创建和管理策略

policy​定义一组保密设置以及可以访问应用了策略的文档的用户。 策略集​用于对一组具有共同业务目的的策略进行分组。 然后,系统中的部分用户可以使用这些策略集。 有关策略的详细信息,请参阅策略和受策略保护的文档

策略类型

文档安全性提供了以下类型的策略。

个人政策

用户可以使用与特定情况相适的设置创建、编辑、复制、删除和应用自己的策略。 只有创建策略的人员和管理员才能访问该个人策略。 个人策略显示在“策略”页的“我的策略”选项卡上。

如果管理员启用此功能,则受邀用户还可以创建、编辑、复制和删除个人策略。

共享策略

管理员和策略集协调员根据贵组织针对不同类型的文档和用户标识的保密要求创建共享策略。 共享策略包含在策略集中,可供特定策略集的所有授权用户(文档发布者、策略集协调员和文档收件人)使用。 管理员和策略集协调员可以启用和禁用共享策略。 共享策略显示在“策略”页的“策略集”选项卡的策略集中。

首次安装文档安全时,它包含一个名为​Restrict to All Principals​的共享策略。 当将此策略应用于文档时,任何能够登录到文档安全的用户都可以访问该文档。 此策略位于名为​全局策略集​的策略集中。 默认情况下,此策略未启用。 如果它符合您组织的需求,您可以启用它。

Microsoft Outlook自动生成的策略

使用Acrobat,您可以对您在Microsoft Outlook中以电子邮件附件形式发送的文档应用策略。 在Outlook中,您可以使用现有策略或使用Acrobat生成的自动生成策略(使用默认保密设置)来保护文档,该策略适用于附加到电子邮件的文档。 (请参阅* Acrobat帮助*。)

注意

要使策略在Outlook中可用,您必须在Acrobat中将该策略设置为收藏。 所有其他策略(包括您所在的“发布者”策略)都不会显示在Outlook中。

谁可以创建和管理策略和策略集

您与策略和策略集交互的方式取决于您在组织中的角色:

用户: 用户可以创建、编辑和删除其个人策略。如果管理员启用此功能,受邀用户也可以创建个人策略。

策略集协调员: 策略集协调员可以在策略集中创建和管理共享策略,将这些策略指定为协调员。策略集协调器通常是组织中的专家,他可以最好地创作特定策略集中的策略。

管理员: 管理员可以编辑任何用户的个人策略。他们可以创建共享策略。 他们还可以创建、编辑和删除策略集,并指定策略集协调员。

有关各种文档安全角色的详细信息,请参阅关于文档安全用户

创建和编辑策略

用户可以创建或编辑个人策略供自己使用。 管理员和策略集协调员可以为贵组织创建或编辑共享策略。

编辑策略的注意事项

在编辑策略时,这些更改会影响策略当前保护的文档,以及之后策略保护的文档。 例如,如果从当前应用于文档的策略中删除收件人,则收件人将无法再打开该文档。

文档的状态决定了更改何时生效:

  • 如果文档处于联机状态,则更改将立即应用,除非用户打开了文档。 在这种情况下,用户必须关闭文档才能使更改生效。
  • 如果收件人脱机使用文档(例如,在笔记本电脑上),则更改将在收件人下次联机使用文档时生效,并通过打开任何受策略保护的文档与文档安全同步。
注意

Acrobat为附加到Microsoft Outlook电子邮件的文档收件人自动生成的策略不会显示在策略列表中。 您只能通过打开关联文档的“文档详细信息”页来查看这些策略。

在编辑策略时,会应用以下限制:

  • 只有管理员启用此功能时,受邀用户才能编辑策略。 如果无法编辑策略,则“编辑”选项将不可用。
  • 策略集协调员只有在具有正确权限时才能编辑策略集中的策略。 超级用户或策略集管理员在文档安全管理员界面中设置这些权限。
  • 如果策略配置了水印,自创建策略后管理员将删除该水印,则在您编辑并保存该策略时,该水印将不再应用于文档。 只要不编辑策略,删除的水印就仅对现有策略有效。 如果编辑策略,则必须选择另一个水印来替换已删除的水印。
  • 您无法通过编辑当前应用的策略来授予对文档的匿名访问权限。 如果编辑策略,则用户仍必须登录才能访问该文档。 要对此文档应用匿名访问,请先删除客户端应用程序中的策略,然后应用允许匿名访问的其他策略。
  • Acrobat为附加到Microsoft Outlook电子邮件的文档收件人自动生成的策略不会显示在策略列表中。 要访问此策略,请在“文档”页上找到文档,打开“文档详细信息”页,然后单击文档详细信息列表中的策略名称。

创建或编辑策略

  1. 在文档安全页面上,单击“策略”,然后单击以下选项卡之一:

    • 要创建或编辑个人策略,请单击我的策略选项卡。
    • 要创建或编辑共享策略,如果您有权限,请单击“策略集”选项卡,单击相应的策略集名称,然后单击“策略”选项卡。
  2. 单击新建或从列表中选择要编辑的策略。

  3. 在名称框中,键入唯一标识策略的名称。 在描述框中,描述策略的用途和使用时间。 如果策略在策略集内,则所有指定用户的名称和描述都会显示在策略列表中。 个人策略仅供用户和管理员使用。

    名称或描述中不能使用以下字符:

    • 小于号(<)
    • 大于号(>)
    • 与号(&)
    • 单引号(')
    • 双引号(")
    • 反斜线()
    • 正斜杠(/)

    如果在名称或描述中使用以下字符,则它们将转换为空格:

    • 回车符(ASCII字符13)
    • 新行(ASCII字符10)。
    注意

    您可以创建包含扩展字符的策略名称;但是,当在两个字符串之间进行比较时,重音和非重音字符(如“e”和“é”)被视为相同。 当某人创建策略时,会进行比较以检查是否已存在同名策略。 该比较无法区分除重音字符外相同的名称。 假定策略已添加到数据库,且未添加新策略。

  4. 将用户和组添加到策略并设置相应的权限。 (请参阅用户和组。)

  5. 在常规设置下,选择相应的选项。 (请参阅常规设置。)

  6. (可选)如果适用,请选择外部授权提供程序并指定其属性。 如果您不想使用外部授权提供程序,请单击“删除默认提供程序”。

    外部授权提供程序用于在策略内设置属性,当选择该属性时,外部授权提供程序将使用此信息来评估策略。 可用属性由管理员和安装软件的人员配置。

  7. 在高级设置下,选择相应的选项。 (请参阅高级设置。)

  8. 在不可更改的高级设置下,选择相应的选项。 (请参阅不可更改的高级设置。)

  9. 单击保存。策略将显示在策略列表中。 新策略旁边会显示一个带红色圆圈的图标,表示该策略仍处于禁用状态。

    要使策略可供用户使用,请启用该策略。 (请参阅启用或禁用共享策略。)

用户和组

在“用户和组”区域中,指定有权访问受策略保护的文档的用户。 对于您指定的每个用户或组,您还可以设置文档使用权限。

注意

文档发布者是使用策略保护文档的用户。 默认情况下,此用户始终包含在策略中,具有完全访问权限,包括撤销和策略切换功能。 但是,管理员可以更改文档发布者对共享策略的访问权限。 例如,管理员可以限制文档发布者撤消文档访问或切换策略。

添加用户或群组: 要添加用户或组,请单击“添加用户或群组”,然后单击“高级搜索”以查找用户或组。用户包括贵组织的内部用户和已使用文档安全进行注册的受邀用户。 选择此选项时,将显示“添加用户或群组”页:

  • 在“查找”框中,键入用户或组名称或电子邮件地址。
  • 在使用列表中,选择名称或电子邮件。
  • 在类型列表中,选择用户或群组。
  • 从“In(在)”列表中选择要搜索的域,然后单击“Find(查找)”。
  • 返回结果后,选择要添加的用户或组,然后单击“添加”。
注意

如果您输入了正确的受邀用户名或电子邮件地址,并且未返回任何结果,则用户可能尚未注册,或者帐户可能会被删除。 您可以尝试将用户添加为受邀用户类型,或与管理员联系。

邀请新用户: 要添加受邀用户,请单击“邀请新用户”,在显示的框中键入用户的电子邮件地址,然后单击“邀请”。此选项仅在管理员启用时才可用。 在将新的受邀用户添加到策略时,如果用户尚未被邀请进行注册,文档安全会发送一封注册邀请电子邮件。 用户必须使用电子邮件中的链接来创建帐户,然后必须激活该帐户。

注册后,受邀用户可以使用他们授权的策略保护文档。 根据管理员所启用的功能,外部用户可能有权将策略应用于文档、创建、编辑和删除策略,以及将其他外部用户添加到策略。

添加匿名用户: 要允许匿名用户访问,请单击“添加匿名用户”。仅当管理员启用了匿名用户文档安全访问权限时,此选项才可用。 (请参阅配置文档安全服务器。) 此选项授予每个人访问受此策略保护的文档的权限,无论他们是否拥有文档安全帐户。 如果选择此选项,则无法将其他类型的用户添加到策略中。

注意

要允许匿名访问当前没有该策略保护的文档,请删除现有策略,然后应用允许匿名访问的策略。 如果切换或更改现有策略,用户仍必须登录才能访问该文档。

指定用户和组的文档权限

您可以一次为一个用户或群组指定文档权限,也可以从列表中选择多个用户和群组,然后使用列标题区域中的选项更改其权限。

默认情况下,所有受策略保护的文档都具有允许用户联机打开它们的权限。

“权限和选项”选项卡以文档安全方式显示。

这些文档权限位于“权限”选项卡上。 您可以将这些权限应用于PDF、PTC Pro/E和Microsoft Office文件。

打印: 允许用户打印受此策略保护的文档。对于Office和Pro/E文件,您可以选中“打印”复选框以允许打印,或清除该复选框以阻止打印。 如果选中“显示PDF的自定义权限”复选框,则可以从以下选项中进行选择:

不允许: 用户不允许打印PDF。

允许: 允许用户打印PDF。

低分辨率。仅:​用户可以以低分辨率打印PDF。

修改: 允许用户修改受此策略保护的文档。对于Office和Pro/E文件,您可以选中“修改”复选框以允许修改,或清除该复选框以阻止修改。 如果选中“显示PDF的自定义权限”复选框,则可以从以下选项中进行选择:

不允许: 不允许用户修改PDF。

任意: 用户可以修改PDF。

协作: 允许用户使用Adobe Acrobat中的“协作”选项与他人协作。此权限允许用户复制表单数据,即使未在策略中明确给出复制权限也是如此。

更改页面: 允许用户在PDF中添加和删除页面以及编辑内容。

Fill & Sign: 允许用户填写PDF上的表单字段并对其进行签名。

复制: 允许用户从受此策略保护的文档中复制文本。

屏幕Reader: 如果选中“显示PDF的自定义权限”复选框,则会显示此权限。选择此选项后,Adobe Acrobat有权向PDF中添加临时标记,以通过屏幕阅读器提高其可读性。

这些文档权限位于“选项”选项卡上。 您可以将这些权限应用于PDF、PTC Pro/E和Microsoft Office文件:

脱机: 允许用户脱机查看受此策略保护的文档。

权限有效性: 选择权限始终有效或设置文档权限的有效期。如果选择有效期,请单击日历图标以选择日期,然后使用箭头以24小时格式指定时间。

对于共享策略,管理员可以禁用文档发布者(将策略应用于文档的用户)的以下权限:

撤消: 允许文档发布者撤消文档访问权限。

切换: 允许文档发布者切换策略权限。

常规设置

“常规设置”区域包含以下设置:

有效期: 受策略保护的文档可供授权收件人访问的期间。您可以从以下有效期选项中进行选择:

文档在之后将无效: 文档在自文档安全起的指定天数内可以访问。

文档在此日期之后将无效: 从对文档应用策略的日期到指定的结束日期,该文档将有效。

有效期自、至: 文档在您指定的日期期间有效。您可以使用日历通过单击日历图标来选择日期(如果适用)。

文档始终有效: 文档有效期不会过期。

注意

有效日期基于文档安全系统的时区,而不是本地计算机的时区。

审核: 启用或禁用对与受策略保护的文档关联的事件的审核。例如,文档安全可记录尝试打开文档等事件。 已审核事件显示在“事件”页面的列表中。 如果未选择此选项,则文档安全不会记录与策略关联的文档的事件。

注意

管理员还必须在“审核和隐私设置”配置页面上启用服务器审核,才能使审核功能正常工作。

扩展使用情况跟踪: 启用或禁用扩展使用情况跟踪。文档安全支持跟踪与对PDF文件执行的各种操作相关联的用户事件。 可以使用Java脚本访问文档安全对象。 按钮点击、正在播放的多媒体文件或保存文件是一些可以从受策略保护的PDF触发的事件示例。 使用文档安全对象,您还可以检索用户信息。 事件跟踪可以从文档安全服务器全局级别或策略级别启用。

自动离线租赁期: 收件人脱机使用受策略保护的文档的最大天数(无活动的Internet或网络连接)。在租赁期到期时,收件人必须再次同步文档以继续使用它。

外部授权提供程序

如果已配置任何,请选择外部身份验证提供程序。 列出了可用的提供程序。

身份验证设置

您可以覆盖您在服务器上配置的身份验证设置,并指定与此策略相关的身份验证选项。 选择覆盖全局身份验证设置,然后选择与此策略相关的身份验证选项。 以下身份验证选项可用:

允许用户名密码验证: 选择此选项可使客户端应用程序在连接到服务器时能够使用用户名/密码验证。

允许Kerberos身份验证: 选择此选项可使客户端应用程序在连接到服务器时能够使用Kerberos身份验证。

允许客户端证书身份验证: 选择此选项可使客户端应用程序在连接到服务器时能够使用证书身份验证。

允许扩展身 份验证选择以启用扩展身份验证。选择此选项将使客户端应用程序能够使用扩展身份验证。 扩展身份验证提供了自定义身份验证过程和在Document Security服务器上配置的不同身份验证选项

如果要覆盖全局身份验证设置,则可以选择与此策略相关的身份验证选项。 例如,如果您在服务器上启用了三个身份验证选项(用户名和密码、客户端证书和扩展身份验证),则可以覆盖该全局设置并仅为此策略选择扩展身份验证。 您必须确保服务器上已配置在此处选择的身份验证选项。 在此示例中,您无法选择Kerberos作为身份验证选项,因为它未在服务器上配置。

注意

在Adobe Acrobat 11.0.6及更高版本的Apple Mac OS X中,支持扩展身份验证。

高级设置

“高级设置”区域包含以下设置:

动态水印: 选择要在文档页面上动态显示的水印(例如,当收件人打印文档时)。动态水印可唯一标识文档,从而有助于确保文档的机密性并防止侵犯版权。 例如,管理员可以配置动态水印,以显示当前日期、使用文档的人的用户名或标识符,或用于保护文档的策略的名称。 水印还可以显示自定义文本或图形元素(如果已配置)。 管理员配置水印选项,管理员和用户可以将它们应用到策略。

(请参阅配置动态水印。)

如果您正在编辑策略,并且管理员删除了您之前为此策略选择的已配置水印,则“编辑策略”页上会显示注释。 在此例中,如果要保存已编辑的文档,请选择新的水印(如果希望该水印显示在文档上)。

注意

对于提供匿名用户访问权限的策略,即使选择此类水印,匿名用户的用户名和标识符也不会显示为水印。

仅将经认证的Acrobat插件用于PDF: 如果为策略选择了,则此选项指定在打开使用策略保护的文档时,Acrobat 8.0及更高版本必须以认证模式运行。当Acrobat以认证模式运行时,将不会加载任何第三方插件。

如果您担心某个文档收件人正在编写可规避Acrobat 8.0及更高版本中任何文档保护的插件,请选择此选项。 如果文档收件人需要使用Acrobat中的第三方插件与文档进行交互,请勿选择此选项。

此选项仅在Acrobat 8.0或更高版本中启用认证模式;管理员必须禁用对Acrobat 7.0的访问权限。

(请参阅配置文档安全服务器。)

此选项不适用于Adobe Reader。

访问拒绝错误消息: 向任何试图在未经许可的情况下打开受策略保护文档的用户显示的消息。此消息显示在Acrobat中。 无法显示此消息的客户端将显示一条默认消息,指示访问被拒绝。

不可更改的高级设置

“不可更改的高级设置”区域包含以下设置。 保存策略后,便无法更改这些设置。

加密算法和密钥长度: 用于保护文档。您可以从以下选项中进行选择:

  • AES 128位
  • AES 256位。 只有Acrobat 9.0及更高版本支持此选项。 要对PDF文件使用AES 256加密,请获取并安装Java加密扩展(JCE)无限强度管辖策略文件。 这些文件将替换[JAVE_HOME]/lib/security文件夹中的local_policy.jar和US_export_policy.jar文件。 例如,如果您使用Sun JDK 1.6,请将下载的文件复制到[dep root]/Java/jdk1.6.0_26/lib/security文件夹中。 您可以从Java SE下载下载这些文件。
  • 没有加密。 Acrobat 9.0及更高版本当前支持此选项。 如果选择此选项,则“文档限制”选项将处于禁用状态。 如果您希望将文档安全性用于文档审核或版本控制,但不希望加密文档,则此选项可能非常有用。

文档限制: 选择要加密的PDF文档组件。其他客户端应用程序会加密整个文档,但不会加密链接或嵌入的文件。 您可以从以下选项中进行选择:

  • 整个文档,包括其附件和元数据。 ** 有关文档及其内容的元数据信息,您可以通过文档属性对话框或Acrobat高级菜单查看这些信息。在Acrobat中,您可以将不同类型的文件(例如,文本、音频和视频文件)附加到PDF文档。
  • 文档及其附件,但不包括元数据。
  • 仅文档附件。 您可以加密PDF文件的附件,而不对文档内容进行加密。

启用或禁用共享策略

要使共享策略可用,管理员或策略集协调员必须启用该策略。 您可以启用新策略或以前禁用的策略。 对于受该策略保护的文档,仍将强制实施您禁用的共享策略。

禁用的策略旁边会显示一个红色的X。

注意

管理员无法禁用个人策略,用户也无法启用和禁用其自己的策略。

  1. 在文档安全页上,单击“策略”,然后单击“策略集”选项卡。
  2. 单击相应的策略集名称,然后单击策略选项卡。
  3. 选中相应策略旁边的复选框,单击“启用”或“禁用”,然后单击“确定”。

查看有关策略的信息

使用“我的策略”选项卡,可以搜索个人策略。

管理员创建的策略集列在“策略”页的“策略集”选项卡中,其中包含有关策略集的信息,包括其名称、创建和修改日期以及描述。 单击策略集名称可查看其详细信息。 有权管理策略的策略集协调员可以在特定策略集中创建共享策略。

创建或编辑策略时,会显示一个页面,您可以在该页面中配置详细信息,如策略名称、权限级别、机密性设置以及要包含在策略中的收件人。

管理员可以为策略配置以下保密设置:

  • 一般文档保密选项,如文档有效期和离线租赁期
  • 授权用户,以及每个用户的文档限制和权限
  • 高级文档机密性选项,包括动态水印和文档加密

用户可以查看他们创建的策略以及他们有权访问的任何共享策略。 管理员可以查看文档安全中的所有共享策略和个人策略。

您可以查看列表中显示的策略的更多详细信息,包括策略中包含的用户或组以及为这些用户指定的保密设置。

注意

Acrobat为附加到Microsoft Outlook电子邮件的文档收件人自动生成的策略不会显示在策略列表中。 您只能通过打开关联文档的“文档详细信息”页来查看这些策略。

  1. 在文档安全页面上,单击“策略”,然后单击“我的策略”选项卡。
  2. 完成搜索信息以搜索个人策略。
  3. 从列表中选择相应的策略。
  4. 在“策略详细信息”页上,您可以查看有关策略的详细信息、编辑策略或查看与策略相关的事件。

搜索策略

管理员可以搜索共享策略以及其他用户创建的个人策略。

  1. 要搜索共享策略,请单击“策略”,然后单击“策略集”选项卡。 单击列表中的策略集,然后单击策略选项卡。

    要搜索个人策略,请在文档安全页面上单击策略,然后单击我的策略选项卡。

  2. 在查找列表中,选择以下选项之一:

    策略ID: 用户创建策略时生成的策略标识号。您必须键入确切的策略ID。

    策略名称: 策略的名称。您可以搜索部分或全部策略名称。

  3. 在文本框中,键入相应的值。 例如,如果您选择了策略名称,请键入要搜索的策略名称。

  4. 在“显示”(Display)列表中,选择要显示的结果数,然后单击“查找”(Find)。 将显示搜索结果。

  5. (可选)要查看策略详细信息,请单击策略。

复制策略

您可以复制现有策略,并使用新名称和描述进行保存。 复制策略是使用现有设置创建新策略的有效方法。

外部用户只有在管理员启用此功能时才能复制策略。 如果无法创建策略,则复制选项将不可用。

  1. 在文档安全页面上,单击“策略”,然后单击“我的策略”选项卡。

  2. 从列表中选择相应的策略。

  3. 在“策略详细信息”页面上,单击复制。

  4. 在新策略名称框中,键入新策略名称。 (可选)键入新描述。

    名称或描述中不能使用以下字符:

    • 小于号(<)
    • 大于号(>)
    • 与号(&)
    • 单引号(')
    • 双引号(")
    • 反斜线()
    • 正斜杠(/)

    如果在名称或描述中使用以下字符,则它们将转换为空格:

    • 回车符(ASCII字符13)
    • 新行(ASCII字符10)。
    注意

    您可以创建包含扩展字符的策略名称;但是,当在两个字符串之间进行比较时,重音和非重音字符(如“e”和“é”)被视为相同。 当某人创建策略时,会进行比较以检查是否已存在同名策略。 该比较无法区分除重音字符外相同的名称。 假定策略已添加到数据库,且未添加新策略。

  5. 单击确定。

删除策略

您可以删除已创建的策略。 管理员可以删除任何用户创建的策略。 策略集协调员可以删除其策略集中的策略。 对于受该策略保护的文档,仍会强制执行您删除的策略。 一次可以删除多个策略。

仅当管理员启用此功能时,受邀用户才能删除策略。 如果无法删除策略,则删除选项将不可用。

  1. 在文档安全页面上,单击“策略”。
  2. 单击“我的策略”选项卡。
  3. 要删除共享策略,请单击“策略集”选项卡,然后单击相应的策略集名称。
  4. 选中相应策略旁边的复选框,然后单击删除,然后单击确定。
注意

必须使用客户端应用程序从文档中删除策略。 (请参阅Acrobat帮助或相应的Acrobat Reader DC扩展帮助。)

对策略列表进行排序

您可以按列标题对策略列表进行排序,以便更轻松地查找策略。 列标题旁边的三角形图标指示当前用于排序的列。 向上指向三角形表示升序,而向下指向三角形表示降序。

  1. 在文档安全页上,单击“策略”,然后单击“策略集”选项卡。
  2. 选择策略集,然后单击策略选项卡。
  3. 单击相应的列标题。
  4. 要更改排序顺序,请再次单击列。

在此页面上