Поделиться через


Планирование групповой политики

Обновлено: Март 2007

Назначение: Office Resource Kit

 

Последнее изменение раздела: 2008-11-18

В среде на базе службы каталогов Active Directory администраторы могут использовать параметры групповой политики для приложений Выпуск 2007 системы Microsoft Office, чтобы централизировать некоторые задачи управления, такие как:

  • Настройка параметров безопасности для приложений Выпуск 2007 системы Office. Например, администраторы могут указывать следующие управляемые параметры политики:

    • Надежные расположения и надежные издатели

    • Параметры управления функциями Internet Explorer в Выпуск 2007 системы Office

    • Параметры конфиденциальности в Выпуск 2007 системы Office

    • Параметры защиты документа в Выпуск 2007 системы Office

    • Параметры формата блокового файла в Выпуск 2007 системы Office

  • Управление параметрами безопасности и конфигурации Microsoft Office Outlook 2007. Например, администраторы могут указывать следующие параметры политики для управления зонами:

    • Параметры режима кэширования данных Exchange

    • Настройка параметров вложений

    • Параметры режима безопасности Outlook для указания того, какие параметры безопасности принудительно применяются в Outlook

    • Обеспечение безопасности для домашних страниц папок Outlook 2007

    • Настройка программных параметров безопасности

    • Настройка параметров ActiveX и настраиваемых форм безопасности

    • Надежные надстройки для Outlook 2007

    • Параметры фильтра нежелательной почты

    • Параметры файлов личных папок Outlook (PST) и автономной папки (OST). Например, ограничение на размер файла PST, указание расположения по умолчанию файлов PST и OST и т. д.

    • Технология RSS, параметры интеграции службы обмена мгновенными сообщениями, интернет-календаря и рабочей области собрания

    • Настройки функциональных возможностей Outlook для мгновенного поиска, категорий, параметров папки поиска, кодировки Юникод, шифрования сообщения, обзора каталогов LDAP и настраиваемого фильтра

    • Отключение элементов пользовательского интерфейса Outlook

  • Указание параметров сохранения файлов по умолчанию для Microsoft Office Word 2007, Microsoft Office Excel 2007 и Microsoft Office PowerPoint 2007. Администраторы также могут настроить параметры политики формата файла по умолчанию и указать, следует ли использовать Access 2007 или Access 2002-2003, а также преобразовывать старые базы данных.

  • Управление важными для организации параметрами. Например, администраторы могут задать устаревший формат файла для использования по умолчанию в приложениях Выпуск 2007 системы Office, пока не будет обеспечена поддержка форматов Open XML на всех системах клиентов организации.

  • Ограничение доступа к элементам пользовательского интерфейса Выпуск 2007 системы Office. Например, администратор может отключить команды, элементы меню и сочетания клавиш для приложений Office.

  • Указание параметров политики для принудительного применения параметров языка по умолчанию в Office.

  • Предоставление стандартных настроек параметров пользовательского интерфейса приложений Выпуск 2007 системы Office в рамках организации.

  • Предоставление настроек с высоким уровнем ограничений или с упрощенным управлением для приложений Выпуск 2007 системы Office в рамках организации.

В этом разделе рассмотрено планирование процесса развертывания решения на основе груповой политики.

Планирование управления приложениями Office 2007 с использованем групповой политики

Планирование развертывания решений, основанных на груповой политике, включает несколько этапов:

  1. Определение бизнес-целей и требований безопасности.

  2. Оценка текущей среды.

  3. Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности.

  4. Определение области применения решения.

  5. Планирование тестирования, промежуточных шагов и развертывания решения групповой политики.

  6. Вовлечение ключевых заинтересованных лиц в процесс планирования и развертывания решения.

Определение бизнес-целей и требований безопасности

Выявите особые требования, предъявляемые компанией, и требования безопасности, определите возможные функции групповой политики в области управления стандартными конфигурациями для приложений Выпуск 2007 системы Office. Определите ресурсы (группы пользователей и компьютеров), для которых управление параметрами пакета Office выполняется с помощью групповой политики, и определите область применения проекта.

Оценка текущей среды

Изучите процедуры выполнения текущих задач управления, связанных с настройкой приложений Microsoft Office, чтобы определить, какой тип параметров политики Office следует использовать. Задокументируйте существующие процедуры и требования. Эта информация будет использована при разработке управляемых настроек на следующем шаге. К ним относятся:

  • Существующие корпоративные политики безопасности и другие требования безопасности. Определите, какие сайты и издатели считаются безопасными. Оцените требования по управлению параметрами контроля функций Internet Explorer, защитой документов, параметрами конфиденциальности и блокированием параметров формата файлов.

  • Требования к обмену сообщениями в организации. Оцените требования по настройке параметров пользовательского интерфейса, защиты от вирусов и других параметров безопасности для Office Outlook 2007 с использованием групповой политики.

    В групповой политике также указаны параметры для ограничения размера PST-файлов, что может улучшить производительность рабочей станции.

  • Пользовательские требования к приложениям Office для разных ролей пользователей. Они сильно зависят от рабочих требований пользователей и требований безопасности организации.

  • Определите используемые параметры сохранения файлов по умолчанию для Microsoft Office Word 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007 и Microsoft Access 2007.

  • Определите типы ограничения доступа для различных групп пользователей к элементам пользовательского интерфейса Выпуск 2007 системы Office, в том числе отключение команд, элементов меню и сочетаний клавиш.

  • В смешанной среде определите, на каком компьютере запущена система Windows Vista.

    NoteПримечание:
    Новыми параметрами политики на базе Windows Vista или Windows Server 2008 можно управлять только с административных компьютеров на базе Windows Vista или Windows Server 2008, на которых запущен редактор объектов групповой политики или консоль управления групповыми политиками. Эти параметры политики указаны только в файлах ADMX и не отображаются в версиях этих инструментов для операционных систем Windows Server 2003, Windows XP или Windows 2000. Чтобы настроить новые параметры групповой политики на базе Windows Vista администраторам необходимо использовать редактор объектов групповой политики на администраторском компьютере под управлением Windows Vista или Windows Server 2008. Параметры политики для пакета Office 2007, содержащиеся в файлах ADM и ADMX, аналогичны.

    Дополнительные сведения об администрировании ADMX-файлов в системе Vista см. в статье Пошаговое руководство по управлению ADMX-файлами групповой политики (на английском языке) на веб-сайте Microsoft TechNet .

  • Если рассматривается этот метод развертывания, определите вопросы, относящиеся к установке программ. Хотя групповую политику можно использовать для установки программного обеспечения в небольших организациях, где установлена служба Active Directory, существуют определенные ограничения. Необходимо определить, соответствует ли это решение требованиям развертывания. Дополнительные сведения см. в разделе "Оценка развертывания" в статье Использование установки программного обеспечения групповой политики для развертывания выпуска 2007 системы Microsoft Office.

    NoteПримечание:
    Если необходимо управлять большим числом клиентов или быстро менящейся средой, то для установки и обслуживания выпуска 2007 системы Office в организациях среднего и крупного размера рекомендуется использовать Microsoft Systems Management Server. Microsoft Systems Management Server обеспечивает дополнительные функциональные возможности, в том числе функции инвентаризации, планирования и создания отчетов. Дополнительные сведения об использовании Microsoft Systems Management Server при развертывании пакета Office выпуска 2007 см. в разделе Использование Systems Management Server 2003 для развертывания выпуска 2007 системы Microsoft Office.

    Другая возможность развертывания пакета Выпуск 2007 системы Office в средах Active Directory — это использование сценариев загрузки компьютера с использованием групповой политики. Дополнительные сведения о применении этого метода см. в разделе Использование групповой политики для назначения сценариев загрузки компьютера при развертывании 2007 Office.

  • Определите, когда следует использовать параметры групповой политики для принудительного применения настроек функций и параметров приложения Office, а когда настраивать параметры с помощью центра развертывания Office. Хотя для пользовательской настройки приложений выпуска 2007 системы Office можно использовать как групповую политику, так и центр развертывания Office, между ними существуют важные различия.

    Групповая политика используется для настройки параметров политики выпуска 2007 системы Office, которые содержатся в административных шаблонах и принудительно применяются операционной системой. Для этих параметров существуют ограничения списка управления доступом, чтобы их могли изменять только администраторы. Используйте групповую политику для настройки параметров, которые необходимо применять принудительно.

    Центр развертывания Office используется для создания файла параметров настройки установки (MSP-файла). Центр развертывания Office может использоваться администраторами для настройки функций и параметров пользователей. Пользователи могут изменять большинство параметров после установки. Рекомендуется использовать центр развертывания Office только для основных параметров или параметров по умолчанию.

    Дополнительные сведения см. в разделе Центр развертывания Office и групповая политика в Обзор групповой политики (версия 2007 системы Office).

  • Определите, когда следует использовать локальную групповую политику для настройки параметров Office. Локальная групповая политика может использоваться администраторами для управления параметрами в средах, содержащих изолированные компьютеры, которые не являются частью домена Active Directory. Хотя локальные объекты групповой политики можно настроить на каждом отдельном компьютере, максимальные преимущества групповой политики можно получить в сети на основе Windows 2000 или Windows Server 2003 с установленной службой каталогов Active Directory.

    В операционных система Windows Vista и Windows Server 2008 предусмотрена поддержка локальных объектов групповой политики на изолированных компьютерах. Можно использовать несколько объектов групповой политики для управления средами, содержащими общие системы на одном компьютере, например, библиотеками и компьютерными лабораториями. Локальным пользователями или встроенным группам можно назначить несколько локальных объектов групповой политики. Дополнительные сведения о локальных объектах групповой политики и об использовании нескольких локальных объектов групповой политики см. в разделах Локальная групповая политика и групповая политика на основе Active Directory и Обработка групповой политики в статье Обзор групповой политики (версия 2007 системы Office) и в документе Пошаговое руководство по управлению несколькими объектами групповой политики на веб-сайте Microsoft TechNet .

Разработка управляемых конфигураций, основанных на требованиях бизнеса и безопасности.

Понимание бизнес-требований, требований к безопасности, сети и ИТ, а также процессов управления текущими приложениями Office в организации позволяет определить подходящие параметры политики управления приложениями Office для пользователей в организации. Для формирования целей групповой политики используется информация, собранная во время анализа текущей среды.

При определении целей использования групповой политики для управления настройками приложений Office определите следующее:

  • Назаначение каждого объекта групповой политики.

  • Владелец каждого объект групповой политики — ответственный за управление этим объектом групповой политики.

  • Число используемых объектов групповой политики. Обратите внимание, что число примененных к компьютеру объектов групповой политики влияет на время загрузки, а число объектов групповой политики, примененных к пользователю, влияет на время, необходимое для регистрации в сети. Чем больше объектов групповой политики связано с пользователем, в частности, чем больше параметров содержится в этих объектах групповой политики, тем дольше они обрабатываются при входе пользователя в систему. Во время процесса входа в систему применяется каждый объект групповой политики из иерархии сайта, домена и подразделения пользователя, при условии, что для пользователя заданы разрешения на чтение и применение групповой политики.

  • Соответствующий контейнер Active Directory для связи с каждым объектом групповой политики (сайт, домен или подразделение).

  • Месторасположение для установки приложения Office, если выполняется развертывание Выпуск 2007 системы Office с программным обеспечением групповой политики.

  • Местонахождение выполняемых сценариев загрузки компьютера, если выполняется развертывание Выпуск 2007 системы Office с назначением сценариев загрузки компьютера с групповой политикой.

  • Типы параметров политики, содержащихся в каждом объекте групповой политики. Это зависит от бизнес-требований и требований безопасности, а также от используемого метода управления параметрами приложений Office. Рекомендуется настраивать только те параметры, которые оценены как критичные для стабильности и безопасности, и использовать минимальные конфигурации. Также проанализируйте целесообразность использования параметров безопасности, которые могут улучшить производительность рабочей станции, например контроль размера PST-файла Outlook.

  • Необходимость настройки исключений из порядка обработки по умолчанию для групповой политики.

  • Необходимость настройки параметров фильтрации для групповой политики с целью указания определенных пользователей и компьютеров.

При разработке конфигурации групповой политики обратите внимание на общие рекомендации по управлению объектами групповой политики. Дополнительные сведения см. в документе Рекомендации для объектов групповой политики на веб-сайте Microsoft TechNet .

Для планирования непрерывного администрирования объектов групповой политики рекомендуется создать административные процедуры, чтобы отслеживать и контролировать объекты групповой политики. Это позволяет обеспечить использование назначенного метода для внедрения всех изменений.

Определение области применения решения

Определите параметры политики Выпуск 2007 системы Office, которые применимы ко всем корпоративным пользователям (например, параметры безопасности любого приложения, которые оценены как важные для обеспечения безопасности организации), а также те параметры, которые определены для групп пользователей на основе их ролей. Планируйте конфигурацию в соответствии с обозначенными требованиями.

В среде Active Directory параметры групповой политики назначаются в результате связывания объектов групповой политики с сайтами, доменами или подразделениями. Большинство объектов групповой политики обычно назначается на уровне подразделений, поэтому убедитесь, что в структуре подразделений поддерживается основанная на групповой политике стратегия управления пакетом Выпуск 2007 системы Office. Также некоторые параметры групповой политики, которые необходимо применить ко всем пользователям домена, можно применить на уровне домена (например, параметры политики безопасности или параметры приложения Outlook).

Планирование тестирования, промежуточных шагов и развертывания решения групповой политики.

Это шаг является важной составляющей любого процесса развертывания групповой политики. На этом этапе выполняется создание стандартных конфигураций для приложений Выпуск 2007 системы Office и тестирование конфигураций объектов групповой политики в тестовой среде перед развертыванием их для пользователей организации. При необходимости можно фильтровать область применения объектов групповой политики и определить исключения в наследовании групповой политики. Администраторы могут использовать моделирование групповой политики (в консоли управления групповыми политиками), чтобы оценить, какие параметры безопасности будут применены определенным объектом групповой политики, и результаты групповой политики (в консоли управления групповыми политиками), чтобы оценить, какие параметры политики действуют.

Тестирование и промежуточные шаги развертывания групповой политики

Групповая политика предоставляет возможность влиять на конфигурации сотен и даже тысяч компьютеров в организации. Следовательно, крайне важно использовать процедуру управления изменениями и строго тестировать все новые конфигурации или развертывания в тестовой среде перед внедрением их в рабочую среду. Эта процедура позволяет гарантировать, что параметры политики, содержащиеся в объекте групповой политики, дают ожидаемые результаты для предполагаемых пользователей и компьютеров в среде Active Directory.

При управлении внедрением групповой политики администраторам рекомендуется осуществлять предварительное размещение развертываний с помощью следующей процедуры, которая выполняется до развертывания:

  • Разверните новый объект групповой политики в тестовой среде, которая предельно точно соответствует рабочей среде.

  • Используйте моделирование групповой политики, чтобы оценить, как новый объект групповой политики повлияет на пользователей и будет взаимодействовать с существующими объектом групповой политики.

  • Используйте результаты групповой политики, чтобы оценить, какие параметры объектов групповой политики применены в тестовой среде.

Дополнительные сведения о поэтапном развертывании см. в разделе Поэтапное развертывание групповой политики в книге Разработка управляемой среды, входящей в *Руководство по развертыванию Microsoft Windows Server 2003 *.

Дополнительные сведения о консоли управления групповыми политиками, моделировании групповой политики и результатах групповой политики см. в разделе Средства управления групповой политикой в Обзор групповой политики (версия 2007 системы Office).

Вовлечение ключевых заинтересованных лиц в процесс планирования и развертывания решения.

На развертывания групповых политик на предприятиях как правило влияют границы между разными подразделениями. При подготовке к развертыванию важно консультироваться с ключевыми заинтересованными лицами из разных функциональных групп организации и при необходимости обеспечить их участие на этапах анализа, разработки, тестирования и внедрения.

Проанализируйте параметры политики, развертывание которых планируется для управления приложениями Выпуск 2007 системы Office, вместе с группой обеспечения безопасности организации и ИТ-отделом и убедитесь, что они соответствуют потребностям организации. Также необходимо убедиться, что применяемый набор параметров политики является достаточно строгим для адекватной защиты сетевых ресурсов.

Загрузить данную книгу

Эта тема представлена в следующих доступных для загрузки книгах, формат которых более удобен для чтения и печати:

Полный список доступных книг см. в разделе Сведения о наборе ресурсов Office.

См. также

Понятия

Обзор групповой политики (версия 2007 системы Office)
Планирование системы безопасности для выпуска 2007 системы Microsoft Office
Планирование обеспечения безопасности и защиты в Outlook 2007
Использование групповой политики для установки параметров сохранения файлов по умолчанию
Использование установки программного обеспечения групповой политики для развертывания выпуска 2007 системы Microsoft Office
Обеспечение параметров с помощью групповой политики в версии 2007 системы Office