共用方式為


規劃群組原則

更新日期: 2007年3月

適用於: Office Resource Kit

 

上次修改主題的時間: 2008-11-18

在 Active Directory 基礎環境中,系統管理員可以使用 2007 Microsoft Office 系統 應用程式的 [群組原則] 設定來集中管理工作,例如下列工作:

  • 設定 2007 Office System 應用程式的安全性選項。例如,系統管理員可以指定要管理的原則設定:

    • 信任位置和受信任的發行者

    • 2007 Office System 中的 Internet Explorer 功能控制項設定

    • 2007 Office System 中的隱私權選項

    • 2007 Office System 中的文件保護設定

    • 2007 Office System 中的封鎖檔案格式設定

  • 管理 Microsoft Office Outlook 2007 的安全性和組態設定。例如,系統管理員可以指定要管理項目的原則設定,如下所示:

    • [快取 Exchange 模式] 選項

    • 附件設定的自訂

    • [Outlook 安全性模式] 的選項,指定在 Outlook 中要強制哪些安全性設定

    • Outlook 2007 資料夾首頁的安全性

    • 自訂程式設計安全性設定

    • 自訂 ActiveX 和自訂表單安全性設定

    • 適用 Outlook 2007 的受信任增益集

    • 垃圾郵件篩選設定

    • Outlook 個人資料夾 (PST) 與離線資料夾 (OST) 檔案設定;例如,限制 PST 檔案大小,指定 PST 和 OST 檔案的預設位置等等

    • 真正簡易新聞訂閱方式 (RSS)、即時訊息整合選項、網際網路行事曆選項和會議工作區設定

    • 立即訊息、類別、搜尋資料夾選項、Unicode 選項、訊息編碼選項,以及輕量型目錄存取通訊協定 (LDAP) 目錄瀏覽與自訂篩選選項的 Outlook 功能自訂

    • 停用 Outlook 使用者介面項目

  • 指定 Microsoft Office Word 2007、Microsoft Office Excel 2007 和 Microsoft Office PowerPoint 2007 的預設檔案儲存選項。系統管理員也可以設定預設檔案格式原則設定,以指定是否要使用 Access 2007 或 Access 2002-2003,以及是否要轉換較舊的資料庫。

  • 控制對組織而言很重要的設定。例如,系統管理員可以將 2007 Office System 應用程式的預設檔案格式設定為舊版格式,直到其組織中的所有用戶端都可以讀取 OpenXML 格式為止。

  • 限制 2007 Office System 使用者介面項目的存取。例如,系統管理員可以停用命令、功能表項目和 Office 應用程式的快速鍵。

  • 指定原則設定,強制執行 Office 的預設語言設定。

  • 在組織內提供 2007 Office System 使用者介面應用程式設定的標準設定。

  • 在組織內提供 2007 Office System 應用程式高限制性或稍加管理的設定。

本主題討論部署以群組原則為基礎的解決方案規劃程序。

使用群組原則管理 2007 Office 應用程式的規劃

部署以群組原則為基礎的解決方案之規劃包括數個步驟:

  1. 定義您的業務目標和安全性需求。

  2. 評估您目前的環境。

  3. 根據您的業務與安全性需求來設計受管理的設定。

  4. 決定解決方案的應用範圍。

  5. 規劃測試和執行,並且部署 [群組原則] 解決方案。

  6. 在規劃和部署解決方案中所涉及的重要關係人。

定義您的業務目標和安全性需求

識別您的特定業務與安全性需求,並決定 [群組原則] 如何協助您管理 2007 Office System 應用程式的標準設定。識別使用 [群組原則] 管理 Office 設定的資源 (使用者及電腦的群組),並定義您的專案範圍。

評估您目前的環境

請檢查您目前執行與 Microsoft Office 應用程式設定相關的管理工作,以決定要使用哪些類型的 Office 原則設定。記錄目前的實作和需求。在下一個步驟中,您將使用這項資訊來協助設計受管理的設定。要包含的項目如下:

  • 現有的公司安全性原則及其他安全性需求。識別哪些位置和發行者是視為安全的。評估管理 Internet Explorer 功能控制項設定、文件保護、隱私選項以及封鎖檔案格式設定的需求。

  • 組織的傳訊需求。評估使用 [群組原則] 設定使用者介面設定、病毒防護及 Office Outlook 2007 的其他安全性設定。

    [群組原則] 也提供限制 PST 檔案大小的設定,它可以改善工作站的效能。

  • 各類使用者角色的 Office 應用程式使用者需求。這大部分取決於使用者的工作需求及組織的安全性需求。

  • 決定 Microsoft Office Word 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007 與 Microsoft Access 2007 要使用的預設檔案儲存選項。

  • 決定要為 2007 Office System 使用者介面項目的各個使用者群組設定的存取選項類型,包括停用命令、功能表項目和快速鍵。

  • 在混合環境中,識別哪些電腦是執行 Windows Vista。

    Note附註:
    新的 Windows Vista 或 Windows Server 2008 原則設定「只能」從執行「群組原則物件編輯器」或「群組原則管理主控台」的 Windows Vista 或 Windows Server 2008 系統管理電腦來管理。這些原則設定只能在 ADMX 檔案中定義,並且未在這些工具的 Windows Server 2003、Windows XP 或 Windows 2000 版本中公開。系統管理員必須從 Windows Vista 或 Windows Server 2008 系統管理電腦使用「群組原則物件編輯器」,來設定新的 Windows Vista 群組原則設定。在 Office 2007 的案例中,.adm 及 ADMX 檔案中所含的原則設定是相同的。

    如需管理 Vista 中 ADMX 檔案的詳細資訊,請參閱 Microsoft TechNet 網站上管理群組原則 ADMX 檔案逐步指南

  • 如果您考慮使用此部署方法,請識別與軟體安裝相關的問題。雖然可以使用 [群組原則] 在有安裝 Active Directory 的小型組織中安裝軟體應用程式,不過仍然有一些限制,而且必須決定它是否為您部署需求的適當解決方案。如需詳細資訊,請參閱<使用群組原則軟體安裝部署 2007 Office system>中的<部署考量>一節。

    Note附註:
    如果您在複雜或快速變遷的環境中管理大量的用戶端,Microsoft Systems Management Server 是在中型及大型組織中安裝和維護 2007 Office 版本的建議方法。Microsoft Systems Management Server 提供額外的功能,包括庫存,排程與報告功能。如需使用 Microsoft Systems Management Server 部署 2007 Office 版本的資訊,請參閱<使用 Systems Management Server 2003 部署 2007 Office system>。

    在 Active Directory 環境中部署 2007 Office System 的另一個選項是使用 [群組原則] 電腦啟動指令碼。如需有關此方法的詳細資訊,請參閱<使用群組原則指定適用於 2007 Office 部署的電腦啟動指令碼>。

  • 決定何時使用 [群組原則] 設定來強制執行 Office 應用程式功能或選項的設定,以及何時使用「Office 自訂工具選項」(OCT) 來設定選項。雖然可以使用 [群組原則] 及 OCT 來自訂 2007 Office 版本應用程式的使用者設定,不過還是有顯著的差異。

    [群組原則] 是用來設定包含在 [系統管理範本] 中的 2007 Office 版本原則設定,而且作業系統會強制使用這些原則設定。這些設定有存取控制清單 (ACL) 限制,以防止非系統管理員使用者變更它們。使用 [群組原則] 來設定要強制執行的設定。

    OCT 是用來建立安裝程式自訂檔案 (MSP 檔案)。系統管理員可以使用 OCT 來自訂功能並設定使用者設定。使用者可以在安裝之後修改大部分的設定。建議只有慣用或預設設定才使用 OCT。

    如需詳細資訊,請參閱<群組原則概觀 (2007 Office system)>中的<Office 自訂工具和群組原則>。

  • 決定何時要使用本機 [群組原則] 來設定 Office 設定。系統管理員可以使用本機 [群組原則] 來控制在含有不屬於 Active Directory 網域一部份的獨立電腦之環境中的設定。雖然您可以在個別電腦上設定本機 [群組原則] 物件,不過在有安裝 Active Directory 的 Windows 2000 或 Windows Server 2003 網路中將可實現 [群組原則] 的最大優點。

    Windows Vista 和 Windows Server 2008 提供在獨立電腦上管理多個本機 [群組原則] 物件 (GPO) 的支援。多個 GPO 可用於管理在單一電腦上牽涉共用運算的環境,例如程式庫或電腦實驗室。您可以將多個本機 GPO 指派給本機使用者或內建群組。如需本機 GPO 和多個本機 GPO 功能的詳細資訊,請參閱<群組原則概觀 (2007 Office system)>中的<本機和以 Active Directory 為基礎的群組原則>和<群組原則處理>,以及 Microsoft TechNet 網站上的管理多個本機群組原則物件的逐步指南 (英文)

根據您的業務與安全性需求來設計受管理的設定

瞭解您的業務需求、安全性、網路、IT 需求以及組織目前的 Office 應用程式管理實務,有助於識別適當的原則設定來為組織中的使用者管理 Office 應用程式。在目前環境步驟的評估期間所收集的資訊,可協助您設計 [群組原則] 目標。

當您定義使用 [群組原則] 來管理 Office 應用程式設定的目標時,請決定下列事項:

  • 每個 GPO 的用途。

  • 每個 GPO 的擁有者,即是負責管理 GPO 的人員。

  • 要使用的 GPO 數目。請考慮套用到電腦的 GPO 數目會影響啟動時間,而套用到使用者的 GPO 數目會影響登入網路所需的時間。連結到使用者的 [群組原則] 物件數目愈多 (特別是在那些 GPO 中的設定數目愈多時),使用者登入時處理 GPO 所需的時間也愈長。在登入程序期間,每套用一個來自使用者網站、網域和組織單位 (OU) 階層的 GPO,就會同時提供為使用者所設定的「讀取群組原則」和「套用群組原則」權限。

  • 適當的 Active Directory 容器,可用來連結每個 GPO (站台、網域或 OU)。

  • 要安裝 Office 應用程式的位置 (如果您是使用「群組原則軟體安裝」部署 2007 Office System)。

  • 要執行的電腦啟動指令碼位置 (如果您是透過指派 [群組原則] 電腦啟動指令碼來部署 2007 Office System)。

  • 包含在每個 GPO 的原則設定類型。這取決於您的業務與安全性需求以及目前如何管理 Office 應用程式的設定。建議您只設定對於穩定性及安全性為重大的設定,並保持最基本的設定。另外也請考慮使用可以改善工作站效能的原則設定,例如控制 Outlook PST 檔案大小。

  • 是否要為 [群組原則] 的預設處理順序設定例外狀況。

  • 是否要設定 [群組原則] 的篩選選項,將目標放在特定的使用者及電腦。

在設計 [群組原則] 設定時,請考慮 GPO 管理的一般建議。如需詳細資訊,請參閱 Microsoft TechNet 網站上的群組原則物件的最佳作法

為了協助您規劃群組原則物件的持續管理,建議您建立系統管理程序以追蹤和管理 GPO。這有助於確保以規定的方式實作所有變更。

決定解決方案的應用範圍

識別適用於所有企業使用者的 2007 Office System 原則設定 (例如被視為對組織的安全性非常重要的任何應用程式安全性設定),以及根據其角色適用於使用者群組的原則設定。根據您識別的需求來規劃設定。

在 Active Directory 環境中,透過將 GPO 連結至站台、網域或組織單位來指派 [群組原則] 設定。大部分的 GPO 通常是在組織單位層級指派,因此請確定您的 OU 結構支援 2007 Office System 以群組原則為基礎的管理策略。您可能也會在網域層級套用某些 [群組原則] 設定,例如安全性相關的原則設定或是要套用至網域中所有使用者的 Outlook 設定。

規劃測試和執行,並且部署群組原則解決方案

這個步驟是任何 [群組原則] 部署程序最重要的一部分。這個步驟包括建立 2007 Office System 應用程式的標準 [群組原則] 設定,並在「非生產環境」中測試 GPO 設定,然後才將這些設定部署到組織中的使用者。若有需要,您可以篩選 GPO 的應用範圍,並定義 [群組原則] 繼承的例外。系統管理員可以使用 [群組原則模型] (在 [群組原則管理主控台] 中),以評估特定的 GPO 會套用哪些原則設定,並且可以使用 [群組原則結果] (在 [群組原則管理主控台] 中) 來評估哪些原則設定會生效。

測試和執行群組原則部署

[群組原則] 提供影響組織中數百台以及甚至是上千台電腦之間設定的能力。因此,請務必使用變更管理程序,並在非生產環境中嚴格地測試所有新的 [群組原則] 設定或部署,然後再將這些設定或部署移到生產環境。此程序可確保包含在 GPO 中的原則設定,可為 Active Directory 環境中的預定使用者和電腦產生預期的結果。

建議系統管理員使用下列部署前的程序來執行 [群組原則] 部署,以做為管理 [群組原則] 實作的最佳作法:

  • 在能夠盡可能反映生產環境環境的測試環境中部署新的 GPO。

  • 使用 [群組原則模型] (GPMC) 來評估新的 GPO 將如何影響使用者並與現有的 GPO 交互操作。

  • 使用 [群組原則結果] (GPMC) 來評估在測試環境中套用了哪些 GPO 設定。

如需執行部署的詳細資訊,請參閱「Microsoft Windows Server 2003 部署套件」之《設計受管理的環境》一書中的執行群組原則部署 (英文)

如需 [群組原則管理主控台] (GPMC)、[群組原則模型] 和 [群組原則結果] 的資訊,請參閱在<群組原則概觀 (2007 Office system)>中的<群組原則管理工具>。

在規劃和部署解決方案中所涉及的重要關係人

在企業中的群組原則部署很可能具有交互功能界限。在準備部署時,請務必諮詢組織中各個功能團隊的重要關係人,並確定他們在分析、設計、測試和實作階段期間適時地參與。

請確定您進行計劃部署的原則設定之檢閱,以便和組織中的安全性與 IT 作業小組一起管理 2007 Office System 應用程式,以確保設定符合組織的需求,以及套用一組嚴格的原則設定來保護網路資源。

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office Resource Kit 資訊 上提供的完整叢書清單。