创建和管理策略

策略​定义一组机密性设置以及可以访问应用策略的文档的用户。 策略集​用于对具有共同业务目的的一组策略进行分组。 然后,这些策略集被提供给系统中的用户子集。 有关策略的详细信息,请参阅策略和受策略保护的文档

策略类型

文档安全性提供以下类型的策略。

个人政策

用户可以创建、编辑、复制、删除和应用自己的策略,并设置适合特定情况的设置。 只有策略创建者和管理员才能访问该个人策略。 个人策略显示在“策略”页的“我的策略”选项卡上。

如果管理员启用了此功能,受邀用户还可以创建、编辑、复制和删除个人策略。

共享策略

管理员和策略集协调员根据组织针对不同类型的文档和用户所识别的机密性要求创建共享策略。 共享策略包含在策略集中,并可供所有授权用户(文档发布者、策略集协调员和文档收件人)使用特定策略集。 管理员和策略集协调员可以启用和禁用共享策略。 共享策略显示在“策略”页的“策略集”选项卡上的策略集中。

首次安装文档安全时,它包含一个名为​限制到所有承担者​的共享策略。 将此策略应用于文档时,任何能够登录文档安全的用户都可以访问文档。 此策略位于名为​全局策略集​的策略集中。 默认情况下,此策略未启用。 如果它适合您的组织的需求,您可以启用它。

Microsoft Outlook自动生成的策略

使用Acrobat,您可以将策略应用于您在Microsoft Outlook中以电子邮件附件形式发送的文档。 在Outlook中,您可以通过使用现有策略或使用Acrobat生成的、使用默认机密性设置并应用于附加到电子邮件的文档的自动生成策略来保护文档。 (请参阅* Acrobat帮助*。)

注意

要使策略在Outlook中可用,您必须将策略设置为Acrobat的最喜爱策略。 所有其他策略(包括您是发布者的策略)均不会显示在Outlook中。

谁可以创建和管理策略和策略集

您与策略和策略集互动的方式取决于您在组织中的角色:

用户: 用户可以创建、编辑和删除其个人策略。如果管理员启用此功能,受邀用户还可以创建个人策略。

策略集协调员: 策略集协调员可以在策略集中创建和管理共享策略,在这些策略集中,将它们指定为协调员。策略集协调员通常是组织中的专家,他可以在特定策略集中最好地编写策略。

管理员: 管理员可以编辑任何用户的个人策略。他们可以创建共享策略。 他们还可以创建、编辑和删除策略集,并指定策略集协调员。

有关各种文档安全角色的详细信息,请参阅关于文档安全用户

创建和编辑策略

用户可以创建或编辑个人策略供自己使用。 管理员和策略集协调员可以为您的组织创建或编辑共享策略。

编辑策略的注意事项

编辑策略时,更改会影响策略当前保护的文档以及策略随后保护的文档。 例如,如果从当前应用于收件人的策略中删除文档,则收件人不再能打开文档。

文档的状态决定更改何时生效:

  • 如果文档处于联机状态,则更改将立即应用,除非用户打开文档。 在这种情况下,用户必须关闭文档,更改才能生效。
  • 如果收件人脱机使用文档(例如,在笔记本电脑上),则更改将在下次收件人联机文档时生效,并通过打开任何受策略保护的文档与文档安全同步。
注意

Acrobat为附加到Microsoft Outlook中电子邮件的收件人自动生成的策略不显示在策略列表中。 您只能通过打开关联视图的“文档详细信息”页面来文档这些策略。

编辑策略时,这些限制适用:

  • 只有管理员启用此功能时,被邀请的用户才能编辑策略。 如果无法编辑策略,则“编辑”选项将不可用。
  • 策略集协调员只有在具有正确权限时才能编辑策略集内的策略。 超级用户或策略集管理员在文档安全管理员界面中设置这些权限。
  • 如果策略配置了自策略创建后删除的管理员的水印,则在您编辑并保存策略时,此水印将不再应用于文档。 只要不编辑策略,已删除的水印仅对现有策略有效。 如果编辑策略,则必须选择其他水印来替换已删除的水印。
  • 您无法通过编辑当前应用的策略来授予对文档的匿名访问权限。 如果编辑策略,用户仍必须登录才能访问文档。 要对此文档应用匿名访问,请首先在客户端应用程序中删除策略,然后应用允许匿名访问的其他策略。
  • Acrobat为附加到Microsoft Outlook电子邮件的文档的收件人自动生成的策略不会显示在策略列表中。 要访问此策略,请在文档页面上找到文档,打开文档详细信息页面,然后单击文档详细信息列表中的策略名称。

创建或编辑策略

  1. 在文档安全页上,单击策略,然后单击以下选项卡之一:

    • 要创建或编辑个人策略,请单击“我的策略”选项卡。
    • 要创建或编辑共享策略,如果您具有权限,请单击“策略集”选项卡,单击相应的策略集名称,然后单击“策略”选项卡。
  2. 单击新建或从列表中选择要编辑的策略。

  3. 在“名称”框中,键入唯一标识策略的名称。 在“描述”框中,描述策略的用途以及何时使用策略。 如果策略在策略集中,则名称和说明将显示在所有指定用户的策略列表中。 个人策略仅对用户和管理员可用。

    名称或说明中不能使用以下字符:

    • 小于号(<)
    • 大于号(>)
    • &符号(&)
    • 单引号(')
    • 多次引号(")
    • 反斜杠()
    • 正斜杠(/)

    如果在名称或说明中使用以下字符,它们将转换为空格:

    • 回车符(ASCII字符13)
    • 新行(ASCII字符10)。
    注意

    可以创建包含扩展字符的策略名称;但是,当在两个字符串之间进行比较时,重音和非重音字符(如“e”和“é”)会被视为相同。 当某人创建策略时,会进行比较以检查是否已存在同名策略。 该比较无法区分除重读字符外相同的名称。 假定策略已添加到数据库,但不添加新策略。

  4. 将用户和用户组添加到策略并设置相应的权限。 (请参阅用户和用户组。)

  5. 在“常规设置”下,选择相应的选项。 (请参阅常规设置。)

  6. (可选)如果适用,请选择外部授权提供程序并指定其属性。 如果不想使用外部授权提供程序,请单击“删除默认提供程序”。

    外部授权提供程序用于设置策略中的属性,当选择该属性时,外部授权提供程序将使用此信息来评估策略。 可用属性由管理员和安装软件的人员配置。

  7. 在“高级设置”下,选择相应的选项。 (请参阅高级设置。)

  8. 在“不可更改的高级设置”下,选择相应的选项。 (请参阅不可更改的高级设置。)

  9. 单击保存。策略将显示在策略列表中。 新策略旁边将显示一个带红色圆圈的图标,表示该策略仍处于禁用状态。

    要向用户提供策略,请启用它。 (请参阅启用或禁用共享策略。)

用户和组

在“用户和用户组”区域,指定有权访问受策略保护的文档的用户。 对于您指定的每个用户或用户组,您还可以设置文档使用权限。

注意

文档发布者是使用策略保护文档的用户。 默认情况下,此用户始终包含在策略中,具有完全访问权限,包括撤销和策略切换功能。 但是,管理员可以更改文档发布者对共享策略的访问权限。 例如,管理员可以限制文档发布者撤销文档访问或切换策略。

添加用户或用户组: 要添加用户或用户组,请单击“添加用户或用户组”,然后单击“高级搜索”以查找用户或用户组。用户包括您组织的内部用户和已注册文档安全的受邀用户。 选择此选项后,将显示“添加用户或用户组”页:

  • 在“查找”框中,键入用户或用户组名称或电子邮件地址。
  • 在使用列表中,选择名称或电子邮件。
  • 在“类型”列表中,选择“用户”或“组”。
  • 从入列表中选择要搜索的域,然后单击查找。
  • 返回结果后,选择要添加的用户或用户组,然后单击“添加”。
注意

如果您输入了正确的受邀用户名或电子邮件地址,但未返回任何结果,则用户可能尚未注册,或者帐户可能会被删除。 您可以尝试将用户添加为受邀用户类型或与管理员联系。

邀请新用户: 要添加受邀用户,请单击“邀请新用户”,在显示的框中键入用户的电子邮件地址,然后单击“邀请”。此选项仅在管理员启用时可用。 当您向策略中添加新的已邀请用户时,如果用户尚未被邀请注册,文档安全性会发送注册邀请电子邮件。 用户必须使用电子邮件中的链接来创建帐户,然后必须激活该帐户。

注册后,受邀用户可以使用他们已授权的策略保护文档。 根据管理员启用的功能,外部用户可能具有将策略应用于文档、创建、编辑和删除策略以及将其他外部用户添加到策略的权限。

添加匿名用户:要 允许匿名用户访问,请单击“添加匿名用户”。仅当管理员启用匿名用户访问以保护文档安全时,此选项才可用。 (请参阅配置文档安全服务器。) 此选项授予每个人访问受此策略保护的文档的权限,而不管他们是否具有文档安全帐户。 如果选择此选项,则无法向策略中添加其他类型的用户。

注意

要允许匿名访问当前没有策略保护的文档,请删除现有策略,然后应用允许匿名访问的策略。 如果切换或更改现有策略,用户仍必须登录才能访问文档。

指定用户和用户组的文档权限

您可以一次为一个用户或用户组指定文档权限,也可以从列表中选择多个用户和用户组,然后使用列标题区域中的选项更改其权限。

默认情况下,所有受策略保护的文档都具有允许用户在联机时打开它们的权限。

“权限和选项”选项卡在文档安全性中显示。

这些文档权限在“权限”选项卡上可用。 您可以将这些权限应用于PDF、PTC Pro/E和Microsoft Office文件。

打印: 允许用户打印受此策略保护的文档。对于Office和Pro/E文件,您可以选中“打印”复选框以允许打印,或清除该复选框以防止打印。 如果选中“显示PDF的自定义权限”复选框,则可以从以下选项中进行选择:

不允许: 用户不允许打印PDF。

允许: 允许用户打印PDF。

低分辨率。仅:​用户可以以低分辨率打印PDF。

修改: 允许用户修改受此策略保护的文档。对于Office和Pro/E文件,您可以选中“修改”复选框以允许修改,或清除该复选框以防止修改。 如果选中“显示PDF的自定义权限”复选框,则可以从以下选项中进行选择:

不允许: 用户不允许修改PDF。

任意: 用户可以修改PDF。

协作: 允许用户使用Adobe Acrobat的“协作”选项与他人协作。此权限允许用户复制表单数据,即使策略中未明确授予“复制”权限也是如此。

更改页 面:允许用户添加和删除页面以及编辑PDF中的内容。

Fill & Sign: 允许用户填写PDF上的表单字段并对其进行签名。

复制: 允许用户从受此策略保护的文档复制文本。

屏幕Reader: 如果选中“显示PDF的自定义权限”复选框,则会显示此权限。选择此选项后,Adobe Acrobat有权向PDF中添加临时标签,以通过屏幕阅读器提高其可读性。

这些文档权限在“选项”选项卡上可用。 可以将这些权限应用于PDF、PTC Pro/E和Microsoft Office文件:

脱机: 允许用户脱机视图受此策略保护的文档。

权限有效性: 选择权限始终有效或设置文档权限有效期。如果选择有效期,请单击日历图标以选择日期,然后使用箭头以24小时格式指定时间。

对于共享策略,管理员可以为文档发布者(将策略应用于文档的用户)禁用以下权限:

撤销:允 许文档发布者撤销文档访问权限。

切换: 允许文档发布者切换策略权限。

常规设置

“常规设置”区域包含以下设置:

有效期: 受策略保护的文档可供授权收件人访问的时间段。您可以从以下有效期选项中进行选择:

文档在以后将无 效:文档在保护文档后的指定天数内可访问。

文档在此日期之后将无 效:从将策略应用于文档的日期开始,直到指定的结束日期,文档才有效。

有效自、至: 文档在您指定的日期期间有效。您可以使用日历来选择日期(如果适用),方法是单击日历图标。

文档始终有效: 文档有效期不会过期。

注意

有效日期基于文档安全系统的时区,而非本地计算机的时区。

审核: 启用或禁用对与受策略保护的事件关联的文档的审核。例如,文档安全性可以记录事件,如尝试打开文档。 已审核事件显示在列表页面的事件中。 如果不选择此选项,文档安全性不会记录与策略关联的文档的事件。

注意

管理员还必须在“审核和隐私设置”配置页上启用服务器审核,才能使审核功能正常工作。

扩展使用跟踪: 启用或禁用扩展使用跟踪。文档安全性支持跟踪与对PDF文件执行的各种操作相关的用户事件。 文档安全对象可以使用Java脚本访问。 按钮单击、正在播放的多媒体文件或保存文件是可以从受策略保护的PDF触发的事件的一些示例。 使用文档安全对象,您还可以检索用户信息。 可以在全局级别或策略级别从事件安全服务器启用文档跟踪。

自动脱机租用期: 收件人可以脱机使用受策略保护的文档的最大天数(没有活动的Internet或网络连接)。租赁期到期后,收件人必须再次同步文档才能继续使用。

外部授权提供程序

如果已配置任何外部身份验证提供程序,请选择这些提供程序。 列出了可用的提供商。

身份验证设置

您可以覆盖您在服务器上配置的身份验证设置,并指定与此策略相关的身份验证选项。 选择“覆盖全局身份验证设置”,然后选择与此策略相关的身份验证选项。 提供以下身份验证选项:

允许用户名密码验 证:选择此选项可使客户端应用程序在连接到服务器时使用用户名/密码验证。

允许Kerberos身份验证:选 择此选项可使客户端应用程序在连接到服务器时使用Kerberos身份验证。

允许客户端证书身份验证: 选择此选项可使客户端应用程序在连接到服务器时使用证书身份验证。

允许扩展身 份验证选择以启用扩展身份验证。选择此选项将使客户端应用程序能够使用扩展身份验证。 扩展身份验证提供了自定义身份验证过程和在文档安全服务器上配置的不同身份验证选项

如果您正在覆盖全局身份验证设置,则可以选择与此策略相关的身份验证选项。 例如,如果已在服务器上启用了三个身份验证选项(用户名和口令、客户端证书和扩展身份验证),则可以覆盖该全局设置并只选择此策略的扩展身份验证。 您必须确保服务器上已配置在此处选择的身份验证选项。 在此示例中,您无法选择Kerberos作为身份验证选项,因为服务器上未配置它。

注意

Apple Mac OS X上支持Adobe Acrobat版本11.0.6及更高版本的扩展身份验证。

高级设置

“高级设置”区域包含以下设置:

动态水 印:选择要在文档页面动态显示的水印(例如,当收件人打印文档时)。动态水印可唯一标识文档,因此有助于确保文档的机密性并防止版权侵权。 例如,管理员可以配置动态水印,该水印显示当前日期、使用文档的用户名或标识符,或用于保护文档的策略名称。 水印还可以显示自定义文本或图形元素(如果已配置)。 管理员配置水印选项,管理员和用户可以将它们应用到策略。

(请参阅配置动态水印。)

如果您正在编辑策略,而管理员删除了您之前为此策略选择的已配置水印,则“编辑策略”页上将显示一个注释。 在这种情况下,如果要保存已编辑的文档,如果希望在文档上显示水印,请选择新水印。

注意

对于提供匿名用户访问的策略,匿名用户的用户名和密码标识符不会显示为水印,即使您选择了此类型的水印。

为PDF仅使用认证的Acrobat插件: 当为策略选择时,此选项指定在打开使用策略保护的文档时,Acrobat 8.0及更高版本必须以认证模式运行。当Acrobat以认证模式运行时,它不会加载任何第三方插件。

如果您担心文档收件人编写能够绕过Acrobat 8.0及更高版本中任何文档保护的插件,请选择此选项。 如果您的文档收件人需要使用Acrobat的第三方插件与文档交互,请勿选择此选项。

此选项仅启用Acrobat 8.0或更高版本中的认证模式;管理员必须禁用对Acrobat 7.0的访问。

(请参阅配置文档安全服务器。)

此选项不适用于Adobe Reader。

访问已拒绝错误消 息:一条消息,对尝试打开受策略保护的文档而未经许可的任何人显示。此消息在Acrobat显示。 无法显示此消息的客户端会显示默认消息,指示拒绝访问。

不可更改的高级设置

“不可更改的高级设置”区域包含以下设置。 保存策略后,无法更改这些设置。

加密算法和密钥长度: 用于保护文档。您可以从以下选项中进行选择:

  • AES 128位
  • AES 256位。 只有Acrobat 9.0及更高版本支持此选项。 要对PDF文件使用AES 256加密,请获取并安装Java加密扩展(JCE)无限强度管辖权策略文件。 这些文件将替换[JAVE_HOME]/lib/security文件夹中的local_policy.jar和US_export_policy.jar文件。 例如,如果您使用Sun JDK 1.6,则将下载的文件复制到[ dep root]/Java/jdk1.6.0_26/lib/security文件夹。 可以从Java SE下载下载这些文件。
  • 无加密。 Acrobat 9.0和更高版本当前支持此选项。 如果选择此选项,则禁用“文档限制”选项。 如果您希望将文档安全性用于文档审核或版本控制,但不想加密文档,则此选项可能很有用。

文档限 制:选择要加密的PDF文档组件。其他客户端应用程序会加密整个文档,但不会加密链接或嵌入的文件。 您可以从以下选项中进行选择:

  • 整个文档,包括其附件和元数据。 关文档及其内容的元数据信息,您可以通过文档属性对话框或Acrobat高级菜单进行视图。在Acrobat,可以将不同类型的文件(例如,文本、音频和视频文件)附加到PDF文档。
  • 文档及其附件,但元数据除外。
  • 仅文档附件。 您可以加密PDF文件的附件,而无需加密文档内容。

启用或禁用共享策略

要使共享策略可用,管理员或策略集协调员必须启用它。 您可以启用新策略或以前禁用的策略。 对于受此策略保护的文档,仍强制使用您禁用的共享策略。

禁用的策略旁边将显示一个红色X。

注意

管理员无法禁用个人策略,用户也无法启用和禁用自己的策略。

  1. 在“文档安全性”页上,单击策略,然后单击策略集选项卡。
  2. 单击相应的策略集名称,然后单击“策略”选项卡。
  3. 选中相应策略旁的复选框,单击“启用”或“禁用”,然后单击“确定”。

视图有关策略的信息

使用“我的策略”选项卡,可以搜索个人策略。

管理员创建的策略集列在“策略”页的“策略集”选项卡上,其中包含有关策略集的信息,包括其名称、创建和修改日期以及说明。 单击策略集名称可查看其详细信息。 有权管理策略的策略集协调员可以在特定策略集中创建共享策略。

创建或编辑策略时,将显示一个页面,您可以在其中配置详细信息,如策略名称、权限级别、机密性设置以及要包含在策略中的收件人。

管理员可以为策略配置以下机密性设置:

  • 一般文档机密性选项,如文档有效期和脱机租用期
  • 授权用户以及这些用户中每个用户的文档限制和权限
  • 高级文档机密性选项,包括动态水印和文档加密

用户可以视图他们创建的策略以及他们有权访问的任何共享策略。 管理员可以视图所有具有文档安全性的共享策略和个人策略。

您可以视图有关列表中显示的策略的更多详细信息,包括策略中包含的用户或用户组以及为这些用户指定的机密性设置。

注意

Acrobat为附加到Microsoft Outlook中电子邮件的收件人自动生成的策略不显示在策略列表中。 您只能通过打开关联视图的“文档详细信息”页面来文档这些策略。

  1. 在文档安全页面上,单击策略,然后单击我的策略选项卡。
  2. 填写搜索信息以搜索个人策略。
  3. 从列表中选择适当的策略。
  4. 在“策略详细信息”页上,可以查看有关策略的详细信息、编辑策略或与策略相关的视图事件。

搜索策略

管理员可以搜索共享策略和其他用户创建的个人策略。

  1. 要搜索共享策略,请单击策略,然后单击策略集选项卡。 单击列表中的策略集,然后单击策略选项卡。

    要搜索个人策略,请在文档安全页面上,单击策略,然后单击我的策略选项卡。

  2. 在“查找”列表中,选择以下选项之一:

    策略ID: 用户创建策略时生成的策略标识号。必须键入确切的策略ID。

    策略名 称:策略的名称。您可以搜索策略名称的一部分或全部。

  3. 在文本框中,键入相应的值。 例如,如果您选择了策略名称,请键入要搜索的策略名称。

  4. 在“显示”列表中,选择要显示的结果数,然后单击“查找”。 将显示搜索结果。

  5. (可选)要视图策略详细信息,请单击策略。

复制策略

您可以复制现有策略并使用新名称和说明进行保存。 复制策略是使用现有设置创建新策略的有效方法。

外部用户只有在管理员启用此功能时才能复制策略。 如果无法创建策略,则复制选项将不可用。

  1. 在文档安全页面上,单击策略,然后单击我的策略选项卡。

  2. 从列表中选择适当的策略。

  3. 在“策略详细信息”页面上,单击复制。

  4. 在“新策略名称”框中,键入新策略名称。 (可选)键入新描述。

    名称或说明中不能使用以下字符:

    • 小于号(<)
    • 大于号(>)
    • &符号(&)
    • 单引号(')
    • 多次引号(")
    • 反斜杠()
    • 正斜杠(/)

    如果在名称或说明中使用以下字符,它们将转换为空格:

    • 回车符(ASCII字符13)
    • 新行(ASCII字符10)。
    注意

    可以创建包含扩展字符的策略名称;但是,当在两个字符串之间进行比较时,重音和非重音字符(如“e”和“é”)会被视为相同。 当某人创建策略时,会进行比较以检查是否已存在同名策略。 该比较无法区分除重读字符外相同的名称。 假定策略已添加到数据库,但不添加新策略。

  5. 单击确定。

删除策略

您可以删除您创建的策略。 管理员可以删除任何用户创建的策略。 策略集协调员可以删除其策略集中的策略。 对于使用该策略保护的文档,仍会强制实施您删除的策略。 一次可以删除多个策略。

只有管理员启用此功能时,被邀请的用户才能删除策略。 如果无法删除策略,则删除选项将不可用。

  1. 在文档安全页上,单击策略。
  2. 单击“我的策略”选项卡。
  3. 要删除共享策略,请单击“策略集”选项卡,然后单击相应的策略集名称。
  4. 选中相应策略旁的复选框,单击“删除”,然后单击“确定”。
注意

必须使用客户端应用程序从文档中删除策略。 (请参阅Acrobat帮助或相应的Acrobat Reader DC扩展帮助。)

对策略列表排序

可以按列标题对策略列表进行排序,以更轻松地查找策略。 列标题旁的三角形图标指示当前用于排序的列。 向上指向的三角形表示升序,而向下指向的三角形表示降序。

  1. 在“文档安全性”页面上,单击“策略”,然后单击“策略集”选项卡。
  2. 选择策略集,然后单击策略选项卡。
  3. 单击相应的列标题。
  4. 要更改排序顺序,请再次单击列。

在此页面上