Office 2013 组策略概述

 

适用于: Office 2013, Office 365 ProPlus

上一次修改主题: 2016-12-16

摘要: 使用组策略应用和强制实施 Office 2013 的设置。

目标用户: IT 专业人员

组策略使管理员能够将配置或策略设置应用于 Active Directory 目录服务环境中的用户和计算机。打算使用组策略管理 Office 2013 应用程序的管理员可查看本文以大致了解组策略的概念。有关组策略的详细信息,请参阅 Windows Server 文章组策略概述

本文内容:

  • 本地组策略和基于 Active Directory 的组策略

  • 组策略处理

  • 更改组策略处理 GPO 的方式

  • 管理模板

  • 真实策略与用户首选项

  • 组策略管理工具

  • Office 自定义工具和组策略

本地组策略和基于 Active Directory 的组策略

组策略是一种基础结构,用于向 Active Directory 目录服务 (AD DS) 环境中的一组目标用户和计算机提供一个或多个所需配置或策略设置,并加以应用。

组策略设置包含在组策略对象 (GPO) 中,后者会链接到所选的 Active Directory 容器,如站点、域或组织单位 (OU)。新创建的 GPO 将存储在域中。将 GPO 链接到某个 Active Directory 容器(例如一个 OU)时,相应的链接将成为该 Active Directory 容器的组成部分,而非该 GPO 的组成部分。通过使用 Active Directory 的分层特性,依据受影响的目标,可对 GPO 内的设置进行评估。例如,可以创建一个名为 Office 2013 设置 的 GPO,其中仅含用于 Office 2013 应用程序的配置。然后,可以将该 GPO 应用到特定的站点,以便该站点中包含的用户接收您在 Office 2013 设置 GPO 中指定的 Office 2013 配置。

无论计算机是域的成员还是独立的计算机,每台计算机都有一个本地 GPO 始终得到处理。基于域的 GPO 无法阻止本地 GPO。但是,由于域 GPO 是在本地 GPO 之后进行处理,因此域 GPO 中的设置始终保持优先。

注意注意:
Windows Vista、Windows 7、Windows 8、Windows Server 2008 和 Windows Server 2012 支持管理独立计算机上的多个本地 GPO。有关详细信息,请参阅 Step-by-Step Guide to Managing Multiple Local Group Policy Objects(管理多个本地组策略对象的分步指南)(https://go.microsoft.com/fwlink/p/?LinkId=182215)。

虽然可以在各台计算机上分别配置本地 GPO,但是安装了 Active Directory 的基于 Windows Server 2003、Windows Server 2008 或 Windows Server 2012 的网络最能发挥组策略的优点。

组策略处理

计算机启动时会应用计算机的组策略。用户登录时会应用用户的组策略。除了启动和登录时对组策略进行初始处理外,随后还会定期在后台应用组策略。在后台刷新过程中,只有当客户端扩展检测到其任何 GPO 或 GPO 列表中的服务器发生更改时,才会重新应用策略设置。对于软件安装和文件夹重定向,只有在计算机启动或用户登录过程中才会进行组策略处理。

将按以下顺序处理组策略设置:

  • **本地 GPO:**每台计算机都有存储在本地的 GPO。无论是计算机还是用户组策略,都会进行此 GPO 处理。

  • 站点   接下来处理链接到计算机所属站点的 GPO。处理的顺序是管理员在组策略管理控制台 (GPMC) 中站点的“链接的组策略对象”选项卡上指定的顺序。链接顺序在最后的 GPO 将最后处理,且具有最高优先级。有关如何使用 GPMC 的信息,请参阅本文后面的组策略管理工具。

  •    将按管理员在 GPMC 中域的“链接的组策略对象”选项卡上指定的顺序处理多个域链接的 GPO。链接顺序在最后的 GPO 将最后处理,且具有最高优先级。

  • 组织单位   先处理链接到 Active Directory 层次结构中处于最高位置的 OU 的 GPO,然后处理链接到其子 OU 的 GPO,依此类推。最后处理链接到用户或计算机所属 OU 的 GPO。

处理顺序以下列条件为依据:

  • Windows Management Instrumentation (WMI) 或应用于 GPO 的安全筛选。

  • 可通过使用“强制”选项强制实施任何基于域的 GPO(而非本地 GPO),以使其策略设置无法被覆盖。由于强制 GPO 将最后进行处理,因此其他任何设置都无法覆盖该 GPO 中的设置。如果存在多个强制 GPO,则每个 GPO 中相同的设置可能会设置为不同的值。在这种情况下,GPO 的链接顺序会确定哪个 GPO 包含最终设置。

  • 可以在任何域或 OU 将组策略继承有选择地指定为“阻止继承”。但是,由于始终会应用强制 GPO,并且无法阻止这些 GPO,因此阻止继承不会阻止应用强制 GPO 中的策略设置。

策略继承

对于用户和计算机有效的策略设置是将在站点、域或 OU 应用的 GPO 组合起来的结果。将多个 GPO 应用于这些 Active Directory 容器中的用户和计算机时,将会聚合这些 GPO 中的设置。默认情况下,链接到 Active Directory 中父容器的 GPO 中所部署的设置会继承到子容器,并与链接到子容器的 GPO 中所部署的设置组合。如果多个 GPO 尝试设定一个值存在冲突的策略设置,则优先级最高的 GPO 将设定该设置。与较早处理的 GPO 相比,较迟处理的 GPO 具有较高的优先级。

同步和异步处理

同步进程可以说是一系列进程,其中的一项进程必须在下一项进程开始之前完成运行。由于异步进程的输出结果独立于其他进程,因此它们可以同时运行在不同的线程上。管理员可以使用每个 GPO 的策略设置来更改默认处理行为,以进行异步处理,而不是同步处理。

在同步处理下,所有组策略都必须于 60 分钟内在客户端计算机上完成处理。60 分钟后尚未完成处理的客户端扩展将会收到停止信号。在这种情况下,可能不会完全应用关联的策略设置。

“快速登录优化”功能

默认情况下会为域和工作组成员都设置“快速登录优化”功能。这样,当计算机启动或用户登录时,将会异步应用策略。这种策略应用方式类似于后台刷新。它可以缩短登录对话框显示的时间,以及向用户显示桌面所需花费的时间。

管理员可以使用“计算机启动和登录时总是等待网络”策略设置来禁用“快速登录优化”功能,此策略设置可在组策略对象编辑器的“计算机配置”\“管理模板”\“系统”\“登录”节点中找到。

慢速链接处理

当连接速度低于指定阈值时,将不会处理某些组策略扩展。组策略认定慢速链接的默认值为低于 500 千位/秒 (Kbps) 的任何速度。

组策略刷新间隔

默认情况下,每 90 分钟处理一次组策略,并随机延迟最多 30 分钟,因此最长总刷新间隔最多为 120 分钟。

当您编辑了安全策略设置后,将会按以下计划在 GPO 所链接的 OU 中的计算机上处理策略设置:

  • 在计算机重新启动时刷新。

  • 每 90 分钟在工作站或服务器上刷新,每 5 分钟在域控制器上刷新。

注意注意:
默认情况下,组策略提供的安全策略设置还会每 16 小时(960 分钟)应用一次,即使 GPO 未更改。

触发组策略刷新

对 GPO 所做的更改必须首先复制到适当的域控制器。因此,对组策略设置所做的更改可能不会立即在用户的桌面上生效。在某些方案(比如应用安全策略设置)中,可能必须立即应用策略设置。

管理员可以手动从本地计算机中触发策略刷新,而不必等待自动后台刷新。为此,管理员可以在命令行处键入 gpupdate 以刷新用户或计算机策略设置。您无法使用 GPMC 来触发策略刷新。

gpupdate 命令会在运行该命令的本地计算机上触发后台策略刷新。gpupdate 命令用于 Windows XP、Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server 2008 和 Windows Server 2012 环境。

无法从服务器将组策略的应用按需推送到客户端。

更改组策略处理 GPO 的方式

用于指定哪些用户和计算机从 GPO 接收设置的主要方法是将 GPO 链接到站点、域和 OU。

通过以下任何方法,可以更改处理 GPO 的默认顺序:

  • 更改链接顺序。

  • 阻止继承。

  • 强制 GPO 链接。

  • 禁用 GPO 链接。

  • 使用安全筛选。

  • 使用 Windows Management Instrumentation (WMI) 筛选。

  • 使用环回处理。

更改链接顺序

站点、域或 OU 中的 GPO 链接顺序控制何时应用链接。管理员可以通过更改链接顺序(即在列表中将每个链接上移或下移到适当的位置)来更改链接的优先级。具有较高顺序的链接(1 为最高顺序)对于站点、域或 OU 具有较高的优先级。

阻止继承

通过对域或 OU 应用阻止继承,防止子级 Active Directory 容器自动继承链接到较高站点、域或组织单位的 GPO。

强制 GPO 链接

通过将某个 GPO 链接设置为“强制”,可以指定该链接中的设置优先于任何子对象的设置。从父容器无法阻止强制的 GPO 链接。如果 GPO 包含存在冲突的设置,并且没有从较高级别容器而来的强制设置,则链接到子 OU 的 GPO 中的设置将覆盖位于较高级别父容器的 GPO 链接的设置。通过强制,父 GPO 链接可始终保持优先。默认情况下,不会强制 GPO 链接。

禁用 GPO 链接

通过禁用某个站点、域或 OU 的 GPO 链接,可以完全阻止用户应用该站点、域或 OU 的 GPO。这并不表示会禁用 GPO。如果 GPO 链接到其他站点、域或 OU,则在链接处于启用的状态下,这些站点、域或 OU 会继续处理 GPO。

使用安全筛选

您可以使用安全筛选来缩小 GPO 的范围,以使 GPO 只应用于单一组、用户或计算机。针对 GPO 内的不同设置,无法有选择地使用安全筛选。

只有当用户或计算机通过组成员资格明确或有效地拥有 GPO 的“读取”和“应用组策略”权限时,GPO 才会应用于该用户或计算机。默认情况下,对于包括用户和计算机的 Authenticated Users 组,所有 GPO 的“读取”和“应用组策略” 均设置为“允许”。将新 GPO 应用于 OU、域或站点时,所有授权用户都将通过这种方式收到该 GPO 的设置。

默认情况下,Domain Admins、Enterprise Admins 和 Local System 具有完全控制权限,不包含“应用组策略”访问控制项 (ACE)。管理员也是 Authenticated Users 的成员。这意味着,默认情况下,管理员将收到 GPO 中的设置。可以更改这些权限,以将范围限制为 OU、域或站点内一组特定的用户、组或计算机。

组策略管理控制台 (GPMC) 将这些权限作为单一单位进行管理,并在“GPO 范围”选项卡上显示 GPO 的安全筛选。在 GPMC 中,可以通过安全筛选器的形式,为每个 GPO 添加或删除组、用户和计算机。

使用 Windows 管理规范筛选

使用 Windows Management Instrumentation (WMI) 筛选,将 WMI 查询语言 (WQL) 查询附加到 GPO,可以对 GPO 的应用进行筛选。这些查询可用于对 WMI 进行多项查询。如果查询对所有查询项都返回 true,则 GPO 会应用到目标用户或计算机。

GPO 链接到 WMI 过滤器并在目标计算机上应用,同时会在目标计算机上计算筛选器的值。如果 WMI 过滤器的计算结果为 false,则不应用 GPO(除非客户端计算机运行 Windows 2000,这种情况下将会忽略筛选器并始终应用 GPO)。如果 WMI 过滤器的计算结果为 true,则应用 GPO。

WMI 过滤器是单独的对象,不同于目录中的 GPO。WMI 过滤器必须链接到 GPO 才能应用,并且 WMI 过滤器和它所链接到的 GPO 必须位于同一个域中。WMI 过滤器只存储在域中。每个 GPO 只能有一个 WMI 过滤器。同一个 WMI 过滤器可以链接到多个 GPO。

注意注意:
WMI 是 Microsoft 实施的基于 Web 的企业管理行业计划,它建立了管理基础结构标准,使您可以合并来自各种硬件和软件管理系统的信息。WMI 公开硬件配置数据(如 CPU、内存、磁盘空间和制造商)和软件配置数据(如注册表、驱动程序、文件系统、Active Directory、Windows Installer 服务、网络配置和应用程序数据)。有关目标计算机的数据可用于管理目的,如对 GPO 进行 WMI 筛选。

使用环回处理

使用此功能,可以确保向登录到特定计算机的任何用户应用一致的策略设置集,而不管用户在 Active Directory 中处于什么位置。

环回处理是一个高级组策略设置,在某些管理严密的环境(如服务器、网亭、实验室、教室和接收区)中的计算机上特别有用。通过设置环回,可将应用于计算机的 GPO 中的“用户配置”策略设置应用于登录到该计算机的每位用户,如果是在“替换”模式下,将不会应用该用户的“用户配置”设置,如果是在“合并”模式下,则还会应用该用户的“用户配置”设置。

若要设置环回处理,可以使用“用户组策略环回处理模式”策略设置,在组策略对象编辑器的“计算机配置”\“管理模板”\“系统”\“组策略”下可访问该策略设置。

若要使用环回处理功能,用户帐户和计算机帐户都必须位于运行 Windows Server 2003、Windows Server 2008 或 Windows Server 2012 的域中。环回处理不适用于加入到工作组的计算机。

管理模板

组策略的管理模板扩展由一个用于配置策略设置的 MMC 服务器端管理单元和一个在目标计算机上设置注册表项的客户端扩展组成。管理模板策略也称为基于注册表的策略或注册表策略。

管理模板文件

管理模板文件是一些 XML 文件,包含用于定义选项如何通过组策略对象编辑器和 GPMC 显示的类别和子类别的层次结构。另外,它们还指明策略设置配置所影响的注册表位置,这些设置配置包含策略设置的默认(未配置)、启用、禁用值。这些模板以两种文件版本的形式提供:.admx 和 .adml。.adml 文件是 .admx 文件的特定语言版本。您可以在运行 Windows Vista、Windows 7、Windows 8、Windows Server 2008 或 Windows Server 2012 的计算机上使用 .admx 和 .adml 文件。

管理模板文件的功能有限。.admx 或 .adml 模板文件的目的是启用一个用户界面来配置策略设置。管理模板文件不包含策略设置。策略设置包含在位于域控制器上 Sysvol 文件夹内的 registry.pol 文件中。

管理模板服务器端管理单元提供了一个“管理模板”节点,该节点出现在组策略对象编辑器的“计算机配置”节点和“用户配置”节点下。“计算机配置”下的设置处理计算机的注册表设置。“用户配置”下的设置处理用户的注册表设置。尽管某些策略设置需要简单的 UI 元素(如文本框)来输入值,但大多数策略设置都只包含以下选项:

  • 启用:强制实施该策略。某些策略设置提供了附加选项,可在策略处于激活状态时定义行为。

  • 禁用:为大多数策略设置强制实施与“启用”状态相反的行为。例如,如果“启用”强制将某项功能的状态设置为“关闭”Off,则“禁用”On会强制将该功能的状态设置为“开启”。

  • 未配置:不强制实施策略。大多数设置的默认状态都是“未配置”。

管理模板文件存储在本地计算机上,位置如下表所示。

文件类型 文件夹

.admx

%systemroot%\PolicyDefinitions

.adml

%systemroot%\PolicyDefinitions\<特定语言的文件夹,例如 en-us>

另外,还可以在域控制器上文件夹中的中央存储内存储和使用 .admx 和 .adml 文件,如下表所示。

文件类型 文件夹

.admx

%systemroot%\sysvol\domain\policies\PolicyDefinitions

.adml

%systemroot%\sysvol\domain\policies\PolicyDefinitions\<特定语言的文件夹,例如 en-us>

有关如何在中央存储中存储和使用这些模板的详细信息,请参阅 Group Policy Planning and Deployment Guide(组策略规划和部署指南)中的“组策略和 sysvol”。

用于 Office 2013 的管理模板文件

专用于 Office 2013 的管理模板文件可单独下载,让您能够:

  • 控制从 Office 2013 应用程序到 Internet 的入口点。

  • 管理 Office 2013 应用程序的安全性。

  • 隐藏用户在执行其作业时不需要的设置和选项,以及可能分散用户注意力或导致无用支持呼叫的设置和选项。

  • 在用户的计算机上创建严密管理的标准配置。

若要下载 Office 2013 管理模板,请参阅 Office 2013 组策略管理模板文件(ADMX、ADML)和 Office 自定义工具 (OCT) 文件

Office 2013 管理模板如下表所示。

应用程序 管理模板文件

Access 2013

access15.admx, access15.adml

Excel 2013

excel15.admx、excel15.adml

InfoPath 2013

inf15.admx、inf15.adml

Lync 2013

lync15.admx、lync15.adml

Office 2013

office15.admx、office15.adml

OneNote 2013

onent15.admx、onent15.adml

Outlook 2013

outlk15.admx、outlk15.adml

PowerPoint 2013

ppt15.admx、ppt15.adml

Project 2013

proj15.admx、proj15.adml

Publisher 2013

pub15.admx、pub15.adml

SharePoint Designer 2013

spd15.admx、spd15.adml

Visio 2013

visio15.admx、visio15.adml

Word 2013

word15.admx、word15.adml

重要说明重要说明:
您可以使用组策略管理 Office 2013 的以下版本:
  • 通过批量许可提供的 Office 套件。例如,Office Standard 2013。

  • 通过零售店或批量许可出售的单个 Office 计划。

如果将 Office 作为 Office 365 的一部分进行购买,则你的许可计划可确定你是否可以使用组策略来管理 Office 计划。Office Applications Service Description(Office 应用程序服务说明)列出了支持组策略的 Office 365 计划。

真实策略与用户首选项

管理员可以完全管理的组策略设置称为真实策略。用户可以配置的设置(但可能反映操作系统在安装时的默认状态)称为首选项。真实策略和首选项都包含更改用户计算机注册表的信息。

真实策略

真实策略的注册表值存储在已批准的组策略注册表项下。用户无法更改或禁用这些设置。

对于计算机策略设置:

  • HKEY_LOCAL_MACHINE\Software\Policies(首选位置)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

对于用户策略设置:

  • HKEY_CURRENT_USER\Software\Policies(首选位置)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

对于 Office 2013,真实策略存储在以下注册表位置。

对于计算机策略设置:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0

对于用户策略设置:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\15.0

首选项

首选项由用户设置或操作系统在安装时设置。存储首选项的注册表值位于已批准组策略注册表项的外部。用户可以更改其首选项。

如果使用 GPO 来配置首选项设置,则不会具有系统访问控制列表 (ACL) 限制。因此,用户可在注册表中更改这些值。当 GPO 超出范围(如果取消 GPO 链接、禁用或删除 GPO)时,将不会从注册表中移除这些值。

若要在组策略对象编辑器中查看首选项,请依次单击“管理模板”节点、“查看”和“筛选”,然后清除“只显示能完全管理的策略设置”复选框。

组策略管理工具

管理员可使用以下工具来管理组策略:

  • 组策略管理控制台   用于管理大多数组策略管理任务。

  • 组策略对象编辑器  用于配置 GPO 中的策略设置。

组策略管理控制台

组策略管理控制台 (GPMC) 提供单一工具来管理组策略的核心方面(如范围指定、委派、筛选和处理 GPO 的继承),从而简化了组策略的管理。GPMC 还可用于备份(导出)、还原、导入和复制 GPO。管理员可以使用 GPMC 来预测 GPO 将如何影响网络,并确定 GPO 如何更改了计算机或用户的设置。GPMC 是用于在域环境中管理大多数组策略任务的首选工具。

GPMC 可跨企业提供 GPO、站点、域和 OU 的视图,并可用于管理 Windows Server 2003、Windows Server 2008 和 Windows Server 2012 域。管理员使用 GPMC 来执行所有组策略管理任务,但配置组策略对象中的个别策略设置除外。通过在 GPMC 中打开的组策略对象编辑器,可完成这些配置。

管理员使用 GPMC 来创建没有初始设置的 GPO。此外,管理员还可以创建 GPO,同时将该 GPO 链接到 Active Directory 容器。若要配置某个 GPO 内的个别设置,管理员可以从 GPMC 内使用组策略对象编辑器来编辑该 GPO。组策略对象编辑器显示时会同时加载该 GPO。

管理员可以使用 GPMC 将 GPO 链接到 Active Directory 中的站点、域或 OU。管理员必须链接 GPO 才能将设置应用于 Active Directory 容器中的用户和计算机。

GPMC 包括 Windows 提供的以下“策略的结果集”(RSoP) 功能:

  • 组策略建模   模拟在管理员指定的环境下应用策略设置的情况。管理员可以使用组策略建模来模拟将应用于现有配置的 RSoP 数据,也可以分析对其目录环境进行模拟和假设更改后所产生的效果。

  • 组策略结果   表示应用到计算机和用户的实际策略数据。通过查询目标计算机和检索应用到该计算机的 RSoP 数据,可以获得这些数据。客户端操作系统提供组策略结果功能,操作系统要求是 Windows XP、Windows Vista、Windows 7, Windows 8、Windows Server 2003、Windows Server 2008 或 Windows Server 2012。

组策略对象编辑器

组策略对象编辑器是一个 MMC 管理单元,用于配置 GPO 中的策略设置。组策略对象编辑器包含在 gpedit.dll 中,并随 Windows XP、Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server 2008 和 Windows Server 2012 操作系统一起安装。

若要为不是域成员的本地计算机配置组策略设置,请使用组策略对象编辑器来管理本地 GPO(或运行 Windows Vista、Windows 7、Windows 8、Windows Server 2008 或 Windows Server 2012 的计算机上的多个 GPO)。若要在域环境中配置组策略设置,GPMC(调用组策略对象编辑器)是处理组策略管理任务的首选工具。

组策略对象编辑器为管理员提供了一个分层树结构,用于配置 GPO 中的组策略设置,并且包含以下两个主要节点:

  • 用户配置:包含在用户登录时以及定期进行后台刷新时应用到用户的设置。

  • 计算机配置:包含在计算机启动时以及定期进行后台刷新时应用到计算机的设置。

这两个主要节点又进一步划分为文件夹,其中包含可进行设置的不同类型的策略设置。这些文件夹包括:

  • 软件设置   包含软件安装设置

  • Windows 设置   包含安全设置和脚本策略设置

  • **管理模板:**包含基于注册表的策略设置

GPMC 和组策略对象编辑器的系统要求

组策略对象编辑器是 GPMC 的一部分,在编辑 GPO 时会调用该编辑器。GPMC 可以在 Windows XP、Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server 2008 和 Windows Server 2012 上运行。每个 Windows 操作系统的要求各不相同,具体如下:

有关如何使用 GPMC 和组策略对象编辑器的详细信息,请参阅使用组策略在 Office 2010 中强制启用设置

Office 自定义工具和组策略

管理员可以使用 Office 自定义工具 (OCT) 或组策略来自定义 Office 2013 应用程序的用户配置:

  • Office 自定义工具 (OCT)   使用 OCT 创建安装程序自定义文件(.msp 文件)。管理员可以使用 OCT 对功能进行自定义并配置用户设置。用户可以在安装后更改大多数设置。这是因为 OCT 配置注册表中可公开访问的部分(如 HKEY_CURRENT_USER/Software/Microsoft/Office/15.0)中的设置。在尚未对桌面配置进行集中管理的组织中通常使用此工具。有关详细信息,请参阅 Office 2013 的 Office 自定义工具 (OCT) 参考

  • 组策略   使用组策略配置管理模板中包含的 Office 2013 策略设置,操作系统将强制实施这些策略设置。在 Active Directory 环境中,管理员可以将策略设置应用于组策略对象链接到的站点、域或 OU 中的用户和计算机组。真实策略设置将写入已批准策略注册表项,并且这些设置具有 SACL 限制,可防止非管理员用户更改设置。管理员可以使用组策略来创建管理严密的桌面配置。管理员还可以创建管理宽松的配置来满足其组织的业务和安全性需求。有关 OCT 的详细信息,请参阅 Office 2013 的 Office 自定义工具 (OCT) 参考

另请参阅

规划 Office 2013 的组策略
使用组策略禁用 Office 2013 中的用户界面项和快捷键
Office 2013 组策略管理模板文件(ADMX、ADML)和 Office 自定义工具 (OCT) 文件

Windows Server 组策略
Group Policy Planning and Deployment Guide