建立和管理策略

policy​定義了一組機密設定和可訪問策略所應用文檔的用戶。 策略集​用於對一組具有共同業務目的的策略進行分組。 然後,這些策略集將提供給系統中的用戶子集。 有關策略的詳細資訊,請參閱策略和受策略保護的文檔

策略類型

檔案安全性提供下列類型的原則。

個人政策

使用者可以建立、編輯、複製、刪除並套用其專屬的原則,並設定適合特定情況的設定。 只有建立原則的人員和管理員才能存取該個人原則。 個人策略顯示在「策略」頁的「我的策略」頁籤上。

如果管理員啟用此功能,受邀的使用者也可以建立、編輯、複製和刪除個人原則。

共用原則

管理員和原則集協調者會根據貴組織針對不同類型的檔案和使用者所識別的機密要求,建立共用原則。 共用原則包含在原則集中,可供特定原則集的所有授權使用者(檔案發行者、原則集協調者和檔案收件者)使用。 管理員和原則集協調者可以啟用和停用共用原則。 共用策略顯示在「策略」頁的「策略集」頁籤上的策略集中。

首次安裝Document Security時,它包含一個名為​Restrict to All Principals​的共用原則。 當此原則套用至檔案時,任何可登入檔案保全的使用者都可存取檔案。 此策略位於名為​全局策略集​的策略集中。 預設情況下,不啟用此策略。 如果符合組織的需求,您可以啟用它。

Microsoft Outlook自動產生的原則

使用Acrobat,您可以在Microsoft Outlook中將原則套用至以電子郵件附件形式傳送的檔案。 在Outlook中,您可以使用現有原則或使用Acrobat以預設機密設定產生並套用至電子郵件訊息所附檔案的自動產生原則,來保護檔案。 (請參閱* Acrobat幫助*)。

注意

為了在Outlook中提供策略,您必須將策略設定為Acrobat的最愛。 Outlook中不會顯示所有其他策略,包括您所在的發佈者策略。

誰可以建立和管理策略和策略集

策略和策略集的交互方式取決於您在組織中的角色:

使用者: 使用者可以建立、編輯和刪除其個人原則。如果管理員啟用此功能,受邀的使用者也可以建立個人原則。

策略集協調者: 策略集協調者可以在策略集內建立和管理共用策略,這些策略集被指定為協調者。策略集協調者通常是組織中的專家,他可以在特定策略集中最好地編寫策略。

管理員: 管理員可編輯任何使用者的個人原則。他們可以建立共用原則。 他們還可以建立、編輯和刪除策略集,並指定策略集協調者。

有關各種文檔安全形色的詳細資訊,請參閱關於文檔安全用戶

建立和編輯策略

使用者可建立或編輯個人原則以供自己使用。 管理員和原則集協調者可以為您的組織建立或編輯共用原則。

編輯策略的注意事項

當您編輯原則時,這些變更會影響原則目前所保護的檔案,以及之後該原則所保護的檔案。 例如,如果您從目前套用至檔案的原則中移除收件者,收件者將無法再開啟檔案。

文檔狀態決定更改何時生效:

  • 如果檔案是線上的,則會立即套用變更,除非使用者已開啟檔案。 在這種情況下,用戶必須關閉文檔才能使更改生效。
  • 如果收件者離線使用檔案(例如在膝上型電腦上),則變更會在下次收件者將檔案上線時生效,並透過開啟受原則保護的檔案與檔案安全性同步。
注意

Acrobat為附加到Microsoft Outlook電子郵件的文檔收件人自動生成的策略不會出現在策略清單中。 您只能開啟關聯文檔的「文檔詳細資訊」頁面來查看這些策略。

當您編輯原則時,會套用下列限制:

  • 只有管理員啟用此功能時,受邀的使用者才能編輯原則。 如果無法編輯策略,則「編輯」選項將不可用。
  • 只有策略集協調者具有正確的權限時,才能編輯策略集中的策略。 超級用戶或策略集管理員在Document Security管理員介面中設定這些權限。
  • 如果策略配置了自建立策略後管理員刪除的水印,則如果編輯並保存該策略,此水印將不再應用於文檔。 刪除的水印僅對現有策略有效,只要不編輯該策略。 如果編輯策略,則必須選擇另一個水印來替換刪除的水印。
  • 您無法編輯目前套用的原則,以授與對檔案的匿名存取權。 如果您編輯原則,使用者仍必須登入才能存取檔案。 若要對本檔案套用匿名存取,請先移除用戶端應用程式中的原則,然後套用允許匿名存取的其他原則。
  • Acrobat為附加到Microsoft Outlook電子郵件的文檔收件人自動生成的策略不會顯示在策略清單中。 要訪問此策略,請在「文檔」頁上找到該文檔,開啟「文檔詳細資訊」頁,然後按一下文檔詳細資訊清單中的策略名稱。

建立或編輯原則

  1. 在檔案安全頁面上,按一下「原則」,然後按一下下列其中一個標籤:

    • 要建立或編輯個人策略,請按一下「我的策略」頁籤。
    • 要建立或編輯共用策略,如果您具有權限,請按一下「策略集」頁籤,然後按一下相應的策略集名稱,然後按一下「策略」頁籤。

  2. 按一下「新建」或從清單中選擇要編輯的策略。

  3. 在「名稱」方塊中,輸入唯一識別原則的名稱。 在「說明」方塊中,說明原則的用途及使用時機。 如果策略位於策略集中,則名稱和說明將顯示在所有指定用戶的策略清單中。 個人原則僅供使用者和管理員使用。

    以下字元不能用於名稱或說明:

    • 小於符號(<)
    • 大於符號(>)
    • &符號(&)
    • 單引號(')
    • 雙引號("")
    • 反斜線()
    • 正斜線(/)

    如果在名稱或說明中使用下列字元,則會將其轉換為空格:

    • 歸位(ASCII字元13)
    • 新行(ASCII字元10)。
    注意

    您可以建立包含擴充字元的原則名稱;但是,在兩個字串之間進行比較時,重音和非重音字元(例如「e」和「é」)會被視為相同。 當某人建立策略時,會進行比較以檢查是否存在同名策略。 此比較無法區分除重音字元外相同的名稱。 假定已將策略添加到資料庫中,且不添加新策略。

  4. 將使用者和群組新增至原則並設定適當的權限。 (請參閱使用者和群組)。

  5. 在「一般設定」下,選取適當的選項。 (請參閱一般設定)。

  6. (可選)如果適用,請選擇外部授權提供者並指定其屬性。 如果您不想使用外部授權提供者,請按一下「移除預設提供者」。

    外部授權提供者用來設定原則內的屬性,當選取時,外部授權提供者會使用此資訊來評估原則。 可用屬性由管理員和安裝軟體的人員配置。

  7. 在「進階設定」下,選取適當的選項。 (請參閱進階設定)。

  8. 在「不可更改的高級設定」下,選擇相應的選項。 (請參閱不可更改的高級設定。)

  9. 按一下「儲存」。策略將出現在策略清單中。 新策略旁邊會出現一個帶有紅色圓圈的表徵圖,表示該表徵圖仍處於禁用狀態。

    若要讓原則可供使用者使用,請啟用它。 (請參閱啟用或禁用共用策略。)

使用者和群組

在「使用者和群組」區域中,您指定可存取受原則保護之檔案的使用者。 對於您指定的每個用戶或組,您也可以設定文檔使用權限。

注意

文檔發佈者是使用策略保護文檔的用戶。 預設情況下,該用戶始終包含在策略上,具有完全訪問權限,包括撤銷和策略切換功能。 不過,管理員可以變更檔案發行者對共用原則的存取權限。 例如,管理員可以限制檔案發佈者撤銷檔案存取權或切換原則。

新增使用者或群組:若 要新增使用者或使用者群組,請按一下「新增使用者或群組」,然後按一下「進階搜尋」以尋找使用者或群組。使用者包括貴組織的內部使用者和已透過檔案安全性註冊的受邀使用者。 當您選取此選項時,會顯示「新增使用者或群組」頁面:

  • 在「尋找」方塊中,輸入使用者或群組名稱或電子郵件地址。
  • 在「使用」清單中,選擇「名稱」或「電子郵件」。
  • 在「類型」清單中,選擇「用戶」或「組」。
  • 從「在」(In)清單中選擇要搜索的域,然後按一下「查找」(Find)。
  • 傳回結果時,選取要新增的使用者或群組,然後按一下「新增」。
注意

如果您輸入正確的受邀使用者名稱或電子郵件地址,但未傳回任何結果,使用者可能尚未註冊,或者帳戶可能會被刪除。 您可以嘗試將使用者新增為已邀請的使用者類型,或聯絡您的管理員。

邀請新使用者: 若要新增已邀請的使用者,請按一下「邀請新使用者」,在出現的方塊中輸入使用者的電子郵件地址,然後按一下「邀請」。此選項僅在管理員啟用時才可用。 當您將新的受邀使用者新增至原則時,如果尚未邀請使用者註冊,檔案安全性會傳送註冊邀請電子郵件。 使用者必須使用電子郵件中的連結來建立帳戶,然後才能啟動帳戶。

在註冊後,受邀的使用者可以使用他們具有授權的受原則保護檔案。 根據管理員啟用的功能,外部用戶可能具有將策略應用於文檔、建立、編輯和刪除策略以及將其他外部用戶添加到策略的權限。

新增匿名使用者:若要 允許匿名使用者存取,請按一下「新增匿名使用者」。只有在管理員啟用匿名使用者存取檔案安全性時,才可使用此選項。 (請參閱設定Document Security伺服器。) 此選項可授予每個人存取受此原則保護之檔案的權限,不論他們是否擁有檔案保全帳戶。 如果您選取此選項,則無法將其他類型的使用者新增至原則。

注意

若要允許匿名存取目前沒有受原則保護的檔案,請移除現有原則,然後套用允許匿名存取的原則。 如果您切換或變更現有原則,使用者仍必須登入才能存取檔案。

指定使用者和群組的檔案權限

您可以一次指定一個使用者或群組的檔案權限,也可以從清單中選取多個使用者和群組,並使用欄標題區域中的選項來變更其權限。

依預設,所有受原則保護的檔案都具有允許使用者線上上時開啟的權限。

「權限」和「選項」標籤會以檔案安全性顯示。

「權限」標籤上提供這些檔案權限。 您可以將這些權限套用至PDF、PTC Pro/E和Microsoft Office檔案。

列印: 允許使用者列印受此原則保護的檔案。對於Office和Pro/E檔案,您可以選擇「打印」複選框以允許打印,或者清除該複選框以防止打印。 如果您選取「顯示PDF的自訂權限」核取方塊,您可以從下列選項中選取:

不允許: 使用者不允許列印PDF。

允許: 使用者可列印PDF。

低解析度。僅限:​使用者可以低解析度列印PDF。

修改: 允許用戶修改使用此策略保護的文檔。對於Office和Pro/E檔案,您可以選擇「修改」(Modify)複選框以允許修改,或清除該複選框以防止修改。 如果您選取「顯示PDF的自訂權限」核取方塊,您可以從下列選項中選取:

不允許: 使用者不允許修改PDF。

任意:使 用者可修改PDF。

協作:使 用Adobe Acrobat的「協作」選項,可讓使用者與他人協作。即使未在原則中明確指定「複製」權限,此權限仍允許使用者複製表單資料。

變更頁面: 使用者可以新增和移除頁面,以及編輯PDF中的內容。

Fill & Sign: 使用者可填寫PDF上的表格欄位並簽署。

複製: 允許使用者複製使用此原則所保護之檔案的文字。

螢幕Reader: 如果您選取「顯示PDF的自訂權限」核取方塊,就會顯示此權限。選取此選項時,Adobe Acrobat有權在PDF中新增暫存標籤,以透過螢幕閱讀程式改善其可讀性。

「選項」(Options)頁籤上提供了這些文檔權限。 您可以將這些權限套用至PDF、PTC Pro/E和Microsoft Office檔案:

離線: 允許使用者離線檢視使用此原則保護的檔案。

權限有效性: 選擇權限始終有效或設定文檔權限有效期。如果您選取有效期間,請按一下日曆圖示以選取日期,並使用箭頭以24小時格式指定時間。

對於共用策略,管理員可以禁用文檔發佈者(將策略應用於文檔的用戶)的以下權限:

Revoke:允 許檔案發行者撤銷檔案存取權限。

切換: 允許文檔發佈者切換策略權限。

一般設定

「一般設定」區域包含下列設定:

有效期: 授權收件者可存取受原則保護檔案的時段。您可以從以下有效期間選項中選擇:

文檔在以後將無效:從 保護文檔開始,文檔在指定的天數內可以訪問。

文檔在此日期之後將無效: 從將策略應用到文檔的日期到指定的結束日期,該文檔即有效。

有效自、至: 文檔在您指定的日期期間有效。您可以按一下日曆圖示,使用日曆來選擇日期(如適用)。

檔案始終有效:文 件有效期不會過期。

注意

有效日期是根據檔案安全系統的時區而定,而非您本機電腦的時區。

審核: 啟用或禁用對與受原則保護的文檔相關聯的事件的審核。例如,檔案安全性可以記錄事件,例如嘗試開啟檔案。 已審計事件將出現在「事件」頁面的清單中。 如果您未選取此選項,檔案安全性不會記錄與原則相關之檔案的事件。

注意

管理員還必須在「審計和隱私設定」配置頁上啟用伺服器審計,以使審計功能工作。

延伸使用追蹤:啟 用或停用延伸使用追蹤。檔案安全性支援追蹤與在PDF檔案上執行之各種作業相關的使用者事件。 可以使用Java Script訪問文檔安全對象。 按一下按鈕、播放的多媒體檔案或儲存檔案是可從受原則保護的PDF引發的事件的一些範例。 使用Document Security物件,您也可以擷取使用者資訊。 事件的跟蹤可以在全局級別或策略級別從文檔安全伺服器啟用。

自動離線租用期間:收 件者離線使用受原則保護檔案(沒有作用中網際網路或網路連線)的最大天數。當租賃期到期時,收件者必須再次同步檔案,才能繼續使用。

外部授權服務提供者

如果您已經配置了任何,請選擇外部驗證提供程式。 列出可用的提供者。

驗證設定

您可以覆寫您在伺服器上設定的驗證設定,並指定與此原則相關的驗證選項。 選擇覆蓋全局驗證設定,然後選擇與此策略相關的驗證選項。 下列驗證選項可用:

允許用戶名密碼驗 證:選擇此選項可使客戶端應用程式在連接到伺服器時使用用戶名/密碼驗證。

允許Kerberos驗證:選 擇此選項可使客戶端應用程式在連接到伺服器時使用Kerberos驗證。

允許客戶端證書驗證:選 擇此選項可使客戶端應用程式在連接到伺服器時使用證書驗證。

允許擴展驗 證選擇以啟用擴展驗證。選擇此選項可讓客戶端應用程式使用擴展身份驗證。 擴充驗證提供自訂驗證程式和Document Security伺服器上設定的不同驗證選項

如果您正在覆蓋全局驗證設定,則可以選擇與此策略相關的驗證選項。 例如,如果您在伺服器上啟用了三個驗證選項(使用者名稱和密碼、用戶端憑證和延伸驗證),則可以覆寫該全域設定,並僅選取此原則的延伸驗證。 您必須確保您在此處選擇的驗證選項已在伺服器上配置。 在此示例中,不能選擇Kerberos作為驗證選項,因為它未在伺服器上配置。

注意

Apple Mac OS X上支援Extended驗證(含Adobe Acrobat版本11.0.6及更新版本)。

進階設定

「進階設定」區域包含下列設定:

動態水印: 選取要動態顯示在檔案頁面上的水印(例如,當收件者列印檔案時)。動態水印可唯一識別檔案,因此有助於確保檔案的機密性並防止版權侵權。 例如,管理員可以設定動態水印,以顯示目前日期、使用檔案之人員的使用者名稱或識別碼,或用來保護檔案的原則名稱。 浮水印也可以顯示自訂文字或圖形元素(如果已設定)。 管理員可設定浮水印選項,管理員和使用者可將它們套用至原則。

(請參閱設定動態浮水印)。

如果您正在編輯策略,而管理員刪除了先前為此策略選擇的已配置水印,則「編輯策略」頁上將顯示一個注釋。 在這種情況下,如果要保存已編輯的文檔,如果要在文檔上顯示水印,請選擇新水印。

注意

對於提供匿名用戶訪問的策略,匿名用戶的用戶名和標識符不會顯示為水印,即使您選擇了此類水印。

PDF僅使用認證的Acrobat外掛程式:在選取原則時,此選項會指定在開啟使用原則保護的檔案時,Acrobat 8.0及更新版本必須以認證模式執行。 當Acrobat以認證模式執行時,將不會載入任何協力廠商外掛程式。

如果您擔心檔案收件者撰寫外掛程式,可規避Acrobat 8.0及更新版本中任何檔案保護,請選取此選項。 如果您的檔案收件者需要使用Acrobat的協力廠商外掛程式來與檔案互動,請勿選取此選項。

此選項僅啟用Acrobat 8.0或更高版本中的認證模式;管理員必須禁用Acrobat 7.0的訪問權。

(請參閱配置Document Security Server。)

此選項不適用於Adobe Reader。

存取拒絕錯誤訊息: 任何嘗試在未經允許的情況下開啟受原則保護檔案的人,都會看到的訊息。此消息在Acrobat出現。 無法顯示此訊息的用戶端會顯示預設訊息,指出存取遭拒。

不可更改的高級設定

「不可更改的高級設定」區域包含以下設定。 儲存原則後,您無法變更這些設定。

加密演算法和金鑰長度: 用於保護檔案。您可以從下列選項中選擇:

  • AES 128位元
  • AES 256位元。 只有Acrobat 9.0及更新版本支援此選項。 若要針對PDF檔案使用AES 256加密,請取得並安裝Java加密擴充功能(JCE)「無限制強度管轄區」原則檔案。 這些檔案會取代[JAVE_HOME]/lib/security資料夾中的local_policy.jar和US_export_policy.jar檔案。 例如,如果您使用Sun JDK 1.6,請將下載的檔案複製到[ dep root]/Java/jdk1.6.0_26/lib/security資料夾。 您可以從Java SE下載下載這些檔案。
  • 無加密。 Acrobat 9.0和更新版本目前支援此選項。 如果您選取此選項,「檔案限制」選項會停用。 如果您想要使用檔案安全性進行檔案稽核或版本控制,但不想加密檔案,這個選項可能會很有用。

檔案限制: 選擇要加密的PDF檔案元件。其他客戶端應用程式會加密整個文檔,但不會加密連結或嵌入的檔案。 您可以從下列選項中選擇:

  • 整份檔案,包括其附件和中繼資料。 關文檔及其內容的元資料資訊,您可以通過文檔「屬性」對話框或「Acrobat高級」菜單查看這些資訊。在Acrobat,您可以將不同類型的檔案(例如文字、音訊和視訊檔案)附加至PDF檔案。
  • 文檔及其附件,但不包括元資料。
  • 僅文檔附件。 您可以加密PDF檔案的附件,而不需加密檔案內容。

啟用或禁用共用策略

要使共用策略可用,管理員或策略集協調員必須啟用它。 您可以啟用新策略或先前停用的策略。 您停用的共用原則仍會針對受該原則保護的檔案強制執行。

禁用的策略旁邊會顯示一個紅色X。

注意

管理員無法禁用個人策略,用戶也無法啟用和禁用自己的策略。

  1. 在文檔安全頁上,按一下策略,然後按一下策略集頁籤。
  2. 按一下相應的策略集名稱,然後按一下「策略」頁籤。
  3. 選擇相應策略旁的複選框,按一下啟用或禁用,然後按一下確定。

查看有關策略的資訊

使用「我的策略」頁籤,可以搜索個人策略。

管理員建立的策略集列在「策略」頁的「策略集」頁籤上,其中包含有關策略集的資訊,包括其名稱、建立和修改的日期以及說明。 按一下策略集名稱可查看其詳細資訊。 具有管理策略權限的策略集協調者可以在特定策略集中建立共用策略。

當您建立或編輯原則時,會顯示一個頁面,您可在其中設定詳細資訊,例如原則名稱、權限層級、機密設定,以及要包含在原則中的收件者。

管理員可以為策略配置以下機密設定:

  • 一般檔案機密選項,例如檔案有效期和離線租用期
  • 授權使用者,以及每個使用者的檔案限制和權限
  • 進階的檔案機密選項,包括動態水印和檔案加密

用戶可以查看他們建立的策略以及他們有權訪問的任何共用策略。 管理員可以檢視所有檔案保全中的共用和個人原則。

您可以檢視清單中出現之原則的詳細資訊,包括原則中包含的使用者或群組,以及為這些使用者指定的機密設定。

注意

Acrobat為附加到Microsoft Outlook電子郵件的文檔收件人自動生成的策略不會出現在策略清單中。 您只能開啟關聯文檔的「文檔詳細資訊」頁面來查看這些策略。

  1. 在文檔安全頁上,按一下策略,然後按一下我的策略頁籤。
  2. 填寫搜尋資訊以搜尋個人政策。
  3. 從清單中選擇適當的策略。
  4. 在「策略詳細資訊」頁上,您可以查看有關策略的詳細資訊、編輯策略或查看與策略相關的事件。

搜索策略

管理員可以搜尋共用原則以及其他使用者建立的個人原則。

  1. 要搜索共用策略,請按一下策略,然後按一下策略集頁籤。 按一下清單中的策略集,然後按一下「策略」頁籤。

    要搜索個人策略,請在文檔安全頁上按一下策略,然後按一下我的策略頁籤。

  2. 在「尋找」清單中,選取下列其中一個選項:

    策略ID: 用戶建立策略時生成的策略標識號。您必須鍵入確切的策略ID。

    策略名稱: 策略的名稱。您可以搜尋部分或全部原則名稱。

  3. 在文字方塊中,輸入對應的值。 例如,如果您選擇了策略名稱,請鍵入要搜索的策略名稱。

  4. 在「顯示」(Display)清單中,選擇要顯示的結果數,然後按一下「查找」(Find)。 將顯示搜索結果。

  5. (可選)要查看策略詳細資訊,請按一下策略。

複製策略

您可以複製現有策略,並使用新名稱和說明來保存它。 複製原則是使用現有設定建立新原則的有效方式。

只有管理員啟用此功能時,外部用戶才能複製策略。 如果無法建立策略,則「複製」選項將不可用。

  1. 在文檔安全頁上,按一下策略,然後按一下我的策略頁籤。

  2. 從清單中選擇適當的策略。

  3. 在「策略詳細資訊」頁上,按一下複製。

  4. 在「新策略名稱」框中,鍵入新策略名稱。 (可選)鍵入新的「說明」。

    以下字元不能用於名稱或說明:

    • 小於符號(<)
    • 大於符號(>)
    • &符號(&)
    • 單引號(')
    • 雙引號("")
    • 反斜線()
    • 正斜線(/)

    如果在名稱或說明中使用下列字元,則會將其轉換為空格:

    • 歸位(ASCII字元13)
    • 新行(ASCII字元10)。
    注意

    您可以建立包含擴充字元的原則名稱;但是,在兩個字串之間進行比較時,重音和非重音字元(例如「e」和「é」)會被視為相同。 當某人建立策略時,會進行比較以檢查是否存在同名策略。 此比較無法區分除重音字元外相同的名稱。 假定已將策略添加到資料庫中,且不添加新策略。

  5. 按一下「確定」。

刪除策略

您可以刪除您建立的策略。 管理員可以刪除任何用戶建立的策略。 策略集協調者可以刪除其策略集中的策略。 您刪除的原則仍會針對使用該原則受保護的檔案強制執行。 一次可以刪除多個策略。

只有管理員啟用此功能時,受邀的使用者才能刪除原則。 如果無法刪除策略,將無法使用刪除選項。

  1. 在檔案安全性頁面上,按一下「原則」。
  2. 按一下「我的策略」頁籤。
  3. 要刪除共用策略,請按一下「策略集」頁籤,然後按一下相應的策略集名稱。
  4. 選擇相應策略旁的複選框,然後按一下「刪除」,然後按一下「確定」。
注意

您必須使用客戶端應用程式從文檔中刪除策略。 (請參閱「Acrobat說明」或適當的Acrobat Reader DC擴充功能說明。)

排序策略清單

您可以按列標題對策略清單進行排序,以更輕鬆地查找策略。 欄標題旁的三角形圖示指出目前使用哪一欄進行排序。 向上三角形表示升序,向下三角形表示降序。

  1. 在文檔安全頁上,按一下策略,然後按一下策略集頁籤。
  2. 選擇策略集,然後按一下策略頁籤。
  3. 按一下適當的欄標題。
  4. 要更改排序順序,請再次按一下列。

本頁內容