В предыдущей части мы рассмотрели процесс, связанный с загрузкой и добавлением шаблонов на обе ОС System Windows Server 2003 и Windows Server 2008, чтобы добавить расширение Outlook 2007 в групповую политику. В этой части мы поработаем с некоторыми функциями, которые обычно требуются большинству администраторов, это такие функции как управление PST, управление безопасностью вложений и т.д.
PST файлы
PST может стать кошмаром для некоторых администраторов Exchange, и с ними бывает трудно работать и создавать стратегии защиты в средних/больших организациях. Файлами PST можно полностью управлять из групповой политики, и в этом разделе мы узнаем, как избавиться от необходимости использования PST в сети, или, по крайней мере, изменить некоторые умолчания.
Существуют некоторые продукты архивирования, которые поддерживают PST файлы, при этом данное архивное решение может выполнять поиск по сети и перемещать PST файлы в хранилище архивов. В таком типе сценария использование PST может быть запрещено в сети.
Примечание:все PST параметры можно найти по следующему пути в групповых политиках Group Policy: User Configuration / Administrative Templates / Microsoft Office Outlook 2007 / Miscellaneous / PST Settings.
По умолчанию PST файлы можно добавлять в профиль Outlook. Чтобы предотвратить добавление новых PST файлов, мы можем включить параметр Запрещать пользователям добавлять PST файлы в Outlook и/или запрещать пользователям использование Sharing-Exclusive PST (Prevent users from adding PSTs to Outlook profiles and/or prevent users using Sharing-Exclusive PSTs), а затем нажать Включено (Enabled) и выбрать опцию Запрещать добавление PST (No PSTs can be added) (рисунок 1).
Рисунок 1
В результате конечный пользователь не сможет выбрать опцию, если пытается добавить PST, как показано на рисунке 2.
Рисунок 2
Теперь, когда мы запретили конечным пользователям добавлять PST файлы, мы можем настроить текущие PST файлы на чтение только тех файлов, в которых конечный пользователь не сможет создать содержимое или удалить его из файлов. Параметр, управляющий этим поведением, - это опция Запрещать пользователям добавление нового содержимого в существующие PST файлы (Prevent users from adding new content to existent PST files), как показано на рисунке 3.
Рисунок 3
Использование предыдущего параметра будет вызывать отчет об ошибке, когда пользователь пытается добавить любое новое содержимое в существующий PST файл (рисунок 04).
Рисунок 4
Итак, допустим, у нас есть внутренняя политика, в которой PST файлы разрешены локально, и мы хотим содержать все эти файлы в одном стандартном месте, чтобы улучшить процесс их защиты, изменив стандартное расположение для PST и OST файлов. Для настройки этого параметра нужно дважды нажать на опции Стандартное расположение PST и OST файлов (Default location for PST and OST files) и ввести новый путь (можно использовать переменные среды), как показано на рисунке 5.
Примечание: Новый путь будет использоваться всеми PST или OST файлами, созданными после того, как политика применена.
Рисунок 5
Помимо настройки, которую мы только что рассмотрели, можно также изменить другие параметры, связанные с PST, к примеру максимальный размер PST, формат файла и т.д.
Управление вложениями
Outlook 2007 работает с вложениями, используя уровень безопасности. Outlook использует 3 (три) различных группы: Уровень 1 (небезопасные вложения), Уровень 2 (их нужно сохранять на диск, прежде чем открывать) и прочие вложения, которые пользователь может открывать непосредственно в Outlook.
Можно использовать групповые политики для добавления и удаления расширений из групп первого и второго уровня. Пока мы находимся на этой странице, можно взглянуть на расширения по умолчанию, входящие в группу первого уровня в Outlook 2007: .ade, .adp, .app, .asp, .bas, .bat, .cer, .chm, .cmd, .com, .cpl, .crt, .csh, .der,, .exe, .fxp, .gadget, .hlp, .hta, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml, .msi, .msp, .mst, .ops, .pcd, .pif, .plg, .prf, .prg, .pst, .reg, .scf , .scr, .sct, .shb, .shs, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .tmp , .url, .vb, .vbe, .vbs, .vsmacros, .vsw, .ws, .wsc, .wsf, .wsh, .xnk.
Если у вас еще не сложилась картина по вложениям, можно взглянуть на рисунок 6, где вложения с .xxx расширением относятся к первому уровню. Если посмотреть на этот рисунок, то видно, что пользователь никак не сможет работать с такими файлами, а Outlook отобразит следующий отчет: Программа заблокировала доступ к следующим потенциально опасным вложениям (Outlook block access to the following potentially unsafe attachments: <attachment name>).
Рисунок 6
Однако если такое же .XXX расширение в настройках отнесено нами в группу второго уровня, конечный пользователь сможет увидеть файл в сообщении (рисунок 7), но будет отображено еще одно сообщение (рисунке 8), которое заставит пользователя сохранить файл на диск и не позволит его запуск непосредственно из Outlook 2007.
Рисунок 7
Рисунок 8
Чтобы управлять расширениями для уровня 1 и 2, нам нужно изменить параметр Режим безопасности Outlook (Outlook Security Mode). Разворачиваем Безопасность (Security) и нажимаем Параметры форм безопасности (Security Forms Settings). Давайте выберем Включено (Enabled), затем Использовать групповую политику безопасности Outlook (Use Outlook Security Group Policy), и, наконец, OK, как показано на рисунке 9.
Рисунок 9
Теперь, когда мы определили режим безопасности Outlook, можно развернуть Безопасность вложений (Attachment Security), и здесь мы можем добавить (Add), удалить (Remove) или отключить (Disable) уровень 1 и 2. На рисунке 10 мы добавили расширение XXX в уровень 1, и как только клиент получит дефиниции групповой политики, а Outlook будет перезапущен, расширение XXX будет принадлежать к первому уровню, который не позволяет конечным пользователям работать с такими файлами.
Рисунок 10
Мы также можем добавить/удалить расширения уровня 1 и 2, разрешить отображение уровня 1 в Outlook и т.д.
Блокирование типов учетных записей
Outlook 2007 поддерживает различные типы учетных записей и позволяет настраивать их посредством процесса создания профиля Outlook. Используя групповые политики, мы можем управлять тем, какие протоколы будут доступны конечным пользователям во время создания профиля. Мы можем запретить настройку следующих протоколов: HTTP, Exchange, POP3, IMAP4 и некоторые другие типы.
Чтобы запретить определенные типы протоколов, для них нужно настроить опцию Запрещать пользователям добавление типов почтовых учетных записей (Prevent users from adding e-mail account types). Нажимаем Включено и отмечаем все службы, которые нужно заблокировать для конечных пользователей (рисунок 11).
Рисунок 11
В результате предыдущей настройки отмеченная в групповой политике служба не будет отображаться во время создания профиля.
Заключение
В этой статье мы рассмотрели процесс настройки некоторых параметров Outlook 2007 с помощью групповой политики. Вы можете использовать этот цикл в качестве базы для создания собственных требований компании, основанных на политике.
Дополнительная информация: