在 2007 Office system 中配置受信任位置和受信任发布者设置
更新时间: 2009年2月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
通过使用 Office 自定义工具 (OCT) 和组策略对象编辑器,可以配置受信任位置和受信任的发布者设置。
开始之前
在开始配置设置之前,请确保满足本节中介绍的规划要求、管理要求和工具要求。
计划要求 必须先完成安全计划过程中的以下步骤,然后才能有效地配置受信任位置和受信任的发布者设置:
在 2007 Office system 中为安全设置和隐私选项选择部署工具
管理要求 下表列出了执行设置配置操作所需的管理凭据。
要执行的操作 您必须是这些组的成员 运行 OCT
本地计算机上的 Administrators 组
通过组策略对象编辑器配置本地组策略设置
本地计算机上的 Administrators 组
通过组策略对象编辑器配置基于域的组策略设置
Domain Admins、Enterprise Admins 或 Group Policy Creator Owners
工具要求 假设您已经完成以下任务:
了解如何使用 OCT 自定义 2007 Microsoft Office system。有关 OCT 的详细信息,请参阅 2007 Office system 中的 Office 自定义工具。
已创建可运行 OCT 的网络安装点。
了解什么是管理模板(即 .adm 文件)。
已将 Office 2007 管理模板加载到组策略对象编辑器中。
使用 OCT 配置受信任位置
以下过程演示如何使用 OCT 禁用受信任位置、将共享文件夹指定为受信任位置、限制受信任位置以及删除通过使用 OCT 创建的所有受信任位置。若要了解 OCT 中其他受信任位置设置的位置,请参阅 受信任位置和受信任发布者设置。
使用 OCT 禁用受信任位置
您只能单独对每个应用程序禁用受信任位置;不存在能够让您全局禁用受信任位置的单个设置。若要全局禁用受信任位置,必须对下列每个应用程序禁用受信任位置:Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、Microsoft Office Visio 2007 和 Microsoft Office Word 2007。
使用 OCT 禁用受信任位置设置
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“默认安全设置”下,对要配置的应用程序双击“允许的受信任位置选项”。
在“指定安全设置”对话框中,单击“禁用所有受信任位置,仅信任由受信任的发布者签署的文件”,然后单击“确定”。
使用 OCT 指定受信任位置
使用 OCT 只能单独对每个应用程序指定受信任位置。不存在能够让您指定适用于所有应用程序的全局受信任位置的 OCT 设置。若要指定适用于所有应用程序的全局受信任位置,必须单独对每个应用程序指定受信任位置或使用组策略设置。
使用 OCT 单独对每个应用程序指定受信任位置
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“将下列路径添加到‘受信任位置’列表中”下,单击“添加”。
在“指定安全设置”对话框中,执行下列操作:
在“应用程序”中,单击要对其应用该受信任位置的应用程序。
在“路径”中,键入要信任的文件夹的路径。
如果也希望信任受信任文件夹中的所有子文件夹,请选中“同时信任此位置下的子文件夹”复选框。
在“说明”中,键入该受信任位置的说明。
单击“确定”。
如果将网络共享指定为受信任位置,则必须启用“允许不在计算机上的受信任位置”设置。此外,可以使用环境变量来表示受信任位置;但是,必须修改注册表,以便识别环境变量。还可以将 Web 文件夹(即,http:// 路径)指定为受信任位置,但是并非所有 Web 文件夹都被识别为受信任位置。有关使用环境变量指定受信任位置以及将 Web 文件夹指定为受信任位置的详细信息,请参阅为 2007 Office system 规划受信任位置和受信任发布者设置。
使用 OCT 限制受信任位置
可以使用 OCT 配置以下设置来限制受信任位置。
仅允许基于策略的受信任位置
在 OCT 左窗格中的“功能”下,单击“修改用户设置”。
在 OCT 的树状视图中,打开“Microsoft Office System 2007”,再打开“安全设置”,然后单击“信任中心”。
在细节窗格中,双击“允许将策略和用户位置相结合”。
单击“禁用”,然后单击“确定”。
不允许网络共享作为受信任位置
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“默认安全设置”下,对要配置的应用程序双击“允许的受信任位置选项”。
在“指定安全设置”对话框中,单击“仅允许用户计算机上的受信任位置(应用程序默认)”,然后单击“确定”。
删除使用 OCT 创建的所有受信任位置
使用以下过程删除通过使用 OCT 创建的所有受信任位置。
删除使用 OCT 创建的所有受信任位置
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“将下列路径添加到‘受信任位置’列表中”下,选中“删除 OCT 在安装过程中写入的所有受信任位置”复选框。
您可以使用安装程序或使用 Windows Installer 程序部署受信任位置。有关详细信息,请参阅在用户的计算机上运行 2007 Office system 的安装程序和在安装 2007 Office system 后更改用户的配置。
使用组策略配置受信任位置
以下过程演示如何使用组策略对象编辑器禁用受信任位置、将共享文件夹指定为受信任位置以及限制受信任位置。若要了解组策略对象编辑器中其他受信任位置设置的位置,请参阅 受信任位置和受信任发布者设置。
使用组策略禁用受信任位置
您只能单独对每个应用程序禁用受信任位置。不存在能够让您全局禁用受信任位置的单个设置。若要全局禁用受信任位置,必须对下列每个应用程序禁用受信任位置:Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、Microsoft Office Visio 2007 和 Microsoft Office Word 2007。
使用组策略禁用受信任位置设置
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心/受信任位置
在细节窗格中,双击“禁用所有受信任位置”,单击“启用”,然后单击“确定”。
使用组策略指定受信任位置
您可以使用组策略全局指定受信任位置或单独对每个应用程序指定受信任位置。使用以下过程可以指定全局受信任位置。
使用组策略指定全局受信任位置
在组策略对象编辑器树中,导航到以下位置:
用户配置/管理模板/Microsoft Office System 2007/安全设置/信任中心
在细节窗格中,双击尚未配置的受信任位置,如“受信任位置 #1”、“受信任位置 #2”等等。
在“受信任位置属性”对话框中,单击“启用”并执行下列操作:
在“路径”中,键入要信任的文件夹的路径。
在“日期”中,键入今天的日期。
在“说明”中,键入该受信任位置的说明。
如果也希望信任受信任文件夹中的所有子文件夹,请选中“同时信任此位置下的子文件夹”复选框。
单击“确定”。
使用以下过程可以单独对每个应用程序指定受信任位置。
使用组策略单独对每个应用程序指定受信任位置
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心/受信任位置
在细节窗格中,双击尚未配置的受信任位置,如“受信任位置 #1”、“受信任位置 #2”等等。
在“受信任位置属性”对话框中,单击“启用”并执行下列操作:
在“路径”中,键入要信任的文件夹的路径。
在“日期”中,键入今天的日期。
在“说明”中,键入该受信任位置的说明。
如果也希望信任受信任文件夹中的所有子文件夹,请选中“同时信任此位置下的子文件夹”复选框。
单击“确定”。
如果将网络共享指定为受信任位置,则必须启用“允许不在计算机上的受信任位置”设置。此外,无法在组策略中使用环境变量来表示受信任位置。可以将 Web 文件夹(即,http:// 路径)指定为受信任位置,但是并非所有 Web 文件夹都被识别为受信任位置。有关使用环境变量指定受信任位置以及将 Web 文件夹指定为受信任位置的详细信息,请参阅为 2007 Office system 规划受信任位置和受信任发布者设置。
使用组策略限制受信任位置
可以使用组策略对象编辑器配置以下设置来限制受信任位置。
仅允许基于策略的受信任位置
在组策略对象编辑器树中,导航到以下位置:
用户配置/管理模板/Microsoft Office System 2007/安全设置/信任中心
在细节窗格中,双击“允许将策略和用户位置相结合”,单击“禁用”,然后单击“确定”。
不允许网络共享作为受信任位置
在组策略对象编辑器树中,根据您要配置的应用程序,请导航到以下任一位置:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心/受信任位置
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心/受信任位置
在细节窗格中,双击“允许不在计算机上的受信任位置”,单击“禁用”,然后再单击“确定”。
通过使用 OCT 配置受信任的发布者设置
下面的过程演示如何使用 OCT 将受信任的发布者添加到受信任的发布者列表中。您不能使用 Office 2007 管理模板将受信任的发布者添加到受信任的发布者列表中。若要将一个受信任的发布者添加到受信任的发布者列表中,您必须具有数字证书(.cer 文件),发布者使用此证书对他们的 ActiveX 控件、加载项或宏进行签名。有关如何获得发布者的数字证书的详细信息,请参阅为 2007 Office system 规划受信任位置和受信任发布者设置。
使用 OCT 将数字证书添加到受信任的发布者列表中
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“将下列数字证书添加到‘受信任的发布者’列表中”下,单击“添加”。
在“添加数字证书”对话框中,单击要添加的数字证书,然后单击“添加”。