Office 2010 的群組原則概觀
適用版本: Office 2010
上次修改主題的時間: 2017-01-17
群組原則可讓系統管理員在 Active Directory 目錄服務環境中將設定或原則設定套用至使用者和電腦。打算使用群組原則來管理 Microsoft Office 2010 應用程式的系統管理員,可以查閱本文中有關群組原則概念的簡要概觀。如需關於群組原則和 Office 2010 常見問題集的回答,請參閱<常見問題集:群組原則 (Office 2010)>。
本文內容:
本機和以 Active Directory 為基礎的群組原則
群組原則處理
變更群組原則組處理 GPO 的方式
系統管理範本
真正的原則與使用者喜好設定的比較
群組原則管理工具
Office 自訂工具和群組原則
本機和以 Active Directory 為基礎的群組原則
群組原則是一種基礎結構,用以將一或多個所需的設定或原則設定,提供給和套用至 Active Directory 目錄服務環境中的一組目標使用者與電腦。群組原則基礎結構是由一個群組原則引擎和數個個別延伸所組成。這些延伸可用來設定群組原則設定,其設定方式可以是透過系統管理範本延伸來修改登錄,或者針對安全性設定、軟體安裝、資料夾重新導向、Internet Explorer 維護、無線網路設定和其他方面,為群組原則設定進行設定。
每個群組原則的安裝都是由兩個延伸所組成:
群組原則物件編輯器 Microsoft Management Console (MMC) 嵌入式管理單元的伺服器端延伸,可用來定義及設定套用到用戶端電腦的原則設定。
群組原則引擎會呼叫以套用原則設定的用戶端延伸。
群組原則設定包含於群組原則物件 (GPO) 中,而群組原則物件會連結至選取的 Active Directory 容器,例如,網站、網域或組織單位 (OU)。建立 GPO 時,會將此設定儲存在網域中。當 GPO 連結至 Active Directory 容器 (例如 OU) 時,該連結便是該 Active Directory 容器的元件。連結不是 GPO 的元件。受 GPO 中之設定所影響的目標會使用 Active Directory 的階層本質來評估這些設定。例如,您可以建立名為「Office 2010 設定」 的 GPO,其中只包含 Office 2010 應用程式的設定。接著將此 GPO 套用至特定網站,讓該網站所含的使用者收到您在「Office 2010 設定」GPO 中指定的 Office 2010 設定。
每部電腦都有一定要處理的本機 GPO,不論該電腦是網域成員或是獨立電腦。本機 GPO 無法透過網域型 GPO 來鎖定。不過,因為網域 GPO 中的設定是在本機 GPO 之後處理,所以網域 GPO 中的設定一律會取得優先順序。
注意
Windows Vista、Windows Server 2008 及 Windows 7 均提供在獨立電腦上管理多個本機 GPO 的支援。如需詳細資訊,請參閱管理多個本機群組原則物件的逐步指南(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=182215&clcid=0x404)(可能為英文網頁)。
雖然您可以在個別電腦上設定本機 GPO,但是安裝 Active Directory 的 Windows Server 2003 或 Windows Server 2008 網路才能展現群組原則的最大效益。
群組原則處理
適用於電腦的群組原則會在電腦啟動時套用。適用於使用者的群組原則會在使用者登入時套用。除了在啟動和登入時初始處理群組原則之外,後續還會定期在背景中套用群組原則。在背景重新整理期間,唯有當用戶端延伸偵測到在其任一個 GPO 中的伺服器或其 GPO 清單中的伺服器上發生變更時,才會重新套用原則設定。對於軟體安裝和資料夾重新導向,群組原則處理作業只會在電腦啟動或使用者登入期間發生。
群組原則設定會以下列順序來處理:
本機 GPO 每部電腦都有儲存於本機的 GPO。這個 GPO 會針對電腦和使用者群組原則進行作業。
網站 接下來會處理連結到電腦所屬網站的 GPO。會依據系統管理員在群組原則管理主控台 (GPMC) 中網站之 [已連結的群組原則物件] 索引標籤上指定的順序來完成。連結順序最低的 GPO 會最後一個處理且具備最高優先順序。如需如何使用 GPMC 的相關資訊,請參閱本文後述的<群組原則管理工具>一節。
網域 多個網域連結的 GPO 會以系統管理員在 GPMC 中網域之 [已連結的群組原則物件] 索引標籤上指定的順序來處理。連結順序最低的 GPO 會最後一個處理且具備最高優先順序。
組織單位 連結至 OU (這是 Active Directory 的最高階層) 會最先處理,接著處理連結至其子 OU 的 GPO,依此類推。GPO 若連結至包含使用者或電腦的 OU,則會最後處理。
處理順序受限於下列情況:
套用到 GPO 的 Windows Management Instrumentation (WMI) 或安全性篩選。
任何網域型 GPO (非本機 GPO) 均可使用 [強制] 選項來強制執行,使其原則設定不會遭到覆寫。因為強制執行的 GPO 會最後一個處理,所以其他設定無法覆寫該 GPO 中的設定。如果有一個以上的強制執行 GPO 存在,則每個 GPO 中的相同設定都可以設定為不同值。在此情況下,GPO 的連結順序會決定哪個 GPO 包含最後的設定。
在任何網域或 OU 上,可以選擇性地將群組原則繼承指定為 [禁止繼承]。不過,因為一律會套用強制執行的 GPO 且無法禁止,所以禁止繼承無法防止套用來自強制執行的 GPO 之原則設定。
原則繼承
針對使用者和電腦生效的原則設定是在網站、網域或 OU 上套用之 GPO 組合的結果。當多個 GPO 套用至那些 Active Directory 容器中的使用者和電腦時,GPO 中的設定便會彙總。根據預設,子容器會繼承部署於連結至 Active Directory 中較高層級容器 (父容器) 之 GPO 中的設定,並與部署於連結至子容器之 GPO 中的設定相結合。如果多個 GPO 嘗試以相衝突的值來設定原則設定,具備最高優先順序的 GPO 會設定此設定。較晚處理之 GPO 的優先順序會高於較早處理之 GPO 的優先順序。
同步和非同步處理
同步處理可說是一連串的處理,而其中的處理必須在下一個處理開始之前完成執行。非同步處理則可以在不同執行緒上同時執行,因為它們的結果與其他處理無關。系統管理員可以使用每個 GPO 的原則設定,來變更預設處理行為,使該處理成為非同步處理,而不是同步處理。
在同步處理期間,有 60 分鐘的時間限制,所有的群組原則都需要在時間限制內完成用戶端電腦上的處理。系統會在 60 分鐘後,針對尚未完成處理的用戶端延伸發出停止信號。在此情況下,相關的原則設定可能不會完整套用。
快速登入最佳化功能
根據預設,快速登入最佳化功能預設是針對網域和工作群組成員所設定。這樣會在電腦啟動及使用者登入時,非同步地套用原則。這個原則的套用類似於背景重新整理。它可以減少顯示登入對話方塊所花費的時間長度,以及讓桌面變成可供使用者使用所花費的時間長度。
系統管理員可利用 [永遠在電腦啟動及登入時等待網路啟動] 原則設定來停用快速登入最佳化功能,您可以在群組原則物件編輯器的「電腦設定\系統管理範本\系統\登入」節點存取此功能。
低速連結處理
當連線速度低於指定的閾值時,系統不會處理某些群組原則延伸。群組原則視為低速連結的預設值是低於 500 千位元/秒 (Kbps) 的任何速率。
群組原則重新整理間隔
根據預設,系統會每隔 90 分鐘處理一次群組原則,最多有 30 分鐘的隨機延遲,所以重新整理間隔總時間可達 120 分鐘。
至於安全性設定,在您編輯安全性設定原則之後,原則設定會在電腦上於 GPO 連結的 OU 中重新整理:
當電腦重新啟動時。
在工作站或伺服器上每隔 90 分鐘,在網域控制站上則每隔 5 分鐘。
根據預設,由群組原則所傳遞的安全性原則設定也會每隔 16 小時 (960 分鐘) 加以套用,即使 GPO 未變更也一樣。
觸發群組原則重新整理
對 GPO 所做的變更必須先複寫到適當的網域控制站;因此,對群組原則設定所做的變更可能無法立即在使用者的桌面上使用。在某些情況下 (例如,套用安全性原則設定),可能需要立即套用原則設定。
系統管理員可以手動方式從本機電腦觸發原則重新整理,而不需等待自動背景重新整理。若要執行這項操作,系統管理員可以在命令列中輸入 gpupdate,重新整理使用者或電腦原則設定。您無法使用 GPMC 來觸發原則重新整理。
gpupdate 命令會在執行命令的本機電腦上觸發背景原則重新整理。gpupdate 命令可在 Windows Server 2003 和 Windows XP 環境中使用。
您無法視需要將群組原則的套用從伺服器推送至用戶端。
變更群組原則組處理 GPO 的方式
指定哪些使用者和電腦可接收來自 GPO 之設定的主要方法,是將 GPO 連至網站、網域及 OU。
您可以使用下列任何方式來變更處理 GPO 的預設順序:
變更連結順序。
禁止繼承。
強制執行 GPO 連結。
停用 GPO 連結。
使用安全性篩選。
使用 Windows Management Instrumentation (WMI) 篩選。
使用回送處理。
下列次小節將一一說明每種方法。
變更連結順序
網站、網域或 OU 中的 GPO 連結順序可控制何時套用連結。系統管理員可以透過變更連結順序 (在清單中將每個連結往上或往下移動至適當位置),來變更連結的優先順序。具有較高順序 (1 是最高順序) 的連結對於網站、網域或 OU 具有較高的優先順序。
禁止繼承
將禁止繼承套用至網域或 OU 可防止連結至較高層級之網站、網域或組織單位的 GPO 會由子層 Active Directory 容器自動繼承。
強制執行 GPO 連結
系統管理員可以藉由將 GPO 連結設定為 [強制],來指定該連結中設定的優先順序會高於任何子物件的設定。強制執行的 GPO 連結無法從父容器加以禁止。如果 GPO 包含相衝突的設定且不會從較上層容器強制執行,則較高層父容器上的 GPO 連結設定會遭到連結至子 OU 的 GPO 設定所覆寫。利用強制執行,父 GPO 連結一律具有優先順序。根據預設,不會強制執行 GPO 連結。
停用 GPO 連結
您可以透過停用網域、網站或 OU 的 GPO 連結,完全禁止使用者對該網站、網域或 OU 套用 GPO。這不會停用 GPO。如果 GPO 已連結至其他網站、網域或 OU,且已啟用其連結,則將繼續處理 GPO。
使用安全性篩選
您可以使用安全性篩選來指定只有已連結 GPO 之容器內的特定安全性主體會套用 GPO。系統管理員可以使用安全性篩選來縮小 GPO 的範圍,使 GPO 只會套用到單一群組、使用者或電腦。安全性篩選無法選擇性地用於 GPO 中的不同設定上。
唯有當使用者或電腦在 GPO 上同時具備「讀取」和「套用群組原則」 權限 (不論是明確或有效地透過群組成員資格而設定) 時,GPO 才會套用至該使用者或電腦。根據預設,針對包含使用者和電腦的 Authenticated Users 群組,所有 GPO 都已將「讀取」和「套用群組原則」 設定為 [允許]。這就是 GPO 套用至 OU、網域或網站時,所有經過驗證之使用者收到新 GPO 設定的方式。
根據預設,Domain Admins、Enterprise Admins 及本機系統都具備完整的控制權限,而不需「套用群組原則」存取控制項目 (ACE)。系統管理員也是 Authenticated Users 的成員。這表示,根據預設,系統管理員會收到 GPO 中的設定。這些權限均可變更,以便將範圍限制為 OU、網域或網站內特定一組的使用者、群組或電腦。
群組原則管理主控台 (GPMC) 會將這些權限當成單一單位來管理,並在 [GPO 範圍] 索引標籤上顯示 GPO 的安全性篩選。在 GPMC 中,群組、使用者及電腦均可當成每個 GPO 的安全性篩選來新增或移除。
使用 Windows Management Instrumentation 篩選
您可以藉由將 WMI 查詢語言 (WQL) 查詢附加到 GPO,使用 Windows Management Instrumentation (WMI) 篩選功能來篩選 GPO 的套用。這些查詢可用來針對多個項目對 WMI 進行查詢。如果查詢會為所有查詢項目傳回 True,則 GPO 會套用到目標使用者或電腦。
GPO 會連結到 WMI 篩選並在目標電腦上加以套用,而且篩選會在目標電腦上加以評估。如果系統將 WMI 篩選評估為 False,便不會套用 GPO (但若用戶端電腦執行的是 Windows 2000 則除外。在這種情況下,篩選會遭到忽略且一律會套用 GPO)。如果系統將 WMI 篩選評估為 True,則會套用 GPO。
WMI 篩選是目錄中不同於 GPO 的物件。WMI 篩選必須連結到 GPO 才能套用,而且 WMI 篩選必須和其所連結的 GPO 位於相同網域中。WMI 篩選只能儲存於網域中。每個 GPO 只能有一個 WMI 篩選。同一個 WMI 篩選可以連結到多個 GPO。
注意
WMI 是 Microsoft 對於「以網路為主的企業管理」產業專案的實作,不僅可建立管理基礎結構標準,還能讓您結合來自不同硬體和軟體管理系統的資訊。WMI 會公開硬體設定資料 (例如,CPU、記憶體、磁碟空間和製造商),以及來自登錄、驅動程式、檔案系統、Active Directory、Windows Installer 服務、網路設定和應用程式資料的軟體設定資料。目標電腦的相關資料可用於系統管理目的,例如,GPO 的 WMI 篩選。
使用回送處理
您也可以使用此功能,確保會將相同的原則設定組套用至任何登入特定電腦的使用者,不論使用者在 Active Directory 中的位置為何。
回送處理是個進階群組原則設定,對於部分受到嚴密管理之環境 (例如,伺服器、資訊站、實驗室、教室及接待區) 中的電腦非常有用。設定回送會使每位登入電腦的使用者變成套用 GPO 中要套用至該電腦的 [使用者設定] 原則設定,而不是套用使用者的 [使用者設定] 設定 (若在 [取代] 模式下),或是連同使用者的 [使用者設定] 一起套用 (若在 [合併] 模式下)。
若要設定回送處理,您可以使用 [使用者群組原則回送處理模式] 原則設定 (請從群組原則物件編輯器中的「電腦設定\系統管理範本\系統\原則設定」下存取此設定)。
若要使用回送處理功能,使用者帳戶和電腦帳戶均必須位於執行 Windows 2003 或更新版本 Windows 的網域中。回送處理不適用於已加入工作群組的電腦。
系統管理範本
群組原則的系統管理範本延伸是由 MMC 伺服器端嵌入式管理單元所組成,可用來設定原則設定,及設定在目標電腦上設定登錄機碼的用戶端延伸。系統管理範本原則也稱為以登錄為基礎的原則或登錄原則。
系統管理範本檔案
系統管理範本檔案是 Unicode 檔案,由類別和子類別階層所組成,可定義選項如何透過群組原則物件編輯器和 GPMC 顯示。系統管理範本檔案也會指出受到原則設定組態影響的登錄位置,這包括預設 (未設定)、已啟用或已停用的原則設定值。範本有三種檔案版本:.adm, .admx 及 .adml。.adm 檔案可用於執行任何 Windows 作業系統的電腦。.admx 和 .adml 檔案可用於至少執行 Windows Vista 或 Windows Server 2008 的電腦上。.adml 檔案是特定語言版本的 .admx 檔案。
系統管理範本檔案的功能會受到限制。.adm, .admx 或 .adml 範本檔案的用途是讓使用者介面能夠設定原則設定。系統管理範本檔案不會包含原則設定。原則設定會包含在 Registry.pol 檔案中,此檔案位於網域控制站上的 Sysvol 資料夾中。
[系統管理範本] 伺服器端嵌入式管理單元會提供 [系統管理範本]節點,此節點會出現在 [電腦設定] 節點和 [使用者設定] 節點底下的群組原則物件編輯器中。[電腦設定] 底下的設定會管理電腦的登錄設定。[使用者設定] 底下的設定則會管理使用者的登錄設定。雖然某些原則設定需要簡單的 UI 元素 (例如,在文字方塊中輸入值),但是大部分的原則設定只包含下列選項:
[啟用] 會強制執行原則。某些原則設定提供其他可定義啟動原則時之行為的選項。
[停用] 對大部分的原則設定,強制執行與 [啟用] 狀態相反的行為。例如,如果 [啟用] 會將某功能的狀態強制設為 [關閉],而 [停用] 會將該功能的狀態強制設為 [開啟]。
[未設定]:不會強制執行原則。這是大多數設定的預設值。
系統管理範本檔案會儲存在本機電腦的位置中,如下表所示。
檔案類型 | 資料夾 |
---|---|
.adm |
%systemroot%\Inf |
.admx |
%systemroot%\PolicyDefinitions |
.adml |
%systemroot%\PolicyDefinitions\<language-specific folder, e.g., en-us> |
您也可以從網域控制站上集中存放區資料夾中儲存和使用 .admx 與 .adml 檔案,如下表所示。
檔案類型 | 資料夾 |
---|---|
.admx |
%systemroot%\sysvol\domain\policies\PolicyDefinitions |
.adml |
%systemroot%\sysvol\domain\policies\PolicyDefinitions\<特定語言資料夾,例如,en-us> |
如需如何儲存和使用集中存放區的範本,請參閱群組原則規劃和部署指南 (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x404) 中的<群組原則和 Sysvol>。
Office 2010 的系統管理範本檔案
Office 2010 專屬的系統管理範本檔案會以個別下載的形式提供,並且可讓您:
控制從 Office 2010 應用程式連入網際網路的進入點。
管理 Office 2010 應用程式的安全性。
隱藏使用者執行其工作時不需使用且可能影響使用者、或產生不必要支援呼叫的設定和選項。
在使用者電腦上建立受到高度管理的標準設定。
若要下載 Office 2010 系統管理範本,請參閱 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x404)(可能為英文網頁)。
Office 2010 系統管理範本如下表所示。
應用程式 | 系統管理範本檔案 |
---|---|
Microsoft Access 2010 |
access14.admx、access14.adml、access14.adm |
Microsoft Excel 2010 |
excel14.admx、excel14.adml、excel14.adm |
Microsoft InfoPath 2010 |
inf14.admx、inf14.adml、inf14.adm |
Microsoft Office 2010 |
office14.admx、office14.adml、office14.adm |
Microsoft OneNote 2010 |
onent14.admx、onent14.adml、onent14.adm |
Microsoft Outlook 2010 |
outlk14.admx、outlk14.adml、outlk14.adm |
Microsoft PowerPoint 2010 |
ppt14.admx、ppt14.adml、ppt14.adm |
Microsoft Project 2010 |
proj14.admx、proj14.adml、proj14.adm |
Microsoft Publisher 2010 |
pub14.admx、pub14.adml、pub14.adm |
Microsoft SharePoint Designer 2010 |
spd14.admx、spd14.adml、spd14.adm |
Microsoft SharePoint Workspace 2010 |
spw14.admx、spw14.adml、spw14.adm |
Microsoft Visio 2010 |
visio14.admx、visio14.adml、visio14.adm |
Microsoft Word 2010 |
word14.admx、word14.adml、word14.adm |
真正的原則與使用者喜好設定的比較
系統管理員可以完全管理的群組原則設定稱為「真正的原則」。使用者可以設定的設定 (但可能會反映作業系統安裝期間的預設狀態) 則稱為「喜好設定」。真正的原則和喜好設定兩者均包含會修改使用者電腦上登錄的資訊。
真正的原則
真正原則的登錄值會儲存在群組原則的已核准登錄機碼之下。使用者無法變更或停用這些設定。
電腦原則設定:
HKEY_LOCAL_MACHINE\Software\Policies (慣用的位置)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
使用者原則設定:
HKEY_CURRENT_USER\Software\Policies (慣用的位置)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
在 Office 2010,真正的原則會儲存在下列登錄位置。
電腦原則設定:
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0
使用者原則設定:
- HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0
喜好設定
喜好設定是由使用者或作業系統在安裝期間所設定。儲存喜好設定的登錄值會位於已核准群組原則機碼「以外」的地方。使用者可以變更他們的喜好設定。
如果您使用 GPO 來設定喜好設定,則不會有系統存取控制清單 (ACL) 限制。因此,使用者可能可以在登錄中變更這些值。當 GPO 超出範圍 (如果取消連結 GPO、停用或刪除 GPO ) 時,便無法從登錄中移除這些值。
若要在群組原則物件編輯器中檢視喜好設定,請依序按一下 [系統管理範本] 節點、[檢視] 及 [篩選],然後清除 [只顯示可以完全管理的原則設定] 核取方塊。
群組原則管理工具
系統管理員可使用下列工具來管理群組原則:
群組原則管理主控台 用以管理大部分的群組原則管理工作。
群組原則物件編輯器 用以對 GPO 設定原則設定。
群組原則管理主控台
群組原則管理主控台 (GPMC) 簡化了群組原則的管理,因為它讓您可在單一工具中管理群組原則的核心功能 (例如,設定範圍、委派、篩選及管理 GPO 的繼承)。GPMC 也可用來備份 (匯出)、還原、匯入及複製 GPO。系統管理員可以使用 GPMC 來預測 GPO 會如何影響網路,並判斷 GPO 如何變更電腦或使用者上的設定。GPMC 是在網域環境中管理大部分群組原則工作的慣用工具。
GPMC 可提供整個企業中 GPO、網站、網域及 OU 的縱覽,並可用來管理 Windows Server 2003 或 Windows 2000 網域。系統管理員可以使用 GPMC 執行所有群組原則管理工作,但不包括設定群組原則物件內的個別原則設定。此作業是使用群組原則物件編輯器,您可以從 GPMC 開啟此編輯器。
系統管理員可以使用 GPMC 來建立不含初始設定的 GPO。系統管理員也可以建立 GPO,並將 GPO 連結到 Active Directory 容器。若要設定 GPO 內的個別設定,系統管理員可以從 GPMC 使用群組原則物件編輯器來編輯 GPO。群組原則物件編輯器會顯示已載入的 GPO。
系統管理員可以使用 GPMC,將 GPO 連結至 Active Directory 中的網站、網域或 OU。系統管理員必須連結 GPO,才能將設定套用到 Active Directory 容器中的使用者和電腦。
GPMC 包括下列由 Windows 所提供的原則結果組 (RSoP) 功能:
群組原則模型 模擬在系統管理員指定的環境下,會套用哪些原則設定。系統管理員可以使用群組原則模型,來模擬要針對現有設定套用的 RSoP 資料,或是分析其目錄環境在經過模擬假設變更後的結果。
群組原則結果 代表會套用至電腦和使用者的實際原則資料。藉由查詢目標電腦和擷取套用至該電腦的 RSoP 資料,以取得資料。「群組原則結果」功能是由用戶端作業系統所提供,需要有 Windows XP、Windows Server 2003 或更新版本的作業系統。
群組原則物件編輯器
群組原則物件編輯器是 MMC 嵌入式管理單元,可用來設定 GPO 中的原則設定。群組原則物件編輯器包含於 gpedit.dll 中,此編輯器是隨 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 及 Windows 7 作業系統一起安裝。
若要針對非網域成員的本機電腦設定群組原則設定,可以使用群組原則物件編輯器來管理本機 GPO (或管理執行 Windows Vista、Windows 7 或 Windows Server 2008 之電腦上的多個 GPO)。若要在網域環境中設定群組原則設定,群組原則管理工作慣用的工具會是 GPMC (它會呼叫群組原則物件編輯器)。
群組原則物件編輯器可為系統管理員提供階層式樹狀結構,以便設定 GPO 中的群組原則設定,此編輯器由下列兩個主要節點組成:
使用者設定 包含在使用者登入和定期背景重新整理時,套用至使用者的設定。
電腦設定 包含在啟動和定期背景重新整理時,套用至電腦的設定。
這兩個主要節點會再另外劃分成包含不同類型之原則設定的資料夾 (使用者可設定這些原則設定)。這些資料夾包括下列項目:
軟體設定 包含軟體安裝設定。
Windows 設定 包含安全性設定和指令碼原則設定。
系統管理範本 包含以登錄為基礎的原則設定
GPMC 和群組原則物件編輯器的系統需求
群組原則物件編輯器屬於 GPMC 的一部分,在編輯 GPO 時即會呼叫此編輯器。您可以在 Windows XP、Windows Server 2003、Windows Vista、Windows 7 及 Windows Server 2008.上執行 GPMC。需求會隨不同的 Windows 作業系統而異:
GPMC 屬於 Windows Vista 作業系統的一部分。但您的 Windows Vista 上如有安裝 Service Pack 1 或 Service Pack 2,將會移除 GPMC。若要重新安裝,請安裝 Windows Vista 的 Microsoft 遠端伺服器管理工具 (https://go.microsoft.com/fwlink/?linkid=89361\&clcid=0x404)。
GPMC 隨附在 Windows Server 2008 及更新版本中。然而,此功能「不會」 隨作業系統一起安裝。請使用「伺服器管理員」來安裝 GPMC。如需如何安裝 GPMC 的相關資訊,請參閱安裝 GPMC (https://go.microsoft.com/fwlink/?linkid=187926\&clcid=0x404)。
若要在 Windows 7 上安裝 GPMC,請安裝 Windows 7 的遠端伺服器管理工具 (https://go.microsoft.com/fwlink/?linkid=180743\&clcid=0x404)。
若要在 Windows XP 或 Windows Server 2003 上安裝 GPMC,請安裝群組原則管理主控台 Service Pack 1(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=88316\&clcid=0x404)(可能為英文網頁)。
如需如何使用 GPMC 和群組原則物件編輯器的詳細資訊,請參閱<在 Office 2010 中使用群組原則進行設定>。
Office 自訂工具和群組原則
系統管理員可以使用 Office 自訂工具 (OCT) 或群組原則來自訂 Office 2010 應用程式的使用者設定。
Office 自訂工具 (OCT) 可用來建立安裝程式自訂檔案 (.msp 檔案)。系統管理員可以使用 OCT 來自訂功能並設定使用者設定。使用者可以在安裝之後修改大部分的設定。這是因為 OCT 會在登錄的可公開存取部分 (例如,HKEY_CURRENT_USER/Software/Microsoft/Office/14.0) 中進行設定。此工具通常用於未集中管理桌面設定的組織。如需詳細資訊,請參閱<Office Customization Tool in Office 2010>。
群組原則 可用來設定包含在系統管理範本中的 Office 2010 原則設定,而作業系統會強制執行這些原則設定。在 Active Directory 環境,系統管理員可以將原則設定套用至群組原則物件連結之網站、網域或 OU 中的使用者和電腦群組。真正的原則設定會寫入原則的已核准登錄機碼中,而且這些設定會有 SACL 限制,防止非系統管理員的使用者變更這些設定。系統管理員可以使用群組原則來建立高度管理的桌面設定,也可以建立不需太多管理的設定,來滿足組織的業務和安全性需求。如需詳細資訊,請參閱<Office Customization Tool in Office 2010>。