Протокол LDAP — это Интернет-протокол, который может использоваться программным обеспечением для запросов к службам каталогов, чтобы пользователи легко могли находить других пользователей службы электронной почты в Интернете или корпоративной интрасети.
Сервер Microsoft Exchange Server поддерживает запросы LDAP, позволяя пользователям искать на сервере информацию об адресах. Протокол LDAP можно также использовать для выполнения поиска по ряду глобальных каталогов в Интернете, например, Yahoo!
Сервер Microsoft Exchange Server поддерживает запросы LDAP, позволяя пользователям искать на сервере информацию об адресах. Протокол LDAP можно также использовать для выполнения поиска по ряду глобальных каталогов в Интернете, например, Yahoo!
Усовершенствованная поддержка протокола LDAP в Microsoft Office Outlook 2007 включает возможность отключения определенных видов поиска (просмотр каталогов) по умолчанию и создания настроенных фильтров. Можно настроить процедуру LDAP-поиска с помощью центра развертывания Office или параметров групповой политики. После определения настраиваемых фильтров их можно предоставлять пользователям, настроив разделы реестра или файла профиля Outlook (PRF).
Настройка просмотра каталогов LDAP
Отключение просмотра каталогов
Дополнительные сведения о просмотре каталогов LDAP
Дополнительные сведения о просмотре каталогов LDAP
HKCU\Software\Microsoft\Office\12.0\Outlook\LDAP\DisableVLVBrowsing
Используемые по умолчанию и настроенные фильтры проверки имен
Фильтры LDAP по умолчанию
Определение настроенных фильтров LDAP
(&(mail=*)(|(mail=%s*)(displayName=%s*)(customerID=%s*)В документе RFC по протоколу LDAP определен формат для создания строк фильтров поиска. Дополнительные сведения о построении фильтров LDAP см. в документе RFC по протоколу LDAP (на английском языке). |
Примечание:Имя свойства MAPI | Идентификатор MAPI | Отображаемое имя LDAP |
PR_USER_CERTIFICATE | 3a22 | usercert |
PR_BUSINESS_TELEPHONE_NUMBER_A | 3a08 | telephonenumber |
PR_GIVEN_NAME_A | 3a06 | givenName |
PR_INITIALS_A | 3a0a | initials |
PR_STREET_ADDRESS_A | 3a29 | streetAddress |
PR_LOCALITY_A | 3a27 | l |
PR_STATE_OR_PROVINCE_A | 3a28 | st |
PR_POSTAL_CODE_A | 3a2a | postalCode |
PR_COUNTRY_A | 3a26 | co |
PR_TITLE_A | 3a17 | title |
PR_COMPANY_NAME_A | 3a16 | company |
PR_ASSISTANT_A | 3a30 | msExchAssistantName |
PR_DEPARTMENT_NAME_A | 3a18 | department |
PR_BUSINESS_TELEPHONE_NUMBER_A | 3a08 | telephoneNumber |
PR_HOME_TELEPHONE_NUMBER_A | 3a09 | homePhone |
PR_BUSINESS2_TELEPHONE_NUMBER_A | 3a1b | otherTelephone |
PR_HOME2_TELEPHONE_NUMBER_A | 3a2f | otherHomePhone |
PR_PRIMARY_FAX_NUMBER_A | 3a23 | facsimileTelephoneNumber |
PR_MOBILE_TELEPHONE_NUMBER_A | 3a1c | mobile |
PR_ASSISTANT_TELEPHONE_NUMBER_A | 3a2e | telephoneAssistant |
PR_PAGER_TELEPHONE_NUMBER_A | 3a21 | pager |
PR_COMMENT_A | 3004 | info |
PR_EMS_AB_PROXY_ADDRESSES | 800f | proxyAddresses |
PR_USER_X509_CERTIFICATE | 3a70 | userSMIMECertificate |
PR_EMS_AB_X509_CERT | 8c6a | userCertificate |
По умолчанию в приложении Office Outlook 2007 просмотр каталогов или поиск по представлениям виртуального списка для протокола LDAP отключены, но пользователи могут включить эту возможность.
Можно запретить пользователям просматривать каталоги, настроив параметр в групповой политике.
Можно заблокировать этот параметр, чтобы принудительно отключить просмотр каталогов с помощью шаблона групповой политики Outlook (Outlk12.adm). Или можно настроить параметры по умолчанию с помощью центра развертывания Office, но пользователи в этом случае смогут изменять эти параметры. Параметры центра развертывания Office располагаются в соответствующих местах на странице Modify user settings (Изменение пользовательских настроек) центра развертывания Office.
Шаблон Outlook и другие файлы ADM можно загрузить на странице Административные шаблоны выпуска 2007 системы Office (ADM) (на английском языке) центра загрузки Майкрософт.
Чтобы запретить включение просмотра каталогов для протокола LDAP с помощью групповой политики
- В групповой политике загрузите шаблон Office Outlook 2007 (Outlk12.adm).
- Для настройки отображения результатов в папке Конфигурация пользователя\Административные шаблоны\Microsoft Office Outlook 2007\Разное дважды щелкните параметр Turn on VLV Browsing on LDAP servers (Включить просмотр представлений VLV на LDAP-серверах).
- Щелкните Disabled (Отключено).
- Нажмите кнопку ОК.
В Outlook 2003 просмотр каталогов был включен по умолчанию. Однако при использовании просмотра каталогов пользователи должны пользоваться малыми каталогами LDAP. В приложении Outlook 2003 с пакетом обновления 2 был введен новый раздел реестра, позволяющий отключать поиск по представлениям виртуального списка. В Office Outlook 2007 для управления этой функцией используются те же разделы реестра. Если в среде используются малые каталоги LDAP, и необходима функция просмотра каталогов, то эту функцию можно включить, настроив соответствующий параметр в центре развертывания Office или раздел реестра (чтобы сделать ее параметром по умолчанию) или воспользовавшись групповой политикой (для включения и блокировки этой настройки).
Если этот раздел реестра имеет значение 0, то соответствующий флажок снимается и неактивен, так что пользователи не смогут изменять его состояние.
Если эту настройку не заблокировать, то пользователи смогут включать и отключать эту функцию с помощью флажка, расположенного на вкладке Поиск диалогового окна Каталог Microsoft LDAP в Outlook.
Существующий раздел реестра, с помощью которого выполнялось управление этим параметром протокола LDAP в более ранних версиях приложения Outlook, продолжает заменять характерные для сервера параметры, выбираемые пользователем. Используется следующий раздел реестра:
Если этот раздел реестра имеет значение 1, то соответствующий флажок установлен и неактивен, так что пользователи не смогут изменять его состояние.
В случае отсутствия настраиваемого фильтра проверки имен Outlook применяет следующие используемые по умолчанию фильтры LDAP. Можно определить настраиваемый фильтр (базу поиска), описывающий определенный запрос, выполняющий проверку имен и возвращающий список совпавших записей из каталога LDAP.
Если раздел реестра, предназначенный для настройки фильтра проверки имен, пуст, то приложение Outlook использует фильтр по умолчанию. Используемый фильтр по умолчанию зависит от двух критериев:
- Используется ли сервер службы каталогов Active Directory?
- Был ли запрошен вывод на экран списка обзора или было запрошено имя электронной почты?
Ниже приведены используемые по умолчанию фильтры для каждого сценария:
- Для запросов имени электронной почты с использованием сервера Active Directory:(&(mail=*)(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*)(displayName=%s*))За счет включения значения (mail=*) этот фильтр требует в качестве результата имя электронной почты.
- Для запросов вывода на экран списка обзора (который может включать элементы, не являющиеся именами электронной почты) с использованием сервера Active Directory:(&(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*)(displayName=%s*)))
- Для запросов имени электронной почты с использованием любого иного сервера (кроме сервера Active Directory):(&(mail=*)(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*))
- Для запросов вывода на экран списка обзора с использованием любого иного сервера (кроме сервера Active Directory):(&(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*)))
Можно предоставить настраиваемый фильтр LDAP, чтобы пользователи могли запрашивать дополнительную информацию, предоставляемую через сервер LDAP. Настраиваемый фильтр можно определить с помощью файла профиля Outlook (PRF), а также можно написать строку настраиваемого фильтра непосредственно в профиле Outlook в реестре.
Также можно настроить пустую базу поиска, создав пустой фильтр. Это может быть полезно, чтобы протокол LDAP использовал фильтр по умолчанию, определенный в RootDSE. Пустой фильтр можно создать, удалив соответствующую запись реестра или указав в файле профиля Outlook (PRF) для свойства CheckNames значение "".
Например, используется свойство CustomerID (идентификатор клиента), которое не включено в фильтр по умолчанию. Можно определить следующий настраиваемый фильтр LDAP, чтобы позволить пользователям осуществлять поиск по свойству CustomerID:
Определение пользовательского фильтра с помощью файла PRF
- Откройте файл PRF в текстовом редакторе (например, в Блокноте). Для создания предназначенного для изменения файла PRF по умолчанию используйте центр развертывания Office. Дополнительные сведения см. в разделе Outlook в статье Центр развертывания Office в выпуске 2007 системы Microsoft Office.
- В разделе 4 (содержащем значения по умолчанию для каждой службы) введите CheckNames= в качестве нового свойства, а затем введите в качестве его значения настраиваемый фильтр поиска. Например, введите следующее:&(mail=*)(|(mail=%s*)(displayName=%s*)(customerID=%s*)
- В разделе 6 (содержащем значения сопоставления для свойств профиля) определите свойство CheckNames. В разделе [LDAP Directory] (каталог LDAP) введите следующую новую запись:CheckNames=PT_STRING8,0x6624
- Сохраните файл.
С помощью настроенного файла PRF можно также настроить и другие параметры LDAP. См. раздел Пример: определение параметров LDAP в настраиваемом файле PRF далее в этой теме.
Определение настраиваемого фильтра с помощью реестра
- Запустите редактор реестра и найдите раздел реестра 001e6604.
- Определите новую строку поиска LDAP как значение раздела реестра или замените существующее значение.
- Закройте редактор реестра.
При настройке настраиваемых фильтров полезно знать имена свойств MAPI, соответствующие отображаемым именам LDAP.
Файл PRF можно настроить таким образом, чтобы включить в него параметры LDAP, например, определить настраиваемый фильтр имен или включить возможность вывода списков обзора. Ниже приведен пример файла PRF с несколькими настроенными параметрами протокола LDAP.
Источник: http://technet.microsoft.com/ru-ru/library/cc179232(v=office.12).aspxOffice Customization Tool;
**************************************************************
; Раздел 1 — значения профиля по умолчанию
;**************************************************************
[General] Custom=1
DefaultProfile=Yes
OverwriteProfile=Append
ModifyDefaultProfileIfPresent=TRUE
;**************************************************************
; Раздел 2 — службы профиля
;**************************************************************
[Service List]
Service1=LDAP Directory
;***************************************************************
; Раздел 4 — значения по умолчанию для каждой службы.
;***************************************************************
[Service1]
UniqueService=No
ServerName=ldap.boeing.com
DisplayName=BoeingCorporate
ConnectionPort=389
UseSSL=FALSE
UseSPA=FALSE
EnableBrowsing=1
UserName=
SearchBase=
SearchTimeout=60
MaxEntriesReturned=100
;Здесь определяется значение CheckNames=(&(mail=*)(!(mail=%s*)(customerID=%s*)))
;Здесь определяется, установлен ли логический флаг пользовательской базы поиска
DefaultSearch=1
;***************************************************************
; Раздел 6 — сопоставление свойств профиля ;*************************************************************** [LDAP Directory]
ServiceName=EMABLT
ServerName=PT_STRING8,0x6600
UserName=PT_STRING8,0x6602
UseSSL=PT_BOOLEAN,0x6613
UseSPA=PT_BOOLEAN,0x6615
DisplayName=PT_STRING8,0x3001
ConnectionPort=PT_STRING8,0x6601
SearchTimeout=PT_STRING8,0x6607
MaxEntriesReturned=PT_STRING8,0x6608
EnableBrowsing=PT_BOOLEAN, 0x6622
SearchBase=PT_STRING8,0x6603
CheckNames=PT_STRING8,0x6624
DefaultSearch=PT_LONG, 0x6623
Протокол LDAP — это Интернет-протокол, который может использоваться программным обеспечением для запросов к службам каталогов, чтобы пользователи легко могли находить других пользователей службы электронной почты в Интернете или корпоративной интрасети.
Сервер Microsoft Exchange Server поддерживает запросы LDAP, позволяя пользователям искать на сервере информацию об адресах. Протокол LDAP можно также использовать для выполнения поиска по ряду глобальных каталогов в Интернете, например, Yahoo!
Сервер Microsoft Exchange Server поддерживает запросы LDAP, позволяя пользователям искать на сервере информацию об адресах. Протокол LDAP можно также использовать для выполнения поиска по ряду глобальных каталогов в Интернете, например, Yahoo!
Усовершенствованная поддержка протокола LDAP в Microsoft Office Outlook 2007 включает возможность отключения определенных видов поиска (просмотр каталогов) по умолчанию и создания настроенных фильтров. Можно настроить процедуру LDAP-поиска с помощью центра развертывания Office или параметров групповой политики. После определения настраиваемых фильтров их можно предоставлять пользователям, настроив разделы реестра или файла профиля Outlook (PRF).
Настройка просмотра каталогов LDAP
Отключение просмотра каталогов
Дополнительные сведения о просмотре каталогов LDAP
Дополнительные сведения о просмотре каталогов LDAP
HKCU\Software\Microsoft\Office\12.0\Outlook\LDAP\DisableVLVBrowsing
Используемые по умолчанию и настроенные фильтры проверки имен
Фильтры LDAP по умолчанию
Определение настроенных фильтров LDAP
(&(mail=*)(|(mail=%s*)(displayName=%s*)(customerID=%s*)В документе RFC по протоколу LDAP определен формат для создания строк фильтров поиска. Дополнительные сведения о построении фильтров LDAP см. в документе RFC по протоколу LDAP (на английском языке). |
Имя свойства MAPI | Идентификатор MAPI | Отображаемое имя LDAP |
PR_USER_CERTIFICATE | 3a22 | usercert |
PR_BUSINESS_TELEPHONE_NUMBER_A | 3a08 | telephonenumber |
PR_GIVEN_NAME_A | 3a06 | givenName |
PR_INITIALS_A | 3a0a | initials |
PR_STREET_ADDRESS_A | 3a29 | streetAddress |
PR_LOCALITY_A | 3a27 | l |
PR_STATE_OR_PROVINCE_A | 3a28 | st |
PR_POSTAL_CODE_A | 3a2a | postalCode |
PR_COUNTRY_A | 3a26 | co |
PR_TITLE_A | 3a17 | title |
PR_COMPANY_NAME_A | 3a16 | company |
PR_ASSISTANT_A | 3a30 | msExchAssistantName |
PR_DEPARTMENT_NAME_A | 3a18 | department |
PR_BUSINESS_TELEPHONE_NUMBER_A | 3a08 | telephoneNumber |
PR_HOME_TELEPHONE_NUMBER_A | 3a09 | homePhone |
PR_BUSINESS2_TELEPHONE_NUMBER_A | 3a1b | otherTelephone |
PR_HOME2_TELEPHONE_NUMBER_A | 3a2f | otherHomePhone |
PR_PRIMARY_FAX_NUMBER_A | 3a23 | facsimileTelephoneNumber |
PR_MOBILE_TELEPHONE_NUMBER_A | 3a1c | mobile |
PR_ASSISTANT_TELEPHONE_NUMBER_A | 3a2e | telephoneAssistant |
PR_PAGER_TELEPHONE_NUMBER_A | 3a21 | pager |
PR_COMMENT_A | 3004 | info |
PR_EMS_AB_PROXY_ADDRESSES | 800f | proxyAddresses |
PR_USER_X509_CERTIFICATE | 3a70 | userSMIMECertificate |
PR_EMS_AB_X509_CERT | 8c6a | userCertificate |
По умолчанию в приложении Office Outlook 2007 просмотр каталогов или поиск по представлениям виртуального списка для протокола LDAP отключены, но пользователи могут включить эту возможность.
Можно запретить пользователям просматривать каталоги, настроив параметр в групповой политике.
Можно заблокировать этот параметр, чтобы принудительно отключить просмотр каталогов с помощью шаблона групповой политики Outlook (Outlk12.adm). Или можно настроить параметры по умолчанию с помощью центра развертывания Office, но пользователи в этом случае смогут изменять эти параметры. Параметры центра развертывания Office располагаются в соответствующих местах на странице Modify user settings (Изменение пользовательских настроек) центра развертывания Office.
Шаблон Outlook и другие файлы ADM можно загрузить на странице Административные шаблоны выпуска 2007 системы Office (ADM) (на английском языке) центра загрузки Майкрософт.
Чтобы запретить включение просмотра каталогов для протокола LDAP с помощью групповой политики
- В групповой политике загрузите шаблон Office Outlook 2007 (Outlk12.adm).
- Для настройки отображения результатов в папке Конфигурация пользователя\Административные шаблоны\Microsoft Office Outlook 2007\Разное дважды щелкните параметр Turn on VLV Browsing on LDAP servers (Включить просмотр представлений VLV на LDAP-серверах).
- Щелкните Disabled (Отключено).
- Нажмите кнопку ОК.
В Outlook 2003 просмотр каталогов был включен по умолчанию. Однако при использовании просмотра каталогов пользователи должны пользоваться малыми каталогами LDAP. В приложении Outlook 2003 с пакетом обновления 2 был введен новый раздел реестра, позволяющий отключать поиск по представлениям виртуального списка. В Office Outlook 2007 для управления этой функцией используются те же разделы реестра. Если в среде используются малые каталоги LDAP, и необходима функция просмотра каталогов, то эту функцию можно включить, настроив соответствующий параметр в центре развертывания Office или раздел реестра (чтобы сделать ее параметром по умолчанию) или воспользовавшись групповой политикой (для включения и блокировки этой настройки).
Если этот раздел реестра имеет значение 0, то соответствующий флажок снимается и неактивен, так что пользователи не смогут изменять его состояние.
Если эту настройку не заблокировать, то пользователи смогут включать и отключать эту функцию с помощью флажка, расположенного на вкладке Поиск диалогового окна Каталог Microsoft LDAP в Outlook.
Существующий раздел реестра, с помощью которого выполнялось управление этим параметром протокола LDAP в более ранних версиях приложения Outlook, продолжает заменять характерные для сервера параметры, выбираемые пользователем. Используется следующий раздел реестра:
Если этот раздел реестра имеет значение 1, то соответствующий флажок установлен и неактивен, так что пользователи не смогут изменять его состояние.
В случае отсутствия настраиваемого фильтра проверки имен Outlook применяет следующие используемые по умолчанию фильтры LDAP. Можно определить настраиваемый фильтр (базу поиска), описывающий определенный запрос, выполняющий проверку имен и возвращающий список совпавших записей из каталога LDAP.
Если раздел реестра, предназначенный для настройки фильтра проверки имен, пуст, то приложение Outlook использует фильтр по умолчанию. Используемый фильтр по умолчанию зависит от двух критериев:
- Используется ли сервер службы каталогов Active Directory?
- Был ли запрошен вывод на экран списка обзора или было запрошено имя электронной почты?
Ниже приведены используемые по умолчанию фильтры для каждого сценария:
- Для запросов имени электронной почты с использованием сервера Active Directory:(&(mail=*)(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*)(displayName=%s*))За счет включения значения (mail=*) этот фильтр требует в качестве результата имя электронной почты.
- Для запросов вывода на экран списка обзора (который может включать элементы, не являющиеся именами электронной почты) с использованием сервера Active Directory:(&(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*)(displayName=%s*)))
- Для запросов имени электронной почты с использованием любого иного сервера (кроме сервера Active Directory):(&(mail=*)(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*))
- Для запросов вывода на экран списка обзора с использованием любого иного сервера (кроме сервера Active Directory):(&(|(mail=%s*)(cn=%s*)(sn=%s*)(givenName=%s*)))
Можно предоставить настраиваемый фильтр LDAP, чтобы пользователи могли запрашивать дополнительную информацию, предоставляемую через сервер LDAP. Настраиваемый фильтр можно определить с помощью файла профиля Outlook (PRF), а также можно написать строку настраиваемого фильтра непосредственно в профиле Outlook в реестре.
Также можно настроить пустую базу поиска, создав пустой фильтр. Это может быть полезно, чтобы протокол LDAP использовал фильтр по умолчанию, определенный в RootDSE. Пустой фильтр можно создать, удалив соответствующую запись реестра или указав в файле профиля Outlook (PRF) для свойства CheckNames значение "".
Например, используется свойство CustomerID (идентификатор клиента), которое не включено в фильтр по умолчанию. Можно определить следующий настраиваемый фильтр LDAP, чтобы позволить пользователям осуществлять поиск по свойству CustomerID:
Определение пользовательского фильтра с помощью файла PRF
- Откройте файл PRF в текстовом редакторе (например, в Блокноте). Для создания предназначенного для изменения файла PRF по умолчанию используйте центр развертывания Office. Дополнительные сведения см. в разделе Outlook в статье Центр развертывания Office в выпуске 2007 системы Microsoft Office.
- В разделе 4 (содержащем значения по умолчанию для каждой службы) введите CheckNames= в качестве нового свойства, а затем введите в качестве его значения настраиваемый фильтр поиска. Например, введите следующее:&(mail=*)(|(mail=%s*)(displayName=%s*)(customerID=%s*)
- В разделе 6 (содержащем значения сопоставления для свойств профиля) определите свойство CheckNames. В разделе [LDAP Directory] (каталог LDAP) введите следующую новую запись:CheckNames=PT_STRING8,0x6624
- Сохраните файл.
С помощью настроенного файла PRF можно также настроить и другие параметры LDAP. См. раздел Пример: определение параметров LDAP в настраиваемом файле PRF далее в этой теме.
Определение настраиваемого фильтра с помощью реестра
- Запустите редактор реестра и найдите раздел реестра 001e6604.
- Определите новую строку поиска LDAP как значение раздела реестра или замените существующее значение.
- Закройте редактор реестра.
При настройке настраиваемых фильтров полезно знать имена свойств MAPI, соответствующие отображаемым именам LDAP.
Файл PRF можно настроить таким образом, чтобы включить в него параметры LDAP, например, определить настраиваемый фильтр имен или включить возможность вывода списков обзора. Ниже приведен пример файла PRF с несколькими настроенными параметрами протокола LDAP.
Источник: http://technet.microsoft.com/ru-ru/library/cc179232(v=office.12).aspxOffice Customization Tool;
**************************************************************
; Раздел 1 — значения профиля по умолчанию
;**************************************************************
[General] Custom=1
DefaultProfile=Yes
OverwriteProfile=Append
ModifyDefaultProfileIfPresent=TRUE
;**************************************************************
; Раздел 2 — службы профиля
;**************************************************************
[Service List]
Service1=LDAP Directory
;***************************************************************
; Раздел 4 — значения по умолчанию для каждой службы.
;***************************************************************
[Service1]
UniqueService=No
ServerName=ldap.boeing.com
DisplayName=BoeingCorporate
ConnectionPort=389
UseSSL=FALSE
UseSPA=FALSE
EnableBrowsing=1
UserName=
SearchBase=
SearchTimeout=60
MaxEntriesReturned=100
;Здесь определяется значение CheckNames=(&(mail=*)(!(mail=%s*)(customerID=%s*)))
;Здесь определяется, установлен ли логический флаг пользовательской базы поиска
DefaultSearch=1
;***************************************************************
; Раздел 6 — сопоставление свойств профиля ;*************************************************************** [LDAP Directory]
ServiceName=EMABLT
ServerName=PT_STRING8,0x6600
UserName=PT_STRING8,0x6602
UseSSL=PT_BOOLEAN,0x6613
UseSPA=PT_BOOLEAN,0x6615
DisplayName=PT_STRING8,0x3001
ConnectionPort=PT_STRING8,0x6601
SearchTimeout=PT_STRING8,0x6607
MaxEntriesReturned=PT_STRING8,0x6608
EnableBrowsing=PT_BOOLEAN, 0x6622
SearchBase=PT_STRING8,0x6603
CheckNames=PT_STRING8,0x6624
DefaultSearch=PT_LONG, 0x6623
0 коммент.:
Отправить комментарий