设置outlook2003
适用于IT专业人员:MicrosoftOffice2010规划指南MicrosoftCorporation发布日期:2010年9月作者:MicrosoftOffice系统和服务器团队(itspdocs@microsoft.
com)摘要本书包含有关如何规划MicrosoftOffice2010部署的信息.
本书的读者包括IT多面手、IT运营部门、技术支持和部署员工、IT消息管理员、顾问和其他IT专业人员.
本书的内容是Office2010资源工具包技术库(http://go.
microsoft.
com/fwlink/linkid=181453&clcid=0x804)中的精选内容在本书发布之日的副本.
有关最新内容,请参阅Web上的技术库.
本文档按"原样"提供.
本文档表达的信息和观点(包括URL和其他Internet网站引用)可能随时发生更改,恕不另行通知.
使用本文档的风险由您自行承担.
本文档描述的一些示例仅供演示之用,纯属虚构.
无意进行真实的关联或联系,请勿据此妄加推测.
本文档并不为您提供对任何Microsoft产品中任何知识产权的任何法律权利.
您可以出于内部参考目的复制和使用本文档.
2010MicrosoftCorporation.
保留所有权利.
Microsoft、Access、ActiveDirectory、Backstage、Excel、Groove、Hotmail、InfoPath、InternetExplorer、Outlook、PerformancePoint、PowerPoint、SharePoint、Silverlight、Windows、WindowsLive、WindowsMobile、WindowsPowerShell、WindowsServer和WindowsVista是MicrosoftCorporation在美国和/或其他国家/地区的注册商标或商标.
本文档包含的信息代表MicrosoftCorporation在本文档发布之日对所讨论问题的当前观点.
由于Microsoft必须对不断变化的市场情况作出反应,因此不应将其理解为Microsoft所做的承诺,Microsoft不能保证所提供的信息在本文档发布之后仍然准确.
目录获取帮助20规划Office2010部署21Office2010的安装程序体系结构概述22安装过程23安装程序的事件顺序23运行安装程序23检查先决条件24读取XML数据24建立功能树26在用户的计算机上创建本地安装源26安装Office26应用自定义文件26应用软件更新27在安装点上包括多个产品27以交互方式运行安装程序28中性语言设计28Office的语言版本28Office的语言包29简化的自定义模型29使用Office自定义工具30自定义新安装30对现有Office安装进行更改31使用Config.
xml文件自定义Office31使用安装程序命令行选项31使用组策略32所需的本地安装源32在用户的计算机上创建本地安装源33单独部署本地安装源33合并更新过程34在新安装过程中应用Office更新34更新现有Office安装35另请参阅35规划Office2010的迁移和升级战略36规划升级到Office201037升级过程概述37比较升级选项并了解数据迁移38迁移文档38另请参阅39在Office2010中迁移用户数据注册表项40MicrosoftOffice2003设置40MicrosoftOffice2007设置48选择用于部署Office2010的选项56部署选项56网络共享56组策略启动脚本56托管部署57应用程序虚拟化57演示文稿虚拟化57规划Office2010的桌面配置58规划OneNote201059规划概述59评估组织要求60OneNote2010的系统要求60升级到OneNote201060安全注意事项60多语言要求60检查OneNote2010中的更改60检查迁移注意事项61规划OneNote升级61从OneNote2007升级61从OneNote2003升级61规划OneNoteWebApp62OfficeWebApps的系统要求62部署和使用OfficeWebApps的资源63对SharePoint产品使用OneNote的注意事项63关闭"需要签出"64版本控制64使用MicrosoftOfficeOneNote2007的混合环境64另请参阅64规划Outlook201065规划Outlook2010的概述66确定组织的需要66升级安装或初始安装66迁移数据66远程用户和漫游用户66多语言要求67客户端和邮件服务器平台67选择何时和如何安装Outlook67自定义Outlook设置和配置文件68配置订阅和其他共享功能68将Outlook用于终端服务69协作数据对象相关性69自动存档69Outlook数据文件(.
pst)69保留策略70安全和隐私注意事项70Office的信任中心70为用户限制病毒和垃圾邮件70配置加密功能71限制对电子邮件的权限71Outlook2010以及电子邮件协议和服务器71从Outlook的早期版本升级71在启用了缓存Exchange模式的情况下升级72规划升级时要考虑的其他问题72从其他邮件和计划程序升级73另请参阅73确定何时安装Outlook201074与Office一起安装Outlook74在Office之前安装Outlook74在Office之前安装Outlook的优点75在Office之前安装Outlook的缺点75在Office之后安装Outlook75在Office之后安装Outlook的优点75在Office之后安装Outlook的缺点75分阶段部署Outlook76分阶段部署的优点76分阶段部署的缺点76另请参阅76确定在Outlook2010中启用或自定义哪些功能77自动存档78联系人卡片79联系人卡片79"联系人"选项卡80对话视图83全局地址列表同步84Outlook在GAL同步期间进行的联系人更正84配置GAL同步85Internet日历86即时搜索87导航窗格88OutlookSocialConnector90搜索文件夹93SharePointServerColleague外接程序94另请参阅95规划Outlook2010中的缓存Exchange模式部署96概述96在缓存Exchange模式和联机模式之间进行选择97何时使用缓存Exchange模式97何时使用联机模式97特殊注意事项98缓存Exchange模式如何帮助改善Outlook用户体验98Outlook功能可能降低缓存Exchange模式的有效性99同步、磁盘空间和性能注意事项100不必再手动同步Exchange帐户100脱机通讯簿访问的优点101脱机文件夹(.
ost文件)建议101管理性能问题102管理Outlook文件夹共享102公用文件夹收藏夹注意事项102管理检测到低速连接后Outlook的行为103用于分阶段进行缓存Exchange模式部署的选项103将当前缓存Exchange模式用户升级到Outlook2010105向已有.
ost文件的用户部署缓存Exchange模式105配置缓存Exchange模式106其他资源107远程桌面会话主机环境中的缓存Exchange模式:规划注意事项(白皮书)108规划自动配置Outlook2010中的用户帐户109概述109搭配DNS使用自动发现109自动发现协议详细信息110静态XML与Web服务XML110本地使用自动发现111XML设置的优先级111自动发现处理汇总111自动发现XML架构112通过Outlook发送的POST请求112XML响应架构112示例XML响应117提供POP3和SMTP服务的ISP117提供POP3、IMAP和SMTP服务并对客户端优先使用POP3的ISP118重定向到公共XML文件位置的XML120常用设置发现120IMAP设置121POP3设置123SMTP设置126另请参阅130规划Outlook2010中的遵从性和存档131规划保留策略部署131定义您的保留策略131确定要创建哪些类型的策略132个人标记132通讯组列表133保留策略热身期和培训133向用户提供关于保留策略的培训134用户处于法律挂起或调查中135恢复已删除项135写入时复制135使用保留挂起136使用诉讼挂起136规划个人存档部署136确定您的存档策略136为用户培训关于个人存档的内容.
137组织中的Outlook数据文件(.
pst)137另请参阅139规划Outlook2010中的安全和保护功能140选择Outlook2010的安全和保护设置141概述141指定如何在Outlook中强制实施安全设置141使用组策略自定义安全设置142特殊环境142Outlook2010中的管理员设置与用户设置的交互方式144使用OutlookCOM加载项144在Outlook2010中对ActiveX窗体和自定义窗体的安全性进行自定义145自定义ActiveX控件在一次性窗体中的行为方式145对自定义窗体的安全设置进行自定义145在Outlook2010中自定义编程式设置146其他设置147另请参阅148规划Outlook2010中的设置149概述149添加或删除级别1文件扩展名150添加或删除级别2文件扩展名150配置额外的文件限制151另请参阅152规划Outlook2010中的电子邮件加密153关于Outlook2010中的加密邮件传送功能153Outlook2010如何实现加密的邮件传送153数字标识:公钥/私钥和证书的组合154管理加密的数字标识154数字标识的存储位置155向其他用户提供数字标识.
155导入数字标识155续订密钥和证书155安全标签和签名回执156配置Outlook2010的加密设置156配置其他加密设置161常规加密的安全策略设置161另请参阅162规划Outlook2010中的垃圾邮件限制163概述163支持的帐户类型164ExchangeServer中的支持164配置垃圾邮件筛选器用户界面164部署默认垃圾邮件筛选器列表166配置自动图片下载166另请参阅167PlanforspellingcheckersettingsinOffice2010(该链接可能指向英文页面)168Office2010generalspellingcheckersettings168InfoPath2010spellingcheckersettings170OneNote2010spellingcheckersettings171Outlook2010spellingcheckersettings172PowerPoint2010spellingcheckersettings173Publisher2010spellingcheckersettings174Word2010spellingcheckersettings175另请参阅176规划SharePointWorkspace2010177规划SharePointWorkspace2010拓扑177SharePointWorkspace仅作为SharePoint客户端179SharePointWorkspace作为对等协作客户端180SharePointWorkspace作为SharePoint和对等协作客户端181GrooveServer和SharePointWorkspace作为托管协作系统182规划SharePointWorkspace2010网络设置183规划容量185规划安全性185规划身份验证186规划备用访问映射186规划性能监控和限制187规划SharePoint列表以及库操作和设置187规划搜索187规划SharePointWorkspace备份和恢复188另请参阅188规划Visio2010的自定义和选项189应用程序设置189"背景"以及"边框和标题"库189自定义主题190图表模板191自定义快速形状191受信任的文档191SharePoint和存储库192另请参阅192规划Office2010的安全性193Office2010安全概述195分层防御是关键196四层方法196增强强化对策197完整性对策197保密性对策198帮助用户做出更好的安全决策198使管理员能够进行全面控制201从Office2003迁移安全和隐私设置202了解Office2010的安全威胁和对策205信息安全风险205对桌面生产效率应用程序的威胁206活动内容威胁206未经授权的访问威胁206外部内容威胁207浏览器威胁207零时差漏洞攻击威胁208Office2010中的默认对策208ActiveX控件设置208外接程序设置209加密技术和加密设置209数据执行保护设置209数字签名设置209外部内容设置209文件阻止设置210Office文件验证设置210密码复杂性设置210隐私选项210受保护的视图设置210受信任的文档设置211受信任位置设置211受信任的发布者设置211VBA宏设置211另请参阅211规划Office2010的受信任位置设置212关于规划受信任位置的设置212Access2010受信任位置212Excel2010受信任位置213PowerPoint2010受信任位置213Word2010受信任位置213实现受信任位置214确定要配置的应用程序214确定要指定为受信任位置的文件夹214使用环境变量指定受信任位置215将Web文件夹指定为受信任位置215确定文件夹共享和文件夹安全设置216确定对受信任位置的限制216禁用受信任位置217另请参阅218规划Office2010的受信任的发布者设置219关于规划受信任的发布者设置219从已知发布者处获取证书219确定必须将哪些证书添加到"受信任的发布者"列表220相关的"受信任的发布者"设置221另请参阅221规划Office2010加载项的安全设置222关于规划加载项设置222基于每个应用程序禁用加载项223要求由受信任发布者签署应用程序加载项223禁用未签署加载项通知223另请参阅224为Office2010规划ActiveX控件的安全设置225关于规划ActiveX控件的设置225禁用ActiveX控件226更改ActiveX控件的初始化方式227相关的ActiveX控件设置228另请参阅229规划Office2010的VBA宏的安全设置230关于规划VBA和VBA宏设置230更改VBA宏的安全警告设置231禁用VBA231更改VBA宏在以编程方式启动的应用程序中的行为方式232更改对加密VBA宏执行病毒扫描的方式232相关VBA宏设置233另请参阅233规划Office2010的COM对象分类234关于COM对象分类234为COM对象分类配置组策略安全设置234在注册表中添加COM对象分类235规划Office2010的"受保护的视图"设置237关于规划受保护的视图的设置237受保护的视图的默认行为237更改受保护的视图的行为238阻止文件在受保护的视图中打开238强制文件在受保护的视图中打开239使用文件阻止功能来强制文件在受保护的视图中打开239使用Office文件验证设置来强制文件在受保护的视图中打开239将文件添加到不安全文件列表中239另请参阅240规划Office2010的Office文件验证设置241关于规划Office文件验证设置241关闭Office文件验证242更改未通过验证时的文档行为243关闭Office文件验证的报告功能243另请参阅2442007Officesystem管理模板文件(ADM、ADMX、ADML)和Office自定义工具更新245关于密码长度和复杂性设置计划245强制实施密码长度和复杂性245确定最短密码长度要求246确定密码规则等级246确定域超时值247相关密码长度和复杂性设置247另请参阅248规划Office2010的加密技术和加密设置249关于Office2010中的加密技术和加密249加密技术和加密设置250与Office早期版本的兼容性252另请参阅252规划Office2010的数字签名设置253什么是数字签名253数字签名有什么作用253数字签名的要求253公司环境中的数字签名254兼容性问题254数字证书:自签名或者由CA颁发255使用公司PKI创建的证书255商业证书255使用数字签名256时间戳数字签名256配置数字签名257规划Office2010的隐私选项259关于规划隐私选项259禁止显示"欢迎使用MicrosoftOffice2010"对话框260配置隐私选项260相关隐私选项261另请参阅262规划Office2010的文件阻止设置263使用组策略或OCT阻止文件格式类型263配置文件阻止设置时的规划注意事项263组策略和OCT设置263如何查找设置264关于"设置默认文件阻止行为"设置264Excel2010设置265PowerPoint2010设置281Word2010设置286另请参阅297规划Office2010中的信息权限管理298IRM概述298IRM在Office2010中的工作方式299在有RMS服务器的环境中使用IRM299在没有本地RMS服务器的环境下使用IRM300针对Office2010设置IRM300设置RMS服务器访问300安装权限管理客户端软件301定义和部署权限策略301权限301权限的预定义组302高级权限303部署权限策略模板303针对Office2010配置IRM设置303Office2010IRM设置303Office2010IRM注册表项选项304针对Outlook2010配置IRM设置306Outlook2010IRM设置306Outlook2010IRM注册表项选项307另请参阅307Securityarticlesforendusers(Office2010)308Overview308NewSecurityFeatures308Outlook309Access,Excel,PowerPoint,Visio,andWord309Accessonly310规划Office2010的组策略312Office2010组策略概述313本地组策略和基于ActiveDirectory的组策略313组策略处理314策略继承314同步和异步处理315"快速登录优化"功能315慢速链接处理315组策略刷新间隔315触发组策略刷新315更改组策略处理GPO的方式316更改链接顺序316阻止继承316强制GPO链接316禁用GPO链接316使用安全筛选317使用Windows管理规范筛选317使用环回处理317管理模板318管理模板文件318用于Office2010的管理模板文件319真实策略与用户首选项320真实策略320首选项320组策略管理工具321组策略管理控制台321组策略对象编辑器321GPMC和组策略对象编辑器的系统要求322Office自定义工具和组策略322另请参阅323规划Office2010中的组策略324规划组策略324定义业务目标和安全要求324评估当前的环境324根据业务和安全要求设计托管配置325确定应用范围326测试和暂存组策略部署326使主要负责人参与327另请参阅327FAQ:GroupPolicy(Office2010)328Q:WhenshouldIuseGroupPolicyinsteadofOfficeConfigurationTool(OCT)328Q:WherecanIfindalistofGroupPoliciesthatareavailableforOffice2010328Q:WhatisthedifferencebetweenthetwoworkbooksOffice2010GroupPolicyAndOCTSettings_Reference.
xlsandOffice2010GroupPolicyAndOCTSettings.
xls328Q:Whatisthedifferencebetween.
adm,.
admx,and.
admladministrativetemplatefiles329Q:DotheOffice2010.
admxtemplatefilesworkwiththe2007OfficesystemOrmustIdownloadthe2007Officesystemtemplatefilesseparately329Q:HowdoIinstalltheOffice2010GroupPolicytemplates329Q:HowcanImapaspecificUIelementinOffice2010toaGroupPolicysetting330Q:HowcanIuseGroupPolicytodisablecommandsandmenuitems331Q.
WhydoesMicrosoftnotsupporttheuseofGroupPolicySoftwareInstallationtodeployOffice2010331Q.
WhataretheadvantagesandlimitationsofdeployingOffice2010usingGroupPolicycomputerstartupscripts331Downloadablebook:GroupPolicyforOffice2010333规划Office2010的多语言部署334规划安装334了解外壳UI语言的安装程序逻辑335规划自定义项336自定义语言设置的方法336使用户能够在首次打开时查看新语言设置337自定义与用户区域设置相关的特定语言的设置337规划校对工具338确定用于部署校对工具的方法338自定义Office2010校对工具包的安装339语法339OptionState属性339Office2010校对工具包的示例Config.
xml文件340预缓存Office2010校对工具包的本地安装源342另请参阅342规划Office2010的虚拟化343部署Office2010的虚拟化概述344关于虚拟化344虚拟化类型和技术344桌面、演示、应用程序345应用程序虚拟化345虚拟化交付方法346交付方法346虚拟化更改和更新348SoftGrid中的增强功能348应用程序虚拟化客户端体系结构349另请参阅349使用应用程序虚拟化部署Office2010的方法350部署方法350另请参阅350应用程序虚拟化应用程序包351ApplicationVirtualizationSequencer351ApplicationVirtualization程序包351创建Office2010system包352使用动态套件合成创建应用程序依赖项362另请参阅362远程桌面服务规划(终端服务)363规划在远程桌面服务(终端服务)环境中部署Office2010364规划远程桌面服务环境364评估授权要求364评估软件要求364服务器要求364客户端要求365评估建议准则和最佳做法365单一故障点366配置远程桌面会话主机服务器366已禁用与不安装366自定义Office2010安装367在启用了远程桌面服务的计算机上安装Office2010367执行Office2010的手动安装367执行Office2010的自动安装368另请参阅369与远程桌面服务(终端服务)相关的Office2010安装程序自定义370首次使用时安装370屏幕闪烁370TSAbsent和TSDisabled370另请参阅370规划Office2010中的辅助功能371提高冲突的可见性371控制检查器报告的内容371Excel2010的组策略设置371PowerPoint2010的组策略设置373Word2010的组策略设置375另请参阅377规划Office2010的批量激活378另请参阅378Office2010的批量激活概述379批量许可概述379激活策略的变化379为什么需要激活380隐私380Office激活技术380密钥管理服务(KMS)381Office2010KMS客户端381多次激活密钥(MAK)381批量许可产品密钥382另请参阅382规划Office2010的批量激活383计划部署383查看激活方法384密钥管理服务(KMS)384发布KMS服务385客户端对KMS的发现386KMS激活阈值386KMS激活续订386对运行Windows和Office2010客户端产品的计算机使用KMS386多次激活密钥(MAK)387MAK体系结构387VAMT2.
0387计划KMS部署388计划DNS服务器配置388激活KMS主机388准备KMS客户端389以标准用户身份激活389计划MAK激活389无已验证代理服务器支持389另请参阅389规划Office2010的MAK独立激活391MAK独立激活概述391示例:具有隔离的便携计算机的远程销售办事处391示例:拥有Internet连接的台式计算机和隔离的便携计算机的小型组织392规划和评估Office2010环境及配置393获取产品密钥393MAK独立激活步骤394VAMT管理步骤394另请参阅394规划Office2010的MAK代理激活395MAK代理激活概述395示例:拥有连接到Internet的台式计算机和隔离的便携计算机的中型组织395规划和评估Office2010环境及配置396获取产品密钥397MAK代理激活步骤397VAMT管理步骤397另请参阅397规划Office2010的KMS激活399KMS激活概述399示例:具有连接到企业网络的台式计算机和便携计算机的大中型组织399规划和评估Office2010环境及配置400获取产品密钥400在主计算机上安装KMS401KMS激活步骤401VAMT管理步骤401另请参阅401应用场景:核心网络-Office2010的KMS激活403具有50台或更多计算机的核心网络403注意事项403另请参阅404应用场景:安全网络-Office2010的KMS或MAK激活405安全网络405注意事项405另请参阅405应用场景:漫游或断开计算机连接-Office2010的KMS或MAK激活407漫游网络或断开连接的网络407注意事项408另请参阅408应用场景:测试或开发实验室-Office2010的KMS或MAK激活409测试或开发实验室网络409注意事项409另请参阅410常见问题:Office2010的批量激活411批量激活常见问题概述411密钥管理服务(KMS)常见问题414多次激活密钥(MAK)常见问题418批量激活管理工具(VAMT)常见问题420产品密钥常见问题421另请参阅423获取帮助我们尽了所有努力来确保本书的准确性.
同时,还在OfficeSystemTechNetLibrary中联机提供了这些内容,因此,如果您遇到问题,还可以在以下位置检查更新:http://technet.
microsoft.
com/zh-cn/office/bb267342如果在我们的联机内容中没有找到所需答案,您可以向MicrosoftOffice系统和服务器内容团队发送电子邮件,地址为:itspdocs@microsoft.
com如果您的问题是有关MicrosoftOffice产品的,而不是有关本书内容的,请在Microsoft帮助和支持中心或Microsoft知识库中进行搜索,网址为:http://support.
microsoft.
com/ln=zh-cn规划Office2010部署本节提供了Office2010安装程序体系结构的概述,并提供了有关如何规划桌面配置、安全性和应用程序(包括MicrosoftAccess2010、MicrosoftExcel2010和MicrosoftOutlook2010)的信息.
它还提供了从早期版本的Office中迁移和升级的规划信息,以及虚拟化和远程桌面服务规划信息.
本节内容:文章说明Office2010的安装程序体系结构概述概述Office2010的安装程序体系结构、事件的安装序列、中性语言设计和多语言部署、自定义方法、必需的本地安装源和更新过程.
规划Office2010的迁移和升级战略提供有关如何规划MicrosoftOffice2010套件安装以及如何用户数据(如用户和计算机设置以及从以前安装的MicrosoftOffice版本中创建的文档)的信息.
规划Office2010的桌面配置提供了有关在部署Office2010之前要注意的事项的信息和准则.
规划Office2010的批量激活概述用于Office2010的Microsoft批量许可和Office激活技术,还介绍了如何规划批量激活.
Office2010的安装程序体系结构概述MicrosoftOffice2010中的基本安装程序体系结构与2007MicrosoftOfficesystem中引入的体系结构相同.
该安装程序体系结构旨在简化安装、自定义和维护Office的各个方面.
新的安装程序统一并管理整个安装过程,包括自定义用户的Office配置,一次部署多种语言,以及将软件更新应用于新的安装.
本文大致介绍了安装程序体系结构、安装程序的事件顺序、中性语言设计和多语言部署、自定义方法、所需的本地安装源以及更新过程.
该安装程序体系结构可帮助管理员更有效地管理下面这些方面:部署过程,以便采用最适合您的环境的方式安装Office.
自定义Office,以使用户在其计算机上获得最佳配置.
为世界各地分支机构的用户部署特定语言的功能.
采用一种有利于使未来的维护(包括软件更新)尽可能高效的方式部署Office.
在2007Officesystem之前的Office版本中,单个Office产品(如MicrosoftOfficeStandard)包含在单个WindowsInstaller(MSI)文件中.
MSI文件是WindowsInstaller用于安装产品的关系数据库.
和2007Officesystem一样,Office2010产品也由多个MSI文件组成,没有任何一个MSI文件能代表完整的产品.
中性语言核心程序包(MSI文件)与一个或多个特定语言的程序包相结合,从而形成完整的产品.
例如,一个Office产品(如MicrosoftOfficeProfessionalPlus2010)由核心程序包以及一个或多个特定语言的程序包组成.
安装程序将单独的程序包组合起来以形成一个完整安装,并在用户计算机上安装Office期间和安装Office之后处理自定义和维护任务.
Office2010引入了本机64位Office产品版本以支持64位处理器,64位处理器正逐渐成为从服务器到桌面计算机的各种系统的标准.
Office2010还使用Windows-32-on-Windows-64(WOW64)为运行在64位Windows操作系统上的32位Office2010应用程序提供支持.
WOW64是x86模拟器,它使基于Windows的32位应用程序能够在64位Windows上无缝运行.
Office2010允许用户继续使用现有第三方Office加载项,这些加载项基本上都是32位的,因为许多加载项都尚未提供64位版本.
为在64位操作系统上运行的32位Office2010提供支持可防止阻止32位加载项.
有关64位Office2010版本的详细信息,请参阅64位Office2010版本.
本文内容:安装过程中性语言设计简化的自定义模型所需的本地安装源合并更新过程安装过程通常,在企业中安装Office的第一步是创建网络安装点,这项任务很简单,只需将Office产品CD中的所有文件和文件夹复制到共享的网络位置.
网络安装点至少要包含中性语言核心程序包以及针对某种语言的特定语言文件夹.
对于安装Office的所有用户而言,此安装点将用作初始源.
最简单的情况是,从网络安装点部署Office产品时对所有用户都采用一种语言版本和一组自定义设置.
安装程序会自动处理这种情况.
如果部署多种产品或语言,则可以将其添加到同一个网络安装点,并明确指定安装中要包括的产品和语言.
在所有这些情况下,安装程序都会执行相同的任务以组合正确的一组MSI文件并完成安装.
注意:与2007Officesystem之前的Office版本不同,Office2010不允许通过运行带/a命令行选项的安装程序提取压缩的源文件来创建管理安装点.
现在所有的安装都从压缩的源中进行.
本节内容:安装程序的事件顺序在安装点上包括多个产品以交互方式运行安装程序安装程序的事件顺序安装程序的基本事件顺序如下所示,并且事件在每个部署方案中的发生顺序均相同:1.
运行安装程序.
2.
检查先决条件.
3.
读取XML数据.
4.
建立功能树.
5.
在用户的计算机上创建本地安装源.
6.
安装Office.
7.
应用自定义文件.
8.
应用软件更新.
运行安装程序Setup.
exe是开始安装过程的所有机制的程序.
它位于网络安装点的根目录.
对于所安装的每个Office产品都要运行一次安装程序.
在运行时,安装程序将搜索网络安装点中要安装的Office产品.
如果安装点包含多个Office产品,则安装程序将提示用户选择要安装的产品.
通过将Setup.
exe指向核心产品文件夹中的Config.
xml文件,可以避开选择过程而确定要安装哪个Office产品.
例如,如果要安装MicrosoftOfficeProfessionalPlus2010,则可以使用下面的命令行:\\server\share\Office14ProPlus\setup.
exe/config\\server\share\Office14ProPlus\Pro.
WW\Config.
xml其中,Office14ProPlus是网络安装点的根目录.
在2007Officesystem之前的Office版本中,Setup.
exe调用WindowsInstaller(Msiexec.
exe)执行Office的安装.
尽管安装程序现在仍使用WindowsInstaller,但安装程序将绕过WindowsInstaller可执行程序.
Msiexec.
exe命令行不能用于安装Office2010(或2007Officesystem).
注意:Setup.
exe的这一版本只能识别少数几个命令行选项.
有关详细信息,请参阅Setupcommand-lineoptionsforOffice2010(该链接可能指向英文页面).
检查先决条件安装程序在启动时将检查多个安装先决条件,包括最低的操作系统要求和管理权限.
用户必须是客户端计算机的管理员才能安装Office,或者您必须使用MicrosoftSystemsManagementServer(SMS)或MicrosoftSystemCenterConfigurationManager2007之类的工具才能以提升的权限运行安装.
当您从x64文件夹运行Setup.
exe时,安装程序将确定是否已安装32位Office应用程序.
如果安装程序检测到32位Office应用程序,它将显示一条错误消息,以通知用户必须先卸载所有32位Office应用程序,然后才能继续安装64位Office2010.
该错误会列出已安装的32位Office应用程序.
如果安装程序没有检测到32位Office应用程序,它将安装64位版本的Office2010.
当您从x32文件夹运行Setup.
exe时,安装程序将确定是否已安装64位Office2010应用程序.
如果安装程序检测到64位Office2010,将显示一条错误消息,并且安装程序将被阻止.
如果安装程序没有检测到64位Office2010,它将安装32位版本的Office2010.
有关详细信息,请参阅64位Office2010版本中的64位安装过程.
注意若要在用户缺乏管理权限的计算机上安装Office,则必须在可向安装程序提供管理权限的上下文中运行安装程序.
安装Office后,不具备管理权限的用户可以运行所有安装的功能,并可以按需安装功能.
例如,在组织中,如果用户不是其计算机的管理员,则管理员可以使用以下方法向Office安装程序提供适当的权限:读取XML数据安装程序将收集有关安装点上每个程序包的信息,收集用于安装的默认设置,并采用所指定的自定义设置.
安装程序将从以下多个源以XML数据形式收集所有这些信息:每个程序包的Setup.
xml和Package.
xml文件.
安装点上的每个文件夹(中性语言核心程序包文件夹以及每个特定语言程序包的文件夹)都包含Setup.
xml和Package.
xml文件(例如,MicrosoftOfficeProfessionalPlus2010中为ProPlusWW.
xml).
安装程序可以利用这些文件中的信息执行下列操作:确定产品和该产品可供使用的语言.
搭配中性语言元素和特定语言的元素以创建完整的功能.
建立统一的功能树.
收集安装所需的一组MSI文件.
注意:Setup.
xml和Package.
xml文件经过签名,不能修改.
更改这些文件将导致安装程序无法运行.
安装程序自定义文件.
在安装过程的初期,安装程序会确定您是否已为所安装的产品指定了安装程序自定义文件(.
msp文件).
安装程序自定义.
msp文件是在管理员使用Office自定义工具(OCT)自定义Office2010安装时创建的.
OCT是安装程序的一部分,建议您使用该工具进行大部分自定义设置.
自定义文件包含为安装指定的所有修改,其中包括控制安装过程的自定义设置.
OCT在Office2010的批量许可版本中提供.
若要确定您安装的Office2010是否为批量许可版本,请检查Office2010安装磁盘以确定其中是否包含一个名为Admin的文件夹.
如果存在Admin文件夹,则磁盘是批量许可版本;否则,磁盘为零售版本.
如果没有在命令行上或Config.
xml文件中指定自定义文件,则安装程序将搜索安装点上的Updates文件夹中是否有特定于所安装产品的自定义文件.
默认情况下,安装点上包括Updates文件夹.
大多数情况下,建议在此文件夹中存储安装点上包括的所有Office产品的安装程序自定义.
msp文件和软件更新.
重要如果计划部署多个安装程序自定义文件(.
msp文件),则只能将要安装的各个Office2010产品的一个自定义.
msp文件放在初始安装的Updates文件夹中.
Updates文件夹仅支持要安装的各个Office2010产品的一个安装程序自定义.
msp文件(修补程序).
在安装完Office之后,您必须部署产品其余的自定义.
msp文件.
如果正在部署多个Office2010产品(例如MicrosoftOfficeProfessionalPlus2010和MicrosoftVisioProfessional2010),可以在Updates文件夹中包括OfficeProfessionalPlus2010的一个自定义.
msp文件和VisioProfessional2010的一个自定义.
msp文件.
放在Updates文件夹中的自定义.
msp文件将会首先部署.
因此,它们必须包括无法在安装之后更改的任何安装程序自定义(例如,安装位置).
如果正在部署Office2010的初始安装,并且还要部署Office2010软件更新(例如ServicePack和修补程序),则安装程序可以将产品更新作为安装过程中的一部分进行应用.
您可以将Office2010产品更新放在Updates文件夹中.
例如,如果Updates文件夹既包含一个安装程序自定义.
msp文件又包含产品更新,则安装程序将在初始安装时仅应用安装程序自定义.
msp文件,并会在安装完成后应用产品更新.
安装程序使用附加到自定义文件的XML数据确定如何安装产品,例如是否安静运行或在功能树中要显示哪些功能.
自定义文件中的设置将替代Setup.
xml和Package.
xml文件中包含的默认设置.
有关安装程序自定义文件的详细信息,请参阅简化的自定义模型.
有关使用OCT的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
Config.
xml文件.
每个核心产品文件夹都包含指导安装程序安装该产品的Config.
xml文件.
您可以编辑Config.
xml以自定义安装过程.
例如,可以使用Config.
xml中的元素指定安装中要包括的产品或语言.
Config.
xml中的设置优先于自定义文件中的设置以及Setup.
xml和Package.
xml文件中包含的默认设置.
有关如何以及何时编辑Config.
xml的详细信息,请参阅Config.
xmlfileinOffice2010(该链接可能指向英文页面).
建立功能树安装程序使用XML文件中包含的信息创建一个功能树,其中包括产品中提供的所有应用程序和功能.
通过使用Office自定义工具,可以查看功能树并指定在用户的计算机上要安装哪些应用程序和功能.
如果允许用户以交互方式运行安装程序,则用户在安装程序用户界面中将看到您修改过的功能树.
有关指定要安装哪些Office功能的详细信息,请参阅配置Office2010的功能安装状态.
在用户的计算机上创建本地安装源安装程序会调用名为OfficeSourceEngine(Ose.
exe)的程序,以在用户的计算机上创建所需的本地安装源(LIS).
为了创建本地安装源,安装程序会将安装点中的文件复制到用户计算机上的某个隐藏位置.
默认位置是安装Office的驱动器根目录下的\MSOCache\AllUsers.
然后,安装程序会使用WindowsInstaller从该本地安装源安装Office.
本地安装源具有以下几个主要优点:安装Office之后,安装程序可以使用本地源修复、重新安装或添加Office功能.
几乎不需要向正在应用软件更新的用户提示访问网络或CD源,因为本地就有安装源.
可以先部署本地安装源,然后再触发用户计算机上的Office安装,以便减少网络上的负载.
在这种情况下,甚至可以从本地安装源运行安装程序,从而使用户可以在无网络连接的情况下完成Office安装.
有关本地安装源的详细信息,请参阅所需的本地安装源.
安装Office安装开始时,安装程序会检查所需的磁盘空间和功能依存关系,然后调用WindowsInstaller以在用户的计算机上从本地安装源安装正确的一组程序包(MSI文件).
安装程序会使用前面提及的XML数据确定要包括哪组MSI文件.
安装过程中安装程序向用户显示的进度栏会将整个安装进度考虑在内,包括应用Updates文件夹中的自定义设置和软件更新.
注意:尽管安装程序使用WindowsInstaller安装Office,但WindowsInstaller本身不能独立于安装程序而安装单独的MSI文件.
应用自定义文件在安装过程中,安装程序将自定义文件应用于用户的配置.
其结果类似于在Office的早期版本中应用WindowsInstaller转换(MST文件)的效果:自定义设置将成为用户的默认配置.
除了包含自定义安装过程的XML数据之外,自定义文件还可能包含默认用户设置、功能安装状态、MicrosoftOutlook配置文件以及对用户配置进行的其他修改.
自定义文件特定于产品;安装程序仅应用与所安装产品相关的那些文件.
注意:如果计划部署多个安装程序自定义.
msp修补程序,则只能将各个Office2010产品的一个安装程序自定义.
msp文件放在初始安装的Updates文件夹中.
在安装完Office之后,您必须部署其余的自定义.
msp文件.
如前所述,Updates文件夹仅支持各个产品的一个自定义修补程序.
放在Updates文件夹中的自定义.
msp文件将会首先部署.
因此,该文件必须包括无法在安装之后更改的任何安装程序自定义,例如,安装位置.
如果为不同的用户组创建不同的配置,则建议将自定义文件存储在另一个位置,然后在安装程序命令行上使用/adminfile选项指定所需的文件.
例如:\\server\share\Office14\setup.
exe/adminfile\\server\share\Office14\MyUpdates\Engineering.
msp其中,Office14是网络安装点的根目录.
注意:预先缓存本地安装源时,安装程序会从网络安装点将Updates文件夹复制到本地安装源.
通过这种方式,可以在脱机安装方案中加入自定义设置.
只有在这种情况下,安装程序才会在安装之前在本地计算机上缓存自定义文件.
有关详细信息,请参阅预缓存Office2010的本地安装源.
应用软件更新在安装过程结束时,安装程序将检查安装点上的Updates文件夹中有无软件更新(.
msp文件).
与使用Office自定义工具创建的安装程序自定义文件不同,软件更新由Microsoft分发以增强产品功能.
如果将Office部署给用户并且还需要部署一组软件更新,则安装程序可以在初始安装过程中应用这些更新.
开销(估计所需的磁盘空间)和进度栏指示器均会将安装过程的这一步骤考虑在内.
从用户的角度看,整个过程是一个单一事件.
此模型保留了原始安装点,并使您仍然可以向新用户提供产品的最新版本.
注意:Updates文件夹仅用于Office2010的初始安装或新安装.
Updates文件夹只能包含一个安装程序自定义.
msp修补程序,但可以包含多个ServicePack以及仅采用.
msp格式的修补程序.
有关软件更新过程的详细信息,请参阅合并更新过程.
在安装点上包括多个产品如果网络安装点包含多个Office2010产品,则安装程序将搜索所有文件夹和子文件夹以查找Config.
xml和Setup.
xml文件,然后提示用户选择要安装的产品.
如果要安装多个Office产品,则更高效的做法是在同一个安装点上存储所有产品,然后将安装程序自定义为在用户的计算机上安装特定的Office产品.
注意:将多个Office产品复制到同一个安装点时,可能会提示是否覆盖共享的安装程序文件.
由于这些文件在所有Office2010产品中是重复的,因此不需要重新复制任何这些重复文件夹.
这种高效的设计可以在创建和复制网络安装点时节省空间并确保一致性.
以交互方式运行安装程序可以选择以安静模式运行安装,这样用户就只能看到安装过程的很少一部分,或根本看不到该过程.
但是,如果允许用户查看安装程序用户界面,则所做出的选择将影响安装程序行为的多个方面.
例如:如果安装点上有多个Office产品,而用户运行不带命令行选项的Setup.
exe,则安装程序将提示用户选择要安装的产品.
如果安装点上有多种语言,则安装程序将使Office的语言与用户计算机上的Windows用户区域设置保持一致.
这是默认行为.
但是,如果用户选择"自定义"安装选项,则用户可以通过安装程序界面中的"语言"选项卡从网络安装点上的所有可用语言中进行选择.
如果在自定义文件或Config.
xml中输入产品密钥并接受Microsoft客户许可条款,则安装过程中不会向用户显示这些安装程序屏幕.
如果使用自定义文件隐藏和锁定某些功能,则在功能树中不显示这些功能.
有关如何自定义显示设置的详细信息,请参阅在安装Office2010之前自定义安装程序.
中性语言设计在Office2010(以及在2007Officesystem中),Office产品(如OfficeProfessionalPlus2010)将按以下方式组织:中性语言的元素分组在一个核心程序包(MSI文件)中.
而应用程序将特定语言的元素分组在单独的程序包中.
文件的这种安排可简化国际化部署.
Office产品的最基本安装由核心程序包和一种语言组成.
添加更多语言非常简单,就是将其他单语言包(SLP)复制到网络安装点—这些语言包以完全相同的方式与核心产品协同工作.
所有语言版本的Office(包括英语版本)均以完全相同的方式进行部署.
安装程序在一个无缝安装过程中将中性语言核心程序包与特定语言的程序包结合起来.
重要:当前Office2010版本仅包含英语、简体中文、法语、德语、日语、西班牙语和俄语语言源.
以后的版本将会提供更多语言.
本节内容:Office的语言版本Office的语言包Office的语言版本每个Office产品都必须包含至少一组特定语言的程序包.
您不能自己部署核心程序包(MSI文件).
在Office产品CD和网络安装点上,这些语言程序包包含在各个文件夹中.
每个文件夹名称都包含一个ll-cc格式的语言标记,用于标识此语言(例如,en-us代表美国英语).
每个文件夹还包含一组安装文件.
例如,OfficeProfessionalPlus2010产品分散在这些文件夹中的文件之间.
不特定于任何语言的元素(如Winword.
exe,MicrosoftWord2010的可执行文件)位于核心ProPlus.
WW程序包中.
其他元素(如Word2010的帮助和用户界面)则位于Word或共享Office功能的特定语言的相应程序包中.
为使功能完整,既需要中性语言的元素,也需要特定语言的元素.
Winword.
exe自身并不代表任何人都能使用的Word应用程序.
类似地,ProPlus.
WW文件夹中的核心OfficeProfessionalPlus2010MSI文件并不代表完整的Office产品.
安装程序将所有这些部分组合为完整的产品.
每个文件夹中的Package.
xml和Setup.
xml文件包含安装程序组合完整功能、建立统一功能树以及为安装收集一组正确的MSI文件所使用的信息.
收集XML数据并组合所需的MSI文件之后,安装程序将使用WindowsInstaller在用户的计算机上安装Office.
从用户的角度看,这一过程自动且无缝进行.
不能通过分离包含单独MSI文件的特定语言的文件夹(如Word.
en-us文件夹)来部署Office2010中单独的应用程序.
但是,可以通过自定义安装来确定在用户的计算机上安装哪些应用程序和功能.
注意:不能通过使用WindowsInstaller或任何其他方法来独立安装Office安装点上的任何MSI文件.
也不能编辑或更改经过数字签名的XML文件(Setup.
xml和Package.
xml).
在Office2010中,安装程序必须收集文件和安装信息才能安排安装过程.
Office的语言包特定语言的程序包用于两种上下文中:Office产品的语言版本中和针对该语言的单语言包(SLP)中.
例如,OfficeProfessionalPlus2010的法语版对于OfficeProfessionalPlus2010中的每个应用程序以及各个共享功能都具有一个特定语言的文件夹.
法语SLP中包含相同的文件夹,其中还针对Office2010中的其他产品包含特定语言的文件夹.
语言包既可作为单独的产品进行部署,也可用来以多种语言部署Office产品.
您不需要为语言包输入唯一的产品密钥,无论您是单独部署它们,还是将它们作为另一个产品安装的一部分进行部署.
注意:在2007Officesystem之前的Office版本中,企业客户通过在安装Office的美国英语版本后部署多语言用户界面(MUI)包来添加语言.
本地化版本(如日语版本的OfficeStandardEdition)与带有日语MUI包的核心版本并不完全相同.
在2007Officesystem中,这种设计已得到简化和改进,与Office2010中的设计相同.
简化的自定义模型在2007Officesystem之前的MicrosoftOffice版本中,需要使用若干工具来自定义安装程序和管理安装后的Office.
2007Officesystem提供了一个统一且简单的模型.
在Office2010中(就像在2007Officesystem中一样),管理员可以使用安装程序来安装、自定义和管理Office.
要强制实施特定用户和计算机设置,管理员可以使用组策略(请参阅使用组策略).
本节内容:使用Office自定义工具自定义新安装对现有Office安装进行更改使用Config.
xml文件自定义Office使用安装程序命令行选项使用组策略使用Office自定义工具使用Office自定义工具(安装程序的组件,包含在Office2010客户端的批量许可版本中)可以自定义Office安装.
通过运行带有/admin命令行选项的安装程序可启动OCT.
可以使用OCT创建一个安装程序自定义文件(.
msp文件),并将其放入网络安装点上的Updates文件夹中.
如前所述,Updates文件夹仅用于Office2010的初始安装或新安装,并且Updates文件夹仅支持一个自定义修补程序.
安装程序自定义文件是WindowsInstaller.
msp文件的扩展形式.
每个安装程序自定义文件都是针对特定产品(如OfficeProfessionalPlus2010或OneNote2010)配置的.
当您运行安装程序以安装Office产品时,安装程序会在Updates文件夹中查找与要安装的产品对应的自定义文件.
安装程序安装产品时,它会应用该文件的自定义项.
您可以创建多个安装程序自定义文件,以为不同的用户组配置Office.
运行安装程序时,使用安装程序命令行选项/adminfile或Config.
xml(请参阅使用Config.
xml文件自定义Office)可指定将相应的自定义文件用于每个安装.
有关如何使用OCT创建安装程序自定义文件的完整详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
自定义新安装通过使用由OTC创建的安装程序自定义文件,您可以修改安装程序首次在用户计算机上安装Office的方式.
例如,利用OCT可以按下列方式自定义Office:在不存在用户交互的情况下指示安装程序运行(安静安装).
预定义产品密钥并代表用户接受Microsoft软件许可条款.
指定Office文件在用户计算机上的安装位置.
安装Office2010前选择是否删除Office的早期版本.
确定安装哪些Office功能.
指定大量用户选项的默认值,其中包括MicrosoftOutlook设置.
注意:Office2010不支持并行安装64位和32位Office,包括跨应用程序安装.
例如,不支持将2007Officesystem32位与Office201064位并行安装,也不支持将MicrosoftSharePointWorkspace201064位与MicrosoftExcel201032位并行安装.
不能使用Office2010自定义工具来配置64位和32位Office的并行安装或自定义.
例如,不能使用64位MicrosoftOfficeProfessional2010和单个32位Visio2010映像来创建自定义的并行安装.
有关64位Office2010的详细信息,请参阅64位Office2010版本.
有关如何自定义安装程序的信息,请参阅在安装Office2010之前自定义安装程序.
对现有Office安装进行更改如果需要对现有Office安装进行更改,请使用自定义初始安装时所用的相同工具:运行OCT以更新安装程序自定义文件或创建一个新的安装程序自定义文件,然后将该自定义文件应用到用户计算机上(就像应用软件更新一样),用户现有的Office安装就会使用自定义项进行更新.
这意味着安装Office时可用的自定义项在安装后对其进行修改时同样可用.
注意:有些自定义项仅在首次安装Office时由安装程序应用.
这些自定义项包括指定Office在用户计算机上的安装位置、定义产品密钥,以及删除Office应用程序的早期版本.
OCT可确定仅应用于新安装的自定义项.
使用Config.
xml文件自定义Office您可以使用Config.
xml文件对Office安装进行更改,还可以自定义Office自定义工具中的大多数相同选项,其中包括OCT中没有的其他一些选项.
建议使用Config.
xml文件执行以下安装任务:指示安装程序在不安装Office的情况下将本地安装源复制到用户计算机.
指定网络安装点的路径.
选择要安装的产品或语言.
更改安装程序查找安装程序自定义文件和更新的位置.
制作不保证运行OCT以创建新自定义文件的最后一分钟或一次性自定义项.
如果将Config.
xml文件放在Setup.
exe所在的文件夹,则安装程序将找到并使用该文件.
也可以通过使用/config安装程序命令行选项来指定该文件的位置.
注意:如果同时指定安装程序自定义文件和Config.
xml文件,则在Config.
xml中定义的自定义项将优先于在自定义文件中定义的相同自定义项.
有关Config.
xml文件内容和格式的完整说明,请参阅Config.
xmlfileinOffice2010(该链接可能指向英文页面).
使用安装程序命令行选项安装程序只能识别Office2010中的少数几个命令行选项.
这与2007Officesystem的情况相同.
OCT是配置安装程序属性和指定其他自定义项的主要工具.
可以使用Setup.
exe命令执行下列任务:运行Office自定义工具以创建安装程序自定义(.
msp)文件.
在安装中应用指定的安装程序自定义文件.
例如,可以指定特定自定义文件(.
msp文件)的路径,或者指定存储多个自定义文件的文件夹的路径.
指定安装程序在安装过程中使用的Config.
xml文件.
以维护模式运行安装程序并对现有Office安装进行更改.
运行安装程序以修复用户计算机上的指定产品.
运行安装程序以删除用户计算机上的指定产品.
有关Setup.
exe命令的详细信息,请参阅Setupcommand-lineoptionsforOffice2010(该链接可能指向英文页面).
有关用于Office早期版本的WindowsInstaller属性,以及在安装Office2010时可以使用的属性的信息,请参阅SetuppropertiesinOffice2010(该链接可能指向英文页面).
使用组策略管理员可以使用组策略设置来定义和维护用户计算机上的Office配置.
组策略用于配置管理模板中包含的Office2010策略设置,操作系统将强制执行这些策略设置.
在ActiveDirectory环境中,管理员可以将策略设置应用于组策略对象链接到的站点、域或部门中的用户组和计算机组.
操作系统将正确的策略设置写入批准用于策略的注册表项,并对这些设置施加访问控制列表(ACL)限制,以防止非管理员用户更改这些设置,从而允许管理员创建限制严格或管理宽松的配置.
管理员可以使用Office2010应用程序的策略设置来管理配置Office用户界面的大部分选项,其中包括:菜单命令及其相应的工具栏按钮快捷键"选项"对话框中的大部分选项注意:OCT中也提供了大多数Office2010策略设置(OPA设置).
要在安装程序自定义.
msp文件中配置初始默认设置,管理员可以使用OCT.
不过,用户可以在安装后修改大多数设置.
如果要强制执行特定配置,可以使用组策略.
组策略设置的优先级高于OCT设置.
所需的本地安装源在Office2010中,安装程序在默认安装过程中在用户的计算机上创建本地安装源.
安装程序用一个两步过程安装所有Office2010产品.
首先,安装程序将压缩的安装源文件复制到用户的计算机;然后,安装程序调用WindowsInstaller以从本地安装源执行实际安装.
安装完成之后,本地安装源仍可用于任何需要访问原始源的安装操作.
最小磁盘空间要求中包括了本地安装源.
注意:在MicrosoftOffice2003中,大型组织通常从管理安装点安装产品;从本地安装源安装是可选的.
但是,Office2010中已不存在管理安装选项,而本地安装源是设计中一个必需的部分.
本地安装源使分发软件更新的过程变得更加高效而可靠.
网络安装点和用户的本地安装源都从不直接更新.
用户应用软件更新的客户端版本时,用户的安装仍保持同步.
在本地计算机上始终提供完整的安装源还体现出以下这些优点:在用户安装Office之前,您可以向用户部署本地安装源.
这样可以最大限度地减少对网络的影响,且确保所有用户同时安装产品并开始使用Office2010应用程序.
用户可以在不提示其OfficeCD或网络源的前提下执行维护任务,如应用软件更新.
如果旅行用户(这些用户的网络连接较慢或时断时续)事先有本地安装源,则无须访问网络就可以运行安装程序.
这些优点的代价很低.
尽管本地安装源不使用某些硬盘空间,但创建本地安装源并安装Office与自行安装Office所需的时间大致相同.
本节内容:在用户的计算机上创建本地安装源单独部署本地安装源在用户的计算机上创建本地安装源用户从CD或从网络安装点安装Office时,安装程序通过使用名为OfficeSourceEngine(Ose.
exe)的程序将所需的安装文件复制到本地计算机上的隐藏文件夹,从而创建本地安装源.
默认位置是安装Office的驱动器根目录下的\MSOCache\AllUsers.
组成Office产品的每个程序包(中性语言核心程序包以及一个或多个特定语言的程序包)都有单独的下载代码,且缓存在MSOCache\AllUsers下的子文件夹中.
安装程序始终缓存完整的本地安装源,其中包括所有与要安装的产品相关联的文件.
如果安装点包括多种语言,则安装程序仅缓存与用户计算机上所安装语言对应的程序包.
在用户的计算机上安装其他Office产品时,会在相同的本地安装源中缓存这些产品.
注意:如果用户在其他驱动器上安装另一个Office产品,则安装程序会在该驱动器的根目录创建另一个本地安装源.
在这种情况下,两个本地安装源之间有一些共享文件可能是重复的.
但是,这种设计确保了每个本地安装源完整无缺且能正常运行.
用户不会无意中删除本地安装源,也不能使用安装程序用户界面或Windows磁盘清理向导将其删除.
如果删除或损坏了MSOCache文件夹,则安装程序将在下次需要源时自动重新创建或修复该文件夹.
如果用户的磁盘空间不足,则会提示用户释放一些空间.
分发新的更新或自定义时可以假定这样一个前提,即每个用户都可以访问源.
注意:创建本地安装源后,其在用户计算机上的位置即固定下来.
除非用户指定其他驱动器,否则以后安装的其他Office产品都会添加到现有MSOCache\AllUsers文件夹中.
单独部署本地安装源由于安装程序从本地安装源执行Office安装,因此通过提前部署安装源可以最大限度地减少对网络的需求.
例如,使用在用户计算机上运行安装程序的常规方法,可以每次向一组用户分发本地安装源.
当所有用户都有预先缓存的源后,就可以让每个人都同时运行安装程序来安装Office.
在这种情况下,大部分安装活动都发生在本地计算机上,而不是通过网络进行.
有关详细信息,请参阅预缓存Office2010的本地安装源.
还可以从本地计算机上的本地安装源直接运行安装程序.
在本地运行安装程序意味着没有任何活动(包括加载安装程序文件和读取元数据)通过网络发生.
在这种情况下,必须在MSOCache\AllUsers中找出包含要安装的核心产品的子文件夹.
每个核心产品子文件夹都包含安装程序的一个副本,并通过从特定文件夹运行安装程序来安装该产品.
此方法使用户不依靠网络连接就能安装Office.
有关详细信息,请参阅从本地安装源运行安装程序以安装Office2010.
合并更新过程在2007Officesystem之前Office版本中,您做出了大量选择以确保客户端计算机收到最新的Office软件更新,且客户端计算机不会变得与管理安装点不同步.
您可能已配置了安装程序,以在新安装Office之后接着进行软件更新;或者可能已向管理安装点应用了更新,并在所有客户端计算机上重新安装了Office.
2007Officesystem中引入的体系结构使此过程变得更为简单.
在Office2010中(与在2007Officesystem中一样),您可以创建从不需要更新的网络安装点.
只需简单的复制操作就可以对新安装进行软件更新.
更新现有安装时将不依赖网络安装点,因此不必担心将客户端计算机与安装源保持同步.
本节内容:在新安装过程中应用Office更新更新现有Office安装在新安装过程中应用Office更新从Microsoft获得Office软件更新后,将更新复制到网络安装点根目录的Updates文件夹中.
网络安装点中的现有文件保持与首次从OfficeCD复制这些文件时相同.
注意:您可以使用Updates文件夹将更新的安装与Office2010产品的初始安装合并起来.
在初始安装时只安装了包含在此文件夹中的WindowsInstaller更新文件.
因此您必须从MicrosoftSelf-Extractor程序包中提取更新.
还可以将安装程序自定义.
msp修补程序放在Updates文件夹中以自定义初始安装.
运行安装程序以在客户端计算机上安装Office时,安装程序将在Updates文件夹中查找软件更新,并在安装Office时自动加入这些更新.
如果该文件夹中有多个更新,则安装程序仅应用以正在安装的Office产品为目标的那些更新.
如果Updates文件夹既包含安装程序自定义.
msp修补程序又包含产品更新,则安装程序将在初始安装过程中仅应用安装程序自定义.
msp修补程序,并会在安装完成后应用产品更新.
安装程序还将以正确的顺序应用这些更新.
这样用户就能随Office的新安装收到最新更新.
提示:若要让安装程序在Updates文件夹之外的文件夹中查找软件更新,请使用Config.
xml文件中的SetupUpdates元素.
有关详细信息,请参阅Config.
xmlfileinOffice2010(该链接可能指向英文页面)中的SetupUpdates元素.
更新现有Office安装安装Office后,即可将软件更新直接应用于客户端计算机,而无需返回到网络安装点.
可以通过MicrosoftSystemsManagementServer或SystemCenterConfigurationManager2007之类的部署管理程序完成此操作,具体方法是使用WindowsServerUpdateServices或使用MicrosoftUpdate直接从Internet更新计算机.
注意:在客户端计算机上安装Office后,重新安装Office时仅重新应用对原始安装应用过的那些软件更新.
如果在Updates文件夹中复制新的软件更新,则重新安装过程中不会应用这些更新.
另请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面)Config.
xmlfileinOffice2010(该链接可能指向英文页面)Setupcommand-lineoptionsforOffice2010(该链接可能指向英文页面)SetuppropertiesinOffice2010(该链接可能指向英文页面)2007Officesystem中介绍的安装程序更改Office2010自定义概述规划Office2010的迁移和升级战略本节提供有关如何规划MicrosoftOffice2010套件安装以及如何迁移用户数据(如用户和计算机设置以及从以前安装的MicrosoftOffice版本中创建的文档)的信息.
本节内容:文章说明规划升级到Office2010介绍MicrosoftOffice2010的升级过程,包括各种升级选项和数据迁移路径.
在Office2010中迁移用户数据注册表项列出了在对Office2010进行就地升级或卸载升级时迁移的注册表项.
选择用于部署Office2010的选项提供可用于部署Office2010的功能领域,包括网络共享、组策略启动脚本、托管部署、应用程序虚拟化和演示文稿虚拟化.
规划升级到Office2010本文介绍MicrosoftOffice2010的升级过程,其中包括各种升级选项和数据迁移路径.
本文内容:升级过程概述比较升级选项并了解数据迁移迁移文档升级过程概述下图显示了规划升级到Office2010时所涉及的任务.
可以将升级到Office2010的过程划分为两个主要任务:安装新的MicrosoftOffice2010套件.
迁移用户数据,例如用户和计算机设置以及从以前安装的MicrosoftOffice版本创建的文档.
当规划升级策略时,首先要确定最适用于组织的升级到Office2010的选项.
升级类型随后可帮助确定数据迁移的可用选择以及执行数据迁移的方式.
比较升级选项并了解数据迁移用于升级到Office2010的选项可以分为以下三类:就地升级计算机上安装有早期版本的Office,如2007MicrosoftOfficesystem.
卸载升级在升级到Office2010之前先卸载早期版本的Office,如2007Officesystem.
新操作系统升级计算机会获得新版本操作系统(如Windows7)以及到Office2010的升级.
下表列出了升级选项以及迁移用户和计算设置数据的方法.
升级选项用户和计算机设置数据的迁移就地升级在Office2010的安装过程中执行迁移卸载升级在每个Office2010应用程序的首次使用过程中执行迁移新操作系统升级通过使用用户状态迁移工具(USMT)在安装新操作系统之前从目标计算机捕获设置,来执行迁移.
安装新操作系统之后,USMT用于还原设置.
迁移到Office2010的数据包含用户和计算机设置以及从早期版本Office创建的文档.
有关迁移的注册表项的列表,请参阅在Office2010中迁移用户数据注册表项.
如果使用就地升级或卸载升级,则从以前安装的Office版本创建的文档以当前格式保留在计算机上,并可根据需要在另外的时间进行迁移或转换.
在执行新操作系统升级时,必须在安装新的操作系统并将计算机升级到Office2010之前,将文档从源计算机移至迁移存储区.
使用USMT可简化此过程.
有关如何使用USMT的详细信息,请参阅用户状态迁移工具4.
0用户手册(http://go.
microsoft.
com/fwlink/linkid=166111&clcid=0x804).
在为组织确定了最佳选项之后,必须为使用早期版本Office创建的文档确定最佳迁移策略.
迁移文档下图显示了在规划将文档迁移到Office2010时所涉及的任务.
可通过以下步骤进一步定义这些任务:1.
检查已更改的内容在规划文档迁移时,首先要检查对规划安装的Office2010应用程序所做的更改,如新增、更改或移除的内容.
有关详细信息,请参阅Office2010中的更改.
2.
检查迁移注意事项接下来,检查任何特定于应用程序的迁移注意事项.
有关详细信息,请参阅Office2010中的产品和功能更改中每个应用程序的迁移注意事项.
3.
规划文件格式支持在检查了更改和迁移注意事项之后,确定升级到Office2010之后的文件格式支持策略.
有关详细信息,请参阅常见问题:文件格式(http://go.
microsoft.
com/fwlink/linkid=166107&clcid=0x804).
4.
使用OMPM进行评估最后,使用Office迁移规划管理器(OMPM)来检查您环境中的文件,然后确定是对这些文件进行存档、使用OMPM中提供的Office文件转换器进行批量转换还是手动进行转换.
另请参阅在Office2010中迁移用户数据注册表项在Office2010中迁移用户数据注册表项本文按MicrosoftOffice2003和2007MicrosoftOfficesystem应用程序的字母顺序,列出了使用MicrosoftOffice2010的就地升级或卸载升级时迁移的注册表项.
如果通过MigApp.
xml文件使用用户状态迁移工具(USMT),则在使用新操作系统升级时可以迁移这些相同设置.
本文还包含迁移过程中包括的注册表项和明确排除的注册表项.
有关USMT的MigApp.
xml的详细信息,请参阅自定义USMTXML文件(http://go.
microsoft.
com/fwlink/linkid=164974&clcid=0x804).
本文内容:MicrosoftOffice2003设置MicrosoftOffice2007设置MicrosoftOffice2003设置常用设置HKCU\Software\Microsoft\Office\Common\*[*]HKCU\Software\Microsoft\Office\11.
0\*[*]HKCU\Software\Microsoft\SharedTools\*[*]HKCU\Software\Microsoft\SharedTools\ProofingTools\CustomDictionaries[*]HKCU\Software\Microsoft\Office\11.
0\Common\Internet\*[*]%APPDATA%\Microsoft\Office[*.
acl]%APPDATA%\Microsoft\Office\Recent[*]%APPDATA%\Microsoft\Proof\*[*]HKCU\Software\Microsoft\Office\Common\SmartTag\Recognizers\{4FFB3E8B-AE75-48F2-BF13-D0D7E93FA8F9}\*[*]HKCU\Software\Microsoft\Office\Common\SmartTag\Recognizers\{64AB6C69-B40E-40AF-9B7F-F5687B48E2B6}\*[*]HKCU\Software\Microsoft\Office\Common\SmartTag\Recognizers\{87EF1CFE-51CA-4E6B-8C76-E576AA926888}\*[*]常用设置HKCU\Software\Microsoft\SharedTools\ProofingTools\1.
0\CustomDictionaries\*[*]HKCU\Software\Microsoft\Office\11.
0\ShortcutBar[LocalPath]HKCU\Software\Microsoft\Office\11.
0\Common\Internet[LocationOfComponents]HKCU\Software\Microsoft\Office\11.
0\Common\OpenFind\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Internet[UseRWHlinkNavigation]HKCU\Software\Microsoft\Office\11.
0\Common\InternetServerCache\*[*]Access2003HKCU\Software\Microsoft\Office\11.
0\Common\LanguageResources[SKULanguage]HKCU\Software\Microsoft\Office\Access\*[*]HKCU\Software\Microsoft\Office\11.
0\Access\*[*]HKCU\Software\Microsoft\Office\11.
0\CMA\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings\[MicrosoftAccess]%APPDATA%\Microsoft\Office[Access11.
pip]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\RecentTemplates\*[Template*]Access2003HKCU\Software\Microsoft\Office\11.
0\Access\Settings[MRU*]Excel2003HKCU\Software\Microsoft\Office\11.
0\Common\LanguageResources[SKULanguage]HKCU\Software\Microsoft\Office\11.
0\Excel\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings\[MicrosoftExcel]%APPDATA%\Microsoft\Excel\[EXCEL11.
xlb]%APPDATA%\Microsoft\Office\[EXCEL11.
pip]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\RecentTemplates\*[Template*]Excel2003HKCU\Software\Microsoft\Office\11.
0\Excel\RecentFiles\*[*]FrontPage2003HKCU\Software\Microsoft\FrontPage\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings[MicrosoftFrontPage]%APPDATA%\Microsoft\FrontPage\State[CmdUI.
PRF]%APPDATA%\Microsoft\Office[fp11.
pip]%APPDATA%\Microsoft\FrontPage\Snippets[FPSnippetsCustom.
xml]FrontPage2003HKCU\Software\Microsoft\FrontPage[WecErrorLog]HKCU\Software\Microsoft\FrontPage\Explorer\FrontPageExplorer\RecentFileList\*[*]HKCU\Software\Microsoft\FrontPage\Explorer\FrontPageExplorer\RecentWebList\*[*]OneNote2003HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\LanguageResources[SKULanguage]HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\*[*]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\[MicrosoftOfficeOneNote]%APPDATA%\Microsoft\Office\[OneNot11.
pip]%APPDATA%\Microsoft\OneNote\[Preferences.
dat]%APPDATA%\Microsoft\OneNote\[Toolbars.
dat]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\RecentTemplates\*[Template*]OneNote2003HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Save\[BackupLastAutoBackupTime]HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Save\[BackupFolderPath]HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\[LastCurrentFolderForBoot]HKCU\software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\[LastCurrentFolder]Outlook2003HKCU\Software\Microsoft\Office\11.
0\Common\LanguageResources[SKULanguage]HKCU\Software\Microsoft\Office\Outlook\*[*]HKCU\Software\Microsoft\Office\11.
0\Outlook\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings[MicrosoftOutlook]HKCU\Software\Microsoft\Office\Outlook\OMIAccountManager\Accounts\*[*]HKCU\Software\Microsoft\Office\11.
0\Outlook\Journal\*[*]%APPDATA%\Microsoft\Signatures\*[*]%CSIDL_LOCAL_APPDATA%\Microsoft\FORMS[frmcache.
dat]%APPDATA%\Microsoft\Outlook[outcmd11.
dat]%APPDATA%\Microsoft\Outlook[outcmd.
dat]%APPDATA%\Microsoft\Outlook[views.
dat]%APPDATA%\Microsoft\Outlook[OutlPrint]%APPDATA%\Microsoft\Office[MSOut11.
pip]%APPDATA%\Microsoft\Outlook[*.
rwz]%APPDATA%\Microsoft\Outlook[*.
srs]%APPDATA%\Microsoft\Outlook[*.
NK2]%APPDATA%\Microsoft\Outlook[*.
xml]HKCU\Software\Microsoft\Exchange\*[*]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*[001e023d]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*[001f023d]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*[*]Outlook2003HKCU\Software\Microsoft\Office\11.
0\Outlook[FirstRunDialog]HKCU\Software\Microsoft\Office\11.
0\Outlook[MachineName]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*\0a0d020000000000c000000000000046[111f031e]HKCU\Identities\*[LDAPServer]HKCU\Software\Microsoft\InternetAccountManager\Accounts\*[LDAPServer]HKCU\Software\Microsoft\Office\Outlook\OMIAccountManager\Accounts\*[LDAPServer]PowerPoint2003HKCU\Software\Microsoft\Office\11.
0\PowerPoint\*[*]HKCU\Software\Microsoft\Office\11.
0\PowerPoint\RecentFolderList[Default]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings[MicrosoftPowerPoint]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\RecentTemplates\*[Template*]PowerPoint2003HKCU\Software\Microsoft\Office\11.
0\PowerPoint\RecentFileList\*[*]HKCU\Software\Microsoft\Office\11.
0\PowerPoint\RecentFolderList\*[*]Project2003HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\LanguageResources[SKULanguage]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings[MicrosoftProject]%APPDATA%\Microsoft\Office[MSProj11.
pip]%APPDATA%\Microsoft\MSProject\11\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\RecentTemplates\*[Template*]Project2003HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\RecentFileList[*]Publisher2003HKCU\Software\Microsoft\Office\11.
0\Common\LanguageResources[SKULanguage]HKCU\Software\Microsoft\Office\11.
0\Publisher\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings[MicrosoftPublisher]%APPDATA%\Microsoft\Office[*.
acl]%APPDATA%\Microsoft\Publisher[pubcmd.
dat]%APPDATA%\Microsoft\Office\[*.
jsp]Publisher2003HKCU\Software\Microsoft\Office\11.
0\Publisher\RecentFileList\*[*]Visio2003HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\*[*]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\[MicrosoftOfficeVisio]CSIDL_APPDATA\Microsoft\Office\[Visio11.
pip]CSIDL_LOCAL_APPDATA\Microsoft\Visio\[content.
dat]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\RecentTemplates\*[Template*]Visio2003HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\[LastFile*]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\[MyShapesPath]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\[UserDictionaryPath1]Word2003HKCU\Software\Microsoft\Office\11.
0\Common\LanguageResources[SKULanguage]HKCU\Software\Microsoft\Office\11.
0\Word\*[*]HKCU\Software\Microsoft\Office\11.
0\Common\Toolbars\Settings[MicrosoftWord]%APPDATA%\Microsoft\Templates[Normal.
dot]%APPDATA%\Microsoft\Office[Word11.
pip]%APPDATA%\Microsoft\Office[WordMa11.
pip]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Word\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Word\RecentTemplates\*[Template*]Word2003HKCU\Software\Microsoft\Office\11.
0\Word\Options[PROGRAMDIR]MicrosoftOffice2007设置常用设置HKCU\Software\Microsoft\Office\Common\*[*]HKCU\Software\Microsoft\Office\12.
0\Common\*[*]HKCU\Software\Microsoft\SharedTools\*[*]%APPDATA%\Microsoft\Office[*.
acl]%APPDATA%\Microsoft\Office\Recent[*]%APPDATA%\Microsoft\Templates\*[*]%APPDATA%\Microsoft\Proof\*[*]%APPDATA%\Microsoft\UProof\*[*]HKCU\Software\Microsoft\SharedTools\ProofingTools\*\CustomDictionaries[*]HKCU\Software\Microsoft\Office\Common\SmartTag\Recognizers\{4FFB3E8B-AE75-48F2-BF13-D0D7E93FA8F9}\*[*]HKCU\Software\Microsoft\Office\Common\SmartTag\Recognizers\{64AB6C69-B40E-40AF-9B7F-F5687B48E2B6}\*[*]HKCU\Software\Microsoft\Office\Common\SmartTag\Recognizers\{87EF1CFE-51CA-4E6B-8C76-E576AA926888}\*[*]常用设置HKCU\Software\Microsoft\Office\12.
0\ShortcutBar[LocalPath]HKCU\Software\Microsoft\Office\12.
0\Common\Internet[LocationOfComponents]HKCU\Software\Microsoft\Office\12.
0\Common\OpenFind\*[*]HKCU\Software\Microsoft\VBA\6.
0\Common%CSIDL_LOCAL_APPDATA%\Microsoft\Office[*.
qat]Access2007%APPDATA%\Microsoft\Office[Access11.
pip]HKCU\Software\Microsoft\Office\Access\*[*]HKCU\Software\Microsoft\Office\12.
0\Access\*[*]HKCU\Software\Microsoft\Office\12.
0\CMA\*[*]HKCU\Software\Microsoft\Office\12.
0\Common\Toolbars\Settings\[MicrosoftAccess]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Access\FileMRU\*[*]Access2007HKCU\Software\Microsoft\Office\12.
0\Access\Settings[MRU*]Excel2007HKCU\Software\Microsoft\Office\12.
0\Excel\*[*]HKCU\Software\Microsoft\Office\12.
0\Common\Toolbars\Settings\[MicrosoftExcel]%APPDATA%\Microsoft\Excel\[EXCEL11.
xlb]%APPDATA%\Microsoft\Office\[EXCEL11.
pip]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Excel\FileMRU\*[*]Excel2007HKCU\Software\Microsoft\Office\12.
0\Excel\RecentFiles\*[*]OneNote2007HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\[MicrosoftOfficeOneNote]%APPDATA%\Microsoft\Office\[OneNot12.
pip]%APPDATA%\Microsoft\OneNote\%OFFICEVERSION%\[Preferences.
dat]%APPDATA%\Microsoft\OneNote\%OFFICEVERSION%\[Toolbars.
dat]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\RecentTemplates\*[*]%APPDATA%\Microsoft\MSProject\12\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\RecentTemplates\*[Template*]OneNote2007HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\General\[LastMyDocumentsPathUsed]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\OneNote\Options\Paths\[BackupFolderPath]Outlook2007HKCU\Software\Microsoft\Office\Outlook\*[*]HKCU\Software\Microsoft\Office\12.
0\Outlook\*[*]HKCU\Software\Microsoft\Office\12.
0\Common\Toolbars\Settings[MicrosoftOutlook]HKCU\Software\Microsoft\Office\Outlook\OMIAccountManager\Accounts\*[*]%APPDATA%\Microsoft\Signatures\*[*]%CSIDL_LOCAL_APPDATA%\Microsoft\FORMS[frmcache.
dat]%APPDATA%\Microsoft\Outlook[outcmd11.
dat]%APPDATA%\Microsoft\Outlook[outcmd.
dat]%APPDATA%\Microsoft\Outlook[views.
dat]%APPDATA%\Microsoft\Outlook[OutlPrint]%APPDATA%\Microsoft\Office[MSOut11.
pip]HKCU\Software\Microsoft\Exchange\*[*]%APPDATA%\Microsoft\Outlook[*.
rwz]%APPDATA%\Microsoft\Outlook[*.
srs]%APPDATA%\Microsoft\Outlook[*.
NK2]%APPDATA%\Microsoft\Outlook[*.
xml]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*[*]HKCU\Software\Microsoft\Office\12.
0\Outlook\Journal\*[*]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*[001e023d]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*[001f023d]Outlook2007HKCU\Software\Microsoft\Office\12.
0\Outlook[FirstRunDialog]HKCU\Software\Microsoft\Office\12.
0\Outlook[MachineName]HKCU\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles\*\0a0d020000000000c000000000000046[111f031e]HKCU\Identities\*[LDAPServer]HKCU\Software\Microsoft\InternetAccountManager\Accounts\*[LDAPServer]HKCU\Software\Microsoft\Office\Outlook\OMIAccountManager\Accounts\*[LDAPServer]PowerPoint2007HKCU\Software\Microsoft\Office\12.
0\PowerPoint\*[*]HKCU\Software\Microsoft\Office\12.
0\PowerPoint\RecentFolderList[Default]HKCU\Software\Microsoft\Office\12.
0\Common\Toolbars\Settings[MicrosoftPowerPoint]%APPDATA%\Microsoft\PowerPoint[PPT11.
pcb]%APPDATA%\Microsoft\Office[PowerP11.
pip]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\PowerPoint\FileMRU\*[*]PowerPoint2007HKCU\Software\Microsoft\Office\12.
0\PowerPoint\RecentFileList\*[*]HKCU\Software\Microsoft\Office\12.
0\PowerPoint\RecentFolderList\*[*]Project2007HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings[MicrosoftOfficeProject]%APPDATA%\Microsoft\Office[MSProj12.
pip]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\RecentTemplates\*[Template*]Project2007HKCU\Software\Microsoft\Office\%OFFICEVERSION%\MSProject\RecentFileList[*]Publisher2007HKCU\Software\Microsoft\Office\12.
0\Publisher\*[*]HKCU\Software\Microsoft\Office\12.
0\Common\Toolbars\Settings[MicrosoftPublisher]%APPDATA%\Microsoft\Office[*.
acl]%APPDATA%\Microsoft\Publisher[pubcmd.
dat]%APPDATA%\Microsoft\Office[Publis11.
pip]%APPDATA%\Microsoft\Office\[*.
jsp]Publisher2007HKCU\Software\Microsoft\Office\12.
0\Publisher\RecentFileList\*[*]Visio2007HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\*[*]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Common\Toolbars\Settings\[MicrosoftOfficeVisio]%APPDATA%\Microsoft\Office\[Visio12.
pip]%CSIDL_LOCAL_APPDATA%\Microsoft\Visio\[content.
dat]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\RecentTemplates\*[*]HKCU\Software\Microsoft\Office\%OFFICEVERSION%\Visio\RecentTemplates\*[Template*]Visio2007HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\[LastFile*]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\[MyShapesPath]HKCU\software\Microsoft\Office\%OFFICEVERSION%\Visio\Application\[UserDictionaryPath1]Word2007HKCU\Software\Microsoft\Office\12.
0\Word\*[*]%APPDATA%\Microsoft\Templates\*[*]%APPDATA%\Microsoft\QuickStyles\*[*]%APPDATA%\Microsoft\DocumentBuildingBlocks\*[*]%APPDATA%\Microsoft\Bibliography\*[*]%APPDATA%\Microsoft\Office[Word11.
pip]%APPDATA%\Microsoft\Office[WordMa11.
pip]Word2007HKCU\Software\Microsoft\Office\12.
0\Word\Data[PROGRAMDIR]HKCU\Software\Microsoft\Office\12.
0\Word\Options[PROGRAMDIR]选择用于部署Office2010的选项您可以使用五个方面的功能部署MicrosoftOffice2010:网络共享、组策略启动脚本、托管部署、应用程序虚拟化和演示文稿虚拟化.
您可以使用这些选项中的任意一个或它们的组合,例如,使用托管部署选项部署并管理虚拟Office2010应用程序.
我们不支持通过组策略软件安装(GPSI)进行Office2010部署.
可用的GPSI替代选项是指定计算机启动脚本.
本文介绍了每个部署选项.
有关部署选项的直观表示形式,请参阅MicrosoftOffice2010的部署选项(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=168621&clcid=0x804)(该链接可能指向英文页面),该文章中包括图表、说明、优势、限制、建议和工具.
部署选项确定下面哪个部署选项最适合您的组织.
网络共享用于部署Office2010的简单方法是创建网络安装点并将MicrosoftOfficeCD的内容复制到网络共享上.
确保以下目标资源可以访问网络共享:users/computers.
组策略启动脚本管理员可以使用组策略指定计算机启动脚本以部署Office2010.
可以用客户端计算机支持的任何语言编写脚本.
Windows脚本宿主支持的语言(如MicrosoftVisualBasic脚本编辑(VBScript)和JScript)以及命令文件是最常见的.
托管部署管理员可以使用更改和配置管理软件(如MicrosoftSystemCenterEssentials和MicrosoftSystemCenterConfigurationManager)部署Office2010应用程序.
是选择SystemCenterEssentials还是ConfigurationManager在一定程度上取决于组织的规模.
应用程序虚拟化管理员可以使用MicrosoftApplicationVirtualization(App-V)作为部署选项的一部分,使用户可以在其桌面上运行Office2010应用程序.
MicrosoftApplicationVirtualization按需以流方式将应用程序传输到桌面,以便从桌面运行该应用程序.
但是,该应用程序不会安装在桌面上.
演示文稿虚拟化管理员可以使用WindowsServer2008终端服务作为部署选项,使用户可以从其工作站运行Office2010应用程序.
终端服务在共享服务器上运行并在远程系统(如本地工作站)上展示应用程序用户界面.
用于终端服务的MicrosoftApplicationVirtualization允许通过一系列有序的应用程序虚拟化步骤来优化Office2010应用程序,然后使用TerminalServices将应用程序作为演示文稿虚拟化提供.
规划Office2010的桌面配置本节提供了有关在部署MicrosoftOffice2010之前要注意的事项的信息和准则.
本节内容:文章说明规划OneNote2010介绍如何规划MicrosoftOneNote2010的部署.
规划Outlook2010指导您考虑部署MicrosoftOutlook2010时要注意的事项.
规划SharePointWorkspace2010介绍如何计划MicrosoftSharePointWorkspace2010的部署.
规划Visio2010的自定义和选项介绍MicrosoftVisio2010中提供的某些自定义项和选项.
规划Office2010的安全性介绍Office2010中的若干新安全控件,这些控件有助于您在保持信息工作人员生产效率的同时规划稳固的威胁防御系统.
规划Office2010的组策略提供有关如何使用组策略来配置和强制实现Office2010应用程序设置的信息.
规划Office2010的多语言部署论述关于部署多语言Office2010的规划注意事项.
规划Office2010的虚拟化介绍什么是虚拟化、如何在组织中使用虚拟化以及哪种方法和类型最适合您的环境.
远程桌面服务规划(终端服务)提供有关如何使用远程桌面服务(终端服务)来规划Office2010的部署的信息.
规划Office2010中的辅助功能提供MicrosoftOffice辅助功能检查器的概述,该检查器使残疾用户能够更轻松地访问Office2010产品.
规划OneNote2010本文提供了有关部署MicrosoftOneNote2010的规划过程的信息.
本文内容:规划概述评估组织要求检查OneNote2010中的更改检查迁移注意事项规划OneNote升级规划OneNoteWebApp对SharePoint产品使用OneNote的注意事项规划概述下图汇总了在企业中部署OneNote2010的规划步骤.
评估组织要求规划过程通常从评估当前环境开始,以便帮助确定组织的要求.
要考虑的问题包括:确保计算机满足MicrosoftOffice2010的系统要求.
是否要从产品的早期版本升级.
迁移注意事项,例如文件格式和用户数据设置迁移.
安全注意事项,例如是否阻止用户在Internet上共享文档.
多语言要求.
OneNote2010的系统要求有关OneNote2010的系统要求的信息可以在Office2010的系统要求中的MicrosoftOneNote2010中获得.
有关可用于帮助您评估环境中的硬件和软件的工具的信息,请参阅Office2010的评估工具.
升级到OneNote2010如果要从MicrosoftOneNote的早期版本进行升级,请参阅下文的规划OneNote升级,获取有关OneNote2010中新文件格式的信息以及从MicrosoftOfficeOneNote2007和OneNote2003升级的建议.
安全注意事项为了帮助您规划Office2010在贵组织中的应用程序安全性,您需要在下列文章中查找有关Office2010具有的安全威胁和新安全控件的信息:Office2010安全概述、了解Office2010的安全威胁和对策和规划Office2010的安全性.
多语言要求Office2010中性语言体系结构简化了多语言部署.
Office2010产品(例如MicrosoftOfficeProfessionalPlus2010)由一个中性语言核心产品包以及一个或多个特定语言包组成.
有关如何部署多语言的Office2010应用程序的信息,请参阅规划Office2010的多语言部署和自定义Office2010的语言安装和设置.
检查OneNote2010中的更改作为规划OneNote2010的一部分,应该检查当前版本中的更改.
有关OneNote2010中新增内容、更改内容和删除内容的说明,请参阅OneNote2010中的更改.
检查迁移注意事项规划过程中的下一步是检查要从OneNote的早期版本迁移到OneNote2010的用户适用的迁移注意事项.
有关要考虑的问题的信息,请参阅OneNote2010中的更改中的迁移注意事项.
规划OneNote升级与在该产品的早期版本中相比,OneNote2010使用新文件格式保存文件,并且许多新的OneNote2010功能(例如数学公式、版本控制、链接笔记记录和多级子页)都需要使用该新格式.
利用此新文件格式,您可以在网站上共享笔记本,以便使用Web浏览器查看和编辑笔记本文件.
默认情况下,创建的新的OneNote2010笔记本使用此新文件格式进行保存.
以下各节提供了有关从该产品的早期版本升级的信息.
从OneNote2007升级利用OneNote2010,您可以查看、打开和编辑以MicrosoftOfficeOneNote2007文件格式保存的笔记本.
您可以将OfficeOneNote2007笔记本转换为OneNote2010,还可以将其转换回OfficeOneNote2007格式.
默认情况下,在从OfficeOneNote2007更新到OneNote2010时,现有OfficeOneNote2007笔记本不会自动转换.
请注意,不能使用OfficeOneNote2007打开和使用以OneNote2010文件格式保存的笔记本.
要考虑的一个问题是,是否需要与OfficeOneNote2007用户共享笔记本.
解决此问题的建议如下:如果打算与未安装OneNote2010的OfficeOneNote2007用户共享笔记本,我们建议您不要升级那些笔记本.
如果不需要与使用OneNote早期版本的用户共享笔记本,我们建议您将现有笔记本转换为OneNote2010格式.
这样可以启用所有新的产品功能.
如果打开OfficeOneNote2007笔记本,则该应用程序的标题栏中将显示"[兼容模式]",指示文件格式是OfficeOneNote2007.
若要更改某笔记本的格式,请在导航栏上右键单击该笔记本,然后选择"属性".
在"笔记本属性"对话框中,可以将该笔记本格式从OfficeOneNote2007更改为OneNote2010,还可以将其转换回OfficeOneNote2007格式.
从OneNote2003升级OneNote2003笔记本在OneNote2010中(和在OfficeOneNote2007中)为只读.
这表示不能在OneNote2010中或在OfficeOneNote2007中编辑使用OneNote2003格式的文件.
必须将笔记本升级到OneNote2010格式或OfficeOneNote2007格式,才能在从OneNote2003升级到OneNote2010后继续编辑OneNote2003笔记.
为此,请在OneNote2010中打开笔记本,然后单击显示在OneNote2003笔记本中每一页顶部的信息栏.
转换为OneNote2010或OfficeOneNote2007格式的OneNote2003笔记本不能更改回原格式.
因此,我们建议您先制作笔记本的备份副本后,再将这些文件转换为更新的格式.
规划OneNoteWebAppMicrosoftOneNoteWebApp是OneNote2010的联机助理,它使您几乎可以从任何位置访问OneNote笔记本,并对其进行少量编辑或共享.
使用OneNoteWebApp,您可以在其中未安装OneNote完整版本的计算机上,从Web浏览器访问和编辑笔记本.
用户可以跨个人计算机、移动电话和Web,与其他用户一起联机查看、共享和处理文档.
MicrosoftOfficeWebApps可通过WindowsLive提供给用户使用,并可提供给具有Office2010批量许可和基于MicrosoftSharePoint2010产品的文档管理解决方案的商业客户使用.
商业客户可以运行安装在运行了MicrosoftSharePointServer2010或MicrosoftSharePointFoundation2010的服务器上的OfficeWebApps.
在企业环境中,在运行SharePoint2010产品的服务器上运行OfficeWebApps,可以更好地对组织数据进行管理控制.
本节提供有关系统要求的信息,以及转到下载、部署和使用MicrosoftOfficeWebApps的资源的链接.
如果打算在您所属的环境中部署OneNoteWebApp,我们建议您阅读下列有关OfficeWebApps部署的文章:了解OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185473&clcid=0x804)、规划OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185475&clcid=0x804)和部署OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185483&clcid=0x804).
本节内容:OfficeWebApps的系统要求部署和使用OfficeWebApps的资源OfficeWebApps的系统要求下表列出了OfficeWebApps的系统要求.
系统要求详细信息支持的操作系统WindowsServer2008WindowsServer2008R2和WindowsServer2008ServicePack2(SP2)硬件处理器:64位双处理器,3GHzRAM:4GB(适用于独立服务器),8GB(适用于服务器场)硬盘:80GB软件SharePointFoundation2010-或-SharePointServer2010浏览器支持InternetExplorer7.
0或更高版本(在Windows中)Safari4.
0或更高版本(在Mac中)Firefox3.
5或更高版本(在Windows、Mac和Linux中)部署和使用OfficeWebApps的资源下表列出了下载信息和文档的资源,有助于在您所属的组织中规划、部署和使用OfficeWebApps和OneNoteWebApp.
资源说明MicrosoftOfficeWebApps(Beta)(http://go.
microsoft.
com/fwlink/linkid=183997&clcid=0x804)下载OfficeWebApps.
了解OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185473&clcid=0x804)帮助您了解OfficeWebApps内部部署解决方案以及它如何在组织中使用户受益的信息.
规划OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185475&clcid=0x804)帮助您在您所属的组织中规划OfficeWebApps内部部署解决方案的信息.
部署OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185483&clcid=0x804)帮助您在您所属的组织中部署OfficeWebApps的信息.
管理OfficeWebApps(安装在SharePoint2010产品上)(http://go.
microsoft.
com/fwlink/linkid=185498&clcid=0x804)帮助您在您所属的组织中管理OfficeWebApps的信息.
对SharePoint产品使用OneNote的注意事项本节汇总了对SharePoint2010产品使用OneNote2010时需要考虑的关键问题.
关闭"需要签出"共同创作使多个用户可以随时协作处理同一文档,而不会干扰彼此所做的更改或锁定其他用户.
在设置和管理共同创作时,需要考虑下列事项:签出当用户从SharePointServer2010库签出某文档进行编辑时,此功能会锁定该文档,仅供该用户编辑,从而禁止共同创作.
在使用共同创作的文档库中,不应启用"需要签出"设置.
默认情况下,在SharePointServer2010中不启用"需要签出".
如果正在使用共同创作,用户不能手动签出文档.
版本控制与MicrosoftWord2010和MicrosoftPowerPoint2010不同,OneNote2010在OneNote文件本身内存储版本信息.
因此,在SharePointServer2010文档库中存储OneNote笔记本时,管理员应遵循以下建议的做法:不启用次要版本控制.
这是SharePointServer2010中的默认设置.
如果已启用主要版本控制,我们建议您设置一个合理的要存储的最大版本数.
文件的完整版本历史记录存储在SharePoint创建的各个主要版本中,这样会导致存储效率不够理想.
如果要启用主要版本,我们建议选择"保留以下数量的主要版本"设置.
这样可防止由于文件编辑时间过长而创建无限多个版本,从而导致超出网站存储配额.
默认情况下,在SharePointServer2010中不启用主要版本控制.
有关如何规划版本控制和签出的详细信息,请参阅版本控制、内容审批和签出规划(SharePointServer2010)(http://go.
microsoft.
com/fwlink/linkid=186210&clcid=0x804).
使用MicrosoftOfficeOneNote2007的混合环境OneNote2010与OfficeOneNote2007文件格式兼容,并支持与OfficeOneNote2007用户一起共同创作.
在混合环境中,笔记本必须使用OfficeOneNote2007文件格式保存,OfficeOneNote2007和OneNote2010用户才能一起处理该笔记本.
但是,升级到OneNote2010文件格式后,用户可以获得大量主要功能,包括与OneNoteWebApp的兼容性(利用该功能,没有安装OneNote完整版本的用户可以编辑和共同创作笔记本).
OneNote2010包括随时将OfficeOneNote2007文件升级到OneNote2010文件的功能,从而为在Office2010中从混合环境移至统一环境的组织提供一种简便的升级途径.
另请参阅OneNote2010中的更改Office2010中的更改部署OfficeWebApps(安装在SharePoint2010产品上)MicrosoftOneNote2010Beta帮助博客(该链接可能指向英文页面)规划Outlook2010组织的邮件环境可帮助您设计MicrosoftOutlook2010部署.
本节提供有关规划部署Outlook2010的信息和在升级、首次安装应用程序、规划漫游或远程用户、决定何时安装以及规划安全性时需考虑的因素.
本节内容:文章说明规划Outlook2010的概述提供了规划过程的概述,并指导您完成在规划Outlook2010的部署时需要考虑的因素.
确定何时安装Outlook2010描述可在Outlook2010的部署中使用的各种策略的要求、优点和缺点.
规划Outlook2010中的缓存Exchange模式部署提供在规划Outlook2010的缓存Exchange模式部署时要考虑的信息.
规划自动配置Outlook2010中的用户帐户描述用于在Outlook2010中自动配置用户帐户的两种发现机制:自动发现和通用设置发现.
规划Outlook2010中的安全和保护功能介绍Outlook2010中有助于保护组织的电子邮件传递安全的功能.
规划Outlook2010的概述仔细考察贵组织的邮件要求有助于您规划最佳的MicrosoftOutlook2010部署.
本文将指导您完成在部署Outlook2010时要考虑的事项.
本文内容:确定组织的需要选择何时和如何安装Outlook安全和隐私注意事项从Outlook的早期版本升级规划升级时要考虑的其他问题从其他邮件和计划程序升级确定组织的需要组织的邮件环境可帮助您设计Outlook2010部署.
要考虑的因素包括是否要升级Outlook、首次安装应用程序、规划漫游或远程用户,或者选择这些因素和其他因素的组合.
升级安装或初始安装如果您从早期版本的MicrosoftOutlook升级到Outlook2010,应考虑您是否迁移先前的设置、修改用户配置文件和使用新的自定义选项.
使用Office自定义工具(OCT),您可以迁移用户的当前设置和进行其他自定义操作,如定义新的MicrosoftExchangeServer或自定义新功能.
默认情况下将自动迁移用户设置,但安全设置除外.
如果您要首次在客户端计算机上部署Outlook,则每个用户都需要一个Outlook配置文件来存储有关电子邮件服务器连接和其他重要Outlook设置的信息.
您可以使用OCT或部署Outlook配置文件(.
prf)文件来为用户定义配置文件设置.
迁移数据如果组织使用不同的邮件客户端,您可能需要将这些客户端中的数据迁移到Outlook2010.
Outlook中提供的导入程序(例如,用于EudoraLight)可能会有所帮助.
导入程序不能配置为自动运行,您可以使用它们为各个用户迁移数据.
远程用户和漫游用户为了优化远程用户和漫游用户的体验,并为同一台计算机上的多个用户设置Outlook,您可以对Outlook进行自定义.
您可能希望为远程用户配置诸如Outlook无处不在(在Outlook的早期版本中称为基于HTTP的RPC)和缓存Exchange模式之类的功能.
这些功能可增强通过较慢或不太可靠的连接使用Outlook时的用户体验.
借助于Outlook无处不在,您无需使用虚拟专用网(VPN)连接,即可配置使用户能够更安全地从Internet连接到组织中的ExchangeServer的连接.
缓存Exchange模式是随OfficeOutlook2003引入的一项Outlook功能,可创建用户邮箱的本地副本.
建议将缓存Exchange模式用于所有配置,但此模式尤其适用于远程用户.
该功能使用户能够更可靠地访问其Outlook数据,而不管用户是否已连接到网络.
当多名用户共享同一台计算机时,应使用计算机操作系统中的Windows登录功能来管理用户登录验证.
由于同一台计算机中只能安装一个Outlook版本,因此,除非部署应用程序虚拟化,否则用户必须使用同一版本的Outlook.
若要了解有关如何在同一台计算机中设置多名Outlook用户的详细信息,请参阅在与他人共享的计算机上使用Outlook(http://go.
microsoft.
com/fwlink/linkid=100528&clcid=0x804).
多语言要求MicrosoftOffice2010为在国际或多语言环境中进行部署提供了广泛的支持.
与2007MicrosoftOfficesystem相同,Office2010产品也由中性语言的核心程序包以及一个或多个特定语言的程序包组成.
除了每种语言版本中包含的校对工具之外,您还可以下载和部署用于其他语言的校对工具,以帮助多语言部门以多种语言处理和编辑文件.
Outlook2010在整个产品中支持Unicode,以帮助多语言组织在多语言环境中无缝地交换邮件和其他信息.
客户端和邮件服务器平台Outlook2010的部分功能(例如,缓存Exchange模式)需要MicrosoftExchangeServer作为邮件平台.
尽管Outlook2010适合用于Exchange的早期版本,但Outlook2010的有些功能需要特定版本的Exchange.
基于此原因以及Outlook2010中与Exchange的其他增强的集成功能,我们建议您将Outlook2010与最新版本的Exchange结合使用.
Outlook2010的部署自定义决策取决于您使用的ExchangeServer版本.
如果您当前将ExchangeServer用作邮件服务器并且尚未升级到Exchange2003或更高版本,则考虑将您的ExchangeServer升级与Outlook2010的部署时间安排协调一致.
ExchangeServer2003是可与Outlook2010一起使用的ExchangeServer的最低版本.
选择何时和如何安装Outlook您可以选择何时以及如何安装Outlook2010.
例如,请考虑以下各项是否最适合您的组织:分阶段或同时为不同用户组安装或升级Outlook.
将Outlook作为独立应用程序进行安装.
在Office2010安装之前、进行期间或之后安装Outlook.
每个组织都具有不同的环境,对于Outlook2010升级的时间安排可能有不同的选择.
例如,您可能有一个邮件小组负责升级Outlook,而另外有一个小组来规划其他MicrosoftOffice应用程序的部署.
在这种情况下,单独从Office的剩余部分升级Outlook可能会更简单,而不是试图在两个小组之间协调部署.
请注意,Outlook2010不能与Outlook的早期版本共存于同一台计算机上.
如果您必须使用以前的版本,请不要安装Outlook2010或用应用程序虚拟化部署Outlook2010.
有关详细信息,请参阅确定何时安装Outlook2010.
自定义Outlook设置和配置文件您可以对Outlook安装进行自定义,以便通过以下两种方式来处理Outlook用户设置和配置文件:在OCT中指定Outlook用户设置.
在OCT中指定用于管理新的和现有的Outlook配置文件的选项,或者使用Outlook配置文件(.
prf).
例如,您可以允许Outlook用户迁移其当前的配置文件和设置,同时为新Outlook用户定义默认配置文件和设置.
您还可以修改现有配置文件,并为新Outlook用户建立新的默认配置文件.
如果您用MicrosoftExchangeServer2010部署Outlook2010,则可使用OCT或.
prf文件为一个配置文件添加多个Exchange帐户.
使用OCT自定义Outlook时,您将选择和其他安装首选项保存在安装期间应用的自定义文件中.
稍后,您可以通过在OCT中打开该文件并保存文件的副本来更新设置和配置文件信息.
有关如何配置Outlook配置文件的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
重要当在Outlook配置文件中已经拥有Exchange帐户的用户从Outlook2003或Outlook2007进行升级时,会向该配置文件中添加其他Exchange帐户,这是一个已知问题.
当您升级Outlook并使用配置为"修改配置文件"和"定义要对现有默认配置文件进行的更改"的自定义OCT文件(.
msp)或.
prf文件来应用自定义设置时,会出现此问题.
要防止在将用户升级到Outlook2010时,在一个配置文件中创建多个Exchange帐户,必须创建一个.
prf文件并设置属性BackupProfile=False和UniqueService=Yes.
有关具体操作步骤,请参阅使用自定义MSP从早期Office版本升级后,使用现有Outlook配置文件在Outlook2010中创建多个Exchange帐户(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=199704&clcid=0x804)(该链接可能指向英文页面).
配置订阅和其他共享功能与OfficeOutlook2007一样,Outlook2010也包含一些功能,使您可以轻松地订阅新的内容源并与组织内外的用户共享功能.
内容源包括MicrosoftSharePointFoundation2010和SharePointFoundation2010联系人、任务和日历,以及本地日历和基于Internet的日历(iCal).
真正简单的整合(RSS)是另一项共享功能,它使用户能够订阅内部或基于Internet的综合内容源(.
xml文件),这样,无须查看网站即可获得新信息.
您可以向用户部署特定的RSS源或日历订阅,配置用于管理用户如何共享这些订阅或内容的设置,指定服务器更新用户的数据副本的频率等等.
将Outlook用于终端服务WindowsServer中的终端服务使您能够在终端服务计算机上安装一个Outlook2010批量许可副本.
此时,并非在本地计算机上运行Outlook,而是多个用户连接到服务器并从该服务器运行Outlook.
若要在将Outlook用于终端服务时获得最佳结果,请密切关注您将如何自定义您的Outlook配置.
例如,在Outlook2010中,可以将缓存Exchange模式配置用于终端服务.
但您必须提供足够的磁盘空间,以便在终端服务服务器计算机上容纳每个用户的邮箱.
请注意,Outlook可能是某个环境的一部分,该环境包含在同一台终端服务计算机上提供的其他应用程序.
协作数据对象相关性Outlook2010中不支持协作数据对象(CDO).
尽管有些依赖于CDO1.
2.
1的解决方案可能会继续运行,但CDO1.
2.
1并非针对多Exchange帐户环境设计的,因此可能会出现意外结果.
对于Outlook解决方案,请使用Outlook对象模型而不是CDO1.
2.
1.
自动存档随着用户创建和接收项目,Outlook邮箱将增大.
为了保持邮箱可管理,用户需要另一个位置来存储(或存档)重要但不常使用的较旧项目.
通常最方便的做法是,将这些较旧项目自动移到存档文件夹,并放弃其内容已过期并且不再有效的项目.
Outlook2010的"自动存档"可为用户自动管理此过程.
但是,我们建议您使用MicrosoftExchangeServer2010邮件传递记录管理(MRM)中的"个人存档"功能,因为此功能不再需要个人文件夹文件(.
pst).
通过使用ExchangeServer2010中的"个人存档",电子邮件存档文件夹以联机方式存储,以便用户能够通过使用MicrosoftOutlookWebApp或使用Outlook2010从辅助计算机中访问存档的文件.
通过使用任一这些客户端应用程序,用户可以查看存档邮箱,并在主邮箱和存档之间移动或复制邮件.
如果计划部署带有ExchangeServer2010的Outlook2010,请考虑使用ExchangeServer2010的"个人存档"功能,而不是Outlook2010的"自动存档".
有关详细信息,请参阅了解个人存档:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=169269&clcid=0x804).
如果选择使用Outlook2010中的"自动存档"功能,您可以通过使用Outlook组策略模板(Outlk14.
adm)配置这些设置来自定义Outlook2010自动存档.
或者,可以使用Office自定义工具(OCT)配置默认设置,在这种情况下,用户可以更改这些设置.
Outlook数据文件(.
pst)如果计划与ExchangeServer2010一起部署Outlook2010,建议您使用ExchangeServer2010邮件传递记录管理(MRM)中的个人存档功能,因为它不需要Outlook数据文件(.
pst).
通过使用ExchangeServer2010中的个人存档功能,电子邮件存档将联机存储,这样用户就可以使用MicrosoftOutlookWebApp或使用Outlook2010从另一台计算机访问存档的文件.
通过使用任一这些客户端应用程序,用户可以查看存档邮箱,并在主邮箱和存档之间移动或复制邮件.
有关详细信息,请参阅了解个人存档:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=169269&clcid=0x804).
如果计划与ExchangeServer2003或ExchangeServer2007一起部署Outlook2010,则可以配置在本地存储(推荐)或在网络共享上存储.
pst文件.
仅当网络具有高带宽和高可靠性时,才应考虑在网络共享上存储.
pst文件.
如果用户的.
pst文件存储在网络共享上,而用户的网络连接丢失,则会影响用户的Outlook体验,并且可能会丢失未保存的更改.
保留策略保留策略设置可帮助用户遵守组织针对文档保留而设立的保留策略准则.
对于Outlook2010,无法使用组策略通过Outlook2010部署基于自动存档的保留设置.
如果需要部署保留策略,请浏览ExchangeServer2010中的邮件传递记录管理(MRM)功能.
有关详细信息,请参阅邮件传递记录管理:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=169263&clcid=0x804).
安全和隐私注意事项Outlook包含很多安全和隐私功能.
Office的信任中心随2007Officesystem引入的信任中心提供了一个中心位置来管理安全和隐私选项.
Office的早期版本中使用的安全级别("非常高"、"高"、"中"和"低")已被更简化的安全系统所取代.
为用户限制病毒和垃圾邮件Outlook2010包含旨在帮助最大限度地减少病毒传播和帮助用户避免垃圾邮件的功能.
在Outlook2010中与在OfficeOutlook2007中一样,您可以在组策略中配置病毒预防和其他安全设置以满足您组织的需要.
还可以使用Outlook安全模板来配置设置,就像在Outlook的早期版本中一样.
例如,您可以使用其中任一种配置方法来修改在电子邮件中阻止的文件类型列表.
对象模型(OM)防护已更新,这种防护有助于防止病毒使用Outlook通讯簿(OAB)传播自身.
Outlook检查有无最新的防病毒软件,以帮助确定何时显示OAB访问警告和其他Outlook安全警告.
Outlook2010具有多个功能来帮助用户减少收到的垃圾邮件数量.
Outlook2010包含一个垃圾邮件筛选器,供替代了先前版本的Outlook中所用规则的用户筛选邮件之用.
筛选器捕获的邮件将被移到垃圾邮件文件夹,稍后可以从中查看或删除这些电子邮件.
Outlook2010包含一个随OfficeOutlook2007引入的新邮戳功能,可帮助垃圾邮件筛选器确定有效的电子邮件.
垃圾邮件发件人可以在包含外部内容的HTML电子邮件中包含Web信号,如图形图像.
当用户打开或查看此电子邮件时,该Web信号会将其电子邮件地址验证为有效地址.
这就增加了他们收到更多垃圾邮件的可能性.
Outlook2010默认情况下通过阻止自动从外部服务器下载图片,可以降低用户成为后续垃圾邮件的目标的可能性.
Outlook2010帮助防止由网页仿冒电子邮件和欺骗性域名所引发的问题.
默认情况下,Outlook将屏蔽网页仿冒电子邮件-貌似合法但其目的是捕获个人信息(如用户的银行帐号和密码)的电子邮件.
Outlook还通过对电子邮件中的可疑域名提出警告来防止接收来自欺骗性用户的电子邮件.
Outlook2010支持在电子邮件地址中使用国际化域名(IDN),这样,人们就能够以其母语(而非联机英语)注册和使用域名.
对IDN的支持将允许仿冒网页发送伪装攻击:例如,使用来自不同语言(不仅仅是英语)的字母字符创建类似的域名,其目的是诱使用户认为他们正在访问合法网站.
有关如何在Outlook2010中规划安全性和隐私的详细信息,请参阅规划Outlook2010中的安全和保护功能.
配置加密功能Outlook提供了加密功能,用于通过Internet或本地Intranet发送和接收安全增强型电子邮件.
您可以自定义Outlook2010部署中的功能,以设置适合您组织的加密选项.
还可以实现其他功能以帮助提高电子邮件的安全性.
例如,您可以提供与组织的安全策略相匹配的安全标签.
"仅供内部使用"标签可以实现为一个安全标签,以应用于将不发送或转发到公司外部的电子邮件.
限制对电子邮件的权限信息权限管理(IRM)可帮助用户防止未授权人员转发、编辑或复制敏感的电子邮件以及其他2007Officesystem内容,如文档和工作表.
在Outlook2010中,用户可以使用IRM将电子邮件标记为"不要转发",这就自动限制了收件人转发、打印或复制邮件的权限.
此外,您可以定义自定义的Office范围的IRM权限策略以满足组织的需要,并为要使用电子邮件或其他Office文档的用户部署新的权限策略.
Outlook2010以及电子邮件协议和服务器Outlook2010可与各种电子邮件服务器和服务一起使用.
Outlook支持的主要电子邮件服务器和服务包括下列各项:简单邮件传输协议(SMTP)邮局协议3(POP3)Internet邮件访问协议4(IMAP4)用于ExchangeServer(版本2003及更高版本)的消息处理应用程序编程接口(MAPI)其他邮件源和消息源,包括Hewlett-PackardOpenMail.
按照Outlook2010使用MAPI扩展性接口的方式,可以使用其他服务提供商.
安装OutlookConnector时支持HTTP.
在没有电子邮件服务器的情况下,用户可以在独立配置中使用Outlook2010,以使用"联系人"、"任务"和"日历"功能.
从Outlook的早期版本升级可以将Outlook2010安装在任何以前安装的Outlook上.
就像在其他Office2010应用程序中那样,将迁移存储在注册表中的用户设置.
如果用户的计算机上已存在MAPI配置文件,则通常可以配置部署以继续使用该配置文件.
但是,如果要从Outlook2000或更早版本的InternetMailOnly安装进行升级,则可能需要重新创建用户配置文件.
Outlook2010不能与Outlook的早期版本共存.
如果确定用户需要早期版本,则请不要安装Outlook2010或用应用程序虚拟化部署Outlook2010.
从Outlook的早期版本升级用户时,必须就配置用户配置文件、注意缓存Exchange模式问题以及了解传真和表单更改等事项做出选择.
有关功能更改和迁移注意事项的概述,请参阅Outlook2010中的更改.
在启用了缓存Exchange模式的情况下升级在OfficeOutlook2003或OfficeOutlook2007中已启用缓存Exchange模式的情况下,将用户升级到Outlook2010很简单.
如果不更改缓存Exchange模式设置,则将为Outlook2010保留相同的设置.
.
ost或OAB文件格式没有更改,且不需要在升级过程中重新创建这些文件.
但如果ANSIOutlook数据文件(.
ost)在组织的环境中,则在向Outlook2010迁移文件时可能必须要采取附加的步骤.
当Outlook尝试将其邮箱与其.
ost文件同步时,具有非Unicode(ANSI)格式数据文件(.
ost)和较大Exchange邮箱的用户可能会遇到错误.
由于OutlookUnicode文件没有OutlookANSI文件的2GB大小限制,因此建议您将用户的.
ost文件升级为Unicode格式.
Unicode是Outlook2010的默认文件格式.
有关如何将非Unicode(ANSI)格式的现有.
ost文件强制升级为Unicode格式的信息,请参阅文章在Outlook2010中配置缓存Exchange模式中的"将非UnicodeANSI格式的.
ost文件强制升级为Unicode"一节.
有关其他的缓存Exchange模式规划注意事项,请参阅规划Outlook2010中的缓存Exchange模式部署.
规划升级时要考虑的其他问题若要准备升级,必须对以下其他问题做出决定:您是否应该升级到ExchangeServer2010以利用集成式电子邮件存档、集中权限管理、多Exchange帐户支持、邮件提示、语音邮件预览和受保护的语音邮件等新增功能有关ExchangeServer2010的详细信息,请参阅MicrosoftExchange2010(http://go.
microsoft.
com/fwlink/linkid=163579&clcid=0x804).
是否应在升级的过程中对Outlook用户配置文件进行更改例如,您可能要定义一台新Exchange服务器或启用Outlook2010的新功能.
有关自定义Outlook配置文件的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
应如何创建和存储现有安装的备份升级到任何新版本之前,建议您备份现有的数据.
有关备份Outlook文件的详细信息,请参阅用MicrosoftOutlook个人文件夹备份工具备份Outlook数据(http://go.
microsoft.
com/fwlink/linkid=81366&clcid=0x804).
用户将如何了解Office2010的新界面和功能有关详细信息,请参阅Office.
com(http://go.
microsoft.
com/fwlink/linkid=169378&clcid=0x804).
任何废止的功能、新增功能或已更改的功能是否将影响升级的时间和方式有关从Outlook早期版本开始所做更改的列表,请参阅Outlook2010中的更改.
从其他邮件和计划程序升级您可以从其他电子邮件和计划程序升级到Outlook2010.
使用Outlook中的导入功能可以简化该过程.
下表列出了Outlook2010支持的迁移路径.
软件程序版本OutlookExpress4.
x、5.
x、6.
xEudoraPro、EudoraLight2.
x、3.
x、4.
x、5.
x、6.
x、7.
x注意:不能将Microsoft邮件文件导入Outlook2010,也不能在Outlook2010与SchedulePlus之间共享信息.
另请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面)Outlook2010中的更改规划Outlook2010中的缓存Exchange模式部署确定何时安装Outlook2010您可以选择在MicrosoftOffice2010中安装其他应用程序之前、之后或与其他应用程序一起安装MicrosoftOutlook2010.
您还可以在不同时间向不同用户组部署Outlook2010请注意,如果安装了Outlook2010,但未安装MicrosoftWord2010,则会限制Outlook2010的功能,具体体现在几个方面:1)Outlook2010电子邮件编辑器具有较少的功能;2)Internet传真功能不可用.
本文介绍各个安装策略的要求、优点和缺点.
本文内容:与Office一起安装Outlook在Office之前安装Outlook在Office之后安装Outlook分阶段部署Outlook与Office一起安装Outlook您可以在全面升级Office2010时安装Outlook2010.
Outlook2010包含在MicrosoftOfficesystem产品的大多数版本中.
随Office2010一起安装Outlook2010可以消除在创建单独的应用程序部署时所涉及的额外步骤.
在Office之前安装Outlook在以下情况下,您可以先安装Outlook2010,然后在Office2010中部署其他应用程序:在安装当前版本之前,测试依赖于Office应用程序的先前版本(如MicrosoftOfficeWord2007或MicrosoftOfficeExcel2007)的解决方案.
您的邮件支持小组具有立即安装Outlook2010的资源,但桌面应用程序支持小组必须稍后安装Office的其他部分.
请注意,Outlook2010不能与MicrosoftOutlook的先前版本共存.
如果用户或工具需要先前的版本,请不要安装Outlook2010(除非您的环境支持Outlook2010,或者使用应用程序虚拟化部署Outlook2010).
若要在安装Office2010之前安装Outlook2010,请执行以下操作:1.
自定义Office安装程序,以便只从网络安装点安装Outlook2010.
2.
使用Office自定义工具(OCT)创建或更新安装程序自定义文件,此时将从同一个网络安装点安装Office2010.
有关如何分阶段安装Office2010应用程序的详细信息,请参阅在2007Officesystem中分阶段部署应用程序(http://go.
microsoft.
com/fwlink/linkid=162650&clcid=0x804).
在Office之前安装Outlook的优点如果您立即部署Outlook2010,则用户可以开始使用新功能,而不需要等待测试或技术支持人员进行完全升级.
在Office之前安装Outlook的缺点先安装Outlook2010,然后安装Office2010的其余部分,这种方法存在一些缺点:当您稍后部署其他Office2010应用程序时,必须自定义安装过程以保留您原先的Outlook2010设置.
Outlook2010编辑器的功能会缩减,除非也安装了Word2010.
Outlook2010中的预览功能对MicrosoftOffice2003文件类型或更低版本不起作用.
当您对Outlook2010和Office2010使用同一个网络安装点时,必须采取额外的步骤来修改安装选项.
在Office之后安装Outlook您可以等到安装Office2010之后再安装Outlook2010.
如果您的组织符合以下任一情形,则可能要考虑推迟部署Outlook2010:您计划将您的Outlook2010部署与MicrosoftExchangeServer将来的升级协调一致.
您打算将IBMLotusNotes转换为ExchangeServer解决方案,然后升级到Outlook2010.
您的桌面支持小组具有资源需立即升级到Office2010,但邮件支持小组必须等待以部署Outlook2010.
若要在安装Office2010之后安装Outlook2010,请执行以下操作:1.
自定义Office安装程序,以便只从网络安装点安装没有Outlook2010的Office2010.
2.
使用OCT创建或更新安装程序自定义文件,此时将从同一个网络安装点安装Outlook2010.
有关如何分阶段安装Office2010应用程序的详细信息,请参阅在2007Officesystem中分阶段部署应用程序(http://go.
microsoft.
com/fwlink/linkid=162650&clcid=0x804).
在Office之后安装Outlook的优点在许多组织中,使Outlook2010部署与电子邮件服务器升级(而非其他桌面应用程序的升级)相协调具有很大意义.
例如,如果您计划升级到新版本的ExchangeServer,您可能计划之后立即执行Outlook2010升级(独立于其他Office2010应用程序的升级),以充分利用在电子邮件服务器与客户端之间协同工作的功能.
在Office之后安装Outlook的缺点当您在没有Outlook2010的情况下安装Office时,必须使用OCT来自定义安装程序.
这可确保不会从用户的计算机中删除Outlook的先前版本.
无论您何时或以何种方式独立于Office2010安装Outlook2010,都必须执行额外步骤来管理对安装过程的自定义项.
分阶段部署Outlook您的组织中的某些部门可能已准备就绪,可立即升级到Outlook2010,但其他部门可能需要更多时间.
以下情形要求分阶段部署Outlook2010:您的常用策略是分阶段升级,以帮助确保在整个组织中顺利地部署新软件.
您具有远程系统支持小组(例如,在区域销售办公室中),它们要求在规划自己区域的升级方面具有自主权.
某些部门可能要等待项目期限结束之后,才能对其本地计算机进行更改.
您的资源有限,只能在整个组织内分阶段部署和升级系统.
分阶段部署的优点分阶段部署Outlook2010使得您可以更灵活地管理升级资源.
此外,试运行用户可以立即熟悉Outlook2010的新功能和效率增强功能.
在大多数情况下,用户使用不同版本的Outlook时不会出现重大技术问题.
Outlook2010用户可以无缝地与OfficeOutlook2007和OfficeOutlook2003的用户通信.
但是,如果用户在Outlook中设置了代理访问,则授予代理权限的人和代理人应使用同一个Outlook版本.
分阶段部署的缺点您必须考虑计划和管理分阶段部署的逻辑性.
组织可能需要额外的资源才能支持使用同一个产品的不同版本的用户;例如,它可能需要额外的技术支持人员培训.
有关如何分阶段安装Office2010应用程序的详细信息,请参阅在2007Officesystem中分阶段部署应用程序(http://go.
microsoft.
com/fwlink/linkid=162650&clcid=0x804).
另请参阅规划Outlook2010的概述在2007Officesystem中分阶段部署应用程序确定在Outlook2010中启用或自定义哪些功能本文包含您可能需要使用MicrosoftOutlook2010配置和部署的某些MicrosoftOutlook功能的初始列表,如"联系人卡片"和OutlookSocialConnector.
有关安全和保护功能,请参阅规划Outlook2010中的安全和保护功能.
您可以使用组策略或Office自定义工具(OCT)自定义Outlook2010安装.
若要实施设置,请使用具有Outlook2010组策略模板(Outlk14.
adm)的组策略,对于某些设置(例如有关联系人卡片的设置),应使用具有MicrosoftOffice2010组策略模板(Office14.
adm)的组策略.
有关如何下载Outlook2010管理模板及有关其他Office2010管理模板的信息,请参阅Office2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTool(该链接可能指向英文页面).
有关组策略的详细信息,请参阅Office2010组策略概述和使用组策略在Office2010中强制启用设置.
若要配置默认设置,请使用OCT,在这种情况下,用户可以更改设置.
OCT设置位于OCT的"修改用户设置"页上组策略设置的相应位置.
有关OCT的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
联系人卡片和OutlookSocialConnector是您可以使用组策略和OCT配置的两个新增功能.
无法使用组策略或OCT配置Outlook2010快速步骤功能和清理功能.
另外,也只能通过MicrosoftExchangeServer2010以管理方式配置邮件提醒功能.
但是,用户可以在Outlook2010中自定义这三项功能的设置.
若要访问清理和邮件提醒功能的用户设置,请在"文件"选项卡上单击"选项",然后单击"邮件".
若要在Outlook2010中管理快速步骤功能,请在"开始"选项卡上的"快速步骤"组中,单击右下角的展开按钮.
有关如何在ExchangeServer2010中配置邮件提示功能的详细信息,请参阅了解邮件提示(http://go.
microsoft.
com/fwlink/linkid=181931&clcid=0x804)和管理邮件提示(http://go.
microsoft.
com/fwlink/linkid=181934&clcid=0x804).
本文内容:自动存档联系人卡片对话视图全局地址列表同步Internet日历即时搜索导航窗格OutlookSocialConnector搜索文件夹SharePointServerColleague外接程序自动存档Outlook2010自动存档功能帮助您决定如何在用户邮箱中管理电子邮件.
您可以为组织中的用户配置自动存档设置,例如,决定运行自动存档的频率以及在运行自动存档之前是否提示用户.
如果您计划将Outlook2010与ExchangeServer2010部署在一起,请考虑使用ExchangeServer2010个人存档功能而不是Outlook2010自动存档功能.
有关详细信息,请参阅了解个人存档:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=169269&clcid=0x804).
有关规划合规性和存档的注意事项,请参阅规划Outlook2010中的遵从性和存档.
默认情况下,自动存档功能处于启用状态,并按计划的间隔自动运行,从文件夹中删除旧项目和过期项目.
旧项目是指达到用户指定的存档期限的项目(默认存档期限因Outlook项目类型而异).
过期项目是指超过特定日期其内容不再有效的邮件和会议项目,例如,仍然显示在用户收件箱中的设置为两个月之前过期的邮件项目.
用户可以在Outlook2010中设置项目的过期日期,可以在创建或发送项目时指定,也可以在以后指定.
项目过期后将不可用,在文件夹列表中该项目显示有删除线.
自动存档功能运行时,它可能删除项目或将项目移动到存档文件夹中,具体取决于您指定的设置.
存档文件是一个Outlook数据文件(.
pst文件),在Outlook2010文件夹列表中显示为"存档文件夹".
首次运行自动存档时,Outlook2010会在以下位置自动创建存档文件:%UserProfile%\AppData\Local\Microsoft\Outlook\Archive.
pst使用Outlook组策略模板(Outlk14.
adm),您可以锁定这些设置以自定义自动存档.
可以在"用户配置\管理模板\MicrosoftOutlook2010\Outlook选项\其他\自动存档"下找到这些设置.
此外,您还可以使用Office自定义工具(OCT)来配置默认设置,在这种情况下,用户可以更改设置.
OCT设置位于OCT的"修改用户设置"页上相应的位置.
下表显示了您可以为自动存档配置的设置.
选项说明启用自动存档设置为为用户运行自动存档,使用"自动存档时间间隔为天"设置指定的频率.
自动存档时间间隔为天指定自动存档间隔天数.
运行自动存档前提示通知用户将运行自动存档,而不是以无提示方式运行.
删除过期项目(仅限于电子邮件文件夹)删除过期的电子邮件,而不是将它们移动到存档文件夹中.
存档或删除旧项目将Outlook项目移动到存档文件夹或删除项目.
在文件夹列表中显示存档文件夹在用户的Outlook文件夹列表中显示存档文件夹.
清除早于所示时间的项目指定存档或删除项目之前保留项目的时间.
永久删除旧项目永久删除项目,而不是将它们移动到"已删除邮件"文件夹.
联系人卡片在MicrosoftOffice2010中,当您将鼠标指针停留在某个姓名(如电子邮件中的发件人姓名或Office2010文档中的作者姓名)上时,将显示联系人卡片.
如果将Office2010与OfficeCommunicator2007R2、OfficeCommunicatorServer2007R2安装在一起,联系人卡片将显示人员的状态,使您可以方便地直接通过即时消息、语音呼叫或视频开始对话.
当您展开联系人卡片时,可以看到"联系人"、"组织"和"隶属于"选项卡.
"联系人"选项卡是默认视图,其中显示部门、办公地点和单位电话等信息.
"组织"选项卡显示联系人的经理以及与其属于同一经理领导的其他联系人.
"隶属于"选项卡显示联系人所属的通讯组列表.
在Office2010中,您可以自定义联系人卡片以关闭某些功能,并指定状态图标的显示位置.
对于联系人卡片上的"联系人"选项卡,您可以替换标签和值.
以下两节介绍了可以为联系人卡片配置的特定设置.
请注意,用于自定义"联系人"选项卡的组策略和OCT设置存在一个已知问题;但已有了相应的解决方法.
若要自定义"联系人"选项卡,必须手动部署适当的注册表项.
请参阅联系人卡片"联系人"选项卡自定义解决方法(http://go.
microsoft.
com/fwlink/linkid=184612&clcid=0x804).
联系人卡片在组策略中,在"用户配置\管理模板\MicrosoftOffice2010\联系人卡片"下可以找到下表中的设置.
OCT设置位于OCT的"修改用户设置"页上相应的位置.
选项说明配置状态图标指定状态图标的显示位置.
显示全部显示状态图标.
显示部分仅在联系人卡片和MicrosoftSharePoint2010产品中的列表中显示.
不显示不显示状态图标.
显示旧式的全局地址列表对话框当用户在Outlook中双击联系人时,将显示全局地址列表(GAL)对话框而不是联系人卡片.
不显示悬停菜单当用户将指针悬停在联系人状态图标或显示名称上时,禁止显示悬停菜单.
不显示照片使得在联系人卡片、电子邮件头、阅读窗格、快速搜索结果、全局地址列表对话框和"文件"选项卡上不显示联系人照片.
删除"隶属于"选项卡允许删除联系人卡片上的"隶属于"选项卡.
删除"组织"选项卡允许删除联系人卡片上的"组织"选项卡.
关闭"单击使用即时消息"选项允许从联系人卡片和Outlook功能区中删除即时消息传递(IM)选项.
关闭"单击使用电话"选项允许从联系人卡片和Outlook功能区删除电话选项.
关闭状态集成允许关闭Office2010应用程序的IM状态集成.
"联系人"选项卡用于自定义"联系人"选项卡的组策略和OCT设置具有一个已知问题,但已有了解决方法.
要自定义"联系人"选项卡,必须手动部署相应的注册表项.
有关详细信息,请参阅联系人卡片"联系人"选项卡自定义解决方法(http://go.
microsoft.
com/fwlink/linkid=184612&clcid=0x804).
在管理模板的将来版本中,组策略中的"用户配置\管理模板\MicrosoftOffice2010\联系人卡片"下和OCT的"修改用户设置"页上的相应位置中的下列"联系人"选项卡设置将具备完善的功能.
要在Outlook2010中自定义联系人卡片的"联系人"选项卡,请使用"替换MAPI属性设置"选项.
要为MicrosoftWord2010等其他Office2010应用程序自定联系人卡片的"联系人"选项卡,请使用"替换AD属性设置"选项.
有关ActiveDirectory属性的信息,请参阅Exchange2007中的属性集(http://go.
microsoft.
com/fwlink/linkid=183812&clcid=0x804)和ActiveDirectory定义的属性(Windows)(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183814&clcid=0x804).
有关MAPI属性的信息,请参阅邮件用户属性(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183815&clcid=0x804)(该链接可能指向英文页面)选项说明移动日历行启用并设置行号以将"日历"字段值移动到联系人卡片上的另一个位置.
此操作将替换该位置原来的字段值.
移动位置行启用并设置行号以将"位置"字段值移动到联系人卡片上的另一个位置.
此操作将替换该位置原来的字段值.
替换标签-职务为"职务"(职务,部门)字段启用并输入新的标签名称.
替换标签-办公室为"办公室"(办公地点)字段启用并输入新的标签名称.
替换标签-单位为"单位"(单位电话)字段启用并输入新的标签名称.
替换标签-移动为"移动"(移动电话)字段启用并输入新的标签名称.
替换标签-家庭为"家庭"(家庭电话)字段启用并输入新的标签名称.
替换标签-电子邮件为"电子邮件"(电子邮件地址)字段启用并输入新的标签名称.
替换标签-日历为"日历"(日历忙/闲信息)字段启用并输入新的标签名称.
替换标签-位置为"位置"(位置信息)字段启用并输入新的标签名称.
替换AD属性-"职务,部门"启用并输入ActiveDirectory(AD)属性以替换"职务"字段值.
例如,要显示电子邮件别名,请输入AD属性:sAMAccountName.
如果启用此设置,还要设置"替换MAPI属性–"职务,部门"".
替换AD属性–"办公地点"启用并输入ActiveDirectory(AD)属性以替换"办公室"字段值.
如果启用此设置,还要设置"替换MAPI属性–"办公地点"".
替换AD属性–"单位电话"启用并输入ActiveDirectory(AD)属性以替换"单位"字段值.
如果启用此设置,还要设置"替换MAPI属性–"单位电话"".
替换AD属性–"移动电话"启用并输入ActiveDirectory(AD)属性以替换"移动"字段值.
如果启用此设置,还要设置"替换MAPI属性–"移动电话"".
替换AD属性–"家庭电话"启用并输入ActiveDirectory(AD)属性以替换"家庭"字段值.
如果启用此设置,还要设置"替换MAPI属性–"家庭电话"".
替换AD属性–"电子邮件地址"启用并输入ActiveDirectory(AD)属性以替换"电子邮件"字段值.
如果启用此设置,还要设置"替换MAPI属性–"电子邮件地址"".
替换AD属性–"日历忙/闲信息"启用并输入ActiveDirectory(AD)属性以替换"日历"字段值.
如果启用此设置,还要设置"替换MAPI属性–"日历忙/闲信息"".
替换AD属性–"位置信息"启用并输入ActiveDirectory(AD)属性以替换"位置"字段值.
如果启用此设置,还要设置"替换MAPI属性–"位置信息"".
替换MAPI属性–"职务,部门"启用并输入MAPI属性以替换"职务"字段值.
例如,要显示电子邮件别名,请输入MAPI属性:0x3a00001f.
如果启用此设置,还要设置"替换AD属性–"职务,部门"".
替换MAPI属性–"办公地点"启用并输入MAPI属性以替换"办公室"字段值.
如果启用此设置,还要设置"替换AD属性–"办公地点"".
替换MAPI属性–"单位电话"启用并输入MAPI属性以替换"单位"字段值.
如果启用此设置,还要设置"替换AD属性–"单位电话"".
替换MAPI属性–"移动电话"启用并输入MAPI属性以替换"移动"字段值.
如果启用此设置,还要设置"替换AD属性–"移动电话"".
替换MAPI属性–"家庭电话"启用并输入MAPI属性以替换"家庭"字段值.
如果启用此设置,还要设置"替换AD属性–"家庭电话"".
替换MAPI属性–"电子邮件地址"启用并输入MAPI属性以替换"电子邮件"字段值.
如果启用此设置,还要设置"替换AD属性–"电子邮件地址"".
替换MAPI属性–"日历忙/闲信息"启用并输入MAPI属性以替换"日历"字段值.
如果启用此设置,还要设置"替换AD属性–"日历忙/闲信息"".
替换MAPI属性–"位置信息"启用并输入MAPI属性以替换"位置"字段值.
如果启用此设置,还要设置"替换AD属性–"位置信息"".
对话视图对话视图在MicrosoftOutlook文件夹中提供电子邮件的按线索组织的视图.
若要在Outlook2010中访问对话视图,请单击"视图",然后选中"显示为对话"复选框.
下表显示了在组策略和OCT中可以为对话视图配置的设置.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOutlook2010\Outlook选项\首选项\电子邮件选项"下.
OCT设置位于OCT的"修改用户设置"页上的对应位置中.
选项说明配置对话视图中的跨文件夹内容启用并选择要包含在对话视图中的电子邮件文件夹内容.
启用并跨存储显示的电子邮件来自所连接的所有Outlook数据文件,无论它们是在本地计算机上存储的还是联机存储的.
禁用对话视图中显示的电子邮件仅来自当前文件夹(如收件箱).
启用以及当前对话视图中显示的电子邮件仅来自当前正在查看的Outlook数据文件.
启用以及本地"显示的电子邮件"仅来自当前正在查看的Outlook数据文件和任何其他本地Outlook数据文件(如,个人数据文件(.
pst)).
在视图中不使用"对话"排列此设置的说明性文字存在一个已知问题,将在管理模板的将来版本中解决该问题.
如果不配置此设置,Outlook2010默认情况下将显示"日期"视图.
禁用对话视图可阻止用户在Outlook2010中使用对话视图.
禁止将对话视图作为默认的Outlook2010视图打开.
全局地址列表同步Outlook2010会将其"联系人"文件夹条目与Exchange全局地址列表(GAL)中的联系人进行同步(当它们具有匹配的SMTP地址时).
此同步过程是单向的:从GAL到Outlook的"联系人"文件夹.
如果在用户的Outlook"联系人"文件夹中创建电话条目时使用的格式与公司GAL中使用的格式不同,可能导致联系人的电话号码不一致.
例如,区域设置可能要求将一种类型的电话号码前缀格式用于在国内呼叫,而将另一种前缀格式用于从国外进行呼叫.
如果用户使用从国外拨号所需的前缀格式创建他或她的Outlook2010联系人,则使用GAL中的详细信息更新Outlook2010联系人时,会进行"移动更正".
在移动更正中,用户在其Outlook联系人中创建的电话号码将被覆盖并移至邻近的电话号码字段.
例如,"商务"字段中的电话号码会移动到"商务2"字段中.
有关移动更正的详细信息,请参阅Outlook在GAL同步期间进行的联系人更正.
同步后,不能批量还原更改.
但是,用户可以手动更新Outlook联系人,如果存在许多差异,则可还原用户的Exchange邮箱.
可以使用编程解决方案,但需要进行复杂的数据验证,以从"注释"字段中提取以前的值.
对于大型企业而言,这些解决方案很快就会变得不可行.
但是,如果联系人同步是您的组织中的一个大问题,则可在部署MicrosoftOffice2010之前或在感觉可能出现此情况时为Outlook2010禁用GAL同步.
Outlook在GAL同步期间进行的联系人更正如果通过GAL同步更新了Outlook联系人,Outlook将使用以下方法之一来"更正"不匹配的联系人字段:普通更正在普通更正中,Outlook会在"注释"字段中记录字段的原有值,然后使用GAL中的新值更新该字段.
移动更正在移动更正中,Outlook会将字段的原有值移至邻近字段.
如果此操作不成功,Outlook将执行普通更正.
如果联系人组中的所有字段都已满,移动更正将变为普通更正.
对于以下字段,移动更正是所使用的默认更正方法.
对于所有其他字段,Outlook始终执行普通更正.
商务电话组商务电话商务2电话其他电话住宅电话组住宅电话住宅2电话其他电话移动电话组移动电话其他电话业务地址组业务地址其他地址住宅地址组住宅地址其他地址配置GAL同步默认情况下,Outlook2010中会启用GAL同步.
通过在组策略中配置"阻止全局地址列表同步"设置可以禁止GAL与Outlook联系人同步.
在应用此组策略设置后,用户将无法更改配置.
如果使用OCT禁用GAL同步,用户可在用户界面(UI)中启用该功能.
为此,用户可依次单击功能区中的"查看"选项卡和"人员窗格"按钮旁边的下拉箭头,从列表中选择"帐户设置"命令,然后单击"社交网络帐户"对话框底部的"设置"按钮.
可在下表中配置GAL同步设置.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"OutlookSocialConnector"下.
OCT设置位于OCT的"修改用户设置"页面中的相应位置.
有关配置这些设置的步骤,请参阅禁止Outlook2010的全球通讯簿同步.
选项说明阻止全局地址列表同步通过该选项可阻止Outlook联系人与GAL联系人之间的同步.
如果禁用或不配置此设置,将允许GAL同步.
设置全局地址列表联系人同步间隔通过此选项可控制在Outlook和所连接的社交网络之间同步联系人信息的频率(以分钟为单位).
默认情况下,如果禁用或不配置此策略,联系人信息将每天(1,440分钟)同步一次.
通过配置下表所列的注册表设置,可将GAL同步配置为在更新前提示,而不是无提示更新(这是默认行为).
有关部署注册表数据的步骤,请参阅禁止Outlook2010的全球通讯簿同步.
根数据类型项值名称值数据HKEY_CURRENT_USERDWORDSoftware\Microsoft\Office\Outlook\SocialConnectorScheduleContactGALSync配置GAL同步配置.
但是,用户可通过用户界面覆盖该配置,具体方法是依次单击功能区中的"查看"选项卡和"人员窗格"按钮旁边的下拉箭头,选择"帐户设置"命令,然后在"社交网络帐户"对话框中单击"设置"按钮.
0=不与GAL同步联系人1=使用最新GAL信息自动更新联系人2=在使用最新GAL信息更新联系人之前进行提示HKEY_CURRENT_USER字符串Software\Microsoft\Office\Outlook\SocialConnectorGalSyncExcludedLocales有关国家/地区代码,请参阅ISO3166-1alpha-3(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=197158&clcid=0x804)(该链接可能指向英文页面).
重要:仅当"ScheduleContactGALSync"项不存在时,才使用此注册表值.
如果用户通过用户界面手动设置GAL同步选项,将创建"ScheduleContactGALSync".
Internet日历Internet日历(iCal)是可以发布到Internet网站上的日历,其他用户可在网站上查看或订阅该日历.
您可以基于自己的日历创建iCal,将其作为通过电子邮件发送,将其上载到Office.
com或将其上载到WebDAV服务器以便发布它.
您还以通过电子邮件将iCal文件作为文件接收,或者下载iCal文件以便订阅第三方日历.
有关详细信息,请参阅发布Internet日历简介(http://go.
microsoft.
com/fwlink/linkid=193168&clcid=0x804).
使用Outlook2010,您可以自定义iCal订阅功能.
如果您担心带宽占用,并希望推迟iCal订阅,则可以在Outlook2010中禁用iCal订阅.
默认情况下,iCal处于启用状态.
您还可以将iCal订阅部署为用户可以更改或删除的默认订阅.
另外,您可以锁定iCal订阅,使用户无法更改或删除订阅.
不过,用户仍可以添加新的iCal订阅.
默认情况下没有iCal订阅.
但用户可以添加和删除iCal订阅.
Outlook2010会设置同步间隔,以便每个iCal订阅以发布者的建议间隔进行更新.
用户可以替代默认间隔,除非禁用该选项.
如果用户将更新频率设置为较短的间隔,可能会导致性能问题.
通过在组策略中启用"替代发布的同步间隔"选项,您可以强制使用发布者的更新间隔,使用户无法更改该间隔.
此设置用于所有iCal订阅.
无法为不同订阅设置不同的此选项.
下表显示了在组策略和OCT中可以为iCal配置的设置.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOutlook2010\帐户设置\Internet日历"下.
OCT设置位于OCT的"修改用户设置"页上的对应位置中.
选项描述自动下载启用可自动下载Internet日历约会上的(例如图片).
默认Internet日历订阅启用后可将要添加到每个用户配置文件的URL添加为Internet日历订阅.
禁止漫游Internet日历启用可使Internet日历仅在最初链接它们的客户端上可用.
不在Outlook中包含Internet日历集成启用可阻止用户在Outlook中订阅Internet日历.
替代发布的同步间隔启用可阻止用户替代Internet日历提供商发布的同步间隔.
即时搜索在MicrosoftOutlook2010中,用户可以使用即时搜索功能快速找到项目,例如,电子邮件、任务、约会,等等.
与搜索匹配的项目将被突出显示.
用户可以通过键入额外的字符来筛选结果(称为逐字拼写).
Outlook2010中的即时搜索通过访问带索引的内容来工作.
为Outlook内容编制索引后,可以更快地找到搜索结果.
默认情况下,将为所有无限制的Outlook项目(包括)编制索引,这是Outlook2010首次运行时将启动的一个进程.
您可以关闭全文本索引,也可以仅关闭索引.
编制索引是在后台发生的,并且仅当用户计算机上有富余的处理容量时才发生.
下面的Windows设置决定Outlook如何管理搜索索引编制:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Search\PreventIndexingOutlookHKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Search\PreventIndexingEmailAttachments不会为加密项目和使用信息权限管理(IRM)进行了限制的项目创建索引.
如果在运行WindowsVista或Windows7的计算机上安装Outlook2010,则可以使用组策略或OCT为Outlook配置搜索索引编制选项.
下表中显示了可以为即时搜索配置的设置.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOutlook2010\Outlook选项\首选项\搜索选项"下.
OCT设置位于OCT的"修改用户设置"页上的相应位置.
选项说明更改用于突出显示搜索匹配项的颜色选择用于在搜索结果中突出显示匹配项的背景色(默认为黄色).
不在搜索结果中使用搜索词突出显示关闭搜索匹配项突出显示.
用户键入时不显示搜索结果在用户键入搜索查询时不显示搜索结果(关闭Word逐字拼写功能).
不在"所有邮件项目"搜索中包括联机存档启用可将"所有邮件项目"搜索中的默认操作设置为不包括来自联机存档的搜索结果.
扩展搜索范围将即时搜索的范围扩展到当前模块(例如,邮件或日历)中的所有文件夹.
默认情况下,Outlook中的即时搜索仅从所选文件夹返回结果.
禁止对明文签名邮件和编制索引不为明文签名邮件的正文和编制索引.
发件人、主题行和日期将仍然编制索引并且是可搜索的.
禁止在Windows桌面搜索组件不存在时显示安装提示启动Outlook时,不使用对话框提示用户,即不询问用户是否要下载桌面搜索(如果尚未安装).
此外,还将删除Outlook中让用户下载Windows桌面搜索的链接.
关闭自动搜索索引调节关闭每72小时运行一次的Outlook搜索索引完整性自动验证.
导航窗格可在Outlook2010导航窗格中对日历、邮件等模块进行配置,以使其按特定顺序显示,或只显示某些模块.
可以使用Office自定义工具(OCT)中的"添加注册表项"选项来分发可指定模块显示方式的注册表项.
不能使用组策略锁定导航窗格选项.
下表列出了可为自定义安装配置的注册表设置.
根数据类型项值名称值数据HKEY_CURRENT_USERREG_DWORDSoftware\Microsoft\Office\14.
0\Outlook\PreferencesNumBigModules控制导航窗格中显示的大型按钮(每个按钮表示一个导航窗格模块)数量.
默认值为4.
可以指定的最大显示数量为8.
HKEY_CURRENT_USERREG_SZSoftware\Microsoft\Office\14.
0\Outlook\PreferencesModuleOrder确定导航窗格中各模块的显示顺序.
该数据是索引的有序列表,每个位置表示一个导航窗格模块,该位置的数字决定匹配模块的显示位置.
默认值为"1,2,3,4,5,6,7,8".
该索引位置与以下列表匹配:邮件、日历、联系人、任务、注释、文件夹列表、快捷方式、日记.
例如,如果用户将"邮件"切换为所显示的第三个模块,将"联系人"切换为第一个模块,则该注册表值的数据为:"3,2,1,4,5,6,7,8"HKEY_CURRENT_USERREG_SZSoftware\Microsoft\Office\14.
0\Outlook\PreferencesModuleVisible确定模块在导航窗格中是否可见.
这些值与模块排序列表中使用的位置匹配.
默认值为"1,1,1,1,1,1,1,0".
例如,第一个位置确定是否显示"邮件".
默认情况下,导航窗格中不显示"日记".
也可以选择不显示其他模块.
例如,如果不想显示"联系人"、"任务"、"注释"或"快捷方式",请设置以下数据:"1,1,0,0,0,1,0,0".
OutlookSocialConnectorOutlookSocialConnector是一个加载项,用于在Outlook2010中公开社交网络中的社交网络数据,包括好友、个人资料、活动和状态信息.
在电子邮件底部的人员窗格中,您可以看到有关发件人的信息,例如,图片、姓名和职务;查看与此人的通信历史记录,包括会议和;还可以从社交网络查看他们的活动源.
要利用OutlookSocialConnector中提供的功能,必须在具有Windows桌面搜索的缓存Exchange模式下运行Outlook2010,并为用户配置MicrosoftSharePointServer2010"我的网站".
在此配置中,本地项目(如来自发件人的电子邮件、会议和)都将包含在通信历史记录中.
此外,配置"我的网站"后,您可以查看来自发件人"我的网站"的活动源.
如果在联机模式下运行Outlook2010,通信历史记录中将仅显示服务器上存储的与该发件人相关的项目.
此外,仅可显示按需社交网络提供程序(如,Facebook)提供的有关发件人的活动源信息.
来自"我的网站"的活动源将不可用.
要在OutlookSocialConnector中包含来自用户的"我的网站"的信息,必须在具有Windows桌面搜索的缓存Exchange模式下运行Outlook2010,并按照下表中的描述设置MySiteHost注册表项.
根数据类型项值名称值数据HKEY_CURRENT_USERREG_SZSoftware\Policies\Microsoft\Office\14.
0\common\Portal\LinkProviders\MySiteHostURL"我的网站"URL,例如http://Office/MySite.
HKEY_CURRENT_USERREG_SZSoftware\Policies\Microsoft\Office\14.
0\common\Portal\LinkProviders\MySiteHostDisplayName可选:在OutlookSocialConnector中向用户显示的名称,例如,MySite.
您可以控制用户可从中查看活动源的社交网络提供程序.
可以通过在组策略中启用"阻止社交网络连接"设置来阻止来自所有社交网络提供程序的活动源.
另外,您可以使用OCT中的"指定要加载的社交网络提供程序列表"设置来部署特定提供程序,并可使用组策略中的"阻止特定社交网络提供程序"设置禁止安装其他提供程序.
您还可以使用组策略中的"不显示社交网络信息栏"设置来控制是允许OutlookSocialConnector或社交网络提供程序提示用户进行更新,还是您自己管理更新.
下表显示了在组策略和OCT中可以为对话视图配置的设置.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOutlook2010\OutlookSocialConnector"下.
OCT设置位于OCT的"修改用户设置"页上的对应位置中.
选项说明阻止全局地址列表同步阻止Outlook与全局地址列表之间的同步.
阻止网络活动同步阻止Outlook与社交网络之间的活动信息同步.
阻止社交网络联系人同步阻止Outlook与社交网络之间的联系人同步.
阻止特定社交网络提供程序按程序ID(ProgID)指定要阻止的社交网络提供程序列表.
提供程序的ProgID是在HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\SocialConnector\SocialNetworks下注册的.
不允许按需活动同步禁止Outlook与社交网络之间的活动信息按需同步.
不从ActiveDirectory下载照片不从ActiveDirectory下载联系人照片.
不显示社交网络信息栏启用可禁止显示信息栏消息,该消息将在更新可用时提示用户升级OutlookSocialConnector,或提示用户安装或更新社交网络提供程序.
阻止社交网络连接启用可在OutlookSocialConnector中禁用社交网络连接.
OutlookSocialConnector仍将允许个人信息管理(PIM)聚合,因此用户可以从其Outlook2010数据文件(例如,与该联系人交换的电子邮件以及与之召开的会议)查看有关所选联系人的信息.
设置全局地址列表联系人同步间隔控制Outlook和所连接的社交网络之间同步联系人信息的频率(以分钟为单位).
默认情况下,如果禁用或不配置此策略,联系人信息将每天(1,440分钟)同步一次.
指定活动源同步间隔控制Outlook和所连接的社交网络之间同步活动源信息的频率(以分钟为单位).
默认情况下,如果禁用或不配置此策略,活动信息将每60分钟同步一次.
指定要加载的社交网络提供程序列表输入OutlookSocialConnector要加载的社交网络提供程序(按ProgID)的列表.
提供程序的ProgID是在HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\SocialConnector\SocialNetworks下注册的.
关闭OutlookSocialConnector启用可关闭OutlookSocialConnector.
搜索文件夹Outlook文件夹是项目的存储位置,例如,新电子邮件("收件箱"文件夹),已发送电子邮件("已发送邮件"文件夹)或已保存的电子邮件(您创建的文件夹).
搜索文件夹是一些虚拟文件夹,包含与特定搜索条件匹配的所有电子邮件的视图.
搜索文件夹中不存储电子邮件.
搜索文件夹显示以前定义的Outlook2010文件夹搜索查询的结果.
电子邮件仍然存储在一个或多个Outlook文件夹中.
每个搜索文件夹都是一个保持更新的已保存搜索.
默认情况下,搜索文件夹监视所有Outlook文件夹以查找与搜索文件夹的条件匹配的新项目.
但是,您可以配置要监视哪个文件夹.
在Outlook2010中,单击"文件夹",然后单击"自定义此搜索文件夹".
当用户创建搜索文件夹时,有多个默认搜索文件夹选项可供选择,例如,"带的邮件"或"来自特定人员发来的邮件".
用户还可以创建自定义搜索文件夹.
要在Outlook2010中创建搜索文件夹,请在功能区中单击"文件夹",然后单击"新建搜索文件夹".
默认情况下,搜索文件夹保持活动状态1,000天.
您可以为缓存Exchange模式帐户和联机ExchangeServer帐户配置搜索文件夹保持活动状态的时间.
您可以指定搜索文件夹开始休眠(即,不再使用Outlook文件夹的当前搜索更新搜索文件夹中列出的项目)之前的天数.
休眠的搜索文件夹在用户的导航窗格中显示为斜体.
当用户打开休眠的搜索文件夹时,视图将刷新,运行时间计数会重新开始.
使用此设置指定的时间段从用户最后单击搜索文件夹时开始.
您可以为Exchange联机模式和缓存Exchange模式下的用户指定不同的天数.
将为每种模式下的每个搜索文件夹保持不同的计数.
如果启用"使Exchange搜索文件夹保持联机"选项并指定零天,则Exchange联机模式下的搜索文件夹将始终休眠.
类似地,如果为选项"在脱机模式下保留搜索文件夹"指定零天,则缓存Exchange模式下的搜索文件夹将始终休眠.
您还可以限制每个用户邮箱中允许的搜索文件夹的数量,也可以完全禁用"搜索文件夹"用户界面.
注意:如果用户在联机模式下(使用ExchangeServer上的邮箱)而不是在缓存Exchange模式下使用搜索文件夹,则ExchangeServer可以支持的用户数可能会减少.
下表中列出了在组策略和OCT中可以为搜索文件夹配置的设置.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOffice2010\搜索文件夹"下.
OCT设置位于OCT的"修改用户设置"页上的对应位置中.
选项说明用户启动Outlook时不创建搜索文件夹此策略设置存在一个已知问题.
Outlook2010中已删除了默认搜索文件夹.
此策略不影响Outlook2010中的新增和或现有配置文件.
使Exchange搜索文件夹保持联机指定Outlook在联机模式下运行时使搜索文件保持活动状态的天数.
在脱机模式下保留搜索文件夹指定Outlook脱机运行时或在缓存模式下运行时使搜索文件保持活动状态的天数.
每个邮箱的最大联机搜索文件夹数指定Exchange搜索文件夹的最大数量.
不影响客户端计算机上搜索文件夹的数量.
SharePointServerColleague外接程序Outlook2010中的MicrosoftSharePointServerColleague外接程序可扫描用户的"已发送邮件"文件夹,以查找名称和关键字以及这些名称和关键字的频率.
可能同事的列表会定期更新,并存储在用户本地计算机上的用户配置文件下.
通过用户的SharePoint"我的网站"Intranet网站上的"添加同事"页可以访问此列表,用户可从中选择要添加到"我的网站"页上的同事.
用户可以批准或拒绝联系人名称和关键字,以将其添加到"专业领域"Web部件中.
有关详细信息,请参阅规划用户配置文件(SharePointServer2010)(http://go.
microsoft.
com/fwlink/linkid=182364&clcid=0x804)和管理您通过"我的网站"和配置文件共享的信息(http://go.
microsoft.
com/fwlink/linkid=198208&clcid=0x804).
默认情况下,在安装Outlook2010时会安装并打开SharePointServer2010Colleague外接程序.
但是,若要使用SharePointServer2010Colleague外接程序,则必须同时安装SharePointServer2010和Outlook2010.
还必须部署下表中列出的"我的网站"URL注册表数据.
有关部署注册表数据的步骤,请参阅在Outlook2010中启用SharePointServer2010同事.
根数据类型项值名称值数据HKEY_CURRENT_USERREG_SZSoftware\Policies\Microsoft\Office\14.
0\common\Portal\LinkProviders\MySiteHostURL"我的网站"URL,例如http://Office/MySite.
HKEY_CURRENT_USERREG_SZSoftware\Policies\Microsoft\Office\14.
0\common\Portal\LinkProviders\MySiteHostDisplayName可选:要显示给用户的名称,例如MySite.
下表中列出了使用组策略禁用或锁定SharePointServerColleague外接程序的设置,这些设置位于MicrosoftOffice2010设置下:"用户配置"\"管理模板"\"MicrosoftOffice2010"\"服务器设置"\"SharePointServer".
此外,您还可以使用Office自定义工具(OCT)来配置默认设置,在这种情况下,用户可以更改这些设置.
OCT设置位于OCT的"修改用户设置"页上MicrosoftOffice2010设置下的相应位置.
有关配置这些设置的步骤,请参阅为"我的网站"配置Colleague.
选项描述启用"同事导入"Outlook加载项以使用MicrosoftSharePointServer启用此设置将为Outlook2010打开SharePointServerColleague外接程序.
禁用此设置将关闭此功能.
如果不设置此选项,默认情况下会打开Colleague外接程序.
要从今日开始扫描以确定要推荐的用户同事的最长天数启用此设置可指定为了确定要推荐的用户同事列表,需要对今日之前的多少天的Outlook已发送邮件进行扫描.
例如,如果使用默认值20天,SharePointServerColleague外接程序将扫描在过去20天内发送的邮件.
指定的天数越大,建议越准确.
天数越小,生成建议的速度越快.
要从今日开始扫描以确定要推荐的用户同事的最多邮件数启用此设置可指定为了确定要推荐的用户同事列表,需要扫描的最多已发送邮件数.
确定要推荐的用户同事时,要在Outlook项目中扫描的最多收件人数启用此设置可指定为了确定要推荐的用户同事列表,需要扫描Outlook已发送邮件中的最多收件人数.
填充SharePoint列表控件中的查找时每次请求所获取的最多行数启用此设置可指定填充SharePoint列表控件时每次请求所获取的最多行数.
启动Colleague推荐扫描之前的最短等待时间启用此设置可以指定在SharePointServerColleague外接程序开始扫描Outlook的"已发送邮件"文件夹之前等待的最短空闲时间(以毫秒为单位).
重新扫描Outlook邮箱中的新同事推荐前的最短等待时间启用此设置可以指定为了推荐新同事在重新扫描Outlook的"已发送邮件"文件夹之前等待的最短空闲时间(以小时为单位).
另请参阅规划Outlook2010中的安全和保护功能为Office2010配置用户设置Office2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTool(该链接可能指向英文页面)OfficeCustomizationToolinOffice2010(该链接可能指向英文页面)Office2010组策略概述规划Outlook2010中的缓存Exchange模式部署连接到MicrosoftExchangeServer计算机时,MicrosoftOutlook2010可提供两种基本连接模式:缓存Exchange模式或联机模式.
本文讨论可能适合您的环境的连接模式并为Outlook2010中的缓存Exchange模式部署提供规划注意事项和设置.
本文内容:概述在缓存Exchange模式和联机模式之间进行选择缓存Exchange模式如何帮助改善Outlook用户体验Outlook功能可能降低缓存Exchange模式的有效性同步、磁盘空间和性能注意事项管理检测到低速连接后Outlook的行为用于分阶段进行缓存Exchange模式部署的选项将当前缓存Exchange模式用户升级到Outlook2010向已有.
ost文件的用户部署缓存Exchange模式配置缓存Exchange模式其他资源概述将Outlook2010帐户配置为使用缓存Exchange模式时,Outlook2010可连同脱机通讯簿(OAB)一起,从存储在用户计算机上脱机数据文件(.
ost文件)中的用户MicrosoftExchange邮箱的本地副本运行.
会定期从ExchangeServer计算机更新缓存邮箱和OAB.
Outlook2003中引入了缓存Exchange模式,以便为用户提供一个更好的联机和脱机体验.
缓存Exchange模式使得用户能够在已连接环境和断开的环境之间切换而不会打断他们的Outlook体验.
其次,该模式还可使用户在使用Outlook时不再受网络延迟和连接问题的干扰.
相反,联机模式直接使用服务器中的信息进行工作.
Outlook需要新信息时,会向服务器发出请求然后显示信息.
邮箱数据仅缓存在内存中且从不写入磁盘.
用户可在设置帐户期间或通过更改帐户设置来选择缓存Exchange模式或联机模式.
还可使用Office自定义工具(OCT)或组策略部署相应模式.
重要当在Outlook配置文件中已经拥有Exchange帐户的用户从Outlook2003或Outlook2007进行升级时,会向该配置文件中添加其他Exchange帐户,这是一个已知问题.
当您升级Outlook并使用配置为"修改配置文件"和"定义要对现有默认配置文件进行的更改"的自定义OCT文件(.
msp)或.
prf文件来应用自定义设置时,会出现此问题.
要防止在将用户升级到Outlook2010时,在一个配置文件中创建多个Exchange帐户,必须创建一个.
prf文件并设置属性BackupProfile=False和UniqueService=Yes.
有关具体操作步骤,请参阅使用自定义MSP从早期Office版本升级后,使用现有Outlook配置文件在Outlook2010中创建多个Exchange帐户(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=199704&clcid=0x804)(该链接可能指向英文页面).
在缓存Exchange模式和联机模式之间进行选择何时使用缓存Exchange模式在Outlook2010中,缓存Exchange模式是主要配置.
建议在所有情况下均使用该模式(下文何时使用联机模式中特别指明的情况除外).
尽管我们建议在多数用户配置中使用缓存Exchange模式,但对于以下情况,该模式显得特别有用:经常连接和断开连接的便携计算机用户.
经常脱机或无连接工作的用户.
与ExchangeServer计算机有高延迟连接(大于500ms)的用户.
何时使用联机模式联机模式是连接到MicrosoftExchange的旧方法.
它是OfficeOutlook2003、Outlook2007和Outlook2010完全支持的配置.
如果不需要使用缓存Exchange模式,则联机模式很有用.
以下是一些情况示例:"Kiosk"情况,在此情况下,特定计算机上的众多用户可访问不同的Outlook帐户,并且不能接受延迟将电子邮件下载到本地缓存.
对规定的遵从性和安全环境要求很高的情况,在此情况下,数据不得以任何原因存储在本地.
在这些环境中,除作为潜在解决方案的缓存Exchange模式外,建议评估加密文件系统(EFS)或BitLocker.
超大邮箱,计算机中没有足够的硬盘空间来存储邮箱的本地副本.
超大邮箱(超过25GB),在缓存Exchange模式下,需要考虑与其有关的性能问题.
运行Outlook2007或Outlook2003的虚拟环境或远程桌面服务(终端服务)环境.
在运行远程桌面服务(终端服务)的计算机中运行Outlook2007或Outlook2003时,不支持缓存Exchange模式.
运行Outlook2010的虚拟环境或远程桌面服务(终端服务)环境,其磁盘大小或磁盘输入/输出(I/O)限制阻止以所需的级别运行缓存Exchange模式.
如果使用超大邮箱,可使用同步筛选器减小本地数据文件的大小.
有关详细信息,请参阅创建同步筛选器(http://go.
microsoft.
com/fwlink/linkid=193917&clcid=0x804)和优化超大邮箱的Outlook2007缓存模式性能(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=193918&clcid=0x804)(该链接可能指向英文页面).
如果使用在缓存Exchange模式下存在性能问题的超大邮箱,请参阅如何解决Outlook中的性能问题(http://go.
microsoft.
com/fwlink/linkid=193920&clcid=0x804).
特殊注意事项Outlook2010支持在拥有多个用户在远程桌面服务(终端服务)环境中以缓存Exchange模式运行.
将运行远程桌面服务(终端服务)的计算机配置为使用缓存Exchange模式时,必须考虑需要的额外存储空间以及多个客户端访问的磁盘I/O要求.
默认情况下,在运行远程桌面服务(终端服务)的计算机中设置的新Exchange帐户将使用联机模式.
设置时,用户可以决定启用缓存Exchange模式,或者使用Office自定义工具或组策略中的"对新的和现有的Outlook配置文件都使用缓存Exchange模式"选项来控制此设置.
在带宽非常有限的环境中,可以配置缓存Exchange模式以便仅下载电子邮件头和256个字符的电子邮件正文预览.
有关详细信息,请参阅在Outlook2010中配置缓存Exchange模式.
配置为缓存Exchange模式时,Outlook2010必须直接联系服务器以执行特定操作.
如果Outlook未连接,则这些操作不会生效,并且需要更长时间才能完成高延迟连接.
这些操作包括:使用代理邮箱数据存储.
使用尚不供脱机使用的共享文件夹.
有关详细信息,请参阅配置共享文件夹的脱机可用性(http://go.
microsoft.
com/fwlink/linkid=193926&clcid=0x804).
检索闲/忙信息.
设置、修改或取消外出邮件.
访问公共文件夹.
检索权限受保护邮件的权限.
编辑规则.
检索邮件提示.
缓存Exchange模式如何帮助改善Outlook用户体验使用缓存Exchange模式的主要优点如下:防止用户出现网络和服务器连接问题.
简化移动用户从联机到脱机的切换过程.
通过在本地缓存用户的邮箱和OAB,Outlook不再依靠持续的网络连接就能访问用户信息.
此连接状态时,Outlook可持续更新用户的邮件,以便将用户的邮箱保持为最新.
如果用户从网络断开连接(例如从扩展坞取下便携计算机),则会自动使最新信息可供脱机使用.
除了使用邮箱的本地副本改善用户体验之外,缓存Exchange模式还可以优化通过与服务器的连接发送的数据类型和数量.
例如,如果在Office自定义工具中配置"低速连接时仅下载邮件头"设置,则Outlook将更改通过连接发送的数据类型和数量.
注意:Outlook会检查用户计算机上的网络适配器速度(此速度由操作系统提供)以确定用户的连接速度.
报告为128Kbps或更低的网络适配器速度被定义为低速连接.
有时网络适配器速度可能无法准确反映用户的数据吞吐量.
有关调整Outlook在这些情况下的行为的详细信息,请参阅本文后面的管理检测到低速连接后Outlook的行为.
通过提供各种级别的优化,Outlook可以适应不断变化的连接环境,例如从企业局域网(LAN)断开连接,进入脱机状态,然后通过低速拨号连接重新与服务器建立连接.
当ExchangeServer的连接类型发生更改(例如更改为LAN、无线、移动电话或脱机)时,转换是无缝进行的,且不要求更改设置或重新启动Outlook.
例如,用户可能有一台便携计算机通过网络电缆连接到企业LAN进行工作.
在这种情况下,用户可以访问邮件头和全部项目,包括.
用户还可以快速访问和更新运行ExchangeServer的计算机.
如果用户断开便携计算机与LAN的连接,Outlook将切换到"试图连接"模式.
用户可以继续不间断地处理其在Outlook中的数据.
如果用户具有无线接入,则Outlook可以重新与服务器建立连接,然后切换回"已连接"模式.
如果稍后用户使用拨号连接来连接到ExchangeServer计算机,则Outlook可以识别出慢速连接,并自动通过仅下载邮件头而不更新OAB的方式来优化该连接.
此外,Outlook2010和OfficeOutlook2007还包括一些优化方式,可以减少通过连接发送的数据量.
在这种情况下,用户不需要更改设置或重新启动Outlook.
Outlook2010还包括"需要密码"模式.
当Outlook处于断开状态并需要用户凭据以建立连接时,将显示"需要密码"消息;例如,当用户在凭据身份验证对话框中单击"取消"时就可能发生这种情况.
当Outlook断开但未脱机时,用户发起的操作(如单击"发送/接收"或功能区上的"键入密码")会导致Outlook再次提示输入密码并显示"试图连接"消息,直到用户可以成功进行身份验证并建立连接.
Outlook功能可能降低缓存Exchange模式的有效性某些Outlook功能会降低缓存Exchange模式的有效性,因为这些功能需要访问网络或绕过缓存Exchange模式功能.
使用缓存Exchange模式的主要优点是防止用户出现网络问题和服务器连接问题.
依赖网络访问的功能会导致Outlook的响应发生延迟,而用户在使用缓存Exchange模式时不会遇到这种情况.
以下功能可能依赖网络访问,除非用户能够快速连接到ExchangeServer数据,否则会导致Outlook中出现延迟:不在本地缓存文件夹时(默认为本地缓存)的代理访问.
打开另一个不在本地缓存的用户日历或文件夹(默认为本地缓存).
使用未进行缓存的公用文件夹.
有关详细信息,请参阅本文后面的同步、磁盘空间和性能注意事项中的管理Outlook文件夹共享.
我们建议您在部署缓存Exchange模式时禁用或不实现以下功能或功能组合:对电子邮件上数字签名的片段通知功能Outlook必须检查服务器以验证数字签名.
默认情况下,用户的收件箱收到新邮件时Outlook将显示包含电子邮件一部分内容的片段邮件.
如果用户单击片段邮件以打开经过签名的电子邮件,则Outlook会使用网络访问来检查邮件上是否有有效的签名.
多个通讯簿容器通讯簿通常包含全局地址列表(GAL)和用户"联系人"文件夹.
某些组织配置GAL的子集,这些子集显示在通讯簿中.
还可以将这些子集通讯簿包括在定义通讯簿搜索顺序的列表中.
如果将子集通讯簿包括在搜索顺序列表中,则每次在用户撰写的电子邮件中解析名称时,Outlook可能都需要访问网络以检查这些通讯簿.
用户的"属性"对话框中"常规"选项卡上的自定义属性双击用户名(例如在电子邮件的"收件人"行上双击)时将出现"属性"对话框.
可以配置此对话框以加入对组织唯一的自定义属性,例如用户的成本中心.
但是,如果将属性添加到此对话框,则建议不要将其添加到"常规"选项卡.
Outlook必须对服务器进行远程过程调用(RPC)才能检索自定义属性.
由于访问"属性"对话框时默认显示"常规"选项卡,因此用户每次访问"属性"对话框时都会执行RPC.
结果就是,以缓存Exchange模式运行Outlook的用户在访问此对话框时可能会遇到明显的延迟.
为了帮助避免此类延迟,应在"属性"对话框上为自定义属性创建新的选项卡,或将自定义属性加入"电话/注释"选项卡.
某些Outlook加载项可能会影响缓存Exchange模式.
某些加载项可以使用对象模型访问Outlook数据,以绕过缓存Exchange模式中"仅下载邮件头"和"低速连接时仅下载邮件头"设置的预期功能.
例如,如果使用MicrosoftActiveSync技术对手持式计算机进行同步,则下载完整的Outlook项而不仅仅是邮件头,即使通过低速连接也是如此.
此外,更新过程比在Outlook中下载项目要慢,因为一次性应用程序使用的是一种效率较低的同步.
同步、磁盘空间和性能注意事项缓存Exchange模式使用用户Exchange邮箱的本地副本,在某些情况下,可以为整个组织或一组用户(例如远程工作的用户)改进缓存模式的性能.
不必再手动同步Exchange帐户缓存Exchange模式独立于Outlook的现有发送/接收操作而运行,以将用户的.
ost和OAB文件与ExchangeServer数据同步.
发送/接收设置按照在Outlook早期版本中所采取的相同方式更新用户的Outlook数据.
具有已启用发送/接收功能的Exchange帐户的用户,或通过按F9或单击"发送/接收"对Outlook数据进行同步的用户可能并未意识到不必再进行手动同步.
实际上,如果用户重复向ExchangeServer执行发送/接收请求,则可能会影响网络流量和服务器使用率.
若要将影响降到最低限度,请通知用户在缓存Exchange模式中不必执行手动发送/接收操作.
如果远程用户一般以脱机模式使用Outlook早期版本并且使用"发送/接收"来同步其数据或恰好在其从网络断开连接之前使用"发送/接收",则对于这样的远程用户来说,这可能特别有帮助.
在缓存Exchange模式中,这种类型的数据同步现在可自动进行.
管理此问题的另一种方法是禁用用户的"发送/接收"选项.
但是,不建议这样做,因为这会为有些用户带来问题;例如,在将当前拥有POP帐户的Outlook用户以及现有的自定义发送/接收组升级到Outlook2010时,会出现问题.
在这种情况下,如果禁用"发送/接收"选项,用户将无法使用OutlookConnector下载POP或HTTP电子邮件.
脱机通讯簿访问的优点缓存Exchange模式允许Outlook访问本地脱机通讯簿(OAB)以获取用户信息,而不是从ExchangeServer请求数据.
在本地访问用户数据极大地减少了Outlook对ExchangeServer计算机进行RPC的需要,并使用户不必进行Exchange联机模式中或Outlook早期版本中所需的大多数网络访问.
用户在其计算机上安装了最新的OAB之后,只需对OAB进行增量更新,以帮助避免不必要的服务器调用.
缓存Exchange模式下的Outlook每24小时将用户的OAB与来自OAB的ExchangeServer副本的更新进行一次同步.
通过限制更新OAB的ExchangeServer副本的频率,可以帮助控制用户下载OAB更新的频率.
如果Outlook检查时没有需要同步的新数据,则不更新用户的OAB.
注意:建议用户使用默认UnicodeOAB.
ANSIOAB文件不包括UnicodeOAB文件中的某些属性.
Outlook必须进行服务器调用以检索本地OAB中未提供的必要用户属性,而在用户没有Unicode格式完整详细信息OAB的情况下,这会导致很长的网络访问时间.
脱机文件夹(.
ost文件)建议为Outlook部署缓存Exchange模式时请注意,用户的本地.
ost文件与ExchangeServer中报告的邮箱大小相比可能要大50%到80%.
Outlook为缓存Exchange模式在本地存储数据时所使用的格式比服务器数据文件格式的效率低.
这一点导致在下载邮箱时要使用更多磁盘空间才能为缓存Exchange模式提供本地副本.
缓存Exchange模式首次创建用户邮箱的本地副本时,将更新用户的当前.
ost文件(如果存在).
如果用户当前具有的是非UnicodeANSI格式的.
ost文件,则建议您将其.
ost文件升级到Unicode格式.
非Unicode(ANSI)Outlook文件最多可存储2GB的数据.
而Unicode.
ost文件的最大大小是可以配置的,默认可以存储50GB的数据.
另外,请确保用户.
ost文件所在的文件夹有足够的磁盘空间,可以容纳用户的邮箱.
例如,如果用户的硬盘驱动器分区后将较小的驱动器用于系统程序(系统驱动器是.
ost文件所在文件夹的默认位置),则请在具有更多磁盘空间的另一个驱动器上指定某个文件夹作为用户.
ost文件的位置.
有关如何在默认位置以外的位置部署.
ost文件的详细信息,请参阅在Outlook2010中配置缓存Exchange模式中的使用组策略配置默认.
ost位置.
若要确定您的用户.
ost文件是ANSI还是Unicode格式,请参阅如何确定Outlook用于脱机文件夹文件的模式(http://go.
microsoft.
com/fwlink/linkid=159924&clcid=0x804).
有关如何强制将现有非Unicode(ANSI)格式的.
ost文件升级为Unicode格式的信息,请参阅在Outlook2010中配置缓存Exchange模式中的将非UnicodeANSI格式的.
ost文件强制升级为Unicode.
有关如何配置Unicode.
ost文件大小的详细信息,请参阅如何在Outlook2003中配置(.
pst)和(.
ost)文件的大小限制(http://go.
microsoft.
com/fwlink/linkid=159750&clcid=0x804).
管理性能问题大多数用户都会发现缓存Exchange模式比联机模式的速度更快.
但是,许多因素都会影响用户对缓存Exchange模式性能的感觉,这些因素包括硬盘大小和速度、CPU速度、.
ost文件大小以及预期的性能级别.
有关诊断和解决Outlook中的性能问题的疑难解答提示,请参阅Microsoft知识库文章940226:如何解决Outlook2007中的性能问题(http://go.
microsoft.
com/fwlink/linkid=100887&clcid=0x804)和有关部署Outlook2007的性能提示(http://go.
microsoft.
com/fwlink/linkid=160227&clcid=0x804).
管理Outlook文件夹共享在Outlook2010和OfficeOutlook2007中,当启用缓存Exchange模式时,将下载用户可在其他邮箱中访问的共享非邮件文件夹,并将其缓存在用户的本地.
ost文件中.
只有共享的"邮件"文件夹不进行缓存.
例如,如果同事将日历与某个用户共享,而该用户打开了日历,则Outlook2010将开始在本地缓存该文件夹,以使该用户可以脱机访问该文件夹并免受网络问题的困扰.
但是,如果管理员委托某个工作组成员访问其收件箱,则访问该文件夹是联机任务,可能导致响应延迟.
缓存的非邮件文件夹(如日历)可以实现脱机访问,并且可以在低速或不可靠网络中提供更加可靠的体验.
但请注意,最初它们可能需要更多时间进行填充,并同步更多的数据,因此本地.
ost文件会增大;在使用低速连接或用户脱机的情况下,非邮件文件夹不是最新的,除非已同步并下载最新更改.
自定义缓存Exchange模式部署时,可以在Office自定义工具(OCT)中配置此选项("下载共享的非邮件文件夹").
如有必要,还可以为用户启用共享的邮件文件夹.
但是,上文中有关共享非邮件文件夹的注意事项同样适用于共享邮件文件夹.
对于启用共享文件夹的用户而言,其本地.
ost文件会增大.
有关如何启用此设置的信息,请参阅在Outlook2010中配置缓存Exchange模式.
有关详细信息,请参阅无法在Outlook2007中缓存共享邮件文件夹(http://go.
microsoft.
com/fwlink/linkid=159948&clcid=0x804).
公用文件夹收藏夹注意事项可以配置缓存Exchange模式,以便为Outlook公用文件夹下载和同步用户的收藏夹文件夹中包括的公用文件夹.
默认情况下,不同步公用文件夹收藏夹.
但是,如果组织大量使用公用文件夹,则可能要启用此选项.
自定义缓存Exchange模式部署时可以配置一个选项,以便在.
ost中下载公用文件夹收藏夹.
如果用户的公用文件夹收藏夹文件夹包含较大的公用文件夹,则其.
ost文件可能也变得很大.
这会对缓存Exchange模式中的Outlook性能产生不利影响.
配置缓存Exchange模式以启用此选项之前,请确保用户对于其公用文件夹收藏夹中所包括的公用文件夹进行过仔细挑选.
还要确保用户的.
ost文件足够大,且其所在文件夹有足够的磁盘空间,以满足公用文件夹下载的额外存储要求.
管理检测到低速连接后Outlook的行为Outlook可以通过检查用户计算机上的网络适配器速度(此速度由操作系统提供)来确定用户的连接速度.
如果报告的网络适配器速度为128Kbps或更低,则将该连接定义为低速连接.
当检测到与ExchangeServer计算机的连接为低速连接时,Outlook通过减少与ExchangeServer计算机同步的次要信息量,帮助用户获得更好的体验.
Outlook针对低速连接对同步行为做出了以下更改:切换为仅下载邮件头.
不下载脱机通讯簿或OAB更新.
仅在用户要求时才下载邮件正文和相关.
Outlook不断与移动设备同步Outlook数据,并且可能会运行某些客户端规则.
注意:建议不要在启用"使用缓存Exchange模式时仅下载邮件头"设置时同步移动设备.
同步移动设备(例如通过使用ActiveSync)时,Outlook中将下载全部项目,而此同步过程的效率比与用户计算机进行的常规Outlook同步要低.
同步的"仅下载邮件头"设置旨在为使用拨号连接或移动电话无线连接的Outlook用户将网络流量降至最低限度,因为此时连接比较缓慢或昂贵.
有时网络适配器速度可能无法准确反映用户的数据吞吐量.
例如,如果用户的计算机连接到可以快速访问本地文件服务器的局域网(LAN)上,则所报告的网络适配器速度为快速,因为用户此时连接到LAN.
但是,用户访问组织网络上的其他位置(包括ExchangeServer计算机)时可能使用低速链路,如ISDN连接.
对于此类情况,即用户的实际数据吞吐量较低但其网络适配器报告为快速连接,您可能要配置某个选项以更改或锁定Outlook的行为,例如通过使用组策略对象编辑器选项"禁用'低速连接时仅下载邮件头'"来禁止自动切换为仅下载邮件头.
同样,在Outlook视为低速的连接中用户可能实际上有很高的数据吞吐量.
在这种情况下,也可能要禁止自动切换为仅下载邮件头.
可以在OCT中配置"低速连接时仅下载邮件头"选项,也可以使用组策略对象编辑器锁定该选项,以设置"禁用'低速连接时仅下载邮件头'".
有关如何自定义此设置的详细信息,请参阅在Outlook2010中配置缓存Exchange模式.
用于分阶段进行缓存Exchange模式部署的选项如果计划将大量用户从无缓存Exchange模式的Outlook部署升级到启用了缓存Exchange模式的Outlook2010,则请随着时间的推移分阶段进行.
无缓存Exchange模式的Outlook包括Outlook2002或更低版本、OfficeOutlook2003或未安装缓存Exchange模式的OfficeOutlook2007.
随着时间的推移分阶段部署有助于组织的ExchangeServer计算机管理对创建或更新用户.
ost文件的要求.
警告:如果同时更新大多数用户帐户以使用缓存Exchange模式,然后这些用户同时启动Outlook(例如周末升级后在星期一早晨同时启动),则ExchangeServer计算机将出现明显的性能问题.
有时这些性能问题可以得到缓解;例如,如果组织中大多数用户都有最新的.
ost文件.
但一般而言,建议在一段时间内分阶段部署缓存Exchange模式.
以下情况包括的示例涉及如何才能部署缓存Exchange模式以避免对ExchangeServer计算机产生较大的初始性能影响,同时在某些情况下最大限度地减少用户等待初始同步所花的时间:部署缓存Exchange模式时保留Outlook.
ost文件.
由于首次启动有缓存Exchange模式的Outlook时,只使用最新邮箱信息更新现有.
ost文件,因此在部署缓存Exchange模式时保留这些.
ost文件可以帮助减轻组织ExchangeServer计算机上的负载.
已有.
ost文件的用户只会与服务器同步少量Outlook信息.
这种情况在大多数用户已有最近与ExchangeServer同步的.
ost文件时效果最好.
若要在部署有缓存Exchange模式的Outlook的同时保留.
ost文件,请勿在.
ost中自定义Outlook配置文件信息时指定新的ExchangeServer计算机.
或者,在OCT中自定义Outlook配置文件时,清除"如果存在Exchange连接,则覆盖现有的Exchange设置(仅适用于修改配置文件)"复选框.
(如果启用了此选项,并在配置和部署Outlook时指定ExchangeServer计算机,则Outlook将替换MAPI配置文件中的Exchange服务提供程序,而这将删除现有.
ost文件的相应配置文件项.
)如果当前使用的是非Unicode(ANSI).
ost文件,建议您将用户的.
ost文件升级为Unicode格式,以改善性能和功能.
在这种情况下,将不会保留旧的非Unicode(ANSI).
ost文件;而是以Unicode格式重新创建它们.
有关如何强制将现有非Unicode(ANSI)格式的.
ost文件升级为Unicode格式的信息,请参阅在Outlook2010中配置缓存Exchange模式中的"强制将非UnicodeANSI格式的.
ost文件升级为Unicode格式".
向远程用户提供种子.
ost文件,然后在用户安装所提供的.
ost文件之后部署缓存Exchange模式.
如果组织中的大多数用户当前没有.
ost文件或没有使用缓存Exchange模式,则可以部署禁用了缓存Exchange模式的Outlook2010.
然后,在计划部署缓存Exchange模式的日期之前,为每个拥有用户邮箱快照的用户提供初始或种子.
ost文件;例如通过向用户提供或邮寄含有文件和安装说明的CD.
可能还要提供组织的具有完整详细信息的脱机通讯簿(OAB)的最新版本.
用户确认其已安装这些文件后再配置和部署缓存Exchange模式.
更新Outlook部署以便在以后使用缓存Exchange模式时,ExchangeServer将更新用户的现有.
ost文件,而此时要同步的数据比为每个用户创建新.
ost和OAB时要同步的数据少得多.
为每个用户的.
ost文件创建单独的CD可能非常耗时,因此,这种种子文件部署选项对在其他情况下也要花费大量时间等待初始邮箱和OAB同步的特定远程用户可能最为有用,并且可能需要付出很高成本,具体取决于其远程连接方案.
有关如何创建初始.
ost文件的详细信息,请参阅为Outlook缓存Exchange模式部署提供初始OST文件(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=74518&clcid=0x804)(该链接可能指向英文页面).
本文介绍如何创建OfficeOutlook2003的初始.
ost文件;此流程同样也适用于OfficeOutlook2007和Outlook2010.
在一段时间内将缓存Exchange模式的Outlook部署到多组用户.
您可以在ExchangeServer计算机和局域网中通过在一段时间内将多组用户升级为缓存Exchange模式来平衡工作量.
通过分阶段推出新功能,可减轻因使用用户邮箱的项填充.
ost文件和下载OAB而占用大量网络通信和服务器的工作量.
您创建缓存Exchange模式并将其部署到用户组的方法取决于组织中常用的部署方法.
例如,您可以在MicrosoftSystemsManagementServer(SMS)中创建用户组,从而将用于更新Outlook以便使用缓存Exchange模式的SMS包部署到此用户组.
您应该在一段时间内将SMS部署到每个组中.
若要尽可能地平衡负荷,请选择帐户分散在整个ExchangeServer计算机组的用户组.
将当前缓存Exchange模式用户升级到Outlook2010在OfficeOutlook2003或OfficeOutlook2007中已启用缓存Exchange模式的情况下,将用户升级到Outlook2010很简单.
如果不更改缓存Exchange模式设置,则将为Outlook2010保留相同的设置.
.
ost或OAB文件格式没有更改,且不需要在升级过程中重新创建这些文件.
但是请注意,共享非邮件文件夹的选项是在OfficeOutlook2007中引入的,默认情况下处于启用状态.
因此,在升级用户时,缓存Exchange模式下的现有OfficeOutlook2003配置文件将启用此设置.
如果存在下列情况,则这么做可能会有问题:组织中的用户使用ANSI.
ost文件.
用户的.
ost文件接近大小限制.
组织大量使用共享文件夹.
如果这些因素都存在,则下载共享的非邮件文件夹会产生性能问题和其他问题.
对于新的Outlook2010配置文件或者要升级现有OfficeOutlook2003配置文件,请使用OCT禁用非邮件文件夹共享选项,从而帮助防止下载非邮件文件夹时出现问题.
在升级现有OfficeOutlook2007配置文件时,可以使用组策略对象编辑器禁用此设置.
另外请注意,缓存共享的非邮件文件夹与缓存Exchange模式的其他缓存在工作方式上有所不同.
对于共享的非邮件文件夹,只有在用户单击该共享文件夹时才开始对本地.
ost文件的复制.
用户通过单击文件夹激活其缓存后,Outlook就会像在缓存Exchange模式中同步其他Outlook文件夹那样更新该文件夹.
但是,如果用户并非每45天(默认值)至少转到该文件夹一次,则直到用户再次单击该文件夹时才会进一步更新本地数据.
可以在组策略中配置"同步共享文件夹中的数据"选项.
有关如何使用组策略配置缓存Exchange模式的详细信息,请参阅在Outlook2010中配置缓存Exchange模式.
向已有.
ost文件的用户部署缓存Exchange模式以联机模式连接到ExchangeServer的某些Outlook用户可能已经具有.
ost文件.
如果这些用户具有非Unicode(ANSI)格式的.
ost文件和大型Exchange邮箱,那么当Outlook尝试将这些用户的邮箱与其.
ost文件同步时,可能会出现错误.
建议将用户的.
ost文件升级到Unicode格式,因为OutlookUnicode文件不像OutlookANSI文件那样具有2GB大小限制.
Unicode是Outlook2010的默认文件格式.
有关如何强制将现有非Unicode(ANSI)格式的.
ost文件升级到Unicode格式的信息,请参阅在Outlook2010中配置缓存Exchange模式中的将非UnicodeANSI格式的.
ost文件强制升级为Unicode.
配置缓存Exchange模式您可以通过使用Outlook组策略管理模板(Outlk14.
adm)锁定这些设置以自定义缓存Exchange模式,也可以使用Office自定义工具(OCT)配置默认设置,在这种情况下用户可以更改这些设置.
通过使用组策略,有助于防止用户在Outlook2010中启用缓存Exchange模式,并强制实施缓存Exchange模式的下载选项或配置其他缓存Exchange模式选项.
例如,可以指定在ExchangeServer计算机或客户端计算机中发生数据更改时,两次ExchangeServer同步间的默认时间.
在Outlook2010中配置缓存Exchange模式中提供了使用组策略锁定设置的步骤.
下表显示可以为缓存Exchange模式配置的某些设置.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"帐户设置"\"Exchange"\"缓存Exchange模式"下.
OCT设置位于OCT的"修改用户设置"页面中的相应位置.
选项描述禁用"下载整个项目"启用该选项将关闭Outlook中的"下载整个项目"选项.
要找到此选项,请单击"发送/接收"选项卡,然后单击"下载首选项".
禁用"下载邮件头"启用该选项将关闭Outlook中的"下载邮件头"选项.
要找到此选项,请单击"发送/接收"选项卡.
禁用"先下载邮件头,然后下载整个项目"启用该选项将关闭Outlook中的"先下载邮件头,然后下载整个项目"选项.
要找到此选项,请单击"发送/接收"选项卡,然后单击"下载首选项".
禁用"低速连接时仅下载邮件头"启用该选项将关闭Outlook中的"低速连接时仅下载邮件头".
要找到此选项,请单击"发送/接收"选项卡,然后单击"下载首选项".
下载公用文件夹收藏夹启用该选项将在缓存Exchange模式下同步公用文件夹收藏夹.
下载共享非邮件文件夹启用该选项将在缓存Exchange模式下同步共享非邮件文件夹.
对新的和现有的Outlook配置文件都使用缓存Exchange模式启用该选项将配置新的和现有的Outlook配置文件以使用缓存Exchange模式.
禁用该选项将配置新的和现有的Outlook配置文件以使用联机模式.
下表显示可以为缓存Exchange连接配置的其他一些设置.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"帐户设置"\"Exchange"下.
OCT设置位于OCT的"修改用户设置"页面中的相应位置.
选项描述基于ActiveDirectory主SMTP地址自动配置配置文件启用该选项将防止用户更改SMTP电子邮件地址,该地址用于根据ActiveDirectory检索到的地址设置新帐户.
配置OutlookAnywhere用户界面选项启用该选项将使用户能够查看和更改"Outlook无处不在"的用户界面(UI)选项.
不允许创建OST文件启用该选项将阻止使用脱机文件夹.
限制旧式Exchange帐户启用该选项将限制要添加到配置文件中的帐户成为第一个帐户.
设置每配置文件最大Exchange帐户数启用该选项将设置每个Outlook配置文件允许的最多Exchange帐户数.
同步共享文件夹中的数据启用该选项将控制用户在Outlook停止与Exchange同步文件夹前未访问Outlook文件夹时经过的天数.
其他资源有关如何规划缓存Exchange模式部署的详细信息,请参阅以下资源.
与基于ExchangeServer的系统一起使用OfficeOutlook2003、OfficeOutlook2007或Outlook2010时,可以使用缓存Exchange模式和其他功能来增强用户对某些问题(例如高延迟、丢失网络连接和有限网络带宽)的体验.
要了解这些增强体验,请参阅与Exchange2003的客户端网络通信白皮书(http://go.
microsoft.
com/fwlink/linkid=79063&clcid=0x804).
Outlook2010具有自动配置用户帐户的功能.
若要了解发现机制的工作原理以及如何修改XML文件来为组织配置AutoDiscover,请参阅规划自动配置Outlook2010中的用户帐户.
远程桌面会话主机环境中的缓存Exchange模式:规划注意事项(白皮书)本白皮书是文档WindowsServer2008R2中的远程桌面会话主机容量计划(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=196861&clcid=0x804)(该链接可能指向英文页面)的补充.
在评估缓存Exchange模式下向远程桌面会话主机(RDSH)环境进行的Outlook2010部署时,可以使用本白皮书,其中涵盖您在制定部署计划时应考虑的三个主要方面:存储占用空间性能影响网络存储可以MicrosoftWord文档(.
docx)的形式下载本白皮书:远程桌面会话主机环境中的缓存Exchange模式:计划注意事项(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=200170&clcid=0x804)(该链接可能指向英文页面).
规划自动配置Outlook2010中的用户帐户本文介绍两种发现机制,以自动配置MicrosoftOutlook2010中的用户帐户:自动发现和常用设置发现.
本文内容:概述搭配DNS使用自动发现自动发现处理汇总自动发现XML架构常用设置发现概述与MicrosoftOfficeOutlook2007一样,Outlook2010具有自动配置用户帐户的功能.
Outlook2010使用以下两种发现机制之一自动配置帐户:自动发现和常用设置发现.
自动发现是基于标准的XML文件,可由管理员为Internet服务提供商(ISP)或公司进行配置,或是由某个服务(如MicrosoftExchangeServer2007或MicrosoftExchangeServer2010中的客户端访问服务器角色)动态生成.
这是设置发现的首选机制,这是因为它提供了优化的性能.
同时,它还最大限度地减少在客户端计算机上配置时出现错误的机率,这是因为邮件服务器的管理员会特意明确地定义这些设置.
与自动发现相比,常用设置发现可配置的项目少,并且相对简单,但是世界各地大多数邮件服务器的配置均基于常用设置.
常用设置首先会尝试加密连接.
如果这些连接失败,会提示用户尝试非加密连接,并以不加密的方式再次尝试连接同一服务器.
现在许多ISP不要求加密,但是支持加密,以便用户可使用加密来配置其帐户.
有关如何部署和管理ExchangeServer2007自动发现服务的信息,请参阅自动发现服务概述:Exchange2007帮助(http://go.
microsoft.
com/fwlink/linkid=183290&clcid=0x804).
有关ExchangeServer2010的信息,请参阅了解自动发现服务:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=183289&clcid=0x804).
搭配DNS使用自动发现Outlook2010中的自动发现是一个XML文件,根据用户提供的域名,可能位于以下两个位置之一.
对于Internet,自动发现依赖域名系统(DNS)来查找XML文件.
XML文件位置基于用户提供的电子邮件地址.
例如,如果输入barbara@contoso.
com作为用户的电子邮件地址,则Outlook2010将按以下顺序在下面的位置中查找XML文件:1.
https://contoso.
com/autodiscover/autodiscover.
xml2.
https://autodiscover.
contoso.
com/autodiscover/autodiscover.
xml如果公司还有一个位于根域(例如,contoso.
com)的网站,则第二个选项(自动发现"主机(A)资源记录"解决方案)将允许您在不同的服务器上运行Web服务器和自动发现文件或服务.
对于较小的公司,可以忽略对拥有单独DNS记录的附加管理,并且单台服务器可以同时运行网站和自动发现服务(例如,上面列出的选项1).
必须通过使用安全套接字层(SSL)建立连接,并且必须提供有效的SSL证书.
需要SSL的原因是公司或Internet服务提供商(ISP)可能会选择仅提供对其邮件服务器的加密访问.
在这种情况下,如果Outlook2010首先检查非SSL位置或允许故障转移到非SSL位置,并且用户在容易受到安全威胁的情况下(例如中间攻击)键入电子邮件地址和密码,则Outlook2010中的自动配置服务会成为连接链(如果允许使用非SSL连接)中最薄弱的一环,从而削弱安全性.
在不使用加密连接的情况下,自动配置服务可能会允许非加密的网站配置邮件服务器设置,并允许对非加密网站使用用户名和密码进行身份验证.
相反,自动发现协议需要SSL来维护与需要安全配置例程的公司和ISP的兼容性.
但是,如果公司或ISP选择托管多个电子邮件域,则Outlook2010可以根据未经加密的HTTP重定向或DNS服务(SRV)资源记录(此DNSSRV记录查阅功能包含在OfficeOutlook2007ServicePack1和更高版本中)转到存储设置的安全网站.
例如,假设contoso.
com是托管的电子邮件域,并且主机托管服务在hoster.
com上运行自动发现文件.
在这种情况下,托管公司可以使用autodiscover前缀将Outlook2010定向到包含自动发现设置的安全网站.
HTTPredirect:http://autodiscover.
contoso.
com/autodiscover/autodiscover.
xml-->重定向到https://autodiscover.
hoster.
com/autodiscover/autodiscover.
xmlDNSSRV:_autodiscover.
_tcp.
contoso.
com-->指向https://autodiscover.
hoster.
com/autodiscover/autodiscover.
xml在以上两个示例中,用户将在Outlook2010中看到一个警告对话框,说明它们将被重定向到autodiscover.
hoster.
com来获取服务器设置.
用户可通过该对话框选择允许重定向,以及允许用户忽略以后有关重定向网站(在本示例中为autodiscover.
hoster.
com)的提示.
自动发现协议详细信息在一个配置了服务连接点(SCP)的域环境中,会首先执行SCP查阅.
或者,第一个连接尝试始终对域执行HTTPSPOST谓词,其中用户已输入电子邮件地址e-mail@domain.
如果成功检索到设置,则不执行任何其他网络调用.
如果未检索到设置,则将对autodiscover.
域执行HTTPSPOST谓词.
如果从此网站上未检索到设置,则将仅对autodiscover.
域网站执行最后的HTTPGET和DNSSRV记录查阅.
此HTTPGET和DNSSRV记录查阅只能重定向到安全网站.
(如果设置显示在HTTP位置,则Outlook2010将不会配置这些设置,这是因为连接未经过加密).
Outlook2010最多可以遵循10个任何类型的重定向.
也就是说,您可以遵循HTTPSPOST重定向和HTTPGET重定向,也可以使用本文后面部分详细说明的自动发现重定向XML架构标记.
在10个重定向无法获取设置之后,设置发现将失败.
静态XML与Web服务XML可以使用POST谓词以便Outlook2010可以发出对动态Web服务(如Exchange2007和ExchangeServer2010中的客户端访问服务器角色)的请求.
但是,如果只需使用静态XML文件或者您没有运行自动发现Web服务,则任何Web服务器在自定义405(不支持POST谓词)响应中返回的XML响应也将如Outlook2010使用的配置XML一样工作.
本地使用自动发现可以在计算机上配置注册表以查找定义服务器设置的本地XML文件.
但是,我们强烈建议将这些设置托管在实时服务器上,以便可以轻松地对其进行更新.
出于测试目的,向注册表中添加项可以强制Outlook2010使用本地XML文件来配置未在服务器上配置的电子邮件域.
该服务器会覆盖本地XML以便更有效地进行安全和配置控制.
例如,若要从本地XML文件提供contoso.
com电子邮件地址设置,则可以配置下面的注册表值:[HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Outlook\Autodiscover]"contoso.
com"="%PROGRAMFILES%\MicrosoftOffice\Office14\contoso.
xml"在本示例中,XML设置文件位于:%PROGRAMFILES%\MicrosoftOffice\Office14\contoso.
xml.
本文后面提供了示例XML设置文件.
XML设置的优先级Outlook2010将基于在自动发现XML设置文件中定义服务器的顺序来配置服务器类型.
例如,如果邮件服务提供商允许用户通过使用POP3协议和IMAP协议进行登录,但鼓励用户使用POP3协议,则在自动发现文件中应首先列出POP3设置.
自动发现处理汇总下面汇总了Outlook2010自动发现设置发现的操作顺序:1.
如果计算机已加入某个域,则自动从ActiveDirectory目录服务中检索电子邮件地址.
2.
如果找到ExchangeServer计算机,则检索此计算机的名称,并存储该名称以供稍后使用.
3.
查找与用户的电子邮件地址对应的服务连接点(SCP)对象或SCP指针对象,并查找要连接到的正确的自动发现服务器.
然后连接到该服务器并检索设置.
4.
如果上一步失败,则尝试自动发现XML的DNS发现(允许10次重定向).
a.
HTTPSPOST:https://domain/autodiscover/autodiscover.
xmlb.
HTTPSPOST:https://autodiscover.
domain/autodiscover/autodiscover.
xmlc.
HTTPGET:http://autodiscover.
domain/autodiscover/autodiscover.
xml(仅遵循重定向,而不获取设置)d.
DNSSRVlookup:_autodiscover.
_tcp.
domain(仅遵循SRV资源记录指向的重定向)5.
如果上一步失败,则尝试本地XML发现并使用在本地计算机上找到的XML(如果适用).
6.
如果上一步失败,但在步骤2中找到ExchangeServer计算机的名称,则根据ExchangeServer计算机名称配置Exchange帐户.
7.
如果上一步骤不适用,则尝试本文稍后常用设置发现中所述的常用设置发现.
自动发现XML架构以下各节介绍了Outlook2010中的自动发现的XML架构.
通过Outlook发送的POST请求当检索XML设置以配置电子邮件帐户时,Outlook2010始终使用POST谓词.
相应的HTTPPOST如下面的代码示例中所示.
http://schemas.
microsoft.
com/exchange/autodiscover/outlook/responseschema/2006aJohnDoe@sample.
comXML响应架构服务器可能会通过多种方式响应Outlook2010POST.
如果一个静态XML文件已够用,如Internet服务提供商(ISP)提供的POP3服务,其中服务器名称对所有用户都是相同的,则带有XML内容的自定义405POST错误消息即可满足要求.
如果运行的是自动发现服务,则可能会基于上一节中所述的用户的POST来动态计算响应.
无论采用哪种方式,响应架构都可以采用下面的代码示例中所示的形式.
JohnDoeemail|nntpredirectUrl|redirectAddr|settingsredirect.
URLemail@addresshttp://path.
to.
image.
com/image.
jpghttp://web.
page.
comPOP3|SMTP|IMAP|DAV|WEB|NNTPYYYYMMDD168mail.
contoso.
com110@.
SuchasJoeUser@SalesDomain.
-->johndoeon|off@.
SuchasJoeUser@SalesDomain.
-->on|offon|offon|offon|offon|off示例XML响应根据ISP定义的配置返回的XML响应.
提供POP3和SMTP服务的ISP下面的XML文件将在https://contoso.
com/autodiscover/autodiscover.
xml或https://autodiscover.
contoso.
com/autodiscover/autodiscover.
xml上配置为自定义405错误响应.
emailsettingsPOP3mail.
contoso.
com995offoffononSMTPmail.
contoso.
com587offoffonononon提供POP3、IMAP和SMTP服务并对客户端优先使用POP3的ISP将按上一节中所述内容来准确配置下面的XML文件.
emailsettingsPOP3mail.
contoso.
com995offoffononIMAPmail.
contoso.
com993offoffononSMTPmail.
contoso.
com587offoffonononon重定向到公共XML文件位置的XML若要将用户重定向到某个公共XML文件位置,则应在未加密的URL上某个托管的域位置配置下面的XML文件.
若使用此XML文件,则会向用户显示一条消息,告知用户正将其重定向到其他网站以获取自动发现设置.
例如,如果托管的域位置为hoster.
com,并且此位置提供了contoso.
com电子邮件地址,则该文件将位于http://autodiscover.
contoso.
com/autodiscover/autodiscover.
xml.
在此示例中,该文件的内容将如下面的代码示例中所示.
emailredirectUrlhttps://autodiscover.
hoster.
com/autodiscover/autodiscover.
xml通过在源位置配置普通HTTP302重定向,可以改为对用户进行重定向.
Outlook2010将同时遵循302重定向和XML响应中的redirectUrl标记.
请注意,必须将所有自动发现响应的XML文件内容命名为Autodiscover.
xml.
常用设置发现如果使用上述自动发现部分介绍的方法无法找到在Outlook2010中自动配置用户帐户所需的设置,则会通过回退算法使用常用名称和已知端口来检测服务器.
在Outlook2010中,自动配置Webmail帐户会将该帐户类型设置为IMAP,默认情况下,是支持IMAP的Webmail帐户(如GoogleGmail).
如果用户更喜欢POP3设置,则他们可以在Outlook2010确定协议设置后,手动调整该设置,方法是选择"添加新帐户"对话框中的"手动配置服务器设置"选项.
若要使用户直接进行选择,提供POP3和IMAP协议的邮件服务提供商对于每个协议都应使用同一服务器名称.
这样,用户只需更改选择框即可将IMAP切换到POP3.
Outlook2010同时尝试各种传入和传出服务器设置,以最大限度地优化性能并减少用户等待的时间.
下表列出了Outlook2010尝试为用户配置的设置.
首先以相互排斥的方式尝试所有加密设置,接下来,在征得用户同意的情况下尝试未加密设置.
IMAP设置首先,尝试加密设置.
对于IMAP服务器,连接排列如下表所示.
服务器用户名端口TLS/SSLSPAmail.
domainemail@domain993SSLSPAemail@domain993SSL无SPAemail@domain993TLSSPAemail@domain993TLS无SPAemail@domain143SSLSPAemail@domain143SSL无SPAemail@domain143TLSSPAemail@domain143TLS无SPAemail993SSLSPAemail993SSL无SPAemail993TLSSPAemail993TLS无SPAemail143SSLSPAemail143SSL无SPAemail143TLSSPAemail143TLS无SPAimap.
domainemail@domain993SSLSPAemail@domain993SSL无SPAemail@domain993TLSSPAemail@domain993TLS无SPAemail@domain143SSLSPAemail@domain143SSL无SPAemail@domain143TLSSPAemail@domain143TLS无SPAemail993SSLSPAemail993SSL无SPAemail993TLSSPAemail993TLS无SPAemail143SSLSPAemail143SSL无SPAemail143TLSSPAemail143TLS无SPAdomainemail@domain993SSLSPAemail@domain993SSL无SPAemail@domain993TLSSPAemail@domain993TLS无SPAemail@domain143SSLSPAemail@domain143SSL无SPAemail@domain143TLSSPAemail@domain143TLS无SPAemail993SSLSPAemail993SSL无SPAemail993TLSSPAemail993TLS无SPAemail143SSLSPAemail143SSL无SPAemail143TLSSPAemail143TLS无SPA接下来,在询问用户继续尝试非加密连接之后,将尝试非加密排列.
下表显示了Outlook2010尝试配置的非加密IMAP设置.
服务器用户名端口TLS/SSLSPAmail.
domainemail@domain143清除SPAemail@domain143清除无SPAemail143清除SPAemail143清除无SPAimap.
domainemail@domain143清除SPAemail@domain143清除无SPAemail143清除SPAemail143清除无SPAdomainemail@domain143清除SPAemail@domain143清除无SPAemail143清除SPAemail143清除无SPAPOP3设置首先,尝试加密设置.
对于POP3服务器,连接排列如下表所示.
服务器用户名端口TLS/SSLSPAmail.
domainemail@domain995SSLSPAemail@domain995SSL无SPAemail@domain995TLSSPAemail@domain995TLS无SPAemail@domain110SSLSPAemail@domain110SSL无SPAemail@domain110TLSSPAemail@domain110TLS无SPAemail995SSLSPAemail995SSL无SPAemail995TLSSPAemail995TLS无SPAemail110SSLSPAemail110SSL无SPAemail110TLSSPAemail110TLS无SPApop3.
domainemail@domain995SSLSPAemail@domain995SSL无SPAemail@domain995TLSSPAemail@domain995TLS无SPAemail@domain110SSLSPAemail@domain110SSL无SPAemail@domain110TLSSPAemail@domain110TLS无SPAemail995SSLSPAemail995SSL无SPAemail995TLSSPAemail995TLS无SPAemail110SSLSPAemail110SSL无SPAemail110TLSSPAemail110TLS无SPApop.
domainemail@domain995SSLSPAemail@domain995SSL无SPAemail@domain995TLSSPAemail@domain995TLS无SPAemail@domain110SSLSPAemail@domain110SSL无SPAemail@domain110TLSSPAemail@domain110TLS无SPAemail995SSLSPAemail995SSL无SPAemail995TLSSPAemail995TLS无SPAemail110SSLSPAemail110SSL无SPAemail110TLSSPAemail110TLS无SPAdomainemail@domain995SSLSPAemail@domain995SSL无SPAemail@domain995TLSSPAemail@domain995TLS无SPAemail@domain110SSLSPAemail@domain110SSL无SPAemail@domain110TLSSPAemail@domain110TLS无SPAemail995SSLSPAemail995SSL无SPAemail995TLSSPAemail995TLS无SPAemail110SSLSPAemail110SSL无SPAemail110TLSSPAemail110TLS无SPA接下来,在询问用户继续尝试非加密连接之后,将尝试非加密排列.
下表显示了Outlook2010尝试配置的非加密POP3设置.
服务器用户名端口TLS/SSLSPAmail.
domainemail@domain110清除SPAemail@domain110清除无SPAemail110清除SPAemail110清除无SPApop3.
domainemail@domain110清除SPAemail@domain110清除无SPAemail110清除SPAemail110清除无SPApop.
domainemail@domain110清除SPAemail@domain110清除无SPAemail110清除SPAemail110清除无SPAdomainemail@domain110清除SPAemail@domain110清除无SPAemail110清除SPAemail110清除无SPASMTP设置首先,尝试加密设置.
对于SMTP服务器,连接排列如下表所示.
服务器用户名端口TLS/SSLSPAmail.
domainemail@domain587SSLSPAemail@domain587SSL无SPAemail@domain587TLSSPAemail@domain587TLS无SPAemail@domain25SSLSPAemail@domain25SSL无SPAemail@domain25TLSSPAemail@domain25TLS无SPAemail587SSLSPAemail587SSL无SPAemail587TLSSPAemail587TLS无SPAemail25SSLSPAemail25SSL无SPAemail25TLSSPAemail25TLS无SPA匿名587SSL不适用匿名587TLS不适用匿名25SSL不适用匿名25TLS不适用smtp.
domainemail@domain587SSLSPAemail@domain587SSL无SPAemail@domain587TLSSPAemail@domain587TLS无SPAemail@domain25SSLSPAemail@domain25SSL无SPAemail@domain25TLSSPAemail@domain25TLS无SPAemail587SSLSPAemail587SSL无SPAemail587TLSSPAemail587TLS无SPAemail25SSLSPAemail25SSL无SPAemail25TLSSPAemail25TLS无SPA匿名587SSL不适用匿名587TLS不适用匿名25SSL不适用匿名25TLS不适用domainemail@domain587SSLSPAemail@domain587SSL无SPAemail@domain587TLSSPAemail@domain587TLS无SPAemail@domain25SSLSPAemail@domain25SSL无SPAemail@domain25TLSSPAemail@domain25TLS无SPAemail587SSLSPAemail587SSL无SPAemail587TLSSPAemail587TLS无SPAemail25SSLSPAemail25SSL无SPAemail25TLSSPAemail25TLS无SPA匿名587SSL不适用匿名587TLS不适用匿名25SSL不适用匿名25TLS不适用接下来,在询问用户继续尝试非加密连接之后,将尝试非加密排列.
下表显示了Outlook2010尝试配置的非加密SMTP设置.
服务器用户名端口TLS/SSLSPAmail.
domainemail@domain25清除SPAemail@domain25清除无SPAemail25清除SPAemail25清除无SPA匿名25清除不适用smtp.
domainemail@domain25清除SPAemail@domain25清除无SPAemail25清除SPAemail25清除无SPA匿名25清除不适用domainemail@domain25清除SPAemail@domain25清除无SPAemail25清除SPAemail25清除无SPA匿名25清除不适用另请参阅自动发现服务概述:Exchange2007帮助了解自动发现服务:Exchange2010帮助规划Outlook2010中的遵从性和存档本文讨论通过MicrosoftOutlook2010和MicrosoftExchangeServer2010部署"保留策略"和"个人存档"功能的规划注意事项.
这些功能可共同提供一种很好的方法,使用户得以遵守邮件保留策略,同时可使用"个人存档"功能用空间来存储其业务关键信息.
即使您的组织不严格强制遵守保留策略,"个人存档"仍然是一种很好的解决方案,可使您的组织免于使用个人MicrosoftOutlook数据文件(.
pst)或第三方存档解决方案.
"个人存档"使用户能够在托管位置对其电子邮件进行存档,以满足备份、数据恢复和合规性要求.
保留策略和个人存档只有在您将Outlook2010作为MicrosoftOfficeProfessional2010或MicrosoftOfficeProfessionalPlus2010的一部分与ExchangeServer2010帐户共同使用,并且Exchange管理员已经启用"保留策略"和"联机存档"时才可以使用.
本文内容:规划保留策略部署规划个人存档部署规划保留策略部署保留策略是一种有效的方式,允许您对运行ExchangeServer2010的服务器上存储的邮件强制实施电子邮件保留策略.
此外,保留策略可用于帮助用户保持邮箱配额.
保留策略可应用于邮箱、文件夹和个人电子邮件级别,并且只支持电子邮件.
其他消息类型,如日历或任务项目,不受Outlook2010和ExchangeServer2010的支持.
若要强制实施保留策略,电子邮件必须存储在ExchangeServer计算机上的邮箱或个人存档中.
作为规划保留策略部署的一部分,请考虑以下关键步骤:与您公司的法律部门或合规性事务部门共同规定策略.
确定邮箱、文件夹和用户策略的哪些组合是合适的.
将用户升级到"保留策略".
向用户通知关于保留策略的信息.
对于在调查中的用户,将他们放在"保留挂起"或"法律挂起"下.
定义您的保留策略确定哪些保留策略可用于您的组织、部门和用户,这应该是您与法律部门或合规性事务部门之间讨论的话题.
您的公司可能受政府或其他监管机构的管制,要求您使用保留策略.
因为部门可能处于不同的监管之下,您应该将您的策略组织为合乎逻辑的、易于管理的组.
在您理解了公司必须遵守的策略后,您就可以确定如何最好地实施这些策略.
"个人标记"是您可以向用户提供以应用于他们已经创建的个人邮件和文件夹的策略.
当您定义用户将遵守的策略时,我们建议使用的个人标记不超过10个.
如果超过这个数字,会使用户难以管理.
此外,在功能区上的"指定策略"库中,Outlook一次只显示10个个人标记.
如果用户必须访问的个人标记超过10个,则可以在"指定策略"库中选择"其他保留策略".
确定要创建哪些类型的策略既然您知道了哪些用户组需要哪些保留策略,您就可以确定想要如何实施这些策略.
有三种主要类型的保留策略.
1.
默认策略标记这是由Exchange管理员部署的策略,应用于用户邮箱中所有用户创建的文件夹以及所有电子邮件.
此策略不能由用户更改.
这是唯一能确保所有电子邮件至少有一个适用策略的策略类型.
2.
保留策略标记这是可应用于用户邮箱中以下特殊文件夹的策略类型:收件箱草稿已发送邮件已删除邮件垃圾邮件发件箱RSS源同步问题对话历史记录注意:针对这些特殊文件夹的策略不能由用户更改,即使没有保留策略标记应用于该文件夹也是如此.
3.
个人标记这是将在保留策略用户界面(UI)中显示的策略类型(UI),以便用户将其应用于他们创建的文件夹及各个电子邮件.
a.
用户不能将这些策略应用于前面所述"保留策略标记"下列出的任何特殊文件夹.
b.
用户可以将这些策略应用于特殊文件夹内的电子邮件,但不能应用于文件夹本身.
c.
用户可以将这些策略应用于他们自己的用户创建文件夹.
注意:"搜索"文件夹不支持保留策略,因为它们不包含实际的电子邮件.
个人标记若要使用户对文件夹或电子邮件设置保留策略,必须向用户提供一个或多个个人标记.
默认情况下,功能区"指定策略"库按字母顺序显示前10个策略(个人标记).
此菜单列表显示最常用的策略.
但是,由于使用了额外的策略,它们将按字母顺序显示在功能区上.
当用户通过使用"文件夹属性"对话框将策略应用于文件夹时,将显示可用个人标记的完整列表.
为用户创建的个人标记应该具有明确描述需要策略的内容类型的名称.
例如,如果提到专利的电子邮件必须保留7年,则创建标题为"专利信息"的策略,并将其设置为保留2,555天.
Outlook会自动将天数转换为容易识别的格式,并在标题后附加时间长度.
因此,在Outlook中,该策略将显示为"专利信息(7年)".
您还应该添加策略说明,这样用户就可以更清楚哪些电子邮件属于该个人标记的范围内.
该说明应该详细描述属于该策略的内容类型.
例如:"策略:专利信息(7年)""说明:所有与专利相关的电子邮件.
"这是针对电子邮件的策略优先顺序:1.
针对电子邮件的策略(个人标记)2.
针对包含电子邮件的文件夹的策略3.
针对该文件夹的父级以及父级以上文件夹的策略4.
针对邮箱的策略(默认策略标记)例如,用户具有名为"金融文档"、应用了"金融(–3年)"保留策略的文件夹.
该文件夹中的一封电子邮件描述了金融部门策略,并保留在"金融文档"文件夹中,以便于参考.
该用户可以用"参考(–从不)"保留策略来标记该电子邮件,因此该电子邮件不会被删除,即使文件夹策略为"金融(–3年)".
通讯组列表如果您的组织使用通讯组列表,在1-4周后删除电子邮件的个人标记就可以帮助用户更轻松地管理其邮箱配额.
用户可以创建Outlook规则将策略自动应用于电子邮件或使电子邮件发送到应用了该策略的文件夹.
保留策略热身期和培训为用户进行保留策略培训是很重要的,可确保他们了解如何正确使用系统以及他们了解何时删除电子邮件及删除的原因.
您应该确保用户理解保留或销毁数据的原因,这样他们就可以正确地应用个人标记,并且知道在一定时间之后将销毁哪些内容.
建议步骤:1.
将策略指定给用户的邮箱,并使其邮箱置于"保留挂起"状态.
这样将避免任何策略删除电子邮件.
有关详细信息,请参阅对邮箱设置保留挂起(http://go.
microsoft.
com/fwlink/linkid=195158&clcid=0x804).
2.
向用户提供指导信息,说明如何使用保留策略.
向用户解释,在预备期内,用户必须将策略应用于文件夹和邮件,否则旧邮件可能会被删除.
有关详细信息,请参阅为电子邮件指定保留策略(http://go.
microsoft.
com/fwlink/linkid=195157&clcid=0x804).
3.
预备期结束前的几天,提醒用户预备期截止日期.
4.
在截止日期,将用户从"保留挂起"中删除.
因为用户适应任何新系统都会花费些时间,制定预备期,以帮助用户顺畅地使用保留策略,这一点非常重要.
用户必须能将正确的个人标记应用于正确的文件夹,并习惯信息被自动删除的观念.
我们建议您在从用户邮箱中删除"保留挂起"之前至少给用户提供3个月的时间,使其熟悉在电子邮件中使用保留策略.
这样,用户在其任何信息被销毁之前可以看到和访问保留策略功能.
这使用户可以更轻松地将保留策略与自己的工作流相结合,并了解对他们的电子邮件执行的操作.
警告:如果您没有预备期,重要的电子邮件会在用户应用时间更长的策略之前被删除.
同样,在用户不监视其电子邮件的任何时候,例如,休长假或育儿假期间离开的一段时间,他们的邮箱应该置于"保留挂起"状态.
这样其信息就不会被意外删除了.
当他们返回工作岗位时,有足够的时间查看电子邮件,关闭"保留挂起".
重要如果您对用户邮箱或特殊文件夹使用"默认策略标记"或"保留策略标记",并且用户使用缓存模式连接到Exchange,则Outlook的配置文件在更新策略信息时,Outlook将会出现初始性能下降.
处理数据文件所需的时间取决于文件大小和计算机的速度.
用户应该知道在邮箱更新时性能受到的影响.
或者,您可以删除用户的Outlook配置文件,为该帐户创建新的配置文件.
当用户启动Outlook后,Outlook将下载已添加了策略信息的电子邮件.
根据帐户邮箱的大小,这可能比更新现有帐户更快.
但是,当您使用该帐户创建新配置文件后,所有邮件必须再次进行索引,以便可在Outlook中进行搜索.
向用户提供关于保留策略的培训用户应该被告知关于保留策略的以下方面的信息,因为这将影响其体验以及您公司的保留策略的最终有效性.
有关详细信息,请参阅为电子邮件指定保留策略(http://go.
microsoft.
com/fwlink/linkid=195157&clcid=0x804).
如有必要,用户应该检查和更改对其文件夹的保留策略,因此邮件不会在预备期结束时被意外删除.
在预备期期间,保留策略不会自动删除邮件.
默认策略标记将删除早于策略时间长度的邮件,除非用户更改针对其文件夹或各邮件的保留策略.
默认策略标记的保留时间长度应该明确地说明.
用户不可能更改对特殊文件夹的文件夹策略,如收件箱、已发送邮件和已删除邮件文件夹.
如果存在对特殊文件夹的策略,则应该明确说明该策略.
如果用户希望特殊文件夹中的邮件具有不同的策略,则可以将个人标记手动应用于那些邮件.
如果用户将个人标记添加到电子邮件,则个人标记将优先于文件夹策略或默认策略标记.
保留策略只应用于电子邮件.
因此,其日历上的所有会议和约会将不会被删除.
子文件夹继承其父文件夹的保留策略.
保留策略不会删除Outlook数据文件(.
pst)中的邮件.
用户可以使用功能区中的"指定策略"库将保留策略应用于邮件.
用户可以使用"指定策略"库中的"设置文件夹策略"将保留策略应用于他们创建的文件夹.
用户可以通过在"指定策略"库中选择"查看即将过期的项"来获得30天内过期的所有邮件的列表.
用户可以通过查看"阅读窗格"中"抄送"行下面或查看读取检查器底部来确定邮件应用了哪个保留策略.
用户处于法律挂起或调查中Outlook2010和ExchangeServer2010有两个用于法律挂起的选项:"保留挂起"和"诉讼挂起".
"保留挂起"可以使用户明确知道邮箱已被挂起.
"诉讼挂起"则是静默形式的,不会提示用户邮箱在调查中.
下表概括了哪些功能可用于"保留挂起"和"诉讼挂起".
下面的内容解释了"可恢复项目"和"写入时复制"功能.
功能保留挂起诉讼挂起在服务器上强制实施保留策略不可以是.
删除项放在用户邮箱的隐藏文件夹中,这样数据不会被销毁.
在服务器上强制实施存档策略不可以可以"可恢复项目"容器可以自我清空可以不可以"写入时复制"启用.
不可以可以恢复已删除项Exchange中的"恢复删除的项目"文件夹以前称为"垃圾罐",为用户在Outlook、MicrosoftOutlookWebAccess(OWA)和其他电子邮件客户端中删除的项目提供保留区域.
用户可以通过访问"恢复删除的项目"文件夹来恢复已经在Outlook和OWA中删除的项目.
有关详细信息,请参阅恢复删除的项目(http://go.
microsoft.
com/fwlink/linkid=195172&clcid=0x804).
默认情况下,"恢复删除的项目"文件夹将已删除的项目保留14天,或者直至达到文件夹的存储配额限制.
如果超出"恢复删除的项目"文件夹存储配额,该文件夹将以"先进先出"(FIFO)的原则删除项目.
如果用户邮箱的"诉讼挂起"启用,则无法使用这两种方法中的任一种清除"恢复删除的项目"文件夹.
这样可确保能搜索和恢复被删除的数据.
有关详细信息,请参阅了解法律挂起(http://go.
microsoft.
com/fwlink/linkid=195174&clcid=0x804).
写入时复制使用ExchangeServer2010,您可以确保电子邮件的所有版本都是使用"写入时复制"功能保存的.
此功能将在电子邮件被修改时复制其原始版本,并将其存储在名为"版本"的隐藏文件夹中.
有关可触发复制的电子邮件属性,请参阅了解法律挂起(http://go.
microsoft.
com/fwlink/linkid=195174&clcid=0x804).
此功能在使用"诉讼挂起"时自动启用.
使用保留挂起如果有用户的电子邮件需要调查,不应被删除,则可以为该用户的邮箱启用"保留挂起".
通过使用"保留挂起",您可以在Backstage视图中显示注释,该注释向用户告知"保留挂起"状态.
如果用户有"个人存档",则必须将邮件手动移到存档中.
"保留挂起"阻止服务器允许保留策略和存档策略去删除或移动邮件.
当用户邮箱处于"保留挂起"时,应该增加用户的邮箱配额,从而能够保留与调查相关的电子邮件.
当用户处于"保留挂起"时,应该被告知以下事项:"保留策略"和"存档策略"不再删除或移动邮件.
用户可以将邮件手动移动到个人存档中(如果有个人存档).
使用诉讼挂起如果有用户常常处于法律调查中,或者同时接受多项调查,"诉讼挂起"是确保保留用户的所有电子邮件、同时不影响电子邮件用户体验的一种方式.
使用"诉讼挂起"时,Outlook不会向用户通知其用户邮箱被挂起.
这样可能有助于内部调查.
因为保留策略和存档策略允许用户删除和移动邮件,而诉讼挂起使用户能够正常使用邮箱,如同没有处于调查中一样.
"恢复删除的项目"文件夹收集所有已删除的项目,"写入时复制"功能收集所有版本的电子邮件.
这些功能结合在一起,减轻了维护与法律调查相关的信息的负担.
有关详细信息,请参阅了解法律挂起(http://go.
microsoft.
com/fwlink/linkid=195174&clcid=0x804).
规划个人存档部署个人存档可用于取代用于存档组织中电子邮件的Outlook数据文件(.
pst).
另外,个人存档可以为出于合规性原因而必须保留的电子邮件提供额外的空间.
作为规划个人存档部署的一部分,请考虑以下关键步骤:确定组织的存档策略.
为用户培训关于个人存档的内容.
管理组织中的Outlook数据文件(.
pst).
确定您的存档策略默认情况下,在为用户提供个人存档时,为其创建以下存档策略:默认策略(–2年)默认存档策略应用于用户的整个邮箱.
它将对接收日期早于2年的所有电子邮件进行存档.
个人标记默认情况下,向用户提供以下个人标记,以应用于其文件夹和电子邮件.
6个月1年2年5年从不存档策略不能在Exchange中应用于用户邮箱里的特殊文件夹,如"收件箱"和"已发送邮件"文件夹.
默认情况下,用户邮箱中的所有文件夹都将继承默认策略.
但用户可以使用个人标记更改任何文件夹或电子邮件的策略.
为用户培训关于个人存档的内容.
用户应该被告知关于个人存档的以下方面的信息,因为这将影响他们使用该功能的体验和方式.
我们建议设置预备期,在预备期期间,针对用户的邮箱文件夹设置存档策略.
这样当电子邮件在夜间被移到存档中时,用户就不会感到惊讶了.
当用户处于脱机状态或者无法建立到用户的ExchangeServer计算机的连接时,不能使用个人存档.
在24小时内,ExchangeServer自动移动可以存档的电子邮件.
因此,对文件夹设置存档策略的用户不会看到此操作立即生效.
对于用户来说,使用ExchangeServer不能立即存档邮件.
必须立即存档的邮件必须由用户移到存档中.
用户将不能使用自动存档,并且不能存档邮件.
如果用户设置了自动存档来删除邮件或将邮件移到Outlook数据文件(.
pst),则必须应用适当的保留策略和存档策略来实现同样的效果.
在存档中创建的文件夹所具有的保留策略与邮箱中的一样.
同样,存档的邮件的保留策略(如果已应用)与邮箱中的一样.
具有保留策略的邮件将在个人存档中到期.
组织中的Outlook数据文件(.
pst)如要确保组织的电子邮件没有移出用户邮箱或组织的合规性基础架构,您可以部署DisableCrossAccountCopy注册表项.
它将阻止用户将信息保存到Outlook数据文件(.
pst),或将其复制到Outlook中的另一个电子邮件帐户.
您可以通过将此注册表项手动添加到用户的注册表或使用组策略中的"禁用在帐户间复制或移动项目"设置来部署此注册表项.
此注册表项提供的控制比Outlook2010中通常使用的两个注册表项DisablePST和PSTDisableGrow更大.
因为它阻止用户将数据移出受限帐户,而不限制其对.
pst的使用,用户可以在Outlook中使用可能将电子邮件发送到.
pst文件的个人电子邮件帐户.
他们还可以读取邮件以及从现有.
pst文件复制邮件.
出于这些原因,建议使用DisableCrossAccountCopy注册表项来完全取代对DisablePST和PSTDisableGrow的需要.
您也可以阻止用户将数据从MicrosoftSharePoint2010产品中的同步列表中复制出来.
DisableCrossAccountCopy注册表项位于HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Outlook\中.
注册表项类型值说明部署DisableCrossAccountCopyREG_MULTI_SZ可为此注册表项定义三个字符串值:1.
星号(*)将限制复制邮件或将邮件移出任何帐户或Outlook数据文件(.
pst).
2.
要限制的电子邮件帐户的域名.
您可以指定希望限制的帐户的域.
例如,contoso.
com.
3.
SharePoint此字符串将限制复制数据或将数据移出所有SharePoint列表.
定义不允许移动数据或将数据从中复制出来的帐户或Outlook数据文件(.
pst).
此注册表项可通过手动将其添加到用户的注册表或使用组策略中的"禁用在帐户间复制或移动项目"设置来部署.
或者,您可以通过在"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"帐户设置"\"Exchange"下启用"禁用在帐户间复制或移动项目"设置,在组策略中设置DisableCrossAccountCopy.
如果您的组织已部署DisablePST或PSTDisableGrow注册表项,它们将不会影响DisableCrossAccountCopy项的行为.
如果有用户不使用Outlook2010,可同时部署所有这三个项.
但对大多数组织而言,DisablePST和PSTDisableGrow注册表项是不必要的.
以下是限制将电子邮件复制或移出帐户或Outlook数据文件(.
pst)的方式列表:用户不能从受限帐户中将邮件拖放到另一个帐户或Outlook数据文件(.
pst).
用户不能使用"移动"菜单从受限帐户中将邮件复制或移动到另一个帐户或Outlook数据文件(.
pst).
使用自动存档时,已受限的所有帐户将无法存档数据.
在Backstage视图的"邮箱清除"菜单中,"存档"选项不会将受限帐户作为存档选项列出.
规则不会将邮件移出受限帐户.
用户将无法将邮件从受限帐户中导出.
"清理"功能不会删除受限帐户中电子邮件对话的冗余部分.
若要阻止用户从受限帐户中将邮件移动或复制到其计算机,您可以部署DisableCopyToFileSystem注册表项.
DisableCopyToFileSystem注册表项位于HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Outlook\.
注册表项类型值说明部署DisableCopyToFileSystemREG_MULTI_SZ可为此注册表项定义三个字符串值:1.
星号(*)将限制用户将邮件从任何帐户或Outlook数据文件(.
pst)移到计算机.
2.
要限制的电子邮件帐户的域名.
您可以指定希望限制的帐户的域.
例如,contoso.
com.
3.
SharePoint此字符串将限制将数据从所有SharePoint列表拖到计算机.
定义不允许将邮件拖到计算机的帐户或Outlook数据文件(.
pst).
此注册表项可通过将其手动添加到用户的注册表来部署.
另请参阅将邮箱置于保留挂起中了解法律挂起了解保留标记和保留策略:Exchange2010帮助了解个人存档:Exchange2010帮助规划Outlook2010中的安全和保护功能本节介绍MicrosoftOutlook2010中可以保护组织的电子邮件安全的功能.
本节内容:文章说明规划Outlook2010中的垃圾邮件限制讨论Outlook2010垃圾邮件筛选的工作原理,以及可为垃圾邮件筛选和自动图片下载配置的设置.
选择Outlook2010的安全和保护设置您可以在MicrosoftOutlook2010中自定义许多与安全相关的功能.
这包括如何强制实施安全设置,哪种ActiveX控件可以运行,自定义窗体安全设置和编程式安全设置.
您还可以针对、信息权限管理、垃圾邮件和加密自定义Outlook2010安全设置,这些内容包含在本文后面的其他设置中列出的其他文章中.
警告:默认情况下,Outlook被配置为使用高度安全相关设置.
高安全级别可能会导致Outlook功能受限,例如,对电子邮件文件类型的限制.
请注意,降低任何默认安全设置都可能会增加病毒执行或病毒传播的风险.
在修改这些默认设置之前,请务必谨慎,并阅读相关文档.
本文内容:概述指定如何在Outlook中强制实施安全设置Outlook2010中的管理员设置与用户设置的交互方式使用OutlookCOM加载项在Outlook2010中对ActiveX窗体和自定义窗体的安全性进行自定义在Outlook2010中自定义编程式设置其他设置概述默认情况下,Outlook被配置为使用高度安全相关设置.
高安全级别可能会导致Outlook功能受限,例如,对电子邮件文件类型的限制.
您可能需要降低您的组织的默认安全设置.
但是,请注意,降低任何默认安全设置都有可能增加病毒执行或传播的风险.
使用组策略或Outlook安全模板开始配置Outlook2010的安全设置之前,必须在组策略中配置"Outlook安全模式".
如果不设置"Outlook安全模式",Outlook2010将使用默认安全设置并忽略您所做的任何Outlook2010安全设置.
有关如何下载Outlook2010管理模板及有关其他Office2010管理模板的信息,请参阅Office2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTool(该链接可能指向英文页面).
有关组策略的详细信息,请参阅Office2010组策略概述和使用组策略在Office2010中强制启用设置.
指定如何在Outlook中强制实施安全设置与在MicrosoftOfficeOutlook2007中一样,您可以通过使用组策略配置Outlook2010的安全选项(推荐),或者通过使用Outlook安全模板来修改安全设置,还可以将设置发布到ExchangeServer公共文件夹中的顶级文件夹的窗体中.
除非您的环境中有OfficeOutlook2003或更早的版本,否则,我们建议您使用组策略来配置安全设置.
不论使用哪种方法,您都必须在组策略中启用"Outlook安全模式"设置并设置"Outlook安全策略"值.
如果不启用此设置,则将在产品中强制实施默认安全设置.
"Outlook安全模式"设置位于"用户配置\管理模板\MicrosoftOutlook2010\安全性\安全窗体"下的Outlook2010组策略模板(Outlk14.
adm)中.
当您启用"Outlook安全模式"设置时,您将具有四个Outlook安全策略选项,下表中对这四个选项进行了描述.
Outlook安全模式选项说明Outlook默认安全性Outlook将忽略在组策略中或使用Outlook安全模板配置的任何安全相关设置.
这是默设置.
使用Outlook安全组策略Outlook将使用组策略中的安全设置(推荐)使用"OutlookSecuritySettings"公用文件夹中的安全窗体Outlook将使用在指定的公用文件夹中发布的安全窗体中的设置.
使用"Outlook10SecuritySettings"公用文件夹中的安全窗体Outlook将使用在指定的公用文件夹中发布的安全窗体中的设置.
使用组策略自定义安全设置当您使用组策略来配置Outlook2010的安全设置时,请考虑以下因素:Outlook安全模板中的设置必须手动迁移到组策略.
如果您以前用Outlook安全模板来管理安全设置,而现在选择使用组策略在Outlook2010中强制实施设置,则必须将以前配置的设置手动迁移到对应的Outlook2010组策略设置中.
使用组策略配置的自定义设置不会立即生效.
您可以将组策略配置为:当用户已登录时,按您设定的频率在用户的计算机上自动刷新(在后台).
若要确保新组策略设置立即生效,用户必须注销并重新登录到其计算机.
Outlook仅在启动时检查安全设置.
如果在运行Outlook期间刷新了安全设置,则在用户关闭并重新启动Outlook之前不会使用新的配置.
在仅个人信息管理器(PIM)模式下,不会应用任何自定义设置.
在PIM模式下,Outlook将使用默认安全设置.
在此模式下,不需要也不使用任何管理员设置.
特殊环境在使用组策略来为Outlook2010配置安全设置时,请考虑您的环境中是否包含下表中显示的一个或多个应用场景.
应用场景问题用户使用托管ExchangeServer访问其邮箱如果用户通过托管ExchangeServer访问邮箱,则您可以使用Outlook安全模板来配置安全设置或者使用默认的Outlook安全设置.
在托管环境中,用户远程访问其邮箱;例如,通过使用虚拟专用网络(VPN)连接或使用OutlookAnywhere(RPCoverHTTP).
因为组策略是通过使用ActiveDirectory部署的,在此应用场景中,用户的本地计算机不是域的成员,因此无法应用组策略安全设置.
此外,通过使用Outlook安全模板来配置安全设置,用户可以自动接收安全设置的更新.
除非用户的计算机位于ActiveDirectory域中,否则用户无法接收组策略安全设置的更新.
用户在其计算机上具有管理权限在具有管理权限的用户登录时不会强制实施对组策略设置的限制.
具有管理权限的用户还可以在其计算机上更改Outlook安全设置,并可以删除或更改您所配置的限制.
不仅对于Outlook安全设置是这种情况,对于所有的组策略设置也是如此.
在组织打算为所有用户都实现标准的设置时,这虽然会成为一个问题,但还有以下缓解因素:在下次登录时组策略会覆盖本地更改.
当用户登录时,对Outlook安全设置的更改将恢复为组策略设置.
覆盖组策略设置将只影响本地计算机.
具有管理权限的用户只能影响自己计算机上的安全设置,不会影响其他计算机上的用户的安全设置.
没有管理权限的用户不能更改策略.
在这种情况下,组策略安全设置如同使用Outlook安全模板配置的设置一样安全.
用户使用OutlookWebApp访问Exchange邮箱Outlook和OutlookWebApp使用不同的安全模型.
OWA在ExchangeServer计算机上存储了单独的安全设置.
Outlook2010中的管理员设置与用户设置的交互方式用户在Outlook2010中定义的安全设置如同您作为管理员在组策略中配置的设置一样发挥作用.
当两者之间存在冲突时,具有更高安全级别的设置将覆盖具有较低安全级别的设置.
例如,如果您使用组策略安全设置"添加要作为级别1阻止的文件扩展名"创建要阻止的级别1文件扩展名列表,您的列表将覆盖Outlook2010随附的默认列表,并覆盖用户针对要阻止的级别1文件扩展名所做的设置.
即使您允许用户从排除文件类型的默认级别1组中删除文件扩展名,用户也无法删除已添加到列表中的文件类型.
例如,如果用户想要从级别1组中删除文件扩展名.
exe、.
reg和.
com,但您使用了"添加级别1文件扩展名"组策略设置将.
exe添加为级别1文件类型,则用户可以只从Outlook中的级别1组中删除.
reg和.
com文件.
使用OutlookCOM加载项应该对组件对象类型(COM)加载项进行编码,使其能够利用Outlook信任模型,在运行时不在Outlook2010中显示警告消息.
用户在访问使用加载项的Outlook功能时可能仍然会看到警告,例如,当他们将手持设备与其桌面计算机上的Outlook2010进行同步时.
但是,用户在Outlook2010中看到警告的可能性比在OfficeOutlook2003或更早版本中要小.
对象模型(OM)保护功能在OfficeOutlook2007和Outlook2010中已更新,该功能有助于阻止病毒使用Outlook通讯簿传播自身.
Outlook2010将查找最新的防病毒软件,以帮助确定何时显示通讯簿访问警告和其他Outlook安全警告.
无法使用Outlook安全窗体或组策略来修改OM保护.
但是,如果您使用默认的Outlook2010安全设置,则Outlook2010中安装的所有COM加载项都是默认受信任的.
如果您使用组策略自定义安全设置,则可以指定受信任的且在运行时不受Outlook对象模型阻止的COM加载项.
若要信任某个COM加载项,请在组策略设置中包含该加载项的文件名以及该文件的计算哈希值.
您必须先安装一个程序来计算哈希值,然后才能指定Outlook信任的加载项.
有关如何执行此操作的详细信息,请参阅管理Outlook2010的受信任加载项.
如果您通过ExchangeServer公用文件夹中发布的MicrosoftExchangeServer安全窗体强制实施了自定义的Outlook安全设置,则可以了解如何信任COM加载项.
在MicrosoftOffice2003资源工具包文章Outlook安全模板设置(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=75744&clcid=0x804)(该链接可能指向英文页面)中向下滚动到"'受信任的代码'选项卡"一节.
在将加载项包含到受信任的加载项列表中后,如果用户仍然看到安全提示,则必须协同COM加载项开发人员来解决此问题.
有关对受信任的加载项进行编码的详细信息,请参阅针对MicrosoftOutlookCOM加载项开发人员的重要安全说明(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=74697&clcid=0x804)(该链接可能指向英文页面).
在Outlook2010中对ActiveX窗体和自定义窗体的安全性进行自定义您可以为Outlook2010用户指定ActiveX窗体和自定义窗体安全设置.
自定义窗体安全设置包括用于更改Outlook2010如何限制脚本、自定义控件和自定义操作的选项.
自定义ActiveX控件在一次性窗体中的行为方式当Outlook接收到包含窗体定义的邮件时,该项目为一次性窗体.
为帮助阻止有害的脚本和控件在一次性窗体中运行,Outlook在默认情况下不在一次性窗体中加载ActiveX控件.
可以使用组策略Outlook2010模板(Outlk14.
adm)来锁定用于自定义ActiveX控件的设置.
或者,还可以使用Office自定义工具(OCT)来配置默认设置,在这种情况下,用户可以更改这些设置.
在组策略中,请使用"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"下的"允许ActiveX一次性窗体".
在OCT中,"允许ActiveX一次性窗体"设置位于OCT的"修改用户设置"页面中的相应位置.
有关OCT的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
启用"允许ActiveX一次性窗体"设置时,有三个选项可供选择,下表对这三个选项进行了介绍.
选项说明允许所有ActiveX控件允许所有ActiveX控件不受限制地运行.
仅允许安全控件只允许安全的ActiveX控件运行.
如果ActiveX控件是用验证码签名的,并且签名者列于受信任的发布者列表中,则证明ActiveX控件是安全的.
仅加载Outlook控件Outlook将仅加载下面的控件.
这些控件是唯一可在一次性窗体中使用的控件.
fm20.
dll中的控件MicrosoftOfficeOutlook富格式控件MicrosoftOfficeOutlook收件人控件MicrosoftOfficeOutlook视图控件如果您未配置这些选项中的任何一项,默认情况下将只加载Outlook控件.
对自定义窗体的安全设置进行自定义您可以通过使用组策略Outlook2010模板(Outlk14.
adm)来锁定设置以配置自定义窗体的安全性.
另外,还可以使用Office自定义工具(OCT)来配置默认设置,在这种情况下,用户可以更改设置.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOutlook2010\安全性\安全窗体设置\自定义窗体安全性"下.
OCT设置位于OCT的"修改用户设置"页上的相应位置.
下表中显示了您可以为脚本、自定义控件和自定义操作配置的设置:选项说明允许一次性Outlook窗体中的脚本在邮件中运行包含脚本和布局的窗体中的脚本.
如果用户收到包含脚本的一次性窗体,则会询问用户是否要运行该脚本.
设置Outlook对象模型自定义操作执行提示使用Outlook对象模型指定当程序试图运行自定义操作时所发生的情况.
可以创建自定义操作,以答复消息并绕过前面所述的编程式发送保护.
选择下列选项之一:提示用户使用户能够收到一条消息,并决定是否允许编程式发送访问.
自动批准始终允许编程式发送访问,且不显示消息.
自动拒绝始终拒绝编程式发送访问,且不显示消息.
根据计算机安全设置提示用户强制实施Outlook2010中的默认设置.
在Outlook2010中自定义编程式设置作为Outlook2010管理员,您可以配置编程式安全设置来管理对Outlook对象模型的限制.
通过Outlook对象模型,您可以以编程方式操作存储在Outlook文件夹中的数据.
注意:ExchangeServer安全模板包括用于协作数据对象(CDO)的设置.
但是,不支持在Outlook2010中使用CDO.
您可以使用组策略来为Outlook对象模型配置编程式安全设置.
在组策略中,加载Outlook2010模板(Outlk14.
adm).
组策略设置位于"用户配置\管理模板\MicrosoftOutlook2010\安全性\安全窗体设置\程序安全性"下.
无法通过使用Office自定义工具来配置这些设置.
以下是针对编程式设置的组策略选项的说明.
您可以为每个项目选择下列设置之一:提示用户用户收到一条消息,允许用户选择是允许还是拒绝该操作.
对于某些提示,用户可以选择允许或拒绝该操作且10分钟内不再提示.
自动批准Outlook自动批准来自任何程序的编程式访问请求.
此选项可能会造成重大漏洞,我们建议您不要选择该选项.
自动拒绝Outlook自动拒绝来自任何程序的编程式访问请求,并且用户不会收到提示.
根据计算机安全设置提示用户Outlook依赖于信任中心的"编程访问"部分中的设置.
这是默认行为.
下表显示了您可以为Outlook对象模型的编程式安全设置配置的设置.
选项说明配置访问通讯簿时的Outlook对象模型提示通过使用Outlook对象模型指定当程序试图访问通讯簿时会发生什么情况.
配置访问UserProperty对象的Formula属性时的Outlook对象模型提示指定当用户将"合并"或"公式"自定义字段添加到自定义窗体,并将其绑定到"地址信息"字段时,会发生什么情况.
通过执行此操作,可以使用代码获取"地址信息"字段的"值"属性,从而间接检索该字段的值.
配置执行"另存为"操作时的Outlook对象模型提示指定当程序试图以编程方式使用"另存为"命令保存项目时会发生什么情况.
在项目已保存时,恶意程序可能会搜索文件以查找电子邮件地址.
配置读取地址信息时的Outlook对象模型提示通过使用Outlook对象模型指定当程序试图访问收件人字段(如"收件人")时会发生什么情况.
配置响应会议和任务要求时的Outlook对象模型提示通过使用对任务请求和会议请求的"响应"方法指定当程序试图以编程方式发送邮件时,会发生什么情况.
此方法非常类似于电子邮件上的"发送"方法.
配置发送邮件时的Outlook对象模型提示通过使用Outlook对象模型指定当程序试图以编程方式发送邮件时,会发生什么情况.
其他设置下表列出了包含本文中未涉及的其他安全设置的文章.
功能相关资源ActiveX控件为Office2010规划ActiveX控件的安全设置规划Outlook2010中的设置加密规划Outlook2010中的电子邮件加密数字签名规划Office2010的数字签名设置垃圾邮件规划Outlook2010中的垃圾邮件限制信息权限管理规划Office2010中的信息权限管理受保护的视图规划Office2010的"受保护的视图"设置另请参阅规划Office2010的安全性规划Outlook2010中的设置在MicrosoftOutlook2010中,您可以指定Outlook项目的(例如电子邮件或约会)被限制在基于的文件类型.
文件类型可以有级别1或级别2限制.
您还可以配置用户可对限制执行哪些操作.
例如,您可以允许用户将一组文件类型的限制从级别1(用户不能查看文件)更改为级别2(用户可以在将文件保存到磁盘后打开它).
注意:若要强制实施设置,您必须先使用组策略配置Outlook2010用于强制实施安全设置的方法.
有关如何设置Outlook2010方法来强制实施安全设置的信息,请参阅选择Outlook2010的安全和保护设置中的指定如何在Outlook中强制实施安全设置.
本文面向Outlook管理员.
若要了解有关某些Outlook被阻止的原因的更多信息,请参阅阻止您讨厌的Outlook功能(http://go.
microsoft.
com/fwlink/linkid=81268&clcid=0x804).
若要了解如何共享受限文件类型的文件,请参阅Outlook中的阻止(http://go.
microsoft.
com/fwlink/linkid=188575&clcid=0x804).
本文内容:概述添加或删除级别1文件扩展名添加或删除级别2文件扩展名配置额外的文件限制概述对于Outlook2010中的项目(例如电子邮件或约会)的某些的访问权限是受到限制的.
具有特定文件类型的文件可以分为级别1(用户不能查看文件)或级别2(用户可以在将文件保存到磁盘后打开它).
默认情况下,Outlook2010将几种文件类型归类为级别1,并阻止用户接收具有那些扩展名的文件.
例如,.
cmd、.
exe和.
vbs文件扩展名.
作为管理员,您可以使用组策略管理如何对文件类型进行分类以进行电子邮件阻止.
例如,您可以将文件类型分类从级别1改为级别2,或创建级别2文件类型的列表.
默认情况下,没有级别2文件类型.
您可以使用组策略和Outlook2010模板(Outlk14.
adm)配置Outlook2010安全设置.
大多数安全设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"\"安全窗体设置"\"安全"下.
阻止用户自定义安全设置以及对从内部发件人接收的使用受保护的视图的设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"下.
安全设置不能使用Office自定义工具(OCT)来配置.
有关受保护的视图的详细信息,请参阅规划Office2010的"受保护的视图"设置.
有关如何下载Outlook2010管理模板及有关其他Office2010管理模板的信息,请参阅Office2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTool(该链接可能指向英文页面).
有关组策略的详细信息,请参阅Office2010组策略概述和使用组策略在Office2010中强制启用设置.
添加或删除级别1文件扩展名级别1文件对于用户是隐藏的.
用户不能打开、保存或打印级别1.
(如果您指定用户可以将级别1降到级别2,级别2限制应用于文件.
)如果用户收到包含被阻止的电子邮件或约会,项目顶部的信息栏显示被阻止文件的列表.
(信息栏不在自定义表单上显示.
)当您从级别1列表中删除一个文件类型时,具有该文件类型的就不再被阻止.
有关级别1文件类型的默认列表,请参阅AttachmentfiletypesrestrictedbyOutlook2010(该链接可能指向英文页面).
通过下表中的设置您可以在默认列表中添加或删除级别1文件类型.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"\"安全表单设置"\"安全"下.
这些设置不能使用OCT配置.
选项说明添加作为级别1阻止的文件扩展名指定您要添加到级别1文件列表的文件类型(通常是三个字母).
不要在每个文件扩展名前面输入句点.
如果您输入了多个文件扩展名,请用分号分隔它们.
删除作为级别1阻止的文件扩展名指定您要从级别1文件列表中删除的文件类型(通常是三个字母).
不要在每个文件类型前面输入句点.
如果您输入了多个文件类型,请用分号分隔它们.
添加或删除级别2文件扩展名对于级别2文件类型,用户需要先将文件保存到硬盘,然后才能打开该文件.
级别2文件不能直接从项目中打开.
当您从级别2列表中删除文件类型时,文件就变成可以在Outlook2010中打开、保存和打印的正常文件类型.
对于这样的文件没有限制.
通过下表中的设置您可以在默认列表中添加或删除级别2文件类型.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"\"安全表单设置"\"安全"下.
这些设置不能使用OCT配置.
选项说明添加作为级别2阻止的文件扩展名指定您要添加到级别2文件列表的扩展名(通常是三个字母).
不要在每个文件扩展名前面输入句点.
如果您输入了多个文件扩展名,请用分号分隔它们.
删除作为级别2进行阻止的文件扩展名指定您要在级别2文件列表中删除的扩展名(通常是三个字母).
不要在每个文件扩展名前面输入句点.
如果您输入了多个文件扩展名,请用分号分隔它们.
配置额外的文件限制下表中的设置是您可以在组策略中为配置的额外设置.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"\"安全表单设置"\"安全"下.
这些设置不能使用OCT配置.
选项说明显示级别1允许用户首先将保存到磁盘,然后再打开它们,以此方式访问具有级别1文件类型的所有(与级别2一样).
允许用户将降级到级别2允许用户创建从级别1降到级别2的文件扩展名的列表.
如果您没有配置此组策略设置,Outlook中的默认行为将忽略用户的列表.
用户在其中创建要降级的文件类型列表的注册表项是:HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Outlook\Security\Level1Remove.
在该注册表项中,用户指定要从级别1文件列表中删除的文件扩展名(通常是三个字母),用分号分隔.
不在发送项目时对级别1进行提示在用户发送包含级别1的项目时阻止用户接收警告.
此选项只影响警告.
项目被发送后,根据其安全设置,收件人可能无法查看或访问.
如果您希望用户能够将项目发送到一个公共文件夹,但不接收此提示,您必须启用此设置和"不在关闭项目时对级别1进行提示"设置.
不在关闭项目时对级别1进行提示在用户关闭包含级别1的电子邮件、约会或其他项目时阻止用户接收警告.
此选项只影响警告.
项目被关闭后,用户不能查看或获得对的访问权限.
如果您希望用户能够将项目发送到一个公共文件夹,但不接收此提示,您必须启用此设置和"不在发送项目时对级别1进行提示"设置.
显示OLE包对象显示已打包的OLE对象.
包是代表嵌入或链接的OLE对象的图标.
当您双击包时,用于创建对象的程序将播放对象(例如,如果对象是声音文件)或者打开并显示对象.
允许Outlook显示OLE包对象可能会引起问题,因为图标能够很轻易地被更改并用于隐藏恶意文件.
下表中的设置位于组策略的"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全"下.
这些设置不能使用OCT配置.
操作说明阻止用户自定义安全设置启用此设置时,用户不能自定义允许在Outlook中作为的文件类型的列表,无论如何配置其他Outlook安全设置.
对从内部发件人接收的使用受保护的视图启用此设置时,从您的组织内部的发件人收到的在受保护的视图中打开.
此设置仅应用于连接到MicrosoftExchangeServer计算机的MicrosoftOutlook帐户.
另请参阅选择Outlook2010的安全和保护设置AttachmentfiletypesrestrictedbyOutlook2010(该链接可能指向英文页面)规划Office2010的"受保护的视图"设置规划Outlook2010中的电子邮件加密MicrosoftOutlook2010支持可帮助用户发送和接收加密电子邮件的安全相关功能.
这些功能包括加密的电子邮件传送、安全标签和签名回执.
注意:要在MicrosoftOutlook中获得完整的安全功能,您必须以本地管理权限安装Outlook2010.
本文内容:关于Outlook2010中的加密邮件传送功能管理加密的数字标识安全标签和签名回执配置Outlook2010的加密设置配置其他加密设置关于Outlook2010中的加密邮件传送功能Outlook2010支持加密的邮件传送功能,该功能使得用户能够执行以下操作:对电子邮件进行数字签名.
数字签名提供对内容的认可和验证(确保邮件中包含发件人发送的内容,未作任何更改).
对电子邮件进行加密.
加密功能使邮件仅供目标收件人阅读,其他任何人都无法阅读,从而有助于确保隐私.
可以配置其他功能以实现安全性增强的邮件传送.
如果您的组织支持这些功能,则安全性增强的邮件传送可以使用户实现以下操作:发送使用回执请求的电子邮件.
这有助于确保收件人验证用户的数字签名(用户应用于邮件的证书).
为电子邮件添加安全标签.
您的组织可能会创建自定义的S/MIMEV3安全策略,用于向电子邮件添加标签.
S/MIMEV3安全策略是您添加到Outlook的代码.
它向邮件头添加有关邮件敏感性的信息.
有关详细信息,请参阅本文后面的安全标签和签名回执.
Outlook2010如何实现加密的邮件传送Outlook2010加密模型使用公钥加密来发送和接收经过签名和加密的电子邮件.
Outlook2010支持S/MIMEV3安全功能,借助于该功能,用户可以通过Internet和Intranet与其他S/MIME电子邮件客户端交换安全性增强的电子邮件.
由用户的公钥加密的电子邮件只能使用相关联的私钥解密.
也就是说,当用户发送加密的电子邮件时,收件人的证书(公钥)对该邮件进行加密.
当用户阅读加密的电子邮件时,用户的私钥对该邮件进行解密.
在Outlook2010中,要求用户必须具有安全配置文件才能使用加密功能.
安全配置文件是描述用户发送使用加密功能的邮件时所使用的证书和算法的一组设置.
在下列情况下,如果配置文件尚不存在,会自动配置安全配置文件:用户的计算机上具有用于加密的证书.
用户开始使用某项加密功能.
您可以提前为用户自定义这些安全设置.
可以使用注册表设置或组策略设置来自定义Outlook以满足您的组织的加密策略,并在安全配置文件中配置(和强制执行,使用组策略时)您需要的设置.
这些设置将在本文后面的配置Outlook2010的加密设置中介绍.
数字标识:公钥/私钥和证书的组合S/MIME功能依赖于数字标识(亦称数字证书).
数字标识将用户标识与一个公钥/私钥对相关联.
证书与公钥/私钥对的组合称为数字标识.
私钥可以保存在安全性增强的存储区中,例如Windows证书存储区中、用户的计算机上或智能卡上.
Outlook2010完全支持X.
509v3标准,这需要由证书颁发机构(例如,运行ActiveDirectory证书服务的WindowsServer2008计算机,或者某个公共证书颁发机构,如VeriSign)在组织中创建公钥和私钥.
要了解哪种选择最适于您的组织,请参阅规划Office2010的数字签名设置中的数字证书:自签名或者由CA颁发.
用户可以通过基于Web的公共证书颁发机构(例如VeriSign和MicrosoftCertificateServices)获取数字标识.
有关用户如何获取数字标识的详细信息,请参阅Outlook帮助主题获取数字标识(http://go.
microsoft.
com/fwlink/linkid=185585&clcid=0x804).
作为管理员,您可以为一组用户提供数字标识.
数字标识的证书过期后,用户通常必须从证书颁发机构获取更新的证书.
如果您的组织依赖于WindowsServer2003证书颁发机构(CA)或WindowsServer2008中的ActiveDirectory证书服务(ADCS)来获取证书,则Outlook2010会自动为用户管理证书的更新.
管理加密的数字标识Outlook2010为用户提供了管理其数字标识(即,用户的证书与公用和私有加密密钥组的组合)的方法.
数字标识允许用户交换加密的邮件,因而有助于保护用户的电子邮件的安全.
管理数字标识包括以下方面:获取数字标识.
有关用户如何获取数字标识的详细信息,请参阅Outlook帮助主题获取数字标识(http://go.
microsoft.
com/fwlink/linkid=185585&clcid=0x804).
存储数字标识,以便您可以将该标识移动到另一台计算机或使其可供其他用户使用.
向其他用户提供数字标识.
将数字标识导出到文件.
当用户创建备份或移动到新计算机时非常有用.
将数字标识从文件导入到Outlook.
数字标识文件可能是用户的备份副本,也可能包含来自另一个用户的数字标识.
续订已过期的数字标识.
在多台计算机上执行加密邮件传送的用户必须将其数字标识复制到每台计算机.
数字标识的存储位置可以在以下三个位置中存储数字标识:MicrosoftExchange全局通讯簿由CA或ADCS生成的证书自动发布在全局地址列表(GAL)中.
外部生成的证书可以手动发布到全局通讯簿中.
若要在Outlook2010中执行此操作,请在"文件"选项卡上,单击"选项",再单击"信任中心".
在"MicrosoftOutlook信任中心"下,单击"信任中心设置".
在"电子邮件安全性"选项卡上的"数字标识(证书)"下,单击"发布到全球通讯簿"按钮.
轻型目录访问协议(LDAP)目录服务外部目录服务、证书颁发机构或其他证书提供商可以通过LADP目录服务发布其用户的证书.
Outlook允许通过LDAP目录访问这些证书.
MicrosoftWindows文件可以在用户计算机上存储数字标识.
用户可将其数字标识从Outlook2010导出到文件.
为此,请在"文件"选项卡上,单击"选项",然后单击"信任中心".
在"MicrosoftOutlook信任中心"下,单击"信任中心设置".
在"电子邮件安全性"选项卡上的"数字标识(证书)"下,单击"导入/导出"按钮.
用户在创建文件时可以通过提供密码来加密该文件.
向其他用户提供数字标识.
如果用户想要与其他用户交换加密的电子邮件,他们必须具有彼此的公钥.
用户可以通过证书提供对其公钥的访问权限.
向其他用户提供数字标识的方法有多种,包括以下几种:使用证书对电子邮件进行数字签名用户通过撰写电子邮件并使用证书对邮件进行数字签名,为其他用户提供其公钥.
当Outlook用户收到签名的邮件时,他们可以右键单击"发件人"行上的用户名称,然后单击"添加到联系人".
地址信息和证书将保存到Outlook用户的联系人列表中.
使用目录服务(如MicrosoftExchange全局通讯簿)提供证书.
对用户来说,另一种可选的方法是,在发送加密的电子邮件时自动从标准LDAP服务器上的LDAP目录中检索其他用户的证书.
若要以该方式访问证书,用户必须在S/MIMET安全系统中注册其电子邮件帐户的数字标识.
用户还可以从全局通讯簿获取证书.
导入数字标识用户可以从文件中导入数字标识.
此功能在某些情况下非常有用,例如,当用户想要从一台新计算机发送加密的电子邮件时.
用户从其上发送加密电子邮件的每台计算机都必须安装用户的证书.
用户可将其数字标识从Outlook2010导出到文件.
为此,请在"文件"选项卡上,单击"选项",然后单击"信任中心".
在"MicrosoftOutlook信任中心"下,单击"信任中心设置".
在"电子邮件安全性"选项卡上的"数字标识(证书)"下,单击"导入/导出"按钮.
续订密钥和证书每个证书和私钥都关联有一个时间限制.
当由CA或ADCS提供的密钥到达指定时间段的末期时,Outlook将显示一条警告消息并提议续订密钥.
Outlook提示用户,提议代表每个用户向服务器发送续订消息.
如果用户在证书过期之前没有选择续订证书,或者他们使用另一个证书颁发机构(而不是CA或ADCS中的),那么用户必须与该证书颁发机构联系以续订证书.
安全标签和签名回执Outlook2010支持与安全标签和签名回执有关的S/MIMEV3增强型安全服务(ESS)扩展.
这些扩展有助于您在自己的组织内部提供安全性增强的电子邮件通信,并对安全性进行自定义以使其满足您的需求.
如果您的组织开发并提供了S/MIMEV3安全策略来添加自定义安全标签,则安全策略中的代码可以强制将安全标签附加到电子邮件中.
下面是安全标签的两个示例:可以将"仅供内部使用"标签实施为一个安全标签,以应用于不应发送或转发到公司外部的电子邮件.
标签可以指定特定收件人不能转发或打印邮件(如果收件人也安装了安全策略).
用户还可以随邮件发送安全性增强的回执请求,以验证收件人是否能够识别用户的数字签名.
当收到并保存邮件(即使尚未阅读邮件)且验证签名后,将向用户的收件箱返回一条表明邮件已被阅读的回执.
如果用户的签名没有通过验证,则不会发送任何回执.
当返回回执时,因为回执也是经过数字签名的,所以您可以确认用户已收到邮件并且验证了邮件.
配置Outlook2010的加密设置您可以使用Outlook2010组策略模板(Outlook14.
adm)控制Outlook2010加密功能的许多方面,以帮助您的组织配置更安全的邮件传送和邮件加密.
例如,您可以配置一个组策略设置以要求所有传出邮件上必须具有安全标签,也可以配置一个设置以禁止向全局地址列表进行发布.
您还可以使用Office自定义工具(OCT)来配置默认设置,这将允许用户更改设置.
另外,有一些加密配置选项只能使用注册表项设置来配置.
有关如何下载Outlook2010管理模板及有关其他Office2010管理模板的信息,请参阅Office2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTool(该链接可能指向英文页面).
有关组策略的详细信息,请参阅Office2010组策略概述和使用组策略在Office2010中强制启用设置.
有关OCT的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
您可以锁定下表中的设置以自定义加密.
在OCT中,在"修改用户设置"页上,这些设置位于"MicrosoftOutlook2010\安全性\加密"下.
在组策略中,这些设置位于"用户配置\管理模板\MicrosoftOutlook2010\安全性\加密"下.
加密选项说明始终在S/MIME邮件中使用TNEF格式始终为S/MIME邮件使用传输中性封装格式(TNEF)而不是使用用户指定的格式.
不根据正在使用的证书地址检查电子邮件地址不使用加密或签名时所用证书的地址来验证用户的电子邮件地址.
不显示"发布到全球通讯簿"按钮禁用信任中心的"电子邮件安全性"页上的"发布到全球通讯簿"按钮.
在"加密"警告对话框中不提供"继续"按钮禁用加密设置警告对话框上的"继续"按钮.
用户将无法按"继续"来发送邮件.
启用加密图标在Outlook用户界面(UI)上显示Outlook加密图标.
加密所有电子邮件加密传出电子邮件.
确保所有S/MIME签名邮件都具有标签要求所有S/MIME签名邮件都具有安全标签.
在Outlook2010中,用户可以向电子邮件附加标签.
要执行此操作,在"选项"选项卡上,在"其他选项"组中的"安全性"下,单击"安全设置"按钮.
在"安全属性"对话框中,选择"为此邮件添加数字签名".
在"策略"的"安全标签"下,选择一个标签.
Fortezza证书策略输入证书的策略扩展名中所允许的表示该证书是Fortezza证书的策略列表.
列出由分号分隔的策略.
邮件格式选择支持的邮件格式:S/MIME(默认)、Exchange、Fortezza,或者这些格式的组合.
Outlook找不到用于为邮件解码的数字标识时显示的消息输入要向用户显示的消息(最多255个字符).
最小加密设置设置加密的电子邮件的最小密钥长度.
如果用户试图使用小于最小加密密钥设置值的加密密钥发送邮件,Outlook将显示一条警告消息.
用户仍然可以选择忽略此警告并使用最初选择的加密密钥发送邮件.
答复或转发的已签名/加密的邮件是已签名/加密的启用此选项可以在对签名或加密邮件进行答复或转发时打开签名/加密功能,即使没有为用户配置S/MIME也是如此.
要求对所有S/MIME签名邮件提供S/MIME回执对传出的签名电子邮件请求安全性增强的回执.
要求S/MIME操作使用SuiteB算法仅对S/MIME操作使用Suite-B算法.
要求的证书颁发机构设置要求的证书颁发机构(CA)的名称.
设置某个值后,Outlook不允许用户使用其他CA的证书对电子邮件进行签名.
以FIPS兼容模式运行要求Outlook以FIPS140-1模式运行.
SS/MIME与外部客户端的互操作性:指定用于处理S/MIME邮件的行为:内部处理、外部处理或可能时处理.
S/MIME回执请求行为指定一个选项以确定如何处理S/MIME回执请求:无法发送回执时打开邮件无法发送回执时不打开邮件发送回执前始终提示从不发送S/MIME回执以明文签署邮件方式发送所有邮件以明文发送签名电子邮件.
对所有电子邮件进行签名要求所有传出电子邮件上都具有数字签名.
签名警告指定一个选项以确定何时向用户显示签名警告:让用户决定是否需要警告.
此选项强制实施默认配置.
始终对无效签名发出警告.
从不对无效签名发出警告.
S/MIME证书的URL提供用户可以从其获取S/MIME回执的URL.
该URL可以包含三个变量(%1、%2和%3),将分别替换为用户的姓名、电子邮件地址和语言.
当为"S/MIME证书的URL"指定了值时,请使用下列参数将用户的相关信息发送到注册网页.
参数URL字符串中的占位符用户的显示名称%1SMTP电子邮件名称%2用户界面语言ID%3例如,若要将用户信息发送到Microsoft注册网页,请将"S/MIME证书的URL"项设置为以下值,包括参数:www.
microsoft.
com/ie/certpage.
htmname=%1&email=%2&helplcid=%3例如,如果用户姓名为JeffSmith,电子邮件地址为someone@example.
com,并且用户界面语言ID为1033,那么将按如下方式解析占位符:www.
microsoft.
com/ie/certpage.
htmname=Jeff%20Smith&email=someone@example.
com&helplcid=1033下表中的设置位于组策略中的"用户配置\管理模板\MicrosoftOutlook2010\安全性\加密\签名状态"对话框下.
OCT设置位于OCT的"修改用户设置"页上的相应位置.
加密选项说明安全临时文件夹指定安全临时文件夹的文件夹路径.
这将覆盖默认路径,我们建议不要采用.
如果您必须为Outlook使用特定文件夹,我们建议您采用如下方式:使用本地目录(以实现最佳性能).
将文件夹放到TemporaryInternetFiles文件夹中(这样可以受益于该文件夹的增强安全性).
采用独特的文件夹名称,使其难以猜测.
缺少CRL指定当缺少证书吊销列表(CRL)时Outlook的响应:警告(默认)或显示错误.
数字证书包含一个表示对应的CRL所处位置的属性.
CRL包含由证书的控制认证颁发机构(CA)撤消的数字证书的列表,通常是因为这些证书颁发有误或者其相关私钥受到了安全威胁.
如果CRL缺失或不可用,则Outlook无法确定证书是否已撤消.
因此,它可能会使用颁发有误或受到安全威胁的证书来访问数据.
缺少根证书指定当缺少根证书时Outlook的响应:既非错误也非警告(默认)、警告或显示错误.
将级别2错误升级为错误而不是警告指定Outlook对级别2错误的响应:显示错误或警告(默认).
可能发生级别2错误的情况包括以下几种:未知签名算法找不到签名证书无效的属性集找不到颁发者证书找不到CRLCRL已过期根信任问题CTL已过期检索CRL(证书吊销列表)指定检索到CRL列表时Outlook的行为方式:使用系统默认设置.
Outlook依赖于为操作系统配置的CRL下载计划.
联机时始终检索CRL.
此选项是Outlook中的默认配置.
从不检索CRL.
配置其他加密设置下节提供了有关加密配置选项的其他信息.
常规加密的安全策略设置下表显示了您可以用于自定义配置的其他Windows注册表设置.
这些注册表设置位于HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default中.
没有对应的组策略.
注册表项类型值说明ShowWithMultiLabelsDWORD0、1设置为0可在签名层在不同签名中具有不同标签集时尝试显示一条消息.
设置为1可禁止显示消息.
默认值为0.
CertErrorWithLabelDWORD0、1、2设置为0会在邮件具有标签时处理其证书出错的邮件.
设置为1会拒绝访问其证书出错的邮件.
设置为2会忽略邮件标签并授予访问邮件的权限.
(用户仍然可以看到证书错误).
默认值为0.
另请参阅规划Outlook2010中的安全和保护功能规划Office2010的安全性规划Office2010的数字签名设置获取数字标识规划Outlook2010中的垃圾邮件限制本文讨论Outlook2010垃圾邮件筛选器的工作原理,以及可为垃圾邮件筛选器和自动图片下载配置哪些设置以满足组织的需要.
本文适用于Outlook管理员.
若要配置计算机上的Outlook垃圾邮件选项,请参阅垃圾邮件筛选(http://go.
microsoft.
com/fwlink/linkid=81371&clcid=0x804).
本文内容:概述支持的帐户类型ExchangeServer中的支持配置垃圾邮件筛选器用户界面配置自动图片下载概述MicrosoftOutlook2010中包含的功能可帮助用户避免接收和阅读垃圾邮件,其中包括垃圾邮件筛选器和禁止自动下载来自外部服务器的内容的功能.
自动图片下载设置可自动阻止下载电子邮件中的图片、声音和来自外部服务器的其他内容,有助于减少激活电子邮件中的Web信号的风险.
默认情况下自动内容下载处于禁用状态.
注意:Outlook2010会自动保存您选择从Internet下载的活动内容.
与OfficeOutlook2007和早期版本相似,Outlook2010在下载可用作Web信号的活动内容之前也会进行提示.
但是,与OfficeOutlook2007和早期版本不同的是,当您关闭项目时,该应用程序不会提示您保存更改,而是自动保存下载的内容.
垃圾邮件筛选器可帮助用户避免阅读垃圾邮件.
默认情况下,该筛选器是打开的且保护级别设置为低;这种设计是为了筛选出最明显的垃圾邮件.
该筛选器替代了早期版本的Outlook(早于MicrosoftOfficeOutlook2003)中用于处理垃圾邮件的规则.
除了自动阻止或接收与特定发件人之间发送和接收的邮件的筛选列表之外,该筛选器可结合软件内置的技术来评估电子邮件,以确定其是否有可能是垃圾邮件.
垃圾邮件筛选包含两个部分:三个垃圾邮件筛选列表:安全发件人、安全收件人和阻止发件人.
垃圾邮件筛选器,它可以基于几种因素评估是否应将未读邮件视为垃圾邮件,这些因素包括邮件内容以及发件人是否包含在垃圾邮件筛选器列表中.
垃圾邮件筛选器的所有设置都存储在每位用户的Outlook配置文件中.
您可以使用组策略覆盖配置文件设置,或者可以使用Office自定义工具(OCT)设置默认垃圾邮件筛选器配置.
系统为部分Outlook2010帐户类型提供了垃圾邮件筛选器.
下面的支持的帐户类型部分列出了具体的类型.
该筛选器最适用于MicrosoftExchangeServer2003或更高版本.
请注意,ExchangeServer2003是可与Outlook2010配合使用的ExchangeServer的最早版本.
当Outlook用户升级到Outlook2010时,除非您向用户部署新的列表,否则会保留现有垃圾邮件筛选器列表.
支持的帐户类型Outlook2010支持以下帐户类型的垃圾邮件筛选:缓存Exchange模式下的MicrosoftExchangeServer电子邮件帐户邮件传递到个人Outlook数据文件(.
pst)的MicrosoftExchangeServer电子邮件帐户HTTP帐户POP帐户WindowsLiveHotmail帐户IMAP帐户Outlook2010垃圾邮件筛选器不支持以下帐户类型:联机模式下的MicrosoftExchangeServer电子邮件帐户第三方MAPI提供程序ExchangeServer中的支持如果用户使用缓存Exchange模式或下载到个人Outlook数据文件(.
pst),则可在任意计算机上使用的垃圾邮件筛选器列表还可供服务器用于评估邮件.
这意味着,如果发件人是用户的阻止发件人名单中的成员,则来自该发件人的邮件将移到服务器上的垃圾邮件文件夹,而且Outlook2010不会对此邮件做出评估.
此外,Outlook2010还可使用垃圾邮件筛选器来评估电子邮件.
配置垃圾邮件筛选器用户界面您可以为用户指定一些选项来配置垃圾邮件筛选器的工作方式,这些选项包括:设置垃圾邮件筛选保护级别.
永久删除可疑的垃圾邮件或将邮件移动到垃圾邮件文件夹.
信任来自用户联系人的电子邮件.
垃圾邮件筛选器的默认值旨在为用户提供一种积极的体验.
但是,您可以在向组织部署Outlook2010时将这些设置配置为不同的默认值并设置其他选项和策略.
垃圾邮件设置只需设置一次.
当用户首次启动Outlook2010时,会在用户选择的配置文件中配置这些设置.
用户所具有的或以后可能创建的其他配置文件不包含您已经配置的设置,而是会使用默认的设置.
垃圾邮件筛选器设置的默认值包括:垃圾邮件保护级别:设置为"低"永久删除垃圾邮件:设置为"关闭"信任来自联系人的电子邮件:设置为"关闭"您可以使用OCT配置这些选项以为用户指定默认值,或者可通过组策略实施这些选项.
有关如何配置垃圾邮件筛选器选项的信息,请参阅在Outlook2010中配置垃圾邮件设置.
重要您可以为Outlook2010垃圾邮件筛选器配置以下设置.
在OCT中的"修改用户设置"页上,这些设置位于"MicrosoftOutlook2010"\"Outlook选项"\"首选项"\"垃圾邮件"下面.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"Outlook选项"\"首选项"\"垃圾邮件"下面.
垃圾邮件选项说明将电子邮件收件人添加到用户的"安全发件人列表"自动将所有电子邮件收件人添加到用户的"安全发件人列表"中.
隐藏垃圾邮件用户界面在组策略中禁用垃圾邮件筛选功能并隐藏Outlook中的相关设置.
在电子邮件地址中隐藏有关可疑域名的警告启用在电子邮件地址中隐藏有关可疑域名的警告.
垃圾邮件导入列表OCT中的选项.
您必须启用此设置才能启用在OCT或组策略中配置的其他垃圾邮件设置.
垃圾邮件保护级别为用户选择垃圾邮件保护级别:无保护、低、高、仅受信任列表.
覆盖或追加垃圾邮件导入列表将默认设置从覆盖垃圾邮件导入列表更改为追加到列表中.
永久删除垃圾邮件永久删除可疑的垃圾邮件,而不是将其移动到"垃圾邮件"文件夹中.
指定阻止的发件人名单的路径指定一个包含电子邮件地址列表的文本文件,以追加到"阻止的发件人名单"中或覆盖"阻止的发件人名单".
指定安全收件人列表的路径指定一个包含电子邮件地址列表的文本文件,以追加到"安全收件人列表"中或覆盖"安全收件人列表".
指定安全发件人列表的路径指定一个包含电子邮件地址列表的文本文件,以追加到"安全发件人列表"中或覆盖"安全发件人列表".
信任来自联系人的电子邮件信任用户的"联系人"文件夹中包含的电子邮件地址.
部署默认垃圾邮件筛选器列表您可以为用户部署默认垃圾邮件筛选列表.
垃圾邮件筛选可使用如下列表:安全发件人列表从列表所列电子邮件地址或者从包含列表所列域名的任何电子邮件地址收到的电子邮件永远不会被视为垃圾邮件.
安全收件人列表发送到列表所列电子邮件地址或者包含列表所列域名的任何电子邮件地址的电子邮件永远不会被视为垃圾邮件.
阻止的发件人名单从列表所列电子邮件地址或者从包含列表所列域名的任何电子邮件地址收到的电子邮件始终都会被视为垃圾邮件.
如果某个域名或电子邮件地址同时为阻止的发件人名单和安全发件人列表中的成员,则安全发件人列表优先于阻止的发件人名单.
这样可降低用户需要的邮件被错误地视为垃圾邮件的风险.
这些名单存储在Exchange服务器上,可供漫游用户使用.
若要部署垃圾邮件筛选器列表,可在测试计算机上创建列表并向您的用户分发列表.
您可以通过将列表放在网络共享上来分发列表,或者,如果您具有未连接到域的远程用户,则可以使用OCT通过"添加文件"选项来添加文件.
您提供的列表为默认列表.
如果您使用组策略部署列表,则用户可以在其Outlook会话中更改列表.
当用户重启Outlook时,组策略默认情况下将追加列表,或者,如果您启用了"覆盖或追加垃圾邮件导入列表",则其更改将被您部署的原始列表所覆盖.
有关如何创建和部署默认列表的信息,请参阅在Outlook2010中配置垃圾邮件设置.
配置自动图片下载HTML格式的邮件通常包括图片或声音.
有时邮件中不包含这些图片或声音,但在打开或预览该电子邮件时,将从某个Web服务器上下载这些图片或声音.
这通常是由合法发件人设定的,目的是避免发送特别大的邮件.
但是,垃圾邮件发件人可以使用外部服务器内容链接在电子邮件中包含Web信号,当用户阅读或预览该邮件时,此信号将通知Web服务器.
Web信号通知向垃圾邮件发件人确认用户的电子邮件地址,这可能会导致向用户发送更多垃圾邮件.
此功能不会自动下载图片或其他内容,而且还可以帮助用户避免查看潜在的不良资料(在链接到邮件的外部内容中),如果用户采用低带宽连接,则还可以帮助用户确定是否能够保证有足够的时间和带宽来下载图像.
通过单击邮件头下面的信息栏或用鼠标右键单击被阻止的图像,用户可以在邮件中查看被阻止的图片或内容.
默认情况下,Outlook2010不自动下载图片或其他内容,但在外部内容来自受信任的站点区域中的网站,或来自安全发件人列表中指定的地址或域时除外.
您可以更改此行为,以便自动下载或自动阻止任何区域(受信任的站点、本地Intranet和Internet)中的内容.
您可以为自动图片下载配置以下设置.
在OCT中的"修改用户设置"页上,这些设置位于"MicrosoftOutlook2010"\"安全性"\"自动图片下载设置"下面.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOutlook2010"\"安全性"\"自动图片下载设置"下面.
自动图片下载选项说明自动下载来自安全发件人列表和安全收件人列表中的某人的电子邮件内容启用此选项可以在电子邮件来自用户安全发件人列表中的某人或发给用户安全收件人列表中的某人时自动下载内容.
阻止受信任区域禁用此选项可以在自动图片下载安全区域中添加受信任区域.
在HTML电子邮件中显示图片和外部内容启用此选项可以在HTML邮件中自动显示外部内容.
不允许下载安全区域中的内容禁用此选项可以自动下载安全区域(如受信任区域、Internet和Intranet设置所定义的安全区域)网站中的内容.
在自动图片下载安全区域中包含Internet自动下载所有Internet电子邮件的图片.
在自动图片下载安全区域中包含Intranet自动下载所有Intranet电子邮件的图片.
有关如何配置自动图片下载的信息,请参阅在Outlook2010中配置垃圾邮件设置.
另请参阅在Outlook2010中配置垃圾邮件设置PlanforspellingcheckersettingsinOffice2010(该链接可能指向英文页面)Dependingonyourobjectives,youcanuseeitherGroupPolicyortheOfficeCustomizationTool(OCT)tomanagethebehaviorofspellingcheckerinOffice2010.
Todeterminewhichofthesetoolstouse,youmustdecidewhetherornotyouwantuserstobeabletochangeyourconfigurations:GroupPolicyenablesyoutosetpolicies,whichareconfigurationsthatuserscannotchange.
TheOCTenablesyoutosetpreferences,whichareconfigurationsthatuserscanchangethroughtheuserinterface(UI).
PreferencesaredeployedduringOffice2010setup.
TheOffice2010GroupPolicyandOCTsettingsareavailableintheOffice2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTool(http://go.
microsoft.
com/fwlink/LinkID=189316)downloadpackage.
ThedownloadpackagealsocontainsanExcel2010workbook("Office2010GroupPolicyAndOCTSettings.
xls")thathasmoreinformationaboutthesettings.
Itincludesregistryinformationthatcanbeusefulifyouwanttoconfigurespellingcheckeroptionsbyusingascript.
Inthisarticle:Office2010generalspellingcheckersettingsInfoPath2010spellingcheckersettingsOneNote2010spellingcheckersettingsOutlook2010spellingcheckersettingsPowerPoint2010spellingcheckersettingsPublisher2010spellingcheckersettingsWord2010spellingcheckersettingsThesectionsinthisarticlearegroupedbyapplication.
Eachsectioncontainsatablethatliststhesettingnames,descriptions,thebehaviorthatoccurswhenyouenable,disable,ordonotconfigurethesetting,andthelocationofthesettingintheGroupPolicyobjecteditorandOCT.
注意Office2010generalspellingcheckersettingsThefollowingtableliststhesettingsthatapplygloballytoOffice2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationImproveproofingtoolsControlswhethertheHelpImproveProofingToolsfeaturesendsusagedatatoMicrosoft.
DataissenttoMicrosoftifusersdecidetoparticipateintheCustomerExperienceImprovementProgram(CEIP).
DataisnotcollectedorsenttoMicrosoft.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionMicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionFlagRepeatedWordsAllowsuserstoflagorignorerepeatedwords.
Spellingcheckerflagsrepeatedwords.
Spellingcheckerdoesnotflagrepeatedwords.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionMicrosoftOffice2010\Tools|Options|SpellingIgnorewordsinUPPERCASEAllowsuserstoignorewordsthatarewritteninUPPERCASE.
SpellingcheckerignoreswordsthatarewritteninUPPERCASE.
SpellingcheckerdoesnotignorewordsthatarewritteninUPPERCASE.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionMicrosoftOffice2010\Tools|Options|SpellingIgnorewordswithnumbersAllowsuserstoignorewordsthatcontainnumbers.
Spellingcheckerignoreswordsthatcontainnumbers.
Spellingcheckerdoesnotignorewordsthatcontainnumbers.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionMicrosoftOffice2010\Tools|Options|SpellingIgnoreInternetandfileaddressesAllowsuserstoignoreURLsandfilepaths.
SpellingcheckerignoresURLsandfilepaths.
SpellingcheckerdoesnotignoreURLsandfilepaths.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionMicrosoftOffice2010\Tools|Options|SpellingSuggestfrommaindictionaryonly.
Allowsuserstoselectwordsfromthemaindictionaryonly.
Spellingcheckerletsusersselectwordsfromthemaindictionaryonly.
Spellingcheckerletsusersselectwordsfromothersources.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftOffice2010\Tools|Options|Spelling\ProofingDataCollectionMicrosoftOffice2010\Tools|Options|SpellingInfoPath2010spellingcheckersettingsThefollowingtableliststhesettingsthatapplytoInfoPath2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationHidespellingerrorsAllowsuserstohidespellingerrors(thewavylineunderamisspelledword)Spellingerrors(thewavylinesunderamisspelledword)arehidden.
Spellingerrorsaredesignatedbyawavylinethatisunderthemisspelledword.
Sameasifitisenabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftInfoPath2010\InfoPathOptions\Spelling&GrammarMicrosoftInfoPath2010\InfoPathOptions\Spelling&GrammarDisablecommandsAllowstheadministratortodisableUIoptions.
TheadministratorcandisablethefollowingUIoption:Hometab|SpellingMenu|SetProofingLanguageUIoptionisenabled.
Sameasifitisdisabled,exceptuserscanchangethesettingthroughtheUI.
MicrosoftInfoPath2010\DisableItemsinUserInterface\PredefinedNotavailableintheOCT.
OneNote2010spellingcheckersettingsThefollowingtableliststhesettingsthatapplytoOneNote2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationOneNoteSpellingOptionsDeterminesthefollowingspellingoptionsforusersNospellcheckingCheckspellingasyoutypeHidespellingerrorsCheckspellingbuthideerrorsOneormoreoptionscanbeenabled.
Oneormoreoptionscanbedisabled.
Sameasenablingthe"Checkspellingasyoutype"option,butuserscanchangethisthroughtheUI.
MicrosoftOneNote2010\OneNoteOptions\SpellingMicrosoftOneNote2010\OneNoteOptions\SpellingOutlook2010spellingcheckersettingsThefollowingtableliststhesettingsthatapplytoOutlook2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationGeneralEnablesordisablesthefollowingspellingoptionsforusers:AlwayscheckspellingbeforesendingIgnoreoriginalmessagetextinsoftwareOneormoreoptionscanbeenabled.
Oneormoreoptionscanbedisabled.
Bothoptionsareenabled,butuserscanchangethisthroughtheUI.
MicrosoftOutlook2010\OutlookOptions\SpellingMicrosoftOutlook2010\OutlookOptions\SpellingPowerPoint2010spellingcheckersettingsThefollowingtableliststhesettingsthatapplytoPowerPoint2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationUsecontextualspellingEnablesordisablescontextualspellingforusers.
Contextualspellingisenabledforusers.
Contextualspellingisdisabledforusers.
Sameasifitisenabled,exceptuserscanchangethroughtheUI.
MicrosoftPowerPoint2010\PowerPointOptions\ProofingMicrosoftPowerPoint2010\PowerPointOptions\ProofingCheckspellingasyoutypeEnablesPowerPoint2010tocheckthespellingwhiletheusertypes.
Checkspellingasyoutypeisenabledforusers.
Checkspellingasyoutypeisdisabledforusers.
Sameasifitisenabled,exceptuserscanchangethroughtheUI.
MicrosoftPowerPoint2010\PowerPointOptions\ProofingMicrosoftPowerPoint2010\PowerPointOptions\ProofingPublisher2010spellingcheckersettingsThefollowingtableliststhesettingsthatapplytoPublisher2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationCheckspellingasyoutypeEnablesordisablesthefollowingoptions:Checkspellingasyoutype.
Hidespellingerrors.
''Checkspellingasyoutype''and''Hidespellingerrors''arebothenabled.
Oneormoreoftheoptionscanbeenabled.
Oneormoreoftheoptionscanbedisabled.
Checkspellingasyoutypeisenabled,butuserscanchangethisthroughtheUI.
MicrosoftPublisher2010\PublisherOptions\L_ProofingMicrosoftPublisher2010\PublisherOptions\L_ProofingWord2010spellingcheckersettingsThefollowingtableliststhesettingsthatapplytoWord2010.
NameDescriptionWhenenabledWhendisabledWhennotconfiguredGroupPolicyobjecteditorlocationOCTlocationCheckgrammarwithspellingAllowsuserstoconfigurespellingcheckertocheckthegrammaratthesametimethattheycheckthespelling.
Spellingcheckerchecksforgrammarwhenitchecksspelling.
Spellingcheckerdoesnotcheckforgrammarwhenitchecksspelling.
Sameasifitisenabled,exceptuserscanchangethroughtheUI.
MicrosoftWord2010\WordOptions\Proofing\AutoFormatasyoutype\AutomaticallyasyoutypeMicrosoftWord2010\WordOptions\ProofingDelaybeforestartingbackgroundspellingcheckerAllowstheadministratortoaddadelay,expressedinmilliseconds.
Milliseconds(e.
g.
5000milliseconds=5seconds),beforebackgroundspellingcheckerstarts.
)Theadministratorcanspecifyadelayinmilliseconds,between0–2147483647.
Thereisnodelay.
Thereisnodelay.
MicrosoftWord2010\WordOptions\Proofing\AutoFormatasyoutype\AutomaticallyasyoutypeMicrosoftWord2010\WordOptions\Proofing另请参阅Office2010组策略概述使用组策略在Office2010中强制启用设置规划校对工具规划SharePointWorkspace2010本文对如何规划MicrosoftSharePointWorkspace2010部署进行了说明.
SharePointWorkspace2010是支持联机和脱机协作的MicrosoftSharePointServer2010和MicrosoftSharePointFoundation2010的客户端.
因此,桌面内容可以随时与SharePoint文档和列表同步.
SharePointWorkspace2010还通过创建无需SharePoint连接的Groove工作区和共享文件夹来提供支持对等协作的选项,如SharePointWorkspace2010概述中所述.
SharePointWorkspace2010随MicrosoftOffice2010企业版一起自动安装,或者也可以从Microsoft下载中心(http://go.
microsoft.
com/fwlink/linkid=162268&clcid=0x804)单独安装.
本文中描述的规划阶段可以帮助您为成功部署做好准备,从而在组织的软件管理基础结构中优化协作.
有关在MicrosoftGrooveServer托管环境中部署SharePointWorkspace2010的信息,请参阅DeploymentforGrooveServer2010(该链接可能指向英文页面).
本文内容:规划SharePointWorkspace2010拓扑规划SharePointWorkspace2010网络设置规划容量规划安全性规划身份验证规划备用访问映射规划性能监控和限制规划SharePoint列表以及库操作和设置规划搜索规划SharePointWorkspace备份和恢复规划SharePointWorkspace2010拓扑规划SharePointWorkspace部署首先是为您组织内的员工选择需要的协作级别.
然后可以选择能最好地支持您的协作策略的拓扑.
选择SharePointWorkspace拓扑时,请考虑操作环境和效率要求.
典型的决定因素包括下面几种:SharePointServer2010或SharePointFoundation2010是否是您组织的协作系统的组成部分.
团队参与者是联机工作还是脱机工作.
是否需要支持灵活敏捷的对等协作.
使用管理实践是否允许对等协作.
团队协作是否需要在专用网络或LAN以外扩展到受信任合作伙伴和现场网站.
是否使用ActiveDirectory系统.
是否期望无权访问您的SharePointServer2010服务器的客户端做出有价值的贡献.
对等协作的集中式管理对于组织的安全性和管理基础结构是否是必需的.
下表显示了不同的SharePointWorkspace拓扑是如何满足这些条件的:SharePointWorkspace拓扑和功能拓扑功能SharePointWorkspace仅作为SharePoint客户端此拓扑支持或基于:对SharePointServer2010或SharePointFoundation2010文档库和列表的访问.
联机和脱机工作的团队参与者.
SharePointWorkspace作为对等协作客户端此拓扑支持或基于:联机和脱机工作的团队参与者.
灵活敏捷的对等协作.
Groove工作区支持多种通信协议.
这样组织就能控制打开哪些端口用于对等消息传输.
团队协作在专用网络以外扩展到受信任的合作伙伴和现场网站.
无权访问SharePointServer2010服务器的客户端做出有价值的贡献.
SharePointWorkspace作为SharePoint和对等协作客户端此拓扑支持或基于:对SharePointServer2010或SharePointFoundation2010文档库和列表的访问.
联机和脱机工作的团队参与者.
灵活敏捷的对等协作.
Groove工作区支持多种通信协议.
这样组织就能控制打开哪些端口用于对等消息传输.
团队协作在专用网络以外扩展到受信任的合作伙伴和现场网站.
无权访问SharePointServer2010服务器的客户端做出有价值的贡献.
GrooveServer和SharePointWorkspace作为托管协作系统此拓扑支持或基于:对等协作的集中式管理满足组织的安全性和管理需求.
联机和脱机工作的团队参与者.
灵活敏捷的对等协作.
团队协作在专用网络以外扩展到受信任的合作伙伴和现场网站.
无权访问SharePointServer2010服务器的客户端做出有价值的贡献.
与ActiveDirectory系统的现有集成.
有关此部署拓扑的详细信息,请参阅GrooveServer2010(该链接可能指向英文页面).
下面几节内容介绍一些主要SharePointWorkspace部署拓扑如何满足不同的协作需求.
SharePointWorkspace仅作为SharePoint客户端SharePointWorkspace作为SharePoint客户端最适用于这样的组织:其SharePoint团队成员和合作伙伴需要提供来自公司基础结构外的内容(来源于从现场或没有SharePoint服务器连接的位置处收集的数据).
此拓扑为SharePointWorkspace用户提供了以下协作选项:轻松创建在SharePoint服务器和SharePointWorkspace客户端之间建立连接的SharePoint工作区.
这允许单个SharePoint团队成员或合作伙伴将SharePoint网站内容引入本地计算机.
通过使用SharePoint工作区,参与者无论是否连接到SharePoint服务器都可以联机或脱机添加、更改和删除SharePoint文档库或列表的内容.
当客户端联机时,SharePointWorkspace客户端和SharePoint网站之间自动进行内容更新同步,以便参与者可以共享他们在脱机时执行的工作,就像共享在连接到Internet时完成的工作一样简单.
注意:SharePointWorkspace客户端允许用户创建SharePoint工作区和对等工作区.
对等工作区的类型可以是Groove工作区或共享文件夹,如SharePointWorkspace作为SharePoint和对等协作客户端中所述.
若要以独占方式将SharePointWorkspace部署为SharePoint客户端,从而仅支持SharePoint工作区,您可以在部署中包含禁止对等工作区选项的策略,如配置和自定义SharePointWorkspace2010中所述.
对于此配置,通过使用Windows和ActiveDirectory工具可以获得基本级别的客户端管理.
SharePoint工作区依赖SharePointWorkspace通信和动态技术支持客户端到SharePoint的各个连接,这些连接使得SharePointWorkspace用户可以使用以及同步其本地计算机上的SharePoint文档和列表内容.
图1显示了SharePointWorkspace到MicrosoftSharePointServer2010的基本设置.
图1:SharePointWorkspace到SharePoint的连接SharePointWorkspace作为对等协作客户端SharePointWorkspace作为对等协作客户端最适合这样的组织:该组织需要向信息工作人员提供配置良好且易于使用的协作环境,在这样的环境里MicrosoftSharePointServer2010或MicrosoftSharePointFoundation2010都不可用.
此拓扑为SharePointWorkspace用户提供了两个对等协作选项:简单快速地创建Groove工作区的能力,在这样的工作区中,无需虚拟专用网络(VPN),信息工作人员能够使用一整套本地联机和脱机协作工具安全地与受信任的对等方进行协作.
在团队成员与公司防火墙内外的合作伙伴之间进行实时协作的环境中,Groove工作区协作工具支持文档创建和共享、联机讨论、会议管理和MicrosoftInfoPath表单.
创建共享文件夹的能力,SharePointWorkspace用户可以在该文件夹中协作处理工作区成员桌面上指定的Windows文件夹中的内容.
对于此配置,通过使用Windows和ActiveDirectory工具可以获得基本级别的客户端管理.
对于通过Groove工作区和共享文件夹进行的对等协作,SharePointWorkspace基于其通信和动态基础,并提供一个工作区管理模块,其中有一组工具、一个联系人管理器、一个消息管理器以及一个基于标准的公钥基础结构(PKI)实现,用于帮助确保Groove工作区的安全并对工作区成员进行身份验证.
Groove工作区数据存储在客户端计算机上,内置的安全性配置可确保工作区成员数据在网络中是加密的.
SharePointWorkspace工具和组件的核心功能可以在两台通过局域网(LAN)直接连接的客户端计算机上实现,如图2所示.
图2:LAN中的Groove工作区对等连接要维持Groove工作区和共享文件夹的对等通信,当客户端连接到广域网(WAN)、脱机或位于防火墙后时,SharePointWorkspace需要支持MicrosoftGrooveServer管理器和中继服务,如图3所示.
无论用户上下文或Internet范围的环境条件如何,这些Microsoft承载或现场安装的服务器都可帮助确保及时的通信.
图3.
LAN之外的Groove工作区连接SharePointWorkspace作为SharePoint和对等协作客户端SharePointWorkspace作为SharePoint和对等协作客户端最适合这样的组织:在将协作扩展到在SharePoint文档框架外工作的临时团队的同时,还需要同步客户端桌面内容与SharePoint文档库和列表.
此选项将之前描述的拓扑合并在一起,为SharePointWorkspace用户提供以下协作选项:创建在SharePoint服务器和SharePointWorkspace客户端之间建立连接的SharePoint工作区.
这允许SharePoint团队成员或合作伙伴将SharePoint网站内容引入本地计算机,如SharePointWorkspace仅作为SharePoint客户端中所述.
轻松创建Groove工作区的能力,使受信任的对等方无需VPN即可安全协作,如SharePointWorkspace2010概述所述.
创建共享文件夹工作区的能力,SharePointWorkspace用户可在其中协作处理工作区成员桌面上指定Windows文件夹中的内容.
对于此配置,通过使用Windows和ActiveDirectory工具可以获得基本级别的客户端管理.
SharePointWorkspace通信和动态模块与规划SharePointWorkspace2010网络设置中总结的TCP/IP协议一起,支持各个客户端与SharePoint服务器之间以及客户端对等方之间的消息传输和内容同步.
图4显示一个SharePointWorkspace客户端/服务器系统,其中包括SharePoint服务器、GrooveServer中继和管理服务以及四个SharePointWorkspace客户端:图4:具有SharePoint和Groove服务器的SharePointWorkspaceGrooveServer和SharePointWorkspace作为托管协作系统如果使用了Groove工作区和共享文件夹,作为SharePointWorkspace部署的一部分的MicrosoftGrooveServer2010现场安装可提供最佳客户端管理.
GrooveServer提供两个应用程序协助在企业中部署和操作SharePointWorkspace:GrooveServerManager提供管理、报告和策略分发服务,GrooveServerRelay协助客户端通信.
此系统有无SharePointServer都可工作,而且可以扩展到公司防火墙外的合作伙伴.
有关GrooveServer2010的详细信息,请参阅GrooveServer2010(该链接可能指向英文页面).
下表显示SharePointWorkspace拓扑选项如何用于多种应用场景.
SharePointWorkspace应用情景和拓扑应用场景说明所选拓扑和所需组件金融服务范围:市内规模:2,000名员工SharePointWorkspace用户:1,000SharePoint基础结构就位SharePointWorkspace仅作为SharePoint客户端所需组件:SharePointServerSharePointWorkspace客户端地区学校系统范围:州内规模:4,000名员工SharePointWorkspace用户:10,000无现有SharePoint安装SharePointWorkspace作为对等协作客户端所需组件:具有Internet连接的SharePointWorkspace客户端地区保健系统范围:地区规模:5,000名员工SharePointWorkspace用户:10,000SharePoint基础结构就位SharePointWorkspace作为SharePoint和对等协作客户端所需组件:SharePointServerSharePointWorkspace客户端Internet连接跨国公司范围:全球规模:500,000名员工SharePointWorkspace用户:50,000IT部门:是GrooveServer和SharePointWorkspace作为SharePoint托管协作系统所需组件:MicrosoftGrooveServer2010SharePointWorkspace客户端ActiveDirectory系统(推荐)Internet连接(推荐)规划SharePointWorkspace2010网络设置MicrosoftSharePointWorkspace2010自动配置Windows防火墙网络端口以获得最佳操作.
要仅为SharePoint工作区验证客户端端口连接或配置MicrosoftSharePointServer和SharePointWorkspace端口,请启动Windows防火墙控制面板外接程序并根据需要编辑设置.
有关SharePointWorkspace协议的详细信息,请参阅Microsoft协议文档(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=162294&clcid=0x804)(该链接可能指向英文页面).
下表描述了SharePointWorkspace中协议与端口的对应关系.
SharePointWorkspace2010的客户端端口设置端口支持的协议说明80/TCP-传出SOAP通过HTTP协议进行的Microsoft文件同步(MS-FSSHTTP)简单对称传输协议的MicrosoftGrooveHTTP封装(MS-GRVHENC)支持以下通信:对于SharePoint工作区—在MicrosoftSharePointServer和SharePointWorkspace客户端之间同步文档和列表内容.
对于Groove工作区和共享文件夹—当SSTP端口2492/TCP和端口443/TCP都不可用时在SharePointWorkspace客户端和GrooveRelay服务器之间传输SSTP消息.
在HTTP中封装SSTP.
对于Groove工作区和共享文件夹—在SharePointWorkspace客户端和Groove管理服务器之间进行SOAP通信.
443/TCP-传出HTTPS简单对称传输协议安全协议的MicrosoftGrooveHTTP封装(MS-GRVSSTPS)支持以下通信:对于SharePoint工作区—在MicrosoftSharePointServer和SharePointWorkspace客户端之间同步受SSL保护的内容.
对于Groove工作区和共享文件夹—当SSTP端口2492/TCP不可用时,在SharePointWorkspace客户端和中继服务器之间传输SSTP消息.
利用安全HTTP隧道技术.
2492/TCP-传入和传出MicrosoftGroove简单对称传输协议(MS-GRVSSTP)支持以下通信:对于Groove工作区和共享文件夹—在SharePointWorkspace客户端和中继服务器之间传输SSTP消息.
1211/UDP-传入和传出局域网设备存在协议(LANDPP)支持以下通信:对于Groove工作区和共享文件夹-在SharePointWorkspace客户端之间进行局域网(LAN)设备存在检测.
规划容量要设置支持预期SharePointWorkspace用户群的拓扑,请收集以下信息并确定相应的网络和SharePointServer硬件需求:在LAN中必须支持多少SharePointWorkspace用户有多少内部客户端将使用SharePoint工作区与SharePointServer同步有多少内部和外部客户端将使用Groove工作区或共享文件夹进行通信您预期有多少并发SharePointWorkspace对等连接您预期每天有多少字节的客户端数据与SharePointServer同步您预期每天有多少字节的客户端数据在Groove工作区间传输有关选择合适的硬件支持预测的SharePointWorkspace客户端工作量的信息,请参阅Office2010的系统要求中列出的Office客户端需求.
若要确定支持预期的SharePointWorkspace工作量所必需的SharePointServer需求,请查看规划性能监控和限制以及部署SharePointServer2010(http://go.
microsoft.
com/fwlink/linkid=188459&clcid=0x804)中的SharePointServer2010规格.
规划安全性与SharePoint网站进行的SharePointWorkspace客户端交换依赖于同步协议和外部安全机制,如VPN或安全套接字层(SSL)技术提供的机制.
因此,我们建议对来自公司域外部的SharePoint连接进行SSL加密.
您可以配置在ActiveDirectory部门范围应用的组策略设置,如配置和自定义SharePointWorkspace2010中所述.
此外,您还可以设置相应的访问控制列表,来防止对SharePoint网站进行未经授权的访问.
有关如何为用户设置访问控制以与SharePoint库和列表同步的指导说明,请参阅管理网站组和权限(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=162300&clcid=0x804)(该链接可能指向英文页面)以及为基于WindowsSharePointServices技术的网站管理用户和指定权限(http://go.
microsoft.
com/fwlink/linkid=162301&clcid=0x804).
SharePointWorkspace使用强加密技术保护SharePointWorkspace帐户,这些帐户作为安全存储库存放每个用户的加密密钥、标识、联系人、消息和唯一工作区标识.
Windows身份验证和用户的Windows登录凭据用于对SharePointWorkspace帐户解除锁定.
SharePointWorkspace2010不加密磁盘上的SharePointWorkspace2010文档和其他二进制文件,包括SharePoint工作区内容.
因此,请考虑使用BitLocker驱动器加密功能来加密客户端数据驱动器上的所有内容.
有关详细信息,请参阅BitLocker驱动器加密(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=163122&clcid=0x804)(该链接可能指向英文页面).
您可以通过在SharePointWorkspaceData目录中阻止Windows搜索来加强安全保护,防止生成未加密的搜索索引.
但请注意,与其他未受到同样保护的客户端共享的内容将保持不加密和可搜索的状态.
对于Groove工作区和共享文件夹,SharePointWorkspace使用本机对称和公钥加密技术对网络上客户端之间的传输进行身份验证、加密和保护.
强加密保护磁盘上的以下内容:Groove即时消息、Groove邀请、Groove讨论和记事本条目、存档的Groove工作区和表单工具模板.
规划身份验证SharePointWorkspace2010使用Windows登录和数据保护API(DPAPI)对用户进行身份验证和访问SharePointWorkspace帐户.
这种单一登录用户(SSO)登录意味着不再需要传统的SharePointWorkspace特定的凭据.
为了对访问SharePointServer的SharePointWorkspace用户进行身份验证,SharePointWorkspace支持以下SharePointServer方法:Windows身份验证和基于表单的身份验证.
通常将Windows身份验证用于内部SharePointWorkspace用户访问SharePoint网站.
基于表单的身份验证可以用于外部SharePointWorkspace用户访问SharePoint网站.
为了在SharePointWorkspace用户之间相互进行身份验证(对于Groove工作区、共享文件夹和消息),SharePointWorkspace利用其本机公钥基础结构(PKI).
有关SharePointServer的单一登录的详细信息,请参阅企业单一登录(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=162302&clcid=0x804)(该链接可能指向英文页面).
有关基于表单的身份验证的详细信息,请参阅配置基于表单的身份验证(OfficeSharePointServer)(http://go.
microsoft.
com/fwlink/linkid=149721&clcid=0x804).
规划备用访问映射SharePointServer支持备用访问映射,使用备用访问映射可以为每个网站定义多个URL.
在使用SharePoint工作区时,您可以利用此功能确保SharePointWorkspace可以与SharePointServer的多个URL同步.
在InternetInformationServices(IIS)接收的Web请求的URL有别于最终用户键入的URL的部署情况下,定义多个URL将非常有用,例如包含反向代理发布和负载平衡功能的部署情况下.
有关备用访问映射的详细信息,请参阅规划备用访问映射(WindowsSharePointServices)(http://go.
microsoft.
com/fwlink/linkid=114854&clcid=0x804).
规划性能监控和限制当内置的服务器运行状况监视器指示服务器性能由于工作量过大而发生迟滞时,SharePointServer2010通过限制请求来缓和客户端通信流.
使用SharePoint工作区时,SharePointWorkspace客户端通过调整服务器请求的频率响应SharePointServer回退信号.
SharePointWorkspace同步频率的调整规律是活动越少周期越慢,从而反映SharePoint工作区活动和SharePoint网站更改.
这些调整在提高服务器性能的同时降低了总体客户端带宽使用率.
对于Groove工作区,SharePointWorkspace提供内置性能设置并依靠GrooveServerRelay服务,该服务由Microsoft承载或现场安装以优化通信.
为优化性能,SharePointWorkspace在网络条件允许时在客户端间直接传输Groove工作区数据.
当数据定位到不能直接到达的客户端时,Groove通过优化消息传输的中继服务器发送数据.
当借助中继服务器传输消息时,高通信量情况下使用的总带宽通常较少.
规划SharePoint列表以及库操作和设置以下SharePointServer2010操作和设置适用于SharePointWorkspace2010:网站操作:同步到SharePointWorkspace—连接到SharePoint网站的SharePointWorkspace用户可以单击"同步到SharePointWorkspace"在参与者的本地计算机上创建SharePoint工作区,或者在该网站已存在SharePoint工作区时同步内容.
无论是否连接到SharePoint网站,用户都可以从本地工作区添加、更改或删除内容.
与SharePoint网站的同步在设定的间隔自动发生,或者用户可以单击SharePoint工作区中的"同步"选项卡强制同步.
注意:在SharePoint文档库或列表的功能区中也提供了"同步到SharePointWorkspace"选项.
网站操作/网站设置/网站管理/搜索和脱机可用性/脱机客户端可用性—SharePoint网站管理员必须选择此设置来允许SharePointWorkspace客户端访问该网站.
规划搜索通过使用WindowsSearch4.
0或更高版本可以搜索SharePointWorkspace内容.
默认情况下,为某些SharePointWorkspace内容启用了Windows搜索爬网(索引创建).
SharePointWorkspace用户可以通过单击功能区"开始"选项卡上的"搜索"访问WindowsSearch4.
0,除非Windows策略阻止这样做.
管理员可以阻止对SharePointWorkspace内容执行Windows搜索,并可以通过部署ActiveDirectoryGPO覆盖任何用户搜索设置,如配置和自定义SharePointWorkspace2010中所述.
有关如何使用Windows搜索的信息,请参阅Windows搜索管理员指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=164567&clcid=0x804)(该链接可能指向英文页面).
规划SharePointWorkspace备份和恢复所有SharePointWorkspace帐户信息都存储在客户端计算机上.
帐户信息包括加密密钥和用户标识信息.
SharePointWorkspace提供用户帐户备份和恢复机制.
此外,用户可以将Groove工作区备份为工作区存档.
为帮助保护SharePointWorkspace用户帐户的安全,建议SharePointWorkspace用户遵循以下最佳做法:启用SharePointWorkspace帐户恢复.
在SharePointWorkspace2010中通过"帐户首选项"选项可以访问"启用帐户恢复"设置,这可在必须重置Windows登录时为用户提供一种重获帐户访问的安全方法.
"启用帐户恢复"复选框应在所有客户端上保持选中,因为它启用帐户恢复.
应考虑警告用户不要清除此设置.
注意:"启用帐户恢复"还支持帐户可移植性和在多台计算机上使用帐户的能力.
对于必须阻止用户将其帐户移植到其他计算机的组织,MicrosoftGrooveServer2010提供了一种策略,可以将管理的帐户限制到一台计算机上.
有关如何在您的网站上部署GrooveServer的信息,请参阅DeploymentforGrooveServer2010(该链接可能指向英文页面).
将SharePointWorkspace用户帐户备份到安全位置的文件中.
SharePointWorkspace支持在帐户丢失或损坏的情况下进行帐户恢复,方法是提供允许用户将其帐户保存到一个.
grv文件的选项.
鼓励用户定期将其帐户保存到安全位置的文件中.
用户可以通过以下操作保存其帐户:单击功能区的"文件"选项卡,在"管理帐户"下拉菜单中选择"帐户首选项",然后在"帐户"选项卡上选择"将帐户另存为文件",然后输入文件名.
对于初始帐户恢复,在提示时输入密码.
请注意,必须在用户的帐户首选项中选中"启用帐户恢复",这样才会在忘记密码时发送重置代码并恢复帐户.
当此设置启用时,SharePointWorkspace会将一个重置代码发送到创建帐户时在"帐户配置向导"中提供的电子邮件地址,这样用户可以重置恢复帐户.
为了帮助保护Groove工作区安全,鼓励用户定期备份每个Groove工作区,方法是单击功能区的"文件"选项卡,选择"共享",然后配置"工作区作为存档"选项.
有关如何备份和恢复Groove工作区的详细信息,请参阅Microsoft产品在线(http://go.
microsoft.
com/fwlink/linkid=162269&clcid=0x804)上的SharePointWorkspace产品帮助.
注意:Groove工作区数据和工具存储在客户端计算机上.
因此,如果其他团队成员共享Groove工作区,可以从其他客户端计算机检索到丢失的工作区.
另请参阅SharePointWorkspace2010概述配置和自定义SharePointWorkspace2010DeploymentforGrooveServer2010(该链接可能指向英文页面)Microsoft协议文档(该链接可能指向英文页面)规划Visio2010的自定义和选项本文描述MicrosoftVisio2010中提供的某些自定义项和选项.
本文内容:应用程序设置图表模板自定义快速形状受信任的文档SharePoint和存储库应用程序设置在Visio2010中,可通过若干方法来自定义您所使用的应用程序设置,从应用程序的外观和行为,直至可帮助您管理所创建作品的规则.
"背景"以及"边框和标题"库"设计"选项卡上的"背景"以及"边框和标题"库是通过内置的模具填充的.
但是,可以通过将模具置于用户的"我的形状"文件夹(位于"文档"或"我的文档"文件夹中)内来自定义这些库.
模具必须按如下方式命名:_BCKGRND.
VSS(用于"背景"库)_BORDERS.
VSS(用于"边框和标题"库)注意:文件名必须以下划线开头.
如果Visio在"我的形状"文件夹中找到具有此确切文件名(在所有语言中必须为同一文件名)的模具,它将使用该模具(而不是Visio2010附带的模具)来填充库.
警告:这些库中的形状具有特殊行为,需要了解VisioShapeSheet才能复制.
若要了解自定义库内容的基础知识,请按以下步骤进行操作:1.
找到Visio2010附带的模具,位于\ProgramFiles\MicrosoftOffice\Office14\VisioContent\1033(用于英语)中.
2.
将文件复制到您的"\我的形状"文件夹中:a.
背景(美制和公制)BCKGRN_U.
VSSBCKGRN_M.
VSSb.
边框和标题(美制和公制)BORDRS_U.
VSSBORDRS_M.
VSS3.
重命名并自定义文件.
自定义主题在MicrosoftOfficeVisio2007中,"主题"功能的引入使您可以轻松地将专业设计的外观应用于图表.
在Visio2010中,"主题"功能利用MicrosoftOfficeFluent用户界面(UI),并且是用于演示"实时预览"功能的功能之一.
Visio自定义主题存储在文档(而不是外部文件)中.
部署自定义主题的方式是:在Visio文档中定义自定义主题,然后将其另存为模板(*.
vst)以供在组织中使用.
您在Visio2010中创建模板的方式从OfficeVisio2007或早期版本起未发生变化.
若要创建将作为模板存储的自定义主题,请按以下步骤进行操作:1.
单击"设计"选项卡.
2.
单击"颜色".
3.
单击"新建主题颜色".
4.
选择主题名称和颜色,然后单击"确定".
5.
单击"效果".
6.
单击"新建主题效果".
7.
选择所需效果,然后单击"确定".
所有用户将必须从该模板中开始绘图才能使用自定义主题.
自定义验证规则在Visio2010中,您可以部署包含验证规则集和规则的自定义模板,以确保图表符合特定公司标准.
验证规则表示您的图表应遵循的一种要求.
当用户运行验证时,Visio将显示未得到满足的要求的问题列表.
验证规则定义要针对图表内容执行的逻辑测试.
验证规则一起打包在规则集中.
文档中可能有多个规则集.
每个规则集可以为活动或不活动(关闭)状态,并且多个规则集可同时处于活动状态.
文档中的每个规则集都有唯一名称.
同一规则可能出现在文档的多个规则集中,并且同一规则集可出现在使用应用程序的多个文档中.
MicrosoftVisioPremium2010在"基本流程图"、"跨职能流程图"、"六西格玛图表"、"MicrosoftSharePoint工作流"和"BPMN图"模板中提供了规则.
可以将自定义规则和规则集添加到任何模板.
在执行验证时,Visio将针对文档中找到的所有目标检查文档中的每条活动规则.
对于不满足规则指定要求的每个目标,Visio将创建验证问题.
在验证过程中找到的所有问题将为用户显示在一个列表中.
当用户希望检查文档是否存在问题时,可通过功能区上的命令按钮来启动验证.
可以不修复或明确忽略这些问题,这样将会在后续的验证运行时隐藏问题.
若要访问验证功能,请按以下步骤进行操作:1.
在"流程"选项卡上,选择"问题窗口".
这将在绘图下方打开验证窗口.
2.
然后,在"流程"选项卡上,单击"检查图表"按钮.
触发验证后,所处理的规则或所处理的形状并没有特定顺序.
但是,在操作花费的时间超过三秒后,将显示一个进度栏.
操作不可停止,并且Visio将显示到此刻为止找到的任何问题.
如果Visio在文档中找到的错误数超出它可在问题窗口中显示的数量(当前为32767),则验证将自动停止.
一个对话框将显示消息:"由于Visio要跟踪的问题太多,图表验证已停止".
验证停止后(完成或未完成),如果找到问题,Visio将打开问题窗口(如果当前未打开)并显示问题.
图表模板当您启动Visio2010时,所看到的第一项内容是MicrosoftOfficeBackstage视图中的新屏幕,您可在其中为将创建的图表选择模板.
它类似于OfficeVisio2007的"开始工作"屏幕.
Visio2010文档采用美制单位或公制单位创建.
既包含美制单位又包含公制单位的唯一SKU是美国英语(en-us).
当您使用此SKU并创建新图表时,您可以选择要使用哪种单位.
可对设置和组策略进行自定义,以在这两种单位其中之一可用并且安装语言为en-us时创建作为两种单位之一的默认值.
自定义快速形状"形状"窗口在Visio2010中已经过重新设计.
"形状"窗口内是一个名为"快速形状"的组.
快速形状是在给定模具中使用较频繁的形状的子集.
可通过用户界面对快速形状进行自定义,并且这些自定义项存储在注册表中.
模具的快速形状计数信息存储在发布的组件表中,并且是默认情况下使用的计数.
当用户通过UI自定义模具时,Visio会使用以下方式将快速形状计数和主排序顺序保存在注册表中的HKCU\Software\Microsoft\Office\14.
0\Visio\QuickShapes下:名称:模具文件的完整文件路径类型:REG_BINARY数据:快速形状计数和主ID的顺序(以二进制形式表示).
快速形状计数和每个主ID以4个字节表示受信任的文档受信任的文档是Office2010中的一项改进功能,该功能可与文档安全性功能交互.
它可基于对文件的信任决定在文档中实现活动内容(例如,宏和ActiveX控件),并且能在每次打开文档时记住选择.
2007Officesystem之前的Office版本在每次打开文档之前会向您提示宏和其他种类的活动内容.
在Office2010中,如果创建或打开包含宏的文档,或接收使用数据连接连接到受信任服务器的文档,并且启用了信任记录中的内容,则不会再使用安全通知向您提示该内容.
当您使用受信任的文档时,将逐个文件记录信任.
信任记录将添加到本地注册表的"CurrentUser"部分,并包含文件的完整路径和其他数据(例如文档的创建时间).
注意:信任记录存储在特定计算机上,因此,如果您在另一台计算机上打开文件,将会再次看到提示.
可通过两个入口点将文档设为信任.
若要将文档设为信任,请按以下步骤进行操作:1.
在消息栏上,单击"启用内容".
2.
单击消息栏查看详细信息.
这将打开Backstage视图.
在Backstage视图中,单击"启用内容".
这将显示两个附加选项:a.
启用所有内容并将其设为受信任的文档.
b.
单击"高级选项"按钮以启用内容一次(类似于2007Officesystem).
在网络共享上信任文档的风险要高于在本地硬盘上信任文档,因为具有网络位置访问权限的其他用户将能够修改您的文件的内容.
因此,当您第一次尝试在网络位置上信任文档时,将会显示一个安全警告.
在信任中心中,您可以不允许信任网络位置上的文档.
这将导致Office在您每次打开网络位置上的文档时显示安全通知.
在信任中心中,您可以修改设置以允许或不允许信任网络上的文档、禁用受信任的文档功能,或重置所有受信任的文档以使其不再受信任.
所有这些设置都可由管理员使用组策略进行配置.
SharePoint和存储库在Visio2010中,您可以使用Backstage视图将文件保存到MicrosoftSharePoint2010产品.
若要保存文件,请按以下步骤进行操作:1.
单击"文件"选项卡.
2.
单击"保存并发送".
3.
单击"保存到SharePoint".
4.
将绘图另存为:绘图(*.
vsd)或Web绘图(*.
vdw)5.
"另存为"对话框允许您确认或细化选择.
如果选择"Web绘图(*.
vdw)",请确保您有SharePoint2010产品和VisioServices以便在浏览器中显示图表.
另请参阅Visio2010中的更改规划Office2010的安全性组织的成功通常取决于其信息工作者的工作效率及其知识产权的完整性和保密性.
许多IT部门发现很难满足这些业务需求,原因是这类保护通常以牺牲生产效率为代价.
本节介绍MicrosoftOffice2010中提供的新安全控件,这些控件可在使信息工作者保持生产效率的同时构建稳固的威胁防御体系.
本节内容:文章说明Office2010安全概述提供MicrosoftOffice2010中的新安全控件的概述,这些控件便于IT专业人员在使信息工作者保持生产效率的同时构建稳固的威胁防御体系.
了解Office2010的安全威胁和对策提供可帮助您为Office2010规划安全桌面配置的信息,其中包括哪些安全风险和威胁与Office2010相关以及哪些威胁可能对组织的业务资产或业务流程具有风险.
规划Office2010的受信任位置设置提供有关如何使用Office2010中的"受信任位置"功能来区分安全文件和可能有害的文件的信息.
规划Office2010的受信任的发布者设置提供有关如何使用Office2010中的"受信任的发布者"功能来指定您信任的内容发布者的信息.
规划Office2010加载项的安全设置介绍如何通过修改Office2010外接程序设置来控制外接程序的行为方式或禁止用户运行外接程序.
为Office2010规划ActiveX控件的安全设置介绍如何通过修改ActiveX控件设置来更改MicrosoftActiveX控件在Office2010中的行为方式.
规划Office2010的VBA宏的安全设置介绍如何通过修改MicrosoftOffice2010VBA和VBA宏设置来控制VisualBasicforApplications(VBA)和VBA宏的行为方式.
规划Office2010的COM对象分类介绍如何使用COM对象分类在Office2010中控制某些COM对象的行为.
规划Office2010的"受保护的视图"设置提供有关如何配置Office2010中的"受保护的视图"这一新增安全功能的信息,该功能在受限环境中打开文件,以便可以先检查这些文件,然后再打开它们进行编辑,从而有助于减少对您的计算机的攻击.
规划Office2010的Office文件验证设置提供有关如何配置Office2010中的"Office文件验证"这一新增安全功能的信息,在打开以Office二进制文件格式存储的文件之前,该功能会对这些文件进行扫描,以帮助阻止文件格式攻击.
规划Office2010的隐私选项介绍如何在Office2010中配置隐私选项以满足组织的安全要求.
规划Office2010中的信息权限管理摘要介绍信息权限管理(IRM)技术及其在Office应用程序中的工作方式.
规划Outlook2010中的安全和保护功能介绍MicrosoftOutlook2010中有助于保护组织的电子邮件传递安全的功能.
Office2010安全概述一个组织在财务上的成功通常是由其信息工作人员的生产效率及其知识产权的完整性和保密性决定的.
许多IT部门发现很难满足这些业务需求,原因是这类保护通常以牺牲生产效率为代价.
如果实现的安全控件太多,将会降低工作人员的生产效率.
如果实现的安全控件太少,工作人员的生产效率会提高,但攻击面也会增加,从而迫使补救成本和总拥有成本(TCO)更高.
幸运的是,利用MicrosoftOffice2010中的一些新安全控件,不仅可以保持信息工作人员的生产效率,同时还可以使IT专业人员更轻松地构建抵御威胁的稳固防御措施.
四个新控件有助于强化和减小攻击面以及缓解攻击.
这些新控件包括:Office应用程序的数据执行保护(DEP)支持这是一项硬件和软件技术,可通过防止运行利用缓冲区溢出安全漏洞的病毒和蠕虫来帮助强化攻击面.
Office文件验证此软件组件通过识别未遵循有效文件格式定义的文件来帮助减小攻击面.
扩展文件阻止设置可在信任中心或通过组策略管理这些设置,通过更加具体地控制应用程序可访问的文件类型来帮助减小攻击面.
受保护的视图该功能通过使用户能够在沙盒环境中预览不受信任或具有潜在危害的文件来帮助缓解攻击.
除了这些新控件之外,Office2010还提供了多项安全增强功能,可通过帮助确保数据的完整性和保密性来进一步强化攻击面.
这些安全增强功能包括:加密灵活性数字签名的受信任时间戳支持基于域的密码复杂性检查和实施加密增强改进"用密码进行加密"功能的改进加密文件的完整性检查Office2010还提供了几个对信息工作人员的生产效率具有直接影响的安全改进.
消息栏用户界面改进、信任中心用户界面设置以及可保留用户信任决策的信任模型是其中的一些新增功能,它们可帮助用户做出安全决策并执行对信息工作人员影响较小的操作.
另外,很多新增和增强的安全控件均可通过组策略设置进行管理.
这样即可更加轻松地强制执行和维护组织的安全体系结构.
本文内容:分层防御是关键帮助用户做出更好的安全决策使管理员能够进行全面控制从Office2003迁移安全和隐私设置分层防御是关键深度防御是任何有效安全体系结构的一项重要宗旨,并且是一项安全策略,用于实现多层重叠防御,以抵御未经授权的用户和恶意代码.
在大中型组织中,防御层通常包括:外围网络保护,如防火墙和代理服务器物理安全措施,如访问受限制的数据中心和服务器机房桌面安全工具,如个人防火墙、病毒扫描程序以及间谍软件检测程序深度防御策略有助于确保用过量的多个安全控件来应对安全威胁.
例如,如果蠕虫突破了外围防火墙并获取了对内部网络的访问权限,那么它仍然必须经过病毒扫描程序和个人防火墙这一关,才能破坏桌面计算机.
Office2010的安全体系结构中内置了类似机制.
四层方法Office2010的安全体系结构通过提供分层防御对策,来帮助您将深度防御策略扩展到桌面安全工具之外.
实施这些对策后,当用户试图使用Office2010应用程序打开文件时,这些对策将立即生效,并且它们会继续提供多层防御,直到打开文件并准备编辑为止.
下图显示了内置于Office2010安全体系结构中的四个防御层,并且还显示了可以针对每个层实施的某些对策.
强化攻击面此防御层通过使用称为数据执行保护(DEP)的对策,来帮助强化Office2010应用程序的攻击面.
DEP通过标识某些文件(这些文件试图从仅为数据保留的部分内存中运行代码)来帮助防止缓冲区溢出攻击.
默认情况下,DEP在Office2010中处于启用状态.
您可以在信任中心中或通过组策略设置来管理DEP设置.
减小攻击面此防御层通过限制应用程序可以打开的文件的种类,以及防止应用程序运行文件中嵌入的某些种类的代码,来帮助减小Office2010应用程序的攻击面.
为此,Office应用程序使用以下三项对策:Office文件验证此软件组件扫描文件中的格式差异,如果格式无效,还可以根据实现的设置防止打开文件进行编辑.
例如,包含针对Office2010应用程序的文件格式攻击的文件就是一个无效文件.
默认情况下,Office文件验证处于启用状态并且主要通过组策略设置来管理.
文件阻止设置2007MicrosoftOfficesystem中引入了这些设置,用于减小攻击面,使用这些设置可以防止应用程序打开并保存某些文件类型.
此外,您可以指定如果允许打开某种文件类型将发生什么情况.
例如,您可以指定是否在受保护的视图中打开文件类型,以及是否允许编辑.
Office2010中已经添加了一些新文件阻止设置.
可以在信任中心中以及通过组策略设置来管理文件阻止设置.
OfficeActiveX消除位使用此Office2010新增功能可以防止特定的ActiveX控件在Office2010应用程序中运行,但不会影响这些控件在MicrosoftInternetExplorer中的运行方式.
默认情况下不配置OfficeActiveX消除位.
但是您可以通过修改注册表来配置此对策.
缓解攻击此防御层通过在隔离的沙盒环境中打开可能有害的文件来帮助缓解攻击.
此沙盒环境称为受保护的视图,通过它,用户可以在应用程序中打开文件进行编辑之前先预览文件.
默认情况下,受保护的视图处于启动状态.
但是,您可以在信任中心中以及通过组策略设置关闭和管理它.
改善用户体验此防御层通过减少用户所做的安全决策数以及改进用户做出安全决策的方式来缓解攻击.
例如,被认为是不受信任的文档将自动在受保护的视图中打开,而不会向用户提供任何反馈.
用户可以在不做出任何安全决策的情况下阅读和关闭这些文档,在大多数情况下,这意味着他们可以有效地完成其工作,而不会收到安全提示.
如果用户想要编辑受保护的视图中的文档,可以选择允许进行编辑的选项.
允许编辑后,将不会再在受保护的视图中打开文档.
如果文档包含活动内容,如ActiveX控件和宏,则会出现消息栏,提示用户是否启用活动内容.
启用活动内容后,消息栏就不会再针对活动内容提示用户.
您可以在信任中心中以及通过组策略设置来配置消息栏设置和受信任的文档设置.
增强强化对策除了提供上节中描述的对策之外,Office2010还提供一些新增对策和增强对策以进一步强化攻击面.
这些对策通过保护数据的完整性和保密性来帮助强化攻击面.
完整性对策完整性设置可帮助缓解对业务数据和业务流程的完整性的威胁.
恶意用户通过损坏文档、演示文稿和电子表格来攻击这些资源的完整性.
例如,恶意用户可能会将文件替换为包含损坏的数据或信息的类似文件来攻击业务数据或业务流程的完整性.
为了帮助缓解完整性威胁,改善并增强了加密文件的数字签名和完整性检查这两项对策.
数字签名改进现在数字签名中支持受信任时间戳,这可以使Office文档符合W3CXML高级电子签名(XAdES)标准.
受信任时间戳有助于确保数字签名保持有效并合法,即使用于对文档进行签名的证书已经过期也是如此.
受信任时间戳支持仅在MicrosoftExcel2010、MicrosoftAccess2010、MicrosoftPowerPoint2010和MicrosoftWord2010中可用.
要利用此功能,您必须使用时间戳授权.
除了提供时间戳支持之外,Office2010还对用户界面进行了一些改进,使用户能够更加轻松地管理和实现数字签名.
您还可以通过一些新的组策略设置来配置和管理受信任时间戳.
加密文件的完整性检查管理员现在可以决定在对文件进行加密时是否实现基于哈希的消息验证代码(HMAC),这样可有助于确定某人是否篡改了文件.
HMAC与WindowsAPI下一代加密技术(CNG)完全兼容,这使管理员能够配置用于生成HMAC的加密提供程序、哈希和上下文.
可以通过组策略设置来配置这些参数.
保密性对策保密性设置有助于缓解对不希望公开或私下透露的信息(如电子邮件通信、项目规划信息、设计规格、财务信息、客户资料以及个人和私人信息)的威胁.
为了帮助缓解保密性威胁,已经改进和增强了一些对策.
加密增强功能一些Office2010应用程序现在能够灵活地进行加密并支持CNG,这意味着管理员可以指定任意加密算法以对文档进行加密和签名.
此外,一些Office2010应用程序现在支持SuiteB加密.
密码加密改进密码加密功能现在符合ISO/IEC29500和ISO/IEC10118-3:2004要求.
此功能还可以在Office2010与带ServicePack2的2007Officesystem之间互操作,但前提是主机操作系统支持相同的加密提供程序.
此外,Office2010包括一些用户界面更改,这些更改使用户可以更加轻松地了解和执行密码加密功能.
密码复杂性检查和实施基于域的密码策略现在可以检查密码加密功能所使用的密码的长度和复杂性并实施这些密码.
这仅适用于使用密码加密功能创建的密码.
您可以使用一些新的组策略设置来管理密码复杂性检查和实施.
加密增强功能加密机制得到了增强,这有助于确保永远不在文件中以纯文本形式存储加密/解密密钥.
通常,这些加密增强功能对于用户和管理员是透明的.
帮助用户做出更好的安全决策分层防御的一个优点是它能够逐步减轻并减缓安全攻击,这样,您就可以有更多时间来确定攻击平台并制定替代对策(如果需要).
分层防御的另一个优点是它本身能够减少用户必须做出的安全决策的数目.
按照其默认的安全配置,大部分安全决策由Office2010做出,而不是由用户做出.
因此,用户不太可能做出错误的安全决策,从而可以提高生产效率.
下图显示了用户在Excel2010、PowerPoint2010或Word2010中打开文件时实施的主要安全控件的高级视图.
不需要用户输入的安全控件为黄色;需要用户输入的安全控件为浅蓝色.
该图显示了Office2010的默认行为.
您可以更改此默认行为以满足组织的安全要求并适合体系结构.
此外,此图未显示可以实施的所有安全控件,如DEP、加密或信息权限管理.
如上图所示,在要求用户做出安全决策之前,文档必须通过多个防御层.
如果用户不必编辑文档,则可以在受保护的视图中阅读文档,然后关闭文档,而不用做出任何安全决策.
此高效工作流可以通过一些关键功能来实现.
改进的信任模型当用户试图打开文件时,Office2010会评估文件的信任状态.
默认情况下,不会对受信任的文件执行大多数安全检查,用户不需要做出任何安全决策便可以打开这些文件进行编辑.
不受信任的文件必须经过安全检查,这些检查构成了分层防御体系.
被认为是不受信任的文档将自动在受保护的视图中打开,而不会向用户提供任何反馈.
如果用户想要编辑受保护的视图中的文档,可以选择允许进行编辑的选项.
允许编辑后,将不会再在受保护的视图中打开文档.
如果文档包含活动内容,如ActiveX控件和宏,则会出现消息栏,提示用户是否启用活动内容.
启用活动内容后,消息栏就不会再针对活动内容提示用户.
在2007Officesystem中,您可以使用受信任位置和受信任的发布者功能来指定受信任的文件和受信任的内容.
在Office2010中,您也可以使用称为"受信任的文档"的新功能.
"受信任的文档"允许用户在受保护的视图中查看文件后将该文件指定为受信任的文件.
在用户将文件指定为受信任的文件后,信任决策将与该文件一起保存,以便用户下次打开文件时不必再做出信任决策.
注意:不会对受信任的文件跳过防病毒检查或ActiveX消除位检查.
如果信任文件,则本地防病毒扫描程序(如果可用)将扫描该文件,并且会禁用任何设置了消除位的ActiveX控件.
透明对策Office2010中的一些新对策对于用户不可见并且不需要用户交互.
例如,Office2010应用程序会使用称为Office文件验证的新技术评估不受信任的文件是否存在文件格式差异.
当用户打开不受信任的文件时,将会自主运行此技术.
如果未检测到潜在的文件格式差异,则不会向用户表明此技术扫描了该文件.
注意:在某些情况下,Office文件验证功能可能会请求用户允许将文件扫描信息发送给Microsoft,以帮助提高该功能检测攻击的能力.
您可以通过配置组策略设置来阻止出现这些提示.
沙盒预览环境不受信任的文件是在称为受保护的视图的沙盒预览环境中打开的.
用户可以在此沙盒环境中阅读文件,并且可以将内容复制到剪贴板.
但是,他们无法打印文件或编辑文件.
大多数情况下,对于用户来说,预览文档就够了,他们可以不必回答任何安全问题就关闭该文件.
例如,即使文件包含不受信任的VisualBasicforApplications(VBA)宏,用户也可以在受保护的视图中预览内容,而不必启用该VBA宏.
大多数情况下,Office2010中的默认安全配置是一个合适的深度防御解决方案,该方案提供了多层防御,但不会对用户生产效率有太大影响.
但是,某些组织可能必须修改默认安全配置才能满足更严格的安全要求,或者降低安全性并给予用户更大的灵活性.
例如,如果组织主要由专家用户组成,这些用户不必在沙盒环境中预览文件,则您可以禁用受保护的视图.
建议您不要这样做(这样做可能非常危险),但是这样做有助于减少用户所做的安全决策的数目.
同样,如果组织需要锁定的安全环境,则您可以修改安全设置,以便所有不受信任的文档都必须在受保护的视图中打开,并且永远不会离开受保护的视图.
这样虽然可以加强保护,但也会妨碍用户编辑文件的能力.
无论组织有怎样的特定安全要求,通过使用Office2010中的多层对策,均可以有效地平衡安全性和生产效率;即您可以在完全不会危及安全体系结构的情况下增加或减少频率以及用户必须做出的安全决策的种类.
使管理员能够进行全面控制大多数大中型组织使用某种集中管理工具(如基于域的组策略设置)来部署和管理其安全配置.
使用基于域的组策略设置有助于确保组织中的计算机具有一致的配置,并使您能够实施安全配置-这些是高效的安全策略的两项要求.
为此,Office2010提供了一组扩展的组策略设置,以帮助您高效部署和管理安全配置.
下表显示了可在Office2010中管理新安全控件的不同方式,还显示了哪些应用程序支持新安全功能.
安全功能是否可在信任中心中配置是否可通过组策略设置进行配置适用的应用程序数据执行保护是是所有Office2010应用程序.
Office文件验证否是Excel2010PowerPoint2010Word2010文件阻止设置是是Excel2010PowerPoint2010Word2010OfficeActiveX消除位否否(必须在注册表中配置)MicrosoftAccess2010Excel2010PowerPoint2010MicrosoftVisio2010Word2010受保护的视图是是Excel2010PowerPoint2010Word2010受信任的文档是是Access2010Excel2010PowerPoint2010Visio2010Word2010加密(加密灵活性)设置否是Access2010Excel2010InfoPath2010OneNote2010PowerPoint2010Word2010数字签名的时间戳否是Excel2010InfoPath2010PowerPoint2010Word2010加密文件的完整性检查否是Excel2010PowerPoint2010Word2010密码复杂性和实施否是Excel2010PowerPoint2010Word2010从Office2003迁移安全和隐私设置Office2010包含许多安全功能,这些功能可有助于保护文档并使桌面更加安全.
这些安全功能中的某些功能已引入到2007Officesystem中,并在Office2010中得到了增强.
其他安全功能是Office2010中的新功能.
如果从MicrosoftOffice2003或Office的早期版本迁移到Office2010,可能有助于了解在何时引入了各Office2010安全和隐私功能.
下表显示了在2007Officesystem和Office2010中添加或增强的主要安全和隐私功能.
安全功能说明2007Officesystem中的功能状态Office2010中的功能状态有关详细信息,请参阅…信任中心用户界面中的中心控制台,允许用户查看和配置安全设置和隐私选项.
已引入到2007Officesystem中增强和扩展了Office2010中的设置2007Officesystem中的安全性概述消息栏用户界面元素,可在用户打开包含潜在有害内容的文档时向其提供通知和警告.
已引入到2007Officesystem中增强了Office2010中的消息栏用户界面2007Officesystem中的安全性概述受信任位置一项安全功能,允许您区分安全和不安全的文档.
已引入到2007Officesystem中在Office2010中没有重大更改为2007Officesystem规划受信任位置和受信任发布者文件阻止设置一套安全设置,允许您阻止用户打开或保存特定种类的文件.
已引入到2007Officesystem中增强和扩展了Office2010中的设置在2007Officesystem中规划阻止文件格式设置文档检查器一个隐私工具,可帮助用户从文档中删除个人信息和隐藏信息.
已引入到2007Officesystem中增强了Office2010中的用户界面2007Officesystem中的安全性概述ActiveX控件的全局和特定于应用程序的设置允许禁用所有ActiveX控件、配置ActiveX控件初始化以及配置ActiveX控件提示.
已引入到2007Officesystem中在Office2010中没有重大功能更改2007Officesystem中的安全性概述增强了VBA宏的全局和特定于应用程序的设置允许您禁用VBA以及配置宏警告设置.
已引入到2007Officesystem中在Office2010中没有重大功能更改2007Officesystem中的安全性概述外接程序的特定于应用程序的设置允许您禁用外接程序、要求外接程序由受信任发布者签名以及配置外接程序警告.
已引入到2007Officesystem中在Office2010中没有重大功能更改2007Officesystem中的安全性概述数据执行保护(DEP)一项硬件和软件技术,可通过防止利用缓冲区溢出安全漏洞的病毒和蠕虫来帮助强化攻击面.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的数据执行保护设置Office文件验证一项对策,用于扫描文件中的格式差异,如果格式无效,还可以防止打开文件进行编辑.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的Office文件验证设置OfficeActiveX消除位一项Office功能,管理员可使用该功能来防止特定ActiveX控件在Office应用程序中运行.
已作为InternetExplorerActiveX消除位在2007Officesystem中提供已作为OfficeActiveX消除位引入Office2010如何禁止ActiveX控件在InternetExplorer中运行受保护的视图一项Office功能,可通过使用户能够在沙盒环境中预览不受信任或具有潜在危害的文件来帮助缓解攻击.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的"受保护的视图"设置受信任的文档一个安全工具,允许用户指定安全文档.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的受信任文档设置数字签名的受信任时间戳有助于确保数字签名保持有效并合法,即使用于对文档进行签名的证书已经过期也是如此.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的数字签名设置加密文件的完整性检查允许在对文件进行加密时实现基于哈希的消息验证代码(HMAC).
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office的加密技术和加密设置密码复杂性检查和实施允许您使用基于域的密码策略检查并实现密码的长度和复杂性.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的密码复杂性设置加密灵活性允许您指定用于对文档进行加密的加密设置.
在2007Officesystem应用程序中不可用已引入到Office2010中规划Office2010的加密技术和加密设置了解Office2010的安全威胁和对策安全桌面配置是任何组织深层防御策略的一个重要部分.
但是在规划包含MicrosoftOffice2010的安全桌面配置之前,必须了解与Office2010相关的安全风险和威胁,然后确定其中哪些安全风险和威胁对组织的业务资产或业务流程具有风险.
还必须确定哪些隐私风险和威胁对用户的个人信息和私人信息具有风险.
本文内容:信息安全风险对桌面生产效率应用程序的威胁Office2010中的默认对策信息安全风险大多数IT专业人员和IT安全专家将信息安全风险分为以下三大类:保密性风险由于未经授权的用户和恶意代码会试图访问在组织中所讲述、编写和创建的内容,因此这些风险会对组织的知识产权构成威胁.
完整性风险由于未经授权的用户和恶意代码会试图破坏组织所依赖的业务数据,因此这些风险会对业务资源构成威胁.
完整性风险会危害包含组织关键信息的任何业务资产,如数据库服务器、数据文件和电子邮件服务器.
可用性风险由于未经授权的用户和恶意代码会试图破坏您的经营方式以及信息工作人员完成工作的方式,因此这些风险会对业务流程构成威胁.
商业智能流程、应用程序的特性与功能以及文档工作流过程都可能会受到可用性风险的威胁.
为了帮助确保您的组织不遭受上述三类风险的威胁,建议使用深度防御安全策略;即一项纳入多层重叠防御来抵御未经授权的用户和恶意代码的安全策略.
防御层通常包括:外围网络保护,如防火墙和代理服务器.
物理安全措施,如物理安全数据中心和服务器机房.
桌面安全工具,如个人防火墙、病毒扫描程序以及间谍软件检测.
如果Office2010是组织环境的一部分,则深度防御策略还必须包括随Office2010一起提供的缓解机制.
这些缓解机制包括许多技术、设置和功能.
使用这些机制有助于缓解对Office2010应用程序的威胁,并保护处于公司核心地位的知识产权、业务资源和业务流程.
默认情况下,Office2010安全模型可帮助组织缓解所有这三种风险.
但是,每个组织都具有不同的基础结构功能、不同的生产效率要求以及不同的桌面安全要求.
若要确定组织缓解这些业务风险的确切方式,您必须评估利用这些风险的威胁和威胁代理.
对桌面生产效率应用程序的威胁Office2010的安全模型可以帮助您缓解五种生产效率软件安全威胁.
其中每种安全威胁都包括一些威胁代理,并且可以被各种安全攻击所利用.
下图显示了安全威胁和最常见的威胁代理的示例.
大多数组织面临着五种安全威胁所带来的一些潜在风险.
但是,大多数组织要应对威胁代理和潜在安全攻击的独特组合.
活动内容威胁活动内容威胁是常见的桌面安全威胁.
典型的威胁代理包括ActiveX控件、外接程序和VBA宏.
编写恶意代码或创建恶意程序的程序员可能会利用这些威胁代理,然后在用户的计算机上运行恶意的代码或程序.
活动内容威胁会给任意规模的组织带来潜在风险,特别是会给允许用户执行以下操作的组织带来风险:运行ActiveX控件、外接程序或VBA宏.
打开电子邮件.
在公用网络(如Internet)中共享文档.
打开组织以外的来源(如客户、供应商或合作伙伴)提供的文档.
未经授权的访问威胁未经授权的用户试图获得信息的访问权限时,会出现未经授权的访问威胁.
未经授权的用户的潜在目标包括:文档文件如果未经授权的用户获得了文档文件的访问权限,则他们可以删除、替换或破坏文件.
例如,恶意程序员可能使用文件格式攻击来利用文档中的未经授权的访问威胁.
文档内的信息此信息包括文本、图形、备注、修订、注释、自定义XML数据、隐藏文字、水印以及页眉和页脚信息.
当未经授权的用户访问文档中的信息时,他们可以访问敏感数据,如公司机密数据以及有关用户的个人或私人信息.
他们也可以修改、破坏或删除信息,并且可以使用其访问权限向受信任位置中保存的文档添加活动内容.
元数据与文档关联的信息(包括作者姓名、组织名称、文档编辑时间或文档版本号等文档属性).
获取了元数据访问权限的未经授权的用户可能会访问敏感的个人或公司数据,他们也可能破坏或删除元数据.
大多数组织面临未经授权的访问威胁,但是很多组织认为威胁的影响程度很小,或者认为缓解威胁的管理成本太高,并未采取足够的措施来缓解威胁.
这些认知可能会导致做法和环境不安全,例如:组织的网络安全体系结构无法阻止入侵者或攻击者获得内部网络的访问权限,这将增加入侵者或攻击者可能会获得组织文档访问权限的风险.
组织允许用户通过Internet发送、接收或共享专有的文档,包括财务数据、项目计划、演示文稿或绘图.
组织不阻止用户将便携式计算机连接到公用网络,这将增加无法识别的攻击者可能会获得便携式计算机上所保存文档的访问权限的风险.
组织不阻止用户将包含专有信息的文档带出办公室.
未经授权的攻击者或入侵者有可能会获得包含专有信息的文档的访问权限.
外部内容威胁外部内容威胁包括在Intranet或公用网络(如Internet)上将文档链接到另一个文档、数据库或网站的任何威胁代理.
攻击者通过下面的威胁代理来利用外部内容威胁:超链接攻击者通常会创建指向不受信任的文档或网站(这些网站包含恶意的代码或内容)的超链接来利用此威胁代理.
数据连接攻击者通常会通过以下方式利用此威胁代理:创建到数据源或数据库的数据连接,然后使用数据连接恶意操作或提取数据.
Web信号攻击者利用此威胁代理的一种典型情形是在电子邮件中嵌入一个指向远程映像的不可见链接.
当用户打开该电子邮件时,链接将会激活并下载远程映像.
在此过程中,用户信息(如用户的电子邮件地址和用户计算机的IP地址)可能会发送到远程计算机.
包装程序对象攻击者利用此威胁代理的方式可能是让嵌入对象运行恶意代码.
如果组织执行以下操作,则外部威胁可能会带来风险:为用户提供不受限制的公用网络(如Internet)访问权限.
不阻止用户接收包含嵌入图像和HTML的电子邮件.
不阻止用户使用电子表格或其他文档中的数据连接.
浏览器威胁当应用程序或文档以编程方式使用诸如MicrosoftInternetExplorer之类的Web浏览器的功能时,可能存在这些威胁.
浏览器威胁给应用程序和文档带来了风险,因为针对浏览器的任何威胁都会影响到承载浏览器的应用程序或文档.
浏览器威胁包括许多威胁代理,并且可通过各种安全攻击进行利用.
例如,这些威胁代理包括ActiveX控件安装、文件下载、MIME探查、区域提升和外接程序安装.
如果您的组织执行以下操作,则浏览器威胁可能会带来风险:允许用户运行使用浏览器功能的ActiveX控件、外接程序或宏.
开发和分发使用浏览器功能的Office解决方案.
零时差漏洞攻击威胁在发现诸如Microsoft安全公告或ServicePack之类的软件更新尚未解决的安全漏洞时,可能会启动零时差漏洞攻击.
零时差漏洞攻击可能会采用多种形式,这些形式包括:远程代码执行特权提升信息泄露恶意程序员和用户可能通过各种安全攻击来利用安全漏洞.
在发布安全公告或ServicePack来应对安全漏洞之前,此漏洞可能会给您的组织带来潜在威胁.
Office2010中的默认对策Office2010提供多种对策来帮助缓解对业务资产和业务流程的威胁.
对策是缓解一个或多个安全威胁的安全功能或安全控件.
通常可以通过在Office自定义工具(OCT)中配置设置或使用Office2010管理模板通过组策略配置设置,来更改对策的行为.
Office2010中的许多对策可以缓解某特定应用程序中特定类型的威胁.
例如,MicrosoftInfoPath2010包括的对策会通知用户表单中可能存在Web信号.
通过在OCT中或通过组策略配置"InfoPath中打开的表单的引导用户界面"设置,可以更改此对策的行为.
其他对策可以缓解多个应用程序共有的多种威胁.
例如,通过使用受保护的视图功能,用户可以查看不受信任的文档、演示文稿和工作簿的内容,而不会使不安全的内容或恶意代码危害计算机.
当您预览Excel2010、PowerPoint2010、MicrosoftVisio2010和Word2010的时,MicrosoftExcel2010、MicrosoftPowerPoint2010、MicrosoftWord2010和MicrosoftOutlook2010会使用此对策.
您可以通过在OCT中配置或通过组策略配置一些设置来更改其行为.
以下各节介绍Office2010中最常用的对策.
ActiveX控件设置您可以使用ActiveX控件设置来禁用ActiveX控件并更改ActiveX控件加载到Office2010应用程序中的方式.
默认情况下,使用永久值在安全模式下加载受信任的ActiveX控件,不会通知用户已经加载了ActiveX控件.
不受信任的ActiveX控件的加载方式不同,具体取决于ActiveX控件的标记方式以及VBA项目是否与ActiveX控件共同存在于文件中.
不受信任的ActiveX控件的默认行为如下:如果ActiveX控件被标记为"初始化安全(SFI)",并且包含在不包含VBA项目的文档中,将使用永久值在安全模式下加载ActiveX控件.
不会出现消息栏,并且不会通知用户存在ActiveX控件.
必须将文档中的所有ActiveX控件都标记为SFI,才会发生此行为.
如果ActiveX控件被标记为"初始化不安全(UFI)",并且包含在不包含VBA项目的文档中,则会在消息栏中通知用户ActiveX控件被禁用.
但是用户可以单击消息栏来启用ActiveX控件.
如果用户启用ActiveX控件,将使用永久值在安全模式下加载所有ActiveX控件(标记为UFI和SFI的控件).
如果标记为UFI或SFI的ActiveX控件所在的文档还包含VBA项目,则会在消息栏中通知用户ActiveX控件被禁用.
但是用户可以单击消息栏来启用ActiveX控件.
如果用户启用ActiveX控件,将使用永久值在安全模式下加载所有ActiveX控件(标记为UFI和SFI的控件).
重要:如果在注册表中为ActiveX控件设置了消除位,则不会加载该控件,并且在任何情形下都无法加载该控件.
不会出现消息栏,并且不会通知用户存在ActiveX控件.
若要更改ActiveX控件的默认行为,请参阅为Office2010规划ActiveX控件的安全设置.
外接程序设置您可以使用外接程序设置来禁用外接程序,要求外接程序由受信任发布者签名以及禁用外接程序通知.
默认情况下,可以在不需要用户干预或通知用户的情况下运行已安装和已注册的外接程序.
若要更改此默认行为,请参阅规划Office2010加载项的安全设置.
加密技术和加密设置这些设置将在Office2010正式发布时可用.
数据执行保护设置您可以使用数据执行保护(DEP)设置在Office2010应用程序中禁用DEP.
DEP是一项硬件和软件对策,可帮助阻止恶意代码运行.
默认情况下,DEP在Office2010应用程序中处于启用状态,建议不要更改此默认设置.
数字签名设置这些设置将在Office2010正式发布时可用.
外部内容设置您可以使用外部内容设置来更改Office2010应用程序访问外部内容的方式.
外部内容是远程访问的任何类型的内容(如数据连接和工作簿链接、指向网站和文档的超链接以及指向图像和媒体的超链接).
默认情况下,当用户打开包含指向外部内容的链接的文件时,消息栏将通知用户链接已被禁用.
用户可以通过单击消息栏来启用这些链接.
建议不要更改这些默认设置.
文件阻止设置您可以使用文件阻止设置阻止打开或保存特定文件类型,也可以使用这些设置阻止或强制在受保护的视图中打开某些文件类型.
默认情况下,Excel2010、PowerPoint2010和Word2010强制仅在受保护的视图中打开几种文件.
用户无法打开这些文件类型进行编辑.
Office文件验证设置您可以使用Office文件验证设置禁用Office文件验证功能,以及更改Office文件验证功能处理未通过验证的文件的方式.
您也可以使用这些设置阻止Office文件验证功能提示用户向Microsoft发送验证信息.
默认情况下,Office文件验证功能处于启用状态.
未通过验证的文件在受保护的视图中打开,用户可以在受保护的视图中打开文件后编辑文件.
有关Office文件验证设置的详细信息,请参阅规划Office2010的Office文件验证设置.
密码复杂性设置您可以使用密码复杂性设置来强制设置用于"用密码进行加密"功能的密码长度和复杂性.
如果组织已经通过基于域的组策略建立了密码复杂性规则,则可以通过密码复杂性设置在域级别实施密码长度和复杂性,如果组织尚未实施基于域的密码复杂性组策略,则可以通过密码复杂性设置在本地级别实施密码长度和复杂性.
默认情况下,当用户使用"用密码进行加密"功能对文件进行加密时,Office2010应用程序不会检查密码长度或复杂性.
隐私选项您可以使用隐私选项阻止在用户首次启动Office2010时出现"欢迎使用MicrosoftOffice2010"对话框.
此对话框允许用户注册各种基于Internet的服务,以帮助保护和改进Office2010应用程序.
您也可以使用隐私选项启用在"欢迎使用MicrosoftOffice2010"对话框中出现的基于Internet的服务.
默认情况下,"欢迎使用MicrosoftOffice2010"对话框在用户首次启动Office2010时出现,用户可以启用推荐的基于Internet的服务,启用这些服务的子集,或不进行任何配置更改.
如果用户不更改任何配置,以下默认设置将生效:Office2010应用程序不连接到Office.
com以获取更新的帮助内容.
Office2010应用程序不下载帮助诊断问题的小程序,并且不向Microsoft发送错误消息信息.
用户不报名参加客户体验改善计划.
当用户从帮助系统中执行搜索查询时,不向Microsoft发送有关所安装的Office2010应用程序的信息以改进Office.
com搜索结果.
若要更改此默认行为,或者要禁止显示"欢迎使用MicrosoftOffice2010"框,请参阅规划Office2010的隐私选项.
受保护的视图设置您可以使用受保护的视图设置阻止文件视图中打开以及强制文件在受保护的视图中打开.
您也可以指定是否希望在受保护的视图中打开在会话0中运行的脚本和程序.
默认情况下,受保护的视图处于启用状态,所有不受信任的文件均在受保护的视图中打开.
在会话0中运行的脚本和程序不在受保护的视图中打开.
有关受保护的视图设置的详细信息,请参阅规划Office2010的"受保护的视图"设置.
注意:您也可以使用文件阻止设置来阻止或强制在受保护的视图中打开特定文件类型.
受信任的文档设置您可以使用受信任的文档设置禁用"受信任的文档"功能,还可以阻止用户信任网络共享上存储的文档.
打开受信任的文档时,将跳过大部分安全检查,并启用所有活动内容(两项无法跳过的检查是防病毒检查和ActiveX消除位检查).
默认情况下,"受信任的文档"功能处于启用状态,这意味着用户可以将安全文件指定为受信任的文档.
此外,用户也可以将网络共享上的文件指定为受信任的文档.
建议不要更改这些默认设置.
受信任位置设置您可以使用受信任位置设置为文件指定安全位置.
打开受信任位置存储的文件时,将跳过大部分安全检查,并会启用该文件中的所有内容(两项无法跳过的检查是防病毒检查和ActiveX消除位检查).
默认情况下,会将多个位置指定为受信任位置.
此外,位于网络上的受信任位置(如共享文件夹)处于禁用状态.
若要更改此默认行为,以及了解哪些位置默认情况下被指定为受信任位置,请参阅规划Office2010的受信任位置设置.
受信任的发布者设置您可以使用受信任的发布者设置将某些类型的活动内容(如ActiveX控件、外接程序和VBA宏)指定为安全内容.
当发布者用数字证书对活动内容签名时,您可以将该发布者的数字证书添加到"受信任的发布者"列表中,该活动内容将被认为是受信任的内容.
默认情况下,"受信任的发布者"列表不包含任何发布者.
必须将发布者添加到"受信任的发布者"列表中才能实现此安全功能.
若要实现"受信任的发布者"功能,请参阅规划Office2010的受信任的发布者设置.
VBA宏设置您可以使用VBA宏设置更改VBA宏的行为方式、禁用VBA以及更改VBA宏在以编程方式启动的应用程序中的行为方式.
默认情况下,VBA处于启用状态,并且允许在不给出通知的情况下运行受信任的VBA宏.
受信任的VBA宏包括由受信任的发布者签名、存储在受信任文档中或者存储在位于受信任位置的文档中的VBA宏.
不受信任的VBA宏处于禁用状态,但消息栏中的通知允许用户启用不受信任的VBA宏.
此外,允许在以编程方式启动的应用程序中运行VBA宏.
若要更改此默认行为,请参阅规划Office2010的VBA宏的安全设置.
另请参阅Office2010安全概述规划Office2010的受信任位置设置如果要将安全文件与可能有害的文件区分开来,您可以使用MicrosoftOffice2010中的"受信任位置"功能.
通过"受信任位置"功能可在用户计算机硬盘上或网络共享上指定受信任文件源.
将文件夹指定为受信任文件源时,该文件夹中保存的任何文件都会被认为是受信任文件.
打开受信任文件时,文件中所有内容都将被启用并处于活动状态,且不会向用户通知文件中可能包含的任何潜在风险,如未签名加载项、MicrosoftVisualBasicforApplications(VBA)宏、Internet上内容的链接或数据库连接.
本文内容:关于规划受信任位置的设置实现受信任位置禁用受信任位置关于规划受信任位置的设置Office2010提供了许多允许您控制"受信任位置"功能的行为的设置.
通过配置这些设置,可以执行下列操作:全局指定或按应用程序指定受信任位置.
允许受信任位置存在于远程共享上.
禁止用户指定受信任位置.
禁用"受信任位置"功能.
下列应用程序中提供了"受信任位置"功能:MicrosoftAccess2010、MicrosoftExcel2010、MicrosoftInfoPath2010、MicrosoftPowerPoint2010、MicrosoftVisio2010和MicrosoftWord2010.
下面的列表描述了"受信任位置"功能的默认配置:受信任位置已启用.
用户不能将网络共享指定为受信任位置.
但是,用户可在信任中心中更改此设置.
用户可以将文件夹添加到受信任位置列表中.
用户定义和策略定义的受信任位置均可使用.
此外,在Office2010的默认安装中会将多个文件夹指定为受信任位置.
下表中列出了每个应用程序的默认文件夹.
(InfoPath2010和Visio2010没有默认的受信任位置.
)Access2010受信任位置下表列出了Access2010的默认受信任位置.
默认受信任位置文件夹说明受信任的子文件夹ProgramFiles\MicrosoftOffice\Office14\ACCWIZ向导数据库不允许Excel2010受信任位置下表列出了Excel2010的默认受信任位置.
默认受信任位置文件夹说明受信任的子文件夹ProgramFiles\MicrosoftOffice\Templates应用程序模板允许Users\user_name\Appdata\Roaming\Microsoft\Templates用户模板不允许ProgramFiles\MicrosoftOffice\Office14\XLSTARTExcel启动允许Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART用户启动不允许ProgramFiles\MicrosoftOffice\Office14\STARTUPOffice启动允许ProgramFiles\MicrosoftOffice\Office14\Library加载项允许PowerPoint2010受信任位置下表列出了PowerPoint2010的默认受信任位置.
默认受信任位置文件夹说明受信任的子文件夹ProgramFiles\MicrosoftOffice\Templates应用程序模板允许Users\user_name\Appdata\Roaming\Microsoft\Templates用户模板允许Users\user_name\Appdata\Roaming\Microsoft\Addins加载项不允许ProgramFiles\MicrosoftOffice\DocumentThemes14应用程序主题允许Word2010受信任位置下表列出了Word2010的默认受信任位置.
默认受信任位置文件夹说明受信任的子文件夹ProgramFiles\MicrosoftOffice\Templates应用程序模板允许Users\user_name\Appdata\Roaming\Microsoft\Templates用户模板不允许Users\user_name\Appdata\Roaming\Microsoft\Word\Startup用户启动不允许注意:有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅为Office2010配置安全性.
实现受信任位置若要实现受信任位置,您必须确定下列事项:要为其配置受信任位置的应用程序.
要指定为受信任位置的文件夹.
要应用于受信任位置的文件夹共享和文件夹安全设置.
要应用于受信任位置的限制.
确定要配置的应用程序使用以下准则可帮助确定要为其配置受信任位置的应用程序:受信任位置会影响文件中的所有内容,包括加载项、ActiveX控件、超链接、指向数据源和媒体的链接以及VBA宏.
此外,从受信任位置打开的文件将跳过文件验证检查、文件块检查,且不在受保护的视图中打开.
每个应用程序为配置受信任位置都提供相同的设置.
这意味着可以独立地为每个应用程序自定义受信任位置.
可以对一个或多个应用程序禁用受信任位置,而对其他应用程序实现受信任位置.
确定要指定为受信任位置的文件夹使用以下准则可帮助您确定要指定为受信任位置的文件夹:可以按应用程序指定或全局指定受信任位置.
一个或多个应用程序可以共享受信任位置.
若要防止恶意用户向受信任位置添加文件或修改保存在受信任位置中的文件,必须将操作系统安全设置应用于您指定为受信任位置的所有文件夹.
默认情况下,只允许用户硬盘上的受信任位置.
若要在网络共享上启用受信任位置,您必须启用"允许不在计算机上的受信任位置"设置.
建议您不要将根文件夹(如驱动器C)或整个"文档"或"我的文档"文件夹指定为受信任位置.
而是在这些文件夹中创建子文件夹,并仅指定该子文件夹作为受信任位置.
此外,如果要进行下列操作,则必须使用以下各节中的准则:使用环境变量指定受信任位置.
指定Web文件夹(即http://路径)作为受信任位置.
使用环境变量指定受信任位置通过组策略和OCT可以使用环境变量来指定受信任位置.
但是,在OCT中使用环境变量时,必须更改注册表中用于存储受信任位置的值类型,环境变量才能正确发挥作用.
如果使用环境变量指定受信任位置,但不进行必要的注册表修改,则受信任位置会出现在信任中心,但该位置不可用,且显示为包含环境变量的相对路径.
更改注册表中的值类型之后,受信任位置将以绝对路径的形式显示在信任中心,并可供使用.
使用环境变量指定受信任位置1.
使用注册表编辑器查找由环境变量表示的受信任位置.
要打开注册表编辑器,请依次单击"开始"、"运行",键入regedit,然后单击"确定".
通过使用OCT配置的受信任位置存储在以下位置:HKEY_CURRENT_USER/Software/Microsoft/Office/14.
0/application_name/Security/TrustedLocations其中application_name可为MicrosoftAccess、MicrosoftExcel、MicrosoftPowerPoint、MicrosoftVisio或MicrosoftWord.
受信任位置存储在名为Path的注册表项中,并存储为字符串值(REG_SZ)值类型.
确保找到每个使用环境变量指定受信任位置的Path项.
2.
更改Path值类型.
Office2010中的应用程序无法识别存储为字符串值(REG_SZ)值类型的环境变量.
为使应用程序能识别环境变量,必须将Path项的值类型更改为可扩展字符串值(REG_EXPAND_SZ)值类型.
为此,请执行下列步骤:a.
记下或复制Path项的值.
这应该是包含一个或多个环境变量的相对路径.
b.
删除Path项.
c.
新建一个可扩展字符串值(REG_EXPAND_SZ)类型的Path项.
d.
修改新的Path项,以使它具有在第一步中记下或复制的相同值.
确保对每个使用环境变量指定受信任位置的Path项都做出此更改.
将Web文件夹指定为受信任位置可以指定Web文件夹(即http://路径)作为受信任位置,但是,只能将那些支持Web分布式创作和版本管理(WebDAV)或FrontPageServerExtensions远程过程调用(FPRPC)协议的Web文件夹识别为受信任位置.
如果不能确定Web文件夹是否支持WebDAV或FPRPC协议,请使用以下准则:如果由InternetExplorer打开应用程序,则请检查最近使用的文件列表.
如果最近使用的文件列表表明文件位于远程服务器上,而非Internet临时文件夹中,则Web文件夹可能以某种形式支持WebDAV.
例如,如果在InternetExplorer中浏览时单击某个文档,而文档在Word2010中打开,则最近使用的文件列表应显示该文档位于远程服务器上而非本地的Internet临时文件夹中.
尝试使用"打开"对话框浏览到Web文件夹.
如果路径支持WebDAV,则可能能够浏览到Web文件夹或提示您输入凭据.
如果Web文件夹不支持WebDAV,则导航失败且对话框关闭.
注意:可以将使用WindowsSharePointServices和MicrosoftSharePointServer创建的网站指定为受信任位置.
确定文件夹共享和文件夹安全设置必须保护被指定为受信任位置的所有文件夹.
使用以下准则可以确定必须向每个受信任位置应用哪些共享设置和安全设置:如果文件夹是共享文件夹,请配置共享权限,以便只有经过授权的用户才可以访问共享文件夹.
请确保使用最小特权原则,并向用户授予相应权限.
也就是说,向那些不需要修改受信任文件的用户授予"读取"权限,而向那些需要修改受信任文件的用户授予"完全控制"权限.
应用文件夹安全权限,以便只有经过授权的用户才可以读取或修改受信任位置中的文件.
请确保使用最小特权原则,并向用户授予相应权限.
也就是说,只向那些必须修改文件的用户授予"完全控制"权限,而向那些只需读取文件的用户授予限制程度更高的权限.
确定对受信任位置的限制Office2010提供了几种设置,使您可以限制或控制受信任位置的行为.
使用以下准则可确定如何配置这些设置.
设置名称:允许混合使用策略和用户位置描述:此设置控制是由用户、OCT和组策略来定义受信任位置,还是必须由组策略单独进行定义.
默认情况下,用户可以将任何位置指定为受信任位置,计算机可以组合使用用户创建的、OCT创建的以及组策略创建的受信任位置.
影响:如果禁用此设置,则会禁用不是由组策略创建的所有受信任位置,用户也不能在信任中心中创建新的受信任位置.
如果禁用此设置,会对在信任中心中定义了自己的受信任位置的用户造成一些中断.
应用程序会像处理其他任何不受信任位置那样处理此类位置,这意味着用户在打开文件时会看到有关内容(如ActiveX控件和VBA宏)的消息栏警告,而且用户必须选择是启用控件或宏,还是将其保持禁用状态.
这是适用于您要为其配置受信任位置的所有应用程序的全局设置.
准则:具有限制性较强的安全环境的组织通常会禁用此设置.
通过组策略来管理桌面配置的组织通常会禁用此设置.
设置名称:允许受信任位置不在计算机上描述:此设置控制是否可以使用网络上的受信任位置.
默认情况下,禁用网络共享的受信任位置.
但是用户仍然可以在信任中心中选中"允许网络上的受信任位置"复选框,此设置将允许用户将网络共享指定为受信任位置.
这不是全局设置.
您必须针对每个应用程序分别为Access2010、Excel2010、PowerPoint2010、Visio2010和Word2010配置此设置.
影响:禁用此设置将禁用网络共享的所有受信任位置,并且禁止用户在信任中心中选中"允许网络上的受信任位置"复选框.
如果禁用此设置,会对在信任中心中定义了自己的受信任位置的用户造成一些中断.
如果禁用此设置,并且用户试图将网络共享指定为受信任位置,则会显示一条警告,通知用户当前的安全设置不允许创建属于远程路径或网络路径的受信任位置.
如果管理员通过组策略或通过使用OCT将网络共享指定为受信任位置,同时此设置被禁用,则会禁用受信任位置.
应用程序会像处理其他任何不受信任位置那样处理此类位置,这意味着用户在打开文件时会看到有关内容(如ActiveX控件和VBA宏)的消息栏警告,而且用户必须选择是启用控件和宏,还是将其保持禁用状态.
准则:具有限制性较强的安全环境的组织通常会禁用此设置.
注意:还可以使用"删除OCT在安装过程中写入的所有受信任位置"设置删除通过配置OCT创建的所有受信任位置.
禁用受信任位置Office2010提供使您能够禁用"受信任位置"功能的设置.
必须针对每个应用程序分别为Access2010、Excel2010、PowerPoint2010、Visio2010和Word2010配置此设置.
使用以下准则可确定是否应使用此设置.
设置名称:禁用所有受信任位置描述:此设置允许管理员分别对每个应用程序禁用"受信任位置"功能.
默认情况下,已启用"受信任位置"功能,用户可以创建受信任位置.
影响:启用此设置将禁用所有受信任位置,其中包括下列受信任位置:安装过程中默认创建的受信任位置.
使用OCT创建的受信任位置.
用户通过信任中心创建的受信任位置.
使用组策略创建的受信任位置.
启用此设置还会防止用户在信任中心中配置受信任位置设置.
如果启用了此设置,请确保通知用户他们不能使用"受信任位置"功能.
如果用户已从受信任位置打开文件,而您启用此设置,则用户可能会开始在消息栏中看到警告,并且可能要求他们对消息栏警告做出响应以启用ActiveX控件、加载项和VBA宏等内容.
准则:安全环境限制性较强的组织通常会启用此设置.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性规划Office2010的受信任的发布者设置如果组织使用MicrosoftActiveX控件、加载项和VisualBasicforApplications(VBA)宏等已发布内容,您可以使用"受信任的发布者"列表指定您信任的内容发布者.
发布者是任何已创建并分发经过数字签名的ActiveX控件、加载项或VBA宏的开发人员、软件公司或组织.
受信任的发布者是已添加到"受信任的发布者"列表的任意发布者.
当用户打开文件时,如果该文件中包含由受信任的发布者创建的活动内容,则会启用受信任的发布者的内容,并且不会通知用户该文件中可能包含任何潜在风险.
本文内容:关于规划受信任的发布者设置从已知发布者处获取证书确定必须将哪些证书添加到"受信任的发布者"列表相关的"受信任的发布者"设置关于规划受信任的发布者设置若要将某发布者指定为受信任的发布者,必须将该发布者的证书添加到"受信任的发布者"列表.
在此情况下,发布者的证书是发布者用于对已发布内容进行数字签名的数字证书(.
cer文件).
在大多数情况下,您可以从发布者处获得.
cer文件,也可以从与已发布内容关联的.
cab、.
dll、.
exe或.
ocx文件中导出该文件.
如果您不确定组织所使用的已发布内容,您可能还必须确定组织的MicrosoftOffice2010应用程序是否在运行其他任何已发布内容,然后为该已发布内容获取证书.
您可以使用两种方法将发布者的证书添加到"受信任的发布者"列表中:Office自定义工具(OCT)或组策略.
OCT除了将受信任发布者的证书添加到"受信任的发布者"列表外,不提供其他用于管理证书的设置.
如果要管理证书信任或者要建立满足业务方案的特定信任关系,您必须使用组策略.
有关如何将受信任的发布者添加到"受信任的发布者"列表以及如何管理受信任的根证书的详细信息,请参阅管理受信任的根证书(http://go.
microsoft.
com/fwlink/linkid=164939&clcid=0x804)和管理受信任的发布者(http://go.
microsoft.
com/fwlink/linkid=164941&clcid=0x804).
从已知发布者处获取证书通常,您可以通过请求发布者向您发送已发布内容的证书来获取该证书.
如果您无法以此方式获取证书,并且您知道包含已发布内容的数字签名的.
cab、.
dll、.
exe或.
ocx文件的名称,可以使用下面的过程导出证书文件.
重要:此过程假定计算机运行的是WindowsVista操作系统.
从.
dll文件导出证书1.
右键单击该发布者已签署的文件,然后单击"属性".
2.
单击"数字签名"选项卡.
3.
在"签名列表"中单击证书,然后单击"详细信息".
4.
在"数字签名详细信息"对话框中单击"查看证书".
5.
单击"详细信息"选项卡,然后单击"复制到文件".
6.
在证书导出向导欢迎页上单击"下一步".
7.
在"导出文件格式"页上单击"DER编码二进制X.
509(.
CER)",然后单击"下一步".
8.
在"要导出的文件"页上键入.
cer文件的路径和名称,单击"下一步",然后单击"完成".
请确保在安装期间将所有.
cer文件都保存到客户端计算机可以访问的网络共享中.
确定必须将哪些证书添加到"受信任的发布者"列表在某些情况下,您可能不知道组织是否使用已发布内容或者要将哪些已发布内容添加到"受信任的发布者"列表中.
仅当您有一个非常严格的环境并且需要签署所有已发布内容时,此信息才与您有关.
您可以使用以下过程来对Office2010应用程序中进行数字签名的内容进行测试.
重要:下面的过程假定Word2010正在运行,但您可以对其他Office2010应用程序执行相同的过程.
确定已发布内容,并将内容发布者添加到"受信任的发布者"列表中1.
在组织内的一台运行标准配置(包括用户需要的任何加载项)的测试计算机或客户端计算机上,通过执行下列操作在信任中心中启用"要求受信任的发布者签署应用程序加载项"设置:依次单击"文件"选项卡、"选项"、"信任中心"、"信任中心设置"、"加载项"和"要求受信任的发布者签署应用程序加载项",然后单击"确定".
2.
退出并重新启动Word.
如果安装了加载项,消息栏将显示以下消息:"安全警告:部分活动内容已被禁用.
单击此处了解详细信息.
".
3.
在消息栏上,单击"部分活动内容已被禁用.
单击此处了解详细信息.
".
4.
单击"文件"选项卡,并在Backspace视图中单击"启用内容",然后单击"高级选项".
5.
在"安全警告-多个问题"对话框中,对于显示有效数字签名的每个加载项执行下列步骤,以将每个证书都安装到"受信任的发布者"列表中:a.
单击"显示签名详细信息".
b.
在"数字签名详细信息"窗口中,单击"查看证书".
c.
在"证书"窗口中,单击"安装证书".
d.
在证书导入向导中,依次单击"下一步"、"将所有的证书放入下列存储"、"浏览"、"受信任发布者"、"确定"、"下一步",然后单击"完成".
6.
准备要分发的证书文件:a.
依次单击"文件"选项卡、"选项"、"信任中心"和"信任中心设置",再单击"受信任的发布者".
b.
对于每个证书,先选择证书,单击"查看",然后执行下列步骤:a.
在"证书"窗口的"详细信息"选项卡上,单击"复制到文件".
b.
在证书导出向导中,单击"下一步",然后单击"下一步",接受默认的文件格式,输入文件名,选择要存储该文件的位置,然后单击"完成".
相关的"受信任的发布者"设置以下设置通常与"受信任的发布者"设置结合使用:要求由受信任发布者签署应用程序加载项此设置使加载项仅限于由受信任的发布者签署的加载项.
禁用针对未签署的应用程序加载项的信任栏通知.
此设置可防止用户看到关于未由受信任的发布者签署的加载项的消息栏警告.
VBA宏警告设置此设置使VBA宏仅限于由受信任的发布者签署的VBA宏.
禁用所有ActiveX此设置使ActiveX控件仅限于由受信任的发布者签署的ActiveX控件.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性规划Office2010加载项的安全设置如果要控制加载项的行为方式,或者禁止用户运行加载项,可以修改MicrosoftOffice2010加载项设置.
本文内容:关于规划加载项设置基于每个应用程序禁用加载项要求由受信任发布者签署应用程序加载项禁用未签署加载项通知关于规划加载项设置MicrosoftOffice2010提供了一些相关设置,允许您控制加载项的行为方式.
通过配置这些设置,可以执行下列操作:基于每个应用程序禁用加载项.
要求由受信任的发布者签署加载项.
禁用未签署加载项通知.
此外,只能基于每个应用程序配置加载项设置.
不存在全局加载项设置.
有关本文中讨论的设置的详细信息,请参阅"Office2010中的安全策略和设置".
有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅"配置Office2010安全性".
默认情况下,已安装和注册的任何加载项无需用户干预即可运行,并且不会向用户显示相关警告.
已安装和注册的加载项可能包括:组件对象模型(COM)加载项VisualStudioToolsforOffice(VSTO)加载项自动化加载项RealTimeData(RTD)服务器应用程序加载项(例如.
wll、.
xll和.
xlam文件)XML扩展包XML样式表此默认行为与在MicrosoftOffice2003或更早MicrosoftOffice系统中选择"信任所有安装的加载项和模板"设置相同.
基于每个应用程序禁用加载项Office2010提供了相关设置,允许您禁用加载项.
使用以下准则可以确定是否使用此设置.
设置名称:禁用所有应用程序加载项说明:此设置禁用所有加载项.
默认情况下,所有已安装和注册的加载项都可以运行.
影响:启用此设置时,将禁用加载项,并且不会通知用户已禁用加载项.
启用此设置可能会严重影响使用加载项的用户.
如果用户安装了关键业务加载项,可能无法启用此设置.
准则:大多数组织可使用此设置的默认配置而无需更改此设置.
要求由受信任发布者签署应用程序加载项Office2010提供了相关设置,允许您要求由受信任发布者签署所有加载项.
使用以下准则可以确定是否使用此设置.
设置名称:要求由受信任发布者签署应用程序加载项说明:此设置控制加载项是否必须由受信任发布者数字签署.
默认情况下,加载项的发布者不必位于"受信任的发布者"列表中加载项即可运行.
影响:启用此设置时,将运行由"受信任的发布者"列表中的发布者签署的加载项,并且不发出通知.
将禁用未签署加载项和未包含在"受信任的发布者"列表中的发布者签署的加载项.
但是会提示用户启用加载项.
启用此设置可能会影响依赖未经受信任发布者签署的加载项的用户.
这些用户必须获取此类加载项的签署版本或停止使用此类加载项.
准则:具有限制性较强的安全环境的组织通常应启用此设置.
禁用未签署加载项通知Office2010提供了相关设置,允许您禁止在未签署加载项无法运行时向用户显示消息栏警告.
使用以下准则可以确定是否使用此设置.
设置名称:禁用针对未签署的应用程序加载项的信任栏通知说明:此设置控制在加载未签署的应用程序加载项时通知用户,还是无提示方式禁用此类加载项而不提供通知.
默认情况下,未签署加载项尝试运行时,会在消息栏中显示警告.
影响:如果启用此设置,未签署的加载项尝试运行时将不会在消息栏中显示警告,并且用户无法启用未签署的加载项.
启用此设置可能会影响依赖未经受信任发布者签署的加载项的用户.
这些用户必须获取此类加载项的签署版本或停止使用此类加载项.
准则:如果具有限制性较强的安全环境的组织要求由受信任发布者签署所有加载项,则此类组织通常启用此设置.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010规划ActiveX控件的安全设置可以通过修改ActiveX控件设置来更改MicrosoftActiveX控件在MicrosoftOffice2010中的行为方式.
本文内容:关于规划ActiveX控件的设置禁用ActiveX控件更改ActiveX控件的初始化方式相关的ActiveX控件设置关于规划ActiveX控件的设置Office2010提供了多种安全设置,使您可以控制ActiveX控件的行为方式以及告知用户潜在的不安全ActiveX控件的方式.
通过配置这些设置,可以执行下列操作:禁用ActiveX控件.
修改基于安全模式参数以及初始化安全(SFI)和初始化不安全(UFI)参数初始化ActiveX控件的方式.
有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅为Office2010配置安全性.
默认情况下,使用永久值在安全模式下加载受信任的ActiveX控件,并且不会通知用户已经加载了ActiveX控件.
受信任的ActiveX控件是由受信任的发布者签署或从受信任位置打开或被认为是受信任文档的文档中包含的任何ActiveX控件.
不受信任的ActiveX控件的加载方式不同,具体取决于ActiveX控件的标记方式以及VBA项目是否与ActiveX控件共同存在于文件中.
不受信任的ActiveX控件的默认行为如下:如果ActiveX控件被标记为"初始化安全(SFI)",并且包含在不包含VBA项目的文档中,将使用永久值在安全模式下加载ActiveX控件.
不会出现消息栏,并且不会通知用户存在ActiveX控件.
必须将文档中的所有ActiveX控件都标记为SFI,才会发生此行为.
如果ActiveX控件被标记为"初始化不安全(UFI)",并且包含在不包含VBA项目的文档中,则会在消息栏中通知用户ActiveX控件被禁用.
但是用户可以单击消息栏来启用ActiveX控件.
如果用户启用ActiveX控件,将使用永久值在安全模式下加载所有ActiveX控件(标记为UFI和SFI的控件).
如果标记为UFI或SFI的ActiveX控件所在的文档还包含VBA项目,则会在消息栏中通知用户ActiveX控件被禁用.
但是用户可以单击消息栏来启用ActiveX控件.
如果用户启用ActiveX控件,将使用永久值在安全模式下加载所有ActiveX控件(标记为UFI和SFI的控件).
重要:如果在注册表中为ActiveX控件设置了消除位,则不会加载该控件,并且在任何情形下都无法加载该控件.
此外,也不会出现消息栏,并且不会通知用户存在ActiveX控件.
禁用ActiveX控件Office2010提供使您能够禁用ActiveX控件的设置.
通过禁用ActiveX控件,可以阻止文件中的所有ActiveX控件在文件打开时进行初始化(即进行加载).
它还可以禁止用户向文档中添加ActiveX控件.
在某些情况下,虽然已禁用的ActiveX控件在文件中可能以红色x或其他一些符号的形式出现,但由于该控件已被禁用,因此在用户单击该符号时将不会发生任何操作.
此外,禁用ActiveX控件时,用户不会收到禁用ActiveX控件的通知.
使用以下准则可确定是否禁用ActiveX控件.
设置名称:禁用所有ActiveX描述:此设置控制是否在Office2010中禁用ActiveX控件.
这是全局设置,不能针对每个应用程序进行配置.
影响:如果启用此设置,将不会初始化ActiveX控件,用户也不会收到有关禁用ActiveX控件的通知.
此外,用户也不能向文档中插入ActiveX控件.
ActiveX控件可在文档中提供附加功能.
因此,禁用它们会减少用户可用的功能.
您应该确保用户知道该设置已启用,因为应用程序不向用户通知ActiveX控件已被禁用这一情况.
在启用此设置之前,应确定是否要将ActiveX控件用于提供关键业务功能,这一点也很重要.
准则:安全环境限制性较强的组织通常会启用此设置.
注意:如果启用此设置,在受信任位置保存的文件中将禁用ActiveX控件.
您还可以使用Office2010中引入的OfficeCOM消除位禁止包括ActiveX控件在内的特定COM对象在Office2010应用程序内运行.
2007Officesystem中提供了此功能.
但是,它依赖于Internet浏览器ActiveX消除位设置.
现在借助Office2010,您可以通过注册表来单独控制使用Office2010无法运行哪些COM对象.
例如,如果对于Office和InternetExplorer这两个位置中的同一ActiveX控件都设置了消除位,并且这两个设置之间存在冲突,则OfficeCOM消除位将优先.
在应用Microsoft安全公告中包含的更新来解决特定Office2010安全问题时,通常会看到设置OfficeCOM消除位这一情况.
警告:建议您不要对COM对象取消消除操作(撤消消除操作).
如果执行此操作,可能会形成安全漏洞.
设置消除位通常是基于很关键的原因,因此在对ActiveX控件取消消除操作时,必须格外谨慎.
在需要将新ActiveX控件(经过修改以减小安全威胁)的CLSID与应用了OfficeCOM消除位的ActiveX控件的CLSID关联时,可能要添加AlternateCLSID(也称为菲尼克斯位).
Office2010仅支持将AlternateCLSID用于ActiveX控件COM对象.
有关包括AlternateCLSID在内的消除位行为的详细信息,请参阅如何禁止ActiveX控件在InternetExplorer中运行(http://go.
microsoft.
com/fwlink/linkid=183124&clcid=0x804).
以下过程对技术要求很高,除非您非常熟悉该过程,否则请不要继续.
重要:此部分、方法或任务包含的步骤讲述如何修改注册表.
但是,如果注册表修改不当,可能会出现严重问题.
因此,请务必要认真执行这些步骤.
为了提供附加保护,请在修改注册表之前先对其进行备份.
然后,您可以在出现问题时还原注册表.
注册表中用于设置OfficeCOM消除位的位置是HKLM/Software/Microsoft/Office/Common/COMCompatibility/{CLSID},其中CLSID是COM对象的类标识符.
若要启用OfficeCOM消除位,您需要添加包括ActiveX控件的CLSID的注册表项,并将0x00000400的值添加为兼容性标志REG_DWORD.
注意:通过在Office2010中启用COM类别可以影响消除位(包括InternetExplorer和OfficeCOM)的行为.
有关详细的信息,请参阅规划Office2010的COM对象分类.
可能要考虑放到Office拒绝列表中的控件:MicrosoftHTADocument6.
0-3050F5C8-98B5-11CF-BB82-00AA00BDCE0Bhtmlfile-25336920-03F9-11CF-8FD0-00AA00686F13htmlfile_FullWindowEmbed-25336921-03F9-11CF-8FD0-00AA00686F13mhtmlfile-3050F3D9-98B5-11CF-BB82-00AA00BDCE0BWeb浏览器控件-8856F961-340A-11D0-A96B-00C04FD705A2DHTMLEdit-2D360200-FFF5-11d1-8d03-00a0c959bc0a更改ActiveX控件的初始化方式Office2010提供了一种设置,使您可以控制基于SFI、UFI和安全模式参数初始化ActiveX控件的方式.
SFI、UFI和安全模式是开发人员在创建ActiveX控件时可以配置的参数.
标记为SFI的ActiveX控件使用安全的数据源进行初始化.
安全的数据源是一个受信任的、已知的且不会导致出现安全漏洞的数据源.
未标记为SFI的控件将被视为UFI.
安全模式是开发人员可以用来帮助确保ActiveX控件安全的另一种安全机制.
当开发人员创建实现安全模式的ActiveX控件时,可以通过两种方式初始化这类控件:在安全模式下和在不安全模式下.
在安全模式下初始化ActiveX控件时,将会对控件施加一些对功能的限制.
相反,在不安全模式下初始化ActiveX控件时,对其功能没有任何限制.
例如,如果读写文件的ActiveX控件是在安全模式下初始化的,则可能仅允许该控件读取文件,而在不安全模式下初始化控件时,该控件则可能能够读写文件.
只有属于SFI的ActiveX控件才能在安全模式下初始化.
属于UFI的ActiveX控件始终在不安全模式下进行初始化.
如果ActiveX控件的默认初始化对您的组织而言不够充分,但您不想禁用ActiveX控件,请使用以下准则确定如何更改ActiveX控件的初始化方式.
设置名称:ActiveX控件初始化描述:此设置可为所有Office2010应用程序指定ActiveX控件的初始化方式.
这是全局设置,不能针对每个应用程序进行配置.
您可以为此设置选择六个可能的初始化安全级别之一:安全级别1:无论如何标记该控件,都加载该控件并使用永久值(如果有).
此设置可禁止用户接收提示.
安全级别2:如果控件被标记为SFI,则在安全模式下加载控件并使用永久值(如果有).
如果控件未标记为SFI,则在不安全模式下使用永久值(如果有)加载,或使用默认(第一次初始化)设置.
此级别类似于默认配置,但与默认配置不同,此设置可禁止用户获得通知.
安全级别3:如果控件被标记为SFI,则在不安全模式下加载控件并使用永久值(如果有).
如果控件未标记为SFI,则提示用户并建议他们将控件标记为不安全.
如果用户在提示时做出的决定是"否",则不加载该控件.
否则,将使用默认(第一次初始化)设置加载控件.
安全级别4:如果控件被标记为SFI,则在安全模式下加载控件并使用永久值(如果有).
如果控件未标记为SFI,则提示用户并建议他们将控件标记为不安全.
如果用户在提示时做出的决定是"否",则不加载该控件.
否则,将使用默认(第一次初始化)设置加载控件.
安全级别5:如果控件被标记为SFI,则在不安全模式下加载控件并使用永久值(如果有).
如果控件未标记为SFI,则提示用户并建议他们将控件标记为不安全.
如果用户在提示时做出的决定是"否",则不加载该控件.
否则,将使用永久值加载控件.
安全级别6:如果控件被标记为SFI,则在安全模式下加载控件并使用永久值(如果有).
如果控件未标记为SFI,则提示用户并建议他们将控件标记为不安全.
如果用户在提示时做出的决定是"否",则不加载该控件.
否则,将使用永久值加载控件.
影响:如果控件未标记为SFI,该控件可能对计算机产生负面影响-或者可能意味着开发人员在任何情况下均不测试该控件并且不确定该控件将来是否会受到威胁.
此外,有些ActiveX控件不遵守安全模式注册表设置,因此即使您配置此设置也可能加载永久性数据,以便ActiveX控件在安全模式下进行初始化.
启用此设置并选择安全级别2、4或6只会增加准确地标记为SFI的ActiveX控件的安全性.
在涉及恶意代码或设计不合理代码的情况下,可能会将ActiveX控件不准确地标记为SFI.
准则:大多数组织都启用此设置并选择安全级别2,这样会与默认配置使用相同的初始化条件,但不在消息栏中通知用户.
对安全环境的限制非常严格的组织通常会禁用此设置,这是默认配置.
相关的ActiveX控件设置有些其他设置会影响ActiveX控件在Office2010应用程序中的行为方式.
如果因具有特殊安全环境而需要修改ActiveX控件设置,可能要评估以下设置:在Forms3中加载控件:此设置确定ActiveX控件在UserForm中的初始化方法.
禁用所有关于安全问题的信任栏通知:此设置可禁止用户看到消息栏警告,包括有关不安全ActiveX控件的警告.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性规划Office2010的VBA宏的安全设置如果要控制VisualBasicforApplications(VBA)和VBA宏的行为方式,可以修改以下应用程序的MicrosoftOffice2010VBA和VBA宏设置:MicrosoftAccess2010、MicrosoftExcel2010、MicrosoftPowerPoint2010、MicrosoftPublisher2010、MicrosoftVisio2010和MicrosoftWord2010.
本文内容:关于规划VBA和VBA宏设置更改VBA宏的安全警告设置禁用VBA更改VBA宏在以编程方式启动的应用程序中的行为方式更改对加密VBA宏执行病毒扫描的方式相关VBA宏设置关于规划VBA和VBA宏设置Office2010提供了一些用于控制VBA和VBA宏的行为的设置.
通过配置这些设置,可以执行下列操作:更改VBA宏的安全警告设置.
这包括禁用VBA宏、启用所有VBA宏和更改将VBA宏信息通知给用户的方式.
禁用VBA.
更改VBA宏在通过自动化以编程方式启动的应用程序中的行为方式.
更改防病毒软件扫描加密VBA宏的方式.
有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅为Office2010配置安全性.
默认情况下将启用VBA并且允许受信任VBA宏运行.
这包括保存在受信任位置的文档中的VBA宏、受信任文档中的VBA宏,以及满足下列条件的VBA宏:开发人员已使用数字签名对这个宏进行了签名.
该数字签名有效.
该数字签名没有过期.
与该数字签名关联的证书是由信誉良好的证书颁发机构(CA)颁发的.
对宏进行签名的开发人员是受信任的发布者.
注意:在MicrosoftOutlook2010中,宏的默认安全设置有所不同.
有关详细信息,请参阅Outlook2010安全文档.
在用户单击消息栏并选择启用VBA宏之前,不允许运行不受信任的VBA宏.
更改VBA宏的安全警告设置Office2010提供了相关设置,允许您更改VBA宏的安全警告设置和行为.
使用以下准则可以确定要更改将不受信任的VBA宏信息通知给用户的方式或者更改VBA宏的默认行为时如何配置此设置.
设置名称:VBA宏通知设置说明:此设置控制应用程序如何将VisualBasicforApplications(VBA)宏信息通知给用户.
可以基于每个应用程序分别为Access2010、Excel2010、PowerPoint2010、Publisher2010、Visio2010和Word2010配置此设置.
可以为此设置选择以下四个可能的选项之一:禁用所有宏,并发出通知:应用程序对所有宏都显示信任栏,无论是已签署的宏还是未签署的宏.
这是默认设置.
禁用无数字签署的所有宏:应用程序对数字签名的宏显示信任栏.
这样用户就可以选择是启用还是禁用这些宏.
任何未签署的宏都会被禁用,用户不会收到相关通知,也无法启用未签署的宏.
禁用所有宏,并且不通知:应用程序将禁用所有宏,无论是已签署的宏还是未签署的宏,并且用户不会收到相关通知.
启用所有宏(不推荐):启用所有宏,无论是已签署的宏还是未签署的宏.
此选项使危险代码不经过检测便可运行,因此大大降低了安全性.
影响:如果启用此设置并选择"禁用无数字签署的所有宏"选项,则包含未签署宏的文档和模板会丧失这些宏提供的所有功能.
要防止因此而丧失功能,用户可以将包含宏的文件存储在受信任的位置.
重要:如果选择"禁用无数字签署的所有宏",则用户无法打开未签署的Access2010数据库.
如果选择"禁用所有宏,并且不通知",则包含未签署和已签署宏的文档和模板会丧失这些宏提供的所有功能,即使宏已签署并且发布者位于"受信任的发布者"列表中也是如此.
准则:位于限制性较强的安全环境中的组织通常启用此设置,并选择"禁用无数字签署的所有宏"选项.
不允许用户运行宏的组织通常启用此设置并选择"禁用所有宏,并且不通知".
禁用VBAOffice2010提供了相关设置,允许您禁用VBA.
默认情况下将启用VBA.
使用以下准则可以确定要禁用VBA时如何配置此设置.
设置名称:禁用VBAforOfficeApplications说明:此设置在Excel2010、MicrosoftOutlook2010、PowerPoint2010、Publisher2010、MicrosoftSharePointDesigner2010和Word2010中禁用VBA,并禁止在这些应用程序中运行任何VBA代码.
不能基于每个应用程序配置此设置.
此设置为全局设置.
启用此设置不会从用户的计算机中安装或删除任何与VBA相关的代码.
影响:如果启用此设置,则VBA代码将不能运行.
如果组织对使用包含VBA代码的文档具有关键业务要求,请不要启用此设置.
准则:具有限制性较强的安全环境的组织通常应启用此设置.
更改VBA宏在以编程方式启动的应用程序中的行为方式Office2010提供了相关设置,允许您更改VBA宏在通过自动化以编程方式启动的应用程序中的行为方式.
默认情况下,如果使用独立程序以编程方式启动Excel2010、PowerPoint2010或Word2010,则任何宏都可以在以编程方式启动的应用程序中运行.
使用这些准则可以确定要执行以下操作时如何配置此设置:禁止宏在通过自动化以编程方式启动的应用程序中运行.
允许VBA宏根据为通过自动化以编程方式启动的应用程序配置的VBA宏安全设置运行.
设置名称:自动化安全说明:此设置控制宏是否可以在由另一应用程序以编程方式打开的应用程序中运行.
此设置为全局设置,适用于Excel2010、PowerPoint2010和Word2010.
不能基于每个应用程序配置此设置.
可以为此设置选择三个可能的选项之一:默认情况下禁用宏:在以编程方式打开的应用程序中禁用所有宏.
启用宏(默认):允许宏在以编程方式打开的应用程序中运行.
此选项强制实施默认配置.
使用应用程序宏安全级别:根据为每个应用程序配置"VBA宏警告设置"设置的方式确定宏功能.
影响:如果启用此设置并选择"默认情况下禁用宏"选项,则宏将不会在以编程方式启动的应用程序中运行.
这在应用程序以编程方式启动后打开包含宏的文档或模板时,可能会成为问题.
在这种情况下,宏提供的功能不可用.
如果选择"使用应用程序宏安全级别"选项,并且使用"VBA宏警告设置"设置禁用了宏,则可能会出现同样的情况.
准则:大多数组织启用此设置并选择"使用应用程序宏安全级别"选项.
不过,具有限制性较强的安全环境的组织通常启用此设置并选择"默认情况下禁用宏"选项.
更改对加密VBA宏执行病毒扫描的方式Office2010在Excel2010、PowerPoint2010和Word2010中提供了相关设置,允许您修改防病毒软件扫描加密VBA宏的方式.
默认情况下,如果文档、演示文稿或工作簿已经加密并且包含VBA宏,那么,除非在客户端计算机上安装了防病毒程序,否则将会禁用VBA宏.
此外,在用户打开包含加密宏的文档时,客户端计算机的防病毒程序会扫描加密VBA宏.
使用这些准则可以确定要执行以下操作时如何配置此设置:允许不执行防病毒程序扫描即运行所有加密VBA宏.
如果安装了防病毒程序,则扫描加密VBA宏;但是如果未安装防病毒程序,则启用加密VBA宏.
设置名称:在ExcelOpenXML文档中扫描加密的宏、在PowerPointOpenXML文档中扫描加密的宏、在WordOpenXML文档中扫描加密的宏说明:此设置控制对加密的VBA宏执行病毒扫描的方式.
此设置是基于每个应用程序的设置,可以分别为Excel2010、PowerPoint2010和Word2010进行配置.
可以为此设置选择三个可能的选项之一:扫描加密的宏(默认).
禁用所有加密的VBA宏(除非防病毒程序对这些宏进行扫描).
此选项强制实施默认配置.
防病毒软件可用时进行扫描.
禁用加密的VBA宏(除非防病毒程序对这些宏进行扫描).
不过,如果客户端计算机上未安装防病毒程序,则启用所有加密的VBA宏.
加载宏而不扫描:启用加密的VBA宏,并且不进行扫描,无论客户端计算机上是否安装了防病毒程序.
影响:如果启用此设置并选择"加载宏而不扫描"选项,则未经过病毒扫描的加密宏会导致安全性大大降低.
在客户端计算机未安装防病毒程序的情况下,如果启用了此设置并选择了"防病毒软件可用时进行扫描"选项,也会出现这种情况.
准则:大多数组织可使用此设置的默认配置而无需更改此设置.
相关VBA宏设置一些其他设置也会影响VBA宏在Office2010应用程序中的行为方式.
如果因具有特殊安全环境而需要修改VBA宏设置,可能要评估以下设置:信任对VBA项目的访问此设置确定自动化客户端是否可以访问VBA项目.
禁用所有关于安全问题的信任栏通知此设置禁止向用户显示消息栏警告,包括有关不安全VBA宏的警告.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述规划Office2010的COM对象分类通过使用COM对象分类,可以控制MicrosoftOffice2010中某些COM对象的行为.
COM对象可以包括ActiveX、对象链接和嵌入(OLE)、ExcelRealTimeData(RTD)服务器和OfficeWebComponents(OWC)数据源提供程序.
例如,您可以创建一个只允许加载指定COM对象的安全允许列表,也可以选择重写InternetExplorer消除位.
本文内容:关于COM对象分类为COM对象分类配置组策略安全设置在注册表中添加COM对象分类关于COM对象分类Office2010将首先检查是否为COM对象分类配置了任何组策略设置.
如果已启用任何允许使用COM对象分类的设置,Office2010将验证指定的COM对象在注册表中是否进行了正确分类.
若要在组织内启用COM对象分类,首先需要确定如何对组策略安全设置进行最佳配置以满足组织的需要.
然后,您需要在注册表中为目标COM对象添加类别ID.
为COM对象分类配置组策略安全设置有四个COM对象分类组策略设置:检查OWC数据源提供程序检查ExcelRTD服务器检查OLE对象检查ActiveX对象可以将"检查OWC数据源提供程序"和"检查ExcelRTD服务器"配置为启用或禁用状态.
启用这些设置将强制Office2010仅加载正确分类的COM对象.
当您选择"启用"时,"检查OLE对象"和"检查ActiveX对象"将具有其他选项.
下表列出了这些选项.
选项说明不检查Office将加载(OLE/ActiveX)对象,在加载之前不检查这些对象是否进行了正确分类.
重写IE消除位列表(默认行为)Office使用类别列表重写InternetExplorer消除位检查.
严格允许列表Office只加载正确分类的ActiveX对象.
利用"覆盖IE消除位列表"选项,可以专门列出只要分类正确便允许在Office2010中加载的OLE或ActiveX控件,即使这些控件在InternetExplorer消除位列表中也会加载.
当您希望允许在InternetExplorer中加载被指定为不安全的COM对象时,可使用此控件.
但是,您知道该COM对象是安全的,可在MicrosoftOffice中加载.
Office还会检查是否启用了OfficeCOM消除位.
有关OfficeCOM消除位的详细信息,请参阅为Office2010规划ActiveX控件的安全设置.
如果启用了OfficeCOM消除位,并且没有备用CLSID(也称为菲尼克斯位),将不会加载COM对象.
有关消除位行为的详细信息,请参阅如何禁止ActiveX控件在InternetExplorer中运行(http://go.
microsoft.
com/fwlink/linkid=183124&clcid=0x804).
如果您要创建一个安全允许列表,以便只允许加载指定的控件,同时不允许加载不在该列表中的所有其他OLE或ActiveX对象,请使用"严格允许列表"选项.
如果您在组策略中启用了任何COM对象分类设置,下一步将会在注册表中添加该COM对象分类.
在注册表中添加COM对象分类每个组策略设置在注册表中都有相应的COM对象分类设置.
下表列出了这些设置.
组策略设置类别ID(CATID)检查OWC数据源提供程序{A67A20DD-16B0-4831-9A66-045408E51786}检查ExcelRTD服务器{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}检查OLE对象{F3E0281E-C257-444E-87E7-F3DC29B62BBD}检查ActiveX对象{4FED769C-D8DB-44EA-99EA-65135757C156}您需要为指定的COM对象添加正确的CATID,组策略设置配置为"禁用"或"启用|不检查"时除外.
在注册表中,要向COM对象的CLSID中添加一个名为"实现的类别"的项(如果它尚不存在).
然后,将包含CATID的子项添加到"实现的类别"项中.
例如,如果创建允许列表并且在Office中只允许使用OLE对象-MicrosoftGraph图表,您将先在注册表的以下位置中查找该COM对象的CLSID:HKEY_CLASSES_ROOT\CLSIDMicrosoftGraph图表的CLSID是{00020803-0000-0000-C000-000000000046}.
下一步是验证"实现的类别"项是否已存在,如果不存在则创建一个.
此示例中的路径将为:HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\ImplementedCategories最后,为与"实现的类别"项的"检查OLE对象组策略"设置对应的CATID添加一个新子项.
此示例的最终路径和值将为:HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\ImplementedCategories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
规划Office2010的"受保护的视图"设置如果您要更改MicrosoftOffice2010中沙盒预览功能的运行方式,则可以配置受保护的视图的各项设置.
受保护的视图是Office2010中的一种新安全功能,它在受限环境中打开文件,以便可以先检查这些文件,然后再在MicrosoftExcel2010、MicrosoftPowerPoint2010或MicrosoftWord2010中打开它们进行编辑,从而有助于减少对您的计算机的攻击.
本文内容:关于规划受保护的视图的设置阻止文件在受保护的视图中打开强制文件在受保护的视图中打开将文件添加到不安全文件列表中关于规划受保护的视图的设置受保护的视图通过在沙盒环境中打开文档、演示文稿或工作簿来帮助减少多种攻击.
沙盒是独立于某些操作系统组件和应用程序的一块计算机内存或一个特定计算机进程.
由于此隔离设置,在沙盒环境中运行的程序和进程的危险性较低.
沙盒环境经常用于测试可能使计算机不稳定或出现故障的新应用程序和服务.
沙盒环境还用于阻止应用程序和进程损害计算机.
在受保护的视图中打开文件时,用户可以查看文件内容,但无法编辑、保存或打印文件内容.
活动的文件内容(例如ActiveX控件、加载项、数据库连接、超链接和VisualBasicforApplications(VBA)宏)处于未启用状态.
用户可以从文件中复制内容并将其粘贴到另一个文档中.
另外,受保护的视图阻止用户查看用于签署文档、演示文稿或工作簿的数字签名的详细信息.
受保护的视图的默认行为默认情况下,将在Excel2010、PowerPoint2010和Word2010中启用受保护的视图功能.
但是,文件只在某些条件下才在受保护的视图中打开.
在有些情况下,文件会绕过受保护的视图打开以进行编辑.
例如,从受信任位置打开的文件和属于受信任文档的文件会绕过多种安全检查,不会在受保护的视图中打开.
默认情况下,如果满足以下任一条件,则文件将在受保护的视图中打开:文件跳过或未通过Office文件验证Office文件验证是一种用于扫描文件中是否存在文件格式漏洞的新安全功能.
如果Office文件验证功能检测到可能存在漏洞或其他一些不安全的文件损坏行为,则将在受保护的视图中打开文件.
AES区域信息确定文件不安全执行服务(AES)向由MicrosoftOutlook或MicrosoftInternetExplorer下载的文件中添加区域信息.
如果文件的区域信息指示该文件源自不受信任的网站或Internet,则下载的文件将在受保护的视图中打开.
用户在受保护的视图中打开文件用户可以通过以下方式在受保护的视图中打开文件:在"打开"对话框中选择"在受保护的视图中打开";或者按下Shift键,右键单击文件,然后选择"在受保护的视图中打开".
从不安全的位置打开文件默认情况下,不安全的位置包括用户的TemporaryInternetFiles文件夹以及放置下载的程序文件的文件夹.
但是,您可以使用组策略设置来指定其他不安全的位置.
在有些情况下,即使满足了前面列出的一个或多个条件,也会绕过受保护的视图.
特别是当满足以下任一条件时,文件将不会在受保护的视图中打开:文件是从受信任位置打开的.
文件被视为受信任文档.
更改受保护的视图的行为建议您不要更改受保护的视图的默认行为.
受保护的视图是Office2010中分层防御策略的重要组成部分,旨在与其他安全功能(例如Office文件验证和文件阻止)协作.
但是,我们认识到某些组织可能必须更改受保护的视图的设置,才能符合特殊安全需要.
因此,Office2010提供了几种允许您更改受保护的视图功能运行方式的设置.
您可以使用这些设置执行以下操作:阻止从Internet下载的文件在受保护的视图中打开.
阻止存储在不安全位置的文件在受保护的视图中打开.
阻止在MicrosoftOutlook2010中打开的在受保护的视图中打开.
将位置添加到不安全位置列表中.
另外,您可以使用文件阻止设置和Office文件验证设置来强制文件在受保护的视图中打开.
有关详细信息,请参阅下文中的强制文件在受保护的视图中打开.
注意:有关本文中讨论的设置的详细信息,请参阅"Office2010中的安全策略和设置".
有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅"配置Office2010安全性".
阻止文件在受保护的视图中打开您可以更改受保护的视图的设置,以便某些文件绕过受保护的视图.
为此,可启用以下设置:不在受保护的视图中打开来自Internet区域的文件如果AES区域信息指示文件是从Internet区域下载的,则此设置将强制文件绕过受保护的视图.
此设置适用于使用InternetExplorer、OutlookExpress和Outlook下载的文件.
不在受保护的视图中打开位于不安全位置的文件如果文件是从不安全的位置打开的,则此设置将强制文件绕过受保护的视图.
您可以使用"指定不安全位置的列表"设置将文件夹添加到不安全位置列表中,此设置将在下文中讨论.
对Outlook中打开的关闭受保护的视图此设置强制作为Outlook2010打开的Excel2010、PowerPoint2010和Word2010文件绕过受保护的视图.
如果文件阻止设置强制文件在受保护的视图中打开,将不应用这些设置.
另外,如果文件未通过Office文件验证,则也不应用这些设置.
您可以按应用程序为Excel2010、PowerPoint2010和Word2010的情况分别配置其中每项设置.
强制文件在受保护的视图中打开文件阻止和Office文件验证功能具有的某些设置允许您在满足某些条件时强制在受保护的视图中打开文件.
您可以使用这些设置来确定文件在受保护的视图中打开时所处的境况.
使用文件阻止功能来强制文件在受保护的视图中打开文件阻止功能允许您阻止用户打开或保存某些文件类型.
当您使用文件阻止设置来阻止文件类型时,可以选择以下三种文件阻止操作之一:阻止并且不允许打开.
阻止并且仅在受保护的视图中打开(用户无法进行编辑).
阻止并且在受保护的视图中打开(用户可以进行编辑).
通过选择第二个或第三个选项,您可以强制被阻止的文件类型在受保护的视图中打开.
您只能按应用程序为Excel2010、PowerPoint2010和Word2010的情况配置文件阻止设置.
有关文件阻止设置的详细信息,请参阅"为Office2010规划文件阻止设置".
使用Office文件验证设置来强制文件在受保护的视图中打开Office文件验证是一种新安全功能,它在Office2010应用程序打开文件之前对文件进行文件格式漏洞扫描.
默认情况下,未通过Office文件验证的文件将在受保护的视图中打开,并且用户可以在受保护的视图中预览文件后进行编辑.
不过,您可以使用"文件验证失败时设置文档行为"设置来更改此默认行为.
您可以使用此设置来为未通过Office文件验证的文件选择三种可能的选项之一:完全阻止未通过Office文件验证的文件无法在受保护的视图中打开或打开后进行编辑.
在受保护的视图中打开并且不允许编辑未通过Office文件验证的文件在受保护的视图中打开,但用户无法编辑这些文件.
在受保护的视图中打开并且允许编辑未通过Office文件验证的文件在受保护的视图中打开,并且允许用户编辑这些文件.
这是默认设置.
通过选择第二个选项,您可以针对未通过Office文件验证的文件限制受保护的视图的行为.
您只能按应用程序为Excel2010、PowerPoint2010和Word2010的情况配置此Office文件验证设置.
有关Office文件验证设置的详细信息,请参阅规划Office2010的Office文件验证设置.
将文件添加到不安全文件列表中您可以使用"指定不安全位置的列表"设置将相关位置添加到不安全位置列表中.
从不安全的位置打开的文件将始终在受保护的视图中打开.
不安全的位置功能不会阻止用户编辑文档;它只是强制文档在受保护的视图中打开后进行编辑.
这是应用于Excel2010、PowerPoint2010和Word2010的全局设置.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述了解Office2010的安全威胁和对策规划Office2010的Office文件验证设置规划Office2010的Office文件验证设置如果要更改MicrosoftOffice2010对以MicrosoftOffice二进制文件格式存储的文件进行验证的方式,可以配置Office文件验证设置.
Office文件验证是Office2010的一项新增安全功能,在MicrosoftExcel2010、MicrosoftPowerPoint2010或MicrosoftWord2010中打开以Office二进制文件格式存储的文件之前,该功能会对文件进行扫描,以帮助阻止文件格式攻击.
本文内容:关于规划Office文件验证设置关闭Office文件验证更改未通过验证时的文档行为关闭Office文件验证的报告功能关于规划Office文件验证设置Office文件验证可帮助检测并阻止一种称为文件格式攻击或文件模糊化攻击的攻击.
文件格式攻击可破坏文件的完整性,在有人为了添加恶意代码而修改文件结构时会发生文件格式攻击.
恶意代码通常远程运行,并且用于提升受限帐户在计算机上的权限.
因此,攻击者可以访问以前无权访问的计算机.
这使得攻击者可以从计算机的硬盘驱动器读取敏感信息,或安装蠕虫病毒或击键记录程序等恶意软件.
Office文件验证功能可在打开文件之前对文件进行扫描和验证,从而帮助阻止文件格式攻击.
为了对文件进行验证,Office文件验证可将文件的结构与预定义文件架构进行比较,预定义文件架构是用于确定可读文件显示效果的一组规则.
如果Office文件验证检测到文件的结构并未遵循架构中说明的所有规则,则该文件不能通过验证.
文件格式攻击经常发生在以Office二进制文件格式存储的文件中.
因此,Office文件验证对以下类型的文件进行扫描和验证:Excel97-2003工作簿文件.
此类文件的扩展名为.
xls,并且包含所有二进制交换文件格式8(BIFF8)文件.
Excel97-2003模板文件.
此类文件的扩展名为.
xlt,并且包含所有BIFF8文件.
MicrosoftExcel5.
0/95文件.
此类文件的扩展名为.
xls,并且包含所有BIFF5文件.
PowerPoint97-2003演示文稿文件.
此类文件的扩展名为.
ppt.
PowerPoint97-2003放映文件.
此类文件的扩展名为.
pps.
PowerPoint97-2003模板文件.
此类文件的扩展名为.
pot.
Word97-2003文档文件.
此类文件的扩展名为.
doc.
Word97-2003模板文件.
此类文件的扩展名为.
dot.
Office2010提供了一些相关设置,允许您更改Office文件验证功能的行为方式.
您可以使用这些设置执行下列操作:禁用Office文件验证.
指定文件未通过验证时的文档行为.
禁止Office2010将Office文件验证信息发送给Microsoft.
注意:有关本文中讨论的设置的详细信息,请参阅"Office2010中的安全策略和设置".
有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅"配置Office2010安全性".
默认情况下,Office文件验证在Excel2010、PowerPoint2010和Word2010中处于启用状态.
未通过验证的任何文件都将在受保护的视图中打开,并且对于未通过验证但在受保护的视图中打开的文件,用户可以选择允许进行编辑.
此外,会提示用户将Office文件验证信息发送给Microsoft.
仅收集未通过验证的文件的信息.
建议不要更改Office文件验证的默认设置.
不过,一些组织可能必须对Office文件验证设置进行配置才能满足特殊安全性要求.
具体地说,具有以下安全性要求的组织可能必须更改Office文件验证功能的默认设置:限制访问Internet的组织.
Office文件验证大约每隔两周就会提示用户将验证错误信息发送给Microsoft.
这可能与组织的Internet访问策略冲突.
在这种情况下,您可能需要禁止Office文件验证将信息发送给Microsoft.
有关详细信息,请参阅下文中的关闭Office文件验证的报告功能.
对安全环境的限制非常严格的组织.
可以配置Office文件验证,以便无法打开未通过验证的文件或者只能在受保护的视图中打开.
此设置比Office文件验证的默认设置限制更加严格,可能适用于具有锁定安全环境的组织.
有关如何更改文档行为的详细信息,请参阅下文中的更改未通过验证时的文档行为.
不希望将其文件发送给Microsoft的组织.
在用户允许的情况下,Office文件验证会将未通过验证的所有文件的副本发送给Microsoft.
您可以配置Office文件验证,以便不提示用户将验证信息发送给Microsoft.
关闭Office文件验证您可以通过"禁用文件验证"设置禁用Office文件验证.
必须基于每个应用程序分别为Excel2010、PowerPoint2010和Word2010配置此设置.
此设置禁止对以Office二进制文件格式存储的文件进行扫描和验证.
例如,如果为Excel2010启用了"禁用文件验证"设置,则Office文件验证将不扫描或验证Excel97-2003工作簿文件、Excel97-2003模板文件或MicrosoftExcel5.
0/95文件.
如果用户打开其中一种文件类型的文件,并且该文件包含文件格式攻击,则不会检测或阻止攻击,除非一些其他安全控制检测到并阻止此类攻击.
建议不要关闭Office文件验证.
Office文件验证是Office2010中分层防御策略的一个主要部分,应该在整个组织内的所有计算机上启用此功能.
如果要禁止Office文件验证功能对文件进行验证,建议使用受信任位置功能.
从受信任位置打开的文件将跳过Office文件验证检查.
还可以使用受信任的文档功能来禁止Office文件验证对文件进行验证.
被视为受信任文档的文件不执行Office文件验证检查.
更改未通过验证时的文档行为您可以使用"文件验证失败时设置文档行为"设置来更改文档未通过验证时的行为方式.
启用此设置后,可以选择下列三个选项之一:完全阻止文件:未通过验证的文件不在受保护的视图中打开,用户不能打开这些文件进行编辑.
在受保护视图中打开文件但不允许编辑:在受保护的视图中打开文件,以便用户可以查看文件的内容,但用户无法打开文件进行编辑.
在受保护视图中打开文件并允许编辑:在受保护的视图中打开文件,并且用户可以选择打开文件进行编辑.
此选项代表Office文件验证功能的默认行为.
如果选择"在受保护视图中打开文件但不允许编辑"选项,在文件未通过验证时消息栏中会显示以下文本:受保护的视图Office已检测到此文件存在问题.
编辑此文件可能会损害您的计算机.
请单击查看详细信息.
如果用户单击消息栏,则会显示MicrosoftOfficeBackstage视图,该视图提供了有关该问题的更详细说明,并且允许用户启用文件编辑功能.
如果选择"完全阻止文件",则文件未通过验证时将在对话框显示以下文本:Office检测到此文件存在一个问题.
要帮助保护您的计算机,不能打开此文件.
用户可以展开该对话框,以查看对为什么不能打开文件的详细解释,或者可以通过单击"确定"关闭该对话框.
关闭Office文件验证的报告功能您可以使用"禁用文件验证失败时的错误报告"设置来禁止显示用于提示用户将信息发送给Microsoft的对话框.
此设置还禁止将验证信息发送给Microsoft.
每次文件未通过验证时,Office2010都会收集文件未通过验证的原因的相关信息.
文件未通过验证后大约两周,Office2010会提示用户将Office文件验证信息发送给Microsoft.
验证信息包含文件类型、文件大小、打开文件所需的时间以及验证文件所需时间等内容.
未通过验证的文件的副本也会发送给Microsoft.
提示用户将验证信息发送给Microsoft时会显示文件列表.
用户可以拒绝将验证信息发送给Microsoft,这样做意味着不会将有关未通过验证的信息发送给Microsoft,也不会将任何文件发送给Microsoft.
如果组织限制访问Internet、具有严格的Internet访问策略或者不希望将文件发送给Microsoft,则可能必须启用"禁用文件验证失败时的错误报告"设置.
重要:Office文件验证功能有时可能会在文件实际上有效时显示文件未通过验证.
验证报告功能有助于Microsoft改进Office文件验证功能并尽可能减少误报.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性2007Officesystem管理模板文件(ADM、ADMX、ADML)和Office自定义工具更新在使用MicrosoftExcel2010、MicrosoftPowerPoint2010和MicrosoftWord2010中的"用密码进行加密"功能时,MicrosoftOffice2010可提供允许您强制实施强密码的相关设置,例如密码长度和复杂性规则.
使用这些设置,您可以让Office2010应用程序强制实施在组策略中的密码策略设置中指定的本地密码要求或基于域的要求.
本文内容:关于密码长度和复杂性设置计划确定密码规则等级相关密码长度和复杂性设置关于密码长度和复杂性设置计划默认情况下,对"用密码进行加密"功能的密码长度或密码复杂性设置没有任何限制,这表明用户可以加密文档、演示文稿或工作簿,而无需指定密码.
但是,建议组织更改此默认设置并强制实施密码长度和复杂性,以帮助确保结合使用强密码和"用密码进行加密"功能.
许多组织都使用基于域的组策略来强制实施用于登录和身份验证的强密码.
在这种情况下,建议组织在使用"用密码进行加密"功能时,使用相同的密码长度和复杂性要求.
有关强密码的详细信息,包括用于确定密码长度和复杂性的相关建议,请参阅创建强密码策略(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=166269&clcid=0x804)(该链接可能指向英文页面).
警告:在创建密码策略时,应考虑是需要提高安全性,还是需要使密码策略易于用户实施.
如果用户忘记密码或某员工离开了组织但没有提供用于保存和加密数据的密码,则无法访问该数据,除非提供正确的密码来解密数据.
强制实施密码长度和复杂性在配置Office2010提供的密码设置以强制实施密码长度和复杂性时,可以选择使用Office2010中包含的设置,或者结合使用基于域的组策略对象中提供的密码设置.
如果您已强制实施用于域登录和身份验证的强密码,则建议您为Office2010和相应域的密码策略组策略对象配置相同的密码长度和复杂性设置.
Office2010中包含的密码设置如下所示:设置密码最短长度设置密码规则等级设置密码规则域超时可以使用Office自定义工具(OCT)或用于本地或基于域的组策略的Office2010管理模板来配置Office2010密码设置.
有关如何在OCT和Office2010管理模板中配置安全设置的信息,请参阅为Office2010配置安全性.
下面列出了用于域中的密码策略组策略对象的密码设置:强制密码历史密码最长期限密码最短期限最短密码长度密码必须符合复杂性要求用可还原的加密来储存密码可以使用组策略对象编辑器配置基于域的密码策略设置("GPO"|"计算机配置"|"策略"|"Windows设置"|"安全设置"|"帐户策略"|"密码策略").
有关详细信息,请参阅组策略对象编辑器技术参考(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=188682&clcid=0x804)(该链接可能指向英文页面).
Office2010中的"设置密码规则等级"设置可确定密码复杂性要求以及是否使用该域的密码策略组策略对象.
若要强制实施"用密码进行加密"功能的密码长度和复杂性设置,必须执行以下操作:确定要在本地强制实施的最短密码长度.
确定密码规则等级.
确定实施基于域的密码的密码超时值.
(这是一项可选任务.
如果您的域控制器上安装了自定义密码筛选器,并且等候联系域控制器的默认时间(4秒钟)不够时,则可能需要配置该值.
)确定最短密码长度要求若要强制实施密码长度和复杂性,必须首先确定要在本地强制实施的最短密码长度.
为此,可使用"设置密码最短长度"设置.
如果启用此设置,则可以指定介于0和255之间的密码长度.
但是,指定最短密码长度并不会强制实施密码长度.
若要强制实施密码长度或复杂性,必须更改下节中讨论的"设置密码规则等级"设置.
警告:在创建密码策略时,应考虑是需要提高安全性,还是需要使密码策略易于用户实施.
如果用户忘记密码或某员工离开了组织但没有提供用于保存和加密数据的密码,则无法访问该数据,除非提供正确的密码来解密数据.
确定密码规则等级在设置可本地实施的最短密码长度后,必须确定用于强制实施密码长度和复杂性的规则.
为此,可使用"设置密码规则等级"设置.
如果启用此设置,则可以选择以下四个等级中的一个等级:无密码检查不强制实施密码长度和复杂性.
这与默认配置相同.
本地长度检查强制实施密码长度,但不强制实施密码复杂性.
此外,只根据"设置密码最短长度"设置中指定的密码长度要求,在本地强制实施密码长度.
本地长度和复杂性检查根据"设置密码最短长度"设置中指定的密码长度要求,在本地强制实施密码长度.
并且还在本地强制实施密码复杂性,这表明密码必须包含以下字符集中至少三个字符集中的字符:小写a–z大写A–Z数字0–9非字母字符此设置仅在您在"设置密码最短长度"设置中指定至少包含6个字符的密码长度时才有效.
本地长度、本地复杂性和域策略检查根据在组策略中设置的基于域的密码策略设置,强制实施密码长度和复杂性.
如果计算机脱机或无法联系域控制器,则会按照"本地长度和复杂性检查"设置中的描述,严格实施本地密码长度和复杂性要求.
如果希望使用基于域的设置强制实施密码长度和密码复杂性,则必须配置组策略中的密码策略设置.
与本地实施相比,基于域的实施具有若干优势.
下面是其中一些优势:针对登录和身份验证的密码长度和复杂性要求与针对"用密码进行加密"功能的要求相同.
在整个组织中强制实施密码长度和复杂性要求的方式相同.
可以根据组织单位、站点和域,以不同方式强制实施密码长度和复杂性要求.
有关使用基于域的组策略强制实施密码长度和复杂性的详细信息,请参阅在整个组织中强制使用强密码(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=166262&clcid=0x804)(该链接可能指向英文页面).
确定域超时值如果使用基于域的组策略设置强制实施"用密码进行加密"功能的密码长度和复杂性要求,并且您的域控制器上安装了自定义密码筛选器,则可能需要配置"设置密码规则域超时"设置.
域超时值确定Office2010应用程序在强制使用本地密码长度和复杂性设置之前需要等待多长时间才能获得来自域控制器的响应.
可以使用"设置密码规则域超时"设置更改域超时值.
默认情况下,超时值为4000毫秒(4秒),这表明如果域控制器在4000毫秒内没有响应,Office2010应用程序将强制使用本地密码长度和复杂性设置.
注意:除非启用"设置密码最短长度"设置、"设置密码规则等级"设置,然后选择"本地长度、本地复杂性和域策略检查"选项,否则域超时值不起作用.
相关密码长度和复杂性设置在组织强制实施密码长度和复杂性时会经常使用以下设置:加密灵活性设置您可以通过这些设置指定用于加密文档、演示文稿和工作簿的加密提供程序和算法.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性规划Office2010的加密技术和加密设置MicrosoftOffice2010包含的设置允许您在使用MicrosoftAccess2010、MicrosoftExcel2010、MicrosoftOneNote2010、MicrosoftPowerPoint2010、MicrosoftProject2010和MicrosoftWord2010时控制加密数据的方式.
本文包含Office2010中的加密技术和加密的概述,描述了您可以用于加密数据的设置,提供了有关与MicrosoftOffice早期版本的兼容性的信息.
有关MicrosoftOutlook2010的信息,请参阅规划Outlook2010中的电子邮件加密.
在您规划加密设置时,请考虑以下指导信息:我们建议您不要更改默认加密设置,除非您所在组织的安全模型需要不同于默认设置的加密设置.
我们建议您强制实施密码长度和复杂性要求,以帮助确保在加密数据时使用强密码,有关详细信息,请参阅2007Officesystem管理模板文件(ADM、ADMX、ADML)和Office自定义工具更新.
我们建议您不要使用RC4加密.
有关详细信息,请参阅本文后面的与Office早期版本的兼容性.
不存在强制用户加密文档的管理设置.
但有一项管理设置允许您去除向文档添加密码的功能,这样可以禁止文档加密.
有关详细信息,请参阅本文后面的加密技术和加密设置.
在受信任位置保存文档不会影响加密设置.
如果文档被加密且保存在受信任位置,用户必须提供一个密码才能打开文档.
本文内容:关于Office2010中的加密技术和加密加密技术和加密设置与Office早期版本的兼容性关于Office2010中的加密技术和加密Office可用的加密算法取决于可通过Windows操作系统中的API(应用程序编程接口)访问的算法.
Office2010除了继续支持加密API(CryptoAPI)之外,还支持通过ServicePack2(SP2)最先在2007MicrosoftOfficesystem中提供的CNG(CryptoAPI:下一代加密技术).
CNG可实现更灵活的加密,这时,可指定主机上支持的不同加密和哈希算法在文档加密过程中使用.
CNG还可以实现更高的扩展性加密,在此情况下,可使用第三方加密模块.
当Office使用CryptoAPI时,加密算法取决于CSP(加密服务提供程序)中可用的那些加密算法,CSP是Windows操作系统的一部分.
以下注册表项包含了计算机上安装的CSP的列表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider以下CNG加密算法或系统上安装的任何其他CNG加密程序扩展可用于Office2010或2007OfficesystemSP2:AES、DES、DESX、3DES、3DES_112和RC2以下CNG哈希算法或系统上安装的任何其他CNG加密程序扩展可用于Office2010或2007OfficesystemSP2:MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384和SHA512尽管在您加密OpenXML格式文件(.
docx、.
xslx、.
pptx等)时可使用Office2010设置去更改执行加密的方式,默认值—AES(高级加密标准)、128位密钥长度、SHA1和CBC(加密块链接)—提供了强加密,应该适用于大多数组织.
AES加密是可用的最强业界标准算法,并由美国国家安全局(NSA)选择用作美国政府的标准.
AES加密在WindowsXPSP2、WindowsVista、Windows7、WindowsServer2003和WindowsServer2008上支持.
加密技术和加密设置下表列出了在您使用访问CryptoAPI的MicrosoftOffice版本时可用于更改加密算法的设置.
其中包括从Office各个早期版本直到Office2010.
设置说明密码保护的OfficeOpenXML文件的加密类型此设置允许您在可用的加密服务提供程序(CSP)中为OpenXML文件指定加密类型.
在您使用自定义COM加密加载项时,此设置是必需的.
有关详细信息,请参阅"2007Officesystem加密开发人员指南",访问地址是SharePointServer2007SDK(http://go.
microsoft.
com/fwlink/linkid=107614&clcid=0x804).
如果您使用2007OfficesystemSP1或使用早于用于Word、Excel和PowerPoint文件格式的MicrosoftOffice兼容包(http://go.
microsoft.
com/fwlink/linkid=78517&clcid=0x804)的某个兼容包版本,并且您需要将加密算法更改为除了默认算法之外的算法,此设置也是必需的.
受密码保护的Office97-2003文件的加密类型此设置允许您在可用的加密服务提供程序(CSP)中为Office97–2003(二进制)文件指定加密类型.
在您使用此设置时唯一支持的加密算法是RC4,如前所述,我们不建议使用此算法.
在Office2010中,如果您必须更改"受密码保护的OfficeOpenXML文件的加密类型"设置,必须先启用"指定加密兼容性"设置,然后选择"使用旧式格式"选项.
"指定加密兼容性"设置可用于Access2010、Excel2010、PowerPoint2010和Word2010.
下表列出了在您使用Office2010时可用于更改加密算法的设置.
这些设置适用于Access2010、Excel2010、OneNote2010、PowerPoint2010、Project2010和Word2010.
注意:下列所有设置(除了"设置CNG上下文的参数"和"指定CNG随机数字生成器算法"设置)都适用,即使您使用的是Office2010的支持操作系统,如WindowsXPSP3,它不包括CNG支持.
如果是这种情况,Office2010使用CryptoAPI而不是CNG.
这些设置仅在您将Office2010用于OpenXML文件加密时才适用.
设置说明设置CNG加密算法此设置允许您配置使用的CNG加密算法.
默认值为AES.
配置CNG加密链接模式此设置允许您配置使用的加密链接模式.
默认值为"加密块链接(CBC)".
设置CNG加密密钥长度此设置允许您配置创建加密密钥时使用的位数.
默认值为128位.
指定加密兼容性此设置允许您指定兼容性模式.
默认值为"使用下一代格式".
设置CNG上下文的参数此设置允许您指定应该用于CNG上下文的加密参数.
若要使用此设置,首先必须使用CryptoAPI:下一代加密技术(CNG)创建CNG上下文.
有关详细信息,请参阅CNG加密配置功能(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=192996&clcid=0x804)(该链接可能指向英文页面).
指定CNG哈希算法此设置允许您指定使用的哈希算法.
默认值为SHA1.
设置CNG密码调节计数此设置允许您指定调节(刷新)密码验证程序的次数.
默认值为100000.
指定CNG随机数字生成器算法此设置允许您配置要使用的CNG随机数字生成器.
默认值为RNG(随机数字生成器).
指定CNGsalt长度此设置允许您指定应该使用的salt的字节数.
默认值为16.
除了上表中列出的CNG设置,可为Excel2010、PowerPoint2010和Word2010配置下表中的CNG设置.
设置说明更改密码时使用新密钥此设置允许您指定更改密码时是否使用新加密密钥.
默认设置为密码更改时不使用新密钥.
您可以使用下表中列出的设置来去除向文档添加密码的功能,这样可以禁止文档加密.
设置说明禁用打开用户界面的密码此设置控制Office2010用户是否可向文档添加密码.
默认情况下,用户可以添加密码.
注意:有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅为Office2010配置安全性.
与Office早期版本的兼容性如果您需要加密Office文档,我们建议您将文档另存为OpenXML格式文件(.
docx、.
xlsx、.
pptx等),而不是Office97–2003格式(.
doc、.
xls、.
ppt等).
二进制文档(.
doc、.
xls、.
ppt)的加密使用RC4,如Office文档加密结构规范(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=192287&clcid=0x804)(该链接可能指向英文页面)的"安全性注意事项"4.
3.
2和4.
3.
3节所述,不建议使用此算法.
使用早期的Office二进制格式保存的文档只能使用RC4加密,以保持与MicrosoftOffice早期版本的兼容性.
默认的推荐加密算法AES用于加密OpenXML格式文件.
Office2010和2007Officesystem允许您将文档另存为OpenXML格式文件.
此外,如果您有MicrosoftOfficeXP或Office2003,可以使用兼容包将文档另存为OpenXML格式文件.
如果您的组织使用用于Word、Excel和PowerPoint文件格式的MicrosoftOffice兼容包来加密OpenXML格式文件,您应阅览以下信息:默认情况下,兼容包使用以下设置加密OpenXML格式文件:"Microsoft增强RSA和AES加密提供程序(原型),AES128,128位"(WindowsXPProfessional操作系统上).
"Microsoft增强RSA和AES加密提供程序,AES128,128位"(WindowsServer2003和WindowsVista操作系统上).
用户不会被告知兼容包使用这些加密设置.
如果安装了兼容包,则Office早期版本上的图形用户界面可能为OpenXML格式文件显示的是不正确的加密设置.
用户不能在Office早期版本中使用图形用户界面来更改OpenXML格式文件的加密设置.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性Office文档加密结构规范(该链接可能指向英文页面)规划Office2010的数字签名设置您可以使用MicrosoftExcel2010、MicrosoftPowerPoint2010和MicrosoftWord2010对文档进行数字签名.
还可以使用Excel2010、MicrosoftInfoPath2010和Word2010添加签名行和签名戳.
MicrosoftOffice2010包括XAdES(XML高级电子签名)支持,这是XML-DSig标准的一组扩展.
最早在2007MicrosoftOfficesystem中支持此功能.
本文内容:什么是数字签名数字证书:自签名或者由CA颁发使用数字签名什么是数字签名对纸质文档进行手写签名的情况,同样也适用于对文档进行数字签名.
通过使用加密算法,数字签名用于帮助对数字信息(如文档、电子邮件和宏)的创建者的身份进行身份验证.
数字签名基于数字证书.
数字证书是受信任第三方颁发的身份验证程序,受信任第三方也就是证书颁发机构(CA).
它的作用类似于使用纸质身份证件.
例如,受信任第三方,如政府实体或雇主,颁发身份证书—如驾驶证、护照和员工ID卡—其他人要依靠这些身份证书来验证一个人是否确实是他/她所声明的身份.
数字签名有什么作用数字签名可帮助确立下列身份验证措施:真实性数字签名及其基础数字证书可帮助确保签名者符合其真实的身份.
这样有助于阻止其他人假冒某个证书的原始所有者(相当于伪造纸质证书).
完整性数字签名有助于确保内容在进行数字签名以后未经更改或篡改.
这样有助于防止文档在原始所有者不知情的情况下被拦截和更改.
不可否认性数字签名有助于向所有各方证明签名内容的来源.
"否认"指签名者否认与签名内容有任何关联的行为.
这样可以证明文档的原始所有者就是真正的所有者,而不是任何其他人,无论签名者声称自己的身份是什么.
如果签名者不否认其数字密钥,就不能否认对文档的签名,因此,也不能否认用该密钥签名的其他文档.
数字签名的要求若要建立这些条件,内容创建者必须通过创建满足以下条件的签名来对内容进行数字签名:数字签名有效.
受操作系统信任的CA必须对数字签名所基于的数字证书进行签名.
与数字签名关联的证书没有过期,或者包含指示证书在签名时有效的时间戳.
与数字签名关联的证书未被注销.
签名者或组织(也就是发布者)是受接收者信任的.
Word2010、Excel2010和PowerPoint2010为您检测这些条件,如果有数字签名似乎有问题,会向您发出警告.
在Office2010应用程序中显示的证书任务窗格中可轻松地查看关于有问题的证书的信息.
Office2010应用程序允许您向同一个文档添加多个数字签名.
公司环境中的数字签名以下案例说明如何在公司环境中使用文档的数字签名:1.
员工使用Excel2010创建费用报表.
然后员工创建三个签名行:一个是员工自己的签名行,一个是经理的签名行,还有一个是会计部门的签名行.
这些签名行用于确定该员工是文档的原始所有者,在文档转移到经理和会计部门的过程中文档不会发生更改,并且可以证明经理和会计部门都收到文档并进行了审查.
2.
经理收到文档,将她自己的数字签名添加到文档,确认她已经审查并批准文档.
然后她将文档转发给会计部门进行付款.
3.
会计部门的工作人员收到文档,然后对其进行签名,确认收到文档.
此示例说明可以将多个签名添加到一个Office2010文档.
除了数字签名,文档的签名者还可以添加其实际签名的图形,或使用TabletPC将签名手写到文档中的签名行.
部门可使用一个名为"橡皮章"的功能,它表示特定部门的某个成员已收到文档.
兼容性问题Office2010与2007Officesystem一样,使用XML-DSig格式进行数字签名.
此外,Office2010已添加了对XAdES(XML高级电子签名)的支持.
XAdES是XML-DSig的一组分层扩展.
其级别基于早期版本,以提供更可靠的数字签名.
有关Office2010中支持的XAdES级别的详细信息,请参阅本文后面的使用数字签名.
有关XAdES的详细信息,请参阅XML高级电子签名(XAdES)(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=186631&clcid=0x804)(该链接可能指向英文页面)的规范.
很重要的一点是,要知道Office2010中创建的数字签名与早于2007Officesystem的MicrosoftOffice版本不兼容.
例如,如果文档是使用Office2010或2007Officesystem中的应用程序进行签名,并使用安装了Office兼容包的MicrosoftOffice2003中的应用程序打开,则用户将被告知该文档是用更新版本的MicrosoftOffice签名的,而且数字签名将丢失.
下图显示警告,使用Office早期版本打开文档时将删除数字签名.
另外,如果XAdES用于Office2010中的数字签名,则数字签名不会与2007Officesystem兼容,除非您配置组策略设置"不将XAdES引用对象包含在指令清单中",然后将其设为"禁用".
有关数字签名组策略设置的详细信息,请参阅本文后面的配置数字签名.
如果您需要Office2010中创建的数字签名与Office2003及其早期版本兼容,可以配置组策略设置"旧式格式签名",然后将其设为"启用".
此组策略设置位于"用户配置"\"管理模板"\"(ADM\ADMX)"\"MicrosoftOffice2010"\"签名"下.
此设置设为"启用"后,Office2010应用程序使用Office2003二进制格式将数字签名用于Office2010中创建的Office97–2003二进制文档.
数字证书:自签名或者由CA颁发数字证书可以自签名或由组织中的CA颁发,如运行ActiveDirectory证书服务的WindowsServer2008计算机或公共CA,如VeriSign或Thawte.
自签名证书通常由个人以及不希望在其组织中设置公钥基础结构(PKI)且不希望购买商业证书的小型公司使用.
使用自签名证书的主要缺点是,它只有在您与其他私下认识您并且确信您是文档的实际原始所有者的人交换文档时才有用.
使用自签名证书时,没有第三方来验证您的证书的真实性.
收到签名文档的每个人都必须手动地确定是否信任您的证书.
对于较大的组织,可以使用两种主要方法来获得数字证书:使用公司PKI创建的证书和商业证书.
希望仅在组织的其他员工中共享签名文档的组织可能更愿意使用公司PKI,以减少成本.
希望与组织之外的人共享签名文档的组织可能更愿意使用商业证书.
使用公司PKI创建的证书组织可以选择创建自己的PKI.
如果是这样,公司将设置一个或多个可为公司内的计算机及用户创建数字证书的证书颁发机构(CA).
与ActiveDirectory目录服务结合使用时,公司可以创建完整的PKI解决方案,这样公司管理的所有计算机都安装公司CA链接,用户和计算机都自动被分配文档的数字证书,以便进行文档签名和加密.
从而使公司的所有员工都能自动信任来自公司其他员工的数字证书(因此,信任有效的数字签名).
有关详细信息,请参阅ActiveDirectory证书服务(http://go.
microsoft.
com/fwlink/linkid=119113&clcid=0x804).
商业证书商业证书是从业务范围为销售数字证书的公司购买的.
使用商业证书的主要优点是商业证书供应商的根CA证书自动安装在Windows操作系统上,从而使那些计算机能自动信任这些CA.
与公司PKI解决方案不同,商业证书允许您与不属于您所在组织的用户共享您的签名文档.
有三种商业证书:1类1类证书颁发给具有有效电子邮件地址的人.
1类证书适用于不需要身份证明的非商业交易的数字签名、加密和电子访问控制.
2类2类证书颁发给个人和设备.
2类个人证书适用于基于验证数据库中的信息的身份证明即可满足要求的交易中的数字签名、加密和电子访问控制.
2类设备证书适用于设备验证;邮件、软件和内容的完整性;以及机密内容加密.
3类3类证书颁发给个人、组织、服务器、设备以及CA和根证书颁发机构(RA)的管理员.
3类个人证书适用于必须确认身份证明的交易中的数字签名、加密和访问控制.
3类服务器证书适用于服务器身份验证;邮件、软件和内容的完整性;以及机密内容加密.
有关商业证书的详细信息,请参阅数字标识–Office市场(http://go.
microsoft.
com/fwlink/linkid=119114&clcid=0x804).
使用数字签名您可以使用MicrosoftExcel2010、MicrosoftPowerPoint2010和MicrosoftWord2010对文档进行数字签名.
还可以使用Excel2010、MicrosoftInfoPath2010和Word2010添加签名行或签名戳.
对具有数字证书但没有签名行或签名戳的文档进行数字签名即是创建不可见的数字签名.
这两种方法,可见数字签名和不可见数字签名,都使用数字证书对文档进行签名.
不同之处在于使用可见数字签名行时文档内的图形表示.
有关如何添加数字签名的详细信息,请参阅在Office文件中添加或删除数字签名(http://go.
microsoft.
com/fwlink/linkid=187659&clcid=0x804).
默认情况下,Office2010创建XAdES-EPES数字签名,无论在创建数字签名期间使用的是自签名证书还是CA签名的证书.
下表列出了Office2010中提供的基于XML-DSig数字签名标准的XAdES数字签名级别.
每个级别都建立在上一级别的基础上,并且包含以前级别的所有功能.
例如,除了XAdES-X中引入的新功能,XAdES-X还包含XAdES-EPES、XAdES-T和XAdES-C的所有功能.
签名级别说明XAdES-EPES(基本)将有关签名证书的信息添加到XML-DSig签名.
这是Office2010签名的默认设置.
XAdES-T(时间戳)将时间戳添加到签名的XML-DSig和XAdES-EPES部分,这有助于防止证书过期.
XAdES-C(完整)添加对证书链和吊销状态信息的引用.
XAdES-X(扩展)将时间戳添加到签名的XML-DSigSignatureValue元素以及–T和–C部分.
额外的时间戳防止额外的数据被否认.
XAdES-X-L(扩展的长期)将实际证书和证书吊销信息与签名存储在一起.
这样即使在证书服务器不可用时,仍可实现证书验证.
时间戳数字签名Office2010能将时间戳添加到数字签名,此功能有助于延长数字签名的使用期限.
例如,如果吊销的证书以前用于创建数字签名,它包含来自受信任时间戳服务器的时间戳,那么如果该时间戳出现在证书吊销之前,则数字签名仍然视为有效.
若要将时间戳功能与数字签名一起使用,您必须完成以下操作:设置与RFC3161兼容的时间戳服务器使用组策略设置"指定服务器名称"输入时间戳服务器在网络上的位置.
您还可以通过配置以下一项或多项组策略设置来配置额外的时间戳参数:配置时间戳哈希算法设置时间戳服务器超时如果您不配置和启用"配置时间戳哈希算法",将使用SHA1的默认值.
如果您不配置和启用"设置时间戳服务器超时",Office2010将等待时间戳服务器响应请求的默认时间为5秒钟.
配置数字签名除了用于配置与时间戳相关的设置的组策略设置,还有其他组策略设置可配置数字签名在组织中的配置和控制方式.
设置名称和说明如下所列.
设置说明签名生成时要求OCSP此策略设置允许您确定,生成数字签名时,Office2010是否需要链中的所有数字证书的OCSP(在线证书状态协议)吊销数据.
指定数字签名生成的最低XAdES级别此策略设置允许您指定为创建XAdES数字签名Office2010应用程序必须达到的最低XAdES级别.
如果不能达到最低XAdES级别,Office应用程序就不创建签名.
检查数字签名的XAdES部分此策略设置允许您指定Office2010验证文档的数字签名时是否检查数字签名的XAdES部分(如果有).
验证签名时不允许过期的证书此策略设置允许您配置Office2010应用程序在验证数字签名时是否接受过期数字证书.
不将XAdES引用对象包含在指令清单中此策略设置允许您确定XAdES引用对象是否应该出现在指令清单中.
如果您希望2007Officesystem能读取包含XAdES内容的Office2010签名,必须将此设置配置为"禁用",否则,2007Officesystem会将包含XAdES内容的签名视为无效.
选择数字签名哈希算法此策略设置允许您配置Office2010应用程序用于确认数字签名的哈希算法.
设置签名验证级别此策略设置允许您设置Office2010应用程序在验证数字签名时使用的验证级别.
签名生成的请求的XAdES级别此策略设置允许您指定在创建数字签名时请求的或需要的XAdES级别.
与组策略设置相关的额外数字签名如下所示:密钥用法筛选设置默认图像目录增强型密钥用法筛选旧式格式签名禁止Office签名提供程序禁止外部签名服务菜单项有关每个组策略设置的详细信息,请参阅随Office2010的管理模板文件一起提供的帮助文件.
有关管理模板文件的详细信息,请参阅Office2010组策略概述.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
规划Office2010的隐私选项如果希望禁止显示用户首次启动MicrosoftOffice2010时出现的"欢迎使用MicrosoftOffice2010"对话框,则可以配置隐私选项.
"欢迎使用MicrosoftOffice2010"对话框也称为自愿加入向导或"推荐设置"对话框,它允许用户启用或禁用一些基于Internet的服务,从而有助于保护和改进Office2010应用程序.
本文内容:关于规划隐私选项禁止显示"欢迎使用MicrosoftOffice2010"对话框配置隐私选项相关隐私选项关于规划隐私选项用户首次启动Office2010时,将出现以下对话框:如果用户选择"使用推荐设置",则以下安全设置和隐私选项处于启用状态:系统会为WindowsVista和较新的操作系统以及Office2010应用程序自动安装推荐的更新和重要更新.
应用程序能够连接到Office.
com来获取更新的帮助内容,并且能够接收安装的Office2010应用程序的目标帮助内容.
应用程序能够定期下载少量文件,这些文件有助于确定系统问题并会提示用户将错误报告发送给Microsoft.
用户已注册客户体验改善计划.
如果用户选择"仅安装更新",则会为WindowsVista和较新的Windows操作系统以及Office2010应用程序自动安装推荐的更新和重要更新.
用户会获得有关新可选软件的通知.
对于WindowsXP,只会安装高优先级更新.
然而,隐私选项在Office2010应用程序中未发生更改,这意味着生效的是默认隐私选项.
如果用户选择"请勿更改",则不会在Windows安全中心中更改自动更新,并且隐私选项在Office2010中未发生更改,这意味着生效的是默认隐私选项.
Office2010应用程序的默认隐私选项如下:Office2010应用程序未连接到Office.
com来获取更新的帮助内容,并且在您的计算机上未检测Office应用程序以向用户提供改进的搜索结果.
Office2010应用程序不下载帮助诊断问题的小程序,并且不向Microsoft发送错误消息信息.
用户不报名参加客户体验改善计划.
由于"欢迎使用MicrosoftOffice2010"对话框允许用户启用或禁用一些基于Internet的服务,因此您可能需要阻止该对话框出现并单独配置这些服务.
如果您禁止显示该对话框,则建议您启用所有基于Internet的服务,您可以通过配置隐私选项来执行此操作.
注意:有关如何在Office自定义工具(OCT)和Office2010管理模板中配置安全设置的信息,请参阅为Office2010配置安全性.
禁止显示"欢迎使用MicrosoftOffice2010"对话框通过启用"禁止推荐设置对话框"设置,您可以禁止显示"欢迎使用MicrosoftOffice2010"对话框.
该组策略设置位于"用户配置"\"管理模板"\"(ADM\ADMX)"\"MicrosoftOffice2010"\"杂项"下的组策略对象编辑器中.
当用户首次启动Office2010时,此设置会阻止显示"欢迎使用MicrosoftOffice2010"对话框.
如果启用此设置,则自动更新功能将保持不变,并且用于控制基于Internet的服务的隐私选项处于未启用状态.
如果您禁止显示"欢迎使用MicrosoftOffice2010"对话框而未启用某些隐私选项,则会禁用某些改进Office2010应用程序的功能,并会使计算机受到安全威胁.
因此,如果您启用此设置,则建议您也启用配置隐私选项中讨论的所有隐私选项.
大部分组织会启用此设置,其中包括具有严格限制的安全环境或具有限制Internet访问的安全环境的组织.
配置隐私选项Office2010提供了许多允许您控制隐私信息透露的设置.
这些设置通常称为隐私选项.
您可以启用或禁用其中的每个设置以满足组织的安全要求.
但是,如果禁止显示"欢迎使用MicrosoftOffice2010"对话框,则建议您启用所有这些设置.
设置名称:在线内容选项.
该组策略设置位于"用户配置"\"管理模板"\"(ADM\ADMX)"\"MicrosoftOffice2010"\"工具"|"选项"|"常规"|"服务选项…"\"在线内容"下的组策略对象编辑器中.
说明:此设置控制Office2010帮助系统是否可以从Office.
com中下载帮助内容.
您可以为此设置选择以下三个可能的选项之一:从不显示在线内容或入口点.
帮助系统未连接到Office.
com来下载内容.
如果您禁止显示"欢迎使用MicrosoftOffice2010"对话框,或者用户选择"欢迎使用MicrosoftOffice2010"对话框上的"请勿更改"或"仅安装更新",则这是默认设置.
尽可能仅搜索脱机内容.
帮助系统未连接到Office.
com来下载内容.
尽可能搜索在线内容.
当计算机连接到Internet时,帮助系统连接到Office.
com以获取内容.
影响:如果启用此设置并选择"从不显示在线内容或入口点"或"尽可能仅搜索脱机内容",则用户无法通过帮助系统访问更新的帮助主题,并且您无法从Office.
com获取模板.
准则:大部分组织会启用此设置并选择"尽可能搜索在线内容".
这是此设置的建议配置.
但是,具有严格限制的安全环境或具有限制Internet访问的安全环境的组织通常会启用此设置并选择"从不显示在线内容或入口点".
设置名称:自动接收少量更新以改进可靠性.
该组策略设置位于"用户配置"\"管理模板"\"(ADM\ADMX)"\"MicrosoftOffice2010"\"隐私"\"信任中心"下的组策略对象编辑器中.
说明:此设置控制客户端计算机是否定期下载少量允许Microsoft诊断系统问题的文件.
影响:如果启用此设置,则Microsoft会收集有关计算机的特定错误和IP地址的信息.
除了传输请求更新的计算机的IP地址外,不会向Microsoft传输个人身份信息.
准则:大部分组织会启用此设置,这是建议的配置.
具有严格限制的安全环境或具有限制Internet访问的安全环境的组织通常会禁用此设置.
设置名称:启用"客户体验改善计划".
该组策略设置位于"用户配置"\"管理模板"\"(ADM\ADMX)"\"MicrosoftOffice2010"\"隐私"\"信任中心"下.
说明:此设置控制用户是否参与CEIP来帮助改进Office2010.
如果用户参与CEIP,则Office2010应用程序会将有关应用程序使用情况的信息自动发送给Microsoft.
此信息将与其他CEIP数据组合,以帮助Microsoft解决问题并改进客户最常用的产品和功能.
参与CEIP并不会收集用户的姓名、地址或任何其他身份信息(用于发送数据的计算机的IP地址除外).
影响:如果您启用此设置,则用户将参与CEIP.
准则:大部分组织会启用此设置,这是建议的配置.
具有严格限制的安全环境或具有限制Internet访问的安全环境的组织通常不会启用此设置.
相关隐私选项一些其他设置与Office2010应用程序中的隐私泄露有关.
如果因具有特殊安全环境而更改隐私选项,则可能要评估以下设置:保护受密码保护的文件的文档元数据此设置决定在使用密码加密功能时是否加密元数据.
保护执行权限管理的OfficeOpenXML文件的文档元数据此设置决定在使用按人员限制权限功能时是否加密元数据.
打印、保存或发送包含修订或批注的文件之前发出警告此设置决定在用户打印、保存或发送文档之前是否向用户发出有关批注和修订的警告.
显示隐藏标记此设置决定在您打开文档时所有修订是否可见.
防止文档检查器运行此设置允许您禁用文档检查器模块.
注意:有关策略设置的最新信息,请参考MicrosoftExcel2010工作簿Office2010GroupPolicyAndOCTSettings_Reference.
xls,可从Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面)下载页上的"此下载中的文件"部分获得该工作簿.
另请参阅Office2010安全概述为Office2010配置安全性规划Office2010的文件阻止设置本文提供有关组策略和Office自定义工具(OCT)设置的信息,您可以配置这些设置以便对MicrosoftExcel2010、MicrosoftPowerPoint2010和MicrosoftWord2010用户阻止特定的文件格式类型.
本文内容:使用组策略或OCT阻止文件格式类型组策略和OCT设置使用组策略或OCT阻止文件格式类型您可以通过在组策略或OCT中配置相应的设置,为Excel2010、PowerPoint2010和Word2010阻止特定类型的文件,并确定用户如何打开和保存这些阻止的文件.
虽然在许多情况下可以使用阻止文件格式设置来管理文件使用情况,但这些设置最常用于:强制组织使用特定的文件格式.
通过暂时阻止用户打开特定类型的文件来缓解零时差安全攻击(在漏洞被公开与推出软件更新或ServicePack之间的这段时间内发生的攻击).
防止组织打开以早期及预发布(Beta)MicrosoftOffice格式保存的文件.
配置文件阻止设置时的规划注意事项在规划文件阻止设置时应考虑以下总体准则:确定您是否希望用户能够更改配置:如果是使用组策略配置的文件阻止设置(策略),则用户将无法更改配置.
如果是使用OCT配置的文件阻止设置(首选项),用户则可以在信任中心UI中更改设置.
阻止打开设置不适用于从受信任位置打开的文件.
阻止文件格式设置是应用程序特定的.
无法阻止用户使用其他应用程序打开或保存阻止的文件类型或格式.
例如,您可以在Word2010中启用阻止用户打开.
dot文件的阻止文件格式设置,但用户仍然可以使用MicrosoftPublisher2010打开.
dot文件,因为它使用转换器读取.
dot文件.
禁用消息栏中的通知不会影响阻止文件格式设置.
阻止文件格式警告对话框会先出现,然后消息栏中才会出现通知.
组策略和OCT设置本节介绍如何在组策略和OCT中查找设置,并列出Excel2010、PowerPoint2010和Word2010设置.
如何查找设置除非另有说明,否则这些设置的位置如下所示:对于组策略,这些设置在组策略对象编辑器的"用户配置/管理模板"节点下提供.
注意:当您调用组策略对象编辑器编辑GPO时,本文中提供的组策略对象编辑器中的位置将适用.
若要编辑本地组策略,请使用本地组策略编辑器.
若要编辑基于域的组策略,请使用组策略管理控制台(GPMC).
当您编辑GPO时,这两个工具都会调用组策略对象编辑器.
有关详细信息,请参阅使用组策略在Office2010中强制启用设置和Office2010组策略概述.
对于OCT,策略设置在"修改用户设置"页上提供.
在组策略和OCT中,包含Excel2010、PowerPoint2010和Word2010的文件阻止设置的文件夹的特定路径是平行的:Excel2010文件阻止设置:MicrosoftExcel2010\Excel选项\安全性\信任中心\文件阻止设置PowerPoint2010文件阻止设置:MicrosoftPowerPoint2010\PowerPoint选项\安全性\信任中心\文件阻止设置Word2010文件阻止设置:MicrosoftWord2010\Word选项\安全性\信任中心\文件阻止设置注意:默认情况下,用户可以在信任中心用户界面(UI)中为Excel2010、PowerPoint2010和Word2010设置默认文件阻止设置(在"文件"选项卡上,依次单击"选项"、"信任中心"、"信任中心设置"和"文件阻止设置").
通过在组策略中配置相应的设置,可以禁用信任中心选项中的文件阻止选项.
如果通过OCT配置设置,用户仍然可以通过信任中心UI指定文件类型行为.
有关详细信息,请参阅什么是文件阻止(http://go.
microsoft.
com/fwlink/linkid=195498&clcid=0x804).
关于"设置默认文件阻止行为"设置"设置默认文件阻止行为"设置指定如何打开阻止的文件(例如:不打开,在受保护的视图中打开,或者在受保护的视图中打开但可以编辑).
如果启用此设置,您指定的默认文件阻止行为将适用于用户在信任中心UI中阻止的所有文件格式.
在以下情况下,它还适用于某个特定的文件格式:您启用了其文件格式设置(有关单个文件格式设置的详细信息,请参阅本文中的表格),并且选择了"打开/保存被阻止,使用开放策略"选项.
否则,如果您配置单个文件格式设置,它将覆盖该文件类型的"设置默认文件阻止行为"设置配置.
注意:信任中心UI中"文件阻止"下的"打开选定文件类型的行为"下的选项直接映射到"设置默认文件阻止行为"设置中的选项.
您可以通过在组策略中启用"设置默认文件阻止行为"设置,来为用户禁用这些UI选项.
Excel2010设置下表列出了组策略和OCT中可为Excel2010用户配置的文件阻止设置.
除"设置默认文件阻止行为"设置外,文件设置名称与它们所阻止的文件类型相对应.
设置名称文件格式扩展名如果启用此设置,则可以选择以下选项之一:如果禁用或不配置此设置设置默认文件阻止行为用户在信任中心UI中阻止的文件格式单个文件类型,如果启用此设置并选择"打开/保存被阻止,使用开放策略"注意:单个文件类型设置将会覆盖此设置.
不打开受阻止的文件.
受阻止的文件在受保护的视图中打开但无法编辑.
受阻止的文件在受保护的视图中打开且可以编辑.
不打开受阻止的文件(用户将无法打开受阻止的文件).
Excel2007和更高版本的工作簿和模板*.
xlsx*.
xltx不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel2007和更高版本启用宏的工作簿和模板*.
xlsm*.
xltm不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel2007和更高版本的加载项文件*.
xlam不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
Excel2007和更高版本的二进制工作簿*.
xlsb不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
OpenDocument电子表格文件*.
ods不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel97–2003加载项文件*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
Excel97–2003工作簿和模板*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel95–97工作簿和模板*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel95工作簿*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel4工作簿*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel4工作表*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel3工作表*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel2工作表*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel4宏表和加载项文件*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel3宏表和加载项文件*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel2宏表和加载项文件*.
xls*.
xla*.
xlt*.
xlm*.
xlw*.
xlb不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
网页和Excel2003XML电子表格*.
mht*.
mhtml*.
htm*.
html*.
xml*.
xlmss不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
XML文件*.
xml不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
文本文件*.
txt*.
csv*.
prn不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
Excel加载项文件*.
xll(.
dll)不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
dBaseIII/IV文件*.
dbf不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
MicrosoftOffice查询文件*.
iqy*.
dqy*.
oqy*.
rqy不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
MicrosoftOffice数据连接文件*.
odc不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
其他数据源文件*.
udl*.
dsn*.
mdb*.
mde*.
accdb*.
accde*.
dbc*.
uxdc不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
脱机多维数据集文件*.
cub不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
Dif和Sylk文件*.
dif*.
slk不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
Excel的旧式转换器通过转换器打开的所有文件格式不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Excel的MicrosoftOfficeOpenXML转换器通过OOXML转换器打开的所有文件格式不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
PowerPoint2010设置下表列出了组策略和OCT中可为PowerPoint2010用户配置的文件阻止设置.
除"设置默认文件阻止行为"设置外,文件设置名称与它们所阻止的文件类型相对应.
设置名称文件格式扩展名如果启用此设置,则可以选择以下选项之一:如果禁用或不配置此设置设置默认文件阻止行为用户在信任中心UI中阻止的文件格式单个文件类型,如果启用此设置并选择"打开/保存被阻止,使用开放策略"注意:单个文件类型设置将会覆盖此设置.
不打开受阻止的文件.
受阻止的文件在受保护的视图中打开但无法编辑.
受阻止的文件在受保护的视图中打开且可以编辑.
不打开受阻止的文件(用户将无法打开受阻止的文件).
PowerPoint2007和更高版本的演示文稿、放映、模板、主题和加载项*.
pptx*.
pptm*.
potx*.
ppsx*.
ppam*.
thmx*.
xml不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
OpenDocument演示文稿文件*.
odp不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
PowerPoint97–2003演示文稿、放映、模板和加载项文件*.
ppt*.
pot*.
pps*.
ppa不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
网页*.
mht*.
mhtml*.
htm*.
html不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
大纲文件*.
rtf*.
txt*.
doc*.
wpd*.
docx*.
docm*.
wps不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
PowerPoint旧式转换器早于PowerPoint97的演示文稿文件不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
图形筛选器*.
jpg*.
png*.
tif*.
bmp*.
wmf*.
emf不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
不阻止文件格式类型.
PowerPoint的MicrosoftOfficeOpenXML转换器通过OOXML转换器打开的所有文件格式不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word2010设置下表列出了组策略和OCT中可为Word2010用户配置的文件阻止设置.
除"设置默认文件阻止行为"设置外,文件设置名称与它们所阻止的文件类型相对应.
设置名称文件格式扩展名如果启用此设置,则可以选择以下选项之一:如果禁用或不配置此设置设置默认文件阻止行为用户在信任中心UI中阻止的文件格式单个文件类型,如果启用此设置并选择"打开/保存被阻止,使用开放策略"注意:单个文件类型设置将会覆盖此设置.
不打开受阻止的文件.
受阻止的文件在受保护的视图中打开但无法编辑.
受阻止的文件在受保护的视图中打开且可以编辑.
不打开受阻止的文件(用户将无法打开受阻止的文件).
Word2007和更高版本的文档和模板*.
docx*.
dotx*.
docm*.
dotm*.
xml(WordFlatOpenXML)不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
OpenDocument文本文件*.
odt不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word2007和更高版本的二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word2003二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word2003和纯XML文档*.
xml不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
WordXP二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word200二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word97二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word95二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word6.
0二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word2.
0和早期版本的二进制文档和模板*.
doc*.
dot不阻止:将不阻止文件类型.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
网页*.
htm*.
html*.
mht*.
mhtml不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
RTF文件*.
rtf不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
纯文本文件*.
txt不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
不阻止文件格式类型.
Word的旧式转换器通过转换器打开的所有文件格式不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
Word的OfficeOpenXML转换器通过OOXML转换器打开的所有文件格式不阻止:将不阻止文件类型.
保存被阻止:将阻止对文件类型进行保存.
打开/保存被阻止,使用开放策略:将阻止打开和保存文件类型.
文件将依据"设置默认文件阻止行为"设置所配置的方式打开.
阻止:将阻止打开和保存文件类型,并且文件无法打开.
在受保护的视图中打开:将阻止打开和保存文件类型,并且禁用编辑文件类型的选项.
允许编辑并在受保护的视图中打开:将阻止打开和保存文件类型,并且启用编辑选项.
不阻止文件格式类型.
另请参阅规划Office2010的安全性Office2010组策略概述使用组策略在Office2010中强制启用设置OfficeCustomizationToolinOffice2010(该链接可能指向英文页面)规划Office2010中的信息权限管理在许多企业中,对于诸如员工医疗和财务记录、薪资信息和私人数据等敏感信息,只是通过限制访问存储这些信息的网络或计算机来保护.
MicrosoftOffice2010中的信息权限管理(IRM)技术通过使用户可以指定访问和使用文档和邮件的权限,帮助组织和信息工作人员以电子方式控制敏感信息.
本文概括地介绍了IRM技术及其在Office应用程序中的工作方式,并提供了一些详细说明有关如何设置和安装所需的服务器和软件以在Office2010中实现IRM的链接.
本文内容:IRM概述IRM在Office2010中的工作方式针对Office2010设置IRM针对Office2010配置IRM设置针对Outlook2010配置IRM设置IRM概述信息权限管理(IRM)是Microsoft开发的持久文件级技术,该技术使用权限和授权帮助防止未经授权的个人打印、转发或复制敏感信息.
使用此技术限制文档或邮件的权限后,使用限制就会遍布该文档或电子邮件,如同文件内容的一部分.
注意:以下Office2010套件中提供使用IRM创建权限受限的内容或电子邮件的功能:MicrosoftOfficeProfessional2010和MicrosoftOfficeProfessionalPlus2010.
MicrosoftExcel2010、MicrosoftOutlook2010、MicrosoftPowerPoint2010、MicrosoftInfoPath2010和MicrosoftWord2010的独立版本中也提供IRM.
可在MicrosoftOffice2003、2007MicrosoftOfficesystem或Office2010中查看在Office2010中创建的IRM内容.
Office2010对IRM的支持满足了组织和知识工作者的两个基本需求:敏感信息的受限权限IRM有助于防止对敏感信息未经授权的访问和重用.
组织依靠防火墙、与登录安全相关的措施和其他网络技术帮助保护敏感的知识产权.
使用这些技术的基本局限是有权访问信息的合法用户可以与未经授权的用户共用访问权限.
这样做有可能破坏安全策略.
信息隐私、控制和完整性信息工作人员经常会处理机密或敏感信息.
通过使用IRM,员工不必依赖其他人的判断即可确保敏感材料留在公司内部.
IRM通过帮助禁用权限受限的文档和邮件中的转发、复制或打印功能,使用户无法对机密信息使用这些功能.
对于信息技术(IT)管理员,IRM有助于强制实施在文档保密性、工作流程和电子邮件保留等方面的现有企业策略.
对于CEO和安全官,IRM降低了重要公司信息落入不当人员之手的风险,无论是意外、疏忽还是预谋.
IRM在Office2010中的工作方式Office用户通过使用功能区上的选项向邮件或文档应用权限;例如,通过使用Word中"审阅"选项卡上的"限制编辑"命令.
可用的保护选项基于为组织自定义的权限策略.
权限策略是打包在一起要作为一个策略应用的IRM权限组.
Office2010还提供了几组预定义的权限,例如MicrosoftOutlook2010中的"不要转发".
在有RMS服务器的环境中使用IRM在组织中启用IRM通常需要访问为WindowsServer2003运行WindowsRightsManagementServices(RMS)或为WindowsServer2008运行ActiveDirectoryRightsManagementServices(ADRMS)的权限管理服务器.
(还可以通过使用WindowsLiveID验证权限来使用IRM,如下一节中所述).
通过使用身份验证(通常是通过使用ActiveDirectory目录服务)强制实施权限.
如果未实施ActiveDirectory,则WindowsLiveID可以验证权限.
用户无需安装Office即可读取受保护的文档和邮件.
对于运行WindowsXP或早期版本的用户,ExcelViewer(http://go.
microsoft.
com/fwlink/linkid=184596&clcid=0x804)和WordViewer(http://go.
microsoft.
com/fwlink/linkid=184595&clcid=0x804)使拥有正确权限的Windows用户能够读取具有受限权限的某些文档,而无需使用Office软件.
运行WindowsXP或早期版本的用户可以使用MicrosoftOutlookWebApp或用于InternetExplorer的权限管理加载项(http://go.
microsoft.
com/fwlink/linkid=82926&clcid=0x804)来读取具有受限权限的电子邮件,而无需使用Outlook软件.
对于运行Windows7、WindowsVistaServicePack1、WindowsServer2008或WindowsServer2008R2的用户,已提供了此功能.
这些操作系统中附带了ActiveDirectoryRightsManagementServices客户端软件.
在Office2010中,组织可以创建出现在Office应用程序中的权限策略.
例如,可以定义称为"公司机密"的权限策略,指定仅公司域内部的用户可以打开使用该策略的文档或电子邮件.
对可以创建的权限策略数没有限制.
注意:WindowsSharePointServices3.
0支持对存储在文档库中的文档使用IRM.
通过在WindowsSharePointServices中使用IRM,可以控制用户从WindowsSharePointServices3.
0的库中打开文档时对文档可以采取的操作.
相比之下,IRM应用于存储在客户端计算机上的文档时,文档的所有者可以选择向文档的每个用户指派何种权限.
有关如何对文档库使用IRM的详细信息,请参阅规划文档库(WindowsSharePointServices)(http://go.
microsoft.
com/fwlink/linkid=183051&clcid=0x804).
利用WindowsServer2008上的ADRMS,用户可以在具有联合信任关系的公司之间共享受权限保护文档.
有关详细信息,请参阅ActiveDirectoryRightsManagementServices概述(http://go.
microsoft.
com/fwlink/linkid=183051&clcid=0x804)和联合ADRMS(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183053&clcid=0x804)(该链接可能指向英文页面).
此外,MicrosoftExchangeServer2010还利用ADRMS提供了新的受IRM保护的电子邮件功能,其中包括针对统一消息语音邮件的ADRMS保护,以及MicrosoftOutlook保护规则,这些规则可在Outlook2010中的邮件离开MicrosoftOutlook客户端之前对这些邮件自动应用IRM保护.
有关详细信息,请参阅ExchangeServer2010新增功能(http://go.
microsoft.
com/fwlink/linkid=183062&clcid=0x804)和了解信息权限管理:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=183063&clcid=0x804).
有关如何安装和配置RMS服务器的详细信息,请参阅WindowsServer2003RightsManagementServices(RMS)(http://go.
microsoft.
com/fwlink/linkid=73121&clcid=0x804)和WindowsServer2008ActiveDirectoryRightsManagementServices(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=180006&clcid=0x804)(该链接可能指向英文页面).
在没有本地RMS服务器的环境下使用IRM在典型安装中,WindowsServer2003含有RMS或者WindowsServer2008含有ADRMS,因而可以对Office2010使用IRM权限.
如果在与用户相同的域上未配置RMS服务器,则WindowsLiveID可以替代ActiveDirectory验证权限.
用户必须具有Internet访问权限才能连接到WindowsLiveID服务器.
向需要访问受限文件的内容的用户指派权限时,可以使用WindowsLiveID帐户.
使用WindowsLiveID帐户进行身份验证时,必须专门向每个用户授予对文件的权限.
不能向用户组指派访问文件的权限.
针对Office2010设置IRM将IRM权限应用于文档或电子邮件时要求以下各项:访问WindowsServer2003的RMS或WindowsServer2008的ADRMS以验证权限.
或者,可以通过在Internet上使用WindowsLiveID服务来管理身份验证.
权限管理(RM)客户端软件.
RM客户端软件包括在WindowsVista及更高版本中,或作为WindowsXP和WindowsServer2003的外接程序提供.
MicrosoftOffice2003、2007MicrosoftOfficesystem或Office2010.
只有特定版本的Office才允许用户创建IRM权限.
设置RMS服务器访问WindowsRMS或ADRMS管理与IRM协同工作以提供权限管理的授权和其他管理服务器功能.
启用了RMS的客户端程序(例如Office2010)使用户能够创建和查看受权限保护的内容.
若要详细了解RMS的工作方式以及如何安装和配置RMS服务器,请参阅WindowsServer2003RightsManagementServices(RMS)(http://go.
microsoft.
com/fwlink/linkid=73121&clcid=0x804)、WindowsServer2008ActiveDirectoryRightsManagementServices(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=180006&clcid=0x804)(该链接可能指向英文页面)和了解信息权限管理:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=183062&clcid=0x804).
安装权限管理客户端软件RM客户端软件包括在WindowsVista或Windows的更高版本中.
在WindowsXP和WindowsServer2003上,必须单独安装和配置必要的RMS客户端软件,才能与运行Windows的计算机上的RMS或ADRMS交互,或与Internet上的WindowsLiveID服务进行交互.
下载RMS客户端ServicePack(http://go.
microsoft.
com/fwlink/linkid=82927&clcid=0x804),使WindowsXP和WindowsServer2003上的用户能够运行基于RMS技术限制权限的应用程序.
定义和部署权限策略就像在Office2003和2007Officesystem中一样,Office2010包括了用户可应用于文档和邮件的多组预定义权限,例如MicrosoftWord2010、MicrosoftExcel2010和MicrosoftPowerPoint2010中的"读取"和"更改".
还可以定义自定义IRM权限策略,以便为组织中的用户提供不同的IRM权限包.
通过使用RMS或ADRMS服务器上的管理网站来创建和管理权限策略模板.
有关如何创建、编辑和发布自定义权限策略模板的信息,请参阅WindowsServer2003RightsManagementServices(RMS)(http://go.
microsoft.
com/fwlink/linkid=73121&clcid=0x804)和WindowsServer2008ADRMS权限策略模板部署循序渐进指南(http://go.
microsoft.
com/fwlink/linkid=183068&clcid=0x804).
有关ExchangeServer2010Outlook保护规则,请参阅了解Outlook保护规则:Exchange2010帮助(http://go.
microsoft.
com/fwlink/linkid=183067&clcid=0x804).
针对Office2010可以包括在权限策略模板中的权限在以下各节中列出.
权限下表中列出的每个IRM权限可由在网络(包括运行RMS或ADRMS的服务器)上配置的Office2010应用程序强制实施.
IRM权限说明完全控制授予用户此表中列出的每个权限,以及对与内容关联的权限进行更改的权限.
过期不适用于具有完全控制权限的用户.
查看允许用户打开IRM内容.
此权限对应于Office2010用户界面中的读取权限.
编辑允许用户编辑IRM内容.
保存允许用户保存文件.
提取允许用户制作文件任何部分的副本并将该部分文件粘贴到另一个应用程序的工作区中.
导出允许用户移除内容限制,并将内容保存在另一个位置中,或采用可能支持IRM的另一种格式保存.
打印允许用户打印文件的内容.
允许宏允许用户针对文件的内容运行宏.
转发允许电子邮件收件人转发IRM电子邮件,并在"收件人:"或"抄送:"行中添加或移除收件人.
答复允许电子邮件收件人对IRM电子邮件作出答复.
全部答复允许电子邮件收件人对IRM电子邮件的"收件人:"和"抄送:"行上的所有用户作出答复.
查看权限授予用户查看与文件关联的权限的相关权限.
Office将忽略此权限.
权限的预定义组Office2010提供以下权限的预定义组,用户可以在创建IRM内容时从这些预定义组中进行选择.
Word2010、Excel2010和PowerPoint2010的"权限"对话框中提供了这些选项.
在Office应用程序中,单击"文件"选项卡,单击"信息",单击"保护文档"按钮,选择"按人员限制权限",单击"限制访问",然后单击"限制该文档权限"以启用下表中列出的权限选项.
IRM预定义组说明读取具有"读取"权限的用户只有"查看"权限.
更改具有"更改"权限的用户具有"查看"、"编辑"、"提取"和"保存"权限.
在Outlook2010中,用户可以在创建电子邮件项时选择以下预定义权限组.
通过依次单击"文件"选项卡、"信息"和"设置权限"从电子邮件中访问相应选项.
IRM预定义组说明不要转发在Outlook中,IRM电子邮件的作者可将"不要转发"权限应用于"收件人:"、"抄送:"和"密件抄送:"行中的用户.
此权限包括"查看"、"编辑"、"答复"和"全部答复"权限.
高级权限可以在Word2010、Excel2010和PowerPoint2010的高级"权限"对话框中指定其他IRM权限.
在初始"权限"对话框中,单击"其他选项".
例如,用户可以指定到期日期、允许其他用户打印或复制内容等等.
此外,Outlook默认情况下允许通过支持权限管理的浏览器查看邮件.
部署权限策略模板完成权限策略模板时,将它们发布到所有用户可以访问这些模板的服务器共享位置或将它们复制到用户计算机上的本地文件夹中.
Office组策略模板(Office14.
adm)文件中可用的IRM策略设置可配置为指向权限策略模板的存储位置(本地或可用的服务器共享位置上).
有关信息,请参阅在Office2010中配置信息权限管理.
针对Office2010配置IRM设置您可以锁定很多设置以使用Office组策略模板(Office14.
adm)自定义IRM.
您还可以使用Office自定义工具(OCT)来配置默认设置,这样可以使用户能够更改设置.
此外,有一些IRM配置选项只能通过使用注册表项设置来配置.
Office2010IRM设置下表中列出了可以在组策略中以及可以通过使用OCT配置的IRM设置.
在组策略中,这些设置位于"用户配置"\"管理模板"\"MicrosoftOffice2010"\"管理受限权限"下.
OCT设置位于OCT的"修改用户设置"页上的对应位置中.
IRM选项说明查询一个组扩展条目的ActiveDirectory超时时间指定展开组时查询ActiveDirectory条目的超时值.
附加权限请求URL指定用户可从中获取有关如何访问IRM内容的详细信息的位置.
允许使用Office早期版本的用户通过浏览器进行浏览.
.
.
使没有Office2010的用户能够通过使用WindowsInternetExplorer的权限管理外接程序查看权限管理内容.
限制文档权限时始终在Office中展开组用户在"权限"对话框中选择组名以将权限应用于文档时,将自动展开组名以显示该组的所有成员.
始终要求用户进行连接以验证权限打开权限管理Office文档的用户必须连接到Internet或局域网,以便通过RMS或WindowsLiveID确认他们具备有效的IRM许可证.
禁用具有受限权限内容的MicrosoftPassport服务如果启用,则用户无法打开由WindowsLiveID验证的帐户创建的内容.
限制文档权限时始终不允许用户指定组当用户在"权限"对话框中选择组时返回一个错误:"您无法将内容发布到通讯组列表.
只能为单独用户指定电子邮件地址".
禁止用户更改权限管理内容的权限如果启用,则用户可以使用已包含IRM权限的内容,但不能将IRM权限应用于新的内容,也不能编辑对文档的权限.
指定权限策略路径在"权限"对话框中显示在指定文件夹中找到的权限策略模板.
关闭信息权限管理用户界面在所有Office应用程序的用户界面中禁用与权限管理相关的所有选项.
文档模板位置的URL,在应用程序找不到权限管理文档时显示提供文件夹的路径,该文件夹包含要由不支持权限管理内容的Office早期版本使用的自定义纯文本包装模板.
有关如何自定义这些设置的详细信息,请参阅在Office2010中配置信息权限管理.
Office2010IRM注册表项选项下面的IRM注册表设置位于HKCU\Software\Microsoft\Office\14.
0\Common\DRM中.
注册表项类型值说明CorpCertificationServer字符串企业证书服务器的URL通常,ActiveDirectory用于指定RMS服务器.
此设置允许您针对认证替代在ActiveDirectory中指定的WindowsRMS的位置.
RequestPermissionDWORD1=此框处于选中状态.
0=此框处于清除状态.
此注册表项将切换"用户可以从此处请求附加权限"复选框的默认值.
CloudCertificationServer字符串自定义群认证服务器URL没有对应的组策略设置.
CloudLicenseServer字符串授权服务器的URL没有对应的组策略设置.
DoNotUseOutlookByDefaultDWORD0=使用Outlook1=不使用Outlook"权限"对话框使用Outlook验证在该对话框中输入的电子邮件地址.
这将导致在限制权限时启动一个Outlook实例.
请使用此注册表项禁用该选项.
下面的IRM注册表设置位于HKCU\Software\Microsoft\Office\12.
0\Common\DRM\LicenseServers中.
没有对应的组策略设置.
注册表项类型值说明LicenseServers键/配置单元.
包含具有许可证服务器名称的DWORD值.
设置为服务器URL.
如果DWORD的值为1,则Office将不提示获取许可证(它将直接获得许可证).
如果值为零或者没有该服务器的注册表项,则Office将提示获取许可证.
示例:如果"http://contoso.
com/_wmcs/licensing=1"是此设置的值,则用户在尝试从该服务器获取许可证以打开权限管理文档时,将不会提示获取许可证.
下面的IRM注册表设置位于HKCU\Software\Microsoft\Office\12.
0\Common\Security中.
没有对应的组策略设置.
注册表项类型值说明DRMEncryptPropertyDWORD1=对文件元数据进行加密.
0=以明文形式存储元数据.
默认值为0.
指定是否对存储在权限管理文件内的所有元数据进行加密.
对于OpenXML格式(例如docx、xlsx、pptx等),用户可以决定对存储在受权限管理文件内的MicrosoftOffice元数据进行加密.
用户可以对所有Office元数据进行加密.
这包括超链接引用,或将内容保留为未加密以便其他应用程序能够访问数据.
用户可以选择通过设置注册表项来对元数据进行加密.
您可以通过部署注册表设置为用户设置默认选项.
没有用于对部分元数据进行加密的选项:要么对所有元数据进行加密,要么不对任何元数据进行加密.
此外,DRMEncryptProperty注册表设置不会确定非Office客户端元数据存储—例如在MicrosoftSharePoint2010产品中创建的存储-是否已加密.
此加密选项不适用于MicrosoftOffice2003或其他早期文件格式.
Office2010采用与2007Officesystem和MicrosoftOffice2003相同的方式处理早期格式.
针对Outlook2010配置IRM设置在Outlook2010中,用户可以创建和发送具有受限权限的电子邮件,以防止邮件被转发、打印或复制和粘贴.
附加到具有受限权限的邮件的Office2010文档、工作簿和演示文稿也将自动受到限制.
作为MicrosoftOutlook管理员,您可以为IRM电子邮件配置若干选项,例如禁用IRM或配置本地许可证缓存.
在配置权限管理电子邮件传递时,可以使用以下IRM设置和功能:为IRM配置自动许可证缓存.
帮助强制实施电子邮件过期期限.
不要使用Outlook来验证电子邮件地址的IRM权限.
注意:若要在Outlook中禁用IRM,您必须为所有Office应用程序禁用IRM.
没有单独的选项用于仅在Outlook中禁用IRM.
Outlook2010IRM设置可以使用Outlook组策略模板(Outlk14.
adm)或Office组策略模板(Office14.
adm)锁定大多数为Outlook自定义IRM的设置.
或者,可以使用Office自定义工具(OCT,使用户能够更改设置)为大多数选项配置默认设置.
OCT设置位于OCT的"修改用户设置"页上的对应位置中.
位置IRM选项说明MicrosoftOutlook2010\杂项在Exchange文件夹同步期间,不下载IRM电子邮件的权限许可证信息启用以防止通过本地方式缓存许可证信息.
如果启用,则用户必须连接到网络检索许可证信息才能打开权限管理电子邮件.
MicrosoftOutlook2010\Outlook选项\电子邮件选项\高级电子邮件选项发送邮件时若要强制电子邮件过期,请启用并输入邮件过期前的天数.
只有当用户发送受权限管理的电子邮件时才强制实施过期期限,在过期期限过后,将无法访问邮件.
有关如何自定义这些设置的详细信息,请参阅在Office2010中配置信息权限管理.
Outlook2010IRM注册表项选项"权限"对话框使用Outlook来验证在该对话框中输入的电子邮件地址.
这会导致在权限受限时启动一个Outlook的实例.
您可以通过下表中所列的注册表项禁用此选项.
此选项没有对应的组策略或OCT设置.
以下IRM注册表设置位于HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Common\DRM中.
注册表项类型值说明DoNotUseOutlookByDefaultDWORD0=使用Outlook1=不使用Outlook请使用此注册表项禁用该选项.
另请参阅在Office2010中配置信息权限管理WindowsServer2003RightsManagementServices(RMS)WindowsServer2008ActiveDirectoryRightsManagementServices(该链接可能指向英文页面)了解信息权限管理:Exchange2010帮助规划文档库(WindowsSharePointServices)Securityarticlesforendusers(Office2010)ITproscansharetheMicrosoftOffice2010securityresourcesthatarelistedinthisarticlewithendusersintheirorganizations.
Theseresourcesincludearticles,videos,andtrainingcoursesthataredesignedtoassistenduserswhouse产品短名称2010applications.
Theresourcesarelistedinaseriesoftablesthatareorganizedintothefollowingcategories:OverviewNewSecurityFeaturesOutlook/Access/Excel/PowerPoint/Visio/WordAccessonlyToseealistofallsecurityandprivacyrelatedarticlesforaspecificprogram,suchasWord,PowerPoint,oranotherOfficeprogram,gototheOffice.
comwebsite,selectthesupporttab,selectAllSupport,selecttheapplicationyouwant,andthenselectSecurityandprivacy.
OverviewResourceDescriptionOffice2010Security:ProtectingyourfilesSelf-pacedtrainingthatassiststheuserinbecomingfamiliarwiththesecurityfeaturesthathelpprotectfilesinMicrosoftExcel2010,MicrosoftPowerPoint2010,andMicrosoftWord2010.
ViewmyoptionsandsettingsintheTrustCenterDiscussestheTrustCenter,whereyoucanfindsecurityandprivacysettingsforOffice2010programs.
NewSecurityFeaturesResourceFeatureWhatisProtectedViewProtectedView,anewsecurityfeatureinOffice2010thathelpsprotectyourcomputerbyopeningfilesinarestrictedenvironmentsotheycanbeexaminedbeforetheyareopenedforeditinginExcel,PowerPoint,orWord.
Office2010Securityvideo:filevalidationOfficeFileValidation,anewsecurityfeatureinOffice2010thathelpsprotectyourcomputerbyscanningandvalidatingOfficebinaryfileformatsbeforetheyareopened.
OutlookResourceDescriptionHowOutlookhelpsprotectyoufromviruses,spam,andphishingDescribeshowOutlook2010helpsprotectyourcomputerfromviruses,spam,andphishing.
BlockedattachmentsinOutlookDescribesthedefaultbehaviorofOutlook2010,whichdoesnotallowyoutoreceivecertainkindsoffilesasattachments.
Encrypte-mailmessagesExplainshowmessageencryptionworksinOutlook2010andincludesproceduresforencryptinge-mailmessages.
IntroductiontoIRMfore-mailmessagesExplainswhatInformationRightsManagement(IRM)isandhowyoucanuseittorestrictpermissiontocontentine-mailmessagesinMicrosoftOutlook.
Access,Excel,PowerPoint,Visio,andWordResourceDescriptionEnableordisableActiveXsettingsinOfficefilesExplainshowtoworkwithActiveXcontrolsthatareinyourfiles,howtochangetheirsettings,andhowtoenableordisablethembyusingtheMessageBarandtheTrustCenter.
EnableordisablemacrosinOfficefilesDescribestherisksinvolvedwhenyouworkwithmacros,andhowtoenableordisablemacrosintheTrustCenter.
TrusteddocumentsExplainswhattrusteddocumentsare,whentousethem,andhowtoconfiguretheirsettings.
Add,remove,ormodifyatrustedlocationforyourfilesDescribestrustedlocations,howandwhereyoucancreatethem,andtheprecautionsthatyoushouldtakebeforeyouuseatrustedlocation.
ActivecontenttypesinyourfilesListsactive-contenttypesthatcanbeblockedbytheTrustCenterandcauseMessageBarstoappearwhenyouopenfiles.
Activecontenttypesincludemacros,add-ins,anddataconnections.
AccessonlyResourceDescriptionIntroductiontoAccess2010securitySummarizesthesecurityfeaturesthatareofferedbyAccess2010,andexplainshowtousethetoolsthatAccessprovidesforhelpingtosecureadatabase.
DecidewhethertotrustadatabaseDiscusseshowtrustworksinAccess2010,howitdiffersfromsecurityinearlierversionsofAccess,andwhatfactorsthatyoushouldconsiderwhenyoudecidewhethertotrustadatabase.
SetorchangeAccess2003user-levelsecurityinAccess2010ExplainshowtheAccess2003securityfeatureswork,andhowtostartandusetheminAccess2010.
HowdatabaseobjectsbehavewhentrustedanduntrustedExplainshow,bydefault,Access2010disablesseveraldatabaseobjectsunlessyouapplyadigitalsignaturetothemoryouplacethedatabaseinatrustedlocation.
ThearticlealsoliststhecomponentsthatAccessdisables.
ShowtrustbyaddingadigitalsignatureExplainshowtocreateyourownsecuritycertificatetoshowthatyoubelievethatadatabaseissafeandthatitscontentcanbetrusted.
规划Office2010的组策略组策略是一种基础结构,它用于将一个或多个所需的配置或策略设置提供给和应用于ActiveDirectory目录服务环境中的一组目标用户和计算机.
组策略基础结构由组策略引擎和若干单独扩展组成.
这些扩展用于配置组策略设置,方法是通过管理模板扩展修改注册表,或者针对安全设置、软件安装、文件夹重定向、InternetExplorer维护、无线网络设置和其他领域设置组策略设置.
本节为计划使用组策略配置和实施MicrosoftOffice2010应用程序设置的IT管理员提供了信息.
本节内容:文章说明Office2010组策略概述简要概述了如何使用组策略来配置和实施Office2010应用程序设置.
规划Office2010中的组策略论述了使用组策略来管理Office2010应用程序的关键规划步骤.
Office2010组策略概述本文概要介绍"组策略"概念.
本文的目标访问群体是计划使用"组策略"来配置和实施MicrosoftOffice2010应用程序的IT管理员.
本文内容:本地组策略和基于ActiveDirectory的组策略组策略处理更改组策略处理GPO的方式管理模板真实策略与用户首选项组策略管理工具Office自定义工具和组策略本地组策略和基于ActiveDirectory的组策略组策略是一种基础结构,用于向ActiveDirectory目录服务环境中的一组目标用户和计算机提供一个或多个所需配置或策略设置,并加以应用.
组策略基础结构由组策略引擎和若干个别的扩展组成.
这些扩展用于配置组策略设置,方法是通过管理模板扩展来修改注册表,或者针对安全设置、软件安装、文件夹重定向、InternetExplorer维护、无线网络设置和其他领域来设置组策略设置.
每个安装的组策略都由两个扩展组成:组策略对象编辑器Microsoft管理控制台(MMC)管理单元的服务器端扩展,用于定义和设置应用于客户端计算机的策略设置.
客户端扩展,组策略引擎将调用该扩展以应用策略设置.
组策略设置包含在组策略对象(GPO)中,后者会链接到所选的ActiveDirectory容器,如站点、域或组织单位(OU).
新创建的GPO将存储在域中.
将GPO链接到某个ActiveDirectory容器(例如一个OU)时,相应的链接将成为该ActiveDirectory容器的组成部分,而非该GPO的组成部分.
通过使用ActiveDirectory的分层特性,依据受影响的目标,可对GPO内的设置进行评估.
例如,可以创建一个名为Office2010设置的GPO,其中仅含用于Office2010应用程序的配置.
然后,可以将该GPO应用到特定的站点,以便该站点中包含的用户接收您在Office2010设置GPO中指定的Office2010配置.
无论计算机是域的成员还是独立的计算机,每台计算机都有一个本地GPO始终得到处理.
基于域的GPO无法阻止本地GPO.
但是,由于域GPO是在本地GPO之后进行处理,因此域GPO中的设置始终保持优先.
注意:WindowsVista、WindowsServer2008和Windows7支持管理独立计算机上的多个本地GPO.
有关详细信息,请参阅管理多个本地组策略对象的分步指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=182215&clcid=0x804)(该链接可能指向英文页面).
虽然可以在各台计算机上分别配置本地GPO,但是安装了ActiveDirectory的基于WindowsServer2003或WindowsServer2008的网络最能发挥组策略的优点.
组策略处理计算机启动时会应用计算机的组策略.
用户登录时会应用用户的组策略.
除了启动和登录时对组策略进行初始处理外,随后还会定期在后台应用组策略.
在后台刷新过程中,只有当客户端扩展检测到其任何GPO或GPO列表中的服务器发生更改时,才会重新应用策略设置.
对于软件安装和文件夹重定向,只有在计算机启动或用户登录过程中才会进行组策略处理.
将按以下顺序处理组策略设置:本地GPO:每台计算机都有存储在本地的GPO.
无论是计算机还是用户组策略,都会进行此GPO处理.
站点:接下来处理链接到计算机所属站点的GPO.
处理的顺序是管理员在组策略管理控制台(GPMC)中站点的"链接的组策略对象"选项卡上指定的顺序.
链接顺序在后的GPO将最后处理,且具有最高优先级.
有关如何使用GPMC的信息,请参阅本文稍后部分的组策略管理工具.
域:将按管理员在GPMC中域的"链接的组策略对象"选项卡上指定的顺序处理多个域链接的GPO.
链接顺序在后的GPO将最后处理,且具有最高优先级.
组织单位:先处理链接到ActiveDirectory层次结构中处于最高位置的OU的GPO,然后处理链接到其子OU的GPO,依此类推.
最后处理链接到用户或计算机所属OU的GPO.
处理顺序以下列条件为依据:Windows管理规范(WMI)或应用于GPO的安全筛选.
可通过使用"强制"选项强制实施任何基于域的GPO(而非本地GPO),以使其策略设置无法被覆盖.
由于强制GPO将最后进行处理,因此其他任何设置都无法覆盖该GPO中的设置.
如果存在多个强制GPO,则每个GPO中相同的设置可能会设置为不同的值.
在这种情况下,GPO的链接顺序会确定哪个GPO包含最终设置.
可以在任何域或OU将组策略继承有选择地指定为"阻止继承".
但是,由于始终会应用强制GPO,并且无法阻止这些GPO,因此阻止继承不会阻止应用强制GPO中的策略设置.
策略继承对于用户和计算机有效的策略设置是将在站点、域或OU应用的GPO组合起来的结果.
将多个GPO应用于这些ActiveDirectory容器中的用户和计算机时,将会聚合这些GPO中的设置.
默认情况下,链接到ActiveDirectory中更高级别容器(父容器)的GPO中所部署的设置会继承到子容器,并与链接到子容器的GPO中所部署的设置组合.
如果多个GPO尝试设定一个值存在冲突的策略设置,则优先级最高的GPO将设定该设置.
与较早处理的GPO相比,较迟处理的GPO具有较高的优先级.
同步和异步处理同步进程可以说是一系列进程,其中的一项进程必须在下一项进程开始之前完成运行.
由于异步进程的输出结果独立于其他进程,因此它们可以同时运行在不同的线程上.
管理员可以使用每个GPO的策略设置来更改默认处理行为,以进行异步处理,而不是同步处理.
在同步处理下,所有组策略都必须于60分钟内在客户端计算机上完成处理.
60分钟后尚未完成处理的客户端扩展将会收到停止信号.
在这种情况下,可能不会完全应用关联的策略设置.
"快速登录优化"功能默认情况下会为域和工作组成员都设置"快速登录优化"功能.
这样,当计算机启动或用户登录时,将会异步应用策略.
这种策略应用方式类似于后台刷新.
它可以缩短登录对话框显示的时间,以及向用户显示桌面所需花费的时间.
管理员可以使用"计算机启动和登录时总是等待网络"策略设置来禁用"快速登录优化"功能,此策略设置可在组策略对象编辑器的"计算机配置"\"管理模板"\"系统"\"登录"节点中找到.
慢速链接处理当连接速度低于指定阈值时,将不会处理某些组策略扩展.
组策略认定慢速链接的默认值为低于500千位/秒(Kbps)的任何速度.
组策略刷新间隔默认情况下,每90分钟处理一次组策略,并随机延迟最多30分钟,因此最长总刷新间隔最多为120分钟.
对于安全设置,当您编辑了安全设置策略后,将会按如下方式在GPO所链接的OU中的计算机上刷新策略设置:在计算机重新启动时刷新.
每90分钟在工作站或服务器上刷新,每5分钟在域控制器上刷新.
默认情况下,组策略提供的安全策略设置还会每16小时(960分钟)应用一次,即使GPO未更改.
触发组策略刷新对GPO所做的更改必须首先复制到适当的域控制器;因此,对组策略设置所做的更改可能不会立即在用户的桌面上生效.
在某些方案(比如应用安全策略设置)中,可能必须立即应用策略设置.
管理员可以手动从本地计算机中触发策略刷新,而不必等待自动后台刷新.
为此,管理员可以在命令行处键入gpupdate以刷新用户或计算机策略设置.
您无法使用GPMC来触发策略刷新.
gpupdate命令会在运行该命令的本地计算机上触发后台策略刷新.
gpupdate命令用于WindowsServer2003和WindowsXP环境.
无法从服务器将组策略的应用按需推送到客户端.
更改组策略处理GPO的方式用于指定哪些用户和计算机从GPO接收设置的主要方法是将GPO链接到站点、域和OU.
通过以下任何方法,可以更改处理GPO的默认顺序:更改链接顺序.
阻止继承.
强制GPO链接.
禁用GPO链接.
使用安全筛选.
使用Windows管理规范(WMI)筛选.
使用环回处理.
以下小节将逐一说明上述各方法.
更改链接顺序站点、域或OU中的GPO链接顺序控制何时应用链接.
管理员可以通过更改链接顺序(即在列表中将每个链接上移或下移到适当的位置)来更改链接的优先级.
具有较高顺序的链接(1为最高顺序)对于站点、域或OU具有较高的优先级.
阻止继承通过对域或OU应用阻止继承,防止子级ActiveDirectory容器自动继承链接到较高站点、域或组织单位的GPO.
强制GPO链接通过将某个GPO链接设置为"强制",可以指定该链接中的设置优先于任何子对象的设置.
从父容器无法阻止强制的GPO链接.
如果GPO包含存在冲突的设置,并且没有从较高级别容器而来的强制设置,则链接到子OU的GPO中的设置将覆盖位于较高级别父容器的GPO链接设置.
通过强制,父GPO链接可始终保持优先.
默认情况下,不会强制GPO链接.
禁用GPO链接通过禁用某个站点、域或OU的GPO链接,可以完全阻止用户应用该站点、域或OU的GPO.
这并不表示会禁用GPO.
如果GPO链接到其他站点、域或OU,则在链接处于启用的状态下,这些站点、域或OU会继续处理GPO.
使用安全筛选使用安全筛选,可以指定只有链接了GPO的容器内的特定安全原则才会应用GPO.
管理员可以使用安全筛选来缩小GPO的范围,以使GPO只应用于单一组、用户或计算机.
针对GPO内的不同设置,无法有选择地使用安全筛选.
只有当用户或计算机通过组成员资格明确或有效地拥有GPO的"读取"和"应用组策略"权限时,GPO才会应用于该用户或计算机.
默认情况下,对于包括用户和计算机的AuthenticatedUsers组,所有GPO的"读取"和"应用组策略"均设置为"允许".
将新GPO应用于OU、域或站点时,所有授权用户都将通过这种方式收到该GPO的设置.
默认情况下,DomainAdmins、EnterpriseAdmins和LocalSystem具有完全控制权限,不包含"应用组策略"访问控制项(ACE).
管理员也是AuthenticatedUsers的成员.
这意味着,默认情况下,管理员将收到GPO中的设置.
可以更改这些权限,以将范围限制为OU、域或站点内一组特定的用户、组或计算机.
组策略管理控制台(GPMC)将这些权限作为单一单位进行管理,并在"GPO范围"选项卡上显示GPO的安全筛选.
在GPMC中,可以通过安全筛选器的形式,为每个GPO添加或删除组、用户和计算机.
使用Windows管理规范筛选使用Windows管理规范(WMI)筛选,将WMI查询语言(WQL)查询附加到GPO,可以对GPO的应用进行筛选.
这些查询可用于对WMI进行多项查询.
如果查询对所有查询项都返回true,则GPO会应用到目标用户或计算机.
GPO链接到WMI过滤器并在目标计算机上应用,同时会在目标计算机上计算筛选器的值.
如果WMI过滤器的计算结果为false,则不应用GPO(除非客户端计算机运行Windows2000,这种情况下将会忽略筛选器并始终应用GPO).
如果WMI过滤器的计算结果为true,则应用GPO.
WMI过滤器是单独的对象,不同于目录中的GPO.
WMI过滤器必须链接到GPO才能应用,并且WMI过滤器和它所链接到的GPO必须位于同一个域中.
WMI过滤器只存储在域中.
每个GPO只能有一个WMI过滤器.
同一个WMI过滤器可以链接到多个GPO.
注意:WMI是Microsoft实施的基于Web的企业管理行业计划,它建立了管理基础结构标准,使您可以合并来自各种硬件和软件管理系统的信息.
WMI公开硬件配置数据(如CPU、内存、磁盘空间和制造商)和软件配置数据(如注册表、驱动程序、文件系统、ActiveDirectory、WindowsInstaller服务、网络配置和应用程序数据).
有关目标计算机的数据可用于管理目的,如对GPO进行WMI筛选.
使用环回处理使用此功能,可以确保向登录到特定计算机的任何用户应用一致的策略设置集,而不管用户在ActiveDirectory中处于什么位置.
环回处理是一个高级组策略设置,在某些管理严密的环境(如服务器、网亭、实验室、教室和接收区)中的计算机上特别有用.
通过设置环回,可将应用于计算机的GPO中的"用户配置"策略设置应用于登录到该计算机的每位用户,如果是在"替换"模式下,将不会应用该用户的"用户配置"设置,如果是在"合并"模式下,则还会应用该用户的"用户配置"设置.
若要设置环回处理,可以使用"用户组策略环回处理模式"策略设置,在组策略对象编辑器的"计算机配置"\"管理模板"\"系统"\"组策略"下可访问该策略设置.
若要使用环回处理功能,用户帐户和计算机帐户都必须位于运行Windows2003或Windows更高版本的域中.
环回处理不适用于加入到工作组的计算机.
管理模板组策略的管理模板扩展由一个用于配置策略设置的MMC服务器端管理单元和一个在目标计算机上设置注册表项的客户端扩展组成.
管理模板策略也称为基于注册表的策略或注册表策略.
管理模板文件管理模板(.
adm)文件是一些Unicode文件,包含用于定义选项如何通过组策略对象编辑器和GPMC显示的类别和子类别的层次结构.
另外,它们还指明策略设置配置所影响的注册表位置,这些设置配置包含策略设置的默认(未配置)、启用、禁用值.
这些模板以三种文件版本的形式提供:.
adm、.
admx和.
adml.
.
adm文件可以用于运行任何Windows操作系统的计算机.
.
admx和.
adml文件可以用于运行至少WindowsVista或WindowsServer2008的计算机.
.
adml文件是.
admx文件的特定语言版本.
管理模板文件的功能有限.
.
adm、.
admx或.
adml模板文件的目的是启用一个用户界面来配置策略设置.
.
管理模板不包含策略设置.
策略设置包含在位于域控制器上Sysvol文件夹内的registry.
pol文件中.
管理模板服务器端管理单元提供了一个"管理模板"节点,该节点出现在组策略对象编辑器的"计算机配置"节点和"用户配置"节点下.
"计算机配置"下的设置处理计算机的注册表设置.
"用户配置"下的设置处理用户的注册表设置.
尽管某些策略设置需要简单的UI元素(如文本框)来输入值,但大多数策略设置都只包含以下选项:启用:强制实施该策略.
某些策略设置提供了附加选项,可在策略处于激活状态时定义行为.
禁用:为大多数策略设置强制实施与"启用"状态相反的行为.
例如,如果"启用"强制将某项功能的状态设置为"关闭",则"禁用"会强制将该功能的状态设置为"开启".
未配置:不强制实施策略.
大多数设置的默认状态都是"未配置".
管理模板文件存储在本地计算机上,位置如下表所示.
文件类型文件夹.
adm%systemroot%\Inf.
admx%systemroot%\PolicyDefinitions.
adml%systemroot%\PolicyDefinitions\另外,还可以在域控制器上文件夹中的中央存储内存储和使用.
admx和.
adml文件,如下表所示.
文件类型文件夹.
admx%systemroot%\sysvol\domain\policies\PolicyDefinitions.
adml%systemroot%\sysvol\domain\policies\PolicyDefinitions\有关如何在中央存储中存储和使用这些模板的详细信息,请参阅组策略规划和部署指南(http://go.
microsoft.
com/fwlink/linkid=182208&clcid=0x804)中的"组策略和sysvol".
用于Office2010的管理模板文件专用于Office2010的管理模板文件可单独下载,让您能够:控制从Office2010应用程序到Internet的入口点.
管理Office2010应用程序的安全性.
隐藏用户在执行其作业时不需要的设置和选项,以及可能分散用户注意力或导致无用支持呼叫的设置和选项.
在用户的计算机上创建严密管理的标准配置.
若要下载Office2010管理模板,请参阅Office2010管理模板文件(ADM、ADMX、ADML)和Office自定义工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189316&clcid=0x804)(该链接可能指向英文页面).
Office2010管理模板如下表所示.
应用程序管理模板文件MicrosoftAccess2010access14.
admx、access14.
adml、access14.
admMicrosoftExcel2010excel14.
admx、excel14.
adml、excel14.
admMicrosoftInfoPath2010inf14.
admx、inf14.
adml、inf14.
admMicrosoftOffice2010office14.
admx、office14.
adml、office14.
admMicrosoftOneNote2010onent14.
admx、onent14.
adml、onent14.
admMicrosoftOutlook2010outlk14.
admx、outlk14.
adml、outlk14.
admMicrosoftPowerPoint2010ppt14.
admx、ppt14.
adml、ppt14.
admMicrosoftProject2010proj14.
admx、proj14.
adml、proj14.
admMicrosoftPublisher2010pub14.
admx、pub14.
adml、pub14.
admMicrosoftSharePointDesigner2010spd14.
admx、spd14.
adml、spd14.
admMicrosoftSharePointWorkspace2010spw14.
admx、spw14.
adml,spw14.
admMicrosoftVisio2010visio14.
admx、visio14.
adml、visio14.
admMicrosoftWord2010word14.
admx、word14.
adml、word14.
adm真实策略与用户首选项管理员可以完全管理的组策略设置称为真实策略.
用户可以配置的设置(但可能反映操作系统在安装时的默认状态)称为首选项.
真实策略和首选项都包含修改用户计算机注册表的信息.
真实策略真实策略的注册表值存储在已批准的组策略注册表项下.
用户无法更改或禁用这些设置.
对于计算机策略设置:HKEY_LOCAL_MACHINE\Software\Policies(首选位置)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies对于用户策略设置:HKEY_CURRENT_USER\Software\Policies(首选位置)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies对于Office2010,真实策略存储在以下注册表位置.
对于计算机策略设置:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.
0对于用户策略设置:HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.
0首选项首选项由用户设置或操作系统在安装时设置.
存储首选项的注册表值位于已批准组策略注册表项的外部.
用户可以更改其首选项.
如果使用GPO来配置首选项设置,则不会具有系统访问控制列表(ACL)限制.
因此,用户将能够在注册表中更改这些值.
当GPO超出范围(如果取消GPO链接、禁用或删除GPO)时,将不会从注册表中移除这些值.
若要在组策略对象编辑器中查看首选项,请依次单击"管理模板"节点、"查看"、"筛选",然后清除"只显示能完全管理的策略设置"复选框.
组策略管理工具管理员可使用以下工具来管理组策略:组策略管理控制台:用于管理大多数组策略管理任务.
组策略对象编辑器:用于配置GPO中的策略设置.
组策略管理控制台组策略管理控制台(GPMC)提供单一工具来管理组策略的核心方面(如范围指定、委派、筛选和处理GPO的继承),从而简化了组策略的管理.
GPMC还可用于备份(导出)、还原、导入和复制GPO.
管理员可以使用GPMC来预测GPO将如何影响网络,并确定GPO如何更改了计算机或用户的设置.
GPMC是用于在域环境中管理大多数组策略任务的首选工具.
GPMC可跨企业提供GPO、站点、域和OU的视图,并可用于管理WindowsServer2003或Windows2000域.
管理员使用GPMC来执行所有组策略管理任务,但配置组策略对象中的个别策略设置除外.
通过在GPMC中打开的组策略对象编辑器,可完成这些配置.
管理员使用GPMC来创建没有初始设置的GPO.
此外,管理员还可以创建GPO,同时将该GPO链接到ActiveDirectory容器.
若要配置某个GPO内的个别设置,管理员可以从GPMC内使用组策略对象编辑器来编辑该GPO.
组策略对象编辑器显示时会同时加载该GPO.
管理员可以使用GPMC将GPO链接到ActiveDirectory中的站点、域或OU.
管理员必须链接GPO才能将设置应用于ActiveDirectory容器中的用户和计算机.
GPMC包括Windows提供的以下"策略的结果集"(RSoP)功能:组策略建模:模拟在管理员指定的环境下应用策略设置的情况.
管理员可以使用组策略建模来模拟将应用于现有配置的RSoP数据,也可以分析对其目录环境进行模拟和假设更改后所产生的效果.
组策略结果:表示应用到计算机和用户的实际策略数据.
通过查询目标计算机和检索应用到该计算机的RSoP数据,可以获得这些数据.
客户端操作系统提供组策略结果功能,操作系统要求是WindowsXP、WindowsServer2003或更高版本.
组策略对象编辑器组策略对象编辑器是一个MMC管理单元,用于配置GPO中的策略设置.
组策略对象编辑器包含在gpedit.
dll中,并随WindowsXP、WindowsServer2003、WindowsVista、WindowsServer2008和Windows7操作系统一起安装.
若要为不是域成员的本地计算机配置组策略设置,请使用组策略对象编辑器来管理本地GPO(或运行WindowsVista、Windows7或WindowsServer2008的计算机上的多个GPO).
若要在域环境中配置组策略设置,GPMC(调用组策略对象编辑器)是处理组策略管理任务的首选工具.
组策略对象编辑器为管理员提供了一个分层树结构,用于配置GPO中的组策略设置,并且包含以下两个主要节点:用户配置:包含在用户登录时以及定期进行后台刷新时应用到用户的设置.
计算机配置:包含在计算机启动时以及定期进行后台刷新时应用到计算机的设置.
这两个主要节点又进一步划分为文件夹,其中包含可进行设置的不同类型的策略设置.
这些文件夹包括:软件设置:包含软件安装设置.
Windows设置:包含安全设置和脚本策略设置.
管理模板:包含基于注册表的策略设置.
GPMC和组策略对象编辑器的系统要求组策略对象编辑器是GPMC的一部分,在编辑GPO时会调用该编辑器.
GPMC可以在WindowsXP、WindowsServer2003、WindowsVista、Windows7和WindowsServer2008上运行.
每个Windows操作系统的要求各不相同,具体如下:GPMC是WindowsVista操作系统的一部分.
但如果在WindowsVista上安装了ServicePack1或ServicePack2,GPMC就会被删除.
若要重新安装它,需要安装用于WindowsVista的Microsoft远程服务器管理工具(http://go.
microsoft.
com/fwlink/linkid=89361&clcid=0x804).
GPMC随附在WindowsServer2008和更高版本中.
但此功能不会随操作系统安装.
请使用服务器管理器来安装GPMC.
有关如何安装GPMC的信息,请参阅安装GPMC(http://go.
microsoft.
com/fwlink/linkid=187926&clcid=0x804).
若要在Windows7上安装GPMC,请安装Windows7远程服务器管理工具(http://go.
microsoft.
com/fwlink/linkid=180743&clcid=0x804).
若要在WindowsXP或WindowsServer2003上安装GPMC,请安装含ServicePack1的组策略管理控制台(http://go.
microsoft.
com/fwlink/linkid=88316&clcid=0x804).
有关如何使用GPMC和组策略对象编辑器的详细信息,请参阅使用组策略在Office2010中强制启用设置.
Office自定义工具和组策略管理员可以使用Office自定义工具(OCT)或组策略来自定义Office2010应用程序的用户配置:Office自定义工具(OCT):用于创建安装程序自定义文件(.
msp文件).
管理员可以使用OCT对功能进行自定义并配置用户设置.
用户可以在安装后修改大多数设置.
这是因为OCT配置注册表中可公开访问的部分(如HKEY_CURRENT_USER/Software/Microsoft/Office/14.
0)中的设置.
在尚未对桌面配置进行集中管理的组织中通常使用此工具.
有关详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
组策略:用于配置管理模板中包含的Office2010策略设置,操作系统将强制实施这些策略设置.
在ActiveDirectory环境中,管理员可以将策略设置应用于组策略对象链接到的站点、域或OU中的用户和计算机组.
真实策略设置将写入已批准策略注册表项,并且这些设置具有ACL限制,可防止非管理员用户更改设置.
管理员可以使用组策略来创建管理严密的桌面配置.
管理员还可以创建管理宽松的配置来满足其组织的业务和安全性需求.
有关OCT的详细信息,请参阅OfficeCustomizationToolinOffice2010(该链接可能指向英文页面).
另请参阅WindowsServer组策略组策略规划和部署指南组策略文档生存指南规划Office2010中的组策略使用组策略在Office2010中强制启用设置规划Office2010中的组策略本文论述使用组策略管理MicrosoftOffice2010应用程序的关键规划步骤.
本文内容:规划组策略定义业务目标和安全要求评估当前的环境根据业务和安全要求设计托管配置确定应用范围测试和暂存组策略部署使主要负责人参与规划组策略组策略使IT管理员能够将配置或策略设置应用于ActiveDirectory目录服务环境中的用户和计算机.
可以专门对Office2010进行配置.
有关详细信息,请参阅Office2010组策略概述.
规划部署基于组策略的解决方案包括以下几个步骤:1.
定义业务目标和安全要求.
2.
评估当前的环境.
3.
根据业务和安全要求设计托管配置.
4.
确定解决方案的应用范围.
5.
对测试、暂存和部署组策略解决方案进行规划.
6.
使主要负责人参与解决方案的规划和部署.
定义业务目标和安全要求确定具体的业务和安全要求,并确定组策略如何才能帮助您管理Office2010应用程序的标准配置.
确定用组策略为其管理Office设置的资源(用户和计算机的组),并定义项目的范围.
评估当前的环境检查当前如何执行与MicrosoftOffice应用程序配置相关的管理任务,以帮助确定要使用何种类型的Office策略设置.
记录当前的做法和要求.
将使用此信息帮助设计托管配置(在下一步中).
要包括的项目如下:现有的企业安全策略和其他安全要求.
确定将哪些位置和发布者视为安全的.
评估对管理InternetExplorer功能控制设置、文档保护、隐私选项和阻止文件格式设置的要求.
组织的邮件要求.
评估用组策略为OfficeOutlook2007配置用户界面设置、病毒防护和其他安全设置的要求.
例如,组策略提供用于限制.
pst文件大小的设置,这些设置可以提高工作站上的性能.
用户在各种用户角色方面对Office应用程序的要求.
这一点很大程度上取决于用户的工作要求和组织的安全要求.
要用于MicrosoftAccess2010、MicrosoftExcel2010、MicrosoftPowerPoint2010和MicrosoftWord2010的默认文件保存选项.
要为Office2010用户界面项设置的访问限制;举例来说,包括禁用命令、菜单项和键盘快捷方式.
软件安装问题(如果考虑此部署方法).
尽管组策略可用于在安装了ActiveDirectory的小型组织中安装软件应用程序,但还是有些局限,因此必须确定此方法对部署要求而言是否为合适的解决方案.
有关详细信息,请参阅组策略规划和部署指南(http://go.
microsoft.
com/fwlink/linkid=182208&clcid=0x804)中的"确定与软件安装有关的问题".
如果您在复杂或变化迅速的环境中管理大量客户端,则建议使用MicrosoftSystemCenterConfigurationManager2010在大中型组织中安装和维护Office2010.
SystemCenterConfigurationManager2010提供了附加功能,其中包括清单、计划和报告功能.
在ActiveDirectory环境中部署Office2010的另一种选择是使用组策略计算机启动脚本.
是使用组策略还是OCT.
尽管组策略和OCT都可用于为Office2010应用程序自定义用户配置,但二者有着重大差异:组策略用于配置包含在管理模板中的Office2010策略设置,而操作系统强制实施这些策略设置.
这些设置具有系统访问控制列表(SACL)限制,可以防止非管理员用户更改这些设置.
使用组策略配置要强制实施的设置.
OCT用于创建安装程序自定义文件(.
msp文件).
管理员可以使用OCT对功能进行自定义并配置用户设置.
用户可以在安装后修改大多数设置.
建议仅对首选或默认设置使用OCT.
有关详细信息,请参阅Office自定义工具和组策略.
是否使用本地组策略来配置Office设置.
在拥有不属于ActiveDirectory域的独立计算机的环境中,您可以使用本地组策略来控制设置.
有关详细信息,请参阅Office2010组策略概述.
根据业务和安全要求设计托管配置了解业务要求、安全、网络、IT要求和组织当前的Office应用程序管理做法,有助于为组织中的用户确定管理Office应用程序所采用的相应策略设置.
在评估当前环境的步骤中收集的信息有助于设计组策略目标.
定义使用组策略管理Office应用程序的配置要达到的目标时,请确定以下各项:每个组策略对象(GPO)的用途.
每个GPO的所有者,即负责管理GPO的人员.
要使用的GPO数量.
请记住,应用于计算机的GPO数量影响启动时间,而应用于用户的GPO数量影响登录到网络所需的时间.
链接到用户的GPO越多(尤其是这些GPO中的设置越多),则用户登录时处理GPO所花时间就越长.
如果为用户设置了"读取"和"应用组策略"这两种权限,则在登录过程中将应用用户的站点、域和组织单位(OU)层次结构中的每个GPO.
要将每个GPO链接到的适当ActiveDirectory容器(站点、域或OU).
要安装的Office应用程序的位置(如果用组策略软件安装来部署Office2010).
要执行的计算机启动脚本的位置(如果通过指派组策略计算机启动脚本来部署Office2010).
每个GPO中所包含的策略设置的种类.
这取决于业务和安全要求以及当前管理Office应用程序设置的方式.
建议仅配置被认为对稳定性和安全性必不可少的设置,并将配置保持在最小限度.
还要考虑使用可以提高工作站性能的策略设置,例如控制Outlook.
pst文件大小.
是否对组策略的默认处理顺序设置例外.
是否为组策略设置筛选选项以面向特定用户和计算机.
若要帮助规划对GPO的持续管理,我们建议您建立一些管理过程来跟踪和管理GPO.
这有助于确保按规定方式实现所有更改.
确定应用范围确定适用于所有企业用户的Office2010策略设置(例如任何被认为对组织的安全性必不可少的应用程序安全设置)以及根据用户的角色而适用于用户组的那些策略设置.
根据所确定的要求对配置进行规划.
在ActiveDirectory环境中,通过将GPO链接到站点、域或OU来指派组策略设置.
大多数GPO通常都是在组织单位级别指派的,因此请确保OU结构支持Office2010的基于组策略的管理策略.
还有可能在域级别应用某些组策略设置,例如要应用于域中所有用户的与安全相关的策略设置或Outlook设置.
测试和暂存组策略部署规划测试和暂存对于任何组策略部署过程都是至关重要的一部分.
此步骤包括为Office2010应用程序创建标准组策略配置,以及部署到组织中的用户之前在非生产环境中测试GPO配置.
如有必要,可以筛选GPO的应用范围,并对组策略继承定义例外.
管理员可以使用组策略建模(在组策略管理控制台中)评估特定GPO要应用的策略设置,还可以使用组策略结果(在组策略管理控制台中)评估哪些策略设置在起作用.
通过组策略可以影响组织中成百上千台计算机的配置.
因此,应该使用变更管理流程,并在非生产环境中严格测试所有新的组策略配置或部署,然后再将其移至生产环境中,这一点非常重要.
此过程确保了GPO中包含的策略设置对ActiveDirectory环境中的目标用户和计算机产生预期的结果.
作为管理组策略实现的最佳做法,我们建议您在部署前使用以下过程来暂存组策略部署:在尽可能接近生产环境的测试环境中部署新的GPO.
使用组策略建模评估新的GPO将如何影响用户以及与现有的GPO互操作.
使用组策略结果评估在测试环境中应用哪些GPO设置.
有关详细信息,请参阅组策略规划和部署指南(http://go.
microsoft.
com/fwlink/linkid=182208&clcid=0x804)中的"使用组策略建模和组策略结果评估组策略设置".
使主要负责人参与企业中的组策略部署可能要突破职能的界限.
在准备部署的过程中,务必要咨询组织中多种职能小组的主要负责人,还要确保其适当参与分析、设计、测试和实现阶段的过程.
确保与组织的安全和IT运营小组共同审查为管理Office2010应用程序而计划部署的策略设置,以确保这些配置适合组织,并应用一组所需严格程度的策略设置来保护网络资源.
另请参阅Office2010组策略概述使用组策略在Office2010中强制启用设置FAQ:GroupPolicy(Office2010)Findanswerstofrequentlyaskedquestions(FAQ)aboutGroupPolicyandMicrosoftOffice2010.
Q:WhenshouldIuseGroupPolicyinsteadofOfficeConfigurationTool(OCT)A:AlthoughbothGroupPolicyandtheOCTcanbeusedtocustomizeuserconfigurationsfortheMicrosoftOffice2010applications,eachisusedforaspecificconfigurationscenario.
GroupPolicyisrecommendedforsettingsthatyouwanttoenforce.
GroupPolicyisusedtoconfigureOffice2010policysettingsthatarecontainedinAdministrativeTemplates.
Theoperatingsystemenforcesthosepolicysettings.
Manysettingshavesystemaccesscontrollist(SACL)restrictionsthatpreventnon-administratorusersfromchangingthem.
Insomecases,thesettingscanbechangedbyusers.
See真实策略与用户首选项formoreinformation.
OCTisrecommendedforpreferredordefaultsettingsonly.
TheOCTisusedtocreateaSetupcustomizationfile(.
mspfile).
AdministratorscanusetheOCTtocustomizefeaturesandconfigureusersettings.
Userscanconfiguremostofthesettingsaftertheinstallation.
Q:WherecanIfindalistofGroupPoliciesthatareavailableforOffice2010A:RefertotheMicrosoftExcel2010workbookOffice2010GroupPolicyAndOCTSettings_Reference.
xls,whichisavailableintheFilesinthisDownloadsectionontheOffice2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTooldownloadpage(http://go.
microsoft.
com/fwlink/LinkID=189156).
YoucandownloadGroupPolicy-relateddocumentationfromtheGroupPolicyforMicrosoftOffice2010downloadpage(http://go.
microsoft.
com/fwlink/LinkId=204009).
Q:WhatisthedifferencebetweenthetwoworkbooksOffice2010GroupPolicyAndOCTSettings_Reference.
xlsandOffice2010GroupPolicyAndOCTSettings.
xlsA:AlwaysuseOffice2010GroupPolicyAndOCTSettings_Reference.
xls.
Thisworkbookismoreup-to-dateandisavailableforseparatedownloadontheOffice2010AdministrativeTemplatefiles(ADM,ADMX,ADML)andOfficeCustomizationTooldownloadpage(http://go.
microsoft.
com/fwlink/LinkID=189156).
TheworkbookOffice2010GroupPolicyAndOCTSettings.
xlsisintegratedintotheGroupPolicytemplatesdownloadpackageandisnowout-of-date.
Q:Whatisthedifferencebetween.
adm,.
admx,and.
admladministrativetemplatefilesA:ThesefilesaredesignedforusewithspecificoperatingsystemsonthecomputerthatyouusetomanageGroupPolicysettings.
The.
admfilescanbeusedbyadministrativecomputersthatarerunninganyWindowsoperatingsystem.
The.
admxand.
admlfilescanbeusedbyadministrativecomputersthatarerunningatleastWindowsVistaorWindowsServer2008.
The.
admlfilesarethelanguage-specificversionsof.
admxfiles.
The.
admxfilesholdthesettings,andthe.
admlfilesapplythesettingsforthespecificlanguage.
Youcanfindmoreinformationabout.
admxfilesintheManagingGroupPolicyADMXFilesStep-by-StepGuide.
(http://go.
microsoft.
com/fwlink/LinkID=164569)Q:DotheOffice2010.
admxtemplatefilesworkwiththe2007OfficesystemOrmustIdownloadthe2007OfficesystemtemplatefilesseparatelyA:YoumustusethetemplatefilesthatmatchtheversionofOfficethatyouaredeploying.
WedonotrecommendthatyouusetheOffice2010templatefilestoconfigurethe2007Officesystem.
Q:HowdoIinstalltheOffice2010GroupPolicytemplatesA.
Step-by-stepinstructionsforstartingPolicyManagementConsole(GPMC),creatingaGroupPolicyObject(GPO),andloadingOffice2010AdministrativeTemplatestoaGPOareprovidedinthetopic使用组策略在Office2010中强制启用设置.
ThetopicdescribestwolocationsforstoringGroupPolicytemplates:InanAdministrativeTemplatescentralstoreintheSysvolfolderofthedomaincontrollerInthePolicyDefinitionsfolderinthelocalcomputerYoucanfindmoredetailedinformationaboutcreatingacentralstoreinScenario2:EditingDomain-BasedGPOsUsingADMXFiles(http://go.
microsoft.
com/fwlink/LinkId=207184).
Ifyouwanttotakeaquicklookatthetemplatesonyourlocalcomputer,followthesestepsafteryoudownloadthetemplatefiles:Toviewthe.
admxand.
admltemplatefilesonacomputerthatrunsatleastWindowsVistaorWindowsServer20081.
Copythe.
admxand.
admlfilestothePolicyDefinitionsfolderinthelocalcomputer:a.
Copy.
admxfilestothislocation:%systemroot%\PolicyDefinitions(forexample,C:\Windows\PolicyDefinitions)b.
Copy.
admlfilestothislocation:%systemroot%\PolicyDefinitions\ll-cc(wherell-ccrepresentsthelanguageidentifier,suchasen-usforEnglishUnitedStates)2.
Openthegpedit.
mscconsoleandexpandAdministrativeTemplates(underComputerConfigurationandUserConfiguration)toviewtheOffice2010policies.
Toviewthe.
admtemplatefilesonacomputerthatisrunninganyWindowsoperatingsystem1.
Openthegpedit.
mscconsole,right-clickAdministrativeTemplatesintheComputerConfigurationorUserConfigurationnode,andthenselectAdd/RemoveTemplates.
2.
ClickAddandlocatethefolderonyourcomputerwhereyoustoredthe.
admfiles.
3.
Selectthetemplatesthatyouwantinthelanguageofyourchoice,clickOpen,andthenclickClose.
The.
admfilesaredisplayedundertherespectiveAdministrateTemplatesnodesinasubnodecalledClassicAdministrativeTemplates(ADM).
Q:HowcanImapaspecificUIelementinOffice2010toaGroupPolicysettingA.
AlthoughithasnotbeenupdatedforOffice2010,alistof2007OfficesystemGroupPolicysettingsandassociateduserinterfacesettingsisavailableasadownloadableworkbook.
TheworkbookalsoprovidestheassociatedregistrykeyinformationforuserinterfaceoptionsthataremanagedbyGroupPolicysettings,andindicatesthelocationsoftheOffice2003userinterfaceelements(suchastoolbarsandmenus)inthe2007OfficesystemuserinterfaceforAccess,Excel,Outlook,PowerPoint,andWord.
ClickthefollowinglinktoviewanddownloadtheOffice2007PolicySettingsAndUIOptions.
xlsxworkbook:http://go.
microsoft.
com/fwlink/LinkId=106122.
Q:HowcanIuseGroupPolicytodisablecommandsandmenuitemsYoucanuseGroupPolicysettingstodisablecommandsandmenuitemsforOffice2010applicationsbyspecifyingthetoolbarcontrolID(TCID)fortheOffice2010controls.
YoucanalsodisablekeyboardshortcutsbysettingtheCustom|Disableshortcutkeyspolicysettingandaddingthevirtualkeycodeandmodifierfortheshortcut.
Avirtualkeycodeisahardware-independentnumberthatuniquelyidentifiesakeyonthekeyboard.
Amodifieristhevalueforamodifierkey,suchasALT,CONTROL,orSHIFT.
TodownloadalistthecontrolIDsforbuilt-incontrolsinallapplicationsthatusetheRibbon,visitOffice2010HelpFiles:OfficeFluentUserInterfaceControlIdentifiers.
Formoreinformation,see禁用Office2010中的用户界面项和快捷键Q.
WhydoesMicrosoftnotsupporttheuseofGroupPolicySoftwareInstallationtodeployOffice2010A:UsingtheSoftwareInstallationextensionofGroupPolicyisnotsupportedinOffice2010becauseofchangestotheOfficesetuparchitectureandcustomizationmodel.
IfyouhaveanActiveDirectoryenvironment,youcanuseaGroupPolicycomputerstartupscriptasanalternative.
GroupPolicycomputerstartupscriptsprovidesolutionsfororganizationsthatneedanautomatedwaytodeployOffice_2nd_CurrentVertomanycomputersbutwhodonothavedesktopmanagementapplications,suchasMicrosoftSystemCenterEssentialsorSystemCenterConfigurationManagerorathird-partysoftwaremanagementtool.
Formoreinformation,see使用组策略计算机启动脚本部署Office2010.
ForinformationaboutallOfficedeploymentmethods,see部署Office2010.
Q.
WhataretheadvantagesandlimitationsofdeployingOffice2010usingGroupPolicycomputerstartupscriptsAdvantages:Ascriptcanbewritteninanylanguagethatissupportedbytheclientcomputer.
WindowsScriptHost-supportedlanguages,suchasVBScriptandJScript,andcommandfilesarethemostcommon.
ScriptstakeadvantageofActiveDirectoryDomainServices(ADDS)andGroupPolicyinfrastructure.
ADDShandlestheelevationofrightsthatarerequiredforapplicationinstallation.
Administratorscanuseasimilarscriptingprocesstoapplyupdatesandservicepacksforeachcomputerinthedomainororganizationalunit.
Ascriptcanbewritteninanylanguagethatissupportedbytheclientcomputer,suchasVBScriptandJScript,providedtheyareWindowsScriptHost-supportedlanguages.
Disadvantages:GroupPolicyinvokesthescriptandhaslimitedawarenessoftheinstallationstatusafterward.
Productuninstallsandinstallsformultiplecomputershavetobedonebyusingacommand-linescriptorbatchfile.
Itmightbedifficulttodetermineexactlywhichupdatesandservicepackswereappliedtoeachclientcomputer.
Downloadablebook:GroupPolicyforOffice2010GroupPolicyforOffice2010providesinformationabouttheGroupPolicysettingsforMicrosoftOffice2010.
TheaudiencesforthisbookareITprofessionalswhoplan,implement,andmaintainOfficeinstallationsintheirorganizations.
ThecontentinthisbookisacopyofselectedcontentintheOffice2010ResourceKitasofthepublicationdate.
Forthemostcurrentcontent,seetheOffice2010资源工具包ontheweb.
Downloadablebook:GroupPolicyforOffice2010(http://go.
microsoft.
com/fwlink/LinkId=204009)规划Office2010的多语言部署本文讨论部署包含多种语言的MicrosoftOffice2010的规划注意事项.
本文内容:规划安装规划自定义项规划校对工具规划安装Office2010的中性语言设计帮助简化具有多种语言的Office产品的部署.
允许安装程序协调多语言版本的单一安装,而不是创建一系列安装.
特定语言的所有特定语言组件都包含在MicrosoftOffice2010语言包中.
每个Office2010语言包都包含所有可使用该语言的Office2010产品的特定语言文件夹.
文件夹由附加到文件夹名称的语言标记进行标识.
有关语言标记的完整列表,请参阅LanguageidentifiersandOptionStateIdvaluesinOffice2010(该链接可能指向英文页面).
您可以将所需的所有Office2010语言包复制到至少包含一个完整的Office2010产品的网络安装点.
默认情况下,安装程序自动安装与每个用户的计算机上设置的Windows用户区域设置相匹配的语言版本.
或者,可以替代此默认行为,并更精确地管理多种语言版本的分发.
例如,可以:在一台计算机上安装多种语言.
指定在用户计算机上要安装的语言,而不考虑操作系统的语言,后者由用户区域设置指定.
指定自定义设置一次,然后将这些设置应用于组织中部署的所有语言版本.
向不同的用户组部署不同的语言.
部署附加语言的MicrosoftOffice2010校对工具包.
若要确定适合您的情况的部署解决方案,请参阅模型海报部署MicrosoftOffice2010的多语言包(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=168622&clcid=0x804)(该链接可能指向英文页面).
若要确定Office2010语言包中包括的伴随校对语言,请参阅CompanionproofinglanguagesforOffice2010(该链接可能指向英文页面).
每个Office2010语言包都包含一种或多种附加语言的校对工具.
例如,Office2010丹麦语语言包包含英语和德语以及丹麦语的校对工具.
所有Office2010语言包都包含英语校对工具.
有关校对工具的详细信息,请参阅规划校对工具.
在安装程序安装Office2010产品的某种语言版本之前,安装程序将确定用户对于该语言是否具有必需的操作系统支持.
如果不存在此类支持,安装程序将停止安装.
例如,如果某个用户尚未启用对东亚语言的支持,则安装程序不会安装Office2010的日语版本.
必须在开始部署时规划所需语言,这一点非常重要.
如果一定要在初始部署后更改用户配置,并将其他语言包含在自定义设置中,则必须执行一些特殊步骤;有关详细信息,请参阅AddorremovelanguagesafterdeployingOffice2010(该链接可能指向英文页面).
了解外壳UI语言的安装程序逻辑无论何时从包含多个语言版本的网络安装点部署Office2010,安装程序都必须确定对安装程序用户界面使用何种语言.
默认情况下,安装程序对Office2010安装语言和外壳用户界面(外壳UI)使用相同的语言.
外壳UI包括向操作系统注册的Office2010核心元素,如文件扩展名、工具提示和右键单击菜单项.
如果目标是在每台客户端计算机上仅安装一种语言版本的Office2010,且在Config.
xml文件中未指定任何其他语言,则安装程序使用以下逻辑确定要使用的语言:安装程序与用户区域设置的语言相匹配.
如果不匹配,则安装程序将查找最佳匹配.
例如,如果将用户区域设置设为"英语(加拿大)",则安装程序可能以"英语(美国)"安装Office2010.
如果没有最佳匹配,则安装程序将在Windows注册表内的以下子项中查找语言:HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Common\LanguageResources如果未将InstallLanguage项添加到LanguageResources子项,而是将其设置为特定的语言(LCID),则安装程序将提示用户选择语言(在交互式安装中),或者安装将失败(在安静安装中).
如果目标是在每台客户端计算机上安装多个语言版本的Office2010,则应该编辑Config.
xml文件,为每种要加入的语言设置元素.
但是,在Config.
xml文件中添加多种语言时,必须指定安装程序对外壳UI应使用这些语言中的哪一种.
如果未指定外壳UI语言,则安装将失败.
通过设置元素的ShellTransform属性,为外壳UI指定一种语言.
在这种情况下,安装程序用户界面的语言遵循前述逻辑,但是计算机上安装的语言和外壳UI的语言由Config.
xml文件中的项确定.
安装程序始终以外壳UI的语言安装Office2010,此外可以有任何其他安装语言.
例如,如果将外壳UI设置为法语,则用户可以在"语言"选项卡上选择其他安装语言;但用户不能删除法语.
有关如何为不同方案自定义安装程序的具体步骤,请参阅自定义Office2010的语言安装和设置中的相应部分:部署Office的默认语言版本指定要安装的语言向不同的用户组部署不同的语言规划自定义项用户首次启动Office2010应用程序时,安装程序将应用与计算机上所安装语言和Windows用户区域设置所指定语言相匹配的默认设置.
有四个主要的语言设置影响着用户使用Office2010的方式:主要编辑语言在计算机上安装Office2010的多个语言版本时,此设置确定用户在Office应用程序和文档中使用的语言.
启用的编辑语言用户可以指定多种语言用于编辑Office2010文档.
根据所选语言,此设置可能要求用户事先安装其他校对工具.
用户界面语言此设置确定显示用户界面(菜单和对话框)所使用的语言.
帮助语言此设置确定用户查看帮助主题所使用的语言.
可以提前为用户配置这些语言设置.
如果在安装Office时通过应用安装程序自定义文件(.
msp文件)或通过设置策略来指定自定义语言设置,则用户首次启动应用程序时Office2010不会用默认设置覆盖您的设置.
自定义语言设置的方法使用以下方法之一配置语言设置:组策略组策略实施默认语言设置.
组织中的用户不能永久地更改由策略管理的设置.
每次用户登录时都会重新应用这些设置.
以下策略帮助您管理Office2010中的语言设置:菜单和对话框的显示语言位于"显示语言"文件夹中.
这将确定用户界面的语言.
帮助的显示语言位于"显示语言"文件夹中.
这将确定联机帮助的语言.
如果未配置此策略,则帮助语言使用用户界面语言.
启用的编辑语言位于"编辑语言"文件夹中.
这将从Office所支持语言的列表中启用编辑语言.
主要编辑语言位于"启用的编辑语言"文件夹中.
当计算机上提供多个语言版本时,这将指定用户在Office应用程序和文档中使用的语言.
Office自定义工具(OCT)使用OCT创建安装程序自定义文件(.
msp文件),安装程序在安装过程中要应用该文件.
OCT中指定的设置为默认设置.
用户可以在安装之后更改设置.
语言设置工具如果不按策略实施语言设置,则在Office2010应用程序中工作的用户可以使用语言设置工具更改其语言设置.
有关如何使用这些工具自定义Office2010以进行多语言部署的具体步骤,请参阅自定义Office2010的语言安装和设置.
使用户能够在首次打开时查看新语言设置通常,在使用本文中描述的一种方法配置语言设置之后,安装程序将应用与用户首次启动Office2010应用程序时在计算机上安装的语言匹配的默认设置.
这意味着,用户下次(第二次)启动Office2010应用程序时,将会显示新语言设置.
如果想让用户在首次打开Office2010应用程序时查看新语言设置,则可以在部署初始Office2010安装时,或在用户必须使用Office2010应用程序之前,将以下注册表设置部署到用户计算机.
您可以使用脚本、批处理文件、组策略或OCT来部署这些注册表设置.
您必须配置的注册表设置是HKEY_CURRENT_USER\Software\Microsoft\Office\14.
0\Common\LanguageResources项下面的以下DWORD值:UILanguageHelpLanguageFollowSystemUI对于其中的每个值,请为数值名称指定与要使用的语言对应的LCID(区域设置标识符).
有关LCID的列表,请参阅LanguageidentifiersandOptionStateIdvaluesinOffice2010(该链接可能指向英文页面).
LCID是十进制值.
因此还必须将基数选项设置为十进制.
自定义与用户区域设置相关的特定语言的设置除了使用主要编辑语言设置之外,Office2010还可以配置与语言相关的设置(如数字格式)以符合操作系统的用户区域设置.
此行为由Windows注册表中LanguageResources子项中的LangTuneUp项控制.
如果不希望用户区域设置影响默认设置,则可以在安装Office2010时重置LangTuneUp的值.
如果不存在LangTuneUp项,则Office2010将在应用程序第一次启动时创建该项,并将值设置为OfficeCompleted.
LangTuneUp项可以具有以下两个值之一:OfficeCompleted基于用户区域设置的设置并不应用于整个Office2010.
但是,单独的应用程序仍会检查是否有新的输入法编辑器(IME)和字符集,并仍应用特定于用户区域设置的应用程序设置.
例如,应用程序确保新安装的键盘已启用了适当的编辑语言,且Word基于用户区域设置使用Normal.
dot中的字体.
ProhibitedOffice2010或任何单独的Office2010应用程序不修改与用户区域设置相关的设置.
在某些情况下,忽略用户区域设置有助于在整个多语言组织中保持一个标准的配置.
将LangTuneUp项设置为Prohibited可确保语言设置保持一致,且宏在各种语言之间兼容性更好.
例如,如果组织的总部在美国并要使各种语言的设置标准化,则部署Office2010时可以将主要编辑语言设置为en-us(美国英语),并将LangTuneUp设置为Prohibited.
在这种情况下,用户会收到相同的默认设置,无论其用户区域设置是什么.
忽略用户区域设置并非总是最佳选择.
例如,在Office2010文档中读取和输入亚洲语言字符的用户可能并不总能拥有正确显示字符所需的亚洲语言字体.
如果用户计算机上的安装语言与文档中使用的语言不匹配,并将LangTuneUp设置为Prohibited,则Office2010将不显示非默认语言中的字体.
如果Office2010安装需要支持多种亚洲语言的用户区域设置,请确保继续将LangTuneUp设置为OfficeCompleted.
为了帮助确保用户不更改默认值,请设置相应的策略.
规划校对工具用户可以使用校对工具编辑50多种语言的文档.
根据语言的不同,这些编辑工具可能包括拼写和语法检查程序、同义词库和连字符.
校对工具可能还包括特定语言的编辑功能,如语言自动检测、自动编写摘要和智能自动更正.
Office2010校对工具包提供了可用于安装任何校对工具的单一源.
可以在本地计算机上安装校对工具或将其部署到用户组.
也可以为组织中的一个用户或所有用户自定义和安装工具.
确定用于部署校对工具的方法如果用户必须编辑的文档使用的是计算机上尚未安装的语言,则可以为这些用户部署其他校对工具.
您可以从以下两个源之一部署其他校对工具:Office2010语言包如果用户同时需要相应语言的用户界面和校对工具,或者如果一个语言包可以提供所需的所有校对工具语言,请使用此选项.
请记住,每个语言版本的Office2010都包括一组伴随语言的校对工具.
例如,部署英文版Office2010产品时,用户除了会收到用于英语的校对工具之外,还会收到用于西班牙语和法语的校对工具.
根据要部署的用户界面语言数量和包括的伴随语言,Office2010语言包可能会提供您所需的全部校对工具.
有关伴随语言的列表,请参阅CompanionproofinglanguagesforOffice2010(该链接可能指向英文页面).
如果语言包具有所需的所有校对工具语言,请遵循自定义Office2010的语言安装和设置中适合您的情况的说明.
Office2010校对工具包该产品包含Office2010提供的所有语言的校对工具.
如果不需要相应语言的用户界面,但必须具有许多校对工具,这些校对工具未包含在任何已安装语言的伴随语言集中,或者未包含在可以安装的附加语言包中,请使用此选项.
Office2010多语言包包含所有Office2010语言包.
单个Office2010语言包、Office2010多语言包和Office2010校对工具包可在大多数零售商店及其网站购买,也可通过Microsoft批量许可计划获得.
安装校对工具需要1GB的硬盘空间.
但是总的磁盘空间取决于是从某个语言包部署校对工具还是从Office2010校对工具包进行部署.
与Office2010中的大多数产品一样,整个Office2010校对工具包缓存在本地安装源(LIS)中.
注意:校对工具不包括双语词典或分词系统.
这些工具是语言版本或语言包的一部分.
自定义Office2010校对工具包的安装若要自定义Office2010校对工具包的安装,请修改ProofKit.
WW文件夹中的Config.
xml文件.
对于不希望安装的每组校对工具,请在"OptionState"元素中将"State"属性设置为"Absent".
语法OptionState属性下表显示了OptionState属性、值和说明.
属性值说明IdoptionID用户可以选择要安装的项.
请参阅LanguageidentifiersandOptionStateIdvaluesinOffice2010(该链接可能指向英文页面)中的校对工具Config.
xmlOptionStateId值.
StateAbsent未安装该功能.
Advertise该功能在首次使用时安装.
Default该功能还原为其默认安装状态.
Local该功能安装在用户的计算机上.
Childrenforce将该功能的所有子功能设置为指定的状态.
注意:"State"属性的默认值是"Local".
Office2010校对工具包的示例Config.
xml文件下面的示例Config.
xml文件显示了"OptionState"元素的"State"属性设置为Absent的每种语言.
如果决定将此示例复制到Office2010校对工具包的Config.
xml文件中,请将要部署的每组校对工具的"State"属性设置为Local(或根据自己的需要设置为Default或Advertise).
-->-->-->-->-->-->-->-->-->-->-->预缓存Office2010校对工具包的本地安装源在部署Office2010校对工具包时,安装程序将在用户计算机上创建一个本地安装源-Office2010校对工具包的压缩源文件副本.
将这些文件复制到用户计算机之后,安装程序将从本地安装源完成安装.
在部署Office2010校对工具包之前,可以单独部署本地安装源,从而最大程度地减轻网络负载.
若要预缓存Office2010校对工具包的本地安装源,请参阅预缓存Office2010的本地安装源.
在Office2010校对工具包CD上,使用ProofKit.
WW文件夹中的Setup.
exe和Config.
xml文件.
另请参阅LanguageidentifiersandOptionStateIdvaluesinOffice2010(该链接可能指向英文页面)CompanionproofinglanguagesforOffice2010(该链接可能指向英文页面)自定义Office2010的语言安装和设置AddorremovelanguagesafterdeployingOffice2010(该链接可能指向英文页面)InternationalreferenceforOffice2010(该链接可能指向英文页面)OfficeCustomizationToolinOffice2010(该链接可能指向英文页面)预缓存Office2010的本地安装源规划Office2010的虚拟化MicrosoftApplicationVirtualization(App-V)提供了管理功能,可将应用程序提供给最终用户计算机,而不必将应用程序直接安装在这些计算机上.
本节提供可帮助您使用ApplicationVirtualization规划MicrosoftOffice2010部署的信息.
本节内容:文章说明部署Office2010的虚拟化概述描述什么是虚拟化、如何能够在组织中使用虚拟化,以及可以使用MicrosoftApplicationVirtualization(App-V)的哪种方法和类型在组织中部署Office2010.
使用应用程序虚拟化部署Office2010的方法提供有关使用MicrosoftApplicationVirtualization(App-V)在特定环境中部署Office2010的方法的信息,并介绍如何使用ApplicationVirtualizationManagementServer或ApplicationVirtualizationStreamingServer进行部署.
部署Office2010的虚拟化概述本文介绍什么是虚拟化、如何在组织中使用虚拟化以及可在您的环境中实现哪种方法和类型.
有关此信息的直观表示形式,请参阅虚拟化概述、方法和模型(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=168624&clcid=0x804)(该链接可能指向英文页面).
本文内容:关于虚拟化虚拟化类型和技术虚拟化交付方法虚拟化更改和更新应用程序虚拟化客户端体系结构关于虚拟化虚拟化是指在虚拟环境中运行应用程序或计算机而不会对该特定桌面或服务器上已存在的组件产生影响的功能.
可通过以下两种方式对计算资源进行虚拟化:应用程序虚拟化在应用程序虚拟化中,将对软件应用程序进行打包,以在独立的虚拟环境(其中包含在客户端计算机上运行应用程序所需的所有信息)中运行,而无需以本地方式安装软件应用程序.
桌面虚拟化在桌面虚拟化中,将对软件应用程序、操作系统和硬件配置进行打包,以在独立的虚拟环境中运行.
如果在硬件和所安装的操作系统之间创建一层,您将能够在单一计算机上运行多个包含应用程序的操作系统.
虚拟化类型和技术企业可使用一种虚拟交付方法进行部署,也可以有多个相互结合的虚拟环境.
桌面、演示、应用程序可用于客户端支持的虚拟化类型和技术如下所示:桌面桌面虚拟化是指可在标准桌面上创建额外的隔离操作系统环境的任何种类的技术.
虚拟PC仍然非常普遍地用于捕获整个桌面、特定硬件组件,或仅捕获用户配置文件并将其应用于其他设备、桌面或操作系统.
虚拟PC可以创建一个主系统(该系统具有支持旧版软件的多个操作系统映像的来宾帐户),而不会在升级到应用程序的较新发布版本时中断最终用户功能或导致应用程序兼容问题.
有关详细信息,请参阅WindowsVirtualPC(http://go.
microsoft.
com/fwlink/linkid=156041&clcid=0x804).
演示演示虚拟化涉及到将用户配置文件(包含数据和应用程序设置)与用户的计算机分开.
实现这一点的关键是远程桌面服务(以前称为终端服务),这是WindowsServer2008中提供的一项核心虚拟化技术.
演示模式通常用于瘦客户端连接或多用户应用程序,其中使用操作系统和应用程序的任何应用程序组合或虚拟化桌面环境都在一个位置中运行,而在另一个位置中对其进行控制.
远程桌面服务向每个用户演示屏幕图像(可以是单独的应用程序或整个桌面),而用户的计算机将击键和鼠标移动发送回服务器.
有关详细信息,请参阅选择桌面或演示虚拟化(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156042&clcid=0x804)(该链接可能指向英文页面).
应用程序利用应用程序虚拟化,您能够对单独的应用程序、插件、升级和更新进行虚拟化,然后将它们以区块的形式流式传输到客户端计算机,以便以更快的速度提供.
对于远程用户(例如顾问或携带便携计算机旅行的用户),可以将应用程序虚拟化"打包"为*.
msi,以便通过USB驱动器、CD或文件服务器分发.
有关详细信息,请参阅选择应用程序或桌面虚拟化(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156043&clcid=0x804)(该链接可能指向英文页面).
上述每种虚拟化方法都将应用程序保留在其自己的受保护环境中.
还有一些本文中未论述的服务器端虚拟化类型(Hyper-V和VirtualServer).
有关服务器端虚拟化类型的详细信息,请参阅以下文章:VirtualServer2005技术库(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156044&clcid=0x804)(该链接可能指向英文页面)适用于WindowsServer2008的Hyper-V(http://go.
microsoft.
com/fwlink/linkid=156045&clcid=0x804)应用程序虚拟化MicrosoftApplicationVirtualization(App-V)是一种企业级应用程序虚拟化解决方案,并且是MicrosoftDesktopOptimizationPack(MDOP)的一部分.
App-V使应用程序能够在操作系统的单一实例上运行,从而使应用程序成为从未安装、从不冲突并且按需流式传输给最终用户的集中管理的服务.
App-V支持旧版应用程序及其扩展点,而虚拟化应用程序将不会发生相互冲突、不会影响系统、可完全删除,并且可以轻松修复或升级.
App-V最适合用于运行于当前或目标操作系统上的应用程序,但对于其他应用程序或某些安装的文件会有冲突问题.
通过将物理桌面与软件或硬件分离,您可以创建最终用户看不到的隔离环境,然后使用启用了远程桌面服务(以前称为终端服务)的台式计算机或服务器运行应用程序,任何时候都无需将应用程序安装在客户端操作系统上.
MicrosoftOffice2010包括传统的Setup.
exe部署方法,并且也支持以虚拟化方式交付,方法是将Office应用程序流式传输或部署到最终用户,而无需CD或Setup.
exe文件.
对于无法在操作系统上运行或需要较旧版本操作系统的应用程序,请参阅Microsoft企业桌面虚拟化(MED-V)(http://go.
microsoft.
com/fwlink/linkid=156031&clcid=0x804),它是MDOP(请参阅Microsoft桌面优化包(http://go.
microsoft.
com/fwlink/linkid=156032&clcid=0x804))的一个组件.
MED-V使您能够使用虚拟PC工具部署应用程序.
若要在企业中使用MicrosoftApplicationVirtualization,Office2010将需要在每台设备上配置ApplicationVirtualizationDesktopClient(部署工具包).
有关虚拟环境的详细信息,请参阅关于虚拟环境(http://go.
microsoft.
com/fwlink/linkid=156039&clcid=0x804).
虚拟化交付方法可通过多种交付方法来完成MicrosoftOffice2010的交付.
有关计算机或服务器虚拟化的信息,请参阅以下资源:WindowsVirtualPC(http://go.
microsoft.
com/fwlink/linkid=156041&clcid=0x804)利用Hyper-V实现虚拟化(http://go.
microsoft.
com/fwlink/linkid=156049&clcid=0x804)适用于WindowsServer2008的Hyper-V(http://go.
microsoft.
com/fwlink/linkid=156045&clcid=0x804)VirtualServer2005技术库(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156044&clcid=0x804)(该链接可能指向英文页面)交付方法在每种虚拟化内,都有一种用于向桌面提供虚拟环境的交付方法.
有关交付方法的直观表示形式,请参阅虚拟化概述、方法和模型(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=168624&clcid=0x804)(该链接可能指向英文页面).
虚拟化的交付方法如下所示:演示交付允许从台式计算机中通过远程桌面服务访问虚拟化应用程序.
应用程序从一个中央服务器位置(提供应用程序或桌面的屏幕图像)中运行,并由桌面控制.
有关远程桌面服务(以前称为终端服务)演示虚拟化的详细信息,请参阅远程桌面服务(http://go.
microsoft.
com/fwlink/linkid=156050&clcid=0x804).
流式交付应用程序虚拟化的过程如下:将软件应用程序"打包"并存储在文件服务器、应用程序服务器或备用源驱动器上(例如在MicrosoftSystemCenterConfigurationManager2007中),并根据需要以小型排序数据包的形式交付.
有关详细信息,请参阅SystemCenterConfigurationManager(http://go.
microsoft.
com/fwlink/linkid=156051&clcid=0x804).
当最终用户第一次打开运行虚拟应用程序的文档时,将出现一个快速滚动条,该滚动条显示已流式传输到用户计算机的虚拟应用程序的百分比.
应用程序将加载,以便最终用户能够开始其工作.
如果最终用户需要的功能不在初始功能块中,则应用程序的其余部分将在后台流式传输到其本地缓存中.
排序的程序包包含若干文件.
其中包括一个.
sft文件、一个.
sprj文件,一个Manifest.
xml文件,然后是若干.
osd和.
ico文件.
.
sft文件包含所有应用程序文件,后者包含组织为可流式传输的功能块的所有资产和状态.
.
osd文件包含应用程序的描述,其中包括环境依赖项、程序包位置、shell集成和脚本.
.
ico文件包含与.
osd文件或Manifest.
xml文件中定义的每个快捷方式或文件类型关联(FTA)相关联的图标.
这些图标是从应用程序资源中提取的.
.
sprj文件是排序项目文件,该文件引用所有分析程序项、分类和排除项的.
osd默认程序包设置列表.
Manifest.
xml文件发布程序包中应用程序的参数,该文件包括shell集成的定义(例如,FTA、快捷方式、动态数据交换(DDE)等).
独立交付在这个过程中,会将软件应用程序"打包",并通过CD、USB驱动器等交付,以本地方式存储在用户缓存驱动器上,以便当用户断开网络连接时能够完全访问.
有关适用于移动用户的独立交付方法的直观表示形式,请参阅虚拟化概述、方法和模型(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=168624&clcid=0x804)(该链接可能指向英文页面).
当您创建独立程序包时,将会向该程序包中添加一个额外的文件.
创建.
msi文件是为了在独立环境中发布和加载("安装")虚拟应用程序包.
虚拟化更改和更新MicrosoftApplicationVirtualization(App-V)(以前称为MicrosoftSoftGridApplicationVirtualization)提供了对基于策略的集中式管理的访问,从而使管理员能够添加或删除对任何给定应用程序的访问,而不考虑应用程序的位置(例如,桌面、便携计算机或脱机用户).
App-V包括了与MicrosoftSystemCenterConfigurationManager2007的集成,从而能够通过ConfigurationManager2007部署App-V应用程序.
有关App-V中的主要特点和新功能的详细信息,请参阅ApplicationVirtualization概述(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156034&clcid=0x804)(该链接可能指向英文页面).
SoftGrid中的增强功能下表列出了App-V中的一些改进之处.
有关改进之处的详细列表,请参阅MicrosoftApplicationVirtualization-新功能(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156036&clcid=0x804)(该链接可能指向英文页面).
新功能在App-V4.
x中支持虚拟化Windows服务是.
使用户能够对任何基于Windows的应用程序的各个方面进行虚拟化.
虚拟化事务性用户配置文件是.
减小了Windows配置文件的大小,同时在计算机之间实现了无缝漫游.
最终用户预缓存是.
使用户能够为脱机使用启动预先缓存的应用程序.
批量排序是.
在多个Windows操作系统上实现"只需排序一次,即可在任何位置运行",从而减少了对应用程序进行虚拟化所需的工作.
授权模型利用新增的安全保护平台(SPP)实现集中授权.
对Windows7的支持是(App-V4.
5).
对Office2010的支持是(App-V4.
6)x86,并适用于到64位计算机的64位Office或86位部署(在WoW64下).
活动更新是.
更新应用程序版本,而不必断开用户连接.
SharePoint和Outlook快速搜索是.
访问控制是.
控制对仅由IT预先授权的应用程序的访问(即使在脱机模式下).
应用程序虚拟化客户端体系结构根据组织的需求,可以将虚拟化技术加以组合.
针对您的情况确定虚拟化特性必须以什么为基础.
有关详细信息,请参阅组合虚拟化技术(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=156054&clcid=0x804)(该链接可能指向英文页面).
通过对应用程序进行虚拟化,将会在操作系统和应用程序本身之间设置一个层.
这可带来以下好处:可以更为灵活地运行在过去可能与其他应用程序冲突的应用程序.
可以更为轻松地安装和删除应用程序,因为它们不会对桌面的任何本地文件造成影响.
减少了回归测试.
可对应用程序的部署进行更多自定义.
在本地客户端计算机上发布应用程序时,应用程序将保留在一个虚拟环境中.
但是,将使用本地资源以本地方式执行应用程序.
即使应用程序位于虚拟环境中,它仍然能够与其他本地安装的程序交互.
每个应用程序的虚拟环境都包含注册表设置和.
ini文件、.
dll文件以及组策略设置文件.
应用程序从此虚拟环境中读取并写入此虚拟环境,而不会对本地客户端计算机上的任何这些设置产生影响.
启用了App-V的应用程序将在其空间外部读取和写入的唯一项是系统服务(例如,剪切和粘贴、OLE以及打印机)和配置文件数据.
只会在必要时才读取本地系统文件(例如,注册表、.
ini和.
dll).
另请参阅ApplicationVirtualizationSystem的计划和部署指南基于电子软件分发的方案基于ApplicationVirtualizationServer的方案ApplicationVirtualizationClient的独立传递方案MicrosoftApplicationVirtualization排序指南(该链接可能指向英文页面)用于在MicrosoftSoftGrid中排序的最佳做法使用应用程序虚拟化部署Office2010的方法本文提供有关一些特定方法的信息,这些方法用于在没有可用于支持其他虚拟应用程序部署方法的服务器的环境或在计划从连接的服务器(例如ApplicationVirtualizationManagementServer或ApplicationVirtualizationStreamingServer)中部署虚拟化应用程序的环境中部署MicrosoftApplicationVirtualization(App-V).
有关可帮助您更好地了解和部署App-V及其组件的信息,请参阅ApplicationVirtualizationSystem的计划和部署指南(http://go.
microsoft.
com/fwlink/linkid=156611&clcid=0x804).
该指南还提供了用于实现主要部署方法的逐步过程.
有关如何使用App-V专门部署Office2010的信息,请参阅使用MicrosoftApplicationVirtualization部署Office2010.
部署方法可将虚拟应用程序包内容放在一台或多台ApplicationVirtualization服务器上,以使其可按需流式向下传送到客户端并以本地方式缓存.
也可将文件服务器和Web服务器用作流式处理服务器,或者可以将内容直接放在最终用户的计算机上(例如,如果您在使用诸如MicrosoftSystemCenterConfigurationManager2007等电子软件分发(ESD)系统).
下面是一些部署方法和资源:基于ESD的部署有关详细信息,请参阅基于电子软件分发的方案(http://go.
microsoft.
com/fwlink/linkid=156046&clcid=0x804).
基于服务器的部署有关详细信息,请参阅基于ApplicationVirtualizationServer的方案(http://go.
microsoft.
com/fwlink/linkid=156047&clcid=0x804).
独立部署有关详细信息,请参阅ApplicationVirtualizationClient的独立传递方案(http://go.
microsoft.
com/fwlink/linkid=156048&clcid=0x804).
另请参阅使用MicrosoftApplicationVirtualization部署Office2010ApplicationVirtualizationSystem的计划和部署指南应用程序虚拟化应用程序包本文包含使用MicrosoftApplicationVirtualization(App-V)创建MicrosoftOffice2010程序包的技术指导.
本文内容:ApplicationVirtualizationSequencerApplicationVirtualization程序包创建Office2010system包使用动态套件合成创建应用程序依赖项ApplicationVirtualizationSequencerMicrosoftApplicationVirtualizationSequencer是基于向导的工具,管理员可以使用它来创建流式传输到App-V客户端计算机的虚拟应用程序和应用程序包.
在排序过程中,管理员将Sequencer程序置于监控模式下,并将要排序的应用程序安装到排序计算机上.
接着,管理员启动排序的应用程序并启动其最常用的功能,以便监控流程可以配置主要功能块.
主要功能块包含运行一个或多个应用程序所需的最少内容.
这些步骤完成后,管理员停止监控模式,然后保存并测试排序的应用程序以验证操作是否正确.
ApplicationVirtualization程序包Sequencer生成应用程序包,其中包含以下列表中介绍的几个文件.
.
sft、.
osd和.
ico文件存储在App-VManagementServer上的共享内容文件夹中,供App-V客户端计算机访问和运行排序的应用程序.
.
ico(图标)文件指定显示在App-V客户端桌面、在"开始"菜单快捷方式中使用以及用于文件类型的应用程序图标.
双击文件或快捷方式时,即启动了对应.
osd文件的快捷方式,这会启动数据流式传输和应用程序.
启动App-V支持的应用程序的体验与启动本地存储的应用程序的体验相同.
.
osd(开放软件说明)文件提供查找应用程序的.
sft文件以及设置和启动应用程序所需的信息.
此信息包括应用程序名称、可执行文件的名称和路径、.
sft文件的名称和路径、套件名称、支持的操作系统以及有关应用程序的常规注释.
.
sft文件包含具有一个或多个基于Windows的应用程序的资产.
App-VSequencer不必修改源代码即可将这些资产文件打包为可流式传输到App-V客户端的数据块.
该文件分为两个不同的区块.
第一个区块称为主要功能块,由应用程序最常用的功能组成,在程序包创建期间配置.
.
sprj(Sequencer项目)文件在保存项目时生成.
.
sprj文件包含Sequencer排除的文件、目录和注册表项的列表.
将此文件加载到Sequencer中可添加、更改、删除或升级套件中的任何应用程序.
常见的例子是使用.
sprj文件为应用程序添加ServicePack.
清单文件(基于XML)介绍了程序包使用的所有应用程序、文件类型关联和图标.
创建Office2010system包MicrosoftOffice2010使用OfficeSoftwareProtectionPlatform(SPP)服务.
此激活技术与用于激活WindowsVista和Windows7批量版本的激活技术相同,包含在适用于App-V的MicrosoftOffice2010部署工具包(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=186371&clcid=0x804)(该链接可能指向英文页面)中.
排序程序包之前,请确保满足必要的最低配置,并遵循ApplicationVirtualizationSequencer的最佳做法(http://go.
microsoft.
com/fwlink/linkid=192229&clcid=0x804)中提供的准则.
您必须在排序计算机上安装并配置适用于App-V的MicrosoftOffice2010部署工具包.
该部署工具包中既包括Office许可证激活(http://go.
microsoft.
com/fwlink/linkid=182959&clcid=0x804)所需的SPP授权组件,也包括Office2010集成功能部件.
本产品还必须安装在将部署和流式传输虚拟Office2010程序包的客户端计算机上.
若要创建系统包,您必须最少有一台电子软件分发(ESD)服务器或App-VManagementServer、一台排序计算机和一台客户端计算机,而且它们要运行相同版本的Windows.
请确保您的环境符合下表中列出的所有相关条件.
排序计算机的体系结构运行Office的计算机的体系结构客户端计算机的体系结构许可支持虚拟代理支持基于x86的计算机基于x86的计算机基于x86的计算机是是x64(Office将通过WoW64运行)是是基于x64的计算机基于x86的计算机基于x64的计算机(Office将通过WoW64运行)是是基于x64的计算机基于x64的计算机是否重要:在基于x64的计算机上排序的程序包只能部署到基于x64的客户端计算机上.
在基于x86的计算机上排序的程序包可以部署到基于x86或基于x64的客户端计算机上.
注意:可以选择虚拟代理.
但只有运行Office2010的32位计算机支持虚拟代理.
下面的图表介绍了最低要求,之后是创建系统包所需的过程.
准备排序计算机安装部署工具包排序Office2010system包计算机说明所需操作系统A代表电子软件分发(ESD)服务器或App-VManagementServer运行WindowsServer2008B代表设置为排序计算机的客户端计算机与C运行相同的Windows版本C代表虚拟化应用程序包的接收客户端计算机与B运行相同的Windows版本按照以下过程准备排序计算机.
准备排序计算机1.
确保您已安装WindowsSearch4.
0(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=169358&clcid=0x804)(该链接可能指向英文页面)并将"Windows搜索"服务设置为"手动"或"自动".
2.
通过安装MicrosoftXML纸张规范EssentialsPack(http://go.
microsoft.
com/fwlink/linkid=169359&clcid=0x804)下载XPS查看器.
3.
将WindowsUpdate服务设置为"禁用".
4.
安装App-V4.
6Sequencer.
5.
下载部署工具包(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=186371&clcid=0x804)(该链接可能指向英文页面)并提取.
exe文件.
6.
提取.
exe文件后,应该会有一个OffVirt.
msi文件.
使用以下过程安装部署工具包,该工具包通过使用App-V来支持对Office2010客户端产品进行排序和部署.
工具包包括激活Office许可证所需的组件.
安装部署工具包1.
打开提升的命令提示符.
单击"所有程序"和"",右键单击"命令提示符",再单击"以管理员身份运行".
或者打开"开始"菜单,在搜索框区域中键入"cmd",再同时按CtrlL+Shift+Enter.
2.
浏览到包含Offvirt.
msi文件的目录.
3.
运行以下命令以安装部署工具包:Msiexec/iOffVirt.
msi[featureflags][licensingflags]注意安装的部署工具包版本必须与您计算机的操作系统体系结构相匹配.
例如,如果要在64位操作系统上排序Office32位或64位,您必须使用部署工具包的64位版本,因为它与操作系统版本匹配.
将功能标志用于匹配您的排序站操作系统的体系结构:32位:ADDLOCAL=Click2runMapi、Click2runOWSSupp、Click2runWDS、OSpp、OSpp_Core64位:ADDLOCAL=Click2runMapi、Click2runOWSSupp、Click2runWDS、Ospp、OSpp_Core、OSppWoW64有关Office2010system批量激活以及确定要使用哪些激活和许可标志的详细信息,请参阅Office许可证激活(http://go.
microsoft.
com/fwlink/linkid=182959&clcid=0x804).
下表列出Office2010产品应用程序和Office2010产品套件及其对应的KMS激活许可标志.
要配置KMS的相应许可证属性,请指定您要排序的Office2010产品的相应值,并将下表中的标志值设置为1.
例如:msiexec/iOffvirt.
msiPROPLUS=1VISIOPREM=1KMS激活产品应用程序标志值产品套件值标志AccessAccess0或1OfficeProfessionalPlus0或1PROPLUSExcelExcel0或1OfficeSmallBusinessBasics0或1SMALLBUSBASICSSharePointWorkspaceGROOVE0或1OfficeStandard0或1STANDARDInfoPathInfoPath0或1OneNoteOneNote0或1OutlookOutlook0或1PowerPointPowerPoint0或1ProjectProfessionalPROJECTPRO0或1ProjectStandardPROJECTSTD0或1PublisherPublisher0或1SharePointDesignerSPD0或1VisioPremiumVISIOPREM0或1VisioProfessionalVISIOPRO0或1VisioStandardVISIOSTD0或1WordWord0或1下表列出MAK激活的标志和值.
如果Office客户端计算机将使用MAK激活,您必须使用下表中列出的某种方法来安装产品密钥.
MAK激活标志值PIDKEYS多个产品密钥使用分号隔开.
例如:PIDKEYS=X-X-X-X-X;Y-Y-Y-Y-YXXXXX-XXXXX-XXXXXX-XXXXXX-XXXXXXXUSEROPERATIONS0或11.
使用批量激活管理工具(VAMT)2.
0在流式传输Office2010system的客户端计算机上安装产品密钥.
要下载该工具,请参阅批量激活工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=83292&clcid=0x804)(该链接可能指向英文页面).
2.
使用PIDKEYS属性来部署一个或多个MAK密钥(以分号隔开),如表中所示.
下面的示例中,将输入ProfessionalPlus和VisioMAK密钥,之后将USEROPERATIONS属性设置为1,以允许客户端激活.
msiexec/iOffVirt.
msiPIDKEYS=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx;yyyyy-yyyyy-yyyyy-yyyyy-yyyyy-yyyyyyUSEROPERATIONS=13.
支持混合KMS/MAK部署.
例如:KMS用于PROPLUS,MAK用于Visio:msiexec/iOffVirt.
msiPROPLUS=1PIDKEYS=yyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy注意:UserOperations=1表示非管理用户可以激活Office.
UserOperations=0表示只有管理员可以激活Office.
按照以下过程在排序计算机上对Office2010system进行排序.
排序Office2010system1.
在排序计算机上,单击"开始",选择"所有程序",选择"MicrosoftApplicationVirtualization",再单击"MicrosoftApplicationVirtualizationSequencer".
这将打开应用程序虚拟化排序向导.
2.
单击"创建程序包"为应用程序创建新程序包.
3.
在"程序包信息"对话框中,指定程序包的名称.
4.
对于安装文件夹,使用8.
3格式(如Q:\Temp123.
wxp)安装到新目录,再单击"确定".
注意:建议您选择虚拟驱动器分配并一致使用该驱动器;通常为Q:\驱动器.
5.
在"监控安装"对话框中,单击"开始监控"监控安装阶段.
6.
启动Office2010system的setup.
exe.
7.
在"选择所需的安装"提示下单击"自定义".
注意:在Office安装过程中,如果需要安装某功能,请确保选择"安装到硬盘驱动器".
8.
单击"文件位置"选项卡,并配置与在步骤4中选定的安装目录匹配的路径.
再单击"安装".
可以选择配置首次启动使用设置(例如自定义用户设置)的以下过程,但是应在监控期间执行.
如果不需要可选步骤,请转至下文中的创建主要功能块.
可选步骤1.
在监控期间启动虚拟应用程序.
单击"开始",再单击"运行".
2.
输入虚拟应用程序的实际路径,并选择可执行虚拟文件以启动虚拟应用程序.
例如,要启动Word,请键入q:\Temp123.
wxp\Office14\WINWORD.
EXE,再按Enter.
3.
在Sequencer仍然监控时配置其他代理.
使用以下过程(在排序计算机上时执行该过程)配置其他代理.
这些步骤必须在监控过程中执行,以使这些注册表项在虚拟注册表中正确保持已删除状态.
代理在OutlookSearch中启用"快速搜索",与SharePoint(openin和编辑文档)和其他功能集成.
配置其他代理1.
在Sequencer仍然监控时,在Sequencer服务器上创建以下虚拟注册表项,以配置SharePoint代理注册表设置,然后删除这些注册表项,以使Sequencer监控删除新添加的注册表项.
如果要对32位操作系统进行排序,注册表项如下:HKEY_CLASSES_ROOT\CLSID\{9203C2CB-1DC1-482d-967E-597AFF270F0D}\TreatAsHKEY_CLASSES_ROOT\CLSID\{BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\TreatAs如果要对64位操作系统进行排序,注册表项如下:HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{9203C2CB-1DC1-482d-967E-597AFF270F0D}\TreatAsHKEY_CLASSES_ROOT\Wow6432Node\CLSID\{BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\TreatAs2.
在"配置应用程序"页上为代理支持添加新代理应用程序,然后选择"应用程序"根目录.
单击"添加",再添加以下应用程序:注意:要快速找到路径,请单击"浏览".
复制应用程序路径并粘贴到"文件名"字段中.
即时搜索(虚拟搜索主机)应用程序路径:%commonprogramfiles%\microsoftshared\virtualizationhandler\VirtualSearchHost.
exe名称:指定名称.
默认名称为"SearchMAPIProtocolHandlerHost"虚拟SharePoint代理应用程序路径:%commonprogramfiles%\microsoftshared\virtualizationhandler\VirtualOWSSuppManager.
exe名称:指定名称.
默认名称为"MicrosoftSharePointClientSupportManager"SimpleMAPI应用程序路径:%commonprogramfiles%\microsoftshared\virtualizationhandler\MapiServer.
exe名称:指定名称.
默认名称为"MicrosoftVirtualOfficeSimpleMAPIProxyServer"虚拟邮件控制面板项目应用程序路径:%windir%\system32\Control.
exe%SFT_MNT%\shortpath\Office14\mlcfg32.
cpl名称:指定名称.
默认名称为"WindowsControlPanel"注意要将参数%SFT_MNT%\shortpath\Office14\mlcfg32.
cpl添加到应用程序路径,请浏览到Control.
exe应用程序路径,并单击"确定".
将该参数附加到"应用程序路径"字段.
短路径是您安装Office2010的8.
3目录.
例如,如果将Office2010安装到Q:\Temp123.
wxp,短路径为Temp123.
wxp.
Office文档缓存应用程序路径:Q:\shortpath\Office14\MSOSync.
exe名称:指定名称.
默认名称为"MicrosoftOfficeDocumentCache"3.
将Office文档缓存应用程序设置为自动启动.
在"应用程序"树中展开"Office文档缓存"元素.
4.
选择"快捷方式".
编辑快捷方式位置:"开始"菜单\"程序"\"启动".
5.
将所有应用程序.
osd文件版本与代理.
osd版本同步.
右键单击Office安装文件(Setup.
exe),并选择"属性".
6.
单击"版本"选项卡.
更改所有.
osd文件的版本以与该版本匹配.
例如:如果Setup.
exe的版本为14.
0.
4763.
1000,请确保将所有代理应用程序.
osd文件和Office.
osd文件的版本号设置为13.
04.
764.
1000.
7.
单击"下一步".
使用以下过程创建主要功能块,其中包含运行一个或多个应用程序所需的最少内容.
建议您不要启动OneNote、Outlook和SharePoint,因为最好保留自定义设置.
在此步骤中,不要按F1.
创建主要功能块1.
在"应用程序"页上单击"下一步".
2.
选择并启动首选应用程序,以便为每个应用程序生成主要功能块.
3.
单击"下一步".
4.
排序完成后,单击"完成".
5.
若要保存程序包,请单击"程序包",再单击"保存".
配置Office2010注册表设置1.
验证以下虚拟注册表项是否已设置为"与本地合并".
如果要在32位操作系统上排序,注册表项如下:MACHINE\Software\Microsoft\Office\14.
0如果要在64位操作系统上排序,注册表项如下:MACHINE\Software\Wow6443Node\Microsoft\Office\14.
02.
右键单击注册表项,并选择"注册表项",然后验证是否已选中"与本地注册表项合并"复选框.
重要:如果要将Office2010部署到已安装2007Officesystem的计算机(与Office2010共存),请按照以下步骤进行操作.
否则,请跳过这些步骤中的其余部分并继续.
3.
在监控期间,创建以下注册表子项:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles如果要在64位Windows上排序,还要创建以下子项:HKEY_CURRENT_USER\Software\WOW6432Node\Microsoft\WindowsNT\CurrentVersion\WindowsMessagingSubsystem\Profiles对于App-V4.
6,请确保将该子项设置为"替代本地注册表项".
对于App-V4.
5,请将父项…\CurrentVersion\WindowsMessagingSubsystem设置为与本地注册表项合并.
将子项…\CurrentVersion\WindowsMessagingSubsystem\Profiles设置为与本地注册表项合并.
重要:以下步骤必须在监控过程中执行,以使这些注册表项在虚拟注册表中保持已删除状态.
4.
在"工具"菜单上单击"排序向导".
5.
单击"下一步".
6.
单击"开始监控".
7.
创建以下虚拟注册表子项,然后将其删除,以使Sequencer监控删除新添加的注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\Microsoft.
OMSAddin8.
单击"停止监控",继续单击"下一步",再单击"完成"返回高级Sequencer属性页.
注意:如果其中某些XML节点当前不存在,您必须进行添加.
9.
对于每个.
osd文件,请为标记的以下元素文本添加TRUE:SOFTPKG->IMPLEMENTATION->VIRTUALENV->POLICIES->LOCAL_INTERACTION_ALLOWED按照以下过程配置客户端计算机以运行Office2010排序的程序包.
配置客户端计算机以运行Office20101.
如果尚未在客户端计算机上安装App-V客户端,请进行安装.
2.
浏览到包含Offvirt.
msi文件的目录.
3.
在命令提示符处,键入以下命令:msiexec/iOffVirt.
msi[Licensingflags]您必须在下表中输入从列表中选择的正确的许可标志,以正确配置部署工具包.
否则,功能可能不正确.
KMS激活产品应用程序标志值产品套件值标志AccessAccess0或1OfficeProfessionalPlus0或1PROPLUSExcelExcel0或1OfficeSmallBusinessBasics0或1SMALLBUSBASICSSharePointWorkspaceGROOVE0或1OfficeStandard0或1STANDARDInfoPathInfoPath0或1OneNoteOneNote0或1OutlookOutlook0或1PowerPointPowerPoint0或1ProjectProfessionalPROJECTPRO0或1ProjectStandardPROJECTSTD0或1PublisherPublisher0或1SharePointDesignerSPD0或1VisioPremiumVISIOPREM0或1VisioProfessionalVISIOPRO0或1VisioStandardVISIOSTD0或1WordWord0或1下表列出MAK激活的标志和值.
如果Office客户端将使用MAK激活,您必须使用下表中列出的某种方法安装产品密钥.
MAK激活标志值PIDKEYS多个产品密钥使用分号隔开.
例如:PIDKEYS=X-X-X-X-X;Y-Y-Y-Y-YXXXXX-XXXXX-XXXXXX-XXXXXX-XXXXXXXUSEROPERATIONS0或1a.
使用批量激活管理工具(VAMT)2.
0在流式传输Office2010system的客户端计算机上安装产品密钥.
要下载该工具,请参阅Microsoft下载网站上的批量激活工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=83292&clcid=0x804)(该链接可能指向英文页面).
b.
使用PIDKEYS属性部署一个或多个MAK密钥(以分号隔开),如上一个表中所示.
在下面的示例中,将输入ProfessionalPlus和VisioMAK密钥,之后将USEROPERATIONS属性设置为1,以允许客户端激活.
msiexec/iOffVirt.
msiPIDKEYS=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx;yyyyy-yyyyy-yyyyy-yyyyy-yyyyy-yyyyyyUSEROPERATIONS=1c.
支持混合KMS/MAK部署.
如果需要,可以一些计算机使用KMS激活,另一些客户端计算机使用MAK.
例如:KMS用于PROPLUS,MAK用于Visio:msiexec/iOffVirt.
msiPROPLUS=1PIDKEYS=yyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy-yyyyyy4.
只有在排序步骤中配置了代理的情况下,才能在客户端计算机上启用代理.
若要启用程序包的虚拟代理,请打开提升的命令提示符并运行以下命令:msiexec/IpathoftheOffVirt.
msi\OffVirt.
msiADDDEFAULT=Click2runOneNoteProxy,Click2runOutlookProxies,Click2RunWDSProxy,Click2runOWSSuppProxiesPACKAGEGUID={SFTpackageGUID}PACKAGEVERSION=versionsfoundinOSDfilesforproxies,Outlook,andOneNoteOUTLOOKNAME=applicationnameforOutlookfromOSDONENOTENAME=applicationnameforOneNotefromOSDMAPISERVER=MAPIproxyapplicationnameVIRTUALSEARCHHOST=SearchproxyapplicationnameMLCFG32CPL=applicationnameforvirtualmailconfigurationOWSSUPPServer=applicationnameforSharePointproxy例如:msiexec/ic:\OffVirt.
msiADDDEFAULT=Click2runOneNoteProxy,Click2runOutlookProxies,Click2runWDSProxy,Click2runOWSSuppProxiesPACKAGEGUID={5971AF75-7831-4AE9-906F-0F30C7DD0CA5}PACKAGEVERSION=14.
0.
4763.
1000OUTLOOKNAME="MicrosoftOutlook2010"ONENOTENAME="MicrosoftOneNote2010"MAPISERVER="MicrosoftVirtualOfficeSimpleMapiProxyServer"VIRTUALSEARCHHOST="SearchMAPIProtocolHandlerHost"MLCFG32CPL="WindowsControlPanel"OWSSUPPServer="MicrosoftSharePointClientSupportManager"使用动态套件合成创建应用程序依赖项动态套件合成为管理员提供了一个工具,用于控制将组合哪些虚拟应用程序以创建统一的虚拟应用程序集工作环境.
利用动态套件合成,可以指定虚拟应用程序之间的必需或可选依赖项.
在客户端计算机上运行虚拟应用程序后,还将启动具有依赖关系的虚拟应用程序的环境,并允许组合两个虚拟环境.
动态套件合成工具作为App-V资源工具包的一部分提供.
它降低了与直接编辑XML相关的错误键入风险和复杂性.
以下是配置两个单独的虚拟程序包并进行集成的练习示例:1.
在App-V服务器上,单击"开始",再单击"MicrosoftApp-VDSC工具".
2.
在"程序包根目录"字段中,单击"选择",再单击"添加文件夹".
3.
展开"计算机",选择"内容",其中列出存储的程序包,单击"确定",再单击"完成"以构建可用程序包列表.
4.
在"主要程序包"框中,选择D:\Content\.
.
.
中的第一个程序包.
5.
在"可用的辅助程序包"框中,选择D:\Content\.
.
.
中的第二个程序包,再单击"添加".
6.
单击"保存",单击"确定"确认,再单击"退出"完成此过程.
另请参阅JumpstartKitv1.
1概念证明(该链接可能指向英文页面)远程桌面服务规划(终端服务)终端服务器是为终端服务客户端承载基于Windows的程序或完整Windows桌面的服务器.
用户可连接到终端服务器来运行程序、保存文件以及使用该服务器上的网络资源.
当用户访问终端服务器上的程序时,将在该服务器上执行程序.
只会通过网络传输键盘、鼠标和显示信息.
每个用户都只会看到他们的个人会话.
会话由服务器操作系统通过透明方式进行管理,并且独立于任何其他客户端会话.
终端服务角色(在WindowsServer2008R2中现在称为远程桌面服务)能够在Windows中承载多个并发客户端会话.
通过使用远程桌面服务,用户可以从企业网络或Internet访问远程桌面会话主机服务器(终端服务器).
本节内容:文章说明规划在远程桌面服务(终端服务)环境中部署Office2010描述在远程桌面服务环境中规划MicrosoftOffice2010的部署时要使用的最佳做法和建议准则.
与远程桌面服务(终端服务)相关的Office2010安装程序自定义描述与远程桌面服务相关的Office2010自定义项.
规划在远程桌面服务(终端服务)环境中部署Office2010本文介绍当您在远程桌面服务环境(以前称为终端服务)中规划MicrosoftOffice2010的部署时要使用的最佳做法和建议准则.
本文内容:规划远程桌面服务环境配置远程桌面会话主机服务器自定义Office2010安装在启用了远程桌面服务的计算机上安装Office2010规划远程桌面服务环境使用以下各节中的最佳做法和建议准则为Office2010规划有效的远程桌面服务环境.
评估授权要求MicrosoftOffice的远程桌面服务部署需要批量许可证密钥才能正常工作.
在2007MicrosoftOfficesystem中,即使使用了非批量许可证密钥(例如,零售密钥),安装也能够在配置了远程桌面服务的操作系统上完成.
但是,当用户启动应用程序时,他们将看到以下消息:"此MicrosoftOffice程序产品不能用于终端服务器.
请与当地的Microsoft授权零售商联系了解更多详情.
"在Office2010中,引入了安装时检查.
如果与产品密钥关联的权限不允许远程桌面服务,则会立即阻止安装程序,指示在运行远程桌面服务的计算机上不支持SKU.
评估软件要求在启用了远程桌面服务的计算机上安装Office2010之前,请确保您了解服务器和客户端计算机的要求.
服务器要求您可以在运行WindowsServer2003ServerPack(SP)1或更高版本的计算机上运行Office2010.
但无法在早于WindowsServer2003之前发布的服务器操作系统上安装或运行Office2010.
在远程桌面服务上进行部署时要求查看Office2010中的设计更改,并根据要使用的WindowsServer(2003或2008)的版本查看服务器要求.
根据当前服务器硬件(将支持多个并发会话),性能将受到显著影响.
处理器和内存要求将根据工作负荷的不同而有所不同.
下表显示了一些最近测试的结果.
WindowsServer版本内核处理器内存并发会话WindowsServer200832256GB1140WindowsServer200816256GB860WindowsServer200316(不支持32)WindowsServer2003416GB150可以在远程桌面会话主机(RD会话主机)服务器场上将远程桌面服务配置为负载平衡,具体情况视客户的部署需求而定.
正如WindowsServer2003RD会话主机服务器容量和缩放所示,并发会话的数量取决于许多因素,例如工作负荷和配置.
若要支持数千个并发会话,应使用RD会话主机服务器场配置.
若要查看WindowsServer2008调整指南(该指南现在包含WindowsServer2008上RD会话主机服务器知识工作者工作负荷(基于Office的工作负荷)的一般培训参考),请参阅WindowsServer2008的性能调优指南(http://go.
microsoft.
com/fwlink/linkid=135703&clcid=0x804).
若要了解MicrosoftIT如何在Microsoft部署WindowsServer2008终端服务,请参阅MSIT如何使用终端服务作为可缩放的远程访问解决方案(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=135705&clcid=0x804)(该链接可能指向英文页面).
若要详细了解远程桌面负载模拟工具集,请参阅远程桌面负载模拟工具(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=178956&clcid=0x804)(该链接可能指向英文页面).
客户端要求在启用了远程桌面服务的计算机上运行Office2010的一大优点是可靠性较差的较旧客户端计算机可以访问启用了远程桌面服务的计算机.
尤其是,支持远程桌面协议(RDP)的任何计算机都可以连接到启用了远程桌面服务的计算机.
评估建议准则和最佳做法一定要查看下列准则和最佳做法以在远程桌面服务环境中规划有效的Office2010部署.
可供下载的以下文件将引导您对WindowsServer2008R2中的RD会话主机进行容量计划.
它描述了将对给定部署的容量产生影响的最相关因素.
WindowsServer2008R2中的远程桌面会话主机容量计划(该链接可能指向英文页面)对于MicrosoftOutlook2010,大多数可扩展且经过优化的大型部署配置都是在联机模式下对ExchangeServer运行Outlook.
但是,如果Outlook2010安装在远程桌面环境中,则部署Outlook2010的客户现在可以使用启用缓存Exchange模式的受支持选项.
这适用于通过高延迟连接方式将Outlook连接到远程ExchangeServer的小型部署.
有关详细信息,请参阅远程桌面会话主机环境中的缓存Exchange模式:规划注意事项(白皮书).
单一故障点如果启用了远程桌面服务的计算机变得不可用或出现故障,则在启用了远程桌面服务的单一计算机上运行Office2010可能会产生单一故障点.
在此事件中,连接到启用了远程桌面服务的计算机的所有信息工作人员都可能丢失与Office2010应用程序的连接,并可能丢失数据.
您可以使用Windows群集来降低风险,它使用服务器群集和网络负载平衡来帮助确保启用了远程桌面服务的计算机可安全进行故障转移.
例如,如果您部署包含四台启用了远程桌面服务的计算机的已建立群集并且负载平衡的服务器场,并且其中一台启用了远程桌面服务的计算机变得不可用,则客户端连接将进行故障转移,转移到其他三台启用了远程桌面服务的计算机中的其中一台上.
远程桌面会话主机服务器硬件与典型的服务器相比,启用了远程桌面服务的计算机需要的内存和处理资源要多很多.
此外,尽管远程桌面服务旨在高效地利用带宽,但客户端与启用了远程桌面服务的计算机交换的数据量仍然很可观,并会影响性能.
因此,在远程桌面服务环境中部署Office2010之前,应执行全面的容量测试,以确保RD会话主机服务器(终端服务器)拥有足够的磁盘空间、处理能力、内存和网络带宽.
远程桌面会话主机服务器安装要求在安装Office2010之前,您必须在服务器上安装远程桌面会话主机(RD会话主机)服务器组件.
还必须向远程桌面用户组添加每个登录到启用了远程桌面服务的计算机的用户.
向远程桌面用户组添加用户使用户可以使用远程桌面连接来连接到启用了远程桌面服务的计算机,并运行Office2010.
如果不向远程桌面用户组添加用户,则会拒绝用户访问启用了远程桌面服务的计算机.
有关如何安装和配置远程桌面服务(终端服务)的详细信息,请参阅部署终端服务器指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=88006&clcid=0x804)(该链接可能指向英文页面).
配置远程桌面会话主机服务器在最新版本中,远程桌面服务应用程序服务器模式在功能工作的两个步骤上进行了修改.
TSDisabled是默认情况下将不会安装的功能列表,并且将不会出现在定制安装的功能树中,因此无法手动启用这些功能.
TSAbsent是默认情况下将不会安装的功能列表.
但是,这些功能将出现在功能树中(默认为不安装),并且可通过自定义手动重新启用.
已禁用与不安装下面列出在RD会话主机服务器配置上已禁用或默认设置为不安装的Office2010功能.
TSDisabled:OutlookVBScriptTSAbsent:PPTSoundFiles自定义Office2010安装在启用了远程桌面服务的计算机上安装Office2010之前,必须确保正确地为要安装的功能和应用程序配置了安装状态.
更改功能或应用程序的安装状态不需要特殊的工具,在手动安装过程中或通过Office自定义工具(OCT)就可以完成.
当用户在启用了远程桌面服务的计算机上运行Office2010时,他们无法安装、配置或卸载功能或应用程序.
这是因为功能和应用程序安装在RD会话主机服务器上,而非客户端计算机上,且用户没有在RD会话主机服务器(终端服务器)上安装、配置或卸载软件的管理权限.
因此,必须确保将每个功能和应用程序的安装状态配置为"从本机运行"(即完全安装)或"不可用"(即不安装).
如果将功能或应用程序的安装状态配置为"在首次使用时安装",则用户在尝试使用功能或运行应用程序时将看到以下警告:"在终端服务远程会话期间,只有管理员有添加、删除或配置服务器软件的权限.
"同样,如果将外接程序的安装状态更改为"在首次使用时安装",则用户尝试加载该外接程序时会出现以下错误:"MicrosoftOffice无法运行该外接程序.
出现错误,此功能将无法正常使用.
请与您的系统管理员联系.
"在手动安装过程中,可以通过单击"选择所需的安装"页上的"自定义"来配置安装状态.
有关如何在启用了远程桌面服务的计算机上执行手动安装的详细信息,请参阅下一节.
在启用了远程桌面服务的计算机上安装Office2010可采用两种方式在启用了远程桌面服务的计算机上安装Office2010:运行安装程序并手动逐步完成安装过程.
通过使用自定义(.
msp)文件(用OCT创建)使安装程序自动运行.
不论何种情况,都必须在安装Office2010之前将启用了远程桌面服务的计算机配置为安装模式.
安装模式确保将应用程序配置(.
ini)文件复制到系统目录,以使这些文件可以用作用户特定.
ini文件的主控副本.
用户第一次在RD会话主机服务器(终端服务器)上运行应用程序时,应用程序将在根目录中搜索它的.
ini文件.
如果在根目录中未找到.
ini文件,而在系统目录中找到了这些文件,则远程桌面服务会将.
ini文件复制到根目录.
这样可以确保每个用户都拥有应用程序的.
ini文件的唯一副本.
应用程序在用户的根目录中创建新的.
ini文件.
每个用户都要有应用程序的.
ini文件的唯一副本,这一点很重要.
这样可以防止出现不同用户具有不兼容的应用程序配置(例如,不同的默认目录或屏幕分辨率)的情况.
执行Office2010的手动安装以下过程描述如何在启用了远程桌面服务的计算机上手动安装Office2010.
已假定您安装了远程桌面服务,并且从Office2010安装CD或网络安装点中运行安装程序.
手动安装Office20101.
单击"开始",指向"设置",然后单击"控制面板".
2.
双击"添加或删除程序",然后单击"添加新程序".
3.
单击"下一步".
4.
单击"浏览".
5.
找到Office2010的安装程序(Setup.
exe).
此程序可能位于Office2010安装CD或网络安装点上.
6.
单击"Setup.
exe",然后单击"打开".
7.
在"输入产品密钥"页上,键入您的产品密钥,然后单击"继续".
8.
在"阅读Microsoft软件许可条款"页上,单击"我接受此协议的条款"复选框,然后单击"继续".
9.
在"选择所需的安装"页上单击"自定义".
10.
在"安装选项"选项卡上单击应用程序或功能,并将其安装状态更改为"从本机运行"或"不可用".
11.
如果要自定义其他设置,请单击"文件位置"选项卡或"用户信息"选项卡,并进行所需的更改.
12.
若要启动安装,请单击"立即安装".
13.
安装完成后,请单击"关闭"以关闭安装程序.
14.
在"安装之后"页上单击"下一步".
15.
在"管理员安装完毕"页上单击"完成".
执行最后两个步骤非常重要.
这两个步骤将启用了远程桌面服务的计算机配置为执行模式.
执行Office2010的自动安装以下过程介绍如何在启用了远程桌面服务的计算机上执行Office2010的自动安装.
已假定您创建了安装程序自定义(.
msp)文件,并已配置了功能和应用程序的安装状态,就像本文中前面建议的那样.
还假定您从已创建的网络安装点运行安装程序.
首先,将启用了远程桌面服务的计算机配置为安装模式.
将启用了远程桌面服务的计算机配置为安装模式1.
依次单击"开始"和"运行",键入Cmd,然后单击"确定".
2.
在命令提示符下,键入以下命令,然后按Enter:Changeuser/install接下来,就像在客户端计算机上那样运行自动安装.
完成自动安装后,将启用了远程桌面服务的计算机配置为执行模式.
将启用了远程桌面服务的计算机配置为执行模式1.
依次单击"开始"和"运行",键入Cmd,然后单击"确定".
2.
在命令提示符下,键入以下命令,然后按Enter:Changeuser/execute注意:默认情况下,对于交互式安装,将使用当前登录用户的信息填充用户名字段.
对于Config.
xml文件中设置的用户名,也是如此.
安装过程中提供的任何用户名都将写入注册表项HKCU\Software\Microsoft\Office\Common\UserInfo.
远程桌面服务将此注册表项镜像为HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Office\Common\UserInfo.
这样,所有新用户都可以从自己的用户配置文件中的HKLMUserInfo项接收默认值.
由于用户名已存在,因此系统不会提示任何新远程桌面服务用户输入其自己的用户名,而是获取管理员的默认用户名.
若要为当前远程桌面服务部署中的新用户解决此问题,运行远程桌面服务的计算机上的管理员应从注册表项HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Office\Common\UserInfo中移除值.
若要为新远程桌面服务部署中的所有用户解决此问题,运行远程桌面服务的计算机的管理员应执行下列任务之一:在安装过程中,选择"自定义",然后清除用户名和初始值.
使用用户名和初始值设置为空值的Config.
xml文件.
安装之后,从注册表项HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Office\Common\UserInfo中移除值.
另请参阅白皮书发布:ApplicationVirtualization4.
5forTerminalServices(该链接可能指向英文页面)与远程桌面服务(终端服务)相关的Office2010安装程序自定义MicrosoftOffice2010的远程桌面服务部署需要批量许可证密钥才能正常运作.
本文介绍与远程桌面服务(旧称终端服务)相关的自定义.
本文内容:首次使用时安装屏幕闪烁TSAbsent和TSDisabled首次使用时安装将Office2010部署到启用了多用户远程桌面服务的计算机时,最好将安装状态("即需安装"|"通告"|"设置")功能设置为使用"从本机运行".
"首次使用时安装"的安装状态不能保证成功安装Office2010.
屏幕闪烁当使用通过第三方客户端(如CitrixICAclient)连接到WindowsServer2003终端服务器会话的PowerPoint2010时,屏幕将闪烁.
当在终端服务器会话中运行WindowsPresentationFoundation(WPF)应用程序时可能发生此情况.
有关此问题发生的原因和解决方案的信息,请参阅Microsoft知识库文章955692:当您在WindowsServer2003终端服务器会话启动WPF应用程序时,您的屏幕闪烁(http://go.
microsoft.
com/fwlink/linkid=184709&clcid=0x804).
TSAbsent和TSDisabled通过使用自定义Config.
xml或安装程序自定义文件(.
msp)文件,可以覆盖由TSAbsent和TSDisabled强制实施的行为.
例如,默认情况下OutlookVBScript为TSDisabled.
但是,使用Config.
xml或.
msp文件,可以将其覆盖.
特定选项中的远程桌面会话主机服务器属性用于修改默认状态.
这些属性不会强制实施某种具体状态.
另请参阅规划在远程桌面服务(终端服务)环境中部署Office2010规划Office2010中的辅助功能用户可以通过MicrosoftOffice2010中的辅助功能检查器为残障人士创建更易于访问的文档.
辅助功能检查器(与拼写检查器相似,但用于解决辅助功能问题)是MicrosoftExcel2010、MicrosoftPowerPoint2010和MicrosoftWord2010的核心功能.
本文内容:提高冲突的可见性控制检查器报告的内容提高冲突的可见性本文后面的控制检查器报告的内容中提供的设置用于控制辅助功能检查器.
其中大多数设置都与阻止辅助功能检查器执行特定检查相关.
策略设置"提高辅助功能检查器冲突的可见性"控制在用户界面中强调辅助功能错误的程度.
如果启用该设置,则可以指定文档、工作簿或电子表格出现辅助功能错误时发生的情况,如下所示:辅助功能冲突不在MicrosoftOfficeBackstage视图中更改"准备分发"区域(默认设置).
辅助功能错误导致在Backstage视图中重点强调"准备分发"区域.
辅助功能错误或警告导致在Backstage视图中轻微强调"准备分发"区域.
如果禁用或未配置,则辅助功能检查器用户界面将以正常状态显示.
重要:组策略设置可用于控制辅助功能检查器.
对于Excel2010、PowerPoint2010和Word2010,组策略设置位于gpedit节点""\"'文件'选项卡"\"检查辅助功能"中.
控制检查器报告的内容下表提供了可用于控制Excel2010、PowerPoint2010和Word2010的辅助功能检查器的完整组策略设置.
Excel2010的组策略设置Excel2010设置关联的注册表项说明停止检查可选文字辅助功能信息AltText如果启用,辅助功能检查器将不验证图像和形状等对象是否包含可选文字.
如果禁用或未配置,则检查对象的可选文字并在辅助功能检查器中显示发现的问题.
停止检查表格标题辅助功能信息TableHeaders如果启用,辅助功能检查器将不验证表格是否指定了标题行.
如果禁用或未配置,则检查表格的标题行并在辅助功能检查器中显示发现的问题.
停止检查以确保工作簿允许程序访问ProgrammaticAccess如果启用,则辅助功能检查器将不检查是否已通过数字版权管理(DRM)阻止对工作簿进行程序访问.
如果禁用或未配置,则检查是否可对工作簿进行程序访问并在辅助功能检查器中显示发现的问题.
停止检查合并单元格MergedCells如果启用,辅助功能检查器将不检查表格是否包含合并单元格.
如果禁用或未配置,则检查工作表的合并单元格并在辅助功能检查器中显示发现的问题.
停止检查以确保超链接文本有意义MeaningfulHyperlinks如果启用,辅助功能检查器将不检查超链接是否包含有意义的文本.
如果禁用或未配置,则检查超链接文本并在辅助功能检查器中显示发现的问题.
停止检查以确保非默认工作表名称SheetNames如果启用,则辅助功能检查器将不检查包含内容的工作表是否具有非默认名称.
如果禁用或未配置,则检查工作表名称并在辅助功能检查器中显示发现的问题.
停止检查用作格式的空白表行BlankTableRows如果启用,则辅助功能检查器将不检查空白表行是否用作格式.
如果禁用或未配置,则检查表格的空行并在辅助功能检查器中显示发现的问题.
PowerPoint2010的组策略设置PowerPoint2010设置关联的注册表项说明停止检查可选文字辅助功能信息AltText如果启用,辅助功能检查器将不验证图像和形状等对象是否包含可选文字.
如果禁用或未配置,则检查对象的可选文字并在辅助功能检查器中显示发现的问题.
停止检查以确保超链接文本有意义HyperlinkText如果启用,辅助功能检查器将不检查超链接是否包含有意义的文本.
如果禁用或未配置,则检查超链接文本并在辅助功能检查器中显示发现的问题.
停止检查可能需要标题的媒体文件ClosedCaptions如果启用,辅助功能检查器将不标记可能需要标题信息的媒体文件.
如果禁用或未配置,则检查演示文稿是否包含媒体文件并在辅助功能检查器中显示发现的问题.
停止检查表格标题辅助功能信息HeaderRow如果启用,辅助功能检查器将不验证表格是否指定了标题行.
如果禁用或未配置,则检查表格的标题行并在辅助功能检查器中显示发现的问题.
停止检查表格的空行和空列BlankRowCol如果启用,辅助功能检查器将不验证是否向表格中插入了空行和空列.
如果禁用或未配置,则检查表格中的空行和空列并在辅助功能检查器中显示发现的问题.
停止检查合并和拆分单元格SimpleStructure如果启用,辅助功能检查器将不验证表格是否包含合并或拆分单元格.
如果禁用或未配置,则检查表格的合并和拆分单元格并在辅助功能检查器中显示发现的问题.
停止检查幻灯片标题是否已存在HasTitle如果启用,则辅助功能检查器将不验证每张幻灯片是否具有标题占位符.
如果禁用或未配置,则检查幻灯片的标题并在辅助功能检查器中显示发现的问题.
停止检查以确保每张幻灯片均具有唯一标题UniqueTitle如果启用,则辅助功能检查器将不验证每张幻灯片是否具有唯一标题.
如果禁用或未配置,则检查幻灯片标题是否具有唯一性并在辅助功能检查器中显示发现的问题.
停止检查以确保幻灯片上对象的顺序有意义NonPlaceholderShapes如果启用,则辅助功能检查器将不检查幻灯片是否包含可能未按顺序读回的非占位符对象.
如果禁用或未配置,则检查幻灯片是否包含可能未按顺序读回的对象并在访问功能检查器中显示发现的问题.
停止检查以确保演示文稿允许程序访问IRM如果启用,则辅助功能检查器将不检查是否已通过DRM阻止对演示文稿进行程序访问.
如果禁用或未配置,则检查演示文稿是否可进行程序访问并在辅助功能检查器中显示发现的问题.
Word2010的组策略设置Word2010设置关联的注册表项说明停止检查可选文字辅助功能信息AltText如果启用,辅助功能检查器将不验证图像和形状等对象是否包含可选文字.
如果禁用或未配置,则检查对象的可选文字并在辅助功能检查器中显示发现的问题.
停止检查以确保超链接文本有意义MeaningfulHyperlinks如果启用,辅助功能检查器将不验证超链接是否包含有意义的文本.
如果禁用或未配置,则检查超链接文本并在辅助功能检查器中显示发现的问题.
停止检查表格标题辅助功能信息TableHeaders如果启用,辅助功能检查器将不验证表格是否指定了标题行.
如果禁用或未配置,则检查表格的标题行并在辅助功能检查器中显示发现的问题.
停止检查表格的空行和空列BlankTableCells如果启用,辅助功能检查器将不验证是否向表格中插入了空行和空列.
如果禁用或未配置,则检查表格中的空行和空列并在辅助功能检查器中显示发现的问题.
停止检查合并和拆分单元格2DTableStructure如果启用,辅助功能检查器将不验证表格是否包含合并或拆分单元格.
如果禁用或未配置,则检查表格的合并和拆分单元格并在辅助功能检查器中显示发现的问题.
停止检查以确保文档允许程序访问ProgrammaticAccess如果启用,则辅助功能检查器将不检查是否已通过DRM阻止对文档进行程序访问.
如果禁用或未配置,则检查文档是否可进行程序访问并在辅助功能检查器中显示发现的问题.
停止检查以确保长文档使用结构样式StylesAsStructure如果启用,则辅助功能检查器将不检查长文档是否已使用定义内容结构的样式.
如果禁用或未配置,则检查文档的样式使用情况并在辅助功能检查器中显示发现的问题.
停止检查以确保经常使用样式HeadingSpacing如果启用,则辅助功能检查器将不检查使用样式的文档是否经常使用样式以准确地表示文档的内容结构.
如果禁用或未配置,则检查样式使用的频率并在辅助功能检查器中显示发现的问题.
停止检查以确保标题简洁SuccinctHeadings如果启用,则辅助功能检查器将不检查文档中的标题是否简洁.
如果禁用或未配置,则检查文档标题的长度并在辅助功能检查器中显示发现的问题.
停止检查对象是否为浮动对象FloatingObjects如果启用,则辅助功能检查器将不检查文档是否包含浮动对象而不是嵌入对象.
如果禁用或未配置,则检查对象的浮动文字环绕属性并在辅助功能检查器中显示发现的问题.
停止检查是否使用空字符进行格式设置BlankCharacters如果启用,则辅助功能检查器将不检查是否使用多个连续空白字符进行格式设置.
如果禁用或未配置,则检查文档是否使用连续空白字符并在辅助功能检查器中显示发现的问题.
停止检查图像水印ImageWatermarks如果启用,则辅助功能检查器不检查文档是否包含图像水印.
如果禁用或未配置,则检查文档是否包含水印并在辅助功能检查器中显示发现的问题.
停止检查以确保标题样式不跳过样式级别HeadingOrder如果启用,则辅助功能检查器将不检查是否按顺序使用文档中的标题.
如果禁用或未配置,则检查文档中标题的顺序并在辅助功能检查器中显示发现的问题.
停止检查用于布局的表格LayoutTablesReadingOrder如果启用,则辅助功能检查器将不标记布局表格(即,没有应用样式的表格).
如果禁用或未配置,则标记不含样式的表格并在辅助功能检查器中显示冲突.
另请参阅辅助功能投入和文档辅助功能(博客)(该链接可能指向英文页面)辅助功能和功能区(该链接可能指向英文页面)规划Office2010的批量激活Microsoft政策要求激活所有版本的MicrosoftOffice2010客户端软件,包括批量许可版本.
对于Office2010,批量激活是通过基于WindowsVista和WindowsServer2008中使用的软件保护平台(SPP)的Office激活技术进行的.
本节内容:文章说明Office2010的批量激活概述概述用于Office2010的Microsoft批量许可和Office激活技术.
规划Office2010的批量激活描述如何使用Office激活技术规划批量激活.
规划Office2010的MAK独立激活描述如何使用多次激活密钥(MAK)独立激活规划Office2010的部署.
规划Office2010的MAK代理激活描述如何使用MAK代理激活规划Office2010的部署.
规划Office2010的KMS激活描述如何使用管理服务(KMS)激活规划Office2010的部署.
应用场景:核心网络-Office2010的KMS激活描述如何针对Office2010的批量激活在核心网络中规划KMS激活.
应用场景:安全网络-Office2010的KMS或MAK激活描述如何针对Office2010的批量激活在安全网络中规划KMS或MAK激活.
应用场景:漫游或断开计算机连接-Office2010的KMS或MAK激活描述如何针对Office2010的批量激活在漫游或断开连接的计算机中规划KMS或MAK激活.
应用场景:测试或开发实验室-Office2010的KMS或MAK激活描述如何针对Office2010的批量激活在测试或开发实验室网络中规划KMS或MAK激活.
另请参阅Office2010的批量激活快速入门指南部署Office2010的批量激活Office2010的批量激活概述Microsoft在通过批量许可渠道销售的下列产品中采用产品激活技术:Windows7、WindowsVista、WindowsServer2008R2、WindowsServer2008以及现在的MicrosoftOffice2010客户端产品.
激活在软件的产品密钥和该软件在设备上的特定安装之间建立关系.
本文概述了批量许可以及两种可用的批量激活.
本文内容:批量许可概述Office激活技术批量许可概述Microsoft批量许可提供了可根据组织的规模和购买喜好自定义的程序.
这些程序提供简单、灵活且价格适中的解决方案,使组织可以轻松地管理许可证.
Office2010的一些版本仅可通过批量许可渠道获取.
若要成为批量许可客户,组织必须与Microsoft签订批量许可协议.
通过使用Microsoft批量许可计划获取软件许可证,组织只需为软件许可证付费,而不必为装箱软件中包括的介质付费.
除了通过消除这些实际成本而降低的总体成本外,批量购买也提供更多的自定义购买选项和改进的软件管理功能.
通过一些批量许可计划,组织还可以购买软件保障(http://go.
microsoft.
com/fwlink/linkid=184005&clcid=0x804).
软件保障是帮助组织充分利用其软件投资的综合维护产品,它将最新软件与电话支持、合作伙伴服务、培训以及信息技术(IT)工具组合在一起.
组织可在购买时选择软件保障,并立即根据许可协议的条款获得好处.
根据所选的批量许可计划,组织可以接收介质,并且可以根据需要分别选择获取介质(或补充介质)、文档和产品支持.
有关批量许可的详细信息,请参阅Microsoft批量许可(http://go.
microsoft.
com/fwlink/linkid=8523&clcid=0x804).
有关如何激活Office2010客户端产品的批量许可版本的分步信息,请参阅部署Office2010的批量激活.
如果您已经熟悉通过密钥管理服务(KMS)和多次激活密钥(MAK)进行Windows批量激活的过程,请参阅Office2010的批量激活快速入门指南,了解特定于Office2010的说明.
激活策略的变化只有对于从零售商店和OEM购买的Microsoft软件,才需要激活2007MicrosoftOfficesystem.
在MicrosoftOfficeEnterprise2007中输入的产品密钥可绕过激活.
对于Office2010,激活方法根据WindowsVista和WindowsServer2008中引入的软件保护平台使用Office激活技术.
Microsoft政策要求激活Office2010客户端软件的所有版本.
这包括通过批量许可计划获得的版本.
此要求适用于在物理计算机和虚拟计算机上运行的Office2010.
对于诸如以下任何Office2010服务器产品,都不需要执行激活:MicrosoftSharePointServer2010、MicrosoftProjectServer2010以及任意版本的MicrosoftExchangeServer.
为什么需要激活盗版是软件行业面临的一个重大问题.
根据商业软件联盟的最新调查,2008年全球各地安装的所有个人计算机软件有41%是非法获取的.
软件制造商和供应商的收益受到了严重的影响,估计仅2008年一年的损失就达500亿美元,并且,盗版软件对软件制造商的影响并不仅仅是在收益损失方面.
许多使用盗版Microsoft软件的客户都成了罪犯实施犯罪行为的不知情的受害者.
此外,盗版软件日益成为向脆弱用户传播病毒和恶意软件的工具,并且可能致使这些用户的个人或商业数据损坏或丢失以及身份失窃.
通过为Microsoft软件增加激活要求,可帮助防止密钥大范围泄露.
这将可最大程度地减少盗版软件的使用.
有关商业软件联盟调查的详细信息,请参阅第六年度BSA和IDC全球软件盗版调查(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=155960&clcid=0x804)(该链接可能指向英文页面).
隐私Microsoft使用的所有激活方法都旨在帮助保护用户隐私.
所收集的数据用于确认您的软件是否是合法许可的软件副本.
然后,将汇集该数据以进行统计分析.
Microsoft不会使用该信息确认您的身份或与您联系.
Office激活技术Office激活技术提供了许多方法,用于激活Microsoft批量许可计划所许可的产品.
大多数Office批量许可客户都熟悉特定许可协议颁发的批量许可证密钥(VLK).
此密钥可有效"绕过"激活.
对于Office2010,Office激活技术有助于自动执行并管理激活过程,同时解决为OfficeEnterprise2007颁发的密钥所产生的盗版和产品密钥管理问题.
您可以通过下列方法使用Office激活技术激活Office2010,这些方法与用于WindowsVista、WindowsServer2008和更高版本的Windows的方法相同.
输入的产品密钥的种类确定激活方法:密钥管理服务(KMS)一台计算机充当KMS主机,该主机需要安装和激活Office2010KMS主机密钥.
这将在您的环境中建立一个本地激活服务.
Office2010客户端计算机连接到本地KMS主机进行激活.
多次激活密钥(MAK)使用MAK密钥,Office2010客户端计算机将使用Microsoft托管激活服务器以联机方式或通过电话激活.
KMS和MAK的组合例如,运行Office2010的台式计算机将安装KMS客户端密钥,而运行Office2010的便携计算机将安装MAK密钥.
若要了解要使用哪种批量激活方法,请参阅规划Office2010的批量激活密钥管理服务(KMS)KMS在本地网络上启用产品激活.
这样,不必将各台计算机连接到Microsoft便可激活产品.
KMS是不需要专用系统的轻型服务,并且可以轻松共驻于可提供其他服务的同一系统上.
需要将一台计算机配置为KMS主机.
KMS主机包含客户特定的批量许可证密钥(KMS主机密钥)以用于激活每个产品,并且可以与Microsoft托管服务器进行一次连接以便激活.
可将运行WindowsServer2003、批量许可版本的Windows7或WindowsServer2008R2操作系统的计算机配置为Office2010KMS主机.
只需一个OfficeKMS主机密钥即可激活所有批量许可版本的Office2010客户端产品.
重要:Office2010KMS主机密钥并非是特定于操作系统的.
它旨在用于上述任何操作系统上,包括32位和64位版本的操作系统.
Office2010KMS客户端KMS客户端是指运行预安装了KMS客户端密钥的、批量许可版本的Office2010的计算机.
KMS客户端连接到组织的KMS主机以请求激活.
Office2010KMS客户端可以安装在Office2010的系统要求中列出的操作系统上.
默认情况下,KMS客户端密钥已经安装在Office2010的批量许可版本中.
最终用户不需要执行任何操作,并且您不必为Office2010KMS客户端输入产品密钥.
管理员只需对KMS主机进行初始激活.
有关详细信息,请参阅规划Office2010的批量激活中的计划KMS部署.
多次激活密钥(MAK)将针对Office2010的每个批量许可版本授予组织唯一的MAK密钥.
然后,每台计算机必须使用Microsoft托管的激活服务执行一次激活.
与每个密钥相关联的是激活次数.
例如,具有100次激活的Office2010产品的MAK密钥允许组织在100台计算机上安装该密钥并激活每一台计算机.
MAK适合拥有在较长时间内未连接到企业网络的计算机(例如便携计算机)的组织.
为使其发挥作用,必须安装MAK密钥,而不是Office2010的批量许可版本中使用的默认KMS客户端密钥.
使用MAK激活计算机的方法有两种.
第一种方法是MAK独立激活,该方法要求每台计算机单独连接Microsoft并实现激活(通过Internet或通过电话).
第二种方法是MAK代理激活,这是使用批量激活管理工具(VAMT)2.
0(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)执行的.
VAMT2.
0支持Office2010MAK代理激活.
通过使用此方法,计算机从网络上的多台计算机收集激活信息,然后代表它们发送集中激活请求.
在此设置中,VAMT2.
0控制台是唯一一台连接到Microsoft托管服务器的计算机.
有关详细信息,请参阅规划Office2010的批量激活中的计划MAK激活.
使用MAK激活,不需要定期续订激活.
如果检测到大量硬件更改(例如更换硬盘驱动器)或重新安装操作系统,则必须重新激活.
每次重新激活都将减少与密钥关联的激活次数.
如果您通过VAMT2.
0保存并重新应用来自MAK代理激活的确认ID,则可以重新激活同一计算机而不会减少与密钥关联的激活次数,原因是未与Microsoft建立连接.
此外,如果激活次数超过预先确定的限制,则您必须请求允许进行更多激活.
您还必须管理MAK密钥的安装并且可能必须在无法连接Internet时利用电话手动激活系统.
注意:只有VAMT2.
0和更高版本可以支持Office2010.
批量许可产品密钥如果您使用Office2010的批量许可版本,则必须在Office2010部署过程中计划批量激活.
KMS主机密钥和MAK是根据特定许可协议颁发的,使组织可以使用许可产品.
这些密钥仅可用于批量许可产品,不能用于零售软件或者由原始设备制造商(OEM)预安装在新计算机上的软件,但如果组织与OEM签订了要预安装产品的批量许可版本的协议则例外.
若要获取KMS主机密钥和MAK密钥,请转至下载Office2010的网站.
另请参阅规划Office2010的批量激活部署Office2010的批量激活Office2010中配置客户端计算机的工具Office2010批量激活疑难解答Office2010批量激活论坛(该链接可能指向英文页面)Office2010论坛(该链接可能指向英文页面)规划Office2010的批量激活本文介绍如何计划Office激活技术的测试工作.
在阅读本文之前,我们建议您阅读Office2010的批量激活概述.
我们还强烈建议您阅读Windows批量激活规划指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183040&clcid=0x804)(该链接可能指向英文页面).
本文内容:计划部署查看激活方法计划KMS部署计划MAK激活计划部署如果您在计划WindowsVista、WindowsServer2008、Windows7或WindowsServer2008R2的Windows部署,您可能会像针对MicrosoftOffice2010一样,针对Windows考虑相同的事项.
为了帮助确定要为Windows使用哪种激活方法-密钥管理服务(KMS)和/或多次激活密钥(MAK),请参阅Windows批量激活规划指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183040&clcid=0x804)(该链接可能指向英文页面).
Office2010很可能将使用相同的方法.
批量激活部署包括以下步骤:1.
了解产品激活.
2.
查看可用的激活模型.
3.
评估客户端连接.
4.
将物理计算机或虚拟机映射到激活方法.
5.
确定产品密钥需求.
6.
确定监视和报告需求.
Windows批量激活规划指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183040&clcid=0x804)(该链接可能指向英文页面)中涵盖了大部分信息.
本文提供了技术概述,重点放在Windows和Office的不同之处上.
在规划Office激活技术时,请考虑以下信息:Office2010的KMS激活阈值为五台计算机.
这意味着,只有当五台或更多的客户端计算机已请求激活时,才会激活Office2010客户端计算机.
不需要为Office2010KMS客户端输入产品密钥,您只需在KMS主计算机上输入KMS主机密钥即可.
如果决定使用MAK,请通过Office自定义工具(OCT)或Config.
xml文件输入产品密钥.
在安装Office2010之后,可以使用批量激活管理工具(VAMT)2.
0或Office软件保护平台脚本(ospp.
vbs)更改产品密钥.
有关ospp.
vbs的详细信息,请参阅Office2010中配置客户端计算机的工具.
有关Office2010的批量激活方法的直观表示形式和典型网络情形,请参阅MicrosoftOffice2010批量激活(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=188811&clcid=0x804)(该链接可能指向英文页面).
查看激活方法Office激活技术提供两种激活方法:密钥管理服务(KMS)一种服务器-客户端模型,在该模型中,计算机充当要求安装并激活KMS主机密钥的KMS主机.
这将在您的环境中建立一个本地激活服务.
Office2010客户端计算机连接到本地Office2010KMS主机进行激活.
多次激活密钥(MAK)使用MAK密钥,Office2010客户端计算机将使用Microsoft托管激活服务器以联机方式或通过电话激活.
所安装的密钥的种类确定激活方法.
所有Office2010批量许可版本都预安装了KMS客户端密钥.
如果在部署KMS客户端,您不必输入产品密钥.
如果要使用MAK激活,则必须输入正确的MAK密钥.
也可以使用KMS和MAK的组合.
例如,运行于桌面上的Office2010安装了KMS客户端密钥,而运行于便携计算机上的Office2010则安装了MAK密钥.
所选模型取决于规模、网络基础结构、连接性以及安全要求.
您可以选择仅使用这些激活模型之一或使用它们的组合.
通常,将为Office使用特定Windows实例的相同激活方法.
有关如何决定要使用哪种激活方法的详细信息,请参阅Windows批量激活规划指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=183040&clcid=0x804)(该链接可能指向英文页面).
密钥管理服务(KMS)KMS是一种服务器-客户端模型,在该模型中,计算机充当KMS主机.
KMS激活需要TCP/IP连接.
默认情况下,KMS主机使用DNS发布KMS服务,并且客户端计算机通过TCP通信端口1688(在KMS主机上启用防火墙时的默认端口号),使用匿名远程过程调用(RPC)来连接到KMS主机执行激活.
您可以使用默认设置(要求执行较少管理操作或者不要求执行管理操作),或根据网络配置和安全要求手动配置KMS主机和客户端.
若要获得授权,则必须激活KMS客户端.
下表描述了与激活相关的Office2010KMS客户端的许可证状态.
许可证状态说明已授权默认情况下,KMS客户端将尝试每隔7天使用KMS主机进行一次激活.
(天数可配置.
)此设计为要处于已授权状态的客户端留出了尽可能最长的时间.
KMS客户端成功激活后,它将保持已授权状态180天.
处于已授权状态时,用户不会看到任何提示他们进行激活的通知对话框.
180天后,激活尝试过程将继续.
如果激活连续成功,则整个激活体验对于最终用户而言是透明的.
超出容限如果在180天期间内未进行激活,Office2010将进入超出容限状态30天.
用户随后将看到请求激活的通知.
未授权通知如果在处于超出容限状态期间未进行激活,则Office2010将进入未授权通知状态.
用户随后将看到请求激活的通知和红色标题栏.
必须先使用KMS主机密钥安装KMS主机并将其激活,然后再接受KMS客户端发出的KMS激活请求.
有关如何设置KMS主机的信息,请参阅部署Office2010的批量激活中的准备和配置KMS主机.
重要用于Office2010的KMS主机密钥并非专门用于某个特定的操作系统.
它旨在用于作为Office2010KMS主机支持的任何操作系统上,包括32位和64位版本的操作系统:发布KMS服务KMS服务使用DNS中的服务(SRV)资源记录(RR)存储和告知KMS主机的位置.
KMS主机使用动态更新(如果可用)发布KMSSRVRR.
如果动态更新不可用,或者KMS主机无权发布RR,您必须手动发布DNS记录或配置客户端计算机以连接到特定的KMS主机.
这可能会要求更改对DNS的权限以使多台KMS主机可以发布SRV记录.
注意:DNS更改可能需要时间才能传播到所有DNS主机,具体取决于网络的复杂性和拓扑.
客户端对KMS的发现当KMS客户端首次向DNS查询KMS信息时,它会从DNS返回的SRVRR列表中随机选择一台KMS主机.
包含SRVRR的DNS服务器的地址可作为后缀条目列在KMS客户端上,这样,便可以在一台DNS服务器中公布KMS的SRVRR,从而让具有其他主要DNS服务器的KMS客户端可以找到该SRVRR.
您可以在Windows7或WindowsServer2008R2的批量许可版本上将priority和weight参数添加到KMS主机的DnsDomainPublishList注册表值中.
通过这样做,您可以建立KMS主机优先级分组并确定每个组的权重,这将指定KMS主机的使用顺序并平衡多台KMS主机之间的流量.
如果您在使用优先级和权重参数,我们建议您在客户端上禁用KMS缓存.
这样,客户端便可以在每次尝试执行激活时查询DNS(将会采用优先级和权重参数),而不是与上次出现成功激活的缓存KMS主机直接联系.
如果客户端选择的KMS主机没有响应,则KMS客户端会从它的SRVRR列表中删除该KMS主机,并随机从列表中选择另外一台KMS主机.
如果设置了优先级和权重参数,则KMS客户端将在查找另一台KMS主机时使用它们.
否则,将会随机选择KMS主机.
在KMS主机响应后,KMS客户端会缓存KMS主机的名称,并使用它执行后续激活和续订尝试(如果启用了缓存).
如果缓存的KMS主机未响应后续续订,则KMS客户端会通过向DNS查询KMSSRVRR来发现新的KMS主机.
KMS激活阈值Office2010KMS激活的最低要求是网络环境中具有一台KMS主机以及至少五个KMS客户端.
五台或更多台运行Office2010批量版本的计算机必须在30天内与KMS主机联系,它们的激活请求才能成功.
当五个客户端连接到KMS主机时,以后连接到KMS主机的客户端会收到响应,指出允许激活客户端.
由于重新激活计划,原始的五个客户端也会在再次请求KMS主机执行激活时变为激活状态.
初始化KMS之后,KMS激活基础结构会进行自我维护.
KMS服务可以与其他服务共存.
一台KMS主机可以支持成千上万个KMS客户端.
大多数组织可以为其整个基础结构只部署两台KMS主机(一台主要KMS主机,一台用作冗余的备用主机).
KMS激活续订KMS激活的有效期为180天,这称为激活有效期.
若要保持激活状态,KMS客户端必须至少每180天连接一次KMS主机以续订其激活.
默认情况下,KMS客户端计算机会每七天尝试一次激活续订.
在续订客户端的激活之后,激活有效期重新开始.
对运行Windows和Office2010客户端产品的计算机使用KMS使用KMS激活运行Windows和Office2010的计算机时,可以针对Office2010使用以下选项:在运行WindowsServer2003,Windows7或WindowsServer2008R2的批量许可版本的计算机上使用同一KMS主机(推荐).
对运行Windows和Office2010的计算机使用不同的KMS主机.
重要:如果KMS主机已设置为激活Windows产品,您仍然必须安装Office2010KMS主机许可证文件,输入Office2010KMS主机密钥,并激活该密钥.
为此,请转到MicrosoftOffice2010KMS主机许可证包(http://go.
microsoft.
com/fwlink/linkid=169244&clcid=0x804)网站,然后下载并运行KeyManagementServiceHost.
exe.
作为Office2010KMS主机支持的操作系统如下:WindowsServer2008R2Windows7的批量版本WindowsServer2003如果已在使用作为WindowsKMS主机运行的计算机,并且要共同托管Office2010KMS主机,请按照部署Office2010的批量激活的准备和配置KMS主机中的步骤进行操作.
多次激活密钥(MAK)MAK密钥用于向Microsoft托管激活服务进行一次性激活.
每个MAK密钥都有预先确定的允许激活次数.
该数字基于批量许可协议,可能与组织的确切许可证计数不一致.
每次使用MAK密钥向Microsoft托管激活服务进行的激活都算在激活限制内.
Office2010激活之后,除非硬件发生明显更改,否则将无需重新激活.
使用MAK密钥激活计算机的方法有两种:MAK独立激活MAK独立激活要求每台计算机单独连接到Microsoft并向Microsoft进行激活(通过Internet或电话).
MAK独立激活最适合于组织中无法与企业网络保持连接的计算机.
使用VAMT2.
0的MAK代理激活这会代表多台连接到Microsoft的计算机启用集中激活请求.
MAK代理激活是使用VAMT2.
0配置的.
MAK代理激活适合于因安全问题可能限制直接访问Internet或企业网络的环境,还适合于没有此连接的开发和测试实验室.
MAK体系结构MAK激活要求MAK密钥安装在客户端计算机上并指示该计算机通过Internet向Microsoft托管激活服务器激活自己.
在MAK代理激活中,必须通过上述任意方法将MAK密钥安装在客户端计算机上.
VAMT2.
0从目标计算机获取安装ID(IID),代表客户端将该IID发送给Microsoft,然后获取确认ID(CID).
之后,该工具通过安装CID激活客户端.
将会保存CID,并且,举例来说,可以稍后使用CID激活在90天后已重新映像的测试计算机.
VAMT2.
0VAMT2.
0是一种Microsoft管理控制台(MMC)管理单元,它允许利用一个图形用户界面(GUI)来轻松地管理安装了批量许可证密钥的WindowsOffice2010客户端产品.
您可以使用ActiveDirectory域服务(ADDS)、工作组名称、IP地址、计算机名称或一般LDAP查询来指定一组要激活的产品.
只有VAMT2.
0及更高版本才既支持Windows又支持Office2010.
利用VAMT2.
0,您可以轻松地通过单击目标计算机并安装相应的密钥使计算机在MAK和KMS激活方法之间切换.
利用VAMT2.
0还可以在远程计算机上触发激活.
如果目标计算机安装了MAK密钥,则该计算机会将激活请求发送到Microsoft激活服务器.
如果安装了KMS客户端密钥,则目标计算机会将激活请求发送到KMS主机.
该工具还支持从多台计算机收集激活请求,然后分批将这些请求发送到Microsoft托管激活服务器.
这称为通过VAMT2.
0进行的MAK代理激活,并且目标计算机必须安装MAK密钥.
仅对于代理激活,VAMT才会将来自Microsoft托管激活服务器的激活确认代码分发到请求激活的计算机.
由于VAMT还会在本地存储这些确认代码,因此它可以在重新为以前激活的计算机创建映像之后重新激活该计算机,且不必再次与Microsoft联系.
计划KMS部署KMS服务不需要专用服务器,并且可以与用于Windows的KMS共同托管在同一台服务器上.
具体而言,您可以配置运行以下操作系统的计算机:装有KMS1.
1或更高版本的WindowsServer2003、Windows7的批量许可版本或WindowsServer2008R2,以使该计算机充当一台可响应Windows和Office2010KMS客户端激活请求的KMS主机.
只要安装了适当的Office2010KMS主机许可证和有效的KMS主机密钥,并向Microsoft托管激活服务器激活了该密钥,便可实现此目的.
您可以通过运行MicrosoftOffice2010KMS主机许可证包(http://go.
microsoft.
com/fwlink/linkid=169244&clcid=0x804)来安装Office2010KMS主机许可证.
重要:使用Office2010Beta版本设置的KMS主机不能用于激活运行Office2010最终发布版本的客户端计算机.
若要激活这些客户端计算机,可以运行MicrosoftOffice2010KMS主机许可证包(http://go.
microsoft.
com/fwlink/linkid=169244&clcid=0x804)的发布版本并在同一台KMS主机上输入KMS主机密钥,也可以单独设置新的KMS服务器来激活Office2010的最终发布版本.
计划DNS服务器配置默认KMS自动发布功能需要SRVRR和动态更新支持.
MicrosoftDNS或任何其他支持SRVRR的DNS服务器(如Internet工程任务组(IETF)征求意见文档(RFC)2782中所述)以及动态更新(如RFC2136中所述)可以支持KMS客户端默认行为以及KMSSRVRR发布.
例如,BerkeleyInternet域名(BIND)8.
x和9.
x版既支持SRV记录又支持动态更新.
必须配置KMS主机,以便它拥有在动态更新服务器上创建和更新SRV、A(IPv4)和AAAA(IPv6)RR所需的凭据,或者必须手动创建记录.
若要为KMS主机提供所需的凭据,建议使用以下解决方案:在ADDS中创建一个安全组并将所有KMS主机添加到该组中.
对于MicrosoftDNS,请确保此安全组可以在将包含KMSSRVRR的每个DNS域上完全控制_VLMCS.
_TCP记录.
激活KMS主机必须通过Internet或电话向Microsoft托管激活服务器激活KMS主机.
一旦激活KMS主机,它便无法再向Microsoft传递任何其他信息.
有关详细信息,请参阅部署Office2010的批量激活中的准备和配置KMS主机.
准备KMS客户端默认情况下,Office2010的批量许可版本预安装了KMS客户端密钥,这会使它们成为KMS客户端,且不需要其他配置.
KMS客户端通过向DNS查询发布KMS服务的SRVRR来自动查找KMS主机.
如果网络环境不使用SRVRR,则您可以通过配置以下注册表项手动指定KMS客户端来使用特定KMS主机:HKLM\Software\Microsoft\OfficeSoftwareProtectionPlatformKMS主机名称是由KeyManagementServiceName(REG_SZ)指定的,而端口是由KeyManagementServicePort(REG_SZ)指定的.
也可以通过ospp.
vbs脚本设置这些注册表项.
有关ospp.
vbs的详细信息,请参阅Office2010中配置客户端计算机的工具.
以标准用户身份激活Office2010不要求用户具有管理员权限即可执行KMS激活.
但是,批量版本要求用户具有管理员权限才可执行MAK激活.
管理员可以在部署或主映像中设置适当的注册表项,使不具备管理员权限的用户可以使用MAK进行激活:HKEY_LOCAL_MACHINE\Software\Microsoft\OfficeSoftwareProtectionPlatform\UserOperations=1也可以通过ospp.
vbs脚本设置此注册表项.
有关ospp.
vbs的详细信息,请参阅Office2010中配置客户端计算机的工具.
计划MAK激活对于很少或从不连接到企业网络的计算机,以及需要激活的物理计算机数未达到Office2010KMS激活阈值(五台计算机)的环境,建议使用MAK.
MAK可用于单台计算机,也可用于可使用Microsoft或第三方部署解决方案安装的映像.
也可在最初配置为使用KMS激活的计算机上使用MAK,这将有助于将计算机从核心网络移至断开连接的环境中.
有关如何安装MAK密钥的详细信息,请参阅部署Office2010的批量激活.
无已验证代理服务器支持如果代理服务器要求验证用户身份,将禁止通过Internet进行激活.
在MicrosoftInternetSecurityandAcceleration(ISA)Server中,此设置称为基本身份验证.
由于激活请求不会将用户的凭据呈现给代理服务器,因此建议您不要对ISA服务器或其他代理服务器使用基本身份验证.
有关详细信息,请参阅Microsoft知识库文章921471:尝试通过Internet激活WindowsVista或WindowsServer2008时激活失败(http://go.
microsoft.
com/fwlink/linkid=183044&clcid=0x804).
另请参阅Office2010的批量激活概述部署Office2010的批量激活Office2010中配置客户端计算机的工具Office2010批量激活疑难解答规划Office2010的KMS激活规划Office2010的MAK独立激活规划Office2010的MAK代理激活Office2010批量激活论坛(该链接可能指向英文页面)Office2010论坛规划Office2010的MAK独立激活您需要激活所部署的MicrosoftOffice2010批量许可版本.
这包括MicrosoftOfficeProfessionalPlus2010、MicrosoftProject2010和MicrosoftVisio2010.
激活可降低部署盗版软件(可能包含恶意软件、病毒和其他安全风险)的可能性.
本文内容:MAK独立激活概述规划和评估Office2010环境及配置获取产品密钥MAK独立激活步骤VAMT管理步骤MAK独立激活概述多次激活密钥(MAK)激活是直接通过Microsoft进行的(与通过本地主机服务器进行激活的密钥管理服务[KMS]不同).
如果您的组织有五台或更少的计算机需要激活Office2010,我们建议您使用MAK单独激活每台计算机.
您也可以使用批量激活管理工具(VAMT)(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)来管理所有激活的计算机.
下面是可使用MAK独立激活的网络的示例.
示例:具有隔离的便携计算机的远程销售办事处Fabrikam,Inc.
在全球各地设有几家远程销售办事处.
每个办事处都有五台或更少与所有可能的网络或Internet访问隔离的便携计算机.
解决方案是通过致电Microsoft单独为便携计算机使用MAK激活.
体系结构–Fabrikam销售办事处示例示例:拥有Internet连接的台式计算机和隔离的便携计算机的小型组织Contoso,Ltd.
有三台连接到Internet的台式计算机和两台与Internet隔离的便携计算机.
没有其他可用网络.
解决方案是通过VAMT(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)管理台式计算机的MAK激活,并通过致电Microsoft以MAK方式激活便携计算机.
体系结构–Contoso小型组织示例规划和评估Office2010环境及配置以下文章可帮助您确保您的Office2010部署的设计适合于MAK激活.
若要评估Office2010环境,请参阅评估Office2010的兼容性.
若要规划Office2010的桌面配置(如果需要),请参阅规划Office2010的桌面配置.
若要评估Office2010的系统要求,请参阅Office2010的系统要求.
获取产品密钥若要获取Office2010的产品密钥,请在批量许可服务中心(VLSC)(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804)网站上注册.
您的许可协议确定为您分配的MAK激活次数.
MAK独立激活步骤Office2010总体配置过程的一部分是针对MAK激活配置每台计算机.
有关详细信息,请参阅自定义Office2010.
按照相关过程进行操作,以便使用Office自定义工具(OCT)、Config.
xml文件或MicrosoftOfficeBackstage视图来配置Office2010.
VAMT管理步骤下载并安装VAMT2.
0工具(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804).
按照下载页上的说明进行操作.
有关如何使用VAMT的详细信息,请在VAMT2.
0菜单栏上单击"帮助".
如果将计算机数量增加到50台以下,我们建议您为所有可连接到MAK代理服务器的计算机使用MAK代理激活.
有关详细信息,请参阅规划Office2010的MAK代理激活.
如果将计算机数量增加到50台或更多,我们建议您使用KMS激活作为可连接到KMS主机服务器的所有计算机的激活方法.
有关详细信息,请参阅规划Office2010的KMS激活.
可通过所提及的方法使用MAK来激活任何其他计算机.
注意:有关需要KMS激活与MAK激活组合的方案的示例,请参阅应用场景:安全网络-Office2010的KMS或MAK激活、应用场景:漫游或断开计算机连接-Office2010的KMS或MAK激活和应用场景:测试或开发实验室-Office2010的KMS或MAK激活.
另请参阅规划Office2010的MAK代理激活规划Office2010的KMS激活规划Office2010的批量激活部署Office2010的批量激活批量激活管理工具批量许可服务中心规划Office2010的MAK代理激活您需要激活所部署的MicrosoftOffice2010批量许可版本.
这包括MicrosoftOfficeProfessionalPlus2010、MicrosoftProject2010和MicrosoftVisio2010.
激活可降低部署盗版软件(可能包含恶意软件、病毒和其他安全风险)的可能性.
本文内容:MAK代理激活概述规划和评估Office2010环境及配置获取产品密钥MAK代理激活步骤VAMT管理步骤MAK代理激活概述多次激活密钥(MAK)激活是直接通过Microsoft进行的(与通过本地主机服务器进行激活的密钥管理服务[KMS]不同).
如果您的组织有6到49台需要激活Office2010的计算机,我们建议您为可连接到MAK代理服务器的所有计算机使用通过批量激活管理工具(VAMT)(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)管理的MAK代理激活.
对于与企业网络或Internet隔离的那些计算机,我们建议您使用通过电话进行的MAK独立激活.
下面是可使用MAK代理激活的网络的示例.
示例:拥有连接到Internet的台式计算机和隔离的便携计算机的中型组织Contoso,Ltd.
的一个办公室内有15台台式计算机和10台便携计算机.
台式计算机连接到Internet,便携计算机则与所有网络隔离.
解决方案是使用VAMT(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)来管理通过Internet进行的台式计算机MAK代理激活,同时通过电话单独激活便携计算机.
体系结构–Contoso中型组织示例规划和评估Office2010环境及配置以下文章可帮助您确保您的Office2010部署的设计适合于MAK激活.
若要评估Office2010环境,请参阅评估Office2010的兼容性.
若要规划Office2010的桌面配置(如果需要),请参阅规划Office2010的桌面配置.
若要评估Office2010的系统要求,请参阅Office2010的系统要求.
若要针对MAK激活配置每台计算机,请参阅自定义Office2010.
按照相关过程进行操作,以便通过使用Office自定义工具(OCT)、Config.
xml文件或MicrosoftOfficeBackstage视图来配置Office2010.
获取产品密钥若要获取Office2010的产品密钥,请在批量许可服务中心(VLSC)(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804)网站上注册.
您的许可协议确定为您分配的MAK激活次数.
MAK代理激活步骤若要使用MAK代理通过VAMT来激活Office2010,请按照以下步骤进行操作.
1.
在VAMT中的"产品密钥"下,在"产品密钥"字段中输入MAK密钥,然后单击"验证".
2.
右键单击要在其上安装MAK密钥的计算机,选择"安装产品密钥",选择"MAK密钥",然后单击"确定".
3.
若要激活Office2010,请右键单击计算机名称,选择"激活",然后单击"代理激活".
重要:您必须提供所选计算机的管理员权限.
注意如果部门或小组中有6到49台未连接到企业网络的计算机,我们建议您遵循本文中的MAK激活建议.
如果部门或小组中有五台或更少未连接到企业网络的计算机,我们建议您为每台计算机使用MAK独立激活.
有关详细信息,请参阅规划Office2010的MAK独立激活.
如果将计算机数量增加到50台或更多,我们建议您使用KMS激活作为可连接到KMS主机服务器的所有计算机的激活方法.
有关详细信息,请参阅规划Office2010的KMS激活.
可通过前面描述的方法使用MAK来激活任何其他计算机.
VAMT管理步骤在MAK代理服务器上下载并安装VAMT2.
0工具(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804).
按照下载页上的说明进行操作.
有关如何使用VAMT的详细信息,请在VAMT2.
0菜单栏上单击"帮助".
注意:有关需要KMS激活与MAK激活组合的方案的示例,请参阅应用场景:安全网络-Office2010的KMS或MAK激活、应用场景:漫游或断开计算机连接-Office2010的KMS或MAK激活和应用场景:测试或开发实验室-Office2010的KMS或MAK激活.
另请参阅规划Office2010的MAK独立激活规划Office2010的KMS激活规划Office2010的批量激活部署Office2010的批量激活批量激活管理工具批量许可服务中心规划Office2010的KMS激活您需要激活所部署的MicrosoftOffice2010批量许可版本.
这包括MicrosoftOfficeProfessionalPlus2010、MicrosoftProject2010和MicrosoftVisio2010.
激活可降低部署盗版软件(可能包含恶意软件、病毒和其他安全风险)的可能性.
本文内容:KMS激活概述规划和评估Office2010环境及配置获取产品密钥KMS激活步骤VAMT管理步骤KMS激活概述如果您的组织有50台或更多需要激活Office2010的计算机,我们建议您使用密钥管理服务(KMS).
KMS可通过包含Microsoft所提供KMS主机密钥的KMS主机服务器激活计算机或KMS客户端.
此方法取代了直接通过Microsoft进行激活的方法,并使本地管理员能够对过程进行控制.
管理员可以使用批量激活管理工具(VAMT)(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)轻松地监视网络上的计算机.
下面是可使用KMS激活的网络的示例.
示例:具有连接到企业网络的台式计算机和便携计算机的大中型组织Contoso,Ltd.
有175台始终连接到企业网络的台式计算机和50台定期连接到企业网络的便携计算机.
解决方案是为台式计算机和便携计算机均使用KMS激活,并确保便携计算机连接进行初始激活并至少每180天后再进行重新激活.
体系结构–Contoso大中型组织示例规划和评估Office2010环境及配置以下文章可帮助您确保您的Office2010部署的设计适合于多次激活密钥(MAK)激活.
若要评估Office2010环境,请参阅评估Office2010的兼容性.
若要规划Office2010的桌面配置(如果需要),请参阅规划Office2010的桌面配置.
若要评估Office2010的系统要求,请参阅Office2010的系统要求.
若要查看KMS主机服务器要求,请参阅部署Office2010的批量激活中的准备和配置KMS主机.
若要为KMS主机配置DNS,请参阅客户托管批量激活指南(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=187539&clcid=0x804)(该链接可能指向英文页面)中的"UnderstandingKMS"(了解KMS).
注意:至少必须有五台计算机从KMS主机请求激活,然后才能激活KMS客户端.
所有KMS客户端都至少必须每隔180天连接到KMS主机一次进行重新激活.
获取产品密钥若要获取Office2010的KMS主机产品密钥,请在批量许可服务中心(VLSC)(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804)网站上注册.
对于KMS客户端,产品密钥已预安装.
在主计算机上安装KMSKMS主机服务包括在Windows7和WindowsServer2008R2中.
因此,有两种操作系统可以配置为KMS主机而不必安装其他软件.
若要在WindowsServer2003ServicePack2(SP2)及更高版本上安装该服务,将需要您为WindowsServer2003SP2及WindowsServer20031.
2的更高版本安装密钥管理服务(KMS)1.
2.
有关详细信息,请参阅Microsoft知识库文章968915:以下更新可用:为WindowsServer2003ServicePack2(SP2)和较高版本的WindowsServer2003安装密钥管理服务(KMS)1.
2的更新(http://go.
microsoft.
com/fwlink/linkid=183046&clcid=0x804).
KMS激活步骤尽管KMS主机密钥可进行六次KMS主机激活,但我们建议您不要激活超过一台或两台KMS主机.
若要在Internet上激活KMS主机,请运行KeyManagementServiceHost.
exe(位于MicrosoftOffice2010KMS主机许可证包(http://go.
microsoft.
com/fwlink/linkid=169244&clcid=0x804)中).
此许可证包可从Microsoft免费下载.
若要通过电话或手动方式激活KMS主机以及配置KMS主机,请使用slmgr.
vbs脚本.
有关详细信息,请参阅部署Office2010的批量激活.
激活KMS主机后,现有KMS客户端将自动激活.
某些实例需要通过使用ospp.
vbs脚本来配置KMS客户端.
有关详细信息,请参阅Office2010中配置客户端计算机的工具.
VAMT管理步骤下载并安装VAMT2.
0工具(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804).
按照下载页上的说明进行操作.
有关如何使用VAMT的详细信息,请在VAMT2.
0菜单栏上单击"帮助".
如果部门或小组中有五台或更少未连接到企业网络的计算机,我们建议您为每台计算机使用MAK独立激活.
有关详细信息,请参阅规划Office2010的MAK独立激活.
如果将计算机数量增加到50台以下,我们建议您通过VAMT为所有可连接到MAK代理服务器的计算机使用MAK代理激活.
有关详细信息,请参阅规划Office2010的MAK代理激活.
注意:有关需要KMS激活的方案的示例,请参阅应用场景:核心网络-Office2010的KMS激活.
有关需要KMS激活与MAK激活组合的方案的示例,请参阅应用场景:安全网络-Office2010的KMS或MAK激活、应用场景:漫游或断开计算机连接-Office2010的KMS或MAK激活和应用场景:测试或开发实验室-Office2010的KMS或MAK激活.
另请参阅规划Office2010的MAK独立激活规划Office2010的MAK代理激活规划Office2010的批量激活部署Office2010的批量激活批量激活管理工具批量许可服务中心应用场景:核心网络-Office2010的KMS激活本文包含比规划Office2010的KMS激活、规划Office2010的MAK代理激活和规划Office2010的MAK独立激活中描述的示例更复杂的批量激活方案.
通过使用这些文章中描述的一个或多个激活方法—密钥管理服务(KMS)和多次激活密钥(MAK)—来确定建议为此方案使用的激活方法.
具有50台或更多计算机的核心网络如果您的组织拥有50台或更多定期连接到核心网络的计算机,我们建议您使用KMS来激活MicrosoftOffice2010.
有关详细信息,请参阅规划Office2010的KMS激活.
您可通过主企业网络上的KMS主机服务器同时激活所有计算机(称为KMS客户端),而不必通过直接连接到Microsoft来单独激活每台计算机.
尽管一台KMS主机可激活数千台KMS客户端,但您实际上可配置多达六台KMS主机,具体情况视网络的规模和复杂性而定.
但是,为了最大程度地提高易用性和效率,我们建议遵循下表中所示的配置准则.
核心网络设置KMS主机数(请参阅注意事项)中型(50-99台计算机)1台中型(100-249台计算机)1台或2台企业(250台或更多计算机)2台或更多有关KMS激活方法的信息,请参阅规划Office2010的KMS激活.
注意事项在核心网络中使用Office2010的KMS激活时,请考虑以下因素:KMS主机数应保持为最小值.
一个KMS主机密钥可激活多达六台KMS主机,并且每台KMS主机可激活很多KMS客户端.
KMS主机可通过电话或Internet激活.
每台KMS主机都独立于其他KMS主机运行.
每台KMS主机必须确保超过五台KMS客户端在30天期间内请求激活,以保持KMS客户端激活阈值.
另请参阅规划Office2010的KMS激活规划Office2010的MAK代理激活规划Office2010的MAK独立激活规划Office2010的批量激活部署Office2010的批量激活应用场景:安全网络-Office2010的KMS或MAK激活本文包含比规划Office2010的KMS激活、规划Office2010的MAK代理激活和规划Office2010的MAK独立激活中所述示例更复杂的批量卷激活方案.
通过上述文章中所述的一个或多个激活方法(密钥管理服务(KMS)和多次激活密钥(MAK)),可以确定针对此方案所建议的激活方法.
安全网络如果您的组织具有安全网络(例如分公司网络或防火墙后的Extranet),我们建议您使用下表中针对MicrosoftOffice2010的KMS和MAK激活指导.
安全网络设置建议的激活方法可以打开防火墙访问核心网络.
在核心网络内,通过KMS主机,使用规划Office2010的KMS激活.
在策略上阻止打开防火墙.
超过50台计算机:在安全网络内,通过本地KMS主机设置,使用规划Office2010的KMS激活.
少于50台计算机:使用规划Office2010的MAK独立激活或规划Office2010的MAK代理激活.
有关KMS激活方法的信息,请参阅规划Office2010的KMS激活.
有关MAK代理激活方法的信息,请参阅规划Office2010的MAK代理激活.
有关MAK独立激活方法的信息,请参阅规划Office2010的MAK独立激活.
注意事项准备安全网络进行Office2010的批量激活时,请注意以下要点:应将防火墙配置为通过TCP的RPC,并使用TCP端口1688.
客户端计算机防火墙的配置可以由客户端计算机启动.
另请参阅规划Office2010的KMS激活规划Office2010的MAK代理激活规划Office2010的MAK独立激活规划Office2010的批量激活部署Office2010的批量激活应用场景:漫游或断开计算机连接-Office2010的KMS或MAK激活本文包含比规划Office2010的KMS激活、规划Office2010的MAK代理激活和规划Office2010的MAK独立激活中描述的示例更复杂的批量激活方案.
通过使用这些文章中描述的一个或多个激活方法—密钥管理服务(KMS)和多次激活密钥(MAK)—来确定建议为此方案使用的激活方法.
漫游网络或断开连接的网络您的组织可能包括任何以下类型的网络配置:从未连接Internet或核心网络的网络或计算机.
通过以下任一方式定期连接到核心网络的漫游计算机:直接连接到网络.
虚拟专用网(VPN)连接.
连接到Internet但从未连接到核心网络的漫游计算机.
如果是这样,我们建议为MicrosoftOffice2010的KMS和MAK激活均使用下表中显示的准则.
网络设置建议的激活方法可访问Internet但从未连接到核心网络的计算机.
通过Internet进行规划Office2010的MAK独立激活.
无法访问Internet且从未连接到核心网络的计算机.
通过电话进行规划Office2010的MAK独立激活.
无法连接到核心网络的网络.
如果有五台或更多计算机(KMS激活阈值)需要激活,则使用规划Office2010的KMS激活,如下所示:小型组织:1台KMS主机中型组织:1台或更多KMS主机.
大型组织(企业):2台或更多KMS主机.
如果需要激活的计算机少于五台,则使用规划Office2010的MAK独立激活或规划Office2010的MAK代理激活(通过VAMT).
直接或通过VPN定期连接到核心网络的计算机.
通过核心网络中的KMS主机进行规划Office2010的KMS激活.
有关KMS激活方法的信息,请参阅规划Office2010的KMS激活.
有关MAK代理激活方法的信息,请参阅规划Office2010的MAK代理激活.
有关MAK独立激活方法的信息,请参阅规划Office2010的MAK独立激活.
注意事项在针对Office2010的批量激活准备漫游或断开连接的网络和计算机时,请考虑以下因素:可能会有无法连接到其他网络的受限环境或网络.
可以激活KMS主机,然后将其转移到断开连接的网络.
KMS主机激活和MAK独立激活都可通过电话进行.
MAK代理激活通过VAMT执行.
另请参阅规划Office2010的KMS激活规划Office2010的MAK代理激活规划Office2010的MAK独立激活规划Office2010的批量激活部署Office2010的批量激活应用场景:测试或开发实验室-Office2010的KMS或MAK激活本文包含比规划Office2010的KMS激活、规划Office2010的MAK代理激活和规划Office2010的MAK独立激活中描述的示例更复杂的批量激活方案.
通过使用这些文章中描述的一个或多个激活方法—密钥管理服务(KMS)和多次激活密钥(MAK)—来确定建议为此方案使用的激活方法.
测试或开发实验室网络如果您的组织有用作短期测试或开发实验室(在测试或开发完成后会重新映像其客户端计算机)的网络,我们建议为MicrosoftOffice2010的KMS和MAK激活均遵循下表中所示的准则.
网络设置建议的激活方法要求激活的五台或更多计算机(KMS激活阈值).
通过一台KMS主机进行规划Office2010的KMS激活.
注意:您可以为拥有要激活的五台或更多计算机的每个网络设置KMS主机.
需要激活的五台以下计算机.
1.
如果在90天内重新映像计算机,则不必进行激活.
只需根据需要重置25天宽限期即可.
请参阅部署Office2010的批量激活中的重置Office2010安装.
2.
否则,请使用保存的确认ID(CID)通过规划Office2010的MAK代理激活进行激活.
有关详细信息,请参阅规划Office2010的批量激活中的MAK体系结构.
有关KMS激活方法的信息,请参阅规划Office2010的KMS激活.
有关MAK代理激活方法的信息,请参阅规划Office2010的MAK代理激活.
有关MAK独立激活方法的信息,请参阅规划Office2010的MAK独立激活.
注意事项在针对Office2010的批量激活准备测试或开发实验室网络时,请考虑以下因素:实验室网络中的计算机通常比生产网络中的计算机少.
实验室网络配置可能因设置而异,并且激活方法(KMS、MAK代理、MAK独立)也可能不同.
如果有多个实验室网络,则每个实验室网络都需要其自己的激活方法.
另请参阅规划Office2010的KMS激活规划Office2010的MAK代理激活规划Office2010的MAK独立激活规划Office2010的批量激活部署Office2010的批量激活常见问题:Office2010的批量激活本文对有关MicrosoftOffice2010批量激活的各个方面的常见问题(FAQ)进行了解答.
本文内容:批量激活常见问题概述密钥管理服务(KMS)常见问题多次激活密钥(MAK)常见问题批量激活管理工具(VAMT)常见问题产品密钥常见问题批量激活常见问题概述批量激活是一种随MicrosoftWindowsVista操作系统和WindowsServer2008引入的产品激活技术.
借助该技术,批量许可客户可通过对最终用户透明的方式自动完成激活过程.
批量激活仅用于激活批量许可计划涵盖的系统,不与许可开票或计费相捆绑.
有两种批量激活方法:密钥管理服务(KMS)多次激活密钥(MAK)客户可在其环境中使用任意一种或全部两种方法.
KMS允许组织激活自己网络内的Windows系统和MicrosoftOffice2010.
有一个适用于所有Office2010产品、MicrosoftProject2010和MicrosoftVisio2010的KMS客户端密钥.
MAK通过Internet或电话与Microsoft托管的激活服务联系,一次便可激活Windows系统或Office2010.
每个批量许可产品都有一个唯一的MAK客户端密钥.
在安装过程中,应对使用批量激活的任何产品(例如,Windows7、WindowsServer2008和WindowsVista)的部署过程进行规划和管理,这一点非常重要.
开始在您的组织中进行部署之前,请阅读相关文档并观看视频.
Office2010批量激活资源中心(http://go.
microsoft.
com/fwlink/linkid=189005&clcid=0x804)中提供了所有Office2010、Project2010和Visio2010资源.
Office2010批量激活与Windows批量激活是如何关联的Office2010采用了随WindowsVista和WindowsServer2008引入的SoftwareProtectionPlatform(SPP),SPP也用于Windows7和WindowsServer2008R2.
必须通过KMS或MAK激活Office2010客户端产品.
批量激活对Microsoft客户有何帮助基于以下原因,批量激活对客户而言很有用:可靠性研究表明,下载盗版软件的过程通常会引入其他恶意代码(例如基键记录程序和特洛伊木马),从而使用户和生态系统的安全面临风险.
批量激活不仅有助于降低该风险,还可以提供更高的可靠性和稳定性.
支持能力被验证为正版Office并已激活的软件版本将得到Microsoft提供的全面支持.
符合许可证批量激活工具可帮助确定安装并激活了哪个软件,从而可降低软件不符合许可证的风险.
批量激活是否与许可相关联激活与许可相关联.
但是,激活不是许可证的实施.
不会对现有批量许可协议或计划进行任何更改.
密钥和相应的激活限制(仅MAK)取决于用户拥有的特定批量许可协议.
Microsoft使用激活期间收集到的信息来确认用户是否拥有软件的许可副本,还会对信息进行聚合以进行统计分析.
Microsoft不会使用该信息确认客户身份或与客户联系.
能否对已激活的Office安装进行重置不能.
目前,不能重置已激活的MicrosoftOffice安装.
是否有关于Office2010、Project2010和Visio2010的批量激活的任何特定更改在以下领域提供批量激活更改:只需要安装一个Office2010KMS客户端密钥并将其用于激活.
Office2010KMS客户端密钥可激活任意版本的Office2010套件、Office2010应用程序、Project2010以及Visio2010.
Office2010具有用于每个产品版本的特定MAK;例如,Office2010StandardMAK、Word2010MAK、Visio2010MAK等等.
有关详细信息,请参阅Office2010批量激活资源中心(http://go.
microsoft.
com/fwlink/linkid=189005&clcid=0x804).
是否有关于Windows7和WindowsServer2008R2的批量激活的特定更改批量激活适用于以下领域:激活虚拟计算机.
将WindowsServer2008R2KMS密钥和Windows7KMS密钥用于产品的早期版本.
部署改进以及性能、产品密钥管理和报告改进.
在与WindowsVista、WindowsServer2003和WindowsServer2008相同的激活平台中包括Office2010、Project2010和Visio2010.
有关详细信息,请参阅Windows批量激活(http://go.
microsoft.
com/fwlink/linkid=184668&clcid=0x804).
应将哪种激活方法用于虚拟计算机MAK或KMS可用于激活虚拟计算机.
但KMS是首选方法,因为每次使用MAK激活计算机时,激活数都会减小.
这一点既适用于物理计算机,也适用于虚拟计算机.
WindowsVistaSP1、WindowsServer2008、WindowsServer20031.
1版和Windows7支持在虚拟服务器上承载KMS.
对于WindowsVistaSP2、WindowsServer2008SP2、Windows7、WindowsServer2008R2和Office2010,虚拟计算机会为KMS计算激活阈值.
有关详细信息,请参阅Windows批量激活(http://go.
microsoft.
com/fwlink/linkid=184668&clcid=0x804).
每个KMS主机密钥可用于设置六台物理KMS主机或虚拟KMS主机.
使用KMS时,客户必须至少具有五个请求激活的客户端.
这一不可配置的阈值有助于确保激活服务只在企业环境中使用并且用作隐私保护机制.
服务器可以是物理服务器,也可以是虚拟服务器,因此不需要使用大型部署来满足最低要求.
不需要专用服务器来对Office2010运行KMS.
KMS主机是轻量型服务,您可以同时托管Office2010和WindowsKMS主机.
但是,只支持将WindowsServer2003、Windows7的批量版本以及WindowsServer2008R2用作Office2010KMS主机.
Office2010KMS主机能否在虚拟计算机上运行可以,Office2010KMS主机可以在拥有WindowsServer2003、Windows7的批量版本和WindowsServer2008R2的虚拟计算机上运行.
用于WindowsServer2003的Office2010KMS主机的语言版本是否必须与服务器上安装的语言版本相匹配是,操作系统与用于WindowsServer2003的Office2010KMS主机的语言版本必须匹配.
此要求仅适用于WindowsServer2003的KMS.
我购买了随Windows7Professional预安装的新客户端计算机并计划降级到Windows的早期版本.
我可以使用哪种密钥可根据以下原则选择密钥:使用Windows7KMS密钥激活的KMS主机用于激活WindowsVista和Windows7KMS客户端.
用WindowsVistaKMS密钥激活的KMS主机用于激活WindowsVistaKMS客户端.
WindowsVista也可以使用MAK.
如果您要降级到WindowsXP,则只能使用WindowsXPProfessional密钥.
如果"子"公司(由"父"公司所有)拥有单独协议,父公司能否使用相同密钥(如WindowsServer2008Standard/EnterpriseR2KMS密钥)在两个公司中部署Windows7和WindowsServer2008R2客户可以选择这样做,但不必将根据特定许可ID(协议、注册、关联或许可)提供的密钥用于根据该许可ID指定的许可.
这种灵活性使客户可以集中管理其部署/映像.
他们可以选择使用特定于协议/许可的密钥,或使用用于所有协议/许可的一组密钥.
如果不激活计算机会怎样激活旨在为用户提供透明的激活体验.
如果在提供的宽限期内(通常是30天)不进行激活,Windows或Office2010会转换为通知模式.
在Windows处于通知模式期间,用户在登录时会看到激活提醒.
例如,在Windows7中,用户会在操作中心(http://go.
microsoft.
com/fwlink/linkid=189038&clcid=0x804)中看到一条通知,并且桌面背景设置为黑色.
缩减功能模式与通知模式有何区别在缩减功能模式(仅适用于零售)下,如果在30天的宽限期内未正确激活,则只能以受限模式访问应用程序,并且只能使用受限功能.
需要特别注意,所有批量客户均不具有缩减功能,在经过宽限期后只会收到常规通知.
通知模式(适用于运行Office2010的所有批量系统)是一种许可状态,如果在宽限期内未完成激活,用户会重复收到有关激活的明确提醒.
如果客户是盗版软件的受害者或者不符合许可证怎么办Microsoft提供称为"获取正版"合法服务的多种许可方法.
我能否使用批量许可证密钥来练习重建映像权限可以.
会向所有Microsoft批量许可客户授予重建映像权限.
使用这些权限,客户可以使用根据批量许可协议提供的介质对原始设备制造商(OEM)或全包装产品(FPP)许可副本重建映像,前提是根据批量许可介质创建的副本与原始许可产品相同.
可在"产品密钥"页中找到批量许可客户需要的批量许可证密钥,还可以通过激活呼叫中心请求密钥.
有关呼叫中心的列表,请参阅批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804).
如果您是OpenLicense客户,则至少必须购买要重建映像的产品的一个单元,才能访问产品介质并接收密钥.
有关详细信息,请参阅关于许可(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=154939&clcid=0x804)(该链接可能指向英文页面)中的"重建映像权限".
使用VPN连接,我必须在多长时间内激活提醒每两小时出现一次.
激活后,提醒改为每七天出现一次.
可通过ospp.
vbs来自定义这些默认设置.
通过启动Office2010应用程序来发送激活请求或通过运行ospp.
vbs/act,VPN中的移动用户可手动激活.
在远程计算机上,如何删除应用程序中的红色条通过VPN进行连接,然后按上一解答所述执行激活操作.
能否为WindowsManagementInstrumentation(WMI)设置组策略可以.
通过组策略,可以打开防火墙以允许WMI.
能否通过系统中心配置管理器(SCCM)请求激活信息可以.
Sysprep是否会自动重置Office2010否.
目前,sysprep没有此功能.
如果在创建映像之前不重置会怎样创建映像的计算机会被识别为同一计算机.
请求计数器不递增,也不会激活计算机.
令牌激活如何对于需要高度安全性的特定客户,可对Office2010使用令牌激活.
密钥管理服务(KMS)常见问题KMS是不需要专用系统的轻型服务,并且可以轻松共驻于可提供其他服务的同一系统上.
通过使用KMS,可在本地网络中完成激活.
这样,不必将各台计算机连接到Microsoft便可激活产品.
KMS要求网络环境中至少具有一定数量的物理或虚拟计算机.
至少具有五台计算机才能激活运行WindowsServer2008或WindowsServer2008R2的计算机,至少具有25台计算机才能激活运行WindowsVista或Windows7的计算机,至少具有5台计算机才能激活运行Office2010、Project2010和Visio2010的计算机.
设置这些最小值(称为激活阈值)是为了使企业客户可以轻松符合这些设置要求.
有关激活阈值的详细信息,请参阅Windows批量激活(http://go.
microsoft.
com/fwlink/linkid=184668&clcid=0x804).
对于Office2010、Project2010和Visio2010,请参阅Office2010的批量激活快速入门指南和Office2010的批量激活概述.
KMS密钥只用于激活具有Microsoft激活服务器的KMS主机.
一个KMS密钥最多可以激活六台KMS主机,每台主机可进行10次激活.
每台主机可对计算机进行无限次激活.
如果您需要激活六台以上的KMS主机,请与批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804)联系并阐明增加激活限制的原因.
警告:有关产品激活的更多详细信息,请参阅Windows批量激活(http://go.
microsoft.
com/fwlink/linkid=184668&clcid=0x804)和Office2010批量激活资源中心(http://go.
microsoft.
com/fwlink/linkid=189005&clcid=0x804).
我安装了需要KMS的Office2010套件的一部分.
对功能有何影响只要按照所述步骤进行安装,不会对功能产生任何影响.
能否将Office2010KMS许可证和密钥安装在Windows7和WindowsServer2008R2中可以.
是否存在用于Office2010的不同KMS主机密钥一个KMS主机密钥可以激活所有Office2010客户端产品.
我们组织的KMS主机计算机是使用WindowsServer2008KMS密钥激活的.
能否使用同一计算机作为主机来部署WindowsServer2008R2WindowsServer2003、WindowsServer2008或WindowsVista中安装的现有KMS主机必须更新,才能支持Windows7和WindowsServer2008R2以及Office2010、Project2010和Visio2010激活.
通过WindowsServerUpdateServices(WSUS)(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=151433&clcid=0x804)(该链接可能指向英文页面)、Microsoft下载中心(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=189018&clcid=0x804)(该链接可能指向英文页面)和Windows批量激活(http://go.
microsoft.
com/fwlink/linkid=184668&clcid=0x804)可以获得此更新.
安装更新后,可在主机上安装WindowsServer2008R2KMS密钥并进行激活.
能否使用这些激活工具进行校正激活本身并不能帮助客户更正许可.
激活不与校正相链接.
使用KMS主机或批量激活管理工具(VAMT)(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)无法自动进行校正.
KMS主机或VAMT不用作报告工具.
但使用MicrosoftSystemCenter的用户可以使用它来保存激活计数.
我能否在安全模式下运行slmgr.
vbs脚本不能.
激活信息在安全模式下不可用.
如果计算机位于测试实验室中或断开连接,该怎么办如果测试实验室有足够的物理和虚拟计算机符合KMS阈值,系统管理员便可部署KMS,以在实验室中激活MicrosoftOffice2010客户端安装.
可以通过电话激活KMS主机.
如果计算机可以偶尔连接到Internet,则可以使用MAK通过Internet或电话直接向Microsoft激活Office客户端安装.
如果计算机没有网络连接,则可通过电话或使用VAMT通过MAK代理激活来进行激活.
为什么只有WindowsServer2003、Windows7和WindowsServer2008R2支持Office2010KMS主机Microsoft根据Office2010的发布周期制定决策.
将在发布Windows7之后发布Office2010.
Microsoft预计大多数客户将从WindowsServer2003升级到WindowsServer2008R2.
Microsoft相信,WindowsServer2008R2在发布后将在渠道中替代WindowsServer2008,因此它将是大多数客户接收的最新版本.
对于Office2010KMS主机,为什么不支持WindowsServer2008WindowsServer2003最初没有KMS服务,因此很容易向其中添加KMS服务.
WindowsServer2008有一个与Windows7和WindowsServer2008R2不同的代码库.
为Office2010KMS主机提供WindowsServer2008支持需要彻底翻修代码,这会大大提高成本.
为什么只需修补WindowsServer2008即可激活WindowsServer2008R2和Windows7此修补程序中包含可识别新KMS主机密钥的许可文件,因此可以激活WindowsServer2008R2和Windows7.
无需对KMS服务进行任何更改.
如果我的配置不允许升级WindowsServer2008计算机,怎么办是否有其他任何用于设置Office2010KMS主机的替代方法可在WindowsServer2008计算机中设置WindowsServer2003、Windows7或WindowsServer2008R2虚拟机,然后在虚拟机中设置Office2010KMS主机.
错误"无法激活KMS主机"是什么意思该错误表示超出了KMS主机密钥阈值.
出现此错误可能由于以下原因:只能在以下服务器中的某一台服务器上设置用于Office2010的KMS主机:WindowsServer2003、WindowsServer2008R2和Windows7.
使用其他操作系统会导致该错误.
对于WindowsServer2003,请安装KMS主机版本1.
2(版本1.
1不将虚拟计算机数计入阈值).
请按照Microsoft知识库文章968915:为WindowsServer2003ServicePack2(SP2)和较高版本的WindowsServer2003安装密钥管理服务(KMS)1.
2的更新已推出(http://go.
microsoft.
com/fwlink/linkid=183046&clcid=0x804)中的说明操作.
没有足够的计算机,无法达到激活KMS主机所需的阈值.
KMS客户端配置不正确.
如何为KMS主机激活启用防火墙确保将TCP通信端口号设置为默认值1688.
如果我怀疑我的KMS主机密钥被泄露,是否可以禁止进一步激活可以,您可与Microsoft共同阻止KMS主机密钥.
有关详细信息,请与激活呼叫中心联系.
有关呼叫中心列表,请参阅批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804).
计数为-1有何含义计数为-1表示没有客户端与KMS主机联系过.
我能否向Internet公开KMS主机,以使外部用户可以通过它激活产品您同时负责使用指定给您的密钥和通过KMS主机激活Office2010客户端.
不应向非Microsoft方公开密钥,也不能通过不受控制的网络(如Internet)提供对KMS主机的不安全访问.
哪些设置可用于KMS主机故障转移在DNSSRV资源记录中可以注册多台KMS主机.
如果一台KMS主机关闭,KMS客户端计算机将从列表中选择其他主机.
如果在KMSOffice客户端中使用直接注册,则可使用循环DNS或网络负载平衡机制(软件或硬件)来提高KMS主机的可用性.
我是否必须要备份KMS服务数据您不必备份KMS服务数据.
但是,如果您需要KMS激活记录,可在"应用程序和服务日志"文件夹中保存密钥管理服务日志,以保留激活历史记录.
如果KMS主机出现故障,如何还原备份KMS主机只需将出现故障的KMS主机替换为使用相同配置的新KMS主机,并确保将新KMS主机的SRV资源记录添加到DNS中(如果您使用的是DNS自动发现).
如果对DNS执行记录清理,则最终会删除旧的SRV记录,也可以手动将其删除.
新KMS主机随后会开始收集续订请求,并且只要达到KMS激活阈值,则KMS客户端会立即开始执行激活操作.
执行事件日志的常规清理操作时,是否存在丢失事件日志中存储的激活历史记录的风险是.
如果使用清理工具,请考虑从密钥管理服务中导出数据.
登录应用程序和服务日志文件夹以对激活历史记录存档.
如果使用为Office更新的OperationsManagerKMS管理包,则不必执行此操作.
此管理包会收集事件日志数据并将其存储在操作数据仓库中,以用于报告.
作为一种安全措施,许多组织会阻止所有ActiveX.
批量激活和正版验证使用ActiveX的方式是否相同批量激活不使用ActiveX.
它使用WMI属性和方法.
《批量激活2.
0操作指南》的附录1中对此进行了介绍,可从批量激活2.
0技术指导(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=190472&clcid=0x804)(该链接可能指向英文页面)页面中下载该指南.
我如何响应"在使用KMS密钥激活KMS主机时,激活服务器确定无法使用特定产品密钥"以下任一原因均可导致出现此消息:KMS主机密钥的激活次数多于六次(最多为六次激活).
在激活KMS主机期间未正确运行命令.
KMS主机密钥被泄露,激活次数已用完(请参阅第一条).
我已部署MicrosoftOffice2010客户端,但KMS主机未收到激活请求.
在客户端,我应在哪里查看激活请求的当前状态在客户端计算机上,转到任何Office2010应用程序的MicrosoftOfficeBackstage视图.
单击该应用程序名称,右上角将显示状态.
在服务器端,我应在哪里查看激活请求的当前状态在服务器端,使用slmgr.
vbd检查激活请求.
有关详细信息,请参阅部署Office2010的批量激活中的配置Office2010KMS主机.
我们必须根据名称或IP来查看服务器.
是否可通过某个命令或方法来查看使用KMS激活了哪些服务器以下命令可向您显示在DNS中注册并且可用于为客户端提供激活的KMS的列表:Nslookup–type=srv_vlmcs.
_tcp.
在客户端,slmgr/dlv可提供所有信息.
在KMS主机上,可以监视KMS事件或使用MicrosoftSystemCenterOperationsManager.
多次激活密钥(MAK)常见问题一个MAK需要计算机与Microsoft激活服务器连接一次.
激活计算机后,不再需要与Microsoft进行通信.
用于MAK的激活方法有哪些有两种MAK激活类型:MAK独立激活和MAK代理激活.
注意:根据批量许可协议的规定,每个MAK都预先确定了允许的激活数.
若要增大MAK激活限制,请联系批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804).
MAK独立激活每台计算机通过Internet或电话分别连接至Microsoft,以完成激活.
MAK代理激活MAK代理激活使用VAMT(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804),VAMT是用于Windows7的Windows自动安装工具包(http://go.
microsoft.
com/fwlink/linkid=180604&clcid=0x804)的一部分.
通过使用与Microsoft的一个连接或通过电话代表多台计算机进行一个集中激活请求.
此方法使IT专业人员可以自动执行并集中管理MAK批量激活过程.
我能否同时将KMS和KMS密钥用于组织内部署可以.
KMS、MAK或两者都可以用于激活批量许可的Windows和Office2010计算机.
我的组织计划使用MAK来激活大部分计算机.
MAK所提供的激活数与我们购买的许可证数量不符.
为什么激活与购买的许可证不符,我需要执行什么操作才能请求更多激活数使用KMS作为首选激活方法有许多优点,大多数客户都选择这种方法.
使用KMS作为主要激活方法是许可证数与MAK激活数不匹配的原因之一,因为可能不使用MAK.
Microsoft综合考虑许多因素后,确定与每个MAK关联的激活数.
这些因素包括购买的许可证、客户购买定价级别和批量许可计划.
对于OpenLicense客户,我们了解他们拥有的许可证数并通常为其提供多于所需的数量,以确保在重新激活和虚拟机(VM)许可权限等情况下均可以进行激活.
例如,如果客户购买的许可证数在1-25之间,该客户可以在其MAK中获取50次激活.
对于Select、企业协议、校园协议、学校协议和SPLA,我们会了解定价级别(A、B、C、D)并根据为每个级别购买的一般许可证数量为每个级别指定特定的激活数.
我们还会考虑到KMS是最常用的激活方法.
若要增大MAK激活限制,请联系批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804).
我要使用MAK激活而不是KMS对Windows7Professional重建映像.
如果没有足够的MAK激活数来执行此操作,我该怎么办首先,转到产品密钥页或使用VAMT(http://go.
microsoft.
com/fwlink/linkid=183042&clcid=0x804)(VAMT是用于Windows7的Windows自动安装工具包(http://go.
microsoft.
com/fwlink/linkid=180604&clcid=0x804)的一部分)来检查与Windows7MAK关联的激活数.
若要增大MAK激活限制,请联系批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804).
客户如何修改MAK激活限制客户可以检查其MAK分配限制,检查密钥中的剩余激活数,并通过联系批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804)来请求增加激活限制.
为什么不为批量许可协议中包含49个许可证的客户指定激活限制为250次的密钥他们的激活数不会超过许可证允许的数量密钥中的MAK限制特定于Open和Select计划,如下表所示.
例如,Open_MAK_50表示密钥可进行50次激活.
OpenSelectOpen_MAK_50Select_MAK_500Open_MAK_100Select_MAK_1000Open_MAK_250Select_MAK_2500Open_MAK_500Select_MAK_5000Open_MAK_750Open_MAK_1000因此,最多有35个许可证的客户可能具有一个Open_MAK_50密钥,例如,可使用该密钥来安装和激活35台计算机.
但是,如果一个硬盘出现故障并且已将其替换,则必须重新激活该计算机.
当客户收到MAK密钥并创建单个安装映像时,会怎么样如何计算MAK密钥的上限例如,如果客户使用的是Open_MAK_50密钥,则系统管理员会创建一个映像,并且用户可以在多台计算机中安装该映像.
在此阶段,尚未触发隐私解决方案,也未达到MAK上限.
当这些计算机尝试使用Microsoft激活服务来激活时,会达到MAK上限.
将成功激活前50台计算机,但对于第51台计算机,激活将失败,其余计算机会收到未经授权通知.
对MAK激活保持激活状态的时间是否有限制没有.
MAK激活是永久性的.
是否需要通过KMS来激活用MAK激活的客户端不需要,但如果要在设置KMS主机后通过KMS来重新激活用MAK激活的客户端,则只需更改客户端产品密钥.
如果用完了所有MAK激活数,该怎么办请与Microsoft联系并说明情况.
Microsoft将为您提供额外激活(在合理的情况下).
在设置期间,如果我要从MAK转换到KMS,我该怎么办可以执行下列操作之一:等到Office2010客户端数超过KMS激活阈值时再激活.
使用MAK激活前几个Office2010客户端,然后在客户端数超过KMS激活阈值时将客户端产品密钥更改为KMS.
批量激活管理工具(VAMT)常见问题批量激活管理工具(VAMT)使IT专业人员可以自动执行并集中管理批量激活过程.
是否所有Windows操作系统中都将安装VAMT是.
将在任何计算机而不一定是KMS主机上安装VAMT是.
VAMT主要用于MAK激活,但可用于监视KMS激活.
如果我要通过VAMT来让MAK激活一定数量的计算机,是否可将计算机配置为自动检测VAMT计算机无法检测VAMT.
VAMT只是一个工具,可用来管理一台或多台计算机的MAK激活.
有关详细信息,请参阅规划Office2010的批量激活.
在WindowsXP或WindowsServer2003中,错误代码查找工具不显示VAMT返回的错误内容.
VolumeActivation2.
0错误对于MicrosoftWindowsVista操作系统和WindowsServer2008操作系统而言属于本机错误.
VAMT依赖操作系统来提供一些错误代码的描述性文本.
WindowsXP或WindowsServer2003系统不提供此文本.
若要查找与此类错误代码关联的文本,请在运行MicrosoftWindowsVista操作系统的计算机上安装VAMT,或在运行MicrosoftWindowsVista操作系统的计算机上的命令提示符下运行SLUI0x2A.
VAMT是否需要访问Internet才能起作用VAMT中提供的某些操作需要访问Internet,其中包括检索剩余的MAK激活计数以及MAK代理激活中的检索确认ID(CID)步骤.
但是,大多数VAMT操作都不需要访问Internet.
是否为映像激活保存CID是.
在更换硬盘驱动器或重建映像时,能否使用MAKCID可以,通过VAMT.
硬件更改不会导致KMS出现问题.
请注意,更换硬盘驱动器很可能会导致硬件漂移,从而需要重新激活.
是否需要激活VAMT否.
能否在虚拟计算机中运行VAMT可以.
我们要使用批量激活管理工具在MAK方案中解决哪些客户问题如果在MAK方案中使用客户托管的VAMT进行激活,情况是否与KMS相似MAK激活直接通过MicrosoftHostedActivationServices进行,用户会在Office2010用户界面中输入密钥.
使用VAMT的理由是,它使系统管理员可以方便地将MAK同时应用于多台计算机,而不必分别在每台计算机上应用MAK.
为没有Internet连接的Office2010安装执行代理激活.
与KMS的差别在于,如果没有KMS主机,则无法激活KMS客户端.
VAMT与KMS不具可比性,它是一种用于向各个Office2010客户端部署MAK的方式.
KMS在客户网络上管理激活时,不会比初始设置产生更多管理开销.
方法1:使用VAMT方法2:不使用VAMT产品密钥常见问题产品密钥使用户可以使用根据特定批量许可计划授权其使用的软件产品.
此站点中的产品密钥只应用于批量许可产品,并且仅供您的组织使用.
什么是安装密钥安装密钥用于为每个产品/版本组合"解锁"产品,并且会绕过激活过程.
可通过三种方法来获取安装密钥:实际交付对于通过实际交付获得的产品,安装密钥打印在介质包装上.
下载交付对于通过下载获得的产品,将随下载提供安装密钥.
对于从批量许可服务中心(http://go.
microsoft.
com/fwlink/linkid=184280&clcid=0x804)下载的产品,会在下载屏幕上或以下文本中显示安装密钥:"有些可供下载的产品需要安装密钥.
请记录此安装密钥,产品安装期间将需要此密钥.
"拨打相应的Microsoft激活中心全球电话号码(该链接可能指向英文页面)(http://go.
microsoft.
com/fwlink/linkid=182952&clcid=0x804)(该链接可能指向英文页面),以获取所需安装密钥.
您需要提供批量许可协议信息和购买证明.
- 设置outlook2003相关文档
- Siliconoutlook2003
- Isinsidedeliveryrequiredoutlook2003
- appliesoutlook2003
- 内容outlook2003
- Applicationsoutlook2003
- Pageoutlook2003
Linode($5/月),新用户注册送100美元,11个数据中心云服务器
关于Linode,这是一家运营超过18年的VPS云主机商家,产品支持随时删除(按小时计费),可选包括美国、英国、新加坡、日本、印度、加拿大、德国等全球十多个数据中心,最低每月费用5美元($0.0075/小时)起。目前,注册Linode的新用户添加付款方式后可以获得100美元赠送,有效期为60天,让更多新朋友可以体验Linode的产品和服务。Linode的云主机产品分为几类,下面分别列出几款套餐配置...
这几个Vultr VPS主机商家的优点造就商家的用户驱动力
目前云服务器市场竞争是相当的大的,比如我们在年中活动中看到各大服务商都找准这个噱头的活动发布各种活动,有的甚至就是平时的活动价格,只是换一个说法而已。可见这个行业确实竞争很大,当然我们也可以看到很多主机商几个月就消失,也有看到很多个人商家捣鼓几个品牌然后忽悠一圈跑路的。当然,个人建议在选择服务商的时候尽量选择老牌商家,这样性能更为稳定一些。近期可能会准备重新整理Vultr商家的一些信息和教程。以前...
NameCheap优惠活动 新注册域名38元
今天上午有网友在群里聊到是不是有新注册域名的海外域名商家的优惠活动。如果我们并非一定要在国外注册域名的话,最近年中促销期间,国内的服务商优惠力度还是比较大的,以前我们可能较多选择海外域名商家注册域名在于海外商家便宜,如今这几年国内的商家价格也不贵的。比如在前一段时间有分享到几个商家的年中活动:1、DNSPOD域名欢购活动 - 提供域名抢购活动、DNS解析折扣、SSL证书活动2、难得再次关注新网商家...
-
配置用于Windows操作httpServicemymediawikiMediaWiki的权限及设置mediawikiwiki,wikipedia与mediawiki三者的区别http404未找到"HTTP 404 未找到"的错误如何对付?_建企业网站建一个企业网站需要多少钱?大概要多久做好?163yeah请问网易的163,126,yeah,VIP,188邮箱各有什么特点?internetexplorer无法打开Internet Explorer 打不开了360arp防火墙在哪360ARP防火墙哪里下载?