Управління Microsoft Office 2007 за допомогою групових політик, MS Office, Програмні керівництва, статті

Адміністративні шаблони Office 2007 разом з іншими новими функціями дозволяють отримати повний контроль над розгортанням Office
Даррен Мар-Еліа




Ті, хто давно управляє середовищем Windows, ймовірно, знайомі з файлами адміністративних шаблонів Administrative Template (ADM). З часу появи Office 97 розробники Microsoft створювали файли ADM, які дозволяли налаштовувати поведінку додатків Office, використовуючи групову політику Group Policy (або її попередницю – системну політику). Випуск Microsoft Office 2007 продовжив цю традицію, і розробники Microsoft доклали значних зусиль для перетворення Office 2007в повноправного члена суспільства Group Policy. Microsoft також надала інструменти, такі як GPO Accelerator, для оптимізації налаштувань безпеки Office 2007. Щоб скористатися перевагою цих можливостей у своєму середовищі Office 2007, Вам слід знати, як встановлювати шаблони і як використовувати їх, а також інший інструментарій, щоб створити відповідні налаштування для корпоративного середовища.

Адміністративні шаблони і Office

Адміністративні шаблони Group Policy – звичайні засоби управління конфігурацією Office після розгортання на корпоративних комп’ютерах. Адміністративні шаблони Office дозволяють налаштовувати параметри, які задаються для кожного з додатків Office 2007.

Розгортання Office у разі версій старіших, ніж Office 2007, часто відбувалося за допомогою функції Group Policy Software Installation (GPSI) і зі спеціальними файлами трансформації (mst), які змінювали використовувані за умовчанням параметри згідно вашим технічним вимогам. Однак, як зауважив Ден Холм у своїй статті “Розгортання й настроювання Office 2007”, опублікованій в Windows IT Pro / RE № 5 за 2007 р., настройка розгортання Office 2007 завдяки Group Policy кардинально змінилася.

Office 2007 використовує інструмент під назвою Office Customization Tool (OCT) для створення файлів виправлень Windows Installer (msp), які застосовуються для налаштування конфігурацій Office. Це допоможе зрозуміти, як змінився процес постразвертиванія Office 2007з використанням файлів адміністративного шаблону. Треба сказати, що тепер у нас більше можливостей для внесення настройок і їх реалізації в Office 2007, ніж коли б то не було.

Отримання адміністративних шаблонів

Можна завантажити файли адміністративних шаблонів з центру завантаження Microsoft за адресою www.microsoft.com/downloads/details.aspx?FamilyID=92d8519a-e143-4aee-8f7a-e4bbaeba13e7. Microsoft надає як файли ADM, так і файли нового формату – ADMX, які знадобляться для Windows Vista і Windows Server 2008.

Після завершення завантаження AdminTemplates.exe і вилучення файлів ви побачите папки ADM і ADMX. Також може з’явитися папка Admin, яка містить файли OCT для настройки Office під час розгортання. Ці файли в даній статті ми розглядати не будемо. У папці ADM буде видно ряд папок, названих за кодом мови (наприклад, de-de для німецької, en-us для американської англійської або es-es для іспанської). Це мовні версії файлів ADM. Задаючи конфігурацію Office 2007, Ви обираєте мовну папку, яка підходить для запущеної у вас версії Windows.

Папка ADMX містить мовні папки вдобавок до файлів ADMX. Папки містять ресурсні файли мови (ADMLs), які працюють з нейтральними до мови файлами ADMX. Якщо ви керуєте Office 2007 з Vista або Server 2008, доведеться використовувати ці файли.

Реалізація шаблонів ADM Office

Для будь-якої версії Windows, більш ранній, ніж Windows Vista, потрібно задіяти файли ADM. Зауважимо, що у версіях, випущених до Vista, файли ADM зберігаються по одному в об’єкті групової політики Group Policy Object (GPO), таким чином, вам потрібно буде виконати ці кроки в кожному GPO, який ви хочете застосувати в політиках для Office 2007.

Перше, що потрібно зробити, щоб завантажити файли ADM для використання в Group Policy, – це відкрити в консолі управління Microsoft Management Console (MMC) оснастку редактора групових політик Group Policy Editor (GPE), з GPO, яким ви керуєте. Можна вибрати або GPO для домену Active Directory (AD), або локальний GPO. Правою кнопкою миші клацніть по вузлу Administrative Templates, розташованому або під Computer Configuration, або під User Configuration (неважливо, який з них ви використовуєте, коли будете додавати шаблони до GPO), виберіть Add / Remove Templates з контекстного меню, потім натисніть Add для вибору папки файлів ADM для вашої мови Office 2007. Причому ви можете вибрати одночасно всі файли ADM в папці для завантаження в GPO, як показано на екрані 1.

Потім натисніть Open в діалоговому вікні Policy Template; файли ADM скопійовано в GPO, потім вони з’являться під вузлом Administrative Templates в GPE (див. екран 2).

Ви виявите параметри налаштувань Office під обома вузлами – Computer Configuration і User Configuration; параметри під Computer Configuration застосовуються до всіх користувачів на комп’ютері, де використовується GPO. А ті параметри, які розташовані під User Configuration, звернені до будь-якого користувача об’єкту в AD, який приймає GPO. Трохи збиває з пантелику те, що ці файли ADM (як і файли ADMX) поставляються як з новими налаштуваннями, якими повністю можуть управляти адміністратори, так і з налаштуваннями-уподобаннями, які встановлюються поза розділів даної політики в реєстрі. За замовчуванням переваги в GPE не показані. Щоб побачити всі настановні настройки, що поставляються шаблонами Office, потрібно вибрати View, Filtering in GPE, потім прибрати прапорець Only show policy settings that can be fully managed, таким чином, проявляться всі переваги поряд з параметрами налаштування. На жаль, цей режим фільтрації не зберігається, тому доведеться встановлювати його кожного разу, коли запускається GPE.

Реалізація шаблонів ADMX Office

Vista багато змінила в управлінні адміністративними шаблонами за рахунок використання формату файлу ADMX, який, по суті, заміняє файли ADM на засновані на форматі XML для визначення нових параметрів настройки в реєстрі. Перевага файлів ADMX полягає в тому, що GPE не вимагає довго зберігати їх в частині SYSVOL кожного GPO в домені. Це економить місце і смугу пропускання на корпоративних контролерах домену DC.

Щоб отримати доступ до файлів ADMX з Office 2007 на адміністративному вузлі Vista, можна вибрати один з двох способів. Перший, найлегший спосіб, – це просто скопіювати файли ADMX з папки ADMX на свою робочу станцію, помістивши їх в папку під назвою c: WindowsPolicyDefinitions. Переконайтеся, що ви скопіювали тільки файли ADMX в цю папку, а не підпапки, які містять мовні файли ADML, – Це вже наступний крок. Виберіть необхідні мовні файли ADML і скопіюйте їх у мовну підпапку з назвою C: WindowsPolicyDefinitions. Наприклад, у разі використання версії Windows на німецькому мовою ви б скопіювали файли ADML з папки de-de в установчому каталозі Administrative Templates C: WindowsPolicyDefinitionsde-de. Після копіювання всіх файлів у потрібні папки ви побачите їх під вузлом Administrative Templates у вузлах Computer Configuration і User Configuration, коли запустите GPE.

Інший спосіб доступу до файлів ADMX Office 2007в GPE-побудувати централізоване сховище. Vista і Server 2008 підтримують загальне централізоване файлове сховище для файлів ADMX і ADML. Вам не потрібно копіювати ці файли на локальну робочу станцію адміністратора, щоб зробити їх доступними. Якщо ви скопіюєте їх в одне сховище в теці SYSVOL на корпоративних DC, вони стануть доступними для всіх адміністраторів, які запускають GPE у вашому домені.

Якщо у вас немає централізованого сховища, його потрібно створити і заповнити стандартними файлами ADMX і ADML, перш ніж копіювати в нього файли Office 2007. Зауважте, що, коли централізоване сховище в домені існує, GPE ігнорує вміст C: WindowsPolicyDefinitions і переглядає тільки централізоване сховище файлів ADMX. Якщо ви копіюєте тільки ADMX-файли Office в централізоване сховище, ви більше не побачите файли ADMX Windows в будь-якому з GPO! Створити централізоване сховище легко: всі кроки описані в статті Microsoft “How to create a Central Store for Group Policy Administrative Templates in Window Vista “(support.microsoft.com/kb/929841). Однак я створив безкоштовну утиліту, яку можна використовувати для створення централізованого сховища за допомогою графічного інтерфейсу, щоб не виконувати цю задачу вручну. Її можна завантажити з www.gpoguy.com / cssu.htm.

Використання шаблонів для обмеження можливостей Office

Адміністративні шаблони в Office 2007, в яких значно більше налаштувань, ніж в Office 2003, надають близько 3500 параметрів, що настроюються. Багатство вибору часто може поставити в глухий кут. Крім того, пояснювальний текст, супроводжуючий адміністративні шаблони, рідко присутня в шаблонах Office. Це означає, що тільки методом проб і помилок вдасться підібрати правильну політику.

Далі – більше: шаблони Office не завжди ведуть себе так, як інші адміністративні шаблони. Наприклад, якщо ви активували політику для Explorer з метою обмеження можливостей певної функції, кнопка цієї функції може бути затінена, тому користувач не зможе змінити її. Однак у випадку з Office все не так. Наприклад, якщо ви відключили фонове збереження в Microsoft Office Word 2007, то прапорець для нього не встановлено, коли ви запускаєте Word, але користувач може встановити його. Однак, коли ви запустите Word в наступний раз, то переконаєтеся, що цей прапорець не встановлено, як і наказує політика. Така поведінка може збити з пантелику, якщо не знати, що так і повинно бути.

Ще одне невдале прояв, яке я помітив, полягає в тому, що додатки Office, на відміну від багатьох компонентів Windows, керованих політикою, не відстежують зміни політики в динаміці під час роботи додатку. Наприклад, в нашому сценарії з функцією управління фоновим збереженням у Word, якщо я настрою політику і система користувача обробить її під час виконання Word, то Word не буде відразу ж реалізовувати цю зміну. Воно не буде застосовано аж до наступного запуску програми користувачем.

Шаблони дозволяють відключити елементи меню в додатках Office. Як правило, існує два способи зробити це для кожної програми. Перший спосіб – вибрати один з прописаних в меню варіантів, які надані політикою. Другий, менш очевидний спосіб – використовувати спеціальні ідентифікатори меню, щоб обмежити величезний вибір меню. Давайте подивимося на використання обох способів для обмеження пунктів меню Excel. Використовуючи перший спосіб, пройдіть в консолі GPE по дереву до User ConfigurationAdministrative TemplatesMicrosoft Office Excel 2007Disable Items in User InterfacePredefined, потім виберіть політику Disable Commands в правій панелі вікна. Клацніть по Properties, щоб побачити діалогове вікно Disable commands Properties, де будуть показані параметри для деактивації конкретних пунктів меню (див. екран 3).

Тепер, вибираючи контейнер Custom в розділі Disable Items in User Interface, ви можете визначити свої команди (пункти меню) і будь-які “швидкі клавіші”. Коли ви відкриваєте параметри політики подвійним клацанням, з’являється запит на command bar ID тієї команди, яку потрібно налаштувати. Де дістати цей ID? Відповідь не так простий. Все, що я знайшов, – це дії Visual Basic, які можна запускати в додатку Office для знаходження command bar ID. Наприклад, у статті Microsoft “WD2000: How to Generate a List of Command Bar Names, Captions, and ID Numbers” на support.microsoft.com/kb/243988 описано, як можна зробити те ж саме для Word 2000; а я успішно використовував макрокоманду з тієї статті для Office 2003. Я не бачив ніякої документації про її застосування в Office 2007, у якого є нова стрічка меню, але я запускав макрокоманду в Word 2007, і вона працювала так, як очікувалося.

Захист Office 2007 за допомогою Group Policy

Крім адміністративних шаблонів для налаштування Office 2007, Microsoft пропонує два пов’язаних з груповими політиками інструменту, які допоможуть переконатися, що ваша середу Office 2007 налаштована з дотриманням норм безпеки. Перший з них – керівництво з безпеки Microsoft Office 2007 Security Guide, воно є на сайті Microsoft. Даний посібник включає в себе електронну таблицю і ряд документів, які детально описують налаштування адміністративних шаблонів Office 2007, що мають відношення до безпеки, і ви можете використовувати їх для безпечної налаштування свого середовища Office.

Іншим помічником, що полегшує створення групових політик для захисту вашої середовища Office, є GPOAccelerator. Цей інструмент, який можна завантажити з сайту Microsoft, є файлом Windows Installer (msi), який ви встановлюєте на своїй адміністративній робочої станції. Він включає ряд запропонованих GPO, які можна застосувати в домені AD (може бути, спочатку в тестовому). Вони забезпечують налаштування безпеки, рекомендовані Office 2007, для великої кількості різних сценаріїв. GPOAccelerator встановлює сценарій GPOAccelerator.wsf, який створює організаційне підрозділ OU в AD-домені, для якого ви запускаєте сценарій, потім формує об’єкти GPO згідно ключам, які ви задаєте. Я запускав сценарій GPOAccelerator з ключами / Enterprise, / Lab та / Vista, як показано на екрані 4.

Кінцева структура організаційного підрозділу, включаючи об’єкти GPO, була створена для Vista Security Guide EC Client OU в моєму тестовому домені.

Додатково до непоганим інструкцій з налаштування адміністративних шаблонів, пов’язаних з Office, об’єкти групових політик, що належать GPOAccelerator, включають корисні інструкції для загальних налаштувань безпеки, які, в свою чергу, містять такі області, як аудит, права користувача і настройки журналу реєстрації подій. Ці GPO є гарною відправною точкою для планування власних корпоративних GPO, націлених на керування користувачами Office. Ви можете підлаштовувати і видозмінювати настройки в GPO відповідно до вимог тієї чи іншої середовища. Словом, розробники Microsoft виконали велику роботу, щоб зрозуміти, з якими налаштуваннями безпеки ви зіткнетеся, і їх працю значно прискорює і полегшує настройку Office 2007.

Що ж пропущено?

Хоча адміністративні шаблони Office 2007 складаються з маси параметрів для управління Office за допомогою Group Policy, ви виявите відсутність декількох, здавалося б, очевидних речей. Наприклад, ви не можете встановити профілі Microsoft Office Outlook, використовуючи настройки адміністративних шаблонів, але ви можете визначити, як сервер Microsoft Exchange буде себе вести після того, як профіль Outlook вказаний в профілі користувача. Будь-які настройки, які не зберігаються в системному реєстрі, на зразок тих що підтримуються адміністративними шаблонами, потрапляють в число пропущених, наприклад, тип REG_BINARY потрапляє в цю категорію.

Може бути, деякі з цих відсутніх можливостей Office з’являться, коли Microsoft зробить доступними масовому користувачу розширення від DesktopStandard PolicyMaker, компанії, яку Microsoft придбала в 2006 році. Ці розширення включають такі функції, як створення профілів Outlook і установка параметрів в Office, які адміністративні шаблони не покривають. Будемо сподіватися, що Microsoft випустить їх якомога швидше.

Безпрецедентний контроль в офісі

З випуском адміністративних шаблонів для Office 2007, керівництва 2007 Microsoft Office Security Guide та інструменту GPOAccelerator, компанія Microsoft дозволила налаштовувати безпрецедентну кількість параметрів Office за допомогою групових політик, який ви можете використовувати при роботі або з Windows Vista, або з Windows XP. Хоча ви, ймовірно, не виявите чогось необхідного, однак з цими інструментами Microsoft ви стаєте набагато ближче до повного управління Office через Group Policy. Чим більше користувачів відкривають для себе потужність Group Policy для завдання налаштувань своїх систем, тим більше для Microsoft буде мати сенс робити свої продукти та компоненти керованими через Group Policy, так як можна знизити кількість місць, куди адміністратору потрібно буде йти, щоб налаштувати настільні комп’ютери.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*