規劃 Office 2013 的群組原則

 

適用版本:Office 2013, Office 365 ProPlus

上次修改主題的時間:2016-12-16

摘要:規劃使用群組原則來管理 Office 2013。

對象:IT 專業人員

本文章將可協助打算使用群組原則來管理 Microsoft Office 2013 應用程式的 IT 管理員。若要用得成功,他們必須了解其業務需求、安全性、網路和 IT 需求,以及目前的 Office 應用程式管理實作。

群組原則可讓 IT 管理員在 Active Directory 目錄服務 (AD DS)_環境中將設定或原則設定套用至使用者和電腦。您可以特別針對 Office 2013 進行設定。如需詳細資訊,請參閱<Office 2013 的群組原則概觀>。

部署以群組原則為基礎的解決方案之規劃包括數個步驟:

  1. 定義您的業務目標和安全性需求。

  2. 評估您目前的環境。

  3. 根據您的業務與安全性需求來設計受管理的設定。

  4. 決定解決方案的應用範圍。

  5. 規劃測試、分段執行及部署群組原則解決方案。

  6. 在規劃和部署解決方案時加入重要關係人的參與。

識別您的特定業務與安全性需求,並決定群組原則可如何協助您管理 Office 2013 應用程式的標準設定。識別使用群組原則管理Office 設定的資源 (使用者和電腦的群組),並定義您的專案範圍。

請檢查您目前如何執行與 Office 應用程式設定相關的管理工作。這會協助您決定要使用哪些類型的 Office 原則設定。記錄目前的實作和需求。在下一個步驟中,您將使用這項資訊來協助設計受管理的設定。請包含下列項目:

  • 現有的公司安全性原則及其他安全性需求。識別哪些位置和發行者是視為安全的。評估管理 Internet Explorer 功能控制項設定、文件保護、隱私選項以及封鎖檔案格式設定的需求。

  • 組織的傳訊需求。評估使用群組原則以設定使用者介面設定、病毒防護及 Outlook 2013 其他安全性設定的需求。例如,群組原則提供限制 .pst 檔案大小的設定,這可改善工作站的效能。

  • 各類使用者角色的 Office 應用程式使用者需求。這大部分取決於使用者的工作需求及組織的安全性需求。

  • 要用於 Access 2013、Excel 2013、PowerPoint 2013 及 Word 2013 的預設檔案儲存選項。

  • 要為 Office 2013 使用者介面項目設定的 Access 限制。這包括停用命令、功能表項目及鍵盤快速鍵等等。

  • 軟體安裝問題 (如果您考慮使用此部署方法的話)。雖然可以使用群組原則在已安裝 Active Directory 的小型組織中安裝軟體應用程式,不過仍然有一些限制,您必須決定它是否為可滿足您部署需求的適當解決方案。如需詳細資訊,請參閱《群組原則規劃和部署指南》中的<找出軟體安裝的相關問題>。

    如果您在複雜或快速變遷的環境中管理大量的用戶端,Microsoft System Center 2012 Configuration Manager 是在中大型組織中安裝和維護 Office 2013 的建議方法。System Center 2012 Configuration Manager 也提供額外的功能,例如清查、排程及報告功能。

    在 Active Directory 環境中部署 Office 2013 的另一個作法是使用群組原則電腦啟動指令碼。

  • 選擇使用群組原則還是 OCT。雖然群組原則及 OCT 都可以用來自訂 Office 2013 應用程式的使用者設定,不過還是有顯著的差異:

    • 群組原則是用來設定包含在 [系統管理範本] 中的 Office 2013 原則設定。作業系統會強制使用這些原則設定。這些設定有系統存取控制清單 (ACL) 限制,以防止非系統管理員使用者變更它們。請使用群組原則來設定要強制執行的設定。

    • OCT 是用來建立安裝程式自訂檔案 (.msp 檔案)。系統管理員可以使用 OCT 來自訂功能並設定使用者設定。使用者可以在安裝之後變更大部分的設定。建議只有慣用或預設設定才使用 OCT。如需關於 OCT 的詳細資訊,請參閱<Office 2013 的 Office 自訂工具 (OCT) 參考>。

  • 決定是否要使用「本機」群組原則來設定 Office 設定。您可以使用本機群組原則來控制在含有不屬於 Active Directory 網域一部分的獨立電腦之環境中的設定。如需詳細資訊,請參閱<Office 2013 的群組原則概觀>。

了解您的業務需求、安全性、網路、IT 需求以及組織目前的 Office 應用程式管理實作,有助於識別適當的原則設定來管理組織中使用者的 Office 應用程式。您在評估目前環境設定的期間所收集的資訊,將有助於設計群組原則目標。

當您定義使用群組原則來管理 Office 應用程式設定的目標時,請決定下列事項:

  • 每個群組原則物件 (GPO) 的用途。

  • 每個 GPO 的擁有者,即負責管理 GPO 的人員。

  • 要使用的 GPO 數目。切記套用到電腦的 GPO 數目會影響啟動時間,而套用到使用者的 GPO 數目會影響登入網路所需的時間。連結到使用者的 GPO 數目愈多 (特別是在那些 GPO 中的設定數目愈多時),使用者登入時處理 GPO 所需的時間也愈長。在登入程序期間,只要「讀取群組原則」和「套用群組原則」權限都已設給使用者,就會套用使用者之網站、網域和組織單位 (OU) 階層中的每個 GPO。

  • 適當的 Active Directory 容器,可用來連結每個 GPO (站台、網域或 OU)。

  • 要安裝 Office 應用程式的位置 (如果您是使用「群組原則軟體安裝」部署 Office 2013)。

  • 要執行的電腦啟動指令碼位置 (如果您是透過指派群組原則電腦啟動指令碼來部署 Office 2013)。

  • 包含在每個 GPO 的原則設定類型。這取決於您的業務與安全性需求,以及目前如何管理 Office 應用程式的設定。建議您只設定對穩定性及安全性攸關至鉅的設定,並保持最基本的設定。另外也請考慮使用可以改善工作站效能的原則設定,例如控制 Outlook .pst 檔案大小。

  • 是否要為群組原則的預設處理順序設定例外狀況。

  • 是否要設定群組原則的篩選選項,以針對特定使用者和電腦設定。

為了協助您規劃 GPO 的持續管理,建議您建立系統管理程序以追蹤和管理 GPO。這有助於確保所有變更都會依照規定的方式進行。

識別適用於所有企業使用者的 Office 2013 原則設定 (例如被視為對組織安全性攸關至鉅的任何應用程式安全性設定),以及根據使用者角色判斷適用於使用者群組的原則設定。請根據您識別的需求來規劃設定。

在 Active Directory 環境中,需透過將 GPO 連結至站台、網域或 OU 來指派群組原則設定。大部分的 GPO 通常是在組織單位層級指派。因此,請確定您的 OU 結構支援以群組原則為基礎的 Office 2013 管理策略。您可能也會在網域層級套用某些群組原則設定,例如安全性相關的原則設定,或是要套用至網域中所有使用者的 Outlook 設定。

規劃測試和分段執行是任何群組原則部署程序中最重要的一部分。這個步驟包括建立 Office 2013 應用程式的標準群組原則設定,並在「非生產環境」中測試 GPO 設定,然後才將 Office 部署到組織中的使用者。若有需要,您可以篩選 GPO 的應用範圍,並定義群組原則繼承的例外。系統管理員可以使用 [群組原則模型] (在 [群組原則管理主控台] 中),以評估特定的 GPO 會套用哪些原則設定,並且可以使用 [群組原則結果] (在 [群組原則管理主控台] 中) 來評估哪些原則設定會生效。

群組原則能夠影響組織中數百台、甚至是數千台電腦的設定。因此,請務必使用變更管理程序,並在非生產環境中嚴格地測試所有新的群組原則設定或部署,然後才將這些設定或部署移到生產環境。此程序可確保包含在 GPO 中的原則設定,可對 Active Directory 環境中的預定使用者和電腦產生預期的結果。

建議您使用下列部署前的程序來分段執行群組原則部署,以做為管理群組原則實作的最佳作法:

  • 在能夠盡可能反映生產環境的測試環境中部署新的 GPO。

  • 使用 [群組原則模型] 來評估新的 GPO 將如何影響使用者並與現有的 GPO 交互操作。

  • 使用 [群組原則結果] 來評估在測試環境中套用了哪些 GPO 設定。

如需詳細資訊,請參閱在《群組原則規劃和部署指南》中的<使用群組原則模型和群組原則結果來評估群組原則設定>。

企業中部署的群組原則很可能會有跨部會的運作界限。在準備部署時,請務必諮詢組織中各個功能團隊的重要關係人,並確保他們會適時地參與分析、設計、測試和實作階段。

請務必和組織中的安全性與 IT 作業小組,針對您打算部署來管理 Office 2013 應用程式的原則設定進行審核會議,以確保您的設定符合組織的需求,而且將套用一組足夠嚴格的原則設定來保護網路資源。

顯示: