規劃 Office 2010 的群組原則
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
了解您的業務需求、安全性、網路、IT 需求以及組織目前的 Office 應用程式管理實務,有助於識別適當的原則設定來管理 Office 應用程式。想要使用群組原則管理 Microsoft Office 2010 應用程式的 IT 系統管理員,可以使用本文中的指導方針來協助規劃。如需關於群組原則和 Office 2010 常見問題集的回答,請參閱<常見問題集:群組原則 (Office 2010)>。
本文內容:
規劃群組原則
定義業務目標和安全性需求
評估您目前的環境
根據您的業務與安全性需求來設計受管理的設定
決定應用範圍
測試和分段執行群組原則部署
重要關係人的參與
規劃群組原則
群組原則可讓 IT 管理員在 Active Directory 目錄服務環境中將設定或原則設定套用至使用者和電腦。您可以特別針對 Office 2010 進行設定。如需詳細資訊,請參閱<Office 2010 的群組原則概觀>。
部署以群組原則為基礎的解決方案之規劃包括數個步驟:
定義您的業務目標和安全性需求。
評估您目前的環境。
根據您的業務與安全性需求來設計受管理的設定。
決定解決方案的應用範圍。
規劃測試、分段執行及部署群組原則解決方案。
在規劃和部署解決方案時加入重要關係人的參與。
定義業務目標和安全性需求
識別您的特定業務與安全性需求,並決定群組原則可如何協助您管理 Office 2010 應用程式的標準設定。識別使用群組原則管理Office 設定的資源 (使用者和電腦的群組),並定義您的專案範圍。
評估您目前的環境
請檢查您目前執行與 Microsoft Office 應用程式設定相關的管理工作,以決定要使用哪些類型的 Office 原則設定。記錄目前的實作和需求。在下一個步驟中,您將使用這項資訊來協助設計受管理的設定。要包含的項目如下:
現有的公司安全性原則及其他安全性需求。識別哪些位置和發行者是視為安全的。評估管理 Internet Explorer 功能控制項設定、文件保護、隱私選項以及封鎖檔案格式設定的需求。
組織的傳訊需求。評估使用群組原則以設定使用者介面設定、病毒防護及 Office Outlook 2007 其他安全性設定的需求。例如,群組原則提供限制 .pst 檔案大小的設定,這可改善工作站的效能。
各類使用者角色的 Office 應用程式使用者需求。這大部分取決於使用者的工作需求及組織的安全性需求。
要用於 Microsoft Access 2010、Microsoft Excel 2010、Microsoft PowerPoint 2010 及 Microsoft Word 2010 的預設檔案儲存選項。
要為 Office 2010 使用者介面項目設定的存取限制;例如,包括停用命令、功能表項目及鍵盤快速鍵。
軟體安裝問題 (如果您考慮使用此部署方法的話)。雖然可以使用群組原則在有安裝 Active Directory 的小型組織中安裝軟體應用程式,不過仍然有一些限制,而且必須決定它是否為您部署需求的適當解決方案。如需詳細資訊,請參閱群組原則規劃和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x404) 中的<找出軟體安裝的相關問題>。
如果您在複雜或快速變遷的環境中管理大量的用戶端,Microsoft System Center Configuration Manager 2007 是在中大型組織中安裝和維護 Office 2010 的建議方法。System Center Configuration Manager 2007 也提供額外的功能,包括清查,排程及報告功能。
在 Active Directory 環境中部署 Office 2010 的另一個作法是使用群組原則電腦啟動指令碼。
使用群組原則或 OCT。雖然可以使用群組原則及 OCT 來自訂 Office 2010 應用程式的使用者設定,不過還是有顯著的差異:
群組原則是用來設定包含在 [系統管理範本] 中的 Office 2010 原則設定,而且作業系統會強制使用這些原則設定。這些設定有系統存取控制清單 (ACL) 限制,以防止非系統管理員使用者變更它們。請使用群組原則來設定要強制執行的設定。
OCT 是用來建立安裝程式自訂檔案 (.msp 檔案)。系統管理員可以使用 OCT 來自訂功能並設定使用者設定。使用者可以在安裝之後修改大部分的設定。建議只有慣用或預設設定才使用 OCT。
如需詳細資訊,請參閱<Office 自訂工具和群組原則>。
是否使用 local 群組原則來進行 Office 設定。您可以使用本機群組原則來控制在含有不屬於 Active Directory 網域一部分的獨立電腦之環境中的設定。如需詳細資訊,請參閱<Office 2010 的群組原則概觀>。
根據您的業務與安全性需求來設計受管理的設定
了解您的業務需求、安全性、網路、IT 需求以及組織目前的 Office 應用程式管理實務,有助於識別適當的原則設定來為組織中的使用者管理 Office 應用程式。在目前環境步驟的評估期間所收集的資訊,可協助您設計群組原則目標。
當您定義使用群組原則來管理 Office 應用程式設定的目標時,請決定下列事項:
每個群組原則物件 (GPO) 的用途。
每個 GPO 的擁有者,即負責管理 GPO 的人員。
要使用的 GPO 數目。請考慮套用到電腦的 GPO 數目會影響啟動時間,而套用到使用者的 GPO 數目會影響登入網路所需的時間。連結到使用者的 GPO 數目愈多 (特別是在那些 GPO 中的設定數目愈多時),使用者登入時處理 GPO 所需的時間也愈長。在登入程序期間,每套用一個來自使用者網站、網域和組織單位 (OU) 階層的 GPO,就會同時提供為使用者所設定的「讀取群組原則」和「套用群組原則」權限。
適當的 Active Directory 容器,可用來連結每個 GPO (站台、網域或 OU)。
要安裝 Office 應用程式的位置 (如果您是使用「群組原則軟體安裝」部署 Office 2010)。
要執行的電腦啟動指令碼位置 (如果您是透過指派群組原則電腦啟動指令碼來部署 Office 2010)。
包含在每個 GPO 的原則設定類型。這取決於您的業務與安全性需求,以及目前如何管理 Office 應用程式的設定。建議您只設定對穩定性及安全性攸關至鉅的設定,並保持最基本的設定。另外也請考慮使用可以改善工作站效能的原則設定,例如控制 Outlook .pst 檔案大小。
是否要為群組原則的預設處理順序設定例外狀況。
是否要設定群組原則的篩選選項,以針對特定使用者和電腦設定。
為了協助您規劃 GPO 的持續管理,建議您建立系統管理程序以追蹤和管理 GPO。這有助於確保以規定的方式實作所有變更。
決定應用範圍
識別適用於所有企業使用者的 Office 2010 原則設定 (例如被視為對組織安全性非常重要的任何應用程式安全性設定),以及根據使用者角色判斷適用於使用者群組的原則設定。請根據您識別的需求來規劃設定。
在 Active Directory 環境中,需透過將 GPO 連結至站台、網域或 OU 來指派群組原則設定。大部分的 GPO 通常是在組織單位層級指派,因此請確定您的 OU 結構支援以群組原則為基礎的 Office 2010 管理策略。您可能也會在網域層級套用某些群組原則設定,例如安全性相關的原則設定,或是要套用至網域中所有使用者的 Outlook 設定。
測試和分段執行群組原則部署
規劃測試和分段執行是任何群組原則部署程序中最重要的一部分。這個步驟包括建立 Office 2010 應用程式的標準群組原則設定,並在「非生產環境」中測試 GPO 設定,然後才將這些設定部署到組織中的使用者。若有需要,您可以篩選 GPO 的應用範圍,並定義群組原則繼承的例外。系統管理員可以使用 [群組原則模型] (在 [群組原則管理主控台] 中),以評估特定的 GPO 會套用哪些原則設定,並且可以使用 [群組原則結果] (在 [群組原則管理主控台] 中) 來評估哪些原則設定會生效。
群組原則提供影響組織中數百台以及甚至是上千台電腦之間設定的能力。因此,請務必使用變更管理程序,並在非生產環境中嚴格地測試所有新的群組原則設定或部署,然後再將這些設定或部署移到生產環境。此程序可確保包含在 GPO 中的原則設定,可為 Active Directory 環境中的預定使用者和電腦產生預期的結果。
建議您使用下列部署前的程序來分段執行群組原則部署,以做為管理群組原則實作的最佳作法:
在能夠盡可能反映生產環境的測試環境中部署新的 GPO。
使用 [群組原則模型] 來評估新的 GPO 將如何影響使用者並與現有的 GPO 交互操作。
使用 [群組原則結果] 來評估在測試環境中套用了哪些 GPO 設定。
如需詳細資訊,請參閱在群組原則規劃和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x404) 中的<使用群組原則模型和群組原則結果來評估群組原則設定>。
重要關係人的參與
在企業中的群組原則部署很可能具有交互功能界限。在準備部署時,請務必諮詢組織中各個功能團隊的重要關係人,並確定他們在分析、設計、測試和實作階段期間適時地參與。
請確定您進行計劃部署的原則設定之檢閱,以便和組織中的安全性與 IT 作業小組一起管理 Office 2010 應用程式,以確保設定符合組織的需求,並套用一組嚴格的原則設定來保護網路資源。