:微软Outlook邮件安全指南(二)
图13-3标题设置标签
CDO(协作数据对象)。 CDO提供消息和协作功能。CDO让你能够以一个日程安排指定工作,寻找联系以及执行其他的技巧。CDO 1.21事实上是一个为MAPI知识库所做得端COM磕调用包程序,任何一种能够使用COM的语言就能使用CDO。CDO能够实现绝大部分,而不是全部的MAPI功能(但是比简单MAPI要多)。不要将这里的CDO同Exchange管理CDO(CDOEXM)或者作为Exchange和Windows一部分装载了同名的但是功能不同的 CDOSYS知识库,相混淆。
微软 Outlook受信编码标签
受信编码标签没什么好看的,所以在这里我就不显示它了。它包含了一个列表箱和两个按钮:添加和删除。你使用这些按钮去添加或者删除列表中的COM外部程序,Outlook客户端信任(换句话说,允许运行)任何一个列表中的COM外部程序。然而,记住,在这个标签上指定一个外部程序并不是让它运行,也不是指它被安装到客户端上。 在这里制定一个外部程序只是意味着外部程序具有不需要触发对象模式向导而直接去调用Outlook对象模式。外部程序调用CDO依然依赖于向导。这里有一些使用这个标签的细微差别。首先,你只能够使用指定的Outlook外部程序,举例来说,一个微软的外部程序去调用Outlook对象模式功能是不可用的。第二,如果你在一个更新的版本中替换一个受信外部程序的话,你将需要将旧的版本从列表中删除,并添加一个新的,尽管两个版本有同样的文件名。
配置微软Outlook安全设置
在你配置了这些你想通过在Exchange服务器上创建项目进行的设置,你依然需要强制Outlook去使用这些设置。要想使用这个功能,你需要为客户端计算机配置一个新的注册键值。这就是为什么这是在你最开始使用或者Outlook时就进行好设置。
如果你使用策略管理你的Office安装,添加这个操作是很简单的。只需要添加正确的策略模板(.adm file),以使得你的策略对象包含必要的键值。接下来设置策略去应用到目标用户。如果你使用包含了Office资源包工具栏的系统策略编辑器(System Policy Editor),那么这表示正确的模板已经被装载。如果你使用活动目录组策略对象,你需要手动添加模板。当用户每次登陆到系统时,策略文件就会自动的审查通过你为客户端计算机进行的自定义安全设置。
这样的话,哪一个“不可思议的”键值是你必须去修改的?注册值是一个名为“CheckAdminSettings”的DWORD以及它下面的键值。
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftSecurity。这个键值定义了Outlook搜索哪里可以进行安全设置。表13-2显示了这个值如何去设置。
注意:因为通过安全更新,.reg文件被阻止,所以你不能将注册键值保存到一个文件,并通过邮件发送,并且在服务器没有安全设置时,通过默认Outlook设置它们也被阻止。另外,最好的确认办法是用户不改变这些设置去强制他们的应用使用组策略对象(GPO)。这是微软的推荐(尽管你)。
表13-2: CheckAdminSettings值
值 | Outlook 2003如何操作 |
Key not present | 使用默认设置 |
0 | 使用默认设置 |
1 | 查看Outlook安全设置文件夹中的设置,根据默认情况和你指定的指定用户,应用设置。 |
2 | 查看Outlook10安全设置文件夹,不使用Outlook安全设置文件夹中的任何设置。当你需要Outlook 2002,Outlook 2003以及Outlook 2000使用不同的设置时,使用这个值。 |
其它 | 使用默认设置 |
为终端用户自定义微软Outlook邮件安全设置
你可以选择不去配置公用文件夹,在你的Outlook客户端应用设置(尽管不做什么可以暂时清空一个有用的安全特性)。如果不这样做,接下来Outlook 2003将会继续使用前面讨论过的级别1和级别2的限制,但是有一些区别:每个用户能够个性化定制他或她自己的Outlook副本去控制级别1和级别2列表。诀窍是去在HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0OutlookSecurity key中添加名为Level1Remove的值。你添加到这里的扩展(如果超过一个,通过分号分割)是从被阻止的级别1列表中移除的,这样创建可知性文件的值,pl将会允许被执行,并且Perl脚本被保存到磁盘中替代完全阻止他们。事实上,你指定的扩展被从级别1降到级别2,他们完全被阻止了。终端用户不能将文件类型从级别2降到不受保护,只有系统管理员能够进行这样的操作。
如果你希望将一个新的文件类型添加到级别1列表中,你需要通过创建一个新的名为Level1Add的字符串,在如下位置:HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookSecurity key。
Tip: Sue Mosher认为一个记录应该包含链接到你的用户能够用于自定义他们的本地附件设置而不需要直接通过编辑注册表的,这样的工具。作为选择,你能够为Level1Remove设定一个值,作为GPO或者系统策略的一部分。这样,你就不需要必须花时间进行用户的本地设置了。
当然,它更多的是你将需要去让用户不必进行自定义他们自己的安全设置。最简单的方法是去添加一个名为DisallowAttachmentCustomization的新REG_DWORD值到Outlook键值,位置在:HKCUSoftwarePoliciesMicrosoftOffice11.0Outlook。当这个值设定好以后,Outlook将不再使用原先设立的Level1Add和Level1Remove键值。
为微软Outlook RPC over HTTP设置RPC
就像你在第11章了解到的,大多数RPC over HTTP设置,事实上在服务器端进行。在客户端,你将需要确认你的服务器有微软Windows XP。如果你使用SP1,你将需要使用Q331320修补程序,这个程序包含在SP2及更新的版本。同时你也需要为你的用户之间的前端和后端服务器通信,在Windows Server 2003上运行Exchange Server 2003,以及为所有的全局目录和域控制器都运行Windows Server 2003,的服务器和客户端能够正常使用。
注意:Office 资料工具包包括了使用自定义安装向导大量进行RPC over HTTP设置的资料,这将使你在为一些或者所有用户,进行配置时使无缝操作变为可能。
为RPC over HTTP所作的设置同单独profiles相关联,并且只能够被应用在每一个profile的单独的Exchange server账号。你可以通过使用你能够利用的类似的同样的接口来修改这些设置,但是这些设置本身是不同的(记住,你必须已经像在11章中描述的那样,安装了你的Exchange 服务器和全球目录)。