规划 Office 2010 中的组策略
适用于: Office 2010
上一次修改主题: 2016-11-29
了解业务要求、安全、网络和 IT 要求以及组织当前的 Office 应用程序管理做法,有助于为您确定管理 Office 应用程序所采用的相应策略设置。希望通过组策略管理 Microsoft Office 2010 应用程序的 IT 管理员可按照本文中提供的指导进行操作来帮助规划。常见问题:组策略 (Office 2010) 中对有关组策略和 Office 2010 的常见问题进行了解答。
本文内容:
规划组策略
定义业务对象和安全要求
评估当前环境
根据业务和安全要求设计托管配置
定义应用范围
测试和暂存组策略部署
使主要负责人参与
规划组策略
组策略使 IT 管理员能够将配置或策略设置应用于 Active Directory 目录服务环境中的用户和计算机。可以专门对 Office 2010 进行配置。有关详细信息,请参阅Office 2010 组策略概述。
规划部署基于组策略的解决方案包括以下几个步骤:
定义业务目标和安全要求。
评估当前的环境。
根据业务和安全要求设计托管配置。
确定解决方案的应用范围。
对测试、暂存和部署组策略解决方案进行规划。
使主要负责人参与解决方案的规划和部署。
定义业务目标和安全要求
确定具体的业务和安全要求,并确定组策略如何才能帮助您管理 Office 2010 应用程序的标准配置。确定用组策略为其管理 Office 设置的资源(用户和计算机的组),并定义项目的范围。
评估当前的环境
检查当前如何执行与 Microsoft Office 应用程序配置相关的管理任务,以帮助确定要使用何种类型的 Office 策略设置。记录当前的做法和要求。将使用此信息帮助设计托管配置(在下一步中)。要包括的项目如下:
现有的企业安全策略和其他安全要求。确定将哪些位置和发布者视为安全的。评估对管理 Internet Explorer 功能控制设置、文档保护、隐私选项和阻止文件格式设置的要求。
组织的邮件要求。评估用组策略为 Office Outlook 2007 配置用户界面设置、病毒防护和其他安全设置的要求。例如,组策略提供用于限制 .pst 文件大小的设置,这些设置可以提高工作站上的性能。
用户在各种用户角色方面对 Office 应用程序的要求。这一点很大程度上取决于用户的工作要求和组织的安全要求。
要用于 Microsoft Access 2010、Microsoft Excel 2010、Microsoft PowerPoint 2010 和 Microsoft Word 2010 的默认文件保存选项。
要为 Office 2010 用户界面项设置的访问限制;举例来说,包括禁用命令、菜单项和键盘快捷方式。
软件安装问题(如果考虑此部署方法)。尽管组策略可用于在安装了 Active Directory 的小型组织中安装软件应用程序,但还是有些局限,因此必须确定此方法对部署要求而言是否为合适的解决方案。有关详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“确定与软件安装有关的问题”。
如果您在复杂或变化迅速的环境中管理大量客户端,则建议使用 Microsoft System Center Configuration Manager 2007 在大中型组织中安装和维护 Office 2010。System Center Configuration Manager 2007 提供了附加功能,其中包括清单、计划和报告功能。
在 Active Directory 环境中部署 Office 2010 的另一种选择是使用组策略计算机启动脚本。
是使用组策略还是 OCT。尽管组策略和 OCT 都可用于为 Office 2010 应用程序自定义用户配置,但二者有着重大差异:
组策略用于配置包含在管理模板中的 Office 2010 策略设置,而操作系统强制实施这些策略设置。这些设置具有系统访问控制列表 (SACL) 限制,可以防止非管理员用户更改这些设置。使用组策略配置要强制实施的设置。
OCT 用于创建安装程序自定义文件(.msp 文件)。管理员可以使用 OCT 对功能进行自定义并配置用户设置。用户可以在安装后修改大多数设置。建议仅对首选或默认设置使用 OCT。
有关详细信息,请参阅 Office 自定义工具和组策略。
是否使用本地 组策略来配置 Office 设置。在拥有不属于 Active Directory 域的独立计算机的环境中,您可以使用本地组策略来控制设置。有关详细信息,请参阅Office 2010 组策略概述。
根据业务和安全要求设计托管配置
了解业务要求、安全、网络、IT 要求和组织当前的 Office 应用程序管理做法,有助于为组织中的用户确定管理 Office 应用程序所采用的相应策略设置。在评估当前环境的步骤中收集的信息有助于设计组策略目标。
定义使用组策略管理 Office 应用程序的配置要达到的目标时,请确定以下各项:
每个组策略对象 (GPO) 的用途。
每个 GPO 的所有者,即负责管理 GPO 的人员。
要使用的 GPO 数量。请记住,应用于计算机的 GPO 数量影响启动时间,而应用于用户的 GPO 数量影响登录到网络所需的时间。链接到用户的 GPO 越多(尤其是这些 GPO 中的设置越多),则用户登录时处理 GPO 所花时间就越长。如果为用户设置了“读取”和“应用组策略”这两种权限,则在登录过程中将应用用户的站点、域和组织单位 (OU) 层次结构中的每个 GPO。
要将每个 GPO 链接到的适当 Active Directory 容器(站点、域或 OU)。
要安装的 Office 应用程序的位置(如果用组策略软件安装来部署 Office 2010)。
要执行的计算机启动脚本的位置(如果通过指派组策略计算机启动脚本来部署 Office 2010)。
每个 GPO 中所包含的策略设置的种类。这取决于业务和安全要求以及当前管理 Office 应用程序设置的方式。建议仅配置被认为对稳定性和安全性必不可少的设置,并将配置保持在最小限度。还要考虑使用可以提高工作站性能的策略设置,例如控制 Outlook .pst 文件大小。
是否对组策略的默认处理顺序设置例外。
是否为组策略设置筛选选项以面向特定用户和计算机。
若要帮助规划对 GPO 的持续管理,我们建议您建立一些管理过程来跟踪和管理 GPO。这有助于确保按规定方式实现所有更改。
确定应用范围
确定适用于所有企业用户的 Office 2010 策略设置(例如任何被认为对组织的安全性必不可少的应用程序安全设置)以及根据用户的角色而适用于用户组的那些策略设置。根据所确定的要求对配置进行规划。
在 Active Directory 环境中,通过将 GPO 链接到站点、域或 OU 来指派组策略设置。大多数 GPO 通常都是在组织单位级别指派的,因此请确保 OU 结构支持 Office 2010 的基于组策略的管理策略。还有可能在域级别应用某些组策略设置,例如要应用于域中所有用户的与安全相关的策略设置或 Outlook 设置。
测试和暂存组策略部署
规划测试和暂存对于任何组策略部署过程都是至关重要的一部分。此步骤包括为 Office 2010 应用程序创建标准组策略配置,以及部署到组织中的用户之前在非生产 环境中测试 GPO 配置。如有必要,可以筛选 GPO 的应用范围,并对组策略继承定义例外。管理员可以使用组策略建模(在组策略管理控制台中)评估特定 GPO 要应用的策略设置,还可以使用组策略结果(在组策略管理控制台中)评估哪些策略设置在起作用。
通过组策略可以影响组织中成百上千台计算机的配置。因此,应该使用变更管理流程,并在非生产环境中严格测试所有新的组策略配置或部署,然后再将其移至生产环境中,这一点非常重要。此过程确保了 GPO 中包含的策略设置对 Active Directory 环境中的目标用户和计算机产生预期的结果。
作为管理组策略实现的最佳做法,我们建议您在部署前使用以下过程来暂存组策略部署:
在尽可能接近生产环境的测试环境中部署新的 GPO。
使用组策略建模评估新的 GPO 将如何影响用户以及与现有的 GPO 互操作。
使用组策略结果评估在测试环境中应用哪些 GPO 设置。
有关详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“使用组策略建模和组策略结果评估组策略设置”。
使主要负责人参与
企业中的组策略部署可能要突破职能的界限。在准备部署的过程中,务必要咨询组织中多种职能小组的主要负责人,还要确保其适当参与分析、设计、测试和实现阶段的过程。
确保与组织的安全和 IT 运营小组共同审查为管理 Office 2010 应用程序而计划部署的策略设置,以确保这些配置适合组织,并应用一组所需严格程度的策略设置来保护网络资源。