• 项目

使用组策略在 Office 2010 中强制启用设置

 

适用于: Office 2010

上一次修改主题: 2016-11-29

本文提供结合使用组策略管理控制台 (GPMC) 和组策略对象编辑器与 Microsoft Office 2010 管理模板来配置 Office 2010 的过程信息。

本文内容:

  • 启动 GPMC

  • 创建 GPO

  • 将 Office 2010 管理模板加载到 GPO 中

  • 编辑 GPO

  • 链接 GPO

组策略管理控制台和组策略对象编辑器是用于管理组策略的工具。组策略管理控制台 (GPMC) 包含一个 Microsoft 管理控制台 (MMC) 管理单元和一组用于管理组策略对象(而非组策略设置)的可编脚本的接口。组策略对象编辑器也是一个 Microsoft 管理控制台,用于编辑每个组策略对象 (GPO) 中包含的各个设置。

您必须首先完成以下任务,然后才能执行本文中的过程:

  1. 在组织中设置 Active Directory 目录服务和组策略基础结构。

  2. 安装 GPMC。

  3. 下载 Office 2010 管理模板。

有关详细信息,请参阅Office 2010 组策略概述

启动 GPMC

根据您运行的 Windows 版本,您的计算机上可能已安装 GPMC,或者您必须下载并安装该软件。有关详细信息,请参阅Office 2010 组策略概述

启动 GPMC

  • 依次单击“开始”、“控制面板”、“管理工具”和“组策略管理”。

有关如何设置组策略的详细信息,请参阅了解组策略功能集的分步指南(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=78160\&clcid=0x804)(该链接可能指向英文页面)。

创建 GPO

组策略设置包含在 GPO 中,GPO 链接到所选的 Active Directory 容器(如站点、域或组织单位 (OU))以强制实施特定配置。您可以创建多个 GPO,并使每个都具有特定的配置集。例如,您可能需要创建仅包含 Office 2010 应用程序设置的名为“Office 2010”的 GPO,或者创建仅包含 Microsoft Outlook 2010 配置的名为“Outlook 2010”的 GPO。

创建 GPO

  1. 确保您对 GPO 具有必需的权限:

    默认情况下,只有 Domain Admins、Enterprise Admins、Group Policy Creator Owners 和 SYSTEM 组的成员可以创建新 GPO。有关详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“委派创建 GPO 的权限”。

  2. 打开 GPMC。

  3. 在控制台树中,右键单击您希望在其中创建 GPO 的林和域中的“组策略对象”。例如,导航到“林名称”、“域”、“域名称”、“组策略对象”。

  4. 单击“新建”。

  5. 在“新建 GPO”对话框中,指定新 GPO 的名称,然后单击“确定”。

将 Office 2010 管理模板加载到 GPO 中

若要下载 Office 2010 管理模板,请参阅 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x804)(该链接可能指向英文页面)。

策略设置包含在多个单独的 .adm, .admx 或 .adml 模板文件中,具体取决于您的计算机上运行的 Windows 版本。每个 .adm, .admx 或 .adml 文件包含一个 Office 应用程序的策略设置。例如,outlk14.admx 包含 Outlook 2010 的策略设置,Word14.admx 包含 Microsoft Word 2010 的模板。您可以将其中一个或多个模板文件加载到为 Office 2010 配置指定的 GPO 中。例如,如果创建了名为“Office 2010 设置”的 GPO 来存储所有 Office 2010 配置,请将所有管理模板文件加载到该 GPO 中。或者,如果创建了名为“Outlook 2010 设置”的 GPO 来仅存储 Outlook 2010 配置,请仅将 outlk14.adm 或 outlk14.admx 模板文件加载到该 GPO 中。

将 Office 2010 管理模板(.adm 文件)加载到 GPO 中

  1. 确保您对 GPO 具有必需的权限:“编辑设置”或“编辑设置、删除和修改”。

    有关管理组策略所需权限的详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“委派组策略管理”。

  2. 在组策略对象编辑器中,右键单击“计算机配置”或“用户配置”节点中的“管理模板”,然后选择“添加/删除模板”。将显示已添加到 GPO 中的管理模板文件的列表。

  3. 若要添加另一管理模板文件,请单击“添加”,然后浏览到 Office 2010 管理模板文件的保存位置。

  4. 选择要添加的文件,然后单击“打开”。对要添加的每个管理模板文件重复此步骤。

  5. 向 GPO 中添加文件后,单击“关闭”。然后可以编辑添加到 GPO 中的策略设置。

如果在至少运行 Windows Vista 或 Windows Server 2008 的计算机上使用 .admx 和 .adml 文件,则可以将 .admx 和 .adml 文件存储在以下位置之一:

  • 域控制器的 Sysvol 文件夹中的管理模板中央存储。Windows Server 2008 随附的 GPMC 始终使用管理模板中央存储来存储管理模板的本地版本。这为域管理模板提供了中央存储位置的副本。

    如果使用中央存储,则在您对 GPO 进行编辑、建模或报告时,GPMC 会读取整组管理模板文件。因此,GPMC 必须通过网络读取这些文件。如果您创建了管理模板中央存储,则应该始终将 GPMC 连接到最近的域控制器。中央存储包括:

    • 根级别文件夹,其中包含所有非特定语言的 .admx 文件。例如,可在域控制器上的以下位置创建中央存储的根文件夹:

      %systemroot% \sysvol\domain\policies\PolicyDefinitions

    • 子文件夹,其中包含特定语言的 .adml 资源文件。可为您将使用的每种语言创建 %systemroot%\sysvol\domain\policies\PolicyDefinitions 的子文件夹。例如,可在以下位置为美国英语创建子文件夹:

      %systemroot% \sysvol\domain\policies\PolicyDefinitions\EN-US

      有关如何从中央存储位置存储和使用管理模板的详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“组策略和 sysvol”。

  • 本地计算机中的 PolicyDefinitions 文件夹。

    • .admx 文件存储在以下位置:%systemroot%\PolicyDefinitions

    • .adml 文件存储在以下位置:%systemroot%\PolicyDefinitions\<ll-cc>

      其中 ll-cc 表示语言标识符,如 en-us 表示美国英语

组策略对象编辑器自动读取所有 .admx 文件,这些文件存储在用于创建 GPO 的域的中央存储中。

如果没有中央存储,则组策略对象编辑器会读取本地 GPO 使用的 .admx 文件的本地版本。

有关 ADMX 文件的详细信息,请参阅管理组策略 ADMX 文件分步指南(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=75124\&clcid=0x804)(该链接可能指向英文页面)。

编辑 GPO

编辑 GPO 时,要打开 GPO 并配置其中的策略设置。编辑 GPO 后,要将 GPO 应用于 Active Directory 站点、域或 OU 以便对该站点、域或 OU 强制实施 GPO 设置。

重要

  • 默认域策略和默认域控制器策略对任何域的正常运行都至关重要。除下列情况之外,请不要编辑默认域控制器策略或默认域策略 GPO:

    • 建议您在默认域策略中设置帐户策略。

    • 如果您在域控制器上安装了需要修改用户权限或审核策略的应用程序,则必须在默认域控制器策略中进行相应修改。

    如果要对整个域应用组策略设置,请创建新 GPO、将该 GPO 链接到域,然后在该 GPO 中创建设置。

  • 若要编辑本地 GPO,请通过以下方式打开组策略对象编辑器:单击“开始”、单击“运行”、键入 gpedit.msc,然后单击“确定”。若要在另一计算机上编辑本地 GPO,请在命令提示符下键入以下命令:gpedit.msc /gpcomputer: <ComputerName>

编辑 GPO

  1. 确保您对 GPO 具有必需的权限:“编辑设置”或“编辑设置、删除和修改”。

    有关管理组策略所需权限的详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“委派组策略管理”。

  2. 打开 GPMC。

  3. 在控制台树中,双击包含要编辑的 GPO 的林和域中的“组策略对象”。它位于“林名称”、“域”、“域名称”、“组策略对象”中。

  4. 右键单击要修改的 GPO,然后单击“编辑”。这将打开组策略对象编辑器。在组策略对象编辑器控制台中根据需要编辑设置。

链接 GPO

通过将 GPO 链接到 Active Directory 站点、域或 OU,可将在该 GPO 中创建的配置应用于站点、域或 OU 包含的所有用户或计算机。

链接 GPO

  1. 验证您是否拥有所需的权限:

    • 如果要将现有 GPO 链接到站点、域或 OU,必须对该站点、域或 OU 具有“链接 GPO”权限。默认情况下,只有域管理员和企业管理员对域和 OU 具有这些权限,并且只有林根域的企业管理员和域管理员对站点具有这些权限。

    • 如果要同时创建和链接 GPO,必须对要链接到的域或 OU 具有“链接 GPO”权限,并且必须具有在该域中创建 GPO 的权限。默认情况下,只有域管理员、企业管理员和组策略创建者所有者具有创建 GPO 的权限。

    • 如果要将 GPO 链接到站点,请注意“在当前位置创建和链接 GPO”选项不可用于站点,因为不确定要在哪个域中创建 GPO。必须首先在林的任意域中创建 GPO,然后使用“链接现有 GPO”选项将 GPO 链接到站点。

    有关管理组策略所需权限的详细信息,请参阅组策略规划和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x804) 中的“委派组策略管理”。

  2. 打开 GPMC。

  3. 在控制台树中,找到要将 GPO 链接到站点、域或 OU。它们位于“林名称”,“域”或“站点”,或者“站点名称”、“域名称”,或者“组织单位名称”下。

  4. 若要链接现有 GPO,请右键单击域或域中的组织单位,然后单击“链接现有 GPO”。在“选择 GPO”对话框中,单击要链接的 GPO,然后单击“确定”。

    - 或 -

    若要链接新 GPO,请右键单击域或域中的 OU,然后单击“在当前位置创建和链接 GPO”。在“名称”框中,键入新 GPO 的名称,然后单击“确定”。