Поделиться через


Обзор групповой политики для Office 2013

 

Применимо к: Office 2013, Office 365 ProPlus

Последнее изменение раздела: 2016-12-16

Сводка. Использование групповой политики для принудительного применения параметров для Office 2013.

Аудитория: ИТ-специалисты

С помощью групповой политики администраторы могут применять конфигурацию или параметры политики к пользователям и компьютерам в среде службы каталогов Active Directory. Администраторы, планирующие использовать групповую политику для управления приложениями Office 2013, могут изучить в этой статье краткий обзор понятий групповой политики. Дополнительные сведения о групповой политике см. в статье Обзор групповой политики для Windows Server.

В этой статье

  • Локальная групповая политика и групповая политика на основе Active Directory

  • Обработка групповой политики

  • Изменение того, как групповая политика обрабатывает объекты групповой политики

  • Административные шаблоны

  • Истинные политики и предпочтения пользователей

  • Средства управления групповой политикой

  • Центр развертывания Office и групповая политика

Локальная групповая политика и групповая политика на основе Active Directory

Групповая политика — это инфраструктура, которая используется для доставки и применения одной или нескольких нужных конфигураций или параметров политики к группе целевых пользователей и компьютеров в среде службы каталогов Active Directory (AD DS).

Параметры групповой политики содержатся в объектах групповой политики, которые связаны с выбранными контейнерами Active Directory: сайтами, доменами или подразделениями (OU). Созданный объект групповой политики хранится в домене. При связывании объекта групповой политики с контейнером Active Directory (например, с подразделением) эта связь становится компонентом данного контейнера Active Directory. Связь не является компонентом объекта групповой политики. Параметры в объектах групповой политики оцениваются по задействованным целевым объектам на основе иерархической структуры Active Directory. Например, можно создать объект групповой политики с именем Параметры Office 2013, который будет влиять только на параметры приложений Office 2013. Этот объект можно применить к определенному сайту, чтобы к приложениям Office 2013 пользователей, содержащихся на этом сайте, применились указанные в объекте групповой политики Параметры Office 2013 параметры.

На каждом компьютере имеется локальный объект групповой политики, который обрабатывается всегда вне зависимости от того, входит ли компьютер в домен или является автономным. Локальный объект групповой политики не может блокироваться доменными объектами групповой политики. Однако параметры доменных объектов групповой политики всегда имеют преимущество, поскольку обрабатываются после локального объекта групповой политики.

ПримечаниеПримечание
Windows Vista, Windows 7, Windows 8, Windows Server 2008 и Windows Server 2012 обеспечивают поддержку для управления несколькими локальными объектами групповой политики на изолированных компьютерах. Дополнительные сведения см. в статье Пошаговая инструкция по управлению несколькими локальными объектами групповой политики (https://go.microsoft.com/fwlink/p/?LinkId=182215).

Хотя локальные объекты групповой политики можно настроить на каждом отдельном компьютере, максимальные преимущества групповой политики можно получить в сети на основе Windows Server 2003, Windows Server 2008 или Windows Server 2012 с установленной службой каталогов Active Directory.

Обработка групповой политики

Групповая политика для компьютеров применяется при запуске компьютера, а групповая политика для пользователей применяется при входе пользователя в систему. Кроме начальной обработки групповой политики в момент запуска и входа в систему, групповая политика периодически применяется впоследствии в фоновом режиме. При обновлении в фоновом режиме клиентское расширение повторно применяет параметры политики только в случае обнаружения изменений на сервере в любом из объектов групповой политики или списке объектов групповой политики. Для установки программного обеспечения и перенаправления папок обработка групповой политики выполняется только во время запуска компьютера или входе пользователя в систему.

Параметры групповой политики обрабатываются в следующем порядке:

  • Локальный объект групповой политики.   На каждом компьютере имеется локальный объект групповой политики. Этот объект групповой политики обрабатывается для групповой политики как компьютера, так и пользователя.

  • Сайт.   После этого обрабатываются объекты групповой политики, привязанные к сайту, которому принадлежит компьютер. Порядок обработки определяется администратором на вкладке Связанные объекты групповой политики для сайта в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет. Сведения о консоли управления групповыми политиками см. в разделе Средства управления групповыми политиками.

  • Домен.   Группа связанных с доменом объектов групповой политики обрабатывается в порядке, заданном администратором на вкладке Связанные объекты групповой политики для домена в консоли управления групповыми политиками. Объект групповой политики, имеющий самый низкий порядок ссылки, обрабатывается последним и имеет наивысший приоритет.

  • Подразделения.   Объекты групповой политики, привязанные к подразделению, расположенному в самом верху иерархии Active Directory, обрабатываются первыми. Затем обрабатываются объекты групповой политики, привязанные к дочернему подразделению и т. д. Объекты групповой политики, привязанные к подразделению, в котором находится компьютер или пользователь, обрабатываются последними.

Порядок обработки зависит от следующих условий:

  • Инструментарий управления Windows (WMI) или фильтры безопасности, примененные к объектам групповой политики.

  • Любой доменный объект групповой политики (не локальный групповой политики) может быть принудительно применен при помощи параметра Обеспечить, так что его параметры политики невозможно перезаписать. Поскольку принудительный объект групповой политики обрабатывается последним, никакие другие параметры не могут перезаписать параметры такого объекта групповой политики. При наличии нескольких объектов групповой политики одному параметру в каждом объекте можно присвоить разные значения. В этом случае порядок связей объектов групповой политики определяет, какой параметр групповой политики содержит окончательные параметры.

  • В любом домене или подразделении наследование для групповой политики можно выборочно указать параметр Блокировать наследование. Однако, поскольку принудительные объекты групповой политики применяются всегда, и блокировать их нельзя, блокировка наследования не предотвращает применение параметров политики из принудительных объектов групповой политики.

Наследование политики

Действующие для пользователя или компьютера параметры политики — это результат объединения объектов групповой политики, примененных на сайте, в домене и подразделении. При применении нескольких объектов групповой политики к пользователям и компьютерам в таких контейнерах Active Directory параметры в объектах групповой политики объединяются. По умолчанию параметры, развернутые в объектах групповой политики, связанных с родительскими контейнерами в Active Directory, наследуются дочерними контейнерами и объединяются с параметрами, развернутыми в объектах групповой политики, связанных с дочерними контейнерами. Если несколько объектов групповой политики пытаются настроить параметры политики с использованием конфликтующих значений, параметр задается из объекта групповой политики с высшим приоритетом. Обрабатываемые впоследствии объекты групповой политики имеют преимущество по отношению к ранее обработанным объектам групповой политики.

Синхронная и асинхронная обработка

Синхронные процессы можно представить в виде ряда процессов, запускаемых друг за другом по мере завершения. Асинхронные процессы могут выполняться одновременно несколькими потоками, поскольку их результат не зависит от других процессов. Администраторы могут использовать параметр политики для каждого объекта групповой политики для изменения режима обработки по умолчанию с синхронного на асинхронный.

При синхронной обработке существует ограничение по времени (60 минут) обработки всех объектов групповой политики на клиентском компьютере. Клиентским расширениям, которым не удалось завершить обработку за 60 минут, отправляется сигнал прекращения обработки. В этом случае связанные параметры политики могут быть применены не полностью.

Функция оптимизации быстрого входа

Функция оптимизации быстрого входа по умолчанию включена для членов домена и рабочей группы. Она приводит к асинхронному применению политики при запуске компьютера и входе пользователя в систему. Такое применение политики аналогично обновлению в фоновом режиме. Это может сократить время отображения диалогового окна входа в систему, и пользователь быстрее получает доступ к рабочему столу.

Администраторы могут отключить функцию оптимизации быстрого входа, используя параметр политики Всегда ожидать инициализации сети при загрузке и входе в систему, расположенный в узле редактора объектов групповой политики Конфигурация компьютера\Административные шаблоны\Система\Вход в систему.

Обработка медленных подключений

Некоторые расширения групповой политики не обрабатываются, если скорость подключения опускается ниже заданных предельных значений. В качестве значению по умолчанию, определяющего медленное подключение для групповой политики, можно указать любое значение до 500 килобит в секунду (Кбит/с).

Интервал обновления групповой политики

По умолчанию групповая политика обрабатывается каждые 90 минут с произвольной задержкой не более 30 минут, с общим максимальным интервалом обновления в 120 минут.

При изменении параметров политики безопасности параметры политики на компьютерах подразделения, с которым связан объект групповой политики, обрабатываются по следующему плану.

  • При перезапуске компьютера.

  • Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена.

ПримечаниеПримечание
По умолчанию параметры политики безопасности, доставленные групповой политикой, также применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен.

Запуск обновления групповой политики

Изменения, вносимые в объект групповой политики, сначала должны реплицироваться в соответствующий контроллер домена. Таким образом, изменения параметров групповой политики могут не сразу стать доступными на рабочих столах пользователей. В ряде случаев, например, при применении параметров политики безопасности, может возникать необходимость немедленного применения параметров политики.

Администраторы могут вручную запустить обновление политики с локального компьютера, не дожидаясь автоматического обновления в фоновом режиме. Для этого в командной строке администраторы должны ввести команду gpupdate для обновления параметров политики пользователя или компьютера. Консоль управления политиками безопасности для запуска обновления политики использовать нельзя.

Команда gpupdate запускает фоновое обновление политики на локальном компьютере, с которого она выполняется. Команда gpupdate используется в средах Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 и Windows Server 2012.

Применение групповой политики по требованию сервера на клиентских компьютерах невозможно.

Изменение того, как групповая политика обрабатывает объекты групповой политики

Основной способ определения пользователей и компьютеров, к которым применяются параметры объекта групповой политики, заключается в связывании объекта с сайтами, доменами и подразделениями.

Для изменения порядка обработки объектов групповой политики администраторы могут использовать один из следующих методов.

  • Изменение порядка связей.

  • Блокировка наследования.

  • Принудительное применение связи объекта групповой политики.

  • Отключение связи объекта групповой политики.

  • Использование фильтрования.

  • Использование фильтрации WMI.

  • Использование обработки замыкания на себя.

Изменение порядка связей

От порядка связей групповой политики на сайте, домене или подразделении зависит очередность применения связей. Администраторы могут менять приоритет связи, изменив порядок связей, перемещая каждую связь вверх или вниз по списку в соответствующее место списка. Связь старшего порядка (1 — самый старший порядок) имеет наивысший приоритет для сайта, домена или подразделения.

Блокировка наследования

Блокировка наследования для домена или подразделения препятствует автоматическому наследованию контейнером Active Directory дочернего уровня объектов групповой политики, связанных с сайтами, доменами или подразделениями более высокого уровня.

Принудительное применение связи объекта групповой политики

Можно указать, что параметры в связи объекта групповой политики имеют приоритет по отношению к параметрам любого дочернего объекта, указав для этой связи параметр Принудительный. Принудительные связи объекта групповой политики не могут блокироваться родительским контейнером. Если в объектах групповой политики содержатся конфликтующие параметры, и они не имеют принуждений от контейнера более высокого уровня, то параметры связей объекта групповой политики родительского контейнера более высокого уровня перезаписываются параметрами в объектах групповой политики, связанных с дочерними подразделениями. При принудительном применении связь родительского объекта групповой политики всегда имеет приоритет. По умолчанию, связи объектов групповой политики не являются принудительными.

Отключение связи объекта групповой политики

Можно полностью заблокировать для сайта, домена или подразделения способ применения объекта групповой политики, отключив связь объекта групповой политики для соответствующего домена, сайта или подразделения. При этом объект групповой политики не отключается. Если объект групповой политики привязан к другим сайтам, доменам или подразделениям, то они по-прежнему будут обрабатывать объект групповой политики, если связи остаются включенными.

Использование фильтрования

Фильтры безопасности можно использовать для ограничения области действия объекта групповой политики, чтобы объект групповой политики применялся только к одной группе, одному пользователю или компьютеру. Фильтры безопасности нельзя использовать выборочно с различными параметрами в объекте групповой политики.

Объект групповой политики применяется к пользователю или компьютеру, только если такой пользователь или компьютер имеют разрешения на чтение и применение групповой политики для объекта групповой политики, явно или фактически через членство в группе. По умолчанию для всех объектов групповой политики разрешения на чтение и применение групповой политики включены для группы прошедших проверку пользователей, в состав которой входят пользователи и компьютеры. Таким образом, все прошедшие проверку пользователи получают параметры нового объекта групповой политики при его применении к подразделению, домену или сайту.

По умолчанию администраторы домена, администраторы предприятия и локальная система имеют разрешения полного доступа без элемента управления доступом Применить групповую политику. Администраторы также являются членами группы пользователей, прошедших проверку. Это означает, что по умолчанию администраторы получают параметры в объекте групповой политики. Эти разрешения можно изменить для ограничения области действия определенным набором пользователей, групп или компьютеров в подразделении, домене или сайте.

Консоль управления групповыми политиками позволяет управлять этими разрешениями как единым блоком и отображать фильтры параметров безопасности для объекта групповой политики на вкладке Область объекта групповой политики. В консоли управления групповыми политиками можно добавить или удалить группы, пользователей и компьютеры как фильтры параметров безопасности для каждого объекта групповой политики.

Использование фильтров инструментария управления Windows

Фильтры WMI используются для фильтрации применения объекта групповой политики, присоединив к объекту групповой политики запрос на языке запроса WMI (WQL). Запросы можно использовать для опроса WMI по нескольким элементам. Если запрос возвращает истинное значение по всем запрашиваемым элементам, то объект групповой политики применяется к целевому пользователю или компьютеру.

Объект групповой политики связывается с фильтром WMI и применяется к целевому компьютеру, и фильтр оценивается на целевом компьютере. Если фильтр WMI оценивается как ложный, объект групповой политики не применяется (кроме случаев, когда клиентский компьютер работает под управлением Windows 2000. В этом случае фильтр игнорируется, и объект групповой политики применяется всегда). Если фильтр WMI оценивается как истинный, то объект групповой политики применяется.

Фильтр WMI — это отдельный от групповой политики объект в каталоге. Для применения фильтр WMI следует связать с объектом групповой политики, при этом фильтр и объект групповой политики, к которому он привязан, должны находиться в одном домене. Фильтры WMI хранятся только в доменах. Каждый объект групповой политики может иметь только один фильтр WMI. Один фильтр WMI можно связать с несколькими объектами групповой политики.

ПримечаниеПримечание
Инструментарий управления Windows (WMI) — это реализация компанией Майкрософт промышленной инициативы управления предприятием на основе веб-технологий, определяющая стандарты инфраструктуры управления и позволяющей объединять информацию от различных аппаратных и программных систем управления. Инструментарий WMI отображает данные конфигурации оборудования, такие как ЦП, память, дисковое пространство и производитель, а также данные программного обеспечения из реестра, драйверов, файловой системы, службы каталогов Active Directory, службы установщика Windows, сетевой конфигурации и данных приложений. Данные о целевом компьютере можно использовать для целей администрирования, например для фильтрации WMI объектов групповой политики.

Использование обработки замыкания на себя

Можно использовать эту возможность для обеспечения применения согласованного набора параметров политики к любому пользователю, выполняющему вход в систему на определенном ПК, независимо от его расположения в Active Directory.

Обработка замыкания на себя — это дополнительный параметр групповой политики, который полезно использовать на компьютерах в ряде жестко управляемых сред, таких как серверы, Интернет-киоски, лаборатории, классные комнаты и регистратуры. При настройке замыкания на себя параметр политики Конфигурация пользователя в объектах групповой политики, применяемый к компьютеру, будет применен в каждому пользователю, входящему в систему на этом компьютере, вместо параметра Конфигурация пользователя (в режиме Замена) или в дополнение в нему (в режиме Слияние).

Для настройки обработки замыкания на себя можно использовать параметр политики Режим обработки замыкания пользовательской групповой политики, расположенный в папке Конфигурация компьютера\Административные шаблоны\Система\Групповая политика в редакторе объектов групповой политики.

Для использования функции обработки замыкания на себя учетные записи пользователя и компьютера должны находиться в домене под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2012. Для компьютеров рабочей группы замыкание на себя не применяется.

Административные шаблоны

Расширение административных шаблонов групповой политики состоит из серверной оснастки MMC, служащей для настройки параметров политики, и клиентского расширения, используемого для настройки разделов реестра на целевых компьютерах. Политику административных шаблонов также называют реестровой политикой или политикой на основе реестра.

Файлы административных шаблонов

Файлы административных шаблонов (ADM) представляют собой XML-файлы, содержащие иерархию категорий и подкатегорий, определяющую отображение параметров в редакторе объектов групповой политики и консоли управления групповыми политиками. Они также указывают места реестра, на которые влияют конфигурации параметров политики, в том числе значения по умолчанию, включенные или отключенные значения параметров политики. Эти шаблоны доступны в двух версиях файлов: ADMX и ADML. ADML-файлы — это версии ADMX-файлов для конкретного языка. ADML- и ADMX-файлы можно использовать на компьютерах под управлением Windows Vista, Windows 7, Windows 8, Windows Server 2008 или Windows Server 2012.

Функциональность файлов административных шаблонов ограничена. Их цель — предоставить пользовательский интерфейс для настройки параметров политики. Файлы административных шаблонов не содержат параметры политики. Параметры политики содержатся в файлах registry.pol, расположенных в папке Sysvol на контроллерах домена.

Серверная оснастка административных шаблонов содержит узел Административные шаблоны, отображаемый в редакторе объектов групповой политики под узлом Конфигурация компьютера и Конфигурация пользователя. Параметры, находящиеся в узле Конфигурация компьютера, позволяют управлять параметрами реестра для компьютера, а параметры в узле Конфигурация пользователя — для пользователей. Хотя для настройки многих параметров политики требуются простые элементы пользовательского интерфейса, такие как текстовые поля для ввода значений, большинство параметров политики имеют только следующие значения:

  • Включен.   Политика применяется принудительно. Некоторый параметры политики могут иметь дополнительные варианты, определяющие режим работы политики при ее включении.

  • Отключен.   Для большинства параметров политики применяется действие, противоположное состоянию Включен. Например, если значение Включен принудительно задает состояние Выкл., значение Отключен задает состояние Вкл..

  • Не задано.   Политика не применяется принудительно. Это состояние по умолчанию для большинства параметров.

Файлы административных шаблонов хранятся на локальном компьютере, как показано в следующей таблице.

Тип файла Папка

ADMX

%systemroot%\PolicyDefinitions

ADML

В папке конкретного языка %systemroot%\PolicyDefinitions\<, например., en-us>

ADMX- и ADML-файлы можно хранить и использовать в центральном хранилище в папках в контроллере домена, как показано в следующей таблице.

Тип файла Папка

ADMX

%systemroot%\sysvol\domain\policies\PolicyDefinitions

ADML

В папке конкретного языка %systemroot%\sysvol\domain\policies\PolicyDefinitions\<, например, en-us>

Дополнительные сведения о хранении и использовании шаблонов из центрального хранилища см. в разделе "Групповая политика и sysvol" статьи Руководство по планированию и развертыванию групповой политики.

Файлы административных шаблонов для Office 2013

Файлы административных шаблонов для Office 2013 доступны в виде отдельной загрузки и позволяют выполнять следующие действия.

  • Контроль точек входа в Интернет из приложений Office 2013.

  • Управление параметрами безопасности для приложений Office 2013

  • Скрытие параметров и настроек, не нужных пользователям для выполнения рабочих задач, а также тех, которые могут отвлечь пользователей или стать причиной дополнительных обращений в службу поддержки.

  • Создание строго контролируемых стандартных конфигураций на пользовательских компьютерах.

Сведения о загрузке административных шаблонов для Office 2013 см. в статье Файлы административных шаблонов групповой политики (ADMX, ADML) и файлы центра развертывания Office для Office 2013.

Административные шаблоны Office 2013 показаны в следующей таблице.

Приложение Файлы административных шаблонов

Access 2013

access15.admx, access15.adml

Excel 2013

excel15.admx, excel15.adml

InfoPath 2013

inf15.admx, inf15.adml

Lync 2013

lync15.admx, lync15.adml

Office 2013

office15.admx, office15.adml

OneNote 2013

onent15.admx, onent15.adml

Outlook 2013

outlk15.admx, outlk15.adml

PowerPoint 2013

ppt15.admx, ppt15.adml

Project 2013

proj15.admx, proj15.adml

Publisher 2013

pub15.admx, pub15.adml

SharePoint Designer 2013

spd15.admx, spd15.adml

Visio 2013

visio15.admx, visio15.adml

Word 2013

word15.admx, word15.adml

ВажноВажно!
С помощью групповой политики можно управлять следующими версиями Office 2013:
  • наборами Office, доступными по корпоративной лицензии, например Office стандартный 2013;

  • отдельными программами Office, продаваемыми в магазинах розничной торговли или по корпоративной лицензии.

Если вы приобретаете Office в составе Office 365, ваш план лицензирования определяет, можно ли управлять программами Office с помощью групповой политики. В описании служб приложений Office перечислены планы Office 365, поддерживающие групповую политику.

Истинные политики и предпочтения пользователя

Параметры групповой политики, которыми администраторы могут управлять в полной мере, называются истинными политиками. Параметры, настраиваемые пользователями или отражающие состояние по умолчанию операционной системы в момент установки, называются настройками. Как истинные политики, так и настройки содержат сведения для изменения реестра на компьютерах пользователей. Истинные политики и пользовательские настройки имеют важные различия. Параметры истинной политики имеют приоритет над пользовательскими настройками.

Истинные политики

Значения системного реестра для истинных политик хранятся в утвержденных разделах реестра для групповой политики. Пользователи не могут изменять или отключать следующие параметры.

Параметры политики компьютера:

  • HKEY_LOCAL_MACHINE\Software\Policies (предпочтительное местоположение)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Параметры политики пользователей:

  • HKEY_CURRENT_USER\Software\Policies (предпочтительное местоположение)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Для Office 2013 истинные политики хранятся в следующих разделах реестра.

Параметры политики компьютера:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0

Параметры политики пользователей:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\15.0

Предпочтения

Пользовательские настройки задаются пользователями или операционной системой в момент установки. Значения реестра, где хранятся пользовательские настройки, расположены вне утвержденных разделов групповой политики. Пользователи могут менять свои настройки.

При конфигурации настроек с помощью объекта групповой политики отсутствуют ограничения системного списка управления доступом. Следовательно, пользователи могут изменять эти значения в реестре. Если объект групповой политики выходит за область действия (при удалении связи объекта групповой политики, его отключении или удалении), эти значения из системного реестра не удаляются.

Для просмотра пользовательских настроек в редакторе объектов групповой политики щелкните узел Административные шаблоны, в меню Вид выберите пункт Фильтрация... и снимите флажок Показывать только управляемые параметры политики.

Средства управления групповыми политиками

Администраторы используют следующие средства для администрирования групповых политик:

  • Консоль управления групповыми политиками   используется для управления большинством задач групповой политики.

  • Редактор объектов групповой политики   используется для настройки параметров политики в объектах групповой политики.

Консоль управления групповой политикой

Консоль управления групповой политикой (GPMC) упрощает управление групповой политикой, обеспечивая единый инструмент для управления основными параметрами групповой политики, такими как определение области действия, передача, фильтрация и управление наследованием объектов групповой политики. Консоль управления групповой политикой также можно использовать для резервного копирования (экспорта), восстановления, импорта и копирования объектов групповой политики. Эта консоль позволяет администраторам оценить влияние объектов групповой политики на сеть и определить изменения параметров компьютера или пользователя, вносимые объектами групповой политики. Консоль управления групповой политикой является предпочтительным средством управления большинством задач групповой политики в доменной среде.

Консоль управления групповой политикой позволяет получить обзор объектов групповой политики, сайтов, доменов и подразделений в масштабе предприятия. Консоль используется для управления доменами Windows Server 2003, Windows Server 2008 или Windows Server 2012.Консоль управления групповой политикой помогает администраторам выполнять все задачи управления групповой политикой, за исключением настройки отдельных параметров политики в объектах групповой политики — для этого служит редактор объектов групповой политики. Редактор объектов групповой политики вызывается из консоли управления групповой политикой и используется с этой консоли.

Администраторы используют консоль управления групповой политикой для создания объекта групповой политики без исходных параметров. Администратор может также создать объект групповой политики, одновременно связав его с контейнером Active Directory. Для настройки отдельных параметров в объекте групповой политики администратор редактирует объект групповой политики из консоли управления групповой политикой. Редактор объектов групповой политики отображается при загрузке объекта групповой политики.

Консоль управления групповой политикой можно использовать для связывания объектов групповой политики с сайтами, доменами или подразделениями в службе каталогов Active Directory. Для применения параметров к пользователям и компьютерам в контейнерах Active Directory объекты групповой политики необходимо связать.

Консоль управления групповой политикой содержит следующие возможности результирующего набора политик (RSoP), обеспечиваемые Windows.

  • Моделирование групповой политики.   Моделирование параметров политики, применяемых в обстоятельствах, заданных администратором. Моделирование групповой политики позволяет администраторам моделировать данные RSoP, которые будут применены к существующей конфигурации, или проанализировать результаты смоделированных, гипотетических изменений в среде каталога.

  • Результаты групповой политики.   Представление фактических данных политики, применяемых к компьютеру и пользователю. Данные получаются в результате отправки запроса на целевой компьютер и получения данных RSoP, примененных к компьютеру. Возможность просмотра результатов групповой политики обеспечивается клиентской операционной системой и требует использования Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 или Windows Server 2012.

Редактор объектов групповой политики

Редактор объектов групповой политики — это оснастка MMC, используемая для настройки параметров политики в объектах групповой политики. Редактор групповой политики содержится в файле gpedit.dll и устанавливается в операционных системах Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 и Windows Server 2012.

Чтобы настроить параметры групповой политики для локального компьютера, не являющегося членом домена, используйте редактор групповой политики для управления локальным объектом групповой политики (или несколькими объектами групповой политики на компьютерах под управлением Windows Vista, Windows 7, Windows 8, Windows Server 2008 или Windows Server 2012). При настройке параметров групповой политики в среде домена консоль управления групповой политикой, вызывающая редактор групповой политики, является предпочтительным инструментом для выполнения задач управления групповой политикой.

Редактор групповой политики предоставляет в распоряжение администраторов иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики и состоит из двух следующих основных узлов.

  • Конфигурация пользователя   Содержит параметры, которые применяются к пользователям при их входе в систему и периодическом фоновом обновлении.

  • Конфигурация компьютера   Содержит параметры, которые применяются к компьютерам при запуске и периодическом фоновом обновлении.

Эти два основных узла разделяются на папки с различными типами параметров политики, которые можно устанавливать. Эти папки далее разделяются на папки с различными типами настраиваемых параметров политики. В число папок входят следующие.

  • Конфигурация программ — содержит параметры установки приложений.

  • Конфигурация Windows — содержит параметры безопасности и политики скриптов.

  • Административные шаблоны   Содержит параметры политики на основе реестра.

Системные требования для консоли управления групповой политикой и редактора объектов групповой политики.

Редактор объектов групповой политики является частью консоли управления групповыми политиками и вызывается при редактировании объекта групповой политики. Консоль управления групповыми политиками можно запускать в операционных системах Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 и Windows Server 2012. Требования для разных операционных систем Windows отличаются, как показано далее.

Дополнительные сведения об использовании консоли управления групповой политики и редактора объекта групповой политики см. в разделе Принудительное применение параметров с помощью групповой политики в Office 2010.

Центр развертывания Office и групповая политика

Администраторы могут использовать центр развертывания Office (OCT) или групповую политику для настройки конфигурации пользователя для приложений Office 2013.

  • Центр развертывания Office.   Центр развертывания Office используется для создания файла настройки программы установки (MSP-файла). Администраторы могут использовать центр развертывания Office для настройки функций и пользовательских параметров. После установки пользователи смогут изменять большую часть параметров. Это обусловлено тем, что центр развертывания Office настраивает параметры в открытых для доступа разделах реестра, таких как HKEY_CURRENT_USER/Software/Microsoft/Office/15.0. Это средство, как правило, используется в организациях без централизованного управления ПК. Дополнительные сведения см. в разделе Справочные сведения для центра развертывания для Office 2013.

  • Групповая политика.   Групповая политика используется для настройки параметров политики Office 2013, содержащихся в административных шаблонах, а операционная система применяет эти параметры политики принудительно. В среде Active Directory администраторы могут применять параметры политики к группам пользователей и компьютерам на сайте, домене или подразделении, с которым связан объект групповой политики. Параметры истинной политики записываются в утвержденные разделы реестра для политики, и эти параметры имеют ограничения списка управления доступом, и изменять их могут только администраторы. Администраторы могут использовать групповую политику для создания управляемых конфигураций ПК. Они также могут создавать нежестко управляемые конфигурации для удовлетворения требований бизнеса и безопасности в организациях. Дополнительные сведения о центре развертывания Office см. в статье Справочные сведения для центра развертывания для Office 2013.

См. также

Планирование групповой политики в Office 2013
Использование групповой политики для отключения элементов пользовательского интерфейса и сочетаний клавиш в Office 2013.
Файлы административных шаблонов групповой политики (ADMX, ADML) и файлы центра развертывания Office для Office 2013

Групповая политика Windows Server
Руководство по планированию и развертыванию групповой политики