групповой политики не
являются принудительными.
Отключение связи объекта групповой политики
Можно полностью заблокировать для сайта, домена или подразделения способ применения
объекта групповой политики, отключив связь объекта групповой политики для соответствующего
домена, сайта или подразделения. При этом объект групповой политики не отключается. Если
объект групповой политики привязан к другим сайтам, доменам или подразделениям, то они попрежнему будут обрабатывать объект групповой политики, если связи остаются включенными.
Использование фильтрования
Этот способ используется, чтобы указать, что к объекту групповой политики применяются только
определенные участники безопасности в контейнере, с которым связан объект групповой
политики. Фильтрация параметров безопасности может использоваться администраторами для
ограничения области действия объекта групповой политики. Это позволит применять объект
только к одной группе, одному пользователю или компьютеру. Фильтрацию параметров
безопасности нельзя использовать выборочно с различными параметрами в объекте групповой
политики.
434
Объект групповой политики применяется к пользователю или компьютеру, только если такой
пользователь или компьютер имеют разрешения на чтение и применение групповой политики
для объекта групповой политики, явно или фактически через членство в группе. По умолчанию
для всех объектов групповой политики разрешения на чтение и применение групповой
политики включены для группы прошедших проверку пользователей, в состав которой входят
пользователи и компьютеры. Таким образом, все прошедшие проверку пользователи получают
параметры нового объекта групповой политики при его применении к подразделению, домену
или сайту.
По умолчанию администраторы домена, администраторы предприятия и локальная система
имеют разрешения полного доступа без элемента управления доступом Применить групповую
политику. Администраторы также являются членами группы пользователей, прошедших
проверку. Это означает, что по умолчанию администраторы получают параметры в объекте
групповой политики. Эти разрешения можно изменить для ограничения области действия
определенным набором пользователей, групп или компьютеров в подразделении, домене или
сайте.
Консоль управления групповыми политиками позволяет управлять этими разрешениями как
единым блоком и отображать фильтры параметров безопасности для объекта групповой
политики на вкладке Область объекта групповой политики. В консоли управления групповыми
политиками можно добавить или удалить группы, пользователей и компьютеры как фильтры
параметров безопасности для каждого объекта групповой политики.
Использование фильтров инструментария управления Windows
Фильтры WMI используются для фильтрации применения объекта групповой политики,
присоединив к объекту групповой политики запрос на языке запроса WMI (WQL). Запросы можно
использовать для опроса WMI по нескольким элементам. Если запрос возвращает истинное
значение по всем запрашиваемым элементам, то объект групповой политики применяется к
целевому пользователю или компьютеру.
Объект групповой политики связывается с фильтром WMI и применяется к целевому
компьютеру, и фильтр оценивается на целевом компьютере. Если фильтр WMI оценивается как
ложный, объект групповой политики не применяется (кроме случаев, когда клиентский
компьютер работает под управлением Windows 2000. В этом случае фильтр игнорируется, и
объект групповой политики применяется всегда). Если фильтр WMI оценивается как истинный,
то объект групповой политики применяется.
Фильтр WMI — это отдельный от групповой политики объект в каталоге. Для применения фильтр
WMI следует связать с объектом групповой политики, при этом фильтр и объект групповой
политики, к которому он привязан, должны находиться в одном домене. Фильтры WMI хранятся
только в доменах. Каждый объект групповой политики может иметь только один фильтр WMI.
Один фильтр WMI можно связать с несколькими объектами групповой политики.
Примечание.
435
Инструментарий управления Windows (WMI) — это реализация компанией Майкрософт
промышленной инициативы управления предприятием на основе веб-технологий,
определяющая стандарты инфраструктуры управления и позволяющей объединять
информацию от различных аппаратных и программных систем управления.
Инструментарий WMI отображает данные конфигурации оборудования, такие как ЦП,
память, дисковое пространство и производитель, а также данные программного
обеспечения из реестра, драйверов, файловой системы, службы каталогов Active
Directory, службы установщика Windows, сетевой конфигурации и данных приложений.
Данные о целевом компьютере можно использовать для целей администрирования,
например для фильтрации WMI объектов групповой политики.
Использование обработки замыкания на себя
Можно использовать эту возможность для применения согласованного набора параметров
политики к любому пользователю, выполняющему вход в систему на определенном ПК,
независимо от его расположения в Active Directory.
Обработка замыкания на себя — расширенный параметр групповой политики, который полезно
использовать на компьютерах в ряде жестко управляемых сред, таких как серверы, Интернеткиоски, лаборатории, классные комнаты и регистратуры. При настройке замыкания на себя
параметр политики Конфигурация пользователя в объектах групповой политики, применяемый
к компьютеру, будет применен в каждому пользователю, входящему в систему на этом
компьютере, вместо параметра Конфигурация пользователя (в режиме Замена) или в
дополнение в нему (в режиме Слияние).
Для настройки обработки замыкания на себя можно использовать параметр политики Режим
обработки замыкания пользовательской групповой политики, расположенный в папке
Конфигурация компьютера\Административные шаблоны\Система\Групповая политика в
редакторе объектов групповой политики.
Для использования функции обработки замыкания на себя учетные записи пользователя и
компьютера должны находиться в домене под управлением Windows Server 2003 или более
поздней версии Windows. Для компьютеров рабочей группы замыкание на себя не применяется.
Административные шаблоны
Расширение административных шаблонов групповой политики состоит из серверной оснастки
MMC, служащей для настройки параметров политики, и клиентского расширения, используемого
для настройки разделов реестра на целевых компьютерах. Политику административных
шаблонов также называют реестровой политикой или политикой на основе реестра.
Файлы административных шаблонов
Файлы административных шаблонов (ADM) представляют собой файлы в кодировке Юникод,
содержащие иерархию категорий и подкатегорий, которые определяют отображение параметров
436
в редакторе объектов групповой политики и консоли управления групповой политикой. Они также
обозначают указывают места реестра, на которые влияют параметры политики, в том числе
значения по умолчанию, включенные или отключенные значения политики. Эти шаблоны
доступны в трех версиях файлов: ADM, ADMX и ADML. ADM-файлы можно использовать для
компьютеров под управлением любой операционной системы Windows. ADMX-файлы можно
использовать для компьютеров под управлением Windows Vista, Windows Server 2008 или более
поздней версии. ADML-файлы — это версии ADML-файлов для конкретного языка.
Функциональность файлов административных шаблонов ограничена. Их цель - предоставить
пользовательский интерфейс для настройки параметров политики. Файлы ADM не содержат
параметры политики. Параметры политики содержатся в файлах registry.pol, расположенных в
папке Sysvol на контроллерах домена.
Серверная оснастка административных шаблонов содержит узел Административные
шаблоны, отображаемый в редакторе объектов групповой политики под узлом Конфигурация
компьютера и Конфигурация пользователя. Параметры узла Конфигурация компьютера
позволяют управлять параметрами реестра для компьютера, а параметры узла Конфигурация
пользователя — для пользователей. Хотя для настройки многих параметров политики
требуются простые элементы пользовательского интерфейса, такие как текстовые поля для
ввода значений, большинство параметров политики имеют только следующие значения:

Включен. Политика применяется принудительно. Некоторый параметры политики могут
иметь дополнительные варианты, определяющие режим работы политики при ее включении.

Отключен. Для большинства параметров политики применяется действие,
противоположное состоянию Включен. Например, если значение Включен принудительно
задает состояние Выкл., значение Отключен задает состояние Вкл..

Не задано. Политика не применяется принудительно. Это состояние по умолчанию для
большинства параметров.
Файлы административных шаблонов хранятся на локальном компьютере, как показано в
следующей таблице.
Тип файла
Папка
ADM
%systemroot%\Inf
ADMX
%systemroot%\PolicyDefinitions
ADML
В папке конкретного языка
%systemroot%\PolicyDefinitions\<, например.,
en-us>
ADMX- и ADML-файлы можно хранить и использовать в центральном хранилище в папках в
контроллере домена, как показано в следующей таблице.
437
Тип файла
Папка
ADMX
%systemroot%\sysvol\domain\policies\PolicyDefinitions
ADML
В папке конкретного языка
%systemroot%\sysvol\domain\policies\PolicyDefinitions\<,
например, en-us>
Дополнительные сведения о хранении и использовании шаблонов из центрального хранилища
см. в разделе “Групповая политика и sysvol” в статье Руководство по планированию и
развертыванию групповой политики (http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x419).
Файлы административных шаблонов системы Office 2010
Файлы административных шаблонов для Office 2010 доступны в виде отдельной загрузки и
поддерживают следующие функции.

Контроль точек входа в Интернет из приложений Office 2010.

Управление параметрами безопасности для приложений Office 2010

Скрытие параметров и настроек, не нужных пользователям для выполнения рабочих задач,
а также тех, которые могут отвлечь пользователей или стать причиной дополнительных
обращений в службу поддержки.

Создание строго контролируемых стандартных конфигураций на пользовательских
компьютерах.
Для загрузки административных шаблонов Office 2010 перейдите на страницу Файлы
административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office
(http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419).
Административные шаблоны Office 2010 показаны в следующей таблице.
Приложение
Файлы административных шаблонов
Microsoft Access 2010
access14.admx, access14.adml, access14.adm
Microsoft Excel 2010
excel14.admx, excel14.adml, excel14.adm
Microsoft InfoPath 2010
inf14.admx, inf14.adml, inf14.adm
Microsoft Office 2010
office14.admx, office14.adml, office14.adm
Microsoft OneNote 2010
onent14.admx, onent14.adml, onent14.adm
Microsoft Outlook 2010
outlk14.admx, outlk14.adml, outlk14.adm
Microsoft PowerPoint 2010
ppt14.admx, ppt14.adml, ppt14.adm
438
Приложение
Файлы административных шаблонов
Microsoft Project 2010
proj14.admx, proj14.adml, proj14.adm
Microsoft Publisher 2010
pub14.admx, pub14.adml, pub14.adm
Microsoft SharePoint Designer 2010
spd14.admx, spd14.adml, spd14.adm
Microsoft SharePoint Workspace 2010
spw14.admx, spw14.adml, spw14.adm
Microsoft Visio 2010
visio14.admx, visio14.adml, visio14.adm
Microsoft Word 2010
word14.admx, word14.adml, word14.adm
Истинные политики и предпочтения пользователя
Параметры групповой политики, которыми администраторы могут управлять в полной мере,
называются истинными политиками. Параметры, настраиваемые пользователями или
отражающие состояние по умолчанию операционной системы в момент установки, называются
пользовательскими настройками. Как истинные политики, так и пользовательские настройки
содержат сведения для изменения реестра на компьютерах пользователей. Истинные политики
и пользовательские настройки имеют важные различия. Параметры истинной политики имеют
приоритет над пользовательскими настройками.
Истинные политики
Значения системного реестра для истинных политик хранятся в утвержденных разделах реестра
для групповой политики. Пользователи не могут изменять или отключать следующие параметры.
Параметры политики компьютера:

HKEY_LOCAL_MACHINE\Software\Policies (предпочтительное местоположение)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Параметры политики пользователей:

HKEY_CURRENT_USER\Software\Policies (предпочтительное местоположение)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Для Office 2010 истинные политики хранятся в следующих разделах реестра.
Параметры политики компьютера:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0
Параметры политики пользователей:

HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0
439
Предпочтения
Пользовательские настройки задаются пользователями или операционной системой в момент
установки. Значения реестра, где хранятся пользовательские настройки) расположены вне
утвержденных разделов групповой политики. Пользователи могут менять свои настройки.
При настройке пользовательских настроек при помощи объекта групповой политики таким
способом нет ограничений системного списка управления доступом. Следовательно,
пользователи могут иметь возможность изменения этих значений в реестре. Если объект
групповой политики выходит за область действия (при удалении связи объекта групповой
политики, его отключении или удалении), эти значения из системного реестра не удаляются.
Для просмотра пользовательских настроек в редакторе объектов групповой политики щелкните
узел Административные шаблоны, в меню Вид выберите пункт Фильтрация... и снимите
флажок Показывать только управляемые параметры политики.
Средства управления групповыми политиками
Администраторы используют следующие средства для администрирования групповых политик:

Консоль управления групповыми политиками Используется для управления основными
задачами групповой политики.

Редактор объектов групповой политики Используется для настройки параметров
политики в объектах групповой политики.
Консоль управления групповой политикой
Консоль управления групповой политикой (GPMC) упрощает управление групповой политикой,
обеспечивая единый инструмент для управления основными параметрами групповой политики,
такими как определение области действия, передача, фильтрация и управление наследованием
объектов групповой политики. Консоль управления групповой политикой также можно
использовать для резервного копирования (экспорта), восстановления, импорта и копирования
объектов групповой политики. Эта консоль позволяет администраторам оценить влияние
объектов групповой политики на сеть и определить изменения параметров компьютера или
пользователя, вносимые объектами групповой политики. Консоль управления групповой
политикой является предпочтительным средством управления большинством задач групповой
политики в доменной среде.
Консоль управления групповой политикой позволяет получить обзор объектов групповой
политики, сайтов, доменов и подразделений в масштабе предприятия. Консоль используется для
управления доменами Windows Server 2003 или Windows 2000.Консоль управления групповой
политикой помогает администраторам выполнять все задачи управления групповой политикой,
за исключением настройки отдельных параметров политики в объектах групповой политики —
для этого служит редактор объектов групповой политики. Редактор объектов групповой политики
вызывается из консоли управления групповой политикой и используется с этой консоли.
440
Администраторы используют консоль управления групповой политикой для создания объекта
групповой политики без исходных параметров. Администратор может также создать объект
групповой политики, одновременно связав его с контейнером Active Directory. Для настройки
отдельных параметров в объекте групповой политики администратор редактирует объект
групповой политики из консоли управления групповой политикой. Редактор объектов групповой
политики отображается при загрузке объекта групповой политики.
Консоль управления групповой политикой можно использовать для связывания объектов
групповой политики с сайтами, доменами или подразделениями в службе каталогов Active
Directory. Для применения параметров к пользователям и компьютерам в контейнерах Active
Directory объекты групповой политики необходимо связать.
Консоль управления групповой политикой содержит следующие возможности результирующего
набора политик (RSoP), обеспечиваемые Windows.

Моделирование групповой политики. Моделирование групповой политики позволяет
администраторам моделировать данные RSoP, которые будут применены к существующей
конфигурации, или проанализировать результаты смоделированных гипотетических
изменений в среде каталога. Моделирование групповой политики позволяет
администраторам моделировать данные RSoP, которые будут применены к существующей
конфигурации, или проанализировать результаты смоделированных, гипотетических
изменений в среде каталога.

Результаты групповой политики. Представление фактических данных политики,
применяемых к компьютеру и пользователю. Данные получаются в результате отправки
запроса на целевой компьютер и получения данных RSoP, примененных к компьютеру.
Возможность просмотра результатов групповой политики обеспечивается клиентской
операционной системой и требует использования Windows XP, Windows Server 2003 или
операционной системы более поздних версий.
Редактор объектов групповой политики
Редактор объектов групповой политики — это оснастка MMC, используемая для настройки
параметров политики в объектах групповой политики. Редактор групповой политики содержится
в файле gpedit.dll и устанавливается в операционных системах Windows XP, Windows Server
2003, Windows Vista, Windows Server 2008 и Windows 7.
Для настройки параметров групповой политики для локального компьютера, не являющегося
членом домена, используйте редактор групповой политики для управления локальным объектом
групповой политики (или несколькими объектами групповой политики на компьютерах под
управлением Windows Vista, Windows 7 или Windows Server 2008). Для настройки параметров
групповой политики в среде домена консоль управления групповой политикой, вызывающая
редактор групповой политики, является предпочтительным инструментом для выполнения задач
управления групповой политикой.
441
Редактор групповой политики предоставляет в распоряжение администраторов иерархическую
древовидную структуру для настройки параметров групповой политики в объектах групповой
политики и состоит из двух следующих основных узлов.

Конфигурация пользователя Содержит параметры, которые применяются к
пользователям при их входе в систему и периодическом фоновом обновлении.

Конфигурация компьютера Содержит параметры, которые применяются к компьютерам
при запуске и периодическом фоновом обновлении.
Эти два основных узла далее разделяются на папки с различными типами настраиваемых
параметров политики. Основные узлы далее разделяются на папки с различными типами
настраиваемых параметров политики. В число папок входят следующие:

Конфигурация программ Содержит параметры установки приложений.

Конфигурация Windows Содержит параметры безопасности и политики скриптов.

Административные шаблоны Содержит параметры политики на основе реестра.
Системные требования для консоли управления групповой
политикой и редактора объектов групповой политики.
Редактор объектов групповой политики является часть консоли управления групповой политики
и вызывается при редактировании объекта групповой политики. Консоль управления можно
запускать в операционных системах Windows XP, Windows Server 2003, Windows Vista, Windows 7
и Windows Server 2008. Требования отличаются для разных операционных систем Windows, как
показано далее.

Консоль управления групповой политики является частью операционной системы
Windows Vista. Однако если в Windows Vista установлен пакет обновления 1 или 2 (SP1 или
SP2), консоль удаляется. Для повторной установки следует установить Средства удаленного
администрирования сервера Майкрософт для Windows Vista
(http://go.microsoft.com/fwlink/?linkid=89361&clcid=0x419).

Консоль управления групповой политики включена в Windows Server 2008 и более поздние
версии. Однако этот компонент не устанавливается с операционной системой. Используйте
диспетчер сервера для установки консоли управления групповой политики. Дополнительные
сведения об установке консоли управления групповой политики см. в разделе Установка
консоли управления групповой политики
(http://go.microsoft.com/fwlink/?linkid=187926&clcid=0x419).

Для установки консоли управления групповой политики следует установить Средства
удаленного администрирования сервера для Windows 7
(http://go.microsoft.com/fwlink/?linkid=180743&clcid=0x419).

Для установки консоли управления групповой политики в Windows XP или Windows Server
2003 следует установить консоль управления групповой политики с пакетом обновлений 1
(SP1) (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=88316&clcid=0x419) (Возможно, на английском языке).
442
Дополнительные сведения об использовании консоли управления групповой политики и
редактора объекта групповой политики см. в разделе Принудительное применение параметров с
помощью групповой политики в Office 2010.
Центр развертывания Office и групповая политика
Администраторы могут использовать центр развертывания Office (OCT) или групповую политику
для настройки конфигурации пользователя для приложений Office 2010.

Центр развертывания Office Он используется для создания файла параметров настройки
установки (файла MSP). Администраторы могут использовать центр развертывания Office
для настройки функций и пользовательских параметров. После установки пользователи
смогут изменять большую часть параметров. Это обусловлено тем, что центр развертывания
Office настраивает параметры в открытых для доступа разделах реестра, например,
HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Это средство, как правило,
используется в организациях без централизованного управления ПК. Дополнительные
сведения см. в разделе Office Customization Tool in Office 2010 (на английском языке).

Групповая политика Она используется для настройки параметров политики Office 2010,
содержащихся в административных шаблонах, а операционная система применяет эти
параметры политики принудительно. В среде Active Directory администраторы могут
применять параметры политики к группам пользователей и компьютерам на сайте, домене
или подразделении, с которым связан объект групповой политики. Параметры истинной
политики записываются в утвержденные разделы реестра для политики, и эти параметры
имеют ограничения списка управления доступом, и изменять их могут только
администраторы. Администраторы могут использовать групповую политику для создания
управляемых конфигураций ПК. Они также могут создавать нежестко управляемые
конфигурации для удовлетворения требований бизнеса и безопасности в организациях.
Дополнительные сведения о центре развертывания Office см. в разделе Office Customization
Tool in Office 2010 (на английском языке).
См. также
Групповая политика Windows Server
Руководство по планированию и развертыванию групповой политики
Руководство по документации к групповой политике
Планирование групповой политики в Office 2010
Принудительное применение параметров с помощью групповой политики в Office 2010
443
Планирование групповой политики в Office
2010
В этой статье описываются ключевые этапы планирования для управления приложениями
Microsoft Office 2010 с помощью групповой политики.
Содержание:

Планирование групповой политики

Определение бизнес-целей и требований безопасности.

Оценка текущей среды.

Разработка управляемых конфигураций, основанных на требованиях бизнеса и
безопасности.

Определение области применения

Тестирование и промежуточные шаги развертывания групповой политики

Вовлечение ключевых лиц
Планирование групповой политики
С помощью групповой политики ИТ-администраторы могут применять конфигурацию или
параметры политики к пользователям и компьютерам в среде службы каталогов Active Directory.
Конфигурации можно применять конкретно к Office 2010. Дополнительные сведения см. в статье
Обзор групповой политики для Office 2010.
Планирование развертывания решений, основанных на групповой политике, включает несколько
этапов:
1. Определение бизнес-целей и требований безопасности
2. Оценка текущей среды
3. Разработка управляемых конфигураций, основанных на требованиях бизнеса и
безопасности.
4. Определение области применения решения.
5. Планирование тестирования, промежуточных шагов и развертывания решения групповой
политики.
6. Вовлечение ключевых заинтересованных лиц в процесс планирования и развертывания
решения.
444
Определение бизнес-целей и требований
безопасности.
Выявите особые требования, предъявляемые компанией, и требования безопасности,
определите возможные функции групповой политики в области управления стандартными
конфигурациями для приложений Office 2010. Определите ресурсы (группы пользователей и
компьютеров), для которых управление параметрами пакета Office выполняется с помощью
групповой политики, и определите область применения проекта.
Оценка текущей среды.
Изучите процедуры выполнения текущих задач управления, связанных с настройкой приложений
Microsoft Office, чтобы определить, какой тип параметров политики Office следует использовать.
Задокументируйте существующие процедуры и требования. Эта информация будет
использована при разработке управляемых настроек на следующем шаге. К ним относятся:

Существующие корпоративные политики безопасности и другие требования безопасности.
Определите, какие сайты и издатели считаются безопасными. Оцените требования по
управлению параметрами контроля функций Internet Explorer, защитой документов,
параметрами конфиденциальности и блокированием параметров формата файлов.

Требования к обмену сообщениями в организации. Оцените требования по настройке
параметров пользовательского интерфейса, защиты от вирусов и других параметров
безопасности Office Outlook 2007 с использованием групповой политики.

Пользовательские требования к приложениям Office для разных ролей пользователей. Они
сильно зависят от рабочих требований пользователей и требований безопасности
организации.

Параметры сохранения файлов по умолчанию для Microsoft Access 2010, Microsoft Excel
2010, Microsoft PowerPoint 2010 и Microsoft Word 2010.

Ограничение доступа к элементам пользовательского интерфейса Office 2010, например,
отключение команд, элементов меню и сочетания клавиш

Если рассматривается этот метод развертывания, определите вопросы, относящиеся к
установке программ. Несмотря на то, что для установки программных приложений в
небольших организациях с установленной службой каталогов Active Directory можно
использовать групповую политику, при этом существуют некоторые ограничения.
Дополнительные сведения см. в разделе "Определение проблем с установкой программного
обеспечения" в статье Руководство по планированию и развертыванию групповой политики
(http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x419).
В случае управления большим числом клиентов в сложной или быстро изменяющейся среде
в средних и крупных организациях для установки и обслуживания Office 2010 рекомендуется
использовать Microsoft System Center Configuration Manager 2010. System Center Configuration
Manager 2010 обеспечивает большие функциональные возможности, включая функции
инвентаризации, планирования и составления отчетов.
445
Другая возможность развертывания пакета Office 2010 в средах Active Directory — это
использование загрузочных скриптов компьютера с использованием групповой политики.

Определите, нужно ли использовать групповую политику или центр развертывания Office.
Хотя для пользовательской настройки приложений Office 2010 можно использовать как
групповую политику, так и центр развертывания Office, между ними существуют важные
различия.

Групповая политика используется для настройки параметров политики Office 2010,
которые содержатся в административных шаблонах и принудительно применяются
операционной системой. Для этих параметров существуют ограничения системного
списка управления доступом, чтобы их могли изменять только администраторы.
Используйте групповую политику для настройки параметров, которые необходимо
применять принудительно.

Центр развертывания Office используется для создания файла параметров настройки
установки (MSP-файла). Центр развертывания Office может использоваться
администраторами для настройки функций и параметров пользователей. Пользователи
могут изменять большинство параметров после установки. Рекомендуется использовать
центр развертывания Office только для основных параметров или параметров по
умолчанию.
Дополнительные сведения см. в разделе Центр развертывания Office и групповая политика.

Определите, когда следует использовать локальную групповую политику для настройки
параметров Office. Локальную групповую политику можно использовать для управления
параметрами в средах, содержащих изолированные компьютеры, которые не являются
частью домена Active Directory. Дополнительные сведения см. в статье Обзор групповой
политики для Office 2010.
Разработка управляемых конфигураций,
основанных на требованиях бизнеса и
безопасности.
Понимание бизнес-требований, требований к безопасности, сети и ИТ, а также процессов
управления текущими приложениями Office в организации позволяет определить подходящие
параметры политики управления приложениями Office для пользователей в организации. Для
формирования целей групповой политики используется информация, собранная во время
анализа текущей среды.
При определении целей использования групповой политики для управления настройками
приложений Office определите следующее:

Назначение каждого объекта групповой политики.

Владелец каждого объект групповой политики — ответственный за управление этим
объектом групповой политики.
446

Число используемых объектов групповой политики. Обратите внимание, что число
примененных к компьютеру объектов групповой политики влияет на время загрузки, а число
объектов групповой политики, примененных к пользователю, влияет на время, необходимое
для регистрации в сети. Чем больше объектов групповой политики связано с пользователем,
в частности, чем больше параметров содержится в этих объектах групповой политики, тем
дольше они обрабатываются при входе пользователя в систему. Во время процесса входа в
систему применяется каждый объект групповой политики из иерархии сайта, домена и
подразделения пользователя, при условии, что для пользователя заданы разрешения на
чтение и применение групповой политики.

Соответствующий контейнер Active Directory для связи с каждым объектом групповой
политики (сайт, домен или подразделение).

Расположение для установки приложения Office, если выполняется развертывание
Office 2010 с программным обеспечением групповой политики.

Расположение выполняемых загрузочных скриптов компьютера, если выполняется
развертывание Office 2010 с назначением загрузочных скриптов компьютера с групповой
политикой.

Типы параметров политики, содержащихся в каждом объекте групповой политики. Это
зависит от бизнес-требований и требований безопасности, а также от используемого метода
управления параметрами приложений Office. Рекомендуется настраивать только те
параметры, которые оценены как критичные для стабильности и безопасности, и
использовать минимальные конфигурации. Также проанализируйте целесообразность
использования параметров безопасности, которые могут улучшить производительность
рабочей станции, например контроль размера PST-файла Outlook.

Необходимость настройки исключений из порядка обработки по умолчанию для групповой
политики.

Необходимость настройки параметров фильтрации для групповой политики с целью
указания определенных пользователей и компьютеров.
Для планирования непрерывного администрирования объектов групповой политики
рекомендуется создать административные процедуры, чтобы отслеживать и контролировать
объекты групповой политики. Это позволяет обеспечить использование назначенного метода
для внедрения всех изменений.
Определение области применения
Определите параметры политики Office 2010, которые применимы ко всем корпоративным
пользователям (например, параметры безопасности любого приложения, которые оценены как
важные для обеспечения безопасности организации), а также те параметры, которые
определены для групп пользователей на основе их ролей. Планируйте конфигурацию в
соответствии с обозначенными требованиями.
447
В среде Active Directory параметры групповой политики назначаются в результате связывания
объектов групповой политики с сайтами, доменами или подразделениями. Большинство
объектов групповой политики обычно назначается на уровне подразделений, поэтому убедитесь,
что в структуре подразделений поддерживается основанная на групповой политике стратегия
управления пакетом Office 2010. Также некоторые параметры групповой политики, которые
необходимо применить ко всем пользователям домена, можно применить на уровне домена
(например, параметры политики безопасности или параметры приложения Outlook).
Тестирование и промежуточные шаги
развертывания групповой политики
Планирование тестирования и промежуточных шагов развертывания — важная составляющая
любого процесса развертывания групповой политики. На этом этапе выполняется создание
стандартных конфигураций для приложений Office 2010 и тестирование конфигураций объектов
групповой политики в тестовой среде перед развертыванием их для пользователей
организации. При необходимости можно фильтровать область применения объектов групповой
политики и определить исключения в наследовании групповой политики. Администраторы могут
использовать моделирование групповой политики (в консоли управления групповыми
политиками), чтобы оценить, какие параметры безопасности будут применены определенным
объектом групповой политики, и результаты групповой политики (в консоли управления
групповыми политиками), чтобы оценить, какие параметры политики действуют.
Групповая политика предоставляет возможность влиять на конфигурации сотен и даже тысяч
компьютеров в организации. Следовательно, крайне важно использовать процедуру управления
изменениями и строго тестировать все новые конфигурации или развертывания в тестовой
среде перед внедрением их в рабочую среду. Эта процедура позволяет гарантировать, что
параметры политики, содержащиеся в объекте групповой политики, дают ожидаемые результаты
для предполагаемых пользователей и компьютеров в среде Active Directory.
При управлении внедрением групповой политики осуществлять предварительное размещение
развертываний с помощью следующей процедуры, которая выполняется до развертывания:

Разверните новый объект групповой политики в тестовой среде, которая предельно точно
соответствует рабочей среде.

Используйте моделирование групповой политики, чтобы оценить, как новый объект
групповой политики повлияет на пользователей и будет взаимодействовать с
существующими объектом групповой политики.

Используйте результаты групповой политики, чтобы оценить, какие параметры объектов
групповой политики применены в тестовой среде.
Дополнительные сведения см. в разделе “Использование моделирования групповой политики и
результатов групповой политики для оценки параметров групповой политики” в статье
Руководство по планированию и развертыванию групповой политики
(http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x419).
448
Вовлечение ключевых лиц
На развертывания групповых политик на предприятиях как правило влияют границы между
разными подразделениями. При подготовке к развертыванию важно консультироваться с
ключевыми заинтересованными лицами из разных функциональных групп организации и при
необходимости обеспечить их участие на этапах анализа, разработки, тестирования и
внедрения.
Проанализируйте параметры политики, развертывание которых планируется для управления
приложениями Office 2010, вместе с группой обеспечения безопасности организации и ИТотделом и убедитесь, что они соответствуют потребностям организации. Также необходимо
убедиться, что применяемый набор параметров политики является достаточно строгим для
адекватной защиты сетевых ресурсов.
См. также
Обзор групповой политики для Office 2010
Принудительное применение параметров с помощью групповой политики в Office 2010
449
FAQ: Group Policy (Office 2010)
Find answers to frequently asked questions (FAQ) about Group Policy and Microsoft Office 2010.
Q: When should I use Group Policy instead of Office
Configuration Tool (OCT)?
A: Although both Group Policy and the OCT can be used to customize user configurations for the
Microsoft Office 2010 applications, each is used for a specific configuration scenario.

Group Policy is recommended for settings that you want to enforce. Group Policy is used to
configure Office 2010 policy settings that are contained in Administrative Templates. The operating
system enforces those policy settings. Many settings have system access control list (SACL)
restrictions that prevent non-administrator users from changing them. In some cases, the settings
can be changed by users. See Истинные политики и предпочтения пользователя for more
information.

OCT is recommended for preferred or default settings only. The OCT is used to create a Setup
customization file (.msp file). Administrators can use the OCT to customize features and configure
user settings. Users can configure most of the settings after the installation.
Q: Where can I find a list of Group Policies that are
available for Office 2010?
A: Refer to the Microsoft Excel 2010 workbook Office2010GroupPolicyAndOCTSettings_Reference.xls,
which is available in the Files in this Download section on the Office 2010 Administrative Template
files (ADM, ADMX, ADML) and Office Customization Tool download page
(http://go.microsoft.com/fwlink/?LinkID=189156).
You can download Group Policy-related documentation from the Group Policy for Microsoft Office 2010
download page (http://go.microsoft.com/fwlink/?LinkId=204009).
Q: What is the difference between the two workbooks
Office2010GroupPolicyAndOCTSettings_Reference.x
ls and Office2010GroupPolicyAndOCTSettings.xls?
A: Always use Office2010GroupPolicyAndOCTSettings_Reference.xls. This workbook is more up-todate and is available for separate download on the Office 2010 Administrative Template files (ADM,
450
ADMX, ADML) and Office Customization Tool download page
(http://go.microsoft.com/fwlink/?LinkID=189156).
The workbook Office2010GroupPolicyAndOCTSettings.xls is integrated into the Group Policy templates
download package and is now out-of-date.
Q: What is the difference between .adm, .admx, and
.adml administrative template files?
A: These files are designed for use with specific operating systems on the computer that you use to
manage Group Policy settings.

The .adm files can be used by administrative computers that are running any Windows operating
system.

The .admx and .adml files can be used by administrative computers that are running at least
Windows Vista or Windows Server 2008. The .adml files are the language-specific versions of
.admx files. The .admx files hold the settings, and the .adml files apply the settings for the specific
language.
You can find more information about .admx files in the Managing Group Policy ADMX Files Step-byStep Guide. (http://go.microsoft.com/fwlink/?LinkID=164569)
Q: Do the Office 2010 .admx template files work with
the 2007 Office system? Or must I download the 2007
Office system template files separately?
A: You must use the template files that match the version of Office that you are deploying. We do not
recommend that you use the Office 2010 template files to configure the Office 2007.
Q: How do I install the Office 2010 Group Policy
templates?
A. Step-by-step instructions for starting Policy Management Console (GPMC), creating a Group Policy
Object (GPO), and loading Office 2010 Administrative Templates to a GPO are provided in the topic
Принудительное применение параметров с помощью групповой политики в Office 2010. The topic
describes two locations for storing Group Policy templates:

In an Administrative Templates central store in the Sysvol folder of the domain controller

In the PolicyDefinitions folder in the local computer
You can find more detailed information about creating a central store in Scenario 2: Editing DomainBased GPOs Using ADMX Files (http://go.microsoft.com/fwlink/?LinkId=207184).
If you want to take a quick look at the templates on your local computer, follow these steps after you
download the template files:
451
To view the .admx and .adml template files on a computer that runs at least Windows Vista or
Windows Server 2008
1. Copy the .admx and .adml files to the PolicyDefinitions folder in the local computer:
a. Copy .admx files to this location: %systemroot%\PolicyDefinitions (for example,
C:\Windows\PolicyDefinitions)
b. Copy .adml files to this location: %systemroot%\PolicyDefinitions\ll-cc (where ll-cc
represents the language identifier, such as en-us for English United States)
2. Open the gpedit.msc console and expand Administrative Templates (under Computer
Configuration and User Configuration) to view the Office 2010 policies.
To view the .adm template files on a computer that is running any Windows operating system
1. Open the gpedit.msc console, right-click Administrative Templates in the Computer
Configuration or User Configuration node, and then select Add/Remove Templates.
2. Click Add and locate the folder on your computer where you stored the .adm files.
3. Select the templates that you want in the language of your choice, click Open, and then click
Close. The .adm files are displayed under the respective Administrate Templates nodes in a
subnode called Classic Administrative Templates (ADM).
Q: How can I map a specific UI element in Office 2010
to a Group Policy setting?
A. Although it has not been updated for Office 2010, a list of Office 2007 Group Policy settings and
associated user interface settings is available as a downloadable workbook. The workbook also
provides the associated registry key information for user interface options that are managed by Group
Policy settings, and indicates the locations of the Office 2003 user interface elements (such as toolbars
and menus) in the Office 2007 user interface for Access, Excel, Outlook, PowerPoint, and Word. Click
the following link to view and download the Office2007PolicySettingsAndUIOptions.xlsx workbook:
http://go.microsoft.com/fwlink/?LinkId=106122.
Q: How can I use Group Policy to disable commands
and menu items?
You can use Group Policy settings to disable commands and menu items for Office 2010 applications
by specifying the toolbar control ID (TCID) for the Office 2010 controls. You can also disable keyboard
shortcuts by setting the Custom | Disable shortcut keys policy setting and adding the virtual key code
and modifier for the shortcut. A virtual key code is a hardware-independent number that uniquely
identifies a key on the keyboard. A modifier is the value for a modifier key, such as ALT, CONTROL, or
SHIFT.
452
To download a list the control IDs for built-in controls in all applications that use the Ribbon, visit Office
2010 Help Files: Office Fluent User Interface Control Identifiers.
For more information, see Отключение элементов пользовательского интерфейса и сочетаний
клавиш в Office 2010
Q. Why does Microsoft not support the use of Group
Policy Software Installation to deploy Office 2010?
A: Using the Software Installation extension of Group Policy is not supported in Office 2010 because of
changes to the Office setup architecture and customization model. If you have an Active Directory
environment, you can use a Group Policy computer startup script as an alternative. Group Policy
computer startup scripts provide solutions for organizations that need an automated way to deploy
Office_2nd_CurrentVer to many computers but who do not have desktop management applications,
such as Microsoft System Center Essentials or System Center Configuration Manager or a third-party
software management tool.
For more information, see Развертывание Office с использованием скриптов запуска компьютера
из групповой политики. For information about all Office deployment methods, see Развертывание
Office 2010.
Q. What are the advantages and limitations of
deploying Office 2010 using Group Policy computer
startup scripts?
Advantages:

A script can be written in any language that is supported by the client computer. Windows Script
Host-supported languages, such as VBScript and JScript, and command files are the most
common.

Scripts take advantage of Active Directory Domain Services (AD DS) and Group Policy
infrastructure.

AD DS handles the elevation of rights that are required for application installation.

Administrators can use a similar scripting process to apply updates and service packs for each
computer in the domain or organizational unit.

A script can be written in any language that is supported by the client computer, such as VBScript
and JScript, provided they are Windows Script Host-supported languages.
Disadvantages:

Group Policy invokes the script and has limited awareness of the installation status afterward.

Product uninstalls and installs for multiple computers have to be done by using a command-line
script or batch file.
453

It might be difficult to determine exactly which updates and service packs were applied to each
client computer.
454
Downloadable book: Group Policy for Office
2010
Group Policy for Office 2010 provides information about the Group Policy settings for Microsoft Office
2010. The audiences for this book are IT professionals who plan, implement, and maintain Office
installations in their organizations.
The content in this book is a copy of selected content in the Office 2010 as of the publication date. For
the most current content, see the Пакет ресурсов Office 2010 on the web.
Downloadable book: Group Policy for Office 2010 (http://go.microsoft.com/fwlink/?LinkId=204009)
455
Планирование многоязычного
развертывания Office 2010
В этой статье рассматриваются вопросы планирования развертывания Microsoft Office 2010 для
нескольких языков.
Содержание:

Планирование установки

Планирование настроек

Планирование средств проверки правописания
Планирование установки
Не зависящая от языка структура Office 2010 помогает упростить развертывание продуктов
Office на нескольких языках. Вместо создания последовательности установок можно
использовать программу установки для координации одной установки многоязычных версий.
Все зависящие от языка компоненты для конкретного языка содержатся в языковом пакете
Microsoft Office 2010. Каждый языковой пакет Office 2010 содержит зависящие от языка папки для
всех продуктов Office 2010, доступных на этом языке. Папки задаются тегом языка, который
добавляется к имени папки. Полный список тегов языков см. в разделе Language identifiers and
OptionState Id values in Office 2010 (на английском языке).
Все нужные языковые пакеты Office 2010 копируются в точку сетевой установки, содержащую
хотя бы один полный продукт Office 2010. По умолчанию программа установки автоматически
устанавливает языковую версию, соответствующую региональным параметрам Windows,
заданным на каждом пользовательском компьютере. Либо можно переопределить это поведение
по умолчанию и более точно управлять распространением многоязычных версий. Например,
можно выполнять следующие действия:

Устанавливать на одном компьютере несколько языков.

Определять языки, устанавливаемые на пользовательских компьютерах, независимо от
языка операционной системы, задаваемого региональными параметрами пользователя.

Задавать специализированные настройки один раз, а затем применять их ко всем языковым
версиям, развертываемым в организации.

Разворачивать различные языки для различных групп пользователей.

Разворачивать наборы средств проверки правописания Microsoft Office 2010 для
дополнительных языков.
Чтобы выбрать оптимальное для сценария решение развертывания, см. плакат Развертывание
многоязычных пакетов для Microsoft Office 2010 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=168622&clcid=0x419).
456
Чтобы определить средства проверки правописания смежных языков, включенные в языковой
пакет Office 2010, обратитесь к разделу Companion proofing languages for Office 2010 (на
английском языке).
Каждый языковой пакет Office 2010 содержит средства проверки правописания для одного или
нескольких языков. Например, датский языковой пакет Office 2010 содержит, кроме датского,
средства проверки правописания для английского и немецкого языков. Все языковые пакеты
Office 2010 содержат средства проверки правописания для английского языка. Дополнительные
сведения о средствах проверки правописания см. в разделе Планирование средств проверки
правописания.
Перед установкой языковой версии продукта Office 2010 программа установки определяет,
включена ли для операционной системы пользователя поддержка этого языка. При отсутствии
поддержки программа установки прекращает установку. Например, если для пользователя не
включена поддержка восточно-азиатских языков, программа установки не устанавливает
японскую версию Office 2010.
Необходимые языки следует определить в начале развертывания. Существуют специальные
действия, которые необходимо выполнить для изменения конфигурации пользователей после
первоначального развертывания и добавления дополнительные языки в ходе выполняемой
настройки. Дополнительные сведения см. в разделе Add or remove languages after deploying
Office 2010 (на английском языке).
Общее представление о логике программы установки для языка
пользовательского интерфейса оболочки
Каждый раз, когда развертывание Office 2010 выполняется из точки сетевой установки,
содержащей несколько языков, программа установки должна определить, какой язык будет
использоваться для пользовательского интерфейса программы установки. По умолчанию
программа установки использует один и тот же язык для языка установки Office 2010 и для
пользовательского интерфейса оболочки. Пользовательский интерфейс оболочки содержит
457
базовые элементы Office 2010, регистрируемые в операционной системе, такие как расширения
имен файлов, подсказки и пункты контекстного меню.
Если целью является установка только одной языковой версии Office 2010 на каждом клиентском
компьютере и если в файле Config.xml не заданы никакие дополнительные языки, программа
установки использует следующую логику, чтобы определить используемый язык:

Программа установки выбирает язык, соответствующий региональным параметрам
пользователя.

Если соответствие отсутствует, программа установки выполняет поиск близкого
соответствия. Если региональные параметры пользователя заданы, например, как
"Английский (Канада)", программа установки может установить Office 2010 с языком
"Английский (США)".

При отсутствии близкого соответствия программа установки ищет язык в следующем
подразделе реестра Windows:
HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources
Если запись InstallLanguage не была добавлена в подраздел LanguageResources, и для
нее не был задан конкретный язык (LCID), то программа установки предлагает пользователю
выбрать язык (при интерактивной установке) или установка завершается ошибкой (в случае
автоматической установки).
Если необходимо выполнить установку нескольких языковых версий Office 2010 на каждом
клиентском компьютере, следует изменить файл Config.xml и задать элемент <AddLanguage>
для каждого добавляемого языка. При добавлении нескольких языков в файл Config.xml
необходимо определить язык, который программа установки должна использовать для
пользовательского интерфейса оболочки. Если язык пользовательского интерфейса оболочки не
определен, установка завершается с ошибкой.
Язык для пользовательского интерфейса оболочки задается с помощью атрибута
ShellTransform элемента <AddLanguage>. В этом случае при выборе языка пользовательского
интерфейса программы установки используется указанный выше алгоритм. Языки,
установленные на компьютере, а также язык пользовательского интерфейса оболочки
определяются записями в файле Config.xml.
Программа установки всегда устанавливает Office 2010, добавляя язык пользовательского
интерфейса оболочки к остальным языкам установки. Например, если в качестве языка
пользовательского интерфейса оболочки выбран французский, пользователь может выбрать
дополнительные языки установки на вкладке Языки, но пользователь не сможет удалить
французский язык.
Конкретные действия по настройке программы установки для различных сценариев см. в
соответствующих разделах документа Изменение языковых настроек и параметров в Office 2010:

Развертывание выбранной по умолчанию языковой версии Office

Задание устанавливаемых языков

Развертывание различных языков для различных групп пользователей
458
Планирование настроек
Когда пользователь в первый раз запускает приложение Office 2010, программа установки
использует значения по умолчанию, соответствующие языку, установленному на компьютере, и
языку, заданному пользовательскими региональными параметрами Windows.
На работу пользователей с Office 2010 влияют четыре основных языковых параметра:

Основной язык редактирования Когда на компьютере установлено несколько языковых
версий Office 2010, этот параметр определяет язык, используемый пользователями для
работы с приложениями и документами Office.

Включенные языки редактирования Пользователи могут задать несколько языков для
редактирования документов Office 2010. В зависимости от выбранных языков этот параметр
может потребовать, чтобы пользователь установил дополнительные средства проверки
правописания.

Язык интерфейса пользователя Этот параметр определяет язык отображения
пользовательского интерфейса (меню и диалоговые окна).

Язык справки Этот параметр определяет язык, который будет использоваться для вывода
разделов справки.
Эти языковые параметры можно настроить для пользователей заранее. Если при установке
Office с помощью файла настроек программы установки (MSP-файл) или с помощью политик,
Office 2010 не переопределяет заданные значения значениями по умолчанию при первом
запуске приложений пользователями.
Методы настройки языковых параметров
Для настройки языковых параметров можно воспользоваться одним из следующих методов:

Групповые политики Групповые политики принудительно применяют языковые параметры
по умолчанию. Пользователи в организации не могут безвозвратно изменить значения,
управляемые политикой. Эти значения повторно применяются каждый раз, когда
пользователь входит в систему.
Следующие политики помогают управлять языковыми параметрами в Office 2010:

Язык меню и диалоговых окон Находится в папке "Язык интерфейса". Эта политика
определяет язык пользовательского интерфейса.

Язык отображения справки Находится в папке "Язык интерфейса". Эта политика
определяет язык интерактивной справки. Если эта политика не настроена, в качестве
языка справки используется язык пользовательского интерфейса.

Включенные языки редактирования Находится в папке "Языки редактирования". Эта
политика включает языки редактирования из списка языков, поддерживаемых Office.

Основной язык редактирования Находится в папке "Включенные языки
редактирования". Эта политика определяет язык, используемый пользователями для
459
работы с приложениями и документами Office, когда на компьютере доступно несколько
языковых версий.

Центр развертывания Office Центр развертывания Office используется для создания
файла настроек программы установки (MSP-файл), применяемого программой установки во
время установки. Значения, заданные в центре развертывания Office, являются значениями
по умолчанию. Пользователи могут изменить эти значения после установки.

Языковые параметры Если языковые параметры не заданы политикой в принудительном
порядке, пользователи, работающие с приложениями Office 2010, могут использовать
"Языковые параметры" для изменения языковых параметров.
Инструкции по использованию этих средств при настройке Office 2010 для многоязычных
развертываний см. в разделе Изменение языковых настроек и параметров в Office 2010.
Разрешение пользователям просматривать новые языковые
параметры при первом открытии
Обычно после настройки языковых параметров с помощью одного из методов, описанных в этой
статье, когда пользователь впервые запускает приложение Office 2010, программа установки
применяет значения по умолчанию, соответствующие языку, установленному на компьютере.
Это означает, что новые языковые параметры будут отображены при следующем (втором)
запуске приложения Office 2010 пользователем.
Чтобы пользователи просматривали новые языковые параметры при первом открытии
приложения Office 2010, администратор может развернуть на пользовательских компьютерах
следующие значения реестра при развертывании первоначальной установки Office 2010 или
перед первым использованием приложения Office 2010. Администратор может развернуть эти
значения реестра с помощью скрипта или пакетного файла, групповой политики или центра
развертывания Office. Необходимо настроить следующие значения реестра типа DWORD в
разделе HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources:
UILanguage
HelpLanguage
FollowSystemUI
Для каждого из этих значений задайте для имени Значение код LCID (идентификатор
региональных параметров) для языка, планируемого к использованию. Список LCID также
приведен в разделе Language identifiers and OptionState Id values in Office 2010 (на английском
языке). Значения LCID являются десятичными. При этом необходимо также задать для
параметра Система исчисления значение Десятичная.
Настройка зависящих от языка параметров, связанных с
пользовательскими региональными параметрами
Помимо использования параметра Основной язык редактированияOffice 2010 также
настраивает связанные с языком параметры (например, формат чисел) в соответствии с
460
пользовательскими региональными параметрами операционной системы. Это поведение
определяется записью LangTuneUp в подразделе LanguageResources реестра Windows. Чтобы
пользовательские региональные параметры не определяли значения по умолчанию, можно
сбросить значение LangTuneUp при установке Office 2010. Если запись LangTuneUp не
существует, то Office 2010 создает эту запись при первом запуске приложения и устанавливает
ее значение равным OfficeCompleted.
Запись LangTuneUp может содержать одно из двух значений:

OfficeCompleted Значения, основанные на пользовательских региональных параметрах, не
применяются к Office 2010 как единое целое. Но отдельные приложения все же проверяют
новые редакторы метода ввода (IME) и языковые скрипты и все же применяют параметры
приложений, специфические для пользовательских региональных параметров. Например,
приложения гарантируют, что для вновь установленных клавиатур будут включены
соответствующие языки редактирования, а Word будет использовать шрифты в шаблоне
Normal.dot, основываясь на пользовательских региональных параметрах.

Prohibited Никакие параметры, связанные с пользовательскими региональными
параметрами, не были изменены ни Office 2010, ни каким-либо отдельным приложением
Office 2010.
В некоторых сценариях игнорирование пользовательских региональных параметров
обеспечивает поддержку стандартной конфигурации в многоязычной организации. Установка
для записи LangTuneUp значения Prohibited обеспечивает согласованность языковых
параметров и совместимость макросов.
Например, если организации из США требуется ввести стандартизацию международных
параметров, то можно провести развертывание Office 2010, указав для параметра Основной
язык редактирования значение en-us (Английский (США)), а для записи LangTuneUp —
значение Prohibited. В этом случае для пользователей устанавливаются одинаковые значения
по умолчанию независимо от их региональных параметров.
Игнорирование пользовательских региональных параметров не представляет собой
оптимальный вариант. Например, у пользователей, использующих азиатские символы в
документах Office 2010, могут не быть установлены азиатские шрифты, необходимые для
правильного отображения символов. Если язык установки на компьютере пользователя не
совпадает с языком, используемым в документе, а для записи LangTuneUp задано значение
Prohibited, то вOffice 2010 не будут отображаться шрифты для языков, не являющихся языком
по умолчанию. Чтобы в установленной версии Office 2010 поддерживалось несколько азиатских
языков, убедитесь в том, что значение записи LangTuneUp равно OfficeCompleted. Чтобы
обеспечить невозможность изменения пользователями значений по умолчанию, настройте
соответствующую политику.
Планирование средств проверки правописания
Средства проверки правописания позволяют пользователям редактировать документы на более
чем 50 языках. В зависимости от языка в состав этих средств редактирования могут входить
461
проверка орфографии и грамматики, тезаурус и проверка расстановки переносов. Средства
проверки могут также включать зависящие от языка функции редактирования, такие как
"Автообнаружение языка", "Автореферат" и "Интеллектуальная автозамена".
Набор средств проверки правописания Office 2010 представляет собой единый ресурс для
установки любого средства проверки. Предоставляемые средства можно установить на
локальном ПК или развернуть для группы пользователей. Можно также настроить эти средства и
установить их для одного или всех пользователей в организации.
Определение метода для развертывания средств проверки
правописания
Можно развернуть дополнительные средства проверки правописания для тех пользователей,
которым нужно редактировать документы на языках, отличающихся от языков, уже
установленных на их компьютерах. Дополнительные средства проверки можно развернуть из
одного из нижеперечисленных источников:

Office 2010 Языковой пакет Используйте этот вариант, если пользователям нужны и
пользовательский интерфейс, и средства проверки правописания для языка, или если один
языковой пакет может обеспечить средства проверки правописания для всех нужных языков.
Не забывайте, что в каждую языковую версию Office 2010 входят средства проверки
правописания для набора смежных языков. Например, при развертывании английской
версии продукта Office 2010 пользователи помимо средств проверки правописания для
английского языка получают и средства проверки для испанского и французского языков. В
зависимости от количества развертываемых языков пользовательского интерфейса и
включаемых смежных языков языковые пакеты Office 2010 могут предоставить все нужные
средства проверки правописания.
Список смежных языков приведен в разделе Companion proofing languages for Office 2010 (на
английском языке). Если языковой пакет содержит средства проверки правописания для всех
нужных языков, разверните языковой пакет по указаниям, приведенным для
соответствующей ситуации в разделе Изменение языковых настроек и параметров в Office
2010.

Office 2010 Набор средств проверки правописания Этот продукт содержит средства
проверки правописания для всех языков, доступных в Office 2010. Используйте этот вариант,
если пользовательский интерфейс для языка не нужен, но необходимы различные средства
проверки правописания, не входящие в набор смежных языков для любых языков, уже
установленных или входящих в дополнительный языковой пакет, который можно установить.
Пакет многоязыкового интерфейса для Office 2010 содержит все языковые пакеты Office 2010.
Отдельные языковые пакеты Office 2010, пакет многоязыкового интерфейса для Office 2010 и
набор средств проверки правописания Office 2010 доступны для приобретения в крупных
розничных магазинах, на веб-сайтах этих магазинов, а также через программы корпоративного
лицензирования Майкрософт.
462
Требования к объему дискового пространства для установки средств проверки правописания
составляют 1 гигабайт (ГБ). Но итоговое дисковое пространство зависит от того, развертываются
ли средства проверки правописания из языкового пакета или из набора средств проверки
правописания Office 2010. Как и в случае большинства продуктов, входящих в состав Office 2010,
полный пакет набора средств проверки правописания Office 2010 кэшируется в локальном
источнике установки.
Примечание.
В состав средств проверки правописания не входят ни двуязычные словари, ни средства
разбиения текста на слова. Эти инструменты являются частью языковой версии или
языкового пакета.
Настройка установки набора средств проверки правописания
Office 2010
Чтобы настроить установку набора средств проверки правописания Office 2010, измените файл
Config.xml в папке ProofKit.WW. Для каждого набора средств проверки правописания, который не
нужно устанавливать, в элементе OptionState задайте для атрибута State значение Absent.
Синтаксис
<OptionState
Id="КодПараметра"
State="Absent" | "Advertise" | "Default" | "Local"
[Children="force"]
/>
Атрибуты OptionState
Следующая таблица содержит атрибуты OptionState, их значения и описания
Атрибут
Значение
Описание
Id
КодПараметра
Элемент, который пользователь
выбирает для установки. См.
раздел Значения OptionState Id
файла Config.xml средств
проверки правописания в
документе Language identifiers
and OptionState Id values in Office
2010 (на английском языке).
State
Absent
Компонент не устанавливается.
463
Атрибут
Children
Значение
Описание
Advertise
Компонент устанавливается при
первом использовании.
Default
Компонент возвращается в
состояние установки по
умолчанию.
Local
Компонент устанавливается на
компьютер пользователя.
force
Все дочерние компоненты
устанавливаются в заданное
состояние.
Примечание.
Значением по умолчанию атрибута State является Local.
Пример файла Config.xml для набора средств проверки правописания
Office 2010
В следующем примере файла Config.xml для всех показанных языков значение атрибута State
элемента OptionState установлено равным Absent. Если решено скопировать этот пример в
файл Config.xml для набора средств проверки правописания Office 2010, установите значение
атрибута State для каждого развертываемого набора средств проверки правописания равным
Local (либо Default или Advertise, если соответствующее значение является более
предпочтительным).
<Configuration Product="ProofKit">
<!-- <Display Level="full" CompletionNotice="yes" SuppressModal="no" AcceptEula="no" /> -->
<!-- <Logging Type="standard" Path="%temp%" Template="Microsoft Office Proofing Tools Kit
Setup(*).txt" /> -->
<!-- <USERNAME Value="Customer" /> -->
<!-- <COMPANYNAME Value="MyCompany" /> -->
<!-- <INSTALLLOCATION Value="%programfiles%\Microsoft Office" /> -->
<!-- <LIS CACHEACTION="CacheOnly" /> -->
<!-- <LIS SOURCELIST ="\\server1\share\Office;\\server2\share\Office" /> -->
<!-- <DistributionPoint Location="\\server\share\Office" /> -->
<!-- <OptionState Id="OptionID" State="absent" Children="force" /> -->
<OptionState Id="IMEMain_1028" State="Absent" Children="force"/>
464
<OptionState Id="IMEMain_1041" State="Absent" Children="force"/>
<OptionState Id="IMEMain_1042" State="Absent" Children="force"/>
<OptionState Id="IMEMain_2052" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1025" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1026" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1027" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1028" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1029" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1030" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1031" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1032" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1033" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1035" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1036" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1037" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1038" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1040" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1041" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1042" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1043" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1044" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1045" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1046" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1048" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1049" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1050" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1051" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1053" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1054" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1055" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1056" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1058" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1060" State="Absent" Children="force"/>
465
<OptionState Id="ProofingTools_1061" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1062" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1063" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1069" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1081" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1087" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1094" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1095" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1097" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1099" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1102" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_1110" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_2052" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_2068" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_2070" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_2074" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_3076" State="Absent" Children="force"/>
<OptionState Id="ProofingTools_3082" State="Absent" Children="force"/>
<!-- <Setting Id="Setup_Reboot" Value="IfNeeded" /> -->
<!-- <Command Path="%windir%\system32\msiexec.exe" Args="/i \\server\share\my.msi"
QuietArg="/q" ChainPosition="after" Execute="install" /> -->
</Configuration>
Предварительное кэширование локального источника установки
для набора средств проверки правописания Office 2010
При развертывании набора средств проверки правописания Office 2010 программа установки
создает на компьютере пользователя локальный источник установки — копию сжатых исходных
файлов для набора средств проверки правописания Office 2010. После копирования файлов на
компьютер пользователя программа установки выполняет установку из локального источника
установки. Можно свести нагрузку на сеть к минимуму, развертывая локальный источник
установки отдельно, до развертывания набора средств проверки правописания Office 2010.
Описание выполнения предварительного кэширования локального источника установки для
набора средств проверки правописания Office 2010 см. в разделе Предварительное
кэширование локального источника установки для Office 2010. Используйте файл Setup.exe и
466
Config.xml files из папки ProofKit.WW компакт-диска набора средств проверки правописания
Office 2010.
См. также
Language identifiers and OptionState Id values in Office 2010 (на английском языке)
Companion proofing languages for Office 2010 (на английском языке)
Изменение языковых настроек и параметров в Office 2010
Add or remove languages after deploying Office 2010 (на английском языке)
International reference for Office 2010 (на английском языке)
Office Customization Tool in Office 2010 (на английском языке)
Предварительное кэширование локального источника установки для Office 2010
467
Планирование виртуализации Office 2010
Технология Microsoft Application Virtualization (App-V) позволяет предоставить компьютерам
конечных пользователей доступ к приложениям без непосредственной их установки на эти
компьютеры. В этом разделе представлены сведения по развертыванию Microsoft Office 2010 с
помощью виртуализации приложений.
Содержание:
Статья
Описание
Обзор виртуализации при развертывании Office Описание виртуализации, ее использования в
2010
организации, методов и типов Microsoft
Application Virtualization (App-V), которые можно
использовать для развертывания Office 2010.
Методы развертывания Office 2010 с
использованием виртуализации приложений
Сведения о методах развертывания Office 2010
с помощью технологии Microsoft Application
Virtualization (App-V) в определенных средах, а
также описание развертывания с помощью
сервера Application Virtualization Management
Server или Application Virtualization Streaming
Server.
468
Обзор виртуализации при развертывании
Office 2010
В этой статье описывается, что такое виртуализация, как использовать виртуализацию в
компании и какой метод виртуализации можно реализовать в среде компании. Визуальное
представление этих сведений см. в статье Обзор виртуализации, методов и моделей (Возможно,
на английском языке) (http://go.microsoft.com/fwlink/?linkid=168624&clcid=0x419).
Содержание:

Сведения о виртуализации

Типы и технологии виртуализации

Методы доставки виртуализации

Изменения и обновления виртуализации

Клиентская архитектура виртуализации приложений
Сведения о виртуализации
Виртуализация — это возможность запускать приложение или компьютер в виртуальное среде,
не затрагивая компоненты, которые уже используются на определенном настольном компьютере
или сервере. Виртуализацию вычислительных ресурсов можно осуществить двумя способами.

Виртуализация приложений При виртуализации приложений программа запускаются в
изолированной виртуальной среде со всеми данными, необходимыми для запуска
приложения на клиентском компьютере, при этом приложение не устанавливается локально.

Виртуализация настольного компьютера При виртуализации настольного компьютера
программное обеспечение, операционная система и конфигурация оборудования
содержится в изолированной виртуальной среде. После создания уровня между
оборудованием и устанавливаемой операционной системой можно работать в нескольких
операционных системах и с различными приложениями на одном компьютере.
469
Типы и технологии виртуализации
Предприятие может выполнить развертывание с помощью одного метода виртуальной доставки
или же использовать несколько виртуальных сред вместе.
Настольный компьютер, представление, приложение
Доступны следующие типы и технологии виртуализации.

Настольный компьютер При виртуализации настольного компьютера дополнительная
изолированная среда операционной системы создается на стандартном настольном
компьютере. Виртуальный ПК довольно часто используется для виртуализации компонентов
всего настольного компьютера, определенных аппаратных компонентов или только
профилей пользователей, которые затем применяются к другому устройству, компьютеру
или операционной системе. Виртуальный ПК может создать основную систему с гостевыми
учетными записями для нескольких образов операционных систем, поддерживающих
устаревшее ПО без влияния на возможности конечных пользователей с обновлениями
приложений или без проблем с совместимостью. Дополнительные сведения см. в
Виртуальный ПК Windows (http://go.microsoft.com/fwlink/?linkid=156041&clcid=0x419).

Представление При виртуализации представления профили пользователей вместе с
данными и параметрами приложений отделяются компьютера пользователя. Для этого
нужно использовать службы удаленных рабочих столов (ранее известные как службы
терминалов), одну из основных технологий виртуализации, доступных в Windows Server
2008. Режим представления обычно используется для подключений к "тонким клиентам" или
многопользовательских приложений, где любое сочетание приложений или
виртуализованная среда настольного компьютера, использующая операционную систему и
приложения, запускается в одном месте, а управляется из другого. Службы удаленных
рабочих столов предоставляют каждому пользователю изображения окон (отдельных
приложений или всего настольного компьютера) в то время, как компьютер пользователя
передает нажатия клавиш и движения мыши на сервер. Дополнительные сведения см. в
статье Выбор виртуализации настольного компьютера или представления (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=156042&clcid=0x419).

Приложение Виртуализация приложений позволяет виртуализировать отдельные
приложения, подключаемые модули и обновления, а затем передавать их клиентскому
компьютеру поблочно для более быстрого доступа. Для удаленных пользователей, таких как
консультанты или пользователи с портативными компьютерами, виртуальные приложения
можно “упаковать” как MSI-файл для распространения с помощью USB-накопителя, компактдиска сервера файлов. Дополнительные сведения см. в статье Выбор виртуализации
приложений или настольного компьютера (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=156043&clcid=0x419).
Каждый из этих методов виртуализации содержит приложение в собственной защищенной
среде.
470
Также есть несколько типов виртуализации серверной стороны (Hyper-V и Virtual Server),
которые не описываются в этой статье. Дополнительные сведения о типах виртуализации
серверной стороны см. в следующих статьях.

Техническая библиотека Virtual Server 2005 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=156044&clcid=0x419)

Hyper-V при применении к Windows Server 2008
(http://go.microsoft.com/fwlink/?linkid=156045&clcid=0x419)
Виртуализация приложений
Microsoft Application Virtualization (App-V) — это решение для виртуализации приложений на
уровне предприятия, которое является частью пакета Microsoft Desktop Optimization Pack
(MDOP). App-V позволяет запускать приложения в одном экземпляре операционной системы,
превращая их в службы с централизованным управлением, которые никогда не
устанавливаются, не конфликтуют и передаются по требованию конечным пользователям. App-V
поддерживают устаревшие приложения и их точки расширения, при этом виртуальные
приложения не конфликтуют друг с другом, не влияют на систему, их можно полностью удалить,
легко восстановить и обновить.
App-V лучше всего использовать для приложений, которые работают в текущей или целевой
операционной системе, но конфликтуют с другими приложениями или установленными
файлами. Отделяя физический компьютер от от программного или аппаратного обеспечения,
можно создавать изолированную среду, которая не видна конечным пользователям, и затем
запускать приложение, используя настольный компьютер или сервер со службами удаленных
рабочих столов (ранее известные как службы терминалов) без установки приложения в
клиентской операционной системе.
В Microsoft Office 2010 включен стандартный метод развертывания (программа установки
Setup.exe) и также поддерживается доставка через виртуализацию с помощью потоковой
передачи или развертывания приложений Office конечному пользователю без использования
компакт-диска или файла Setup.exe.
В случае с приложениями, которые не запускаются в текущей операционной системе и для
которых требуется более старая версия операционной системы, следует ознакомиться с
Microsoft Enterprise Desktop Virtualization (MED-V)
(http://go.microsoft.com/fwlink/?linkid=156031&clcid=0x419), компонентом MDOP (см. статью Пакет
Microsoft Desktop Optimization Pack (http://go.microsoft.com/fwlink/?linkid=156032&clcid=0x419).
MED-V позволяет развертывать приложения с помощью виртуального ПК.
Для использования Microsoft Application Virtualization на предприятии требуется настроить клиент
Application Virtualization Desktop (набор для развертывания) на каждом устройстве с Office 2010.
Дополнительные сведения о виртуальных средах см. в статье Сведения о виртуальных средах
(http://go.microsoft.com/fwlink/?linkid=156039&clcid=0x419).
471
Методы доставки виртуализации
Microsoft Office 2010 можно доставить несколькими способами.
Дополнительные сведения о виртуализации компьютеров и серверов см. в следующих
материалах:

Виртуальный ПК Windows (http://go.microsoft.com/fwlink/?linkid=156041&clcid=0x419)

Виртуализация с помощью Hyper-V (http://go.microsoft.com/fwlink/?linkid=156049&clcid=0x419)

Hyper-V при применении к Windows Server 2008
(http://go.microsoft.com/fwlink/?linkid=156045&clcid=0x419)

Техническая библиотека Virtual Server 2005 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=156044&clcid=0x419)
Методы доставки
Для каждого виртуализации есть метод доставки, который предоставляет виртуальную среду
для настольного компьютера.
Визуальное представление метода доставки см. в статье Обзор виртуализации, методов и
моделей (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=168624&clcid=0x419).
Для виртуализации используются следующие методы доставки.

Предоставление презентаций Предоставляет доступ к виртуальному приложению через
службы удаленных рабочих столов с настольного компьютера. Приложения запускаются с
одного центрального сервера, который предоставляет изображения экрана приложения или
рабочего стола, которые управляются настольным компьютером.
Дополнительные сведения о виртуализации презентации служб удаленных рабочих столов
(ранее известные как службы терминалов) см. в статье Службы удаленных рабочих столов
(http://go.microsoft.com/fwlink/?linkid=156050&clcid=0x419).

Потоковая доставка Виртуализация приложений — это процесс, в котором приложение
“пакуется” и хранится на сервере файлов, сервере приложений или другом источнике,
например, в Microsoft System Center Configuration Manager 2007, доставляется в маленьких
последовательных пакетах по мере необходимости. Дополнительные сведения см. в статье
472
Диспетчер System Center Configuration Manager
(http://go.microsoft.com/fwlink/?linkid=156051&clcid=0x419).
Если конечные пользователи открывают документ, который запускает виртуальное
приложение в первый раз, отображается строка быстрой прокрутки, показывающая процент
виртуального приложения, переданного на компьютер. После загрузки приложения конечные
пользователи могут начать работу. Если нужные пользователям компоненты отсутствуют в
первом блоке компонентов, остальная часть приложения будет передана в фоновом режиме
в локальный кэш компьютера пользователя.
Последовательный пакет содержит несколько файлов, в том числе один SFT-файл, один
SPRJ-файл, один файл Manifest.xml и несколько OSD- и ICO-файлов.


SFT-файл содержит все файлы приложения со всеми активами в виде блоков
компонентов для потоковой передачи.

OSD-файл содержит описание приложения, в том числе зависимости среды,
расположение пакета, интеграцию оболочки и скрипты.

ICO-файл содержит значки, связанные с каждым ярлыком или связью типа файла (FTA),
которые заданы в OSD-файле или файле Manifest.xml. Они извлекаются из ресурсов
приложения.

SPRJ-файл — файл виртуализации проекта, который ссылается на список всех
элементов средства синтаксического анализа, классификаций и исключений пакета
параметров из OSD-файла.

Файл Manifest.xml, который публикует параметры для приложений в пакете, содержит
определение интеграции оболочки (например, связи типов файлов, ярлыки, DDE и т.д.).
Автономная доставка Процесс, когда приложение “пакуется” и доставляется через
компакт-диска, USB-накопителя и т.д, а затем хранится локально на кэшированном диске
пользователей для полного доступа, если они отключаются от сети.
Визуальное представление автономного метода доставки для мобильных пользователей см.
в статье Обзор виртуализации, методов и моделей (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=168624&clcid=0x419).
При создании автономного пакета в него добавляется дополнительный файл. Создается MSIфайл для публикации и загрузки (“установки”) пакета виртуального приложения в автономной
среде.
473
Изменения и обновления виртуализации
Технология Microsoft Application Virtualization (App-V), ранее известная как Microsoft SoftGrid
Application Virtualization, предоставляет доступ к централизованной системе управления на
основе политик, которая позволяет администраторам предоставлять и запрещать доступ к
любому приложений независимо от его размещения (например, для пользователей настольных
компьютеров, переносных компьютеров или мобильных устройств).
App-V интегрируется с диспетчером Microsoft System Center Configuration Manager 2007, который
позволяет развертывать приложения App-V из Configuration Manager 2007.
Дополнительные сведения об основных функциях и компонентах технологии App-V см. в статье
Обзор виртуализации приложений (http://go.microsoft.com/fwlink/?linkid=156034&clcid=0x419).
Улучшения SoftGrid
В следующей таблице представлены некоторые улучшения технологии App-V. Подробный
список улучшений см. в статье Microsoft Application Virtualization — новые компоненты (Возможно,
на английском языке) (http://go.microsoft.com/fwlink/?linkid=156036&clcid=0x419).
Новая возможность
Поддерживается в App-V 4.x
Службы виртуализации Windows
Да.
Позволяет пользователям виртуализировать
все аспекты любого приложения на основе
Windows.
Виртуализованные транзакционные профили
пользователей
Да.
Предварительное кэширование конечных
пользователей
Да.
Пакетная виртуализация
Да.
Снижает размер профилей Windows и
обеспечивает перемещение между
компьютерами.
Позволяет пользователям предварительно
кэшировать приложения для автономного
использования.
Позволяет выполнить виртуализацию
приложения один раз и выполнять его с любого
компьютера в нескольких операционных
системах Windows, что снижает объем работы
для виртуализации приложений.
Модель лицензирования
Обеспечивает централизованное
474
Новая возможность
Поддерживается в App-V 4.x
лицензирование с добавленной платформой
SPP.
Поддержка Windows 7
Да (App-V 4.5).
Поддержка Office 2010
Да (App-V 4.6) и для развертываний Office x64
или x86 на 64-разрядных компьютерах (с
использованием WoW64).
Активные обновления
Да.
Обновления приложения без отключения
пользователя.
SharePoint и Outlook Fast Search
Да.
Управление доступом
Да.
Управление доступом к приложениям, которые
были предварительно авторизованы ИТадминистраторами, даже в автономном
режиме.
Клиентская архитектура виртуализации
приложений
В зависимости от требований организации возможно сочетание технологий виртуализации.
Определите, какие возможности необходимы на основе характеристик виртуализации для
конкретной ситуации. Дополнительные сведения см. в статье Совмещение технологий
виртуализации (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=156054&clcid=0x419).
При виртуализации приложения создается слой между операционной системой и самим
приложением. Таким образом обеспечиваются следующие преимущества.

Большая гибкость при запуске приложений, которые ранее могли конфликтовать с другими
приложениями.

Приложение устанавливаются и удаляются легче, так как они не влияют на локальные
файлы настольного компьютера.

Сокращение регрессионного тестирования.

Больше настроек развертывания приложений.
Когда приложение публикуется на локальном компьютере, оно остается в виртуальной среде.
Однако оно выполняется локально с использованием локальных ресурсов. Хотя приложение
475
размещено в виртуальной среде, оно все еще может взаимодействовать с другими локально
установленными приложениями.
Виртуальная среда для каждого приложения содержит параметры реестра и INI-файлы, DLLфайлы и файл параметров групповой политики. Приложение читает и записывает данные в эту
виртуальную среду, не влияя на какие-либо параметры локального клиентского компьютера.
Единственные элементы, которые приложение с использованием App-V считывает и записывает
за своими пределами — это системные службы (например, вырезание и вставка, OLE и
принтеры) и данные профиля. Локальные системные файлы (например, реестр, INI- и DLLфайлы ) считываются только при необходимости.
См. также
Руководство по планированию и развертыванию системы виртуализации приложений
Сценарий электронного распространения программного обеспечения
Сценарий с сервером виртуализации приложений
Сценарий автономной доставки для клиентов виртуализации приложений
Руководство по Microsoft Application Virtualization (Возможно, на английском языке)
Рекомендуемые способы использования виртуализации в Microsoft SoftGrid (Возможно, на
английском языке)
476
Методы развертывания Office 2010 с
использованием виртуализации приложений
В этой статье представлены сведения об определенных методах развертывания технологии
Microsoft Application Virtualization (App-V) в средах без доступных серверов для поддержки других
методов развертывания виртуальных приложений, а также в средах, в которых планируется
развернуть виртуальные приложения с подключенного сервера, такого как сервер Application
Virtualization Management Server или Application Virtualization Streaming Server.
Сведения о технологии и компонентах App-V, а также их развертывании см. в статье
Руководство по планированию и развертыванию системы виртуализации приложений
(http://go.microsoft.com/fwlink/?linkid=156611&clcid=0x419). В этом руководстве также
представлены пошаговые инструкции для реализации ключевых методов развертывания.
Дополнительные сведения о развертывании Office 2010 с помощью App-V см. в статье
Развертывание Office 2010 с использованием Microsoft Application Virtualization.
Методы развертывания
Содержимое пакета виртуального приложения можно разместить на одном или нескольких
серверах Application Virtualization, чтобы передавать его клиентам по требованию и кэшировать
локально. Серверы файлов и веб-серверы также можно использовать как серверы потоковой
передачи, или же содержимое можно разместить непосредственно на компьютере конечного
пользователя — например, при использовании системы ESD, такой как Microsoft System Center
Configuration Manager 2007.
Далее представлены некоторые методы и ресурсы развертывания.

Развертывание на основе ESD Дополнительные сведения см. в статье Сценарий
электронного распространения программного обеспечения
(http://go.microsoft.com/fwlink/?linkid=156046&clcid=0x419).

Развертывание на основе сервера Дополнительные сведения см. в статье Сценарий с
сервером виртуализации приложений
(http://go.microsoft.com/fwlink/?linkid=156047&clcid=0x419).

Автономное развертывание Дополнительные сведения см. в разделе Сценарий
автономной доставки для клиентов виртуализации приложений
(http://go.microsoft.com/fwlink/?linkid=156048&clcid=0x419).
См. также
Развертывание Office 2010 с использованием Microsoft Application Virtualization
Руководство по планированию и развертыванию системы виртуализации приложений
477
Пакеты приложений Application Virtualization
В этой статье представлены технические рекомендации по использованию технологии Microsoft
Application Virtualization (App-V) для создания пакета Microsoft Office 2010.
Содержание:
Application Virtualization Sequencer
Пакеты виртуализации приложений
Создание пакета Office 2010
Создание зависимостей приложения с помощью формирования динамических пакетов
Application Virtualization Sequencer
Microsoft Application Virtualization Sequencer — это средство на основе мастера, которое
администраторы используют для создания виртуализованных приложений и пакетов
приложений, передаваемых клиентским компьютерам App-V.
Во время процесса последовательного выполнения администратор переводит программу
Sequencer в режим мониторинга и устанавливает нужное приложение на компьютере
виртуализации. Затем администратор запускает виртуализируемое приложение и применяет
часто используемые функции, чтобы при мониторинге можно было настроить блок основных
функций. Блок основных функций содержит минимальный контент, необходимый для запуска
приложения или нескольких приложений. После выполнения этих действий администратор
отключает режим мониторинга, сохраняет и тестирует виртуализированное приложение, чтобы
проверить правильность его работы.
Пакеты виртуализации приложений
Sequencer создает пакет приложения, который состоит из нескольких файлов, описанных в
следующем списке. SFT-, OSD- и ICO-файлы, которые хранятся в общей папке контента на
сервере App-V Management Server и используются клиентским компьютером App-V для доступа к
виртуализованным приложениям и их запуска.
ICO-файлы (значки) определяют значки приложений, которые отображаются на рабочем столе
клиента App-V, а также используются для ярлыков в меню Пуск и для типов файлов. Если
дважды щелкнуть файлы или ярлыки, запустится ярлык соответствующего OSD-файла, который
начнет потоковую передачу данных и запустит приложение. Приложение, доступное через AppV, запускается так же, как и локально хранимое приложение.
OSD--файл (Open Software Description) предоставляет сведения, которые необходимы для
поиска SFT-файла для настройки и запуска приложения. К этим сведениям относятся имя
478
приложения, имя и путь исполняемого файла, имя и путь SFT-файла, имя пакета,
поддерживаемые операционные системы и общие комментарии о приложении.
SFT-файл содержит активы, в том числе одно или несколько приложений на основе Windows.
App-V Sequencer, не изменяя исходный код, упаковывает эти файлы активов в блоки данных,
которые можно передавать клиенту App-V. Файл разделен на два блока. Первый блок, который
называется блок основных функций, состоит из наиболее часто используемых функций,
настраиваемых во время создания пакета.
SPRJ-файл (проект Sequencer) создается при сохранении проекта. SPRJ-файл содержит список
файлов, каталогов и записей реестра, исключенных Sequencer. Загрузите этот файл в
Sequencer, чтобы добавить, изменить, удалить или обновить любое приложение в пакете. SPRJфайл часто используется для добавления пакетов обновлений в приложение.
Файл манифеста (на основе XML) описывает все приложения, ассоциации типов файлов и
значки, используемые пакетом.
Создание пакета Office 2010
Microsoft Office 2010 использует службу SPP Office. Эта же технология активации используется
для активации корпоративных выпусков Windows Vista и Windows 7, а также содержится в наборе
развертывания Microsoft Office 2010 для App-V (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=186371&clcid=0x419) (Возможно, на английском языке).
Перед виртуализацией пакета следует убедиться, что выполняются минимальные требования к
конфигурации, и следовать инструкциям, указанным в разделе Рекомендации по использованию
Application Virtualization Sequencer (http://go.microsoft.com/fwlink/?linkid=192229&clcid=0x419).
Требуется установить и настроить набор развертывания Microsoft Office 2010 для App-V на
компьютере виртуализации. В набор включены компоненты лицензирования SPP, необходимые
для активации лицензии Office (http://go.microsoft.com/fwlink/?linkid=182959&clcid=0x419) и
доступа к возможностям интеграции Office 2010. Этот продукт также следует установить на
клиентских компьютерах, на которые будут развертываться и передаваться пакеты Office 2010.
Чтобы создать системный пакет, требуется сервер электронного распространения программного
обеспечения (ESD) или сервер App-V Management Server, компьютер виртуализации и
клиентский компьютер, которые работают под управлением одной версии Windows. Убедитесь,
что в среде выполняются все условия, перечисленные в следующей таблице.
Архитектура
Архитектура
Архитектура
Поддержка
Поддержка
компьютера
компьютера с
клиентского
лицензирования
виртуального
виртуализации
Office
компьютера
Компьютер с 32разрядной (x86)
архитектурой
Компьютер с 32разрядной (x86)
архитектурой
Компьютер с 32разрядной (x86)
архитектурой
прокси-сервера
Да
Да
479
Архитектура
Архитектура
Архитектура
Поддержка
Поддержка
компьютера
компьютера с
клиентского
лицензирования
виртуального
виртуализации
Office
компьютера
Компьютер с 64разрядной (x64)
архитектурой
прокси-сервера
Компьютер с 64разрядной (x64)
архитектурой
(Office будет
работать с
помощью
технологии
WoW64)
Да
Да
Компьютер с 32разрядной (x86)
архитектурой
Компьютер с 64разрядной (x64)
архитектурой
(Office будет
работать с
помощью
технологии
WoW64)
Да
Да
Компьютер с 64разрядной (x64)
архитектурой
Компьютер с 64разрядной (x64)
архитектурой
Да
Нет
Важно!
Пакеты, которые виртуализируются на 64-разрядных компьютерах, можно развертывать
только на 64-разрядные клиентские компьютеры. Пакеты, которые виртуализируются на
64-разрядных компьютерах, можно развертывать клиентские компьютеры на основе
платформы x86 или x64.
Примечание.
Виртуальные прокси-серверы необязательны. Они поддерживаются только на 32разрядных компьютерах с Office 2010.
На следующем рисунке и в следующей таблице описываются минимальные требования для
создания системного пакета, а далее указаны процедуры, необходимые для его создания.

Подготовка компьютера к виртуализации

Установка набора развертывания

Виртуализация системного пакета Office 2010
480
Компьютер
Описание
Необходимая операционная
система
А
Представляет сервер ESD или
App-V Management Server
Под управлением Windows
Server 2008
Б
Представляет конфигурацию
клиентского компьютера как
компьютера виртуализации
Под управлением такой же
версии Windows, что и В
В
Представляет клиентский
компьютер-получатель для
пакета виртуального
приложения
Под управлением такой же
версии Windows, что и Б
Для подготовки компьютера к виртуализации используйте следующую процедуру.
Подготовка компьютера к виртуализации
1. Убедитесь, что служба Windows Search 4.0 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=169358&clcid=0x419) (Возможно, на английском
языке) установлена, и задайте для службы Windows Search параметр Вручную или
Автоматически.
2. Загрузите программу просмотра XPS-файлов, установив Пакет XPS EP
(http://go.microsoft.com/fwlink/?linkid=169359&clcid=0x419).
3. Задайте для службы обновления Windows параметр Отключено.
4. Установите приложение App-V 4.6 Sequencer.
5. Загрузите пакет развертывания (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=186371&clcid=0x419) (Возможно, на английском
языке) и извлеките EXE-файл.
6. После извлечения EXE-файла будет доступен файл OffVirt.msi.
Используйте следующую процедуру для установки набора развертывания, который позволяет
виртуализировать и развертывать клиентские продукты Office 2010 с помощью App-V. В набор
включены компоненты, необходимые для активации лицензии Office.
Установка набора развертывания
481
1. Откройте окно командной строки с повышенными полномочиями.
Щелкните Все программы и выберите Стандартные, щелкните правой кнопкой
Командная строка и выберите команду Запуск от имени администратора. Или
откройте меню Пуск, введите cmd в поле поиска и нажмите CTRL+SHIFT+ВВОД.
2. Перейдите к каталогу, содержащему файл Offvirt.msi.
3. Выполните следующую команду для установки набора развертывания:
Msiexec /i OffVirt.msi [флаги функции][флаги лицензирования]
Примечание
Требуется установить версию набора развертывания, которая соответствует архитектуре
операционной системы компьютера. Например, если планируется виртуализировать 32- или
64-разрядную версию Office на компьютере с 64-разрядной операционной системой,
требуется использовать 64-разрядную версию набора развертывания, так как она
соответствует версии операционной системы.
Используйте флаги функции архитектуры, которая соответствует операционной системе
компьютера виртуализации:
32-разрядная
версия:ADDLOCAL=Click2runMapi,Click2runOWSSupp,Click2runWDS,OSpp,OSpp_Core
64разрядная:ADDLOCAL=Click2runMapi,Click2runOWSSupp,Click2runWDS,Ospp,OSpp_Cor
e,OSppWoW64
Дополнительные сведения о многопользовательской активации Office 2010 и определении
нужных флагов активации и лицензирования см. в разделе Активация лицензии Office
(http://go.microsoft.com/fwlink/?linkid=182959&clcid=0x419).
В следующей таблице перечислены приложения Office 2010 и пакеты продуктов Office 2010
вместе с соответствующими флагами лицензирования для активации KMS. Для настройки
соответствующих свойств лицензии для KMS укажите значения, соответствующие
виртуализируемым продуктам Office 2010, и задайте значение флага из следующей таблицы,
равное 1.
Например: msiexec /i Offvirt.msi PROPLUS=1 VISIOPREM=1
Активация KMS
Продукт-
Флаг
приложение
Значени
Набор продуктов
е
Значени Флаг
е
Access
Access
0 или 1
Office
профессиональн
ый плюс
0 или 1
PROPLUS
Excel
Excel
0 или 1
Office для
малого бизнеса
0 или 1
SMALLBUSBASI
CS
482
SharePoint
Workspace
GROOVE
0 или 1
InfoPath
InfoPath
0 или 1
OneNote
OneNote
0 или 1
Outlook
Outlook
0 или 1
PowerPoint
PowerPoint
0 или 1
Project
профессиональн
ый
PROJECTPR 0 или 1
O
Project
стандартный
PROJECTST 0 или 1
D
Publisher
Publisher
0 или 1
SharePoint
Designer
SPD
0 или 1
Visio премиум
VISIOPREM
0 или 1
Visio
профессиональн
ый
VISIOPRO
0 или 1
Visio
стандартный
VISIOSTD
0 или 1
Word
Word
0 или 1
Office
стандартный
0 или 1
STANDARD
В следующей таблице перечислены флаги и значения для активации MAK. Если клиентские
компьютеры Office будут использовать активацию MAK, следует установить ключ продукта с
помощью одного из методов, указанных в следующей таблице.
Активация MAK
Флаг
Значение
PIDKEYS
XXXXX-XXXXX-XXXXXX-XXXXXX-XXXXXXX
Несколько ключей продуктов, разделенные
точкой с запятой.
Доп. PIDKEYS=X-X-X-X-X;Y-Y-Y-Y-Y
USEROPERATIONS
0 или 1
483
1. Используйте средство управления активацией корпоративных лицензий (VAMT) 2.0 для
установки ключей продукта на клиентских компьютерах, которые передают данные системы
Office 2010. Сведения о загрузке этого средства см. в разделе Средство управления
активацией корпоративных лицензий (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=83292&clcid=0x419) (Возможно, на английском языке).
2. Выполните развертывание одного или нескольких ключей MAK с помощью свойства
PIDKEYS, разделенных точкой с запятой, как показано в таблице. В следующем примере
вводятся ключи MAK Office Профессиональный плюс и Visio, за которым следует свойство
USEROPERATIONS, равное 1, разрешающее клиенту активацию.
msiexec /i OffVirt.msi PIDKEYS=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx;yyyyy-yyyyyyyyyy-yyyyy-yyyyy-yyyyyy USEROPERATIONS=1
3. Поддерживаются смешанные развертывания с использованием ключей KMS и MAK.
Например, можно использовать KMS для PROPLUS и MAK для Visio:
msiexec /i OffVirt.msi PROPLUS=1 PIDKEYS=yyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy
Примечание.
UserOperations=1 означает, что пользователи без полномочий администратора могут
активировать Office. UserOperations=0 означает, что только администраторы могут
активировать Office.
Используйте следующую процедуру для виртуализации Office 2010 на компьютере
виртуализации.
Виртуализация Office 2010
1. На компьютере виртуализации откройте меню Пуск, выберите "Все программы", затем
Microsoft Application Virtualization и щелкните Microsoft Application Virtualization
Sequencer. Откроется мастер виртуализации приложений.
2. Щелкните Создать пакет для создания нового пакета приложения.
3. В диалоговом окне Сведения о пакете укажите имя пакета.
4. Установите его в новом каталоге, используя формат 8.3, например Q:\Temp123.wxp, и
нажмите кнопку ОК.
Примечание.
Рекомендуется выбрать виртуальный диск и постоянно его использовать. Обычно
это диск Q:\.
5. В диалоговом окне Мониторинг установки нажмите кнопку Начать наблюдение для
отслеживания этапа установки.
6. Запустите программу setup.exe для Office 2010.
7. На странице Выберите нужный тип установки нажмите кнопку Настройка.
484
Примечание.
Во время установки Office убедитесь, что выбран параметр Установить на
жесткий диск, если требуется установить этот компонент.
8. Выберите вкладку Расположение файла и укажите путь в соответствии с каталогом
установки, выбранном на этапе 4. Затем нажмите кнопку Установить.
Следующая процедура для настройки параметров при первом запуске (например, для настройки
параметров пользователя) необязательна, но ее следует выполнить во время мониторинга.
Если дополнительные действия не требуются, перейдите к разделу Создание блока основных
функций далее в этой статье.
Дополнительные действия
1. Запустите виртуальные приложения во время мониторинга. Нажмите кнопку Пуск и
выберите пункт Выполнить.
2. Введите фактический путь к виртуальному приложению и выберите исполняемый
виртуальный файл для запуска виртуального приложения.
Например, для запуска Word введите q:\Temp123.wxp\Office14\WINWORD.EXE и
нажмите клавишу ВВОД.
3. Настройте дополнительные прокси-серверы во время мониторинга компьютера
виртуализации.
Используйте следующую процедуру на компьютере виртуализации для настройки
дополнительных прокси-серверов. Эти действия требуется выполнить во время мониторинга,
чтобы эти разделы были удалены в виртуальном реестре. Прокси-серверы позволяют
использовать быстрый поиск в Outlook, взаимодействовать с SharePoint (открытие и
редактирование документов) и предоставляют другие функции.
Настройка дополнительных прокси-серверов
1. Настройте параметры реестра прокси-сервера SharePoint, создав следующие разделы
виртуального реестра на сервере виртуализации во время его мониторинга, а затем
удалите эти разделы, чтобы сервер виртуализации отслеживал удаление добавленных
разделов.

При виртуализации 32-разрядной операционной системы используются следующие
разделы:
HKEY_CLASSES_ROOT\CLSID\{9203C2CB-1DC1-482d-967E-597AFF270F0D}\TreatAs
HKEY_CLASSES_ROOT\CLSID\{BDEADEF5-C265-11D0-BCED00A0C90AB50F}\TreatAs

При виртуализации 64-разрядной операционной системы используются следующие
разделы:
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{9203C2CB-1DC1-482d-967E-
485
597AFF270F0D}\TreatAs
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{BDEADEF5-C265-11D0-BCED00A0C90AB50F}\TreatAs
2. Добавьте новые прокси-приложения для поддержки прокси-сервера на странице
Настройка приложений и выберите каталог Корневой каталог приложения. Нажмите
кнопку Добавить и добавьте следующие приложения.
Примечание.
Для быстрого поиска пути нажмите кнопку Обзор. Скопируйте и вставьте путь к
приложению в поле Имя файла.

Мгновенный поиск (узел виртуального поиска)
Путь к приложению: %commonprogramfiles%\microsoft shared\virtualization
handler\VirtualSearchHost.exe
Имя: укажите имя. По умолчанию используется имя “Search MAPI Protocol Handler
Host”

Прокси-сервер виртуального SharePoint
Путь к приложению: %commonprogramfiles%\microsoft shared\virtualization
handler\VirtualOWSSuppManager.exe
Имя: укажите имя. По умолчанию используется имя “Microsoft SharePoint Client
Support Manager”

Simple MAPI
Путь к приложению: %commonprogramfiles%\microsoft shared\virtualization
handler\MapiServer.exe
Имя: укажите имя. По умолчанию используется имя “Microsoft Virtual Office Simple
MAPI Proxy Server”

Элемент панели управления виртуальной почты
Путь к приложению: %windir%\system32\Control.exe %SFT_MNT%\short
path\Office14\mlcfg32.cpl
Имя: укажите имя. По умолчанию используется имя “Windows Control Panel”
Примечание
Чтобы добавить параметр %SFT_MNT%\short path\Office14\mlcfg32.cpl в путь приложения,
перейдите к программе Control.exe и нажмите кнопку ОК. Добавьте параметр в поле Путь к
приложению.
"Short path", или короткий путь, — это каталог в формате 8.3, в который установлен
Office 2010. Например, если Office 2010 установлен по пути Q:\Temp123.wxp, короткий путь
будет Temp123.wxp.

Кэш документов Office
Путь к приложению: Q:\short path\Office14\MSOSync.exe
486
Имя: укажите имя. По умолчанию используется имя “Microsoft Office Document Cache”
3. Задайте параметры для автоматического запуска кэша документов Office.
Разверните элемент кэша документов Office в дереве Приложения.
4. Выберите параметр Ярлыки. Измените расположение ярлыка на Меню
"Пуск"\Программы\Автозагрузка.
5. Синхронизируйте все версии OSD-файла приложения с версией прокси-сервера.
Щелкните правой кнопкой файл установки Office (Setup.exe) и выберите команду
Свойства.
6. Откройте вкладку Версия. Измените версию всех OSD-файлов в соответствии с этой
версией.
Например, если версия Setup.exe — 14.0.4763.1000, убедитесь, что номер версии всех
OSD-файлов прокси-приложения и OSD-файлов Office задан как 13.04.764.1000.
7. Нажмите кнопку Далее.
Используйте следующие процедуры для создания блока основных функций, который содержит
минимальный контент, необходимый для запуска одного или нескольких приложений.
Рекомендуется не запускать OneNote, Outlook и SharePoint из-за параметров настройки, которые
лучше сохранить. Во время этого этапа не нажимайте клавишу F1.
Создание блока основных функций
1. На странице Приложение нажмите кнопку Далее.
2. Выберите и запустите нужные приложения для создания блока основных функций
каждого приложения.
3. Нажмите кнопку Далее.
4. После завершения виртуализации нажмите кнопку Готово.
5. Чтобы сохранить пакет, выберите параметр Пакет и нажмите кнопку Сохранить как.
Настройка параметра реестра Office 2010
1. Убедитесь, что для следующего раздела реестра задано значение Объединить с
локальным.
При виртуализации 32-разрядной операционной системы используется следующий
раздел:
MACHINE\Software\Microsoft\Office\14.0
При виртуализации 64-разрядной операционной системы используется следующий
раздел:
MACHINE\Software\Wow6443Node\Microsoft\Office\14.0
2. Щелкните правой кнопкой раздел реестра, выберите команду Раздел и убедитесь, что
487
установлен флажок Объединить с локальным ключом.
Важно!
При развертывании Office 2010 на компьютер, на котором уже установлен Office
2007 (параллельно с Office 2010), выполните следующие действия. В противном
случае пропустите оставшиеся этапы и продолжите процедуру.
3. Во время мониторинга создайте следующий подраздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Messaging Subsystem\Profiles
При виртуализации в 64-разрядной версии Windows также создайте следующий
подраздел:
HKEY_CURRENT_USER\Software\WOW6432Node\Microsoft\Windows
NT\CurrentVersion\Windows Messaging Subsystem\Profiles
Для App-V 4.6 убедитесь, что для подраздела задано значение Заменить локальный
раздел.
Для App-V 4.5 задайте параметры для объединения родительского раздела
…\CurrentVersion\Windows Messaging Subsystem с локальным разделом.
Задайте параметры для объединения раздела …\CurrentVersion\Windows Messaging
Subsystem\Profiles с локальным разделом.
Важно!
Следующие действия требуется выполнить во время мониторинга, чтобы раздел
был в удаленном состоянии в виртуальном реестре.
4. В меню Сервис выберите команду Мастер виртуализации.
5. Нажмите кнопку Далее.
6. Нажмите кнопку Начать мониторинг.
7. Создайте следующий подраздел виртуального реестра и затем удалите его, чтобы
компьютер виртуализации отследил добавленный раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\Microsoft.OMSA
ddin
8. Выберите Остановить мониторинг, затем нажмите кнопку Далее и Готово, чтобы
вернуться на страницу дополнительных свойств компьютера виртуализации.
Примечание.
Возможно, потребуется добавить несколько узлов XML, если они не существуют.
9. Для каждого OSD-файла добавьте TRUE в текст следующего элемента тега:
SOFTPKG -> IMPLEMENTATION -> VIRTUALENV -> POLICIES ->
LOCAL_INTERACTION_ALLOWED
488
Используйте следующую процедуру, чтобы запускать виртуализированный пакет Office 2010 на
клиентском компьютере.
Настройка клиентского компьютера для запуска Office 2010
1. Установите клиент App-V на клиентский компьютер, если это еще не сделано.
2. Перейдите к каталогу, содержащему файл Offvirt.msi.
3. В командной строке запустите следующий команду:
msiexec /i OffVirt.msi [флаги лицензирования]
Требуется ввести правильный флаг лицензирования из следующей таблицы, чтобы
правильно настроить набор развертывания. В противном случае функциональность
приложения может отличаться от ожидаемой.
Активация KMS
Продукт-
Флаг
приложение
Значен
Набор
Значен
ие
продуктов
ие
Флаг
Access
Access
0 или 1
Office
профессиональ
ный плюс
0 или 1
PROPLUS
Excel
Excel
0 или 1
Office для
малого бизнеса
0 или 1
SMALLBUSBAS
ICS
SharePoint
Workspace
GROOVE
0 или 1
Office
стандартный
0 или 1
STANDARD
InfoPath
InfoPath
0 или 1
OneNote
OneNote
0 или 1
Outlook
Outlook
0 или 1
PowerPoint
PowerPoint
0 или 1
Project
профессиональ
ный
PROJECTP
RO
0 или 1
Project
стандартный
PROJECTS
TD
0 или 1
Publisher
Publisher
0 или 1
SharePoint
Designer
SPD
0 или 1
489
Visio премиум
VISIOPREM
0 или 1
Visio
профессиональ
ный
VISIOPRO
0 или 1
Visio
стандартный
VISIOSTD
0 или 1
Word
Word
0 или 1
В следующей таблице перечислены флаги и значения для активации MAK. Если
клиентские компьютеры Office будут использовать активацию MAK, следует установить
ключ продукта с помощью одного из методов, указанных в данной таблице.
Активация MAK
Флаг
Значение
PIDKEYS
XXXXX-XXXXX-XXXXXX-XXXXXXНесколько ключей продуктов, разделенные XXXXXXX
точкой с запятой.
Доп. PIDKEYS=X-X-X-X-X;Y-Y-Y-Y-Y
USEROPERATIONS
0 или 1
a. Используйте средство управления активацией корпоративных лицензий (VAMT) 2.0
для установки ключей продукта на клиентских компьютерах, которые передают
данные системы Office 2010. Сведения о загрузке этого средства см. в разделе
Средство управления активацией корпоративных лицензий (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=83292&clcid=0x419)
(Возможно, на английском языке) на веб-сайте центра загрузок Майкрософт.
b. Выполните развертывание одного или нескольких ключей MAK с помощью свойства
PIDKEYS, разделенных точкой с запятой, как показано в предыдущей таблице. В
следующем примере вводятся ключи MAK Office Профессиональный плюс и Visio, за
которым следует свойство USEROPERATIONS, равное 1, разрешающее клиенту
активацию.
msiexec /i OffVirt.msi PIDKEYS=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx;yyyyyyyyyy-yyyyy-yyyyy-yyyyy-yyyyyy USEROPERATIONS=1
c.
Поддерживаются смешанные развертывания с использованием ключей KMS и MAK.
Если требуется, некоторые клиентские компьютеры могут использовать активацию
490
KMS, а другие — активацию MAK. Например, можно использовать KMS для
PROPLUS и MAK для Visio:
msiexec /i OffVirt.msi PROPLUS=1 PIDKEYS=yyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyyyyyyyy
4. Включите прокси-серверы на клиентском компьютере, только если они были настроены
на этапе виртуализации.
Чтобы включить виртуальные прокси-серверы для пакета, откройте командную строку с
повышенными полномочиями и выполните следующую команду:
msiexec /I путь к OffVirt.msi\OffVirt.msi
ADDDEFAULT=Click2runOneNoteProxy,Click2runOutlookProxies,Click2RunWDSProxy,
Click2runOWSSuppProxies PACKAGEGUID={GUID пакета}
PACKAGEVERSION=версии, найденные в OSD-файлах для прокси-серверов,
Outlook и OneNote OUTLOOKNAME=имя приложения Outlook из OSD
ONENOTENAME=имя приложения OneNote из OSD MAPISERVER=MAPI имя проксиприложения VIRTUALSEARCHHOST=Search имя прокси-приложения
MLCFG32CPL=имя приложения для настройки виртуальной почты
OWSSUPPServer=имя приложения для прокси-сервера SharePoint
Например:
msiexec /i c:\OffVirt.msi
ADDDEFAULT=Click2runOneNoteProxy,Click2runOutlookProxies,Click2runWDSProxy,C
lick2runOWSSuppProxies PACKAGEGUID={5971AF75-7831-4AE9-906F-0F30C7DD0CA5}
PACKAGEVERSION=14.0.4763.1000 OUTLOOKNAME=”Microsoft Outlook 2010”
ONENOTENAME=”Microsoft OneNote 2010” MAPISERVER=”Microsoft Virtual Office
Simple Mapi Proxy Server” VIRTUALSEARCHHOST=”Search MAPI Protocol Handler
Host” MLCFG32CPL=”Windows Control Panel” OWSSUPPServer=”Microsoft SharePoint
Client Support Manager”
Создание зависимостей приложения с помощью
формирования динамических пакетов
Формирование динамических пакетов предоставляет администраторам средство для
управления тем, какие виртуальные приложения будут объединены для создания единой
виртуальной рабочей среды набора приложений. Формирование динамических пакетов
позволяет указать обязательные и необязательные зависимости между виртуальными
приложениями. После запуска виртуального приложения на клиентском компьютере также
запускается зависимая среда виртуального приложения, при этом доступны обе виртуальные
среды.
Средство формирования динамических пакетов поставляется как часть набора ресурсов App-V.
Оно снижает вероятность неправильного ввода и устраняет сложность, связанную с
491
непосредственным редактированием XML. Далее представлен пример настройки двух
отдельных виртуализированных пакетов с целью их интеграции.
1. На сервере App-V нажмите кнопку Пуск и выберите Средство Microsoft App-V DSC.
2. В поле "Корневые папки пакета" нажмите кнопку Выбрать, а затем нажмите кнопку
Добавить папку.
3. Разверните узел Компьютер, выберите параметр Контент, где перечислены сохраненные
пакеты, нажмите кнопку ОК, а затем нажмите кнопку Готово для создания списка доступных
пакетов.
4. В поле Основной пакет выберите первый пакет из D:\Content\....
5. В поле Доступные дополнительные пакеты выберите второй пакет из D:\Content\... и
нажмите кнопку Добавить.
6. Нажмите кнопку Сохранить, нажмите ОК для подтверждения и затем нажмите кнопку Выход
для завершения процедуры.
См. также
Набор для быстрой проверки концепции версии 1.1 (Возможно, на английском языке)
492
Планирование служб удаленных рабочих
столов (служб терминалов)
Сервер терминалов — это сервер, на котором размещаются программы на основе Windows или
полноценный настольный компьютер Windows для клиентов служб терминалов. Пользователи
могут подключаться к серверу терминалов для выполнения программ, сохранения файл и
использования сетевых ресурсов на этом сервере. Если пользователь получает доступ к
программе на сервере терминалов, она выполняется на сервере. Только данные от клавиатуры,
мыши и монитора передаются по сети. Каждый пользователь видит только собственный сеанс.
Этот сеанс прозрачно управляется операционной системой сервера и не зависит от других
клиентских сеансов.
Роль сервера терминалов, который в Windows Server 2008 R2 называется службами удаленных
рабочих столов, позволяет размещать несколько одновременных клиентских сеансов в Windows.
Используя службы удаленных рабочих столов, пользователи могут получать доступ к серверу
удаленных рабочих столов (серверу терминалов) из корпоративной сети или в Интернете.
Содержание:
Статья
Описание
Планирование развертывания Office 2010 в
среде служб удаленных рабочих столов (служб
терминалов)
Описание рекомендуемых инструкций для
планирования развертывания Microsoft Office
2010 в среде служб удаленных рабочих столов.
Настройки программы установки Office 2010,
связанные со службами удаленных рабочих
столов (службами терминалов)
Описание настроек Office 2010, связанных со
службами удаленных рабочих столов.
493
Планирование развертывания Office 2010 в
среде служб удаленных рабочих столов
(служб терминалов)
В этой статье описываются рекомендуемые действия при планировании развертывания Microsoft
Office 2010 в среде служб удаленных рабочих столов (ранее известных как службы терминалов).
Содержание:

Планирование среды служб удаленных рабочих столов

Настройка сервера узла сеансов удаленных рабочих столов

Настройка установки Office 2010

Установка Office 2010 на компьютере, использующем службы удаленных рабочих столов
Планирование среды служб удаленных рабочих
столов
Используйте рекомендации, приведенные в следующих разделах, для планирования
эффективной среды служб удаленных рабочих столов Office 2010.
Оценка требований лицензирования
Для развертывания служб удаленных рабочих столов пакета Microsoft Office ключ корпоративной
лицензии должен работать правильно. В системе Microsoft Office 2007 установку можно
выполнить в операционной системе с настроенными службами удаленных рабочих столов, даже
если использовался ключ, отличный от ключа корпоративной лицензии (например, розничный).
Однако, когда пользователи запускают приложение, они видят следующее сообщение.
Эту копию программы Microsoft Office нельзя использовать на сервере терминалов.
Дополнительные сведения можно получить у регионального уполномоченного дилера
Майкрософт.
В Office 2010 введена проверка времени установки. Если разрешения, связанные с ключом
продукта, не разрешают использование служб удаленных рабочих столов, программа установки
незамедлительно блокируется, что означает, что SKU не поддерживается на компьютере, на
котором работают службы удаленных рабочих столов.
Оценка требований к программному обеспечению
Помните, что до начала установки Office 2010 на компьютере с включенными службами
удаленных рабочих столов необходимо ознакомиться с требованиями для сервера и клиентского
компьютера.
494
Требования к серверу
Office 2010 можно запускать на компьютере под управлением Windows Server 2003 с пакетом
обновлений 1 (SP 1) и более поздних версий. Нельзя устанавливать или запускать Office 2010 на
серверной операционной системе, выпущенной до выхода Windows Server 2003.
Развертывание служб удаленных рабочих столов требует повторного рассмотрения изменений,
введенных в Office 2010, и требований сервера, зависящих от используемой версии Windows
Server (2003 или 2008).В зависимости от текущего оборудования сервера, поддерживающего
многочисленные одновременные сеансы, производительность серьезно изменится. Требования
к процессору и памяти зависят от рабочей нагрузки.В следующей таблице приведены
результаты последних испытаний.
Версия Windows Server
Количество процессоров
Память
Количество
одновременных сеансов
Windows Server 2008
32
256 ГБ
1140
Windows Server 2008
16
256 ГБ
860
Windows Server 2003
16 (не поддерживает
32)
Windows Server 2003
4
16 ГБ
150
Службы удаленных рабочих столов нельзя настроить для балансировки нагрузки в ферме
серверов узла сеанса удаленного рабочего стола (узел сеанса RD) в зависимости от требования
развертывания клиентов.
Как показывает емкость и изменение характеристик сервера сеанса удаленного рабочего стола
под управлением Windows Server 2003, количество одновременных сеансов зависит от многих
факторов, таких как загрузка и конфигурация сервера. Для поддержки тысяч одновременных
сеансов должна использоваться конфигурация с серверной фермой сеанса удаленного рабочего
стола.
Для просмотра руководства по настройке Windows Server 2008 , в котором теперь есть ссылки на
общие обучающие материалы для загрузки Knowledge Worker серверов сеанса удаленного
рабочего стола (рабочая нагрузка на основе Office) в Windows Server 2008 см. статью
Руководство по настройке производительности для Windows Server 2008 (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=135703&clcid=0x419) (Возможно, на
английском языке).
Для получения информации о развертывании служб терминалов Windows Server 2008 в
корпорации Майкрософт см. статью Как MSIT использует службы терминалов в
масштабируемом решении с удаленным доступом (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=135705&clcid=0x419) (Возможно, на английском языке).
495
Дополнительные сведения о наборе средств симуляции нагрузки удаленного рабочего стола см.
в статье Средства симуляции нагрузки удаленного рабочего стола
(http://go.microsoft.com/fwlink/?linkid=178956&clcid=0x419).
Требования к клиенту
Преимуществом работы Office 2010 на компьютере с включенными службами удаленных
рабочих столов является то, что старые, менее надежные клиентские компьютеры могут
получать доступ к компьютеру, на котором включены службы удаленных рабочих столов. В
частности любой компьютер, поддерживающий протокол удаленного рабочего стола (RDP),
может подключиться к компьютеру с включенными службами удаленных рабочих столов.
Оценка рекомендаций
Ознакомьтесь с представленными далее рекомендациями по планированию эффективного
развертывания Office 2010 в среде служб удаленных рабочих столов.
В следующем документе, который доступен для загрузки, показано, как спланировать емкость
узла сеанса удаленных рабочих столов в Windows Server 2008 R2. В нем описываются самые
важные факторы, влияющие на емкость данного развертывания. Планирование емкости узла
сеанса удаленных рабочих столов в Windows Server 2008 R2 (Возможно, на английском языке)
Для Microsoft Outlook 2010 оптимальной масштабируемой конфигурацией для крупных
развертываний будет работа Outlook в интерактивном режиме для Exchange Server. Однако
клиенты, развернувшие Outlook 2010, теперь могут работать в режиме кэширования данных
Exchange, если приложение Outlook 2010 установлено в среде со службами удаленных рабочих
столов. Такой подход может быть оптимальным для небольших развертываний, где приложение
Outlook подключается к Exchange Server через подключение с большим временем задержки.
Дополнительные сведения см. в статье Рекомендации по планированию режима кэширования
Exchange в среде с узлами сеансов удаленных рабочих столов (технический документ).
Единственная точка отказа
Запуск Office 2010 на одном компьютере с включенными службами удаленных рабочих столов
может создать единственную точку отказа, если компьютере с включенными службами
удаленных рабочих столов становится недоступным, или на нем происходит сбой. В этом случае
все ИТ-работники, подключенные к компьютеру с включенными службами удаленных рабочих
столов, могут потерять связь с приложениями Office 2010 и потерять данные. Можно уменьшить
риск, используя службу кластеров Windows и балансировку сетевой нагрузки, что позволяет
гарантировать, что компьютеры с включенными службами удаленных рабочих столов при сбое
успешно переключаются. Например, если при развертывании фермы серверов с
использованием кластеризации и балансировки нагрузки, содержащей четыре компьютера с
включенными службами терминалов, один из компьютеров с включенными службами удаленных
рабочих столов становится недоступным, подключение клиента передается одному из трех
оставшихся компьютеров с включенными службами удаленных рабочих столов.
496
Оборудование сервера узла сеанса удаленных рабочих столов
Компьютеру с включенными службами удаленных рабочих столов требуется существенно
больше памяти и ресурсов процессора, чем обычному серверу. Кроме того, хотя службы
удаленных рабочих столов разработаны с эффективной пропускной способностью, объем
данных, которыми клиент обменивается с компьютером с включенными службами удаленных
рабочих столов, может влиять на производительность. Следовательно, перед развертыванием
Office 2010 в среде служб удаленных рабочих столов обязательно выполните полное
тестирование возможностей и убедитесь, что серверы узла сеансов удаленных рабочих столов
(серверы терминалов) имеют достаточно дискового пространства, процессорной мощности,
памяти и пропускной способности сети.
Требования к установке сервера узла сеансов удаленных рабочих столов
Следует установить компонент сервера узла сеансов удаленных рабочих столов на сервер
перед установкой Office 2010. Кроме того, необходимо добавлять каждого пользователя,
входящего в систему на компьютере с включенными службами удаленных рабочих столов в
группу пользователей удаленного рабочего стола. Добавление пользователей к группе
пользователей удаленного рабочего стола позволяет пользователям использовать подключение
к удаленному рабочему столу для соединения с компьютером с включенными службами
удаленных рабочих столов и запускать Office 2010. Если не добавлять к группе пользователей
удаленного рабочего стола, им будет закрыт доступ к компьютеру с включенными службами
удаленных рабочих столов. Дополнительные сведения об установке и настройке служб
удаленных рабочих столов (служб терминалов) см. в статье Руководство по развертыванию
сервера терминалов (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=88006&clcid=0x419) (Возможно, на английском языке).
Настройка сервера узла сеансов удаленных
рабочих столов
Режим сервера приложений служб удаленных рабочих столов изменен в последней версии, в
двух этапах работы компонентов.
TSDisabled — это список компонентов, которые по умолчанию не устанавливаются и не
отображаются в дереве компонентов настроенных установок, чтобы их нельзя было включить
вручную.
TSAbsent — это список компонентов, которые по умолчанию не устанавливаются. Однако они
отображаются в дереве компонентов (по умолчанию как отсутствующие) и их можно вручную
включить через настройку.
Отключенные и отсутствующие компоненты
Далее представлен список компонентов Office 2010, которые отключены или отсутствуют по
умолчанию в настройках сервера узла сеансов удаленных рабочих столов.
TSDisabled: OutlookVBScript
497
TSAbsent: PPTSoundFiles
Настройка установки Office 2010
Перед началом установки Office 2010 на компьютере с включенными службами удаленных
рабочих столов необходимо убедиться, что состояния установки настроены корректно для всех
устанавливаемых функций и приложений. Для изменения состояния установки для функции или
приложения не требуется специальных инструментов, его можно выполнить во время ручной
установки или с помощью центра развертывания Office.
Когда пользователи запускают Office 2010 на компьютере с включенными службами удаленных
рабочих столов, они не могут устанавливать, настраивать или удалять функции или приложения.
Это происходит, поскольку функции и приложения установлены на сервере узла сеансов
удаленных рабочих столов, а не на клиентском компьютере, и пользователи не имеют прав
администратора, чтобы устанавливать, настраивать и удалять программное обеспечение на
сервере узла сеансов удаленных рабочих столов (сервере терминалов). Следовательно,
следует убедиться, что состояние установки для каждой функции и приложения настроено как
Запускать с моего компьютера (то есть полностью установлено) или Недоступно (то есть не
установлено). Если состояние установки для функции или приложения настроено как
Устанавливать при первом вызове, пользователи видят предупреждение при попытке
использовать функцию или приложение.
Только администраторы имеют разрешения добавлять, удалять или настраивать
программное обеспечение сервера в удаленных сеансах служб терминалов.
Аналогичным образом, если изменить состояние установки для надстройки на Устанавливать
при первом вызове, отображается следующее сообщение об ошибке, когда пользователь
пытается загрузить надстройку:
Microsoft Office не удается запустить эту надстройку. В результате сбоя компонент
перестал работать правильно. Обратитесь к системному администратору.
Можно настроить состояния установки во время ручной установки, щелкнув Настройка на
странице Выберите нужный тип установки. Дополнительные сведения о выполнении ручной
установки на компьютере с включенными службами удаленных рабочих столов см. в следующем
разделе.
Установка Office 2010 на компьютере,
использующем службы удаленных рабочих
столов
Есть два способа установки Office 2010 на компьютер, использующий службы удаленных
рабочих столов.

Запустить программу установки и вручную выполнить все этапы процедуры установки.
498

Автоматизировать программу установки с помощью файла настройки (MSP), созданного в
центре развертывания Office.
В любом случае перед установкой Office 2010 необходимо настроить на компьютере с
включенными службами терминалов режим установки. Режим установки обеспечивает
копирование файлов настройки приложений в системный каталог, чтобы файлы могли быть
использованы как главные копии для указанных пользователями ini-файлов.
Когда пользователь впервые запускает приложение на сервере узла сеансов удаленных рабочих
столов, приложение выполняет поиск корневого каталога для INI-файлов. Если INI-файлы не
обнаружены в корневом каталоге, но обнаружены в системном каталоге, то службы удаленных
рабочих столов копируют INI-файлы в корневой каталог. Таким образом, для каждого
пользователя предоставляется уникальная копия INI-файлов приложения. Приложение создает
новые INI-файлы в корневом каталоге пользователя. Важно, чтобы каждый пользователь
использовал для приложения уникальную копию INI-файлов. Это позволяет предотвратить
случаи наличия у разных пользователей несовместимых настроек приложения (например,
разных каталогов по умолчанию и разрешения экрана).
Ручная установка Office 2010
В следующей процедуре описана ручная установка Office 2010 на компьютере с включенными
службами удаленных рабочих столов. Предполагается, что уже установлены службы удаленных
рабочих столов и запущена программа установки с компакт-диска Office 2010 или из точки
сетевой установки.
Ручная установка Office 2010
1. В меню Пуск выберите последовательно пункты Настройка и Панель управления.
2. Дважды щелкните Установка и удаление программ , а затем выберите Добавление
новой программы.
3. Нажмите кнопку Далее.
4. Нажмите кнопку Обзор.
5. Укажите программу установки (Setup.exe) для Office 2010. Она может размещаться на
установочном компакт-диске Office 2010 или точке сетевой установки.
6. Выберите Setup.exe, а затем нажмите кнопку Открыть.
7. На странице Введите ключ продукта введите ключ продукта и затем нажмите Продолжить.
8. На странице Прочтите лицензионное соглашение на использование программного
обеспечения корпорации Майкрософт, установите флажок Я принимаю условия этого
соглашения и нажмите кнопку Продолжить.
9. На странице Выберите нужный тип установки нажмите кнопку Настройка.
10. На вкладке Параметры установки щелкните на приложение или функцию и измените
состояние установки на Запускать с моего компьютера или Недоступно.
11. Если необходимо настроить другие параметры, выберите вкладку Расположение файлов
или вкладку Сведения о пользователе и проведите необходимые изменения.
499
12. Для начала установки щелкните Установить.
13. После завершения установки нажмите кнопку Закрыть, чтобы закрыть программу установки.
14. На странице После установки нажмите кнопку Далее.
15. На странице Завершение административной установки щелкните Завершить.
Важно выполнить два последних шага. Эти шаги настраивают компьютер с включенными
службами удаленных рабочих столов для режима выполнения.
Автоматическая установка Office 2010
В следующей процедуре описан процесс автоматической установки Office 2010 на компьютере с
включенными службами удаленных рабочих столов. Предполагается, что уже создан файл
настроек программы установки (MSP) и настроены состояния установки для функций и
приложений, как рекомендовано ранее в этой статье. Также предполагается, что программа
установки запущена из уже созданной точки сетевой установки.
Сначала переведите компьютер с включенными службами удаленных рабочих столов в режим
установки.
Переведение компьютера с включенными службами удаленных рабочих столов в режим
установки
1. В меню Пуск выберите пункт Выполнить, введите Cmd и нажмите кнопку OK.
2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
Change user /install
Затем запустите автоматическую установку абсолютно аналогично запуску на клиентском
компьютере.
После завершения автоматической установки переведите компьютер с включенными службами
удаленных рабочих столов в режим выполнения.
Переведение компьютера с включенными службами удаленных рабочих столов в режим
выполнения
1. В меню Пуск выберите пункт Выполнить, введите Cmd и нажмите кнопку OK.
2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
Change user /execute
Примечание.
При использовании интерактивных установок поле имени пользователя по умолчанию
заполняется информацией о вошедшем в систему пользователе. Та же операция
выполняется для полей имен пользователей в файле Config.xml.
Любое имя пользователя, полученное во время установки, записывается в раздел реестра
HKCU\Software\Microsoft\Office\Common\UserInfo.
500
Службы удаленных рабочих столов отображают данный раздел реестра в
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft
\Office\Common\UserInfo.
После этого настройки по умолчанию раздела HKLM UserInfo отсылаются в профиль каждого
нового пользователя. Поскольку имя пользователя уже существует, новые пользователи служб
удаленных рабочих столов не должны вводить собственные имена; вместо этого имена по
умолчанию назначает администратор.
Чтобы устранить эту проблему для новых пользователей в текущем развертывании служб
удаленных рабочих столов, администратор компьютера с работающими службами удаленных
рабочих столов должен удалить значения из разделе реестра
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft
\Office\Common\UserInfo.
Чтобы устранить данную ошибку для всех пользователей в новом развертывании служб
удаленных рабочих столов, администратор должен выполнить одно из следующих действий на
компьютере, на котором выполняются службы удаленных рабочих столов:

Выберите во время установки команду Настройка, а затем удалите имя пользователя и
начальные параметры.

Используйте файл Config.xml, в котором имя пользователя и начальные параметры —
пустые значения.

После установки удалите значения из раздела реестра
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Micro
soft\Office\Common\UserInfo.
См. также
Официальный документ: Application Virtualization 4.5 для служб терминалов (Возможно, на
английском языке)
501
Настройки программы установки Office 2010,
связанные со службами удаленных рабочих
столов (службами терминалов)
Для развертывания служб удаленных рабочих столов пакета Microsoft Office 2010 ключ
корпоративной лицензии должен работать правильно. В этой статье описываются настройки,
связанные со службой удаленных рабочих столов (ранее известных как службы терминалов).
Содержание:

Установка при первом вызове

Мерцание экрана

TSAbsent и TSDisabled
Установка при первом вызове
При развертывании Office 2010 на компьютере с включенными службами удаленных рабочих
столов для нескольких пользователей лучше всего задать состояние установки (Установка по
требованию | Объявление | Параметр) для использовании параметра Запускать все с моего
компьютера.
Состояние установки Установка при первом вызове не гарантирует успешность установки
Office 2010.
Мерцание экрана
При использовании PowerPoint 2010, подключенного к сеансу сервера терминалов Windows
Server 2003 с помощью клиента стороннего производителя, такого как Citrix ICA, экран будет
мерцать.
Это происходит при запуске приложений платформы WPF в сеансе сервера терминалов.
Дополнительные сведения о причинах и методах устранения этой проблемы см. в статье базы
знаний Майкрософт 955692: Экран мерцает при запуске приложений WPF в сеансе сервера
терминалов Windows Server 2003 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=184709&clcid=0x419) (Возможно, на английском языке).
TSAbsent и TSDisabled
Поведение, определяемое параметрами TSAbsent и TSDisabled, можно переопределить с
помощью собственного файла Config.xml или файла настройки программы установки (MSP).
502
Например, по умолчанию OutlookVBScript имеет значение TSDisabled. Однако это можно
изменить с помощью файла Config.xml MSP-файла.
Атрибуты сервера узла сеанса удаленного рабочего стола применяются для изменения
состояний по умолчанию. Эти атрибуты не включают принудительно определенное состояние.
См. также
Планирование развертывания Office 2010 в среде служб удаленных рабочих столов (служб
терминалов)
503
Планирование читаемости в Office 2010
Проверка читаемости Microsoft Office 2010 позволяет пользователям создавать более доступные
документы для людей с ограниченными возможностями. Проверка читаемости (подобная
проверке правописания, но для проблем читаемости) — это базовый компонент Microsoft Excel
2010, Microsoft PowerPoint 2010 и Microsoft Word 2010.
Содержание:

Улучшение видимости нарушений

Управление отчетами проверки
Улучшение видимости нарушений
Настройки, представленные в разделе Управление отчетами проверки далее в этой статье,
используются для управления проверкой читаемости. Большинство из этих параметров
отвечают за отключение конкретных проверок при проверке читаемости.
Параметр политики Увеличить видимость нарушений читаемости управляет тем, насколько
сильно ошибка читаемости будет усилена в пользовательском интерфейсе. Если этот параметр
включен, можно указать, что происходит, когда документ, книга или электронная таблица
содержат ошибки читаемости, как показано ниже:

Нарушения читаемости не меняют область Подготовка к распространению в
представлении Microsoft Office Backstage (по умолчанию).

Ошибки читаемости вызывают сильное выделение области Подготовка к
распространению в представлении Backstage.

Ошибки или предупреждения читаемости вызывают менее сильное выделение области
Подготовка к распространению в представлении Backstage.
Если проверка читаемости отключена или не настроена, ее пользовательский интерфейс
представляется в обычном состоянии.
Важно!
Для управления проверкой читаемости можно использовать параметры групповой
политики. Для Excel 2010, PowerPoint 2010 и Word 2010 параметры групповой политики
находятся в узле gpedit <Имя_приложения>\вкладка "Файл"\Проверка читаемости.
Управление отчетами проверки
В следующих таблицах представлены все параметры групповой политики, которые могут
использоваться с целью управления проверкой читаемости для Excel 2010, PowerPoint 2010 и
Word 2010.
504
Параметры групповой политики для Excel 2010
Параметр для Excel 2010
Связанный раздел реестра
Описание
Прекратить проверку
читаемости: замещающий
текст
AltText
Если этот параметр включен,
проверка читаемости не
проверяет, содержат ли
замещающий текст такие
объекты, как изображения и
фигуры.
Если этот параметр отключен
или не настроен, наличие
замещающего текста в
объектах проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
читаемости: заголовки таблиц
TableHeaders
Если этот параметр включен,
проверка читаемости не
проверяет, имеется ли в
таблицах строка заголовка.
Если этот параметр отключен
или не настроен, наличие
строк заголовка в таблицах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
возможности программного
доступа к книгам
ProgrammaticAccess
Если этот параметр включен,
проверка читаемости не
проверяет, заблокирован ли
для книг программный доступ
с помощью управления
цифровыми правами (DRM).
Если этот параметр отключен
или не настроен,
программный доступ к книгам
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
505
Параметр для Excel 2010
Связанный раздел реестра
Описание
Прекратить проверку наличия
объединенных ячеек
MergedCells
Если этот параметр включен,
проверка читаемости не
проверяет, содержат ли
таблицы объединенные
ячейки.
Если этот параметр отключен
или не настроен, наличие
объединенных ячеек в листах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
осмысленности текста
гиперссылок
MeaningfulHyperlinks
Если этот параметр включен,
проверка читаемости не
проверяет, содержит ли
гиперссылка понятный текст.
Если этот параметр отключен
или не настроен, наличие
текста гиперссылки
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку наличия
нестандартных имен листов
SheetNames
Если этот параметр включен,
проверка читаемости не
проверяет, используются ли
для листов с контентом
имена, не являющиеся
именами по умолчанию.
Если этот параметр отключен
или не настроен, имена
листов проверяются, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
использования пустых строк
для форматирования
BlankTableRows
Если этот параметр включен,
проверка читаемости не
проверяет, используются ли
пустые строки таблицы как
форматируемые.
506
Параметр для Excel 2010
Связанный раздел реестра
Описание
Если этот параметр отключен
или не настроен, пустые
строки в таблицах
проверяются, и найденные
проблемы отображаются в
проверке читаемости.
Параметры групповой политики для PowerPoint 2010
Параметр для PowerPoint 2010
Связанный раздел реестра
Описание
Прекратить проверку
читаемости: замещающий
текст
AltText
Если этот параметр включен,
проверка читаемости не
проверяет, содержат ли
замещающий текст такие
объекты, как изображения и
фигуры.
Если этот параметр отключен
или не настроен, наличие
замещающего текста в
объектах проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
осмысленности текста
гиперссылок
HyperlinkText
Если этот параметр включен,
проверка читаемости не
проверяет, содержит ли
гиперссылка понятный текст.
Если этот параметр отключен
или не настроен, наличие
текста гиперссылки
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить поиск файлов
мультимедиа с
отсутствующими заголовками
ClosedCaptions
Если этот параметр включен,
проверка читаемости не
помечает файлы
507
Параметр для PowerPoint 2010
Связанный раздел реестра
Описание
мультимедиа, которым могут
понадобиться данные о
заголовках.
Если этот параметр отключен
или не настроен, проверяется
наличие в презентациях
мультимедийных файлов, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
HeaderRow
читаемости: заголовки таблиц
Если этот параметр включен,
проверка читаемости не
проверяет, имеется ли в
таблицах строка заголовка.
Если этот параметр отключен
или не настроен, наличие
строк заголовка в таблицах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку наличия
пустых строк и столбцов
BlankRowCol
Если этот параметр включен,
проверка читаемости не
проверяет, вставлены ли в
таблицу пустые строки и
пустые столбцы.
Если этот параметр отключен
или не настроен, пустые
строки и пустые столбцы в
таблицах проверяются, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку наличия SimpleStructure
объединенных и разделенных
ячеек
Если этот параметр включен,
проверка читаемости не
проверяет, содержат ли
таблицы объединенные или
разбитые ячейки.
Если этот параметр отключен
508
Параметр для PowerPoint 2010
Связанный раздел реестра
Описание
или не настроен, наличие
объединенных и разбитых
ячеек в таблицах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку наличия
заголовков слайдов
HasTitle
Если этот параметр включен,
проверка читаемости не
проверяет, есть ли у каждого
слайда заполнитель
заголовка.
Если этот параметр отключен
или не настроен, проверяется
наличие заголовков в
слайдах, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
уникальности заголовков
слайдов
UniqueTitle
Если этот параметр включен,
проверка читаемости не
проверяет, есть ли у каждого
слайда уникальный
заголовок.
Если этот параметр отключен
или не настроен, проверяется
уникальность заголовков
слайдов, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
разумности порядка объектов
на слайдах
NonPlaceholderShapes
Если этот параметр включен,
проверка читаемости не
проверяет, содержит ли
слайд не являющиеся
заполнителями объекты,
которые могут читаться не по
порядку.
Если этот параметр отключен
или не настроен, проверяется
наличие на слайдах объектов,
509
Параметр для PowerPoint 2010
Связанный раздел реестра
Описание
которые могут читаться не по
порядку, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
возможности программного
доступа к презентациям
IRM
Если этот параметр включен,
проверка читаемости не
проверяет, заблокирован ли
презентациями программный
доступ с помощью
управления цифровыми
правами.
Если этот параметр отключен
или не настроен,
программный доступ к
презентациям проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Параметры групповой политики для Word 2010
Параметр для Word 2010
Связанный раздел реестра
Описание
Прекратить проверку
читаемости: замещающий
текст
AltText
Если этот параметр включен,
проверка читаемости не
проверяет, содержат ли
замещающий текст такие
объекты, как изображения и
фигуры.
Если этот параметр отключен
или не настроен, наличие
замещающего текста в
объектах проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
MeaningfulHyperlinks
Если этот параметр включен,
510
Параметр для Word 2010
Связанный раздел реестра
осмысленности текста
гиперссылок
Описание
проверка читаемости не
проверяет, содержит ли
гиперссылка понятный текст.
Если этот параметр отключен
или не настроен, наличие
текста гиперссылки
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
читаемости: заголовки
таблиц
TableHeaders
Если этот параметр включен,
проверка читаемости не
проверяет, имеется ли в
таблицах строка заголовка.
Если этот параметр отключен
или не настроен, наличие
строк заголовка в таблицах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
наличия пустых строк и
столбцов
BlankTableCells
Если этот параметр включен,
проверка читаемости не
проверяет, вставлены ли в
таблицу пустые строки и
пустые столбцы.
Если этот параметр отключен
или не настроен, пустые
строки и пустые столбцы в
таблицах проверяются, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
наличия объединенных и
разделенных ячеек
2DTableStructure
Если этот параметр включен,
проверка читаемости не
проверяет, содержат ли
таблицы объединенные или
разбитые ячейки.
Если этот параметр отключен
или не настроен, наличие
511
Параметр для Word 2010
Связанный раздел реестра
Описание
объединенных и разбитых
ячеек в таблицах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
возможности программного
доступа к документам
ProgrammaticAccess
Если этот параметр включен,
проверка читаемости не
проверяет, заблокирован ли
документами программный
доступ с помощью
управления цифровыми
правами.
Если этот параметр отключен
или не настроен,
программный доступ к
документам проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
использования стилей для
структурирования больших
документов
StylesAsStructure
Если этот параметр включен,
проверка читаемости не
проверяет, используются ли в
длинных документах стили
для определения структуры
контента.
Если этот параметр отключен
или не настроен,
использование стилей в
документах проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
частоты использования
стилей
HeadingSpacing
Если этот параметр включен,
проверка читаемости не
проверяет, используются ли
стили в документах со
стилями достаточно часто,
чтобы точно представить
структуру контента
512
Параметр для Word 2010
Связанный раздел реестра
Описание
документа.
Если этот параметр отключен
или не настроен, частота
использования стилей
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
краткости заголовков в
документе
SuccinctHeadings
Если этот параметр включен,
проверка читаемости не
проверяет, являются ли
краткими заголовки в
документе.
Если этот параметр отключен
или не настроен, длина
заголовков в документе
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
наличия перемещаемых
объектов
FloatingObjects
Если этот параметр включен,
проверка читаемости не
проверяет, содержит ли
документ перемещаемые
объекты вместо встроенных.
Если этот параметр отключен
или не настроен, свойства
переноса перемещаемого
текста проверяются, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
использования пробелов для
форматирования
BlankCharacters
Если этот параметр включен,
проверка читаемости не
проверяет, используются ли
для форматирования
несколько последовательных
пробелов.
Если этот параметр отключен
или не настроен,
513
Параметр для Word 2010
Связанный раздел реестра
Описание
использование
последовательных пробелов
в документах проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
графических подложек
ImageWatermarks
Если этот параметр включен,
проверка читаемости не
проверяет, содержит ли
документ графические
подложки.
Если этот параметр отключен
или не настроен, наличие
подложек в документах
проверяется, и найденные
проблемы отображаются в
проверке читаемости.
Прекратить проверку
наличия пропущенных
уровней в стилях заголовков
HeadingOrder
Если этот параметр включен,
проверка читаемости не
проверяет правильность
порядка использования
заголовков в документе.
Если этот параметр отключен
или не настроен, порядок
использования заголовков в
документе проверяется, и
найденные проблемы
отображаются в проверке
читаемости.
Прекратить проверку
наличия макетных таблиц
LayoutTablesReadingOrder
Если этот параметр включен,
проверка читаемости не
помечает таблицы,
используемые для макета (то
есть таблицы, к которым не
применены стили).
Если этот параметр отключен
или не настроен, таблицы без
стилей помечаются, и
514
Параметр для Word 2010
Связанный раздел реестра
Описание
нарушения отображаются в
проверке читаемости.
См. также
Блог, посвященный вопросам инвестиций в читаемость и читаемости документов (Возможно, на
английском языке)
Читаемость и лента (Возможно, на английском языке)
515
Планирование многопользовательской
активации Office 2010
Согласно политике Майкрософт необходимо активировать все выпуски клиентского ПО Microsoft
Office 2010, в том числе корпоративные выпуски. Для Office 2010 многопользовательская
активация выполняется с помощью технологий активации Office, основанных на платформе
защиты программного обеспечения (SPP), которая используется в Windows Vista и Windows
Server 2008.
Содержание:
Статья
Описание
Обзор многопользовательской активации Office
2010
Обзор корпоративного лицензирования
Майкрософт и технологий активации Office для
Office 2010.
Планирование многопользовательской
активации Office 2010
Планирование процесса активации
корпоративного выпуска с помощью технологий
активации Office.
Планирование независимой MAK-активации
Office 2010
Описание планирования развертывания
Office 2010 с использованием независимой
MAK-активации.
Планирование прокси-активации MAK для
Office 2010
Описание планирования развертывания
Office 2010 с использованием прокси-активации
MAK.
Планирование KMS-активации Office 2010
Описание планирования развертывания
Office 2010 с использованием KMS-активации.
Сценарий: основная сеть — KMS- или MAKактивация Office 2010
Описание планирования KMS-активации в
основной сети для многопользовательской
активации Office 2010.
Сценарий: защищенная сеть — KMS- или MAKактивация Office 2010
Описание планирования KMS- или MAKактивации в защищенной сети для
многопользовательской активации Office 2010.
Сценарий: мобильные или отключенные
компьютеры — KMS- или MAK-активация Office
2010
Описание планирования KMS- или MAKактивации мобильных или отключенных
компьютерах для многопользовательской
516
Статья
Описание
активации Office 2010.
Сценарий: лаборатория тестирования или
разработки — KMS- или MAK-активация Office
2010
Описание планирования KMS- или MAKактивации в сети лаборатории тестирования
или разработки для многопользовательской
активации Office 2010.
См. также
Краткое руководство по многопользовательской активации для Office 2010
Развертывание многопользовательской активации Office 2010
517
Обзор многопользовательской активации
Office 2010
Корпорация Майкрософт включает технологии активации в следующие продукты, реализуемые
по каналу корпоративного лицензирования: Windows 7, Windows Vista, Windows Server 2008 R2,
Windows Server 2008 и клиентские продукты Microsoft Office 2010. Активация устанавливает
связь между ключом продукта и соответствующей установкой продукта на устройстве. В этой
статье представлен обзор корпоративного лицензирования и двух типов многопользовательской
активации.
Содержание:

Обзор корпоративного лицензирования

Технологии активации Office
Обзор корпоративного лицензирования
В рамках корпоративного лицензирования Майкрософт предлагаются программы,
адаптированные под размер и предпочтения организациями вариантов приобретения. Эти
программы предоставляют простые, гибкие и выгодные решения, позволяющие организациям
легко управлять лицензиями. Некоторые выпуски Office 2010 доступны только через канал
корпоративного лицензирования. Чтобы стать корпоративным клиентом, организации должны
заключить с Майкрософт соглашение о корпоративном лицензировании.
Получив лицензии на программное обеспечение по программам корпоративного лицензирования
Майкрософт, организации оплачивают только лицензии на программное обеспечение, а не
носители в коробочных версиях программного обеспечения. Помимо снижения общих расходов
за счет устранения этих затрат на физические носители и приобретение большого количества
лицензий часто позволяет уменьшить затраты и предоставить более гибкие варианты
приобретения и администрирования программного обеспечения.
В некоторых программах корпоративного лицензирования организации могут также приобретать
программу Software Assurance (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=184005&clcid=0x419). Это выгодное предложение поддержки,
помогающее организациям получить максимум от инвестиций в программное обеспечение.
Программа Software Assurance объединяет последние версии программного обеспечения с
технической поддержкой по телефону, партнерскими службами, обучением и ИТ-средствами.
Организации могут присоединиться к программе Software Assurance во время приобретения и
начать пользоваться преимуществами сразу в период действия лицензионного соглашения.
В зависимости от выбранной программы корпоративного лицензирования организации могут
получать при необходимости носители или иметь возможность получать носители (или
дополнительные носители), документацию и техническую поддержку по продукту.
518
Дополнительные сведения о корпоративном лицензировании см. в разделе Корпоративное
лицензирование Майкрософт (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=8523&clcid=0x419). Пошаговые инструкции по активации
выпусков клиентских продуктов Office 2010, предназначенных для корпоративного
лицензирования, см. в разделе Развертывание многопользовательской активации Office 2010.
Если вы уже знакомы со службой управления ключами многопользовательской активации
Windows (KMS) и ключом многократной активации (MAK), см. в разделе Краткое руководство по
многопользовательской активации для Office 2010 инструкции, относящиеся к Office 2010.
Изменения в политике активации
Активация системы Microsoft Office 2007 раньше требовалась только для программного
обеспечения Майкрософт, приобретаемого в розничных магазинах и у производителей
оборудования. Ключи продуктов, вводимые в версию Microsoft Office Enterprise 2007, позволяли
обойти активацию. В Office 2010 при активации используются технологии активации Office,
основанные на платформе защиты программного обеспечения, представленной в Windows Vista
и Windows Server 2008.
Политика Майкрософт требует активации всех выпусков клиентского программного обеспечения
Office 2010. Они включают и те, что получены по программе корпоративного лицензирования.
Это требование применяется к Office 2010 при работе как на физических компьютерах, так и на
виртуальных. Активация не требуется для всех серверных продуктов Office 2010: Microsoft
SharePoint Server 2010 и Microsoft Project Server 2010, а также для всех версий Microsoft
Exchange Server.
Почему необходима активация
Изготовление поддельного (контрафактного) ПО является важной проблемой отрасли
программного обеспечения. В соответствии с недавними исследованиями группы Business
Software Alliance, 41 % всего программного обеспечения для персональных компьютеров,
установленного в мире в 2008 г., было получено нелегально. Хотя финансовое значение для
производителей и поставщиков ПО является значительным, составляя примерно 50 миллиардов
долларов США потерь в 2008 г., влияние изготовления поддельного (контрафактного) ПО
распространяется за пределы потерь доходов производителей ПО. Многие потребители,
имеющие поддельную копию ПО Майкрософт, являются невинными жертвами преступников.
Также поддельное ПО всё больше становится средством для распространения вирусов и
вредоносных программ, которые могут быть направлены на ничего не подозревающих
пользователей, потенциально подвергая их риску повреждения и потери личной или деловой
информации и краже персональных данных.
Добавление требования активации в программное обеспечение Майкрософт позволяет
предотвратить утечку ключей. При этом снижается число используемых копий поддельного ПО.
Дополнительные сведения об исследовании группы Business Software Alliance см. на странице
519
Шестое годовое исследование BSA и IDC глобального пиратского программного обеспечения
(Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=155960&clcid=0x419).
Пиратство
Все методы активации, используемые Майкрософт, разработаны для защиты от пиратства
пользователей. Собираемые данные используются для подтверждения того, что пользователь
имеет легально лицензированную копию ПО. Затем они подвергаются статистическому анализу.
Майкрософт не использует эти данные для идентификации пользователя или связи с ним.
Технологии активации Office
Технологии активации Office предоставляют методы активации продуктов, лицензированных по
программам корпоративного лицензирования Майкрософт. Большинство клиентов
корпоративного лицензирования Office знакомы с ключами многократной установки (VLK),
которые выпускались по специальному лицензионному соглашению. Такие ключи позволяли
"обходить" активацию. В Office 2010 технологии активации Office помогают управлять процессом
активации и автоматизировать его, а также ориентированы на борьбу с пиратством и проблемы
управления ключами продуктов, которые возникали с ключами, выпущенными для Office
Enterprise 2007.
Чтобы активировать Office 2010 посредством технологии активации Office, можно использовать
следующие методы, идентичные методам, использованным в Windows Vista, Windows Server
2008 и последующих версиях Windows. Тип введенного ключа продукта определяет метод
активации.

Служба управления ключами (KMS) Компьютер служит узлом KMS, для чего нужно
установить и активировать узел KMS Office 2010. Клиентский компьютер Office 2010
подключается к локальному KMS-серверу для активации.

Ключ многократной активации (MAK) С помощью ключа многократной активации
клиентские компьютеры Office 2010 активируются через Интернет, используя серверы
активации, размещаемые Майкрософт, или через телефон.

Сочетание службы управления ключами и ключа многократной активации Например,
на настольные компьютеры с Office 2010 устанавливаются клиентские ключи KMS, а на
портативные компьютеры с Office 2010 устанавливаются ключи MAK.
Сведения о выборе метода многопользовательской активации см. в статье Планирование
многопользовательской активации Office 2010
Служба управления ключами (KMS)
Служба управления ключами позволяет осуществлять активацию продукта в локальной сети.
Это устраняет необходимость в подключении отдельных компьютеров к Майкрософт для
активации продукта. Это не требовательная к ресурсам служба, не требующая выделенной
системы, она легко может размещаться в системе, предоставляющей другие службы. Компьютер
520
должен быть настроен для работы в качестве KMS-сервера. KMS-сервер содержит специфичный
для пользователя ключ многократной установки (ключ KMS-сервера) для каждого продукта,
предназначенного для активации. KMS-сервер для активации подключается однажды к
серверам, размещаемым Майкрософт. Компьютеры под управлением Windows Server 2003,
версий ОС Windows 7 с корпоративным лицензированием или Windows Server 2008 R2 могут
быть настроены в качестве KMS-серверов Office 2010.
Только один ключ узла KMS Office требуется для активации всех корпоративных версий
клиентских продуктов Office 2010.
Важно!
Ключ KMS-сервера Office 2010 не является специфичным для операционной системы.
Он разработан для использования на любых операционных системах, указанных выше,
включая 32- и 64-разрядные выпуски.
KMS-клиенты Office 2010
KMS-клиенты — это компьютеры под управлением выпусков Office 2010 с корпоративным
лицензированием, которые предустанавливаются с ключом KMS-клиента. KMS-клиенты
подключаются к KMS-серверу организации, чтобы запросить активацию. KMS-клиенты
Office 2010 могут быть установлены в операционных системах, перечисленных в разделе
Системные требования для Office 2010.
По умолчанию ключ KMS-клиента уже установлен в выпусках Office 2010 с корпоративным
лицензированием. Активации конечным пользователем не требуется и ему не нужно вводить
ключ продукта для KMS-клиентов Office 2010. Единственное действие, требуемое от
администратора, — начальная активация KMS-сервера.
Дополнительные сведения см. в подразделе Планирование развертывания KMS раздела
Планирование многопользовательской активации Office 2010.
Ключ многократной активации (MAK)
Уникальный ключ многократной активации выдается каждой организации для каждого
корпоративного выпуска Office 2010. Каждый компьютер должен затем быть активирован
однажды с помощью служб активации, размещаемых Майкрософт. С каждым ключом связано
определенное число активаций. Например, ключ многократной активации для Office 2010 со 100
активациями позволяет организации установить ключ на 100 компьютеров и активировать их.
Активация с помощью ключа многократной активации подходит организациям, в которых
компьютеры не подключаются к корпоративной сети в течение долгого времени, например в
случае портативных компьютеров. Чтобы такой механизм работал, ключ MAK должен быть
установлен с ключом многократной активации вместо клиентского ключа KMS, используемого по
умолчанию в выпусках Office 2010 с корпоративным лицензированием. Существует два способа
активации компьютеров при помощи ключа многократной активации. Первый способ — это
521
активация с помощью ключа многократной активации, требующая независимого подключения
каждого компьютера к Майкрософт и активации через Интернет или телефон.
Второй способ — активация с помощью прокси-сервера ключа многократной активации,
которая выполняется с помощью средства Volume Activation Management Tool (VAMT) 2.0.0
(Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). VAMT
2.0 поддерживает активацию Office 2010 через прокси-сервер ключа многократной активации.
Используя этот способ, компьютер собирает сведения об активации со многих компьютеров в
сети, а затем отправляет общий запрос на активацию. В данной конфигурации консоль VAMT 2.0
устанавливается только на тот компьютер, который подключается к серверам, размещаемым
Майкрософт. Дополнительные сведения см. в разделе Планирование активации MAK в статье
Планирование многопользовательской активации Office 2010.
При активации с помощью ключа многократной активации нет требования периодического
продления активации. Повторная активация потребуется при обнаружении значительных
изменений оборудования (например, при замене жесткого диска) или переустановке
операционной системы. Каждая повторная активация снижает число активаций, связанных с
ключом. Если сохранить и применить идентификатор подтверждения, используемый при проксиактивации MAK с помощью VAMT 2.0, можно повторно активировать тот же компьютер без
уменьшения числа активаций, связанных с ключом. Также при превышении заданного числа
активаций необходимо запрашивать большее число допустимых активаций. Необходимо
управлять установкой ключа многократной активации и может потребоваться ручная активация
систем с помощью телефона, если подключение к Интернету недоступно.
Примечание.
Office 2010 поддерживают только VAMT 2.0 и более поздние версии.
Ключи продуктов с корпоративным лицензированием
При использовании выпусков Office 2010 с корпоративным лицензированием планирование
многократной активации должно быть частью процесса развертывания Office 2010. Ключи KMSсервера и ключи многократной активации (MAK) выпускаются по определенному лицензионному
соглашению, чтобы позволить организациям использовать лицензионные продукты. Эти ключи
могут использоваться только для продуктов с корпоративным лицензированием. Они не могут
использоваться с розничным программным обеспечением или программным обеспечением,
предварительно установленным на новые компьютеры производителями оборудования, если
организация не имеет соглашения с производителем оборудования на предварительную
установку выпусков продуктов с корпоративным лицензированием.
Чтобы получить ключ KMS-сервера или ключи многократной активации, посетите веб-сайт, с
которого был загружен пакет Office 2010.
См. также
Планирование многопользовательской активации Office 2010
522
Развертывание многопользовательской активации Office 2010
Средства для настройки клиентских компьютеров в Office 2010
Устранение неполадок многопользовательской активации Office 2010
Форум многопользовательской активации Office 2010 (Возможно, на английском языке)
Форумы Office 2010 (Возможно, на английском языке)
523
Планирование многопользовательской
активации Office 2010
В этой статье описан процесс планирования тестирования технологий активации Office. Перед
прочтением этой статьи рекомендуется ознакомиться со статьей Обзор многопользовательской
активации Office 2010. Также настоятельно рекомендуется прочитать Руководство по
планированию многопользовательской активации для Windows (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке).
Содержание:

Планирование развертывания

Обзор методов активации

Планирование развертывания KMS

Планирование активации MAK
Планирование развертывания
При планировании развертывания Windows Vista, Windows Server 2008, Windows 7 и Windows
Server 2008 R2, возможно, будут учитываться те же вопросы, что и для Microsoft Office 2010. Для
определения метода активации — службы управления ключами (KMS), ключа многократной
активации (MAK) или обоих методов — используемого для Windows, ознакомьтесь со статьей
Руководство по планированию многопользовательской активации для Windows (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на
английском языке). Скорее всего, для Office 2010 будет использоваться тот же метод.
Развертывание многопользовательской активации состоит из следующих этапов.
1. Изучение активации продукта.
2. Обзор доступных моделей активации.
3. Оценка возможностей подключение клиента.
4. Сопоставление физического компьютера или виртуальной машины с методом активации.
5. Определение потребностей в ключах продукта.
6. Определение потребностей для мониторинга и отчетности.
Большинство из необходимых сведений представлены в руководстве по планированию
многопользовательской активации для Windows (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке). В
данной статье представлен обзор технологии, а основное внимание уделено разнице подходов
для Windows и Office.
524
При планировании использования технологий активации Office следует учитывать следующие
факторы:

Порог активации KMS для Office 2010 равен пяти компьютерам. Это значит, что клиентские
компьютеры Office 2010 будут активированы только после того, как пять или более
клиентских компьютеров запросят активацию.

Ввод ключа продукта для клиентов KMS Office 2010 не требуется. Ввод ключа узла KMS
необходим только на компьютере узла KMS.

При использовании ключа MAK необходимо вводить ключ продукта в центре развертывания
Office (OCT) или в файле Config.xml. После установки Office 2010 ключ продукта можно
изменить с помощью средства управления активацией корпоративных лицензий (VAMT) 2.0
или скрипта платформы защиты программного обеспечения Office (ospp.vbs).
Дополнительные сведения о скрипте ospp.vbs см. в разделе Средства для настройки
клиентских компьютеров в Office 2010.
Визуальное представление методов многопользовательской активации для Office 2010, а также
типовые сетевые сценарии см. в статье Многопользовательская активация Microsoft Office 2010
(Возможно, на английском языке) (http://go.microsoft.com/fwlink/?linkid=188811&clcid=0x419)
(Возможно, на английском языке).
Обзор методов активации
Технологии активации Office предоставляют два метода активации:

Служба управления ключами (KMS) Серверно-клиентская модель, в которой компьютер
служит узлом KMS, на который нужно установить ключ узла KMS, а затем активировать его.
При этом в среде создается локальная служба активации. Клиентские компьютеры
Office 2010 подключаются к локальному узлу KMS Office 2010 для активации.

Ключ многократной активации (MAK) С помощью ключа многократной активации
клиентские компьютеры Office 2010 активируются через Интернет, используя серверы
активации, размещаемые Майкрософт, или через телефон.
Тип установленного ключа определяет метод активации. Во всех корпоративных выпусках
Office 2010 ключ клиента KMS уже установлен. Не требуется ввести ключ продукта, если
525
выполняется развертывание клиентов KMS. Если нужно использовать активацию MAK,
требуется ввести правильный ключ MAK.
Также можно использовать сочетание методов KMS и MAK. Например, в Office 2010,
работающем на компьютерах, установлен ключ KMS-клиента, а в Office 2010 на портативных
компьютерах установлен ключ MAK.
Выбор модели зависит от размера, инфраструктуры сети, структуры подключений, а также
требований безопасности. Возможно использование одной модели или их сочетания. Обычно
для Office используется тот же метод активации, что и для конкретного экземпляра Windows.
Дополнительные сведения о выборе метода активации см. в руководстве по планированию
многопользовательской активации для Windows (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183040&clcid=0x419) (Возможно, на английском языке).
Службу управления ключами (KMS)
Служба KMS представляет собой модель "клиент-сервер", в которой компьютер выступает в
качестве узла KMS. Активация KMS требует наличия подключения TCP/IP. По умолчанию узлы
KMS публикуют службу KMS с использованием службы DNS, а клиентские компьютеры
подключаются к узлу KMS для активации с помощью анонимных удаленных вызовов процедур
(RPC) через коммуникационный TCP-порт 1688, который устанавливается по умолчанию при
использовании брандмауэра на узле KMS. Возможны использование параметров по умолчанию,
которые практически не требуют вмешательства администратора, или ручная настройка узлов и
клиентов KMS в зависимости от структуры сети и требований безопасности.
Для лицензирования необходимо активировать клиент KMS. В следующей таблице описывается
состояние лицензии клиента KMS Office 2010 в соответствии с состоянием активации.
Состояние лицензии
Описание
Лицензировано
По умолчанию клиент KMS пытается
выполнить активацию с помощью сервера KMS
один раз каждые семь дней. (Число дней
можно изменить.) Такой подход обеспечивает
для клиента максимально возможное время
нахождения в состоянии лицензирования.
После успешной активации клиента KMS он
остается в состоянии лицензировании 180
дней. В этом состоянии пользователи не видят
уведомлений о необходимости активации.
После 180 дней процесс активации
возобновляется. Если повторная активация
проходит успешно, весь процесс активации
прозрачен для конечного пользователя.
526
Состояние лицензии
Описание
Не активировано
Если в течение 180 дней не выполняется
активация, Office 2010 переходит в
неактивированное состояние на срок в 30 дней.
Пользователи видят уведомления о
необходимости активации.
Уведомление о нелицензированном состоянии
Если активация не происходит в
неактивированном состоянии, Office 2010
переходит в нелицензированное состояние.
Пользователи видят уведомления о
необходимости активации и красную строку
заголовка.
Узел KMS должен быть установлен и активирован ключом узла KMS перед получением запросов
активации KMS от клиентов KMS. Сведения о настройке узла KMS см. в разделе Подготовка и
настройка узла KMS в статье Развертывание многопользовательской активации Office 2010.
Важно
 Ключ узла KMS для Office 2010 не привязан к конкретной операционной системе. Он
предназначен для использования в любой операционной системе, которая
поддерживается как узел KMS Office 2010, в том числе для 32-разрядных и 64-разрядных
версий.
Публикация службы KMS
Служба KMS использует записи SRV на DNS для хранения данных о расположении узлов KMS и
передачи этих данных. Узлы KMS по возможности используют технологию динамического
обновления для публикации записей SRV службы KMS. Если динамические обновления
недоступны или узел KMS не имеет разрешений на публикацию записей ресурсов, необходимо
вручную опубликовать записи DNS или настроить клиентские компьютеры на подключение к
определенным узлам KMS. Для этого может потребоваться изменить разрешения на DNS и
позволить нескольким узлам KMS публиковать записи SRV.
Примечание.
Распространение изменений DNS на все узлы DNS может занять некоторое время в
зависимости от сложности и топологии сети.
Обнаружение клиента KMS
При первом запросе информации от клиента KMS в службу DNS он случайным образом
выбирает узел KMS из списка записей SRV, возвращаемых службой DNS. Адрес DNS-сервера,
содержащего записи SRV, может быть перечислен в клиентах KMS в виде записи с суффиксом.
527
Это позволяет распространять записи SRV для службы KMS на одном DNS-сервере, а также для
клиентов KMS с другими основными DNS-серверами.
Администратор может добавить параметры priority и weight в раздел реестра
DnsDomainPublishList для узлов KMS в корпоративных выпусках Windows 7 или Windows Server
2008 R2. Это позволит установить группировку приоритета узла KMS и веса внутри каждой
группы. Эти параметры определяют порядок использования узлов KMS и распределяют трафик
на нескольких узлах KMS. При использовании параметров priority и weight рекомендуется
отключить кэширование KMS на клиентском компьютере. Это позволит клиенту запрашивать
DNS при каждой попытке активации с учетом параметров приоритета и веса вместо прямого
соединения с кэшированным узлом KMS, которое в последний раз завершилось успешной
активацией.
Если выбранный клиентом узел KMS не отвечает, то клиент KMS удаляет его из списка записей
SRV и случайным образом выбирает другой узел KMS из списка. Если установлены параметры
priority и weight, то клиент KMS будет использовать их при поиске другого узла KMS. В противном
случае узлы KMS будут выбираться в случайном порядке. После ответа узла KMS клиент
кэширует имя узла и использует его для последующей активации и попыток обновления, если
кэширование включено. Если кэшированный узел KMS не отвечает при последующем
обновлении, то клиент KMS выполняет обнаружение нового узла KMS путем запроса записей
SRV в службе DNS.
Пороги активации KMS
Минимальным требованием для активации KMS для Office 2010 — наличие узла KMS и минимум
пяти клиентов KMS в сетевой среде. Пять или более компьютеров с корпоративными выпусками
Office 2010 должны подключиться к узлу KMS в течение 30 дней, чтобы их запросы на активацию
были выполнены. После того как у узлу KMS подключились пять клиентов, последующие
клиенты при подключении получают ответы, разрешающие активацию. Согласно расписанию
повторной активации исходные клиенты также активируются при повторном запросе активации с
узла KMS.
После инициализации KMS инфраструктура KMS работает без стороннего вмешательства.
Служба KMS может быть размещена с другими службами. Один узел KMS может поддерживать
сотни тысяч клиентов KMS. В большинстве организаций достаточно развернуть только два узла
KMS (основной узел KMS и резервный узел для избыточности).
Возобновление активации KMS
Активация KMS действительна в течение 180 дней. Этот период называется периодом действия
активации. Чтобы оставаться в активированном состоянии, клиенты KMS должны обновлять
активацию путем подключения к узлу KMS по крайней мере каждые 180 дней. По умолчанию
клиентские компьютеры KMS пытаются обновить активацию каждую неделю. После обновления
активации период действия начинается заново.
528
Использование KMS для компьютеров с Windows и клиентами Office 2010
При использовании службы управления ключами для активации как компьютеров под
управлением Windows, так и клиентов Office 2010 есть следующие варианты для Office 2010:

Использование того же узла KMS на компьютере под управлением Windows Server 2003,
корпоративных версий Windows 7 или Windows Server 2008 R2 (рекомендуется).

Использование раздельных KMS-серверов для компьютеров Windows и Office 2010.
Важно!
Если в среде уже есть узел KMS, настроенный для активации продуктов Windows, все
равно нужно установить файлы лицензии узла KMS Office 2010, ввести ключ узла KMS
Office 2010 и активировать этот ключ. Для этого перейдите на веб-сайт Лицензионный
пакет сервера KMS Microsoft Office 2010
(http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419) и загрузите и запустите
программу KeyManagementServiceHost.exe.
В качестве узла KMS Office 2010 поддерживаются следующие операционные системы.

Windows Server 2008 R2

Корпоративные выпуски Windows 7

Windows Server 2003
Если компьютер уже используется как узел KMS Windows и требуется разместить узел KMS
Office 2010 на том же компьютере, выполните действия, описанные в разделе Подготовка и
настройка узла KMS статьи Развертывание многопользовательской активации Office 2010.
Ключ многократной активации (MAK)
Ключ MAK используется для однократной активации с помощью служб активации, размещенных
в корпорации Майкрософт. Каждый ключ MAK имеет ограниченное количество активаций. Это
количество определяется корпоративными лицензиями и может не совпадать с количеством
лицензий в организации. Каждая активация, при которой ключ MAK используется со службой
активации корпорации Майкрософт, учитывается в общем количестве активаций. После
активации Office 2010 повторная активация не требуется, если оборудование значительно не
поменялось.
Существует два способа активации компьютеров с помощью ключа MAK:

Независимая активация MAK. Независимая активация MAK требует независимого
подключения каждого компьютера к серверу корпорации Майкрософт и последующей
активации через Интернет или по телефону. Независимая активация MAK оптимально
подходит для компьютеров в организации, которые не имеют подключения к корпоративной
сети.

Прокси-активация MAK с помощью пакета VAMT 2.0. В этом случае разрешается
отправка общего запроса активации от имени нескольких компьютеров с подключением к
серверам корпорации Майкрософт. Прокси-активация MAK настраивается с помощью
529
средства VAMT 2.0. Прокси-активация MAK подходит для сред, в которых требования
безопасности могут ограничивать прямой доступ в Интернет или в корпоративную сеть. Он
также подходит для разработки и тестирования в средах без такого подключения.
Архитектура MAK
Для активации MAK необходимо установить ключ MAK на клиентском компьютере. Ключ
запустит активацию компьютера через Интернет на серверах активации корпорации
Майкрософт. При прокси-активации MAK ключ необходимо установить на клиентский компьютер
с помощью одного из описанных ранее способов. Средство VAMT 2.0 получает идентификатор
установки IID с целевого компьютера, отправляет идентификатор в корпорацию Майкрософт от
имени клиента и получает идентификатор подтверждения CID. Затем средство активирует
клиент путем установки идентификатора CID. CID сохраняется и его можно использовать в
дальнейшем, например, для активации тестовых компьютеров, образ которых был записан еще
раз после 90 дней.
VAMT 2.0
VAMT 2.0 — это оснастка консоли управления Майкрософт (MMC), которая предоставляет
графический интерфейс пользователя для простого управления Windows и клиентскими
продуктами Office 2010 с установленными ключами многопользовательской активации. VAMT 2.0
позволяет указать группу активируемых продуктов с помощью доменных служб Active Directory
(AD DS), имен рабочей группы, IP-адресов, имен компьютера или общего запроса LDAP. Пакет
Office 2010 совместно с Windows поддерживается только в версии VAMT 2.0 и выше.
VAMT 2.0 может использоваться для переключения компьютеров между режимами активации
MAK и KMS, если щелкнуть целевой компьютер и установить соответствующий ключ.
VAMT 2.0 также позволяет выполнить активацию на удаленном компьютере. Если на целевом
компьютере установлен ключ MAK, компьютер передает запрос на активацию серверам
активации Майкрософт. Если установлен ключ клиента KMS, целевой компьютер передает
запрос на активацию узлу KMS.
Это средство также поддерживает сбор запросов активации от нескольких компьютеров и затем
передает их серверам активации корпорации Майкрософт. Это называется прокси-активацией
MAK через VAMT 2.0, а на целевых компьютерах должен быть установлен ключ MAK. В режиме
прокси-активации средство VAMT 2.0 распределяет коды подтверждения активации с серверов
активации корпорации Майкрософт на компьютеры, запрашивающие активацию. Так как
средство VAMT также хранит эти коды подтверждения локально, с его помощью можно повторно
активировать активированный ранее компьютер после создания его образа и без подключения к
серверам корпорации Майкрософт.
Планирование развертывания KMS
Служба KMS не требует наличия выделенного сервера. Служба KMS может размещаться на
сервере, на котором уже установлена служба KMS для Windows. А именно, можно настроить
530
компьютер под управлением Windows Server 2003 со службой KMS версии 1.1 или более
поздней, корпоративные выпуски Windows 7 или Windows Server 2008 R2 на выполнение роли
единого узла KMS, который отвечает на запросы активации Windows и Office 2010 от клиентов
KMS. Это справедливо, если установлены соответствующие лицензии узла KMS Office 2010, а
действительный ключ узла KMS установлен и активирован на серверах корпорации Майкрософт.
Лицензии узла KMS Office 2010 можно установить с помощью средства, загруженного с вебсайта Лицензионный пакет сервера KMS Microsoft Office 2010
(http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419).
Важно!
Узлы KMS, настроенные с помощью бета-версии Office 2010, не могут использоваться
для активации клиентских компьютеров с окончательной версией Office 2010. Для
активации таких клиентских компьютеров можно запустить версию выпуска средства,
загруженного с веб-сайта Лицензионный пакет сервера KMS Microsoft Office 2010
(http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419), и ввести ключ узла KMS на том
же узле KMS, либо настроить новый сервер KMS только для активации окончательной
версии выпуска Office 2010.
Планирование конфигурации сервера DNS
Функция автоматической публикации KMS по умолчанию требует наличия записи SRV и
поддержки динамического обновления. Microsoft DNS или любой другой DNS-сервер с
поддержкой SRV (согласно документу RFC 2782 рабочей группы проектирования сети Интернет
(IETF)), и технология динамический обновлений (согласно документу 2136) могут поддерживать
поведение клиента KMS по умолчанию и публикацию записей SRV KMS. Например, версии BIND
8.x и 9.x поддерживают записи SRV и динамическое обновление.
Узел KMS должен иметь соответствующие учетные данные для создания и обновления записей
SRV, A (IPv4) и AAAA (IPv6) на серверах динамического обновления. В противном случае
необходимо создать эти записи вручную. Для предоставления узлу KMS необходимых учетных
данных необходимо создать группу безопасности в доменных службах Active Directory и
добавить в эту группу все узлы KMS. Для сервера Microsoft DNS следует убедиться в том, что
группе безопасности предоставлен полный контроль над службой VLMCS. Запись TCP на
каждом домене DNS будет содержать записи SRV KMS.
Активация узла KMS
Узел KMS должен выполнить активацию с помощью серверов активации корпорации
Майкрософт через Интернет или по телефону. Узел KMS должен выполнить активацию с
помощью серверов активации корпорации Майкрософт через Интернет или по телефону. При
активации узла KMS он не передает никакие дополнительные данные в корпорацию
Майкрософт. Дополнительные сведения см. в разделе Установка и настройка узла KMS
документа Развертывание многопользовательской активации Office 2010.
531
Подготовка клиентов KMS
По умолчанию корпоративные выпуски Office 2010 предварительно устанавливаются с ключом
клиента KMS. Это преобразует их в клиенты KMS без дополнительной настройки. Клиенты KMS
могут автоматически обнаружить узел KMS путем автоматической отправки в службу DNS
запроса записей SRV, которые публикуют службы KMS. Если сетевая среда не использует
записи SRV, администратор может вручную настроить клиент KMS на использование
определенного узла KMS путем изменения следующего раздела реестра:
HKLM\Software\Microsoft\OfficeSoftwareProtectionPlatform
Имя узла KMS указывается значением KeyManagementServiceName (REG_SZ), а порт —
значением KeyManagementServicePort (REG_SZ). Эти разделы реестра также можно настроить с
помощью скрипта ospp.vbs. Дополнительные сведения о ospp.vbs см. в статье Средства для
настройки клиентских компьютеров в Office 2010.
Активация в роли обычного пользователя
Office 2010 не требует разрешений администратора для активации KMS. При этом для MAKактивации корпоративных выпусков разрешения администратора необходимы. Администраторы
могут разрешать пользователям без разрешений администратора активацию с помощью ключа
MAK путем задания соответствующего раздела реестра в развертывании или в главном образе.
HKEY_LOCAL_MACHINE\Software\Microsoft\OfficeSoftwareProtectionPlatform\UserOperations
=1
Этот раздел реестра также можно настроить с помощью скрипта ospp.vbs. Дополнительные
сведения о ospp.vbs см. в статье Средства для настройки клиентских компьютеров в Office 2010.
Планирование активации MAK
Ключ MAK рекомендуется для компьютеров, которые не подключаются или редко подключаются
к корпоративной сети, а также для сред, в которых число физических компьютеров, требующих
активации, не соответствует порогу активации KMS Office 2010 (пять компьютеров). Ключ MAK
может использоваться для отдельных компьютеров или для образа, который можно установить с
помощью решений развертывания корпорации Майкрософт или сторонних решений. Ключ MAK
также может использоваться на компьютере, который был настроен на использование активации
KMS. Эта возможность может быть полезна при перемещении компьютера из основной сети в
изолированную среду.
Дополнительные сведения об установке ключа многократной активации см. в разделе
Развертывание многопользовательской активации Office 2010.
Прокси-сервер с проверкой подлинности не поддерживается
Активация через Интернет будет заблокирована, если прокси-сервер требует проверки
подлинности пользователей. Для сервера Microsoft ISA этот параметр называется обычной
532
проверкой подлинности. Так как запросы активации не передают учетные данные пользователя
на прокси-сервер, рекомендуется не использовать обычную проверку подлинности для сервера
ISA и других прокси-серверов. Дополнительные сведения см. в статье базы знаний Майкрософт
921471: Ошибка активации при попытке активировать Windows Vista или Windows Server 2008
через Интернет (http://go.microsoft.com/fwlink/?linkid=183044&clcid=0x419).
См. также
Обзор многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
Средства для настройки клиентских компьютеров в Office 2010
Устранение неполадок многопользовательской активации Office 2010
Планирование KMS-активации Office 2010
Планирование независимой MAK-активации Office 2010
Планирование прокси-активации MAK для Office 2010
Форум многопользовательской активации Office 2010 (Возможно, на английском языке)
Форумы Office 2010 (Возможно, на английском языке)
533
Планирование независимой MAK-активации
Office 2010
Необходимо активировать развертывание корпоративных выпусков Microsoft Office 2010. В их
число входят Microsoft Office профессиональный плюс 2010, Microsoft Project 2010 и Microsoft
Visio 2010. Активация снижает вероятность развертывания поддельного ПО, которое может
содержать вредоносные программы, вирусы и другие угрозы безопасности.
Содержание:

Обзор независимой активации MAK

Планирование и оценка среды и конфигурации Office 2010

Получение ключей продукта

Действия для выполнения независимой активации MAK

Действия для управления средством управления активацией корпоративных лицензий VAMT
Обзор независимой активации MAK
Активация с помощью ключа многократной активации (MAK) выполняется непосредственно с
участием Майкрософт (что отличается от активации с помощью службы KMS, когда активация
выполняется на локальном сервере). Если в организации не больше пяти компьютеров, на
которых нужно активировать Office 2010, рекомендуется использовать ключ MAK для
независимой активации каждого компьютера. Также можно использовать средство управления
активацией корпоративных лицензий (Возможно, на английском языке) (VAMT)
(http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) для управления всеми
активированными компьютерами.
Далее представлены примеры сетей, в которых можно использовать независимую активацию
MAK.
Пример: офис удаленных продаж с изолированными
переносными компьютерами
В компании Fabrikam, Inc. есть несколько офисов удаленных продаж по всему миру. В каждом
офисе не больше пяти переносных компьютеров, изолированных от всех сетей и Интернета.
Решение: использовать активацию MAK по телефону отдельно для каждого переносного
компьютера.
Архитектура — офис продаж Fabrikam
534
Пример: малая организация с настольными компьютерами,
подключенными к Интернету, и изолированными переносными
компьютерами
В компании Contoso, Ltd. три настольных компьютера, подключенных к Интернету, и два
переносных компьютера, изолированных от Интернета. Другие сети недоступны. Решение:
выполнить MAK-активацию настольных компьютеров с помощью средства VAMT (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) и активировать
переносные компьютеры по телефону, используя ключ MAK.
Архитектура — пример малой организации Contoso
535
Планирование и оценка среды и конфигурации
Office 2010
В следующих статьях представлены сведения, которые помогут правильно настроить
развертывание Office 2010 для активации с использованием ключа многократной активации
(MAK).

Сведения об оценке среды Office 2010 см. в статье Оценка совместимости Office 2010.

Сведения о планировании конфигурации компьютеров для Office 2010 (если необходимо) см.
в статье Планирование конфигураций настольных компьютеров для Office 2010.

Сведения об оценке системных требований Office 2010 см. в статье Системные требования
для Office 2010.
536
Получение ключей продукта
Для получения ключей продукта для Office 2010 зарегистрируйтесь на веб-сайте Центр
обслуживания многопользовательской активации (VLSC)
(http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Лицензионное соглашение определяет
число доступных MAK-активаций.
Действия для выполнения независимой
активации MAK
Часть общего процесса настройки Office 2010 — настройка каждого компьютера для MAKактивации. Дополнительные сведения см. в статье Настройка выпуска 2010 системы Office.
Используйте соответствующую процедуру для настройки Office 2010 с помощью центра
развертывания Office (OCT), файла Config.xml или представления Backstage Microsoft Office.
Действия для управления средством управления
активацией корпоративных лицензий VAMT
Загрузите и установите средство VAMT 2.0 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). Следуйте инструкциям на странице
загрузки. Для получения дополнительных сведений об использовании средства VAMT щелкните
Справка в строке меню VAMT 2.0.
Если увеличить число компьютеров до числа, которое не превышает 50, рекомендуется
использовать прокси-активацию MAK для всех компьютеров, которые могут подключиться к
прокси-серверу MAK. Дополнительные сведения см. в статье Планирование прокси-активации
MAK для Office 2010.
Если увеличить число компьютеров до 50 или более, рекомендуется использовать активацию
KMS для всех компьютеров, которые могут подключиться к серверу KMS. Дополнительные
сведения см. в статье Планирование KMS-активации Office 2010. Все другие компьютеры можно
активировать с помощью ключа MAK, используя ранее описанные методы.
Примечание.
Примеры сценариев с применением активации KMS вместе с активацией MAK см. в
статьях Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010, Сценарий:
мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 и
Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office
2010.
См. также
Планирование прокси-активации MAK для Office 2010
537
Планирование KMS-активации Office 2010
Планирование многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
Средство управления многопользовательской активацией (Возможно, на английском языке)
Центр обслуживания многопользовательской активации
538
Планирование прокси-активации MAK для
Office 2010
Необходимо активировать развертывание корпоративных выпусков Microsoft Office 2010. В их
число входят Microsoft Office профессиональный плюс 2010, Microsoft Project 2010 и Microsoft
Visio 2010. Активация снижает вероятность развертывания поддельного ПО, которое может
содержать вредоносные программы, вирусы и другие угрозы безопасности.
Содержание:

Обзор прокси-активации MAK

Планирование и оценка среды и конфигурации Office 2010

Получение ключей продукта

Действия для выполнения прокси-активации MAK

Действия для управления средством управления активацией корпоративных лицензий VAMT
Обзор прокси-активации MAK
Активация с помощью ключа многократной активации (MAK) выполняется непосредственно с
участием Майкрософт (что отличается от активации с помощью службы KMS, когда активация
выполняется на локальном сервере). Если в организации 6-49 компьютеров, на которых нужно
активировать Office 2010, рекомендуется использовать прокси-активацию MAK, управляемую с
помощью средства управления активацией корпоративных лицензий (Возможно, на английском
языке) (VAMT) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419), для всех компьютеров,
которые могут подключиться к прокси-серверу MAK. Для компьютеров, изолированных от
корпоративной сети или Интернета, рекомендуется использовать независимую активацию MAK
по телефону.
Далее представлен пример сети, в которой можно использовать активацию MAK.
Пример: средняя организация с настольными компьютерами,
подключенными к Интернету, и изолированными переносными
компьютерами
В компании Contoso, Ltd. 15 настольных компьютеров и 10 переносных компьютеров в
единственном офисе. Настольные компьютеры подключены к Интернету, а переносные
компьютеры изолированы от всех сетей. Решение: использовать средство VAMT (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) для управления
прокси-активацией MAK настольных компьютеров и выполнить независимую активацию
переносных компьютеров по телефону.
Архитектура — пример средней организации Contoso
539
Планирование и оценка среды и конфигурации
Office 2010
В следующих статьях представлены сведения, которые помогут правильно настроить
развертывание Office 2010 для активации с использованием ключа многократной активации
(MAK).

Сведения об оценке среды Office 2010 см. в статье Оценка совместимости Office 2010.

Сведения о планировании конфигурации компьютеров для Office 2010 (если необходимо) см.
в статье Планирование конфигураций настольных компьютеров для Office 2010.

Сведения об оценке системных требований Office 2010 см. в статье Системные требования
для Office 2010.

Сведений о настройке компьютеров для активации MAK см. в статье Настройка выпуска 2010
системы Office. Используйте соответствующую процедуру для настройки Office 2010 с
540
помощью центра развертывания Office (OCT), файла Config.xml или представления Microsoft
Office Backstage.
Получение ключей продукта
Для получения ключей продукта для Office 2010 зарегистрируйтесь на веб-сайте Центр
обслуживания многопользовательской активации (VLSC)
(http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Лицензионное соглашение определяет
число доступных MAK-активаций.
Действия для выполнения прокси-активации MAK
Для активации Office 2010 с помощью прокси-сервера MAK под управлением средства VAMT
выполните следующие действия.
1. В разделе средства VAMT Ключи продукта введите ключ MAK, отображаемый в поле Ключ
продукта, а затем нажмите кнопку Проверить.
2. Правой кнопкой мыши щелкните компьютер, на котором следует установить ключ MAK,
выберите команду Установить ключ продукта, выберите Ключ MAK, а затем нажмите
кнопку ОК.
3. Чтобы активировать Office 2010, щелкните имя компьютера правой кнопкой мыши, выберите
команду Активировать, а затем — команду Прокси-активация.
Важно!
Необходимо предоставить учетные данные администратора выбранного компьютера.
Примечание
 Если в отделе или группе 6-49 компьютеров, которые не подключены к корпоративной
сети, рекомендуется следовать рекомендациям по активации MAK, указанным в этой
статье.

Если в отделе или группе пять или меньше компьютеров, которые не подключены к
корпоративной сети, рекомендуется использовать независимую активацию MAK для
каждого компьютера. Дополнительные сведения см. в статье Планирование независимой
MAK-активации Office 2010.

Если увеличить число компьютеров до 50 или более, рекомендуется использовать
активацию KMS для всех компьютеров, которые могут подключиться к серверу KMS.
Дополнительные сведения см. в статье Планирование KMS-активации Office 2010. Все
другие компьютеры можно активировать с помощью ключа MAK, используя ранее
описанные методы.
541
Действия для управления средством управления
активацией корпоративных лицензий VAMT
Загрузите и установите средство VAMT 2.0 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419) на прокси-сервер MAK. Следуйте
инструкциям на странице загрузки. Для получения дополнительных сведений об использовании
средства VAMT щелкните Справка в строке меню VAMT 2.0.
Примечание.
Примеры сценариев с применением активации KMS вместе с активацией MAK см. в
статьях Сценарий: защищенная сеть — KMS- или MAK-активация Office 2010, Сценарий:
мобильные или отключенные компьютеры — KMS- или MAK-активация Office 2010 и
Сценарий: лаборатория тестирования или разработки — KMS- или MAK-активация Office
2010.
См. также
Планирование независимой MAK-активации Office 2010
Планирование KMS-активации Office 2010
Планирование многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
Средство управления многопользовательской активацией (Возможно, на английском языке)
Центр обслуживания многопользовательской активации
542
Планирование KMS-активации Office 2010
Необходимо активировать развертывание корпоративных выпусков Microsoft Office 2010. В их
число входят Microsoft Office профессиональный плюс 2010, Microsoft Project 2010 и Microsoft
Visio 2010. Активация снижает вероятность развертывания поддельного ПО, которое может
содержать вредоносные программы, вирусы и другие угрозы безопасности.
Содержание:

Обзор активации с помощью службы управления ключами

Планирование и оценка среды и конфигурации Office 2010

Получение ключей продукта

Действия для активации с помощью службы управления ключами

Действия для управления средством управления активацией корпоративных лицензий VAMT
Обзор активации с помощью службы управления
ключами
Если в компании 50 или больше компьютеров, на которых нужно активировать Office 2010,
рекомендуется использовать службу управления ключами (KMS). Служба KMS активирует
компьютеры (KMS-клиенты) с сервера узла KMS, который содержит ключ узла KMS,
предоставляемый корпорацией Майкрософт. Этот метод заменяет прямую активацию в
Майкрософт и позволяет администраторам управлять процессом активации. Администратор
может легко следить за компьютерами в сети с помощью средства управления активацией
корпоративных лицензий (Возможно, на английском языке) (VAMT)
(http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419).
Далее представлен пример сети, в которой можно использовать активацию KMS.
Пример: средняя или крупная организация с настольными и
переносными компьютерами, подключенными к корпоративной
сети.
В компании Contoso, Ltd. 175 настольных компьютеров, которые всегда подключены к
корпоративной сети и 50 переносных компьютеров, которые периодически подключаются к сети.
Решение: использовать активацию KMS для настольных и переносных компьютеров, а также
убедиться, что переносные компьютеры подключены к сети для начальной активации и по
крайней мере каждые 180 дней для повторной активации.
Архитектура — пример средней-крупной организации Contoso
543
Планирование и оценка среды и конфигурации
Office 2010
В следующих статьях представлены сведения, которые помогут правильно настроить
развертывание Office 2010 для активации с использованием ключа многократной активации
(MAK).

Сведения об оценке среды Office 2010 см. в статье Оценка совместимости Office 2010.

Сведения о планировании конфигурации компьютеров для Office 2010 (если необходимо) см.
в статье Планирование конфигураций настольных компьютеров для Office 2010.

Сведения об оценке системных требований Office 2010 см. в статье Системные требования
для Office 2010.

Сведения о требованиях сервера узла KMS см. в разделе Подготовка и настройка узла KMS
статьи Развертывание многопользовательской активации Office 2010.

Сведения о настройке DNS для узла KMS см. в разделе “Общие сведения о KMS” в статье
Руководство по многопользовательской активации с размещение на клиенте (Возможно, на
английском языке) (http://go.microsoft.com/fwlink/?linkid=187539&clcid=0x419).
Примечание.
Как минимум пять компьютеров должны запросить активацию у узла KMS перед тем, как
можно будет активировать KMS-клиенты. Все KMS-клиенты должны подключаться к узлу
по крайней мере один раз каждые 180 дней для повторной активации.
544
Получение ключей продукта
Для получения ключа продукта узла KMS для Office 2010 зарегистрируйтесь на веб-сайте Центр
обслуживания многопользовательской активации (VLSC)
(http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Для KMS-клиентов ключи продукта
устанавливаются предварительно.
Установка KMS на главный компьютер
Служба узла KMS является частью Windows 7 и Windows Server 2008 R2. Поэтому компьютеры
под управлением этих операционных систем можно настроить как узел KMS без установки
дополнительного ПО. Для размещения службы на компьютере под управлением Windows Server
2003 с пакетом обновлений 2 (SP2) и более поздних версий нужно установить службу
управления ключами (KMS) 1.2 для Windows Server 2003 с пакетом обновлений 2 (SP2) и для
более поздних версий Windows Server 2003 1.2. Дополнительные сведения см. в статье базы
знаний Майкрософт 968915: Доступно обновление, которое устанавливает службу управления
ключами (KMS) 1.2 для Windows Server 2003 с пакетом обновлений 2 (SP2) и более поздних
версий Windows Server 2003 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183046&clcid=0x419).
Действия для активации с помощью службы
управления ключами

Хотя на ключ узла KMS позволяет активировать шесть узлов KMS, не рекомендуется
активировать более двух узлов KMS. Для активации узла KMS по Интернету запустите
программу KeyManagementServiceHost.exe на веб-сайте Лицензионный пакет сервера KMS
Microsoft Office 2010 (http://go.microsoft.com/fwlink/?linkid=169244&clcid=0x419). Корпорация
Майкрософт предоставляет эту программу для бесплатной загрузки. Для активации узла
KMS по телефону или вручную и для его настройки используйте скрипт slmgr.vbs.
Дополнительные сведения см. в статье Развертывание многопользовательской активации
Office 2010.

После активации узла KMS существующие KMS-клиенты активируются автоматически. В
некоторых случаях необходимо настроить KMS-клиенты с помощью скрипта ospp.vbs.
Дополнительные сведения см. в статье Средства для настройки клиентских компьютеров в
Office 2010.
Действия для управления средством управления
активацией корпоративных лицензий VAMT
Загрузите и установите средство VAMT 2.0 (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=183042&clcid=0x419). Следуйте инструкциям на странице
545
загрузки. Для получения дополнительных сведений об использовании средства VAMT щелкните
Справка в строке меню VAMT 2.0.
Если в отделе или группе пять или меньше компьютеров, которые не подключены к
корпоративной сети, рекомендуется использовать независимую активацию MAK для каждого
компьютера. Дополнительные сведения см. в статье Планирование независимой MAK-активации
Office 2010.
Если увеличить число компьютеров до числа, которое не превышает 50, рекомендуется
использовать прокси-активацию MAK с использованием VAMT для всех компьютеров, которые
могут подключиться к прокси-серверу MAK. Дополнительные сведения см. в статье
Планирование прокси-активации MAK для Office 2010.
Примечание.
Пример сценария, в котором применяется активация KMS, см. в статье Сценарий:
основная сеть — KMS- или MAK-активация Office 2010. Примеры сценариев с
применением активации KMS вместе с активацией MAK см. в статьях Сценарий:
защищенная сеть — KMS- или MAK-активация Office 2010, Сценарий: мобильные или
отключенные компьютеры — KMS- или MAK-активация Office 2010 и Сценарий:
лаборатория тестирования или разработки — KMS- или MAK-активация Office 2010.
См. также
Планирование независимой MAK-активации Office 2010
Планирование прокси-активации MAK для Office 2010
Планирование многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
Средство управления многопользовательской активацией (Возможно, на английском языке)
Центр обслуживания многопользовательской активации (Возможно, на английском языке)
546
Сценарий: основная сеть — KMS- или MAKактивация Office 2010
В этой статье представлен более сложный сценарий многопользовательской активации, чем в
примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации
MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации,
рекомендуемый для этого сценария, определяется при использовании одного или нескольких
методов активации — службы управления ключами (KMS) и ключа многократной активации
(MAK) — описанных в этих статьях.
Основная сеть с 50 или более компьютерами
Если в организации 50 или более компьютеров, которые регулярно подключаются к основной
сети, рекомендуется использовать службу KMS для активации Microsoft Office 2010.
Дополнительные сведения см. в статье Планирование KMS-активации Office 2010. Вместо
активации каждого компьютера отдельно, подключаясь к серверу Майкрософт, можно
активировать все компьютеры (называемые KMS-клиентами) одновременно с помощью узла
KMS в основной корпоративной сети.
Хотя один узел KMS может активировать тысячи KMS-клиентов, можно физически настроить до
шести узлов KMS в зависимости от размера и сложности сети. Однако для обеспечения
максимальной простоты и эффективности рекомендуется следовать инструкциям, указанным в
следующей таблице.
Настройка основной сети
Число узлов KMS (см. раздел Рекомендации)
Среднее (50-99 компьютеров)
1
Среднее (100-249 компьютеров)
1 или 2
Предприятие (250 и более компьютеров)
2 или больше
Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office
2010.
Рекомендации
При использовании службы KMS для активации Office 2010 в основной сети, нужно учитывать
следующие факторы.
547

Число узлов KMS должно быть минимальным. Один ключ узла KMS может активировать до
шести узлов KMS, а каждый узел KMS может активировать множество KMS-клиентов.

Узел KMS можно активировать по телефону или по Интернету.

Каждый узел KMS работает независимо от других узлов KMS.

Каждый узел KMS должен убедиться, что более пяти KMS-клиентов запросили активацию в
течение 30-дневного периода для поддержания порога активации KMS-клиента.
См. также
Планирование KMS-активации Office 2010
Планирование прокси-активации MAK для Office 2010
Планирование независимой MAK-активации Office 2010
Планирование многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
548
Сценарий: защищенная сеть — KMS- или
MAK-активация Office 2010
В этой статье представлен более сложный сценарий многопользовательской активации, чем в
примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации
MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации,
рекомендуемый для этого сценария, определяется при использовании одного или нескольких
методов активации — службы управления ключами (KMS) и ключа многократной активации
(MAK) — описанных в этих статьях.
Защищенная сеть
Если в организации используется защищенная сеть — например, сеть филиала или экстрасеть
после брандмауэра — рекомендуется следовать инструкциям, указанным в следующей таблице,
для активации Microsoft Office 2010 с помощью KMS и MAK.
Настройка защищенной сети
Рекомендуемый метод активации
Брандмауэр можно открыть для доступа к
основной сети.
Используйте Планирование KMS-активации
Office 2010 на узле KMS в основной сети.
Политика не позволяет открыть брандмауэр.

Более 50 компьютеров: Планирование
KMS-активации Office 2010 с помощью
локального узла KMS в защищенной сети.

Меньше 50 компьютеров: Планирование
независимой MAK-активации Office 2010
или Планирование прокси-активации MAK
для Office 2010.
Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office
2010.
Дополнительные сведения о прокси-активации MAK см. в статье Планирование проксиактивации MAK для Office 2010.
Дополнительные сведения о независимой активации MAK см. в статье Планирование
независимой MAK-активации Office 2010.
549
Рекомендации
При подготовке защищенной к многопользовательской активации Office 2010 необходимо учесть
следующие факторы.

Брандмауэр нужно настроить как RPC по протоколу TCP и использовать порт TCP 1688.

Настройку брандмауэра клиентского компьютера можно инициировать на клиентском
компьютере.
См. также
Планирование KMS-активации Office 2010
Планирование прокси-активации MAK для Office 2010
Планирование независимой MAK-активации Office 2010
Планирование многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
550
Сценарий: мобильные или отключенные
компьютеры — KMS- или MAK-активация
Office 2010
В этой статье представлен более сложный сценарий многопользовательской активации, чем в
примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации
MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации,
рекомендуемый для этого сценария, определяется при использовании одного или нескольких
методов активации — службы управления ключами (KMS) и ключа многократной активации
(MAK) — описанных в этих статьях.
Мобильные и отключенные сети
В организации может использовать любой из следующих типов конфигурации сети.

Сети или компьютеры, которые никогда не подключаются к Интернету или основной сети.

Мобильные компьютеры, которые периодически подключаются к основной сети одним из
следующих способов.


Прямое подключение к сети.

VPN-подключение.
Мобильные компьютеры, подключенные к Интернету, но никогда не подключающиеся к
основной сети.
Если это так, рекомендуется использовать инструкции, указанные в следующей таблице, для
активации Microsoft Office 2010 с помощью службы KMS и ключа MAK.
Настройка сети
Рекомендуемый метод активации
Компьютеры с доступом в Интернет, которые
никогда не подключаются к основной сети.
Планирование независимой MAK-активации
Office 2010 по Интернету.
Компьютеры без доступа в Интернет, которые
никогда не подключаются к основной сети.
Планирование независимой MAK-активации
Office 2010 по телефону.
Сети, которые не могут подключиться к
основной сети.

Пять или более компьютеров (порог KMSактивации) нужно активировать, поэтому
используйте Планирование KMS-активации
Office 2010 следующим образом.

Малая организация: 1 узел KMS

Средняя организация: 1 или несколько
551
Настройка сети
Рекомендуемый метод активации
узлов KMS.


Компьютеры, которые периодически
подключаются к основной сети напрямую или
через VPN.
Крупная организация (предприятие): 2
или более узлов KMS.
Если нужно активировать менее пяти
компьютеров, используйте Планирование
независимой MAK-активации Office 2010
или Планирование прокси-активации MAK
для Office 2010 (с помощью средства VAMT
(Возможно, на английском языке)).
Планирование KMS-активации Office 2010 с
помощью узлов KMS в основной сети.
Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office
2010.
Дополнительные сведения о прокси-активации MAK см. в статье Планирование проксиактивации MAK для Office 2010.
Дополнительные сведения о независимой активации MAK см. в статье Планирование
независимой MAK-активации Office 2010.
Рекомендации
При подготовке мобильных или отключенных сетей и компьютеров к многопользовательской
активации Office 2010 следует учесть следующие факторы.

Возможно существование ограниченных сред или сетей, которые не могут быть подключены
к другим сетям.

Узел KMS может быть активирован и затем перемещен в отключенную сеть.

И активацию узла KMS, и независимую MAK-активацию можно выполнить по телефону.

Прокси-активация MAK выполняется с помощью средства VAMT.
См. также
Планирование KMS-активации Office 2010
Планирование прокси-активации MAK для Office 2010
Планирование независимой MAK-активации Office 2010
Планирование многопользовательской активации Office 2010
552
Развертывание многопользовательской активации Office 2010
553
Сценарий: лаборатория тестирования или
разработки — KMS- или MAK-активация
Office 2010
В этой статье представлен более сложный сценарий многопользовательской активации, чем в
примерах в статьях Планирование KMS-активации Office 2010, Планирование прокси-активации
MAK для Office 2010 и Планирование независимой MAK-активации Office 2010. Метод активации,
рекомендуемый для этого сценария, определяется при использовании одного или нескольких
методов активации — службы управления ключами (KMS) и ключа многократной активации
(MAK) — описанных в этих статьях.
Лаборатория тестирования или разработки
Если в организации есть сеть, используемая для краткосрочных тестов, или лаборатория
разработки, в которой на компьютеры записываются новые образы после завершения
тестирования или разработки, рекомендуется использовать инструкции, указанные в следующей
таблице, для KMS- и MAK-активации Microsoft Office 2010.
Настройка сети
Рекомендуемый метод активации
Пять или более компьютеров (порог KMSактивации).
Планирование KMS-активации Office 2010 с
помощью одного узла KMS.
Примечание.
Можно настроить узел KMS для каждой
сети с пятью или более компьютерами,
которые нужно активировать.
Необходимо активировать менее пяти
компьютеров.
1. Если на компьютеры образы записываются
в течение 90 дней, активация не требуется.
Просто сбросьте 25-дневный льготный
период. Дополнительные сведения см. в
разделе Возврат установки Office 2010 к
исходному состоянию активации статьи
Развертывание многопользовательской
активации Office 2010.
2. В противном случае выполните активацию
с помощью Планирование проксиактивации MAK для Office 2010, используя
554
Настройка сети
Рекомендуемый метод активации
сохраненный идентификатор
подтверждения (CID). Дополнительные
сведения см. в разделе Архитектура MAK
статьи Планирование
многопользовательской активации Office
2010.
Дополнительные сведения об активации KMS см. в статье Планирование KMS-активации Office
2010.
Дополнительные сведения о прокси-активации MAK см. в статье Планирование проксиактивации MAK для Office 2010.
Дополнительные сведения о независимой активации MAK см. в статье Планирование
независимой MAK-активации Office 2010.
Рекомендации
При подготовке сети лаборатории тестирования или разработки к многопользовательской
активации Office 2010 следует учесть следующие факторы.

В сети лаборатории обычно меньше компьютеров, чем в рабочей сети.

Конфигурация сети лаборатории может различаться, а метод активации (KMS, проксисервер MAK, независимая MAK-активации) также может быть другим.

Если лабораторных сетей несколько, в каждой из них нужно использовать собственный
метод активации.
См. также
Планирование KMS-активации Office 2010
Планирование прокси-активации MAK для Office 2010
Планирование независимой MAK-активации Office 2010
Планирование многопользовательской активации Office 2010
Развертывание многопользовательской активации Office 2010
555
Вопросы и ответы. Многопользовательская
активация Office 2010
В этой статье приведены ответы на вопросы, посвященные многопользовательской активации
Microsoft Office 2010.
Содержание статьи

Обзор часто задаваемых вопросов по многопользовательской активации

Вопросы и ответы. Служба управления ключами (KMS)

Вопросы и ответы. Ключ многократной активации (MAK)

Вопросы и ответы. Средство управления активацией корпоративных лицензий (VAMT)

Вопросы и ответы. Ключи продуктов
Обзор часто задаваемых вопросов по
многопользовательской активации
Многопользовательская активация — это технология активации продуктов, которая была
предложена в ОС Microsoft Windows Vista и Windows Server 2008. Эта технология позволяет
клиентам корпоративного лицензирования автоматизировать процесс активации способом,
который является прозрачным для пользователей. Многопользовательская активация
используется только для активации систем, распространяемых в рамках программ
корпоративного лицензирования, и не связана с выставлением счетов за покупку лицензий.
Существует два метода многопользовательской активации:

Службу управления ключами (KMS)

Ключ многократной активации (MAK)
Клиенты могут использовать любой из этих методов или оба метода.

Служба управления ключами предназначена для активации систем Windows и Microsoft
Office 2010. Для всех продуктов Office 2010, Microsoft Project 2010 и Microsoft Visio 2010
используется один клиентский ключ KMS.

Ключ многократной активации (MAK) используется для однократной активации по телефону
или через Интернет систем Windows или Office 2010 с помощью служб активации,
размещенных в корпорации Майкрософт. Для каждого продукта, предоставляемого в рамках
программ корпоративного лицензирования, существует уникальный клиентский ключ MAK.
Для каждого продукта, использующего многопользовательскую активацию, важно спланировать
развертывание (например, Windows 7, Windows Server 2008 и Windows Vista). Прежде чем
приступать к развертыванию продукта в организации, ознакомьтесь с документами и
видеоматериалами. Все материалы, посвященные Office 2010, Project 2010 и Visio 2010,
556
расположены на веб-странице Многопользовательская активация для Office 2010
(http://go.microsoft.com/fwlink/?linkid=189005&clcid=0x419) центра ресурсов.
Как связаны между собой многопользовательская активация Office 2010 и Windows?
Платформа защиты программного обеспечения (SPP), представленная в Windows Vista и
Windows Server 2008 (также используется в Windows 7 и Windows Server 2008 R2) адаптирована
для Office 2010. Для активации клиентских продуктов Office 2010 необходимо использовать
службу управления ключами или ключ многократной активации.
Как многопользовательская активация может помочь клиентам корпорации Майкрософт?
Преимущества многопользовательской активации для клиентов:

Надежность. Опыт показывает, что при загрузке нелицензионного ПО клиенты часто
получают вредоносный код, такой как клавиатурные шпионы и вредоносные программы типа
"Троянский конь". Многопользовательская активация позволяет снизить риск и обеспечивает
надежность и безопасность.

Возможность получения поддержки. Для версий программного обеспечения Office,
подлинность которых проверена, после активации предоставляется полный пакет
поддержки, осуществляемый корпорацией Майкрософт.

Соответствие лицензий. Средства многопользовательской активации позволяют
определить, какое программное обеспечение установлено и активировано.
Связана ли многопользовательская активация с лицензирование?
Активация связана с лицензированием. Однако активация не обеспечивает лицензирование.
Активация не изменяет существующие соглашения или программы корпоративного
лицензирования. Ключи и соответствующие ограничения на число активаций (только при
использовании ключей многократной активации) зависят от конкретной корпоративной лицензии,
имеющейся у пользователя. Корпорация Майкрософт использует сведения, собранные в ходе
активации, для подтверждения, что у пользователя установлена лицензированная копия
программного обеспечения. Эти сведения собираются для статистического анализа. Корпорация
Майкрософт не использует полученные сведения для идентификации личности клиента или с
целью установления контакта с клиентом.
Можно ли вернуть активированную установку Office в прежнее состояние?
Нет. Активированная установка Microsoft Office не может быть возвращена в исходное
состояние.
Отличается ли многопользовательская активация Office 2010, Project 2010 и Visio 2010?
Различия в многопользовательской активации:

Для установки и активации Office 2010 требуется только один клиентский ключ KMS.
Клиентский ключ KMS Office 2010 используется для активации любой версии приложения
Office 2010, Office 2010, Project 2010 и Visio 2010.

Для каждой версии продукта Office 2010 имеется свой ключ многократной активации.
Например,Office 2010 Standard MAK, Word 2010 MAK, Visio 2010 MAK и т. д.
557
Дополнительные сведения см. на веб-странице Многопользовательская активация для Office
2010 (http://go.microsoft.com/fwlink/?linkid=189005&clcid=0x419) центра ресурсов.
Отличается ли многопользовательская активация Windows 7 и Windows Server 2008 R2?
Различия в многопользовательской активации:

Активация виртуальных компьютеров.

Использование клиентского ключа KMS Windows Server 2008 R2 и клиентского ключа KMS
Windows 7 для более ранних версий продуктов.

Улучшение развертывания, управления ключами продуктов и создания отчетов.

Использование аналогичной платформы активации как для Office 2010, Project 2010 и Visio
2010, так и для Windows Vista, Windows Server 2003 и Windows Server 2008.
Дополнительные сведения см. в статье Многопользовательская активация Windows
(http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x419).
Какой метод активации следует использовать для виртуальных компьютеров?
Для активации виртуальных компьютеров можно использовать ключ многократной активации или
службу управления ключами. Однако в данном случае служба управления ключами является
более предпочтительным методом, поскольку при активации с помощью ключа многократной
активации число доступных активаций уменьшается. Это применимо как к физическим, так и к
виртуальным компьютерам.

Windows Vista с пакетом обновления 1, Windows Server 2008, Windows Server 2003 версии 1.1
и Windows 7 поддерживают размещение службы управления ключами на виртуальном
сервере.

Для Windows Vista с пакетом обновления 2 (SP2), Windows Server 2008 с пакетом обновления
2 (SP2), Windows 7, Windows Server 2008 R2 и Office 2010 при расчета порога KMS-активации
учитывается число виртуальных компьютеров. Дополнительные сведения см. в статье
Многопользовательская активация Windows
(http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x4

Один ключ узла KMS может использоваться для 6 физических или виртуальных узлов KMS.

Узел KMS должен получить запросы активации как минимум от пяти KMS-клиентов. Это
неизменяемое пороговое значение позволяет гарантировать, что служба активации
используется только в среде предприятия и служит в качестве защитного механизма от
пиратства. Серверы могут быть как физическими, так и виртуальными, поэтому для больших
развертываний не требуется соответствия этим минимальным требованиям.

Для запуска узла KMS Office 2010 не требуется выделенный сервер. Узел KMS — это
небольшая служба, поэтому можно объединить Office 2010 и узел KMS. Следует отметить,
что в качестве операционных систем для узлов KMS для Office 2010 могут использоваться
только Windows Server 2003, корпоративные выпуски Windows 7 и Windows Server 2008 R2
Можно ли запустить узел KMS Office 2010 на виртуальном компьютере?
558
Да, узел KMS Office 2010 можно запустить на виртуальном компьютере, работающем под
управлением Windows Server 2003, корпоративных выпусков Windows 7 и Windows Server 2008
R2.
Должна ли версия языка узла KMS Office 2010 для Windows Server 2003 соответствовать
версии языка, выбранной на сервере?
Да, версии языка операционной системы и узла KMS Office 2010 для Windows Server 2003
должны совпадать. Это требование применяется только к узлу KMS для Windows Server 2003.
Я купил новый компьютер с предустановленной версией Windows 7 Профессиональная и
планирую перейти на более раннюю версию ОС Windows. Какой ключ следует
использовать?
При выборе ключа необходимо основываться на следующих положениях:

Узел KMS, активированный с помощью ключа KMS Windows 7, активирует клиентов Windows
Vista и Windows 7.

Узел KMS, активированный с помощью ключа KMS Windows Vista, активирует клиентов
Windows Vista.

Windows Vista также может использовать ключ многократной активации.
Чтобы перейти на версию Windows XP;, необходимо использовать ключ Windows XP;
Professional.
Если дочерняя компания имеет отдельное соглашение, может ли главная компания
использовать один ключ (например, ключ KMS Windows Server 2008 Standard/Enterprise
R2) для развертывания Windows 7 и Windows Server 2008 R2 в обеих компаниях?
Такой вариант возможен, однако клиенты не должны использовать ключи, предоставленные для
конкретного номера лицензии (соглашение, соглашение о регистрации, аффилированное лицо
или лицензия) с лицензией, указанной для этого номера лицензии.
Что произойдет, если ПО не будет активировано?
Активация создана для обеспечения прозрачного взаимодействия с пользователями. Если
активация не выполнена в течение льготного периода (обычно 30 дней), Windows или Office 2010
переводится в режим уведомления. В режиме уведомления Windows при входе в систему
пользователь видит на экране напоминание о необходимости активации. Например, в Windows 7
пользователь видит уведомление в Центре поддержки
(http://go.microsoft.com/fwlink/?linkid=189038&clcid=0x419), при этом на рабочем столе
отображается черная заставка.
Чем отличается режим ограниченной функциональности от режима уведомления?
В режиме ограниченной функциональности (используется только в розничных копиях)
приложение запускается в режиме ограниченной функциональности, если активация не
выполнена в 30-дневный срок. Важно отметить, что при использовании корпоративных версий
режим ограниченной функциональности не применяется, а пользователи получают только
уведомления по завершении льготного периода. Режим уведомления (применяется ко всем
559
системам Office 2010) — состояние лицензирования, при котором пользователь получает
постоянные уведомления, если активация не выполнена в течение льготного периода.
Что произойдет, если клиенты непредумышленно установили нелицензионное ПО?
Для таких случаев корпорация Майкрософт предоставляет различные программы
лицензирования, называемые Get Genuine.
Можно ли использовать лицензионные ключи для повторного применения образов?
Да. Права повторного применения образов назначаются всем клиентам корпоративного
лицензирования Майкрософт. Клиенты могут повторно применять образы лицензированных
копий ПВТ или коробочных продуктов с помощью носителя, предоставленного в рамках
соглашения о корпоративном лицензировании, если копии идентичны исходному
лицензированному продукту.
Для клиентов корпоративного лицензирования ключи находятся на странице с ключами
продуктов. Кроме того, для получения ключей можно обратиться в центр активации. Список
центров активации см. на веб-сайте Центра поддержки корпоративных лицензий
(http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419). Клиенты Open License должны
приобрести по крайней мере одну копию продукта, для которого планируется создать образ,
чтобы получить доступ к носителям и ключам.
Дополнительные сведения см. в документе "Права на воспроизведение образа" на веб-странице,
посвященной лицензированию (Возможно, на английском языке)
(http://go.microsoft.com/fwlink/?linkid=154939&clcid=0x419) (Возможно, на английском языке).
Как выполняется активация при использовании VPN-подключения?
Напоминание отображается каждые два часа. После активации напоминание изменяется
каждые семь дней. Эти параметры по умолчанию можно настроить в файле ospp.vbs.
Мобильные пользователи, подключающиеся к сети с помощью VPN, могут вручную активировать
приложение путем запуска Office 2010 для отправки запроса активации или с помощью команды
ospp.vbs /act.
Как удалить красную строку заголовка при использовании удаленного компьютера?
Подключитесь с помощью VPN и выполните активацию, как описано в предыдущем ответе.
Можно ли задать групповую политику для инструментария управления Windows (WMI)?
Да. С помощью групповой политики можно открыть брандмауэр, чтобы разрешить
использование WMI.
Можно ли передавать сведения активации через System Center Configuration Manager
(SCCM)?
Да.
Можно ли с помощью средства sysprep автоматически вернуть Office 2010 к исходному
состоянию активации?
Нет. В настоящий момент средство sysprep не поддерживает эту возможность.
Что произойдет, если не вернуться к исходному состоянию активации перед созданием
образа?
560
Компьютеры, на которых разворачивается образ, будут распознаваться как один и тот же
компьютер. Счетчик запросов не увеличится, поэтому активация на этих компьютерах
завершится с ошибкой.
Можно ли использовать активацию на основе маркеров?
Активация на основе маркеров может использоваться в Office 2010 для сред, требующих
максимальную защиту.
Вопросы и ответы. Служба управления ключами
(KMS)
Служба управления ключами — это не требовательная к ресурсам служба, не требующая
выделенной системы, которая может размещаться в системе, предоставляющей другие службы.
При использовании службы управления ключами процедура активации выполняется в локальной
сети. Это устраняет необходимость в подключении отдельных компьютеров к серверам
Майкрософт для активации продукта.
Служба управления ключами предъявляет минимальные требования к числу физических или
виртуальных компьютеров в сети. Порог активации для компьютеров с ОС Windows Server 2008
или Windows Server 2008 R2, равняется 5, для компьютеров с ОС Windows Vista или Windows 7
— 25, а для компьютеров с Office 2010, Project 2010 и Visio 2010 — 5. Эти значения называются
порогами активации. Чтобы как можно больше клиентов удовлетворяли этим требованиям, для
порогов активации заданы минимальные значения. Дополнительные сведения о порогах
активации см. на веб-странице, посвященной многопользовательской активации Windows
(http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x419). Дополнительные сведения для
Office 2010, Project 2010 и Visio 2010 см. в статьях Краткое руководство по
многопользовательской активации для Office 2010 и Обзор многопользовательской активации
Office 2010.
Ключ KMS используется для активации только узла KMS на сервере активации Майкрософт.
Один ключ узла KMS может активировать до 6 узлов KMS с 10 активациями на каждый узел.
Каждый узел KMS может активировать неограниченное число KMS-клиентов. Если требуется
активировать более 6 узлов KMS, обратитесь в Центр поддержки корпоративных лицензий
(http://go.microsoft.com/fwlink/?linkid=184280&clcid=0x419) и объясните, почему требуется
повысить лимит активаций.
Предупреждение.
Дополнительные сведения об активации продуктов см. на веб-страницах, посвященных
многопользовательской активации Windows
(http://go.microsoft.com/fwlink/?linkid=184668&clcid=0x419) и многопользовательской
активации Office 2010 (http://go.microsoft.com/fwlink/?linkid=189005&clcid=0x419) центра
ресурсов.
Я установил часть набора Office 2010, для которого требуется активация с помощью
службы управления ключами. Повлияет ли это на работу набора Office?
561
Это не повлияет на работу, если установка выполнена в соответствии с инструкциями.
Можно ли установить лицензию и ключ KMS Office 2010 KMS в ОС Windows 7 и Windows
Server 2008 R2?
Да.
Для Office 2010 используются разные ключи узла KMS?
Для активации всех клиентских продуктов Office 2010 используется один ключ узла KMS.
Компьютер узла KMS был активирован с помощью ключа KMS Windows Server 2008.
Можно ли использовать этот компьютер в качестве узла для развертывания Windows
Server 2008 R2?
Существующие узлы KMS, установленные на компьютерах с ОС Windows Server 2003, Windows
Server 2008 или Windows Vista, должны быть обновлены для поддержки активации Windows 7 и
Windows Server 2008 R2 в дополнении к Office 20