Обзор групповой политики для Office 2010
Применимо к: Office 2010
Последнее изменение раздела: 2015-03-09
С помощью групповой политики администраторы могут применять конфигурацию или параметры политики к пользователям и компьютерам в среде службы каталогов Active Directory. Для администраторов, планирующих использовать групповую политику для управления приложениями Microsoft Office 2010, а этой статье представлен краткий обзор понятий групповой политики. Вопросы и ответы о групповой политике и Office 2010 см. в статье Вопросы и ответы. Групповая политика (Office 2010).
Содержание:
Локальная групповая политика и групповая политика на основе Active Directory
Обработка групповой политики
Изменение того, как групповая политика обрабатывает объекты групповой политики
Административные шаблоны
Истинные политики и предпочтения пользователей
Средства управления групповой политикой
Центр развертывания Office и групповая политика
Локальная групповая политика и групповая политика на основе Active Directory
Групповая политика — это инфраструктура, которая используется для применения одной или нескольких конфигураций или параметров политики к группе пользователей и компьютеров в среде службы каталогов Active Directory. Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений. Инфраструктура групповой политики состоит из модуля групповой политики и нескольких отдельных расширений.
В каждой установке групповой политики присутствует по два расширения:
Серверное расширение оснастки консоли управления (MMC) редактора объектов групповой политики, используемое для определения и настройки параметров политики, применяемых к клиентским компьютерам.
Клиентское расширение, вызываемое модулем групповой политики для применения параметров политики.
Параметры групповой политики содержатся в объектах групповой политики, которые связаны с выбранными контейнерами Active Directory: сайтами, доменами или подразделениями (OU). Созданный объект групповой политики хранится в домене. При связывании объекта групповой политики с контейнером Active Directory (например, с подразделением) эта связь становится компонентом данного контейнера Active Directory. Связь не является компонентом объекта групповой политики. Параметры в объектах групповой политики оцениваются по задействованным целевым объектам на основе иерархической структуры Active Directory. Например, можно создать объект групповой политики с именем Параметры Office 2010, который будет влиять только на параметры приложений Office 2010. Этот объект можно применить к определенному сайту, чтобы к приложениям Office 2010 пользователей, входящих в этот сайт, применились указанные в объекте групповой политики Параметры Office 2010 параметры.
На каждом компьютере имеется локальный объект групповой политики, который обрабатывается всегда вне зависимости от того, входит ли компьютер в домен или является автономным. Локальный объект групповой политики не может блокироваться доменными объектами групповой политики. Однако параметры доменных объектов групповой политики всегда имеют преимущество, поскольку обрабатываются после локального объекта групповой политики.
Примечание
Windows Vista, Windows Server 2008 и Windows 7 обеспечивают поддержку для управления несколькими локальными объектами групповой политики на автономных компьютерах. Дополнительные сведения см. в статье Пошаговая инструкция по управлению несколькими локальными объектами групповой политики (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=182215&clcid=0x419) (Возможно, на английском языке).
Хотя локальные объекты групповой политики можно настроить на каждом отдельном компьютере, максимальные преимущества групповой политики можно получить в сети на основе Windows Server 2003 или Windows Server 2008 с установленной службой каталогов Active Directory.
Обработка групповой политики
Групповая политика для компьютеров применяется при запуске компьютера, а групповая политика для пользователей применяется при входе пользователя в систему. Кроме начальной обработки групповой политики в момент запуска и входа в систему, групповая политика периодически применяется впоследствии в фоновом режиме. При обновлении в фоновом режиме клиентское расширение повторно применяет параметры политики только в случае обнаружения изменений на сервере в любом из объектов групповой политики или списке объектов групповой политики. Для установки программного обеспечения и перенаправления папок обработка групповой политики выполняется только во время запуска компьютера или входе пользователя в систему.
Параметры групповой политики обрабатываются в следующем порядке:
Локальный объект групповой политики. На каждом компьютере имеется локальный объект групповой политики. Этот объект групповой политики обрабатывается для групповой политики как компьютера, так и пользователя.
Сайт. После этого обрабатываются объекты групповой политики, связанные с сайтом, к которому принадлежит компьютер. Порядок обработки определяется администратором на вкладке Связанные объекты групповой политики для сайта в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет. Сведения о консоли управления групповыми политиками см. в разделе Средства управления групповыми политиками.
Домен. Группа связанных с доменом объектов групповой политики обрабатывается в порядке, заданном администратором на вкладке Связанные объекты групповой политики для домена в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет.
Подразделения. Объекты групповой политики, связанные с подразделением, расположенным в самом верху иерархии Active Directory, обрабатываются первыми. Затем обрабатываются объекты групповой политики, связанные с дочерним подразделением и т. д. Объекты групповой политики, связанные с подразделением, в котором находится компьютер или пользователь, обрабатываются последними.
Порядок обработки зависит от следующих условий:
Примененные к объектам групповой политики инструментарий управления Windows (WMI) или фильтры параметров безопасности.
Любой доменный объект групповой политики (не локальный групповой политики) может быть принудительно применен при помощи параметра Обеспечить, так что его параметры политики невозможно перезаписать. Поскольку принудительный объект групповой политики обрабатывается последним, никакие другие параметры не могут перезаписать параметры такого объекта групповой политики. При наличии нескольких объектов групповой политики одному параметру в каждом объекте можно присвоить разные значения. В этом случае порядок связей объектов групповой политики определяет, какой параметр групповой политики содержит окончательные параметры.
В любом домене или подразделении наследование для групповой политики можно выборочно указать параметр Блокировать наследование. Однако, поскольку принудительные объекты групповой политики применяются всегда, и блокировать их нельзя, блокировка наследования не предотвращает применение параметров политики из принудительных объектов групповой политики.
Наследование политики
Действующие для пользователя или компьютера параметры политики — это результат объединения объектов групповой политики, примененных на сайте, в домене и подразделении. При применении нескольких объектов групповой политики к пользователям и компьютерам в таких контейнерах Active Directory параметры в объектах групповой политики объединяются. По умолчанию параметры, развернутые в объектах групповой политики, связанных с контейнерами верхнего уровня (родительскими контейнерами) в Active Directory, наследуются дочерними контейнерами и объединяются с параметрами, развернутыми в объектах групповой политики, связанных с дочерними контейнерами. Если несколько объектов групповой политики пытаются настроить параметры политики с использованием конфликтующих значений, параметр задается из объекта групповой политики с высшим приоритетом. Обрабатываемые впоследствии объекты групповой политики имеют преимущество по отношению к ранее обработанным объектам групповой политики.
Синхронная и асинхронная обработка
Синхронные процессы можно представить в виде ряда процессов, запускаемых друг за другом по мере завершения. Асинхронные процессы могут выполняться одновременно несколькими потоками, поскольку их результат не зависит от других процессов. Администраторы могут использовать параметр политики для каждого объекта групповой политики для изменения режима обработки по умолчанию с синхронного на асинхронный.
При синхронной обработке существует ограничение по времени (60 минут) обработки всех объектов групповой политики на клиентском компьютере. Клиентским расширениям, которым не удалось завершить обработку за 60 минут, отправляется сигнал прекращения обработки. В этом случае связанные параметры политики могут быть применены не полностью.
Функция оптимизации быстрого входа
Функция оптимизации быстрого входа по умолчанию включена для членов домена и рабочей группы. Она приводит к асинхронному применению политики при запуске компьютера и входе пользователя в систему. Такое применение политики аналогично обновлению в фоновом режиме. Это может сократить время отображения диалогового окна входа в систему, и пользователь быстрее получает доступ к рабочему столу.
Администраторы могут отключить функцию оптимизации быстрого входа, используя параметр политики Всегда ожидать инициализации сети при загрузке и входе в систему, расположенный в узле редактора объектов групповой политики Конфигурация компьютера\Административные шаблоны\Система\Вход в систему.
Обработка медленных подключений
Некоторые расширения групповой политики не обрабатываются, если скорость подключения опускается ниже заданных предельных значений. В качестве значению по умолчанию, определяющего медленное подключение для групповой политики, можно указать любое значение до 500 килобит в секунду (Кбит/с).
Интервал обновления групповой политики
По умолчанию групповая политика обрабатывается каждые 90 минут с произвольной задержкой не более 30 минут, следовательно, общий максимальный интервал обновления составляет не более 120 минут.
При изменении политик параметров безопасности параметры политики обновляются на компьютерах подразделения, с которым связан объект групповой политики, в следующих случаях.
При перезапуске компьютера.
Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена.
По умолчанию параметры политики безопасности в групповой политике также применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен.
Запуск обновления групповой политики
Изменения, вносимые в объект групповой политики, сначала должны копироваться на соответствующий контроллер домена. Таким образом, изменения параметров групповой политики могут не сразу стать доступными на рабочих столах пользователей. В ряде случаев (например, при применении параметров политики безопасности), может возникать необходимость немедленного применения параметров политики.
Администраторы могут вручную запустить обновление политики с локального компьютера, не дожидаясь автоматического обновления в фоновом режиме. Для этого в командной строке администраторы должны ввести команду gpupdate для обновления параметров политики пользователя или компьютера. Консоль управления политиками безопасности для запуска обновления политики использовать нельзя.
Команда gpupdate запускает фоновое обновление политики на локальном компьютере, на котором она запущена. Команда gpupdate используется в средах Windows Server 2003 и Windows XP.
Применение групповой политики по требованию сервера на клиентских компьютерах невозможно.
Изменение того, как групповая политика обрабатывает объекты групповой политики
Основной способ определения пользователей и компьютеров, к которым применяются параметры объекта групповой политики, заключается в связывании объекта с сайтами, доменами и подразделениями.
Для изменения порядка обработки объектов групповой политики администраторы могут использовать один из следующих методов.
Изменение порядка связей.
Блокировка наследования.
Принудительное применение связи объекта групповой политики.
Отключение связи объекта групповой политики.
Использование фильтрования.
Использование фильтрации WMI.
Использование обработки замыкания на себя.
Эти методы описаны в следующих подразделах.
Изменение порядка связей
От порядка связей групповой политики на сайте, домене или подразделении зависит очередность применения связей. Администраторы могут менять приоритет связи, изменив порядок связей, перемещая каждую связь вверх или вниз по списку в соответствующее место списка. Связь старшего порядка (1 — самый старший порядок) имеет наивысший приоритет для сайта, домена или подразделения.
Блокировка наследования
Блокировка наследования для домена или подразделения препятствует автоматическому наследованию контейнером Active Directory дочернего уровня объектов групповой политики, связанных с сайтами, доменами или подразделениями более высокого уровня.
Принудительное применение связи объекта групповой политики
Можно указать, что параметры в связи объекта групповой политики имеют приоритет по отношению к параметрам любого дочернего объекта, указав для этой связи параметр Принудительный. Принудительные связи объекта групповой политики не могут блокироваться родительским контейнером. Если в объектах групповой политики содержатся конфликтующие параметры, и они не имеют принуждений от контейнера более высокого уровня, то параметры связей объекта групповой политики родительского контейнера более высокого уровня перезаписываются параметрами в объектах групповой политики, связанных с дочерними подразделениями. При принудительном применении связь родительского объекта групповой политики всегда имеет приоритет. По умолчанию, связи объектов групповой политики не являются принудительными.
Отключение связи объекта групповой политики
Можно полностью заблокировать для сайта, домена или подразделения способ применения объекта групповой политики, отключив связь объекта групповой политики для соответствующего домена, сайта или подразделения. При этом объект групповой политики не отключается. Если объект групповой политики привязан к другим сайтам, доменам или подразделениям, то они по-прежнему будут обрабатывать объект групповой политики, если связи остаются включенными.
Использование фильтрования
Этот способ используется, чтобы указать, что к объекту групповой политики применяются только определенные участники безопасности в контейнере, с которым связан объект групповой политики. Фильтрация параметров безопасности может использоваться администраторами для ограничения области действия объекта групповой политики. Это позволит применять объект только к одной группе, одному пользователю или компьютеру. Фильтрацию параметров безопасности нельзя использовать выборочно с различными параметрами в объекте групповой политики.
Объект групповой политики применяется к пользователю или компьютеру, только если такой пользователь или компьютер имеют разрешения на чтение и применение групповой политики для объекта групповой политики, явно или фактически через членство в группе. По умолчанию для всех объектов групповой политики разрешения на чтение и применение групповой политики включены для группы прошедших проверку пользователей, в состав которой входят пользователи и компьютеры. Таким образом, все прошедшие проверку пользователи получают параметры нового объекта групповой политики при его применении к подразделению, домену или сайту.
По умолчанию администраторы домена, администраторы предприятия и локальная система имеют разрешения полного доступа без элемента управления доступом Применить групповую политику. Администраторы также являются членами группы пользователей, прошедших проверку. Это означает, что по умолчанию администраторы получают параметры в объекте групповой политики. Эти разрешения можно изменить для ограничения области действия определенным набором пользователей, групп или компьютеров в подразделении, домене или сайте.
Консоль управления групповыми политиками позволяет управлять этими разрешениями как единым блоком и отображать фильтры параметров безопасности для объекта групповой политики на вкладке Область объекта групповой политики. В консоли управления групповыми политиками можно добавить или удалить группы, пользователей и компьютеры как фильтры параметров безопасности для каждого объекта групповой политики.
Использование фильтров инструментария управления Windows
Фильтры WMI используются для фильтрации применения объекта групповой политики, присоединив к объекту групповой политики запрос на языке запроса WMI (WQL). Запросы можно использовать для опроса WMI по нескольким элементам. Если запрос возвращает истинное значение по всем запрашиваемым элементам, то объект групповой политики применяется к целевому пользователю или компьютеру.
Объект групповой политики связывается с фильтром WMI и применяется к целевому компьютеру, и фильтр оценивается на целевом компьютере. Если фильтр WMI оценивается как ложный, объект групповой политики не применяется (кроме случаев, когда клиентский компьютер работает под управлением Windows 2000. В этом случае фильтр игнорируется, и объект групповой политики применяется всегда). Если фильтр WMI оценивается как истинный, то объект групповой политики применяется.
Фильтр WMI — это отдельный от групповой политики объект в каталоге. Для применения фильтр WMI следует связать с объектом групповой политики, при этом фильтр и объект групповой политики, к которому он привязан, должны находиться в одном домене. Фильтры WMI хранятся только в доменах. Каждый объект групповой политики может иметь только один фильтр WMI. Один фильтр WMI можно связать с несколькими объектами групповой политики.
Примечание
Инструментарий управления Windows (WMI) — это реализация компанией Майкрософт промышленной инициативы управления предприятием на основе веб-технологий, определяющая стандарты инфраструктуры управления и позволяющей объединять информацию от различных аппаратных и программных систем управления. Инструментарий WMI отображает данные конфигурации оборудования, такие как ЦП, память, дисковое пространство и производитель, а также данные программного обеспечения из реестра, драйверов, файловой системы, службы каталогов Active Directory, службы установщика Windows, сетевой конфигурации и данных приложений. Данные о целевом компьютере можно использовать для целей администрирования, например для фильтрации WMI объектов групповой политики.
Использование обработки замыкания на себя
Можно использовать эту возможность для применения согласованного набора параметров политики к любому пользователю, выполняющему вход в систему на определенном ПК, независимо от его расположения в Active Directory.
Обработка замыкания на себя — расширенный параметр групповой политики, который полезно использовать на компьютерах в ряде жестко управляемых сред, таких как серверы, Интернет-киоски, лаборатории, классные комнаты и регистратуры. При настройке замыкания на себя параметр политики Конфигурация пользователя в объектах групповой политики, применяемый к компьютеру, будет применен в каждому пользователю, входящему в систему на этом компьютере, вместо параметра Конфигурация пользователя (в режиме Замена) или в дополнение в нему (в режиме Слияние).
Для настройки обработки замыкания на себя можно использовать параметр политики Режим обработки замыкания пользовательской групповой политики, расположенный в папке Конфигурация компьютера\Административные шаблоны\Система\Групповая политика в редакторе объектов групповой политики.
Для использования функции обработки замыкания на себя учетные записи пользователя и компьютера должны находиться в домене под управлением Windows Server 2003 или более поздней версии Windows. Для компьютеров рабочей группы замыкание на себя не применяется.
Административные шаблоны
Расширение административных шаблонов групповой политики состоит из серверной оснастки MMC, служащей для настройки параметров политики, и клиентского расширения, используемого для настройки разделов реестра на целевых компьютерах. Политику административных шаблонов также называют реестровой политикой или политикой на основе реестра.
Файлы административных шаблонов
Файлы административных шаблонов (ADM) представляют собой файлы в кодировке Юникод, содержащие иерархию категорий и подкатегорий, которые определяют отображение параметров в редакторе объектов групповой политики и консоли управления групповой политикой. Они также обозначают указывают места реестра, на которые влияют параметры политики, в том числе значения по умолчанию, включенные или отключенные значения политики. Эти шаблоны доступны в трех версиях файлов: ADM, ADMX и ADML. ADM-файлы можно использовать для компьютеров под управлением любой операционной системы Windows. ADMX-файлы можно использовать для компьютеров под управлением Windows Vista, Windows Server 2008 или более поздней версии. ADML-файлы — это версии ADML-файлов для конкретного языка.
Функциональность файлов административных шаблонов ограничена. Их цель - предоставить пользовательский интерфейс для настройки параметров политики. Файлы ADM не содержат параметры политики. Параметры политики содержатся в файлах registry.pol, расположенных в папке Sysvol на контроллерах домена.
Серверная оснастка административных шаблонов содержит узел Административные шаблоны, отображаемый в редакторе объектов групповой политики под узлом Конфигурация компьютера и Конфигурация пользователя. Параметры узла Конфигурация компьютера позволяют управлять параметрами реестра для компьютера, а параметры узла Конфигурация пользователя — для пользователей. Хотя для настройки многих параметров политики требуются простые элементы пользовательского интерфейса, такие как текстовые поля для ввода значений, большинство параметров политики имеют только следующие значения:
Включен. Политика применяется принудительно. Некоторый параметры политики могут иметь дополнительные варианты, определяющие режим работы политики при ее включении.
Отключен. Для большинства параметров политики применяется действие, противоположное состоянию Включен. Например, если значение Включен принудительно задает состояние Выкл., значение Отключен задает состояние Вкл..
Не задано. Политика не применяется принудительно. Это состояние по умолчанию для большинства параметров.
Файлы административных шаблонов хранятся на локальном компьютере, как показано в следующей таблице.
Тип файла | Папка |
---|---|
ADM |
%systemroot%\Inf |
ADMX |
%systemroot%\PolicyDefinitions |
ADML |
В папке конкретного языка %systemroot%\PolicyDefinitions\<, например., en-us> |
ADMX- и ADML-файлы можно хранить и использовать в центральном хранилище в папках в контроллере домена, как показано в следующей таблице.
Тип файла | Папка |
---|---|
ADMX |
%systemroot%\sysvol\domain\policies\PolicyDefinitions |
ADML |
В папке конкретного языка %systemroot%\sysvol\domain\policies\PolicyDefinitions\<, например, en-us> |
Дополнительные сведения о хранении и использовании шаблонов из центрального хранилища см. в разделе “Групповая политика и sysvol” в статье Руководство по планированию и развертыванию групповой политики (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x419).
Файлы административных шаблонов системы Office 2010
Файлы административных шаблонов для Office 2010 доступны в виде отдельной загрузки и поддерживают следующие функции.
Контроль точек входа в Интернет из приложений Office 2010.
Управление параметрами безопасности для приложений Office 2010
Скрытие параметров и настроек, не нужных пользователям для выполнения рабочих задач, а также тех, которые могут отвлечь пользователей или стать причиной дополнительных обращений в службу поддержки.
Создание строго контролируемых стандартных конфигураций на пользовательских компьютерах.
Для загрузки административных шаблонов Office 2010 перейдите на страницу Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x419) (Возможно, на английском языке).
Административные шаблоны Office 2010 показаны в следующей таблице.
Приложение | Файлы административных шаблонов |
---|---|
Microsoft Access 2010 |
access14.admx, access14.adml, access14.adm |
Microsoft Excel 2010 |
excel14.admx, excel14.adml, excel14.adm |
Microsoft InfoPath 2010 |
inf14.admx, inf14.adml, inf14.adm |
Microsoft Office 2010 |
office14.admx, office14.adml, office14.adm |
Microsoft OneNote 2010 |
onent14.admx, onent14.adml, onent14.adm |
Microsoft Outlook 2010 |
outlk14.admx, outlk14.adml, outlk14.adm |
Microsoft PowerPoint 2010 |
ppt14.admx, ppt14.adml, ppt14.adm |
Microsoft Project 2010 |
proj14.admx, proj14.adml, proj14.adm |
Microsoft Publisher 2010 |
pub14.admx, pub14.adml, pub14.adm |
Microsoft SharePoint Designer 2010 |
spd14.admx, spd14.adml, spd14.adm |
Microsoft SharePoint Workspace 2010 |
spw14.admx, spw14.adml, spw14.adm |
Microsoft Visio 2010 |
visio14.admx, visio14.adml, visio14.adm |
Microsoft Word 2010 |
word14.admx, word14.adml, word14.adm |
Истинные политики и предпочтения пользователя
Параметры групповой политики, которыми администраторы могут управлять в полной мере, называются истинными политиками. Параметры, настраиваемые пользователями или отражающие состояние по умолчанию операционной системы в момент установки, называются пользовательскими настройками. Как истинные политики, так и пользовательские настройки содержат сведения для изменения реестра на компьютерах пользователей. Истинные политики и пользовательские настройки имеют важные различия. Параметры истинной политики имеют приоритет над пользовательскими настройками.
Истинные политики
Значения системного реестра для истинных политик хранятся в утвержденных разделах реестра для групповой политики. Пользователи не могут изменять или отключать следующие параметры.
Параметры политики компьютера:
HKEY_LOCAL_MACHINE\Software\Policies (предпочтительное местоположение)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Параметры политики пользователей:
HKEY_CURRENT_USER\Software\Policies (предпочтительное местоположение)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Для Office 2010 истинные политики хранятся в следующих разделах реестра.
Параметры политики компьютера:
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0
Параметры политики пользователей:
- HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0
Предпочтения
Пользовательские настройки задаются пользователями или операционной системой в момент установки. Значения реестра, где хранятся пользовательские настройки) расположены вне утвержденных разделов групповой политики. Пользователи могут менять свои настройки.
При настройке пользовательских настроек при помощи объекта групповой политики таким способом нет ограничений системного списка управления доступом. Следовательно, пользователи могут иметь возможность изменения этих значений в реестре. Если объект групповой политики выходит за область действия (при удалении связи объекта групповой политики, его отключении или удалении), эти значения из системного реестра не удаляются.
Для просмотра пользовательских настроек в редакторе объектов групповой политики щелкните узел Административные шаблоны, в меню Вид выберите пункт Фильтрация... и снимите флажок Показывать только управляемые параметры политики.
Средства управления групповыми политиками
Администраторы используют следующие средства для администрирования групповых политик:
Консоль управления групповыми политиками Используется для управления основными задачами групповой политики.
Редактор объектов групповой политики Используется для настройки параметров политики в объектах групповой политики.
Консоль управления групповой политикой
Консоль управления групповой политикой (GPMC) упрощает управление групповой политикой, обеспечивая единый инструмент для управления основными параметрами групповой политики, такими как определение области действия, передача, фильтрация и управление наследованием объектов групповой политики. Консоль управления групповой политикой также можно использовать для резервного копирования (экспорта), восстановления, импорта и копирования объектов групповой политики. Эта консоль позволяет администраторам оценить влияние объектов групповой политики на сеть и определить изменения параметров компьютера или пользователя, вносимые объектами групповой политики. Консоль управления групповой политикой является предпочтительным средством управления большинством задач групповой политики в доменной среде.
Консоль управления групповой политикой позволяет получить обзор объектов групповой политики, сайтов, доменов и подразделений в масштабе предприятия. Консоль используется для управления доменами Windows Server 2003 или Windows 2000.Консоль управления групповой политикой помогает администраторам выполнять все задачи управления групповой политикой, за исключением настройки отдельных параметров политики в объектах групповой политики — для этого служит редактор объектов групповой политики. Редактор объектов групповой политики вызывается из консоли управления групповой политикой и используется с этой консоли.
Администраторы используют консоль управления групповой политикой для создания объекта групповой политики без исходных параметров. Администратор может также создать объект групповой политики, одновременно связав его с контейнером Active Directory. Для настройки отдельных параметров в объекте групповой политики администратор редактирует объект групповой политики из консоли управления групповой политикой. Редактор объектов групповой политики отображается при загрузке объекта групповой политики.
Консоль управления групповой политикой можно использовать для связывания объектов групповой политики с сайтами, доменами или подразделениями в службе каталогов Active Directory. Для применения параметров к пользователям и компьютерам в контейнерах Active Directory объекты групповой политики необходимо связать.
Консоль управления групповой политикой содержит следующие возможности результирующего набора политик (RSoP), обеспечиваемые Windows.
Моделирование групповой политики. Моделирование групповой политики позволяет администраторам моделировать данные RSoP, которые будут применены к существующей конфигурации, или проанализировать результаты смоделированных гипотетических изменений в среде каталога. Моделирование групповой политики позволяет администраторам моделировать данные RSoP, которые будут применены к существующей конфигурации, или проанализировать результаты смоделированных, гипотетических изменений в среде каталога.
Результаты групповой политики. Представление фактических данных политики, применяемых к компьютеру и пользователю. Данные получаются в результате отправки запроса на целевой компьютер и получения данных RSoP, примененных к компьютеру. Возможность просмотра результатов групповой политики обеспечивается клиентской операционной системой и требует использования Windows XP, Windows Server 2003 или операционной системы более поздних версий.
Редактор объектов групповой политики
Редактор объектов групповой политики — это оснастка MMC, используемая для настройки параметров политики в объектах групповой политики. Редактор групповой политики содержится в файле gpedit.dll и устанавливается в операционных системах Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 и Windows 7.
Для настройки параметров групповой политики для локального компьютера, не являющегося членом домена, используйте редактор групповой политики для управления локальным объектом групповой политики (или несколькими объектами групповой политики на компьютерах под управлением Windows Vista, Windows 7 или Windows Server 2008). Для настройки параметров групповой политики в среде домена консоль управления групповой политикой, вызывающая редактор групповой политики, является предпочтительным инструментом для выполнения задач управления групповой политикой.
Редактор групповой политики предоставляет в распоряжение администраторов иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики и состоит из двух следующих основных узлов.
Конфигурация пользователя Содержит параметры, которые применяются к пользователям при их входе в систему и периодическом фоновом обновлении.
Конфигурация компьютера Содержит параметры, которые применяются к компьютерам при запуске и периодическом фоновом обновлении.
Эти два основных узла далее разделяются на папки с различными типами настраиваемых параметров политики. Основные узлы далее разделяются на папки с различными типами настраиваемых параметров политики. В число папок входят следующие:
Конфигурация программ Содержит параметры установки приложений.
Конфигурация Windows Содержит параметры безопасности и политики скриптов.
Административные шаблоны Содержит параметры политики на основе реестра.
Системные требования для консоли управления групповой политикой и редактора объектов групповой политики.
Редактор объектов групповой политики является часть консоли управления групповой политики и вызывается при редактировании объекта групповой политики. Консоль управления можно запускать в операционных системах Windows XP, Windows Server 2003, Windows Vista, Windows 7 и Windows Server 2008. Требования отличаются для разных операционных систем Windows, как показано далее.
Консоль управления групповой политики является частью операционной системы Windows Vista. Однако если в Windows Vista установлен пакет обновления 1 или 2 (SP1 или SP2), консоль удаляется. Для повторной установки следует установить Средства удаленного администрирования сервера Майкрософт для Windows Vista (https://go.microsoft.com/fwlink/?linkid=89361\&clcid=0x419).
Консоль управления групповой политики включена в Windows Server 2008 и более поздние версии. Однако этот компонент не устанавливается с операционной системой. Используйте диспетчер сервера для установки консоли управления групповой политики. Дополнительные сведения об установке консоли управления групповой политики см. в разделе Установка консоли управления групповой политики (https://go.microsoft.com/fwlink/?linkid=187926\&clcid=0x419).
Для установки консоли управления групповой политики следует установить Средства удаленного администрирования сервера для Windows 7 (https://go.microsoft.com/fwlink/?linkid=180743\&clcid=0x419).
Для установки консоли управления групповой политики в Windows XP или Windows Server 2003 следует установить консоль управления групповой политики с пакетом обновлений 1 (SP1) (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=88316\&clcid=0x419) (Возможно, на английском языке).
Дополнительные сведения об использовании консоли управления групповой политики и редактора объекта групповой политики см. в разделе Принудительное применение параметров с помощью групповой политики в Office 2010.
Центр развертывания Office и групповая политика
Администраторы могут использовать центр развертывания Office (OCT) или групповую политику для настройки конфигурации пользователя для приложений Office 2010.
Центр развертывания Office Он используется для создания файла параметров настройки установки (файла MSP). Администраторы могут использовать центр развертывания Office для настройки функций и пользовательских параметров. После установки пользователи смогут изменять большую часть параметров. Это обусловлено тем, что центр развертывания Office настраивает параметры в открытых для доступа разделах реестра, например, HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Это средство, как правило, используется в организациях без централизованного управления ПК. Дополнительные сведения см. в разделе Office Customization Tool in Office 2010.
Групповая политика Она используется для настройки параметров политики Office 2010, содержащихся в административных шаблонах, а операционная система применяет эти параметры политики принудительно. В среде Active Directory администраторы могут применять параметры политики к группам пользователей и компьютерам на сайте, домене или подразделении, с которым связан объект групповой политики. Параметры истинной политики записываются в утвержденные разделы реестра для политики, и эти параметры имеют ограничения списка управления доступом, и изменять их могут только администраторы. Администраторы могут использовать групповую политику для создания управляемых конфигураций ПК. Они также могут создавать нежестко управляемые конфигурации для удовлетворения требований бизнеса и безопасности в организациях. Дополнительные сведения о центре развертывания Office см. в разделе Office Customization Tool in Office 2010.
See Also
Concepts
Планирование групповой политики в Office 2010
Вопросы и ответы. Групповая политика (Office 2010)
Загружаемая книга "Групповая политика для Office 2010"
Принудительное применение параметров с помощью групповой политики в Office 2010
Отключение элементов пользовательского интерфейса и сочетаний клавиш в Office 2010
Файлы административных шаблонов (ADM, ADMX, ADML) Office 2010 и центр развертывания Office
Security policies and settings in Office 2010
Other Resources
Групповая политика Windows Server
Руководство по планированию и развертыванию групповой политики
Руководство по документации к групповой политике