• Artikel

Planen von Gruppenrichtlinien

Letzte Aktualisierung: März 2007

Betrifft: Office Resource Kit

 

Letztes Änderungsdatum des Themas: 2008-11-18

In einer auf Active Directory basierenden Umgebung können Administratoren mithilfe von Gruppenrichtlinieneinstellungen für die 2007 Microsoft Office System- Anwendungen Aufgaben wie die folgenden zentral verwalten:

  • Festlegen von Sicherheitsoptionen für 2007 Office System-Anwendungen. Administratoren können z. B. Richtlinieneinstellungen zur Verwaltung folgender Bereiche angeben:

    • Vertrauenswürdige Speicherorte und vertrauenswürdige Herausgeber

    • Einstellungen für Internet Explorer-Featuresteuerelemente in 2007 Office System

    • Datenschutzoptionen in 2007 Office System

    • Dokumentschutzeinstellungen in 2007 Office System

    • Einstellungen für das Blockieren von Dateiformaten in 2007 Office System

  • Verwalten der Microsoft Office Outlook 2007-Sicherheits- und Konfigurationseinstellungen. Administratoren können z. B. Richtlinieneinstellungen zum Verwalten der folgenden Bereiche angeben:

    • Optionen für Exchange-Cache-Modus

    • Anpassung von Anlageneinstellungen

    • Optionen für Outlook-Sicherheitsmodus zur Angabe der Sicherheitseinstellungen, die in Outlook erzwungen werden

    • Sicherheit für Outlook 2007-Ordnerhomepages

    • Anpassung der programmgesteuerten Sicherheitseinstellungen

    • Anpassung von Sicherheitseinstellungen für ActiveX und benutzerdefinierte Formulare

    • Vertrauenswürdige Add-Ins für Outlook 2007

    • Junk-E-Mail-Filtereinstellungen

    • Einstellungen für Persönliche Ordner-Dateien (PST) und Offlineordnerdateien (OST) in Outlook; z. B. Begrenzen der PST-Dateigröße, Angeben des Standardspeicherorts von PST- und OST-Dateien usw.

    • RSS-Optionen (Really Simple Syndication), Optionen für die Instant Messaging-Integration, Internetkalenderoptionen und Einstellungen für Besprechungsarbeitsbereiche

    • Anpassungen von Outlook-Features für Sofortsuche, Kategorien, Suchordneroptionen, Unicode-Optionen, Nachrichtencodierungsoptionen, Optionen für die LDAP-Verzeichnissuche (Lightweight Directory Access-Protokoll) sowie benutzerdefinierte Filteroptionen

    • Deaktivieren von Outlook-Benutzeroberflächenelementen

  • Angeben der Standardoptionen zum Speichern von Dateien für Microsoft Office Word 2007, Microsoft Office Excel 2007 und Microsoft Office PowerPoint 2007. Administratoren können außerdem Richtlinieneinstellungen für Standarddateiformate konfigurieren, um anzugeben, ob Access 2007 oder Access 2002-2003 verwendet werden soll und ob ältere Datenbanken konvertiert werden sollen.

  • Steuern von wichtigen Einstellungen für die Organisation. Administratoren können z. B. das Standarddateiformat für 2007 Office System-Anwendungen auf das Legacyformat festlegen, bis alle Clients in der Organisation die Open XML-Formate lesen können.

  • Einschränken des Zugriffs auf 2007 Office System-Benutzeroberflächenelemente. Beispielsweise können Administratoren Befehle, Menüelemente und Zugriffstasten für Office-Anwendungen deaktivieren.

  • Angeben von Richtlinieneinstellungen zum Erzwingen von Standardspracheinstellungen für Office

  • Bereitstellen von Standardkonfigurationen von 2007 Office System-Anwendungseinstellungen für die Benutzeroberfläche innerhalb der Organisation

  • Bereitstellen von stark eingeschränkten oder nur in geringem Umfang verwalteten Konfigurationen von 2007 Office System-Anwendungen innerhalb der Organisation

In diesem Thema wird die Planung für die Bereitstellung einer Gruppenrichtlinienlösung erläutert.

Planen der Verwaltung von 2007 Office-Anwendungen mithilfe von Gruppenrichtlinien

Die Planung der Bereitstellung von Gruppenrichtlinienlösungen umfasst mehrere Schritte:

  1. Definieren der Unternehmensziele und Sicherheitsanforderungen

  2. Bewerten der aktuellen Umgebung

  3. Entwerfen verwalteter Konfigurationen auf Grundlage der Geschäfts- und Sicherheitsanforderungen

  4. Ermitteln des Anwendungsumfangs der Lösung

  5. Planen von Tests und Staging und Bereitstellen der Gruppenrichtlinienlösung

  6. Einbinden der Verantwortlichen in die Planung und Bereitstellung der Lösung

Definieren der Unternehmensziele und Sicherheitsanforderungen

Identifizieren Sie Ihre spezifischen Geschäfts- und Sicherheitsanforderungen, und bestimmen Sie, wie Sie mithilfe von Gruppenrichtlinien Standardkonfigurationen für 2007 Office System-Anwendungen verwalten können. Identifizieren Sie die Ressourcen (Gruppen von Benutzern und Computern), für die Office-Einstellungen mithilfe von Gruppenrichtlinien verwaltet werden, und definieren Sie den Umfang des Projekts.

Bewerten der aktuellen Umgebung

Untersuchen Sie, wie Verwaltungsaufgaben im Zusammenhang mit Konfigurationen für Microsoft Office-Anwendungen derzeit ausgeführt werden, um zu bestimmen, welche Arten von Office-Richtlinieneinstellungen Sie verwenden sollten. Dokumentieren Sie die aktuellen Vorgehensweisen und Anforderungen. Verwenden Sie diese Informationen im nächsten Schritt zum Entwerfen verwalteter Konfigurationen. Berücksichtigen Sie dabei die folgenden Elemente:

  • Vorhandene Unternehmenssicherheitsrichtlinien und andere Sicherheitsanforderungen. Identifizieren Sie Speicherorte und Herausgeber, die als sicher betrachtet werden. Bewerten Sie die Anforderungen an die Verwaltung von Einstellungen für Internet Explorer-Featuresteuerelemente, Dokumentschutz, Datenschutzoptionen und das Blockieren von Dateiformaten.

  • Messaginganforderungen der Organisation. Bewerten Sie die Anforderungen an die Konfiguration der Benutzeroberflächeneinstellungen, den Virenschutz und andere Sicherheitseinstellungen für Office Outlook 2007 mithilfe von Gruppenrichtlinien.

    Gruppenrichtlinien bieten auch Einstellungen zum Einschränken der Größe von PST-Dateien, durch die die Leistung auf der Arbeitsstation verbessert werden kann.

  • Rollenspezifische Benutzeranforderungen für Office-Anwendungen. Diese Anforderungen sind größtenteils von der Tätigkeit der Benutzer und den Sicherheitsanforderungen der Organisation abhängig.

  • Bestimmen der Standardoptionen zum Speichern von Dateien für Microsoft Office Word 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007 und Microsoft Access 2007.

  • Bestimmen der Zugriffsbeschränkungen, die für verschiedene Benutzergruppen für 2007 Office System-Benutzeroberflächenelemente festgelegt werden müssen, z. B. Deaktivieren von Menüelementen, Befehlen und Tastenkombinationen.

  • Ermitteln der Computer in gemischten Umgebungen, auf denen Windows Vista ausgeführt wird

    NoteHinweis:
    Neue Richtlinieneinstellungen unter Windows Vista oder Windows Server 2008 können nur von administrativen Computern unter Windows Vista oder Windows Server 2008 verwaltet werden, auf denen der Gruppenrichtlinienobjekt-Editor oder die Gruppenrichtlinien-Verwaltungskonsole ausgeführt wird. Diese Richtlinieneinstellungen werden nur in ADMX-Dateien definiert und werden in den Windows Server 2003-, Windows XP- oder Windows 2000-Versionen dieser Tools nicht verfügbar gemacht. Administratoren müssen den Gruppenrichtlinienobjekt-Editor auf einem administrativen Computer unter Windows Vista oder Windows Server 2008 verwenden, um neue auf Windows Vista basierende Gruppenrichtlinieneinstellungen zu konfigurieren. Im Fall von 2007 Office System sind die Richtlinieneinstellungen in ADM- und ADMX-Dateien identisch.

    Weitere Informationen zum Verwalten von ADMX-Dateien in Vista finden Sie auf der Microsoft TechNet-Website unter Schritt-für-Schritt-Anweisungen zur Verwaltung von ADMX-Dateien für Gruppenrichtlinien.

  • Ermitteln von Problemen im Zusammenhang mit der Softwareinstallation, wenn diese Bereitstellungsmethode in Erwägung gezogen wird. Zwar können Softwareanwendungen in kleineren Organisationen mit Active Directory mithilfe von Gruppenrichtlinien installiert werden, es gibt jedoch einige Einschränkungen. Sie müssen selbst ermitteln, ob diese Lösung für Ihre Bereitstellungsanforderungen geeignet ist. Weitere Informationen finden Sie im Abschnitt "Bereitstellungsüberlegungen" in Verwenden der Gruppenrichtlinien-Softwareinstallation zur Bereitstellung von 2007 Office System.

    NoteHinweis:
    Wenn Sie eine große Anzahl von Clients in einer komplexen oder sich schnell ändernden Umgebung verwalten, wird in mittleren und großen Organisationen Microsoft Systems Management Server als Methode zum Installieren und Verwalten von 2007 Office Release empfohlen. Microsoft Systems Management Server bietet zusätzliche Funktionen, einschließlich Inventar-, Planungs- und Berichterstellungsfeatures. Weitere Informationen zum Bereitstellen von 2007 Office Release mit Microsoft Systems Management Server finden Sie unter Verwenden von Systems Management Server 2003 zum Bereitstellen von 2007 Office System.

    Eine weitere Option zur Bereitstellung von 2007 Office System in Active Directory-Umgebungen ist die Verwendung von Gruppenrichtlinienskripts zum Starten des Computers. Weitere Informationen zu dieser Methode finden Sie unter Verwenden von Gruppenrichtlinien zum Zuweisen von Skripts zum Starten des Computers für die 2007 Office System-Bereitstellung.

  • Bestimmen, wann Gruppenrichtlinieneinstellungen zum Erzwingen der Konfiguration eines Office-Anwendungsfeatures oder einer Option verwendet werden und wann die Option mit dem Office-Anpassungstool (OAT) festgelegt wird. Sowohl mithilfe von Gruppenrichtlinien als auch mithilfe des OAT können Benutzerkonfigurationen für 2007 Office Release-Anwendungen angepasst werden, es gibt jedoch einige wichtige Unterschiede.

    Gruppenrichtlinien dienen zum Konfigurieren der 2007 Office Release-Richtlinieneinstellungen in administrativen Vorlagen. Diese Richtlinieneinstellungen werden vom Betriebssystem erzwungen. Für diese Einstellungen gelten ACL-Zugriffssteuerungsbeschränkungen (Access Control List, Zugriffssteuerungsliste), die verhindern, dass die Einstellungen von Nichtadministratoren geändert werden. Verwenden Sie Gruppenrichtlinien zum Konfigurieren von Einstellungen, die Sie erzwingen möchten.

    Das OAT wird zum Erstellen einer Setupanpassungsdatei (MSP-Datei) verwendet. Administratoren können mithilfe des OAT Features anpassen und Benutzereinstellungen konfigurieren. Benutzer können die meisten der Einstellungen nach der Installation ändern. Es wird empfohlen, das OAT nur für bevorzugte Einstellungen oder für Standardeinstellungen zu verwenden.

    Weitere Informationen finden Sie unter Office-Anpassungstool und Gruppenrichtlinien in Gruppenrichtlinie (Übersicht) (2007 Office System).

  • Bestimmen, wann lokale Gruppenrichtlinien zum Konfigurieren von Office-Einstellungen verwendet werden. Administratoren können mithilfe von lokalen Gruppenrichtlinien Einstellungen in Umgebungen mit eigenständigen Computern steuern, die nicht Teil einer Active Directory-Domäne sind. Sie können lokale Gruppenrichtlinienobjekte zwar auf einzelnen Computern konfigurieren, alle Vorteile von Gruppenrichtlinien erzielen Sie aber in einem Windows 2000- oder Windows Server 2003-Netzwerk mit Active Directory.

    Windows Vista und Windows Server 2008 bieten Unterstützung für die Verwaltung mehrerer lokaler Gruppenrichtlinienobjekte auf eigenständigen Computern. Mehrere Gruppenrichtlinienobjekte können zum Verwalten von Umgebungen verwendet werden, bei denen einzelne Computer gemeinsam verwendet werden, z. B. in Bibliotheken oder Computerübungsräumen. Sie können mehrere lokale Gruppenrichtlinienobjekte lokalen Benutzern oder integrierten Gruppen zuweisen. Weitere Informationen zu lokalen Gruppenrichtlinienobjekten und zum Feature für mehrere lokale Gruppenrichtlinienobjekte finden Sie unter Lokale und Active Directory-basierte Gruppenrichtlinien und Gruppenrichtlinienverarbeitung in Gruppenrichtlinie (Übersicht) (2007 Office System) sowie im Schritt-für-Schritt-Anweisungen zur Verwaltung mehrerer lokaler Gruppenrichtlinienobjekte auf der Microsoft TechNet-Website.

Entwerfen verwalteter Konfigurationen auf Grundlage der Geschäfts- und Sicherheitsanforderungen

Anhand Ihrer Geschäftsanforderungen, Sicherheits-, Netzwerk- und IT-Anforderungen sowie der aktuellen Verwaltungsmethoden für Office-Anwendungen können Sie die geeigneten Richtlinieneinstellungen zum Verwalten von Office-Anwendungen für Benutzer in Ihrer Organisation identifizieren. Die Informationen, die Sie während der Bewertung der aktuellen Umgebung sammeln, unterstützen Sie beim Entwurf der Ziele, die Sie mit Gruppenrichtlinien umsetzen möchten.

Bestimmen Sie Folgendes, um die Ziele für die Verwendung von Gruppenrichtlinien zur Verwaltung von Konfigurationen für Office-Anwendungen zu definieren:

  • Den Zweck jedes Gruppenrichtlinienobjekts

  • Den Besitzer der einzelnen Gruppenrichtlinienobjekte, also die Person, die für die Verwaltung des Gruppenrichtlinienobjekts zuständig ist

  • Die Anzahl der zu verwendenden Gruppenrichtlinienobjekte. Beachten Sie, dass sich die Anzahl der Gruppenrichtlinienobjekte für einen Computer auf die Startdauer auswirkt und die Anzahl der Gruppenrichtlinienobjekte für einen Benutzer auf die Dauer der Netzwerkanmeldung. Je mehr Gruppenrichtlinienobjekte mit einem Benutzer verknüpft sind, und insbesondere je größer die Anzahl der Einstellungen in diesen Gruppenrichtlinienobjekten ist, desto länger dauert die Verarbeitung der Gruppenrichtlinienobjekte, wenn sich ein Benutzer anmeldet. Während der Anmeldung wird jedes Gruppenrichtlinienobjekt aus der Hierarchie von Standort, Domänen und Organisationseinheiten des Benutzers angewendet, sofern für den Benutzer Berechtigungen zum Lesen und Übernehmen von Gruppenrichtlinien festgelegt sind.

  • Den geeigneten Active Directory-Container, mit dem die einzelnen Gruppenrichtlinienobjekte (Standort, Domäne oder Organisationseinheit) verknüpft werden sollen

  • Den Speicherort der zu installierenden Office-Anwendungen, wenn 2007 Office System mithilfe der Gruppenrichtlinie für die Softwareinstallation bereitgestellt wird

  • Den Speicherort des Skripts zum Starten des Computers, das ausgeführt werden soll, wenn 2007 Office System durch Zuweisen von Gruppenrichtlinienskripts zum Starten des Computers bereitgestellt wird

  • Die Arten der Richtlinieneinstellungen in jedem Gruppenrichtlinienobjekt. Diese sind abhängig von den Unternehmens- und Sicherheitsanforderungen sowie der aktuellen Methode zum Verwalten von Einstellungen für Office-Anwendungen. Es wird empfohlen, nur für die Stabilität und Sicherheit relevante Einstellungen zu konfigurieren und Konfigurationen auf ein Minimum zu beschränken. Sie sollten ggf. auch Richtlinieneinstellungen verwenden, mit denen die Leistung der Arbeitsstation verbessert werden kann, z. B. durch Steuern der Größe der Outlook-PST-Datei.

  • Ob Ausnahmen für die Standardverarbeitungsreihenfolge für Gruppenrichtlinien festgelegt werden müssen

  • Ob Filteroptionen für Gruppenrichtlinien festgelegt werden müssen, um Gruppenrichtlinien auf bestimmte Benutzer und Computer anzuwenden

Berücksichtigen Sie beim Entwerfen Ihrer Gruppenrichtlinienkonfigurationen die allgemeinen Empfehlungen für die Verwaltung von Gruppenrichtlinienobjekten. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Empfehlungen für Gruppenrichtlinienobjekte.

Sie können die Planung der laufenden Verwaltung von Gruppenrichtlinienobjekten vereinfachen, indem Sie Verwaltungsverfahren zum Nachverfolgen und Verwalten von Gruppenrichtlinienobjekten definieren. Dadurch wird sichergestellt, dass alle Änderungen in einer vorgeschriebenen Weise implementiert werden.

Ermitteln des Anwendungsumfangs der Lösung

Bestimmen Sie die Richtlinieneinstellungen für 2007 Office System, die für alle Benutzer im Unternehmen gelten (z. B. Anwendungssicherheitseinstellungen, die für die Sicherheit der Organisation kritisch sind), und die Richtlinieneinstellungen, die auf Benutzergruppen mit bestimmten Rollen zutreffen. Planen Sie Ihre Konfigurationen entsprechend den ermittelten Anforderungen.

In einer Active Directory-Umgebung weisen Sie Gruppenrichtlinieneinstellungen zu, indem Sie Gruppenrichtlinienobjekte mit Standorten, Domänen oder Organisationseinheiten verknüpfen. Die meisten Gruppenrichtlinienobjekte werden in der Regel auf Ebene der Organisationseinheit zugewiesen. Die Struktur der Organisationseinheiten sollte daher die gruppenrichtlinienbasierte Verwaltungsstrategie für 2007 Office System unterstützen. Sie können einige Gruppenrichtlinieneinstellungen auch auf Domänenebene anwenden, z. B. sicherheitsbezogene Richtlinieneinstellungen oder Outlook-Einstellungen, die für alle Benutzer in der Domäne gelten sollen.

Planen von Tests und Staging und Bereitstellen der Gruppenrichtlinienlösung

Dieser Schritt ist ein wichtiger Bestandteil jeder Gruppenrichtlinienbereitstellung. Er umfasst das Erstellen von Gruppenrichtlinien-Standardkonfigurationen für 2007 Office System-Anwendungen und das Testen der Gruppenrichtlinienobjekt-Konfigurationen in einer Testumgebung, bevor sie den Benutzern in der Organisation bereitgestellt werden. Gegebenenfalls können Sie den Anwendungsbereich der Gruppenrichtlinienobjekte filtern und Ausnahmen für die Vererbung von Gruppenrichtlinien definieren. Administratoren können mithilfe der Gruppenrichtlinienmodellierung (in der Gruppenrichtlinien-Verwaltungskonsole) auswerten, welche Richtlinieneinstellungen durch ein spezielles Gruppenrichtlinienobjekt angewendet werden würden, und anhand der Gruppenrichtlinienergebnisse (in der Gruppenrichtlinien-Verwaltungskonsole) feststellen, welche Richtlinieneinstellungen in Kraft sind.

Testen und Staging von Gruppenrichtlinienbereitstellungen

Gruppenrichtlinien bieten die Möglichkeit, Konfigurationen auf hunderten und sogar tausenden von Computern in einer Organisation zu bearbeiten. Daher ist es wichtig, einen Änderungsmanagementprozess einzusetzen und alle neuen Gruppenrichtlinienkonfigurationen oder -bereitstellungen eingehend in einer Testumgebung zu testen, bevor sie in die Produktionsumgebung übernommen werden. Durch diesen Prozess wird sichergestellt, dass die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt die erwarteten Ergebnisse für die gewünschten Benutzer und Computer in Active Directory-Umgebungen erzielen.

Als bewährte Methode zum Verwalten von Gruppenrichtlinienimplementierungen wird empfohlen, dass Administratoren Gruppenrichtlinienbereitstellungen mithilfe des folgenden Prozesses vorab bereitstellen (Staging):

  • Bereitstellen neuer Gruppenrichtlinienobjekte in einer Testumgebung, die weitestgehend die Produktionsumgebung widerspiegelt

  • Bewerten der Auswirkungen eines neuen Gruppenrichtlinienobjekts auf Benutzer und der Interoperation mit vorhandenen Gruppenrichtlinienobjekten unter Verwendung der Gruppenrichtlinienmodellierung (Gruppenrichtlinien-Verwaltungskonsole)

  • Bewerten der in der Testumgebung angewendeten Gruppenrichtlinieneinstellungen unter Verwendung der Gruppenrichtlinienergebnisse (Gruppenrichtlinien-Verwaltungskonsole)

Ausführliche Informationen zu Stagingbereitstellungen finden Sie unter Staging von Gruppenrichtlinienbereitstellungen (in englischer Sprache) im Buch Entwerfen einer verwalteten Umgebung im Microsoft Windows Server 2003 Deployment Kit.

Informationen zur Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), zur Gruppenrichtlinienmodellierung und zu Gruppenrichtlinienergebnissen finden Sie unter Gruppenrichtlinien-Verwaltungstools in Gruppenrichtlinie (Übersicht) (2007 Office System).

Einbinden der Verantwortlichen in die Planung und Bereitstellung der Lösung

Gruppenrichtlinienbereitstellungen in Unternehmen betreffen mit großer Wahrscheinlichkeit auch angrenzende Funktionsbereiche. Im Rahmen der Bereitstellungsvorbereitung sollten Sie sich daher unbedingt mit den Verantwortlichen der verschiedenen funktionalen Teams in Ihrer Organisation in Verbindung setzen und dafür sorgen, dass sie ggf. in die Analyse-, Entwurfs-, Test- und Implementierungsphasen eingebunden werden.

Stellen Sie sicher, dass Sie die Richtlinieneinstellungen, die Sie zur Verwaltung der 2007 Office System-Anwendungen bereitstellen möchten, mit den Sicherheits- und IT-Teams der Organisation besprechen, damit die Konfigurationen den Anforderungen der Organisation entsprechen und die angewendeten Richtlinieneinstellungen ausreichend streng für den Schutz der Netzwerkressourcen sind.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Herunterladbare Bücher für das 2007 Office Resource Kit.