群組原則概觀 (2007 Office system)
更新日期: 2007年3月
適用於: Office Resource Kit
上次修改主題的時間: 2015-03-09
群組原則是系統管理員可以用來為使用者和電腦實作特定運算設定的基礎結構。原則設定也可以套用到 Active Directory 樹系範圍內的成員伺服器和網域控制站。系統管理員可以使用群組原則定義設定一次,然後依賴作業系統強制執行該狀態。
群組原則設定包含於群組原則物件 (GPO) 中,會連結至選取的 Active Directory 目錄服務容器,例如,網站、網域或組織單位 (OU)。GPO 中的設定是透過使用 Active Directory 階層式關係的受影響目標加以評估。
群組原則基礎結構是由一個群組原則引擎和數個個別延伸所組成。這些延伸可用來設定群組原則設定,作法可以是透過系統管理範本延伸來修改登錄,或者針對安全性設定、軟體安裝、資料夾重新導向、Internet Explorer 維護、無線網路設定和其他方面,為群組原則設定進行設定。
每個群組原則延伸都是由兩個延伸所組成:
群組原則物件編輯器 Microsoft Management Console (MMC) 嵌入式管理單元的伺服器端延伸,可用來定義及設定套用到用戶端電腦的原則設定。
群組原則引擎會呼叫以套用原則設定的用戶端延伸。
2007 Microsoft Office 系統 系統原則設定包含於系統管理範本 (.adm) 檔案中。如需詳細資訊,請參閱<系統管理範本>一節。
下列各節提供群組原則概念的概觀。如需更詳細的資訊,請參閱 Microsoft TechNet 網站上的群組原則集合 (英文) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x404) 。
本主題內容
本機和以 Active Directory 為基礎的群組原則
群組原則處理
群組原則應用程式
選取群組原則物件的套用目標
系統管理範本延伸
使用者喜好設定和真正的原則
群組原則管理工具
Office 自訂工具和群組原則
本機和以 Active Directory 為基礎的群組原則
每部電腦都有一定要處理的本機 GPO,而不論該電腦是網域成員或是獨立式電腦。本機 GPO 無法透過網域型 GPO 來鎖定。不過,因為網域 GPO 中的設定是在本機 GPO 之後加以處理,所以他們一律會取得優先順序。
雖然您可以在個別電腦上設定本機群組原則物件,但是群組原則的最大效益會出現在安裝 Active Directory 的 Windows 2000 或 Windows Server 2003 網路中。
系統管理員可以視需要在組織中擴大或縮小實作群組原則設定的範圍。若要執行這項操作,系統管理員會將 GPO 連結至網站、網域及 OU。GPO 連結會以下列方式影響使用者和電腦:
連結至網站的 GPO 會套用至網站中的所有使用者和電腦。
連結至網域的 GPO 會直接套用至網域中的所有使用者和電腦,而且子 OU 中的所有使用者和電腦都會加以繼承。群組原則不會跨網域繼承。
連結至 OU 的 GPO 會直接套用至 OU 中的所有使用者和電腦,而且子 OU 中的所有使用者和電腦都會加以繼承。
建立 GPO 時,會將之儲存於網域中。當 GPO 連結至 Active Directory 容器 (例如 OU) 時,連結便是該 Active Directory 容器的元件。連結不是 GPO 的元件。
系統管理員必須具備 GPO 建立權限,才能建立 GPO。根據預設,唯有網域系統管理員、企業系統管理員及 Group Policy Creator擁有者群組成員才能建立群組原則物件。您必須具備要編輯之 GPO 的編輯權限。
如需群組原則基礎結構的更詳細資訊,請參閱 Microsoft TechNet 網站上的群組原則集合 (英文) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x404) 。
Windows Vista 和 Windows Server® 2008 作業系統引進了新功能,可用以管理本機 GPO,讓獨立式電腦的系統管理員能夠將多個群組原則物件套用至獨立式電腦的使用者。
多個本機 GPO:Windows Vista 和 Windows Server 2008 的變更
Windows Vista 和 Windows Server 2008 提供在獨立式電腦上管理多個本機 GPO 的支援。這項功能在管理涉及單一電腦上共用運算的環境 (例如,圖書館或電腦室) 時非常有用。您可以將多個本機 GPO 指定給本機使用者或內建的群組。
在工作群組環境中,每部電腦都會維護自己的原則設定。這項功能可與網域型群組原則搭配使用,或者透過群組原則設定將其停用。
系統管理員可以使用多個本機 GPO 來執行下列操作:
將不同層級的本機群組原則套用至獨立式電腦上的本機使用者。此功能非常適合無法使用網域型管理的共用運算環境。
根據系統管理員和非系統管理員群組來管理群組原則。例如,如果系統管理員想要設定電腦室的電腦,以設定安全的環境,他們可以針對 User 群組建立高度管理的原則設定,並針對內建的 Administrator 帳戶設定少量管理的原則設定。這會消除本機系統管理員的需求,在他們執行系統管理工作之前,明確地停用或移除會干擾其管理工作站之能力的群組原則設定。Windows Vista 系統管理員也可以關閉本機群組原則設定,而不需明確地啟用網域型群組原則。
網域系統管理員可以在網域群組原則物件中啟用 [關閉本機群組原則物件處理] 原則設定,在執行 Windows Vista 的用戶端上停用本機群組原則物件的處理。您可以在「電腦設定\系統管理範本\系統\群組原則」底下存取此設定。
Windows Vista 提供三層本機群組原則物件:本機群組原則、系統管理員和非系統管理員群組原則,以及使用者專用的本機群組原則。這些本機群組原則物件層級是根據下列順序來處理:
本機群組原則
系統管理員和非系統管理員群組原則
使用者專用的本機群組原則
如需在 Windows Vista 中使用多個本機 GPO 功能的詳細資訊,請參閱 Microsoft TechNet 網站上的管理多個本機群組原則物件的逐步指南 (英文) 。
群組原則處理
會先處理本機 GPO,最後處理電腦或使用者所隸屬的組織單位 (它直接隸屬的組織單位)。群組原則設定會以下列順序來處理:
本機 GPO。每部電腦都有本機儲存的群組原則物件。這個 GPO 會針對電腦和使用者群組原則來處理。
網站。接下來會處理連結到電腦所屬網站的 GPO。會依據系統管理員在群組原則管理主控台 (GPMC) 中網站之 [已連結的群組原則物件] 索引標籤上指定的順序來處理。連結順序最低的 GPO 會最後一個處理且具備最高優先順序。如需群組原則管理主控台的詳細資訊,請參閱<群組原則管理工具>一節。
網域。多個網域連結的 GPO 會以系統管理員在群組原則管理主控台中網域之 [已連結的群組原則物件] 索引標籤上指定的順序來處理。連結順序最低的 GPO 會最後一個處理且具備最高優先順序。
組織單位。連結至 Active Directory 階層中最高組織單位的 GPO 會最先處理,接著處理連結至其子組織單位的 GPO,依此類推。連結至組織單位包含使用者或電腦的 GPO 則會最後處理。
處理順序受限於下列情況:
套用到 GPO 的 Windows Management Instrumentation (WMI) 或安全性篩選。
任何網域型 GPO (非本機 GPO) 均可使用 [強制] 選項來強制執行,使其原則設定不會遭到覆寫。因為強制的 GPO 會最後一個處理,所以其他設定無法覆寫該 GPO 中的設定。如果有一個以上的強制 GPO 存在,則每個 GPO 中的相同設定可能會設定為不同值。在此情況下,GPO 的連結順序會決定哪個 GPO 包含最後的設定。
在任何網域或組織單位上,可以選擇性地將群組原則繼承指定為 [禁止繼承]。不過,因為一律會套用強制的 GPO 且無法禁止,所以禁止繼承無法防止套用來自強制 GPO 的原則設定。
原則繼承
針對使用者和電腦生效的原則設定是在網站、網域或 OU 上套用之 GPO 組合的結果。當多個 GPO 套用至那些 Active Directory 容器中的使用者和電腦時,GPO 中的設定便會彙總。根據預設,子容器會繼承部署於連結至 Active Directory 中較高層級容器 (父容器) 之 GPO 中的設定,並與部署於連結至子容器之 GPO 中的設定相結合。如果多個 GPO 嘗試以相衝突的值來設定原則設定,具備最高優先順序的 GPO 會設定此設定。較晚處理之 GPO 的優先順序會高於較早處理之 GPO 的優先順序。
群組原則應用程式
適用於電腦的群組原則會在電腦啟動時套用。適用於使用者的群組原則會在使用者登入時套用。除了在啟動和登入時初始處理群組原則之外,後續還會定期在背景中套用群組原則。在背景重新整理期間,唯有當用戶端延伸偵測到在其任一個 GPO 或其 GPO 清單中的伺服器上發生變更時,才會重新套用原則設定。
對於軟體安裝和資料夾重新導向,群組原則處理只會在電腦啟動或使用者登入期間發生。
同步和非同步處理
同步處理可闡述為一連串的處理,而其中的處理必須在下一個處理開始之前完成執行。非同步處理可以在不同執行緒上同時執行,因為他們的結果與其他處理無關。系統管理員可以使用每個 GPO 的原則設定,來變更預設處理行為,使該處理成為非同步處理,而不是同步處理。
在同步處理期間,有 60 分鐘的時間限制,所有的群組原則都需要在時間限制內完成用戶端電腦上的處理。系統會在 60 分鐘後,針對尚未完成處理的用戶端延伸發出停止信號。在此情況下,相關的原則設定可能不會完整套用。
快速登入最佳化功能
快速登入最佳化功能預設是針對網域和工作群組成員所設定。這樣會在電腦啟動及使用者登入時,非同步套用原則。這個原則的套用類似於背景重新整理。它可以減少顯示登入對話方塊所花費的時間長度,以及讓使用者可以使用桌面所花費的時間長度。
.gif "Note") 附註: |
|---|
| 當使用者第一次登入、使用者具有漫遊設定檔、使用者具有 HomeDir,以及使用者擁有 User 物件中所指定的登入指令碼時,便不會啟用登入最佳化且會同步處理原則。資料夾重新導向和群組原則軟體安裝需要同步套用原則。在這些情況下,電腦啟動仍是非同步的。不過,由於登入是同步的,所以登入不會顯示最佳化。 執行 Windows XP Professional、Windows XP 64 位元版本 (Itanium) 及 Windows Server 2003 作業系統的用戶端電腦支援所有網域環境中的快速登入最佳化。 伺服器啟動和登入處理時,一律會視同此原則設定已啟用。 |
系統管理員可利用 [永遠在電腦啟動及登入時等待網路啟動] 原則設定來停用快速登入最佳化功能,您可以在群組原則物件編輯器的「電腦設定\系統管理範本\系統\登入」節點中加以存取。啟用此原則設定時,登入的執行方式會與 Windows 2000 用戶端相同。這表示 Windows XP 會在使用者登入之前,等候網路完全初始化。群組原則會在前景中同步套用。
低速連結處理
當連線速度低於指定的閾值時,系統不會處理某些群組原則延伸。群組原則視為低速連結的預設值是低於 500 千位元/秒 (Kbps) 的任何速率。
以下所示的是在低速連結上處理群組原則的預設設定。
| 設定 | 預設 |
|---|---|
安全性設定 |
開啟 (無法關閉) |
IP 安全性 |
開啟 |
EFS |
開啟 |
軟體限制原則 |
開啟 |
無線網路 |
開啟 |
系統管理範本 |
開啟 (無法關閉) |
軟體安裝 |
關閉 |
指令碼 |
關閉 |
資料夾重新導向 |
關閉 |
IE 維護 |
開啟 |
系統管理員可以使用原則設定來覆寫預設設定。若要為電腦指定群組原則低速連線偵測的設定,可以使用群組原則物件編輯器之「電腦設定\系統管理範本\系統\群組原則」節點中的 [群組原則低速連結偵測] 原則設定。
若要為使用者設定此選項,可以使用「使用者設定\系統管理範本\系統\群組原則」中的 [群組原則低速連結偵測]。
如需在低速連結上管理群組原則的詳細資訊,請參閱 Microsoft TechNet 網站上的指定群組原則以用於低速連結偵測 (英文) (https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x404) 。
群組原則重新整理間隔
根據預設,群組原則每隔 90 分鐘會處理一次,最多有 30 分鐘的隨機延遲,適用於最多 120 分鐘的重新整理間隔總和上限。
針對安全性設定,在您編輯安全性設定原則之後,原則設定會在群組原則物件連結之組織單位中的電腦上重新整理:
當電腦重新啟動時。
在工作站或伺服器上每隔 90 分鐘,在網域控制站上則每隔 5 分鐘。
根據預設,由群組原則所傳遞的安全性原則設定也會每隔 16 小時 (960 分鐘) 加以套用,即使 GPO 未變更也一樣。
觸發群組原則重新整理
對群組原則物件所做的變更必須先複寫到適當的網域控制站;因此,對群組原則設定所做的變更可能無法立即在使用者的桌上型電腦上使用。在某些情況下 (例如,套用安全性原則設定),可能需要立即套用原則設定。
系統管理員可以手動方式從本機電腦觸發原則重新整理,而不需等待自動背景重新整理。若要執行這項操作,系統管理員可以在命令列中輸入 gpupdate,重新整理使用者或電腦原則設定。您無法使用 GPMC 來觸發原則重新整理。
Gpupdate 命令會在執行命令的本機電腦上觸發背景原則重新整理。Gpupdate 命令可在 Windows Server 2003 和 Windows XP 環境中使用。
您無法視需要將群組原則的套用從伺服器推送至用戶端。
如需使用 gpupdate 的詳細資訊,請參閱 Microsoft TechNet 網站上的利用 GPUpdate.exe 重新整理群組原則設定 (https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x404) 。
選取群組原則物件的套用目標
指定哪些使用者和電腦可接收來自 GPO 之設定的主要方法是連至網站、網域及組織單位的 GPO 連結。
您可以透過變更連結順序、禁止原則繼承、強制使用 GPO 連結 (先前稱為「不可強制覆蓋」) 及停用 GPO 連結,來變更處理 GPO 的預設順序。
系統管理員可以使用安全性篩選與 WMI 篩選,修改要套用 GPO 的使用者與電腦組。
系統管理員也可以使用回送處理功能,確保會將相同的原則設定組套用至任何登入特定電腦的使用者。
變更 GPO 處理順序
系統管理員可以使用下列其中一個方法來變更處理 GPO 的順序:
變更連結順序。網站、網域或 OU 中的 GPO 連結順序可控制套用連結的時機。系統管理員可以透過變更連結順序 (在清單中將每個連結往上或往下移動至適當位置),來變更連結的優先順序。具有較高順序 (1 是最高順序) 的連結對於網站、網域或組織單位具有較高的優先順序。
禁止繼承。針對網域或 OU 使用禁止繼承可防止連結至較高網站、網域或組織單位的 GPO 會由子層 Active Directory 容器自動繼承。根據預設,子層容器會繼承來自父層的所有 GPO。不過,禁止繼承有時也很有用。
強制使用 GPO 連結。系統管理員可以藉由將 GPO 連結設定為 [強制],來指定該連結中設定的優先順序會高於任何子物件的設定。強制使用的 GPO 連結無法從父容器加以禁止。如果 GPO 包含相衝突的設定且不會從較上層容器強制使用,則較高層父容器上的 GPO 連結設定會遭到連結至子組織單位的 GPO 設定所覆寫。利用強制使用,父 GPO 連結一律具備優先順序。根據預設,不會強制使用 GPO 連結。
停用 GPO 連結。根據預設,會針對所有 GPO 連結啟用處理。您可以透過停用網域、網站或組織單位的 GPO 連結,完全禁止針對該網站、網域或組織單位套用 GPO。這不會停用 GPO。如果 GPO 已連結至其他網站、網域或組織單位,如已啟用其連結,則將繼續處理 GPO。
安全性篩選
這個方法可用來指定只有已連結 GPO 之容器內的特定安全性主體會套用 GPO。系統管理員可以使用安全性篩選來縮小 GPO 的範圍,使 GPO 只會套用到單一群組、使用者或電腦。安全性篩選無法選擇性地用於 GPO 中的不同設定上。
唯有當使用者或電腦在 GPO 上同時具備讀取和套用群組原則 (AGP) 權限 (不論是明確或有效地透過群組成員資格來設定) 時,GPO 才會套用至該使用者或電腦。根據預設,針對包含使用者和電腦的 Authenticated Users 群組,所有 GPO 都已將讀取和 AGP 權限設定為 [允許]。這就是 GPO 套用至組織單位、網域或網站時,所有經過驗證之使用者收到新 GPO 設定的方式。
根據預設,Domain Admins、Enterprise Admins 及本機系統都具備完整的控制權限,而不需套用群組原則存取控制項目 (ACE)。系統管理員也是 Authenticated Users 的成員。這表示,根據預設,系統管理員會收到 GPO 中的設定。這些權限均可變更,以便將範圍限制為組織單位、網域或網站內特定的使用者、群組或電腦組。
群組原則管理主控台 (GPMC) 會將這些權限當成單一單位來管理,並在 [GPO 範圍] 索引標籤上顯示 GPO 的安全性篩選。在 GPMC 中,群組、使用者及電腦均可當成每個 GPO 的安全性篩選來新增或移除。如需 GPMC 的詳細資訊,請參閱<群組原則管理工具>一節。
Windows Management Instrumentation 篩選
Windows Management Instrumentation (WMI) 是 Microsoft 對於「以網路為主的企業管理」產業先驅的實作,可建立管理基礎結構標準並提供方法來結合來自不同硬體和軟體管理系統的資訊。WMI 會公開硬體設定資料 (例如,CPU、記憶體、磁碟空間和製造商),以及來自登錄、驅動程式、檔案系統、Active Directory、Windows Installer 服務、網路設定和應用程式資料的軟體設定資料。目標電腦的相關資料可用於系統管理目的,例如,GPO 的 WMI 篩選。
WMI 篩選可藉由將 WMI 查詢語言 (WQL) 查詢附加到 GPO,用來篩選 GPO 的套用。查詢可用來查詢多個項目的 WMI。如果查詢會針對所有查詢的項目傳回 True,則 GPO 會套用到目標使用者或電腦。
GPO 會連結到 WMI 篩選並在目標電腦上加以套用,而且篩選會在目標電腦上加以評估。如果系統將 WMI 篩選評估為 False,便不會套用 GPO (但若用戶端電腦執行的是 Windows 2000 則除外,因為在這種情況下,篩選會遭到忽略且一律會套用 GPO)。如果系統將 WMI 篩選評估為 True,則會套用 GPO。
WMI 篩選是目錄中不同於 GPO 的物件。WMI 篩選必須連結到 GPO 才能套用,而且 WMI 篩選必須和其所連結的 GPO 位於相同網域中。WMI 篩選只能儲存於網域中。每個 GPO 只能有一個 WMI 篩選。同一個 WMI 篩選可以連結到多個 GPO。
回送處理
回送處理是進階的群組原則設定,在部分受到嚴密管理之環境 (例如,伺服器、kiosk、實驗室、教室及接待區) 的電腦上非常有用。設定回送會導致 GPO 中要套用至電腦的 [使用者設定] 原則設定被套用到每位登入該電腦的使用者,而不是 (在 [取代] 模式) 使用者的 [使用者設定] 設定 (如果是在 [合併] 模式中,則除外)。系統管理員可以使用此功能,來確保會將一致的原則設定組套用至任何登入特定電腦的使用者,而不論使用者在 Active Directory 中的位置為何。
若要設定回送處理,系統管理員可以使用 [使用者群組原則回送處理模式] 原則設定,可在群組原則物件編輯器中的「電腦設定\系統管理範本\系統\原則設定」底下存取此設定。
若要使用回送處理功能,使用者帳戶和電腦帳戶必須同時位於 Windows 2000 或更新版本的網域中。回送不適用於已加入工作群組的電腦。
如需選取 GPO 套用目標的詳細資訊,請參閱 Microsoft TechNet 網站上的使用 GPMC 控制群組原則物件的範圍 (https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x404) 。
系統管理範本延伸
群組原則的系統管理範本延伸是由 MMC 伺服器端嵌入式管理單元所組成,可用來設定原則設定及在目標電腦上設定登錄機碼的用戶端延伸。系統管理範本原則也稱為以登錄為基礎的原則或登錄原則。
2007 Microsoft Office 系統 原則設定包含於系統管理範本檔案中,可從 Microsoft 下載中心的 2007 Office System 系統管理範本 (ADM) (https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x404) 下載。
系統管理範本檔案
系統管理範本 (.adm) 檔案是 Unicode 檔案,由類別和子類別的階層所組成,可定義選項如何透過群組原則物件編輯器與 GPMC 來顯示。它們也會指出若已做出選擇,應進行之變更的登錄位置、指定與選取項目相關聯的選項或限制 (在值中),以及在某些情況下,指出若選取項目已啟動,所要使用的預設值。
.Adm 檔案的功能會受到限制。.Adm 檔案的用途是啟用使用者介面來設定原則設定。.Adm 檔案不會包含原則設定。原則設定會包含在 registry.pol 檔案中 (此檔案位於網域控制站上的 Sysvol 資料夾中)。
[系統管理範本] 伺服器端嵌入式管理單元會提供 [系統管理範本]節點,此節點會出現在 [電腦設定] 節點和 [使用者設定] 節點底下的群組原則物件編輯器中。[電腦設定] 底下的設定會管理電腦的登錄設定。[使用者設定] 底下的設定則會管理使用者的登錄設定。雖然某些原則設定需要簡單的 UI 元素 (例如,在文字方塊中輸入值),但是大部分的原則設定只包含下列選項:
[啟用]:會強制使用原則。某些原則設定提供可在啟動原則時定義行為的其他選項。
[停用]:針對大部分的原則設定,強制使用與 [啟用] 狀態相反的行為。例如,如果 [啟用] 會將某功能的狀態強制設為 [關閉],則 [停用] 會將該功能的狀態強制設為 [開啟]。
[未設定]:不會強制使用原則。大多數的設定都未設定此預設值。
2007 Office System 的系統管理範本檔案
下列系統管理範本檔案可供 2007 Office System 使用:
office12.adm:共用的 Office 元件
access12.adm:Microsoft Office Access 2007
cpao12.adm:適用於 Microsoft Office Outlook 2007 的行事曆列印小幫手
excel12.adm:Microsoft Office Excel 2007
groove12.adm:Microsoft Office Groove 2007
ic12.adm:Microsoft Office InterConnect 2007
inf12.adm:Microsoft Office InfoPath 2007
onent12.adm:Microsoft Office OneNote 2007
outlk12.adm:Microsoft Office Outlook 2007
ppt12.adm:Microsoft Office PowerPoint 2007
proj12.adm:Microsoft Office Project 2007
pub12.adm:Microsoft Office Publisher 2007
spd12.adm:Microsoft Office SharePoint Designer 2007
visio12.adm:Microsoft Office Visio 2007
word12.adm:Microsoft Office Word 2007
系統管理員可以針對如下所示的工作使用 2007 Office System 原則設定:
管理 2007 Office System 應用程式的安全性設定
防止從 2007 Office System 應用程式連線到網際網路
隱藏或停用 2007 Office System 使用者介面設定,其可能會對使用者造成混淆,或者使用者不需要用以執行其工作
針對使用者的電腦建立高度管理或較不受限制的標準設定
為 2007 Office System 應用程式設定預設的 [儲存檔案] 選項,準備從舊版 Office 進行移轉
例如,系統管理員可以使用群組原則,來停用、啟用或設定大部分的設定,以控制 Office 使用者介面,例如:
功能表命令
快速鍵
選項對話方塊設定
可供 2007 Office System 使用的大量群組原則設定會提供高度彈性。系統管理員可以建立嚴格限制或受到少量管理的設定,這取決於組織的特定商務需求和安全性觀點。
若要下載 2007 Office System 系統管理範本檔案,請參閱 Microsoft 下載中心的 2007 Office System 系統管理範本 (ADM)。
您也可以從 Microsoft 下載中心下載 2007 Microsoft Office System Open XML 格式轉換程式系統管理範本 (ADM) 檔案 。系統管理員可以使用此範本,修改 Microsoft Office Word、Excel 及 PowerPoint 2007 Open XML 格式轉換程式的預設行為。
系統管理員可以修改 Microsoft Office 2003 和 Microsoft Office XP 系統管理範本檔案,設定預設的 [另存新檔] 選項,以包含 2007 Office system 程式的 Open XML 格式。如需詳細資訊,請參閱 Microsoft 支援知識庫 (KB) 網站上的 KB 文章 932127 如何修改 Office 2003 和 Office XP 現有的 Office 原則檔 (ADM 檔) 以設定另存新檔預設檔案格式,來包含 2007 Microsoft Office 程式的新 OpenXML 檔案格式 (機器翻譯)。
如需系統管理範本的詳細資訊,請參閱系統管理範本延伸技術參考 (英文) (https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x404) 。
Windows Vista 和 Windows Server 2008 針對系統管理範本檔案引進以 XML 為基礎的新格式,如下一節中所討論。
系統管理範本檔案:Windows Vista 和 Windows Server 2008 的變更
第一次發行 Windows NT 4.0 時,系統管理範本檔案會使用唯一的檔案格式 (稱為.adm 檔案)。在 Windows Vista 和 Windows Server 2008 作業系統中,這些檔案已由 ADMX 檔案所取代,可以使用 XML 檔案格式來顯示以登錄為基礎的原則設定。這些新的系統管理範本檔案使得在 Windows Vista 和 Windows Server 2008 中管理以登錄為基礎的原則設定變得更容易。Office 2007 ADM 與 ADMX 檔案中所含的原則設定都是相同的。
新的 ADMX 和 ADML 檔案會取代較舊的 .adm 檔案,並分割成語言中性 (ADMX) 和語言特有的 (ADML) 資源檔。這些新的檔案類型允許群組原則工具根據系統管理員設定的語言來調整使用者介面。
群組原則物件編輯器和群組原則管理主控台會繼續辨識您在目前環境中可能會有的較舊 .adm 檔案。GPO 中的自訂 .adm 檔案 (或預設不會在作業系統中傳遞的.adm 檔案) 可供群組原則物件編輯器和群組原則管理主控台使用。工具無法辨識作業系統中預設隨附的較舊 .adm 檔案,例如 System.adm 和 Inetres.adm。
系統管理員可以從執行 Windows Vista 的工作站管理會影響 Windows Vista 和舊版作業系統的群組原則設定。ADMX 檔案只有在 Windows Vista 作業系統上才會受到支援。將 ADMX 檔案複製到舊版作業系統將不會有任何作用。
| 附註: |
|---|
| 系統管理員可以使用 ADMX 移轉程式工具,將 ADM 檔案轉換成 ADMX 格式。ADMX 移轉程式會提供含有圖形化使用者介面的 ADMX 編輯程式,以用於建立和編輯系統管理範本。如需詳細資訊,請參閱 ADMX 移轉程式 (英文) (https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x404) 。 |
Windows Vista 中的 ADMX 和 ADML 檔案儲存
「集中存放區」是在 Active Directory 網域控制站的 Sysvol 資料夾上建立的資料夾。這個資料夾會針對網域的 ADMX 和 ADML 檔案,提供單一的集中儲存位置。系統管理員可以在執行 Windows Server 2003 R2、Windows Server 2003 SP1 或 Windows 2000 Server 的網域控制站上建立集中存放區。建立集中存放區不需要 Windows Server 2008。
如需在 Vista 中管理 ADMX 檔案的詳細資訊,請參閱 Microsoft TechNet 網站上的管理群組原則 ADMX 檔案逐步指南 、使用 ADMX 檔案編輯群組原則物件的需求 (英文) 及案例 2:使用 ADMX 檔案編輯網域型 GPO (英文) 。
使用者喜好設定和真正的原則
系統管理員可以完全管理的群組原則設定會被視為「真正的原則」。使用者設定的設定或者會在安裝期間影響作業系統預設狀態的設定都可稱為「喜好設定」。真正的原則和喜好設定兩者均包含會修改使用者電腦上登錄的資訊。在真正的原則和喜好設定之間有一些重要的差異。真正原則設定的優先順序會高於喜好設定。
真正原則的登錄值會儲存在群組原則的已核准登錄機碼下方。使用者無法變更或停用這些設定:
電腦原則設定:
HKEY_LOCAL_MACHINE\Software\Policies (慣用的位置)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
使用者原則設定:
HKEY_CURRENT_USER\Software\Policies (慣用的位置)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
喜好設定是由使用者或作業系統在安裝期間所設定。存放喜好設定的登錄值會位於已核准群組原則機碼以外的地方,如上表所示。使用者可以變更他們的喜好設定。
系統管理員可以撰寫 .adm 檔案,設定已核准群組原則登錄樹狀目錄以外的登錄值。在這種情況下,這個方法只能確保登錄機碼或值會以特定方式來設定。使用這個方法,系統管理員可以設定喜好設定,而不需設定真正的原則設定,並標記含有這些設定的登錄。這表示即使喜好設定已遭停用或刪除,設定仍會保留在登錄中。
如果您是以這種方式使用 GPO 來設定喜好設定,則所建立的 GPO 不會有存取控制清單 (ACL) 限制。因此,使用者可能無法在登錄中變更這些值。當 GPO 超出範圍 (如果 GPO 已取消連結、停用或刪除) 時,便無法從登錄中移除這些值。
相反地,真正的登錄原則設定會有 ACL 限制,可防止使用者變更設定。當設定的 GPO 超出範圍時,即會移除原則值。基於此理由,真正的原則會被視為可完全管理的原則設定。根據預設,群組原則物件編輯器只會顯示可完全管理的原則設定。
若要在群組原則物件編輯器中檢視喜好設定,請依序按一下 [系統管理範本] 節點、[檢視] 及 [篩選],然後清除 [只顯示可以完全管理的原則設定]。
真正原則設定的優先順序會高於喜好設定;不過,他們不會覆寫或修改喜好設定所使用的登錄機碼。如果部署的原則設定與喜好設定相衝突,原則設定的優先順序會高於喜好設定。如果同時存在原則和喜好設定,若已移除或已停用原則,則會成功還原喜好設定。在透過相抵銷的原則設定或編輯登錄來反轉喜好設定之前,喜好設定都會保留於登錄中。
下表摘要原則設定和喜好設定的效果。
| 存在的群組原則 | 存在的喜好設定 | 產生的行為 |
|---|---|---|
否 |
否 |
預設值 |
否 |
是 |
喜好設定會設定行為。 |
是 |
否 |
原則設定會設定行為。 |
是 |
是 |
原則設定會設定行為。喜好設定將會被忽略。 |
針對 2007 Office system,所有使用者特定的原則設定都會儲存於 HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0 子機碼中。電腦特定的原則會儲存於 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0 子機碼中。根據預設,這兩個公用子機碼都會遭到鎖定,以防止使用者修改他們。
群組原則管理工具
系統管理員會使用下列工具來管理群組原則:群組原則管理主控台 (GPMC) 及群組原則物件編輯器 Microsoft Management Console (MMC) 嵌入式管理單元。系統管理員會使用群組原則管理主控台來管理大部分的群組原則管理工作。群組原則物件編輯器則可用來在群組原則物件中設定原則設定。
群組原則管理主控台
GPMC 藉由提供單一工具以管理群組原則的核心特性 (例如,範圍、委派、篩選和管理 GPO 的繼承),可簡化群組原則的管理。GPMC 也可用來備份 (匯出)、還原、匯入及複製 GPO。系統管理員可以使用 GPMC 來預測 GPO 將如何影響網路並決定 GPO 在電腦或使用者上如何變更設定。GPMC 是可在網域環境中管理大部分群組原則工作的慣用工具。
GPMC 提供對於整個企業中 GPO、網站、網域及 OU 的檢視,可用來管理 Windows Server 2003 或 Windows 2000 網域。系統管理員可以使用 GPMC 來執行所有群組原則管理工作,但在群組原則物件中設定個別原則設定例外,此作業是使用群組原則物件編輯器來完成的。GPMC 會呼叫群組原則物件編輯器,而您可以從 GPMC 使用這項工具。
系統管理員可以使用 GPMC 來建立不含初始設定的 GPO。系統管理員也可以建立 GPO,同時將 GPO 連結到 Active Directory 容器。若要設定 GPO 內的個別設定,系統管理員可以從 GPMC 內編輯 GPO。群組原則物件編輯器會顯示已載入的 GPO。
系統管理員可以使用 GPMC,將 GPO 連結至網站、網域或 Active Directory 中的 OU。系統管理員必須連結 GPO,以便將設定套用到 Active Directory 容器中的使用者和電腦。
GPMC 包括下列由 Windows 所提供的原則結果組 (RSoP) 功能:
群組原則模型。模擬在系統管理員指定的環境下套用原則設定的情況。系統管理員可以使用群組原則模型,來模擬要針對現有設定套用的 RSoP 資料,或者可以分析對於其目錄環境之模擬假設變更的效果。群組原則模型要求您至少需有一個執行 Windows Server 2003 的網域控制站,因為此模擬是透過執行 Windows Server 2003 之網域控制站上的服務來執行。如需詳細資訊,請參閱 Microsoft TechNet 網站上的群組原則模型 (英文) (https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x404) 。
群組原則結果。代表實際的原則資料,會套用至電腦和使用者。藉由查詢目標電腦和擷取套用至該電腦的 RSoP 資料來取得資料。群組原則結果功能是由用戶端作業系統所提供,需要有 Windows XP、Windows Server 2003 或更新版本的作業系統。如需詳細資訊,請參閱 Microsoft TechNet 網站上群組原則結果 (https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x404) 。
原本即已提供GPMC 做為 Microsoft Windows Server 2003 和 Windows XP 的個別下載元件。若要下載 GPMC,請參閱 Microsoft 下載中心網站上的下載群組原則管理主控台 (GPMC) (https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x404) 。
在 Windows Vista 和 Windows Server 2008 中,GPMC 已直接整合至作業系統中,是用來管理群組原則工作以及群組原則物件編輯器的標準工具。
如需 GPMC 的詳細資訊,請參閱 Microsoft TechNet 網站上的使用群組原則管理主控台的逐步指南 (英文) (https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x404) 。
群組原則物件編輯器
群組原則物件編輯器是 MMC 嵌入式管理單元,可用來設定群組原則物件中的原則設定。群組原則物件編輯器包含於 gpedit.dll 中,可利用 Windows 2000、Windows XP、Windows Server 2003 和 Windows Vista 及 Windows Server 2008 作業系統來安裝。
在執行 Windows 2000、已安裝 Windows Server 2003 系統管理工具套件的 Windows XP,以及 Windows Server 2003 的電腦上,您可以從 [Active Directory 使用者和電腦] 及 [Active Directory 站台及服務] 嵌入式管理單元存取群組原則物件編輯器。
若要針對非網域成員的本機電腦設定群組原則設定,可以使用群組原則物件編輯器來管理本機 GPO (或執行 Windows Vista 或 Windows Server 2008 之電腦上的多個 GPO)。若要在網域環境中設定群組原則設定,則會呼叫群組原則物件編輯器的 GPMC 是用於群組原則管理工作的慣用工具。
群組原則物件編輯器可為系統管理員提供階層式樹狀結構,以用於設定 GPO 中的群組原則設定。然後這些 GPO 會連結至包含電腦或使用者物件的網站、網域及 OU。
群組原則物件編輯器是由兩個主要節點所組成:[使用者設定] (包含的設定可在登入時及定期背景重新整理期間套用至使用者),以及 [電腦設定] (包含的設定可在啟動時及定期背景重新整理期間套用至電腦)。主要節點會進一步分割為包含可設定之不同原則設定類型的資料夾。這些資料夾包括:
軟體設定,其中包含軟體安裝設定
Windows 設定,其中包含安全性設定和指令碼原則設定
系統管理範本,其中包含以登錄為基礎的原則設定
如需群組原則物件編輯器的詳細資訊,請參閱 Microsoft TechNet Windows Server 2003 網站上的群組原則 (GPMC 前版) (https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x404) 。
Office 自訂工具和群組原則
系統管理員可以使用兩個工具來自訂 2007 Office System 應用程式的使用者設定:Office 自訂工具 (OCT) 和 群組原則。雖然這兩個工具都會設定使用者設定,但還是有一些重要差異。
Office 自訂工具可用來建立安裝程式自訂檔案 (MSP 檔案)。系統管理員可以使用 OCT 來自訂功能並設定使用者設定。使用者可以在安裝之後修改大部分的設定。這是因為 OCT 會在登錄的可公開存取部分 (例如,HKEY_CURRENT_USER/Software/Microsoft/Office/12.0) 中進行設定。此工具通常可用於未集中管理桌上型電腦設定的組織中。如需詳細資訊,請參閱<2007 Office 系統的 Office 自訂工具>。
群組原則可用來設定包含在系統管理範本中的 2007 Office System 原則設定,而作業系統會強制使用這些原則設定。在 Active Directory 環境,系統管理員可以將原則設定套用至群組原則物件連結之網站、網域或組織單位中的使用者和電腦群組。真正的原則設定會寫入原則的已核准登錄機碼中,而且這些設定會有 ACL 限制,可防止非系統管理員的使用者變更他們。系統管理員可以使用群組原則來建立高度管理的桌上型電腦設定,也可以建立少量管理的設定來滿足組織的商業與安全性需求。