规划组策略
更新时间: 2007年3月
应用到: Office Resource Kit
上一次修改主题: 2008-11-18
在基于 Active Directory 的环境中,管理员可以使用 2007 Microsoft Office system 应用程序的组策略设置集中管理下面这些任务:
设置 2007 Office system应用程序的安全选项。例如,管理员可以指定策略设置以管理:
受信任位置和受信任发布者
2007 Office system中的 Internet Explorer 功能控制设置
2007 Office system中的隐私选项
2007 Office system中的文档保护设置
2007 Office system中的阻止文件格式设置
管理 Microsoft Office Outlook 2007 的安全和配置设置。例如,管理员可以指定策略设置以管理下面这些方面:
“缓存 Exchange 模式”选项
自定义附件设置
“Outlook 安全模式”的选项,以指定 Outlook 中强制实施的安全设置
Outlook 2007 文件夹主页的安全性
自定义编程安全设置
自定义 ActiveX 和自定义表单安全设置
Outlook 2007 的受信任加载项
垃圾邮件筛选器设置
Outlook 个人文件夹 (PST) 和脱机文件夹 (OST) 文件设置;例如,若要限制 PST 文件大小,请指定 PST 和 OST 文件等等的默认位置
真正简单的整合 (RSS)、即时消息传递集成选项、Internet 日历选项和会议工作区设置
即时搜索、类别、搜索文件夹选项、Unicode 选项、邮件编码选项以及轻型目录访问协议 (LDAP) 目录浏览和自定义筛选器选项的 Outlook 功能自定义
禁用 Outlook 用户界面项目
指定 Microsoft Office Word 2007、Microsoft Office Excel 2007 和 Microsoft Office PowerPoint 2007 的默认文件保存选项。管理员还可以配置默认的文件格式策略设置,以指定使用 Access 2007 还是 Access 2002-2003,以及是否转换旧版数据库。
控制对组织很重要的设置。例如,管理员可以将 2007 Office system应用程序的默认文件格式设置为旧版格式,直到其组织中的所有客户端都可以读取 Open XML 格式为止。
限制对 2007 Office system用户界面项目的访问。例如,管理员可以禁用 Office 应用程序的命令、菜单项和快捷键。
指定策略设置以强制实施 Office 的默认语言设置。
在组织中提供 2007 Office system用户界面应用程序设置的标准配置。
在组织中提供高度受限或轻度管理的 2007 Office system应用程序配置。
本主题讨论部署基于组策略的解决方案的规划过程。
规划用组策略管理 2007 Office 应用程序
规划部署基于组策略的解决方案包括以下几个步骤:
定义业务目标和安全要求。
评估当前的环境。
根据业务和安全要求设计托管配置。
确定解决方案对应用程序的作用范围。
规划测试和分阶段运行,并部署组策略解决方案。
使主要负责人参与解决方案的规划和部署。
定义业务目标和安全要求
确定具体的业务和安全要求,并确定组策略如何才能帮助您管理 2007 Office system应用程序的标准配置。确定用组策略为其管理 Office 设置的资源(用户和计算机的组),并定义项目的范围。
评估当前的环境
检查当前如何执行与 Microsoft Office 应用程序配置相关的管理任务,以帮助确定要使用何种类型的 Office 策略设置。记录当前的做法和要求。将使用此信息帮助设计托管配置(在下一步中)。要包括的项目有:
现有的企业安全策略和其他安全要求。确定将哪些位置和发布者视为安全的。评估对管理 Internet Explorer 功能控制设置、文档保护、隐私选项和阻止文件格式设置的要求。
组织的邮件要求。评估对于用组策略为 Office Outlook 2007 配置用户界面设置以及病毒防护和其他安全设置的要求。
组策略还提供用于限制 PST 文件大小的设置,这样可以提高工作站上的性能。
用户在各种类型用户角色方面对 Office 应用程序的要求。这一点很大程度上取决于用户的工作要求和组织的安全要求。
确定对 Microsoft Office Word 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007 和 Microsoft Access 2007 要使用的默认文件保存选项。
确定针对 2007 Office system用户界面项目向各个用户组设置的访问限制的类型,其中包括禁用命令、菜单项和快捷键。
在混合环境中,确定运行 Windows Vista 的计算机。
.gif "Note")
注意只能 从运行组策略对象编辑器或组策略管理控制台的基于 Windows Vista 或基于 Windows Server 2008 的管理计算机上管理基于 Windows Vista 或基于 Windows Server 2008 的新策略设置。只能在 ADMX 文件中定义这些策略设置,而上述工具的 Windows Server 2003、Windows XP 或 Windows 2000 版本上并不公开这些策略设置。管理员必须从基于 Windows Vista 或基于 Windows Server 2008 的管理计算机上使用组策略对象编辑器配置基于 Windows Vista 的新组策略设置。就 Office 2007 而言,.adm 和 ADMX 文件中所包含的策略设置是相同的。 有关在 Vista 中管理 ADMX 文件的详细信息,请参阅 Microsoft TechNet 网站上的管理组策略 ADMX 文件分步指南(该链接可能指向英文页面)。
如果考虑使用此部署方法,则请确定与软件安装有关的问题。虽然组策略可用于在安装了 Active Directory 的小型组织中安装软件应用程序,但还是有些局限,因而必须确定此方法对部署要求而言是否为合适的解决方案。有关详细信息,请参阅使用组策略软件安装来部署 2007 Office system 的“部署注意事项”部分。
注意如果在复杂或快速变化的环境中管理大量客户端,则建议在大中型组织中安装和维护 2007 Office 版本时使用 Microsoft Systems Management Server 这一方法。Microsoft Systems Management Server 提供了额外的功能,包括清单、日程安排和报告功能。有关使用 Microsoft Systems Management Server 部署 2007 Office 版本的信息,请参阅使用 Systems Management Server 2003 部署 2007 Office system。 在 Active Directory 环境中部署 2007 Office system的另一种选择是使用组策略计算机启动脚本。有关此方法的详细信息,请参阅使用组策略为 2007 Office 部署分配计算机启动脚本。
确定何时使用组策略设置强制实施 Office 应用程序功能或选项的配置,以及何时用 Office 自定义工具 (OCT) 设置选项。尽管组策略和 OCT 都可用于为 2007 Office 版本应用程序自定义用户配置,但二者有着重大差异。
组策略用于配置包含在管理模板中的 2007 Office 版本策略设置,而操作系统强制实施这些策略设置。这些设置具有访问控制列表 (ACL),可以防止非管理员用户更改这些设置。使用组策略配置要强制实施的设置。
OCT 用于创建安装程序自定义文件(MSP 文件)。管理员可以使用 OCT 对功能进行自定义并配置用户设置。用户可以在安装后修改大多数设置。建议仅对首选或默认设置使用 OCT。
有关详细信息,请参阅组策略概述 (2007 Office system) 中的 Office 自定义工具和组策略。
确定何时使用本地组策略配置 Office 设置。在拥有不属于 Active Directory 域的独立计算机的环境中,管理员可以使用本地组策略来控制设置。虽然可以在各台计算机上分别配置本地组策略对象,但最能体现组策略优点的环境是安装了 Active Directory 的基于 Windows 2000 或 Windows Server 2003 的网络中。
Windows Vista 和 Windows Server 2008 支持在独立计算机上管理多个本地组策略对象 (GPO)。管理在单台计算机上涉及共享计算的环境(如图书馆或计算机实验室)时可以使用多个 GPO。可以向本地用户或内置组分配多个本地 GPO。有关本地 GPO 和多本地 GPO 功能的详细信息,请参阅组策略概述 (2007 Office system) 中的本地组策略和基于 Active Directory 的组策略和组策略处理 以及 Microsoft TechNet 网站上的管理多个本地组策略对象的分步指南(该链接可能指向英文页面)。
根据业务和安全要求设计托管配置
了解业务要求、安全、网络、IT 要求和组织当前的 Office 应用程序管理做法,有助于为组织中的用户确定管理 Office 应用程序所采用的相应策略设置。在评估当前环境的步骤中收集的信息有助于设计组策略目标。
定义使用组策略管理 Office 应用程序的配置要达到的目标时,请确定以下各项:
每个 GPO 的用途。
每个 GPO 的所有者,即负责管理 GPO 的人员。
要使用的 GPO 数量。请牢记,应用于计算机的 GPO 数量影响启动时间,而应用于用户的 GPO 数量影响登录到网络所需的时间。链接到用户的组策略对象越多(尤其是这些 GPO 中的设置越多),则用户登录时处理 GPO 所花时间就越长。如果为用户设置了“读取”和“应用”这两种组策略权限,则在登录过程中将应用用户的站点、域和组织单位 (OU) 层次结构中的每个 GPO。
要将每个 GPO 链接到的适当 Active Directory 容器(站点、域或 OU)。
要安装的 Office 应用程序的位置(如果用组策略软件安装来部署 2007 Office system)。
要执行的计算机启动脚本的位置(如果通过指派组策略计算机启动脚本来部署 2007 Office system)。
每个 GPO 中所包含的策略设置的类型。这取决于业务和安全要求以及当前管理 Office 应用程序设置的方式。建议仅配置被认为对稳定性和安全性必不可少的设置,并将配置保持在最小限度。还要考虑使用可以提高工作站性能的策略设置,如控制 Outlook PST 文件大小。
是否对组策略的默认处理顺序设置例外。
是否为组策略设置筛选选项以面向特定用户和计算机。
设计组策略配置时请考虑 GPO 管理的一般建议。有关信息,请参阅 Microsoft TechNet 网站上的组策略对象最佳做法。
若要帮助规划对组策略对象的持续管理,建议建立一些管理过程来跟踪和管理 GPO。这有助于确保按规定方式实现所有更改。
确定解决方案对应用程序的作用范围
确定适用于所有企业用户的 2007 Office system策略设置(如任何被认为对组织的安全性必不可少的应用程序安全设置)以及根据用户的角色而适用于用户组的那些策略设置。根据所确定的要求对配置进行规划。
在 Active Directory 环境中,通过将 GPO 链接到站点、域或组织单位来指派组策略设置。大多数 GPO 通常都是在组织单位级别指派的,因此请确保 OU 结构支持 2007 Office system的基于组策略的管理策略。还有可能在域级别应用某些组策略设置,如要应用于域中所有用户的与安全相关的策略设置或 Outlook 设置。
规划测试和分阶段运行,并部署组策略解决方案
此步骤对于任何组策略部署过程都是至关重要的一部分。此步骤包括为 2007 Office system应用程序创建标准组策略配置,以及部署到组织中的用户之前在非生产 环境中测试 GPO 配置。如有必要,可以筛选 GPO 对应用程序的作用范围,并对组策略继承定义例外。管理员可以使用组策略建模(在组策略管理控制台中)评估特定 GPO 要应用的策略设置,还可以使用组策略结果(在组策略管理控制台中)确定哪些策略设置在起作用。
测试和分阶段进行组策略部署
通过组策略可以影响组织中成百上千台计算机的配置。因此,应该使用变更管理流程,并在非生产环境中严格测试所有新的组策略配置或部署,然后再将其移至生产环境中,这一点非常重要。此过程确保了 GPO 中包含的策略设置对 Active Directory 环境中的目标用户和计算机产生预期的结果。
作为管理组策略实现的最佳实践,建议管理员在部署前使用以下流程,分阶段部署组策略:
在尽可能接近生产环境的测试环境中部署新的 GPO。
使用组策略建模 (GPMC) 评估新的 GPO 将如何影响用户以及与现有的 GPO 互操作。
使用组策略结果 (GPMC) 评估测试在环境中应用哪些 GPO 设置。
有关分阶段进行部署的详细信息,请参阅 Microsoft Windows Server 2003 部署工具包的 Designing a Managed Environment(《设计托管环境》)一书中的分阶段进行组策略部署(该链接可能指向英文页面)。
有关组策略管理控制台 (GPMC)、组策略建模和组策略结果的详细信息,请参阅组策略概述 (2007 Office system) 中的组策略管理工具。
使主要负责人参与解决方案的规划和部署
企业中的组策略部署可能要突破职能的界限。在准备部署的过程中,务必要咨询组织中多种职能小组的主要负责人,还要确保其适当参与分析、设计、测试和实现阶段的过程。
确保与组织的安全和 IT 运营小组共同审查为管理 2007 Office system应用程序而计划要部署的策略设置,以确保这些配置适合组织,并应用一组所需严格程度的策略设置来保护网络资源。