Те, кто давно управляет средой Windows, вероятно, знакомы с файлами административных шаблонов Administrative Template (ADM). Со времени появления Office 97 разработчики Microsoft создавали файлы ADM, которые позволяли настраивать поведение приложений Office, используя групповую политику Group Policy (или ее предшественницу — системную политику). Выпуск Microsoft Office 2007 продолжил эту традицию, и разработчики Microsoft приложили значительные усилия для превращения Office 2007 в полноправного члена общества Group Policy. Microsoft также предоставила инструменты, такие как GPO Accelerator, для оптимизации настроек безопасности Office 2007. Чтобы воспользоваться преимуществом этих возможностей в своей среде Office 2007, вам следует знать, как устанавливать шаблоны и как использовать их, а также другой инструментарий, чтобы создать соответствующие настройки для корпоративной среды.
Административные шаблоны и Office
Административные шаблоны Group Policy — обычные средства управления конфигурацией Office после развертывания на корпоративных компьютерах. Административные шаблоны Office позволяют настраивать параметры, которые задаются для каждого из приложений Office 2007.
Развертывание Office в случае версий более старых, чем Office 2007, часто происходило с помощью функции Group Policy Software Installation (GPSI) и со специальными файлами трансформации (mst), которые меняли используемые по умолчанию параметры согласно вашим техническим требованиям. Однако, как заметил Дэн Холм в своей статье «Развертывание и настройка Office 2007», опубликованной в Windows IT Pro/RE № 5 за 2007 г., настройка развертывания Office 2007 благодаря Group Policy кардинально изменилась.
Office 2007 использует инструмент под названием Office Customization Tool (OCT) для создания файлов исправлений Windows Installer (msp), которые применяются для настройки конфигураций Office. Это поможет понять, как изменился процесс постразвертывания Office 2007 с использованием файлов административного шаблона. Надо сказать, что теперь у нас больше возможностей для внесения настроек и их реализации в Office 2007, чем когда бы то ни было.
Получение административных шаблонов
Можно загрузить файлы административных шаблонов из центра загрузки Microsoft по адресу www.microsoft.com/downloads/details.aspx?FamilyID=92d8519a-e143–4aee-8f7a-e4bbaeba13e7. Microsoft предоставляет как файлы ADM, так и файлы нового формата — ADMX, которые понадобятся для Windows Vista и Windows Server 2008.
После завершения загрузки AdminTemplates.exe и извлечения файлов вы увидите папки ADM и ADMX. Также может появиться папка Admin, которая содержит файлы OCT для настройки Office во время развертывания. Эти файлы в данной статье мы рассматривать не будем. В папке ADM будет виден ряд папок, названных по коду языка (например, de-de для немецкого, en-us для американского английского или es-es для испанского). Это языковые версии файлов ADM. Задавая конфигурацию Office 2007, вы выбираете языковую папку, которая подходит для запущенной у вас версии Windows.
Папка ADMX содержит языковые папки вдобавок к файлам ADMX. Папки содержат ресурсные файлы языка (ADMLs), которые работают с нейтральными к языку файлами ADMX. Если вы управляете Office 2007 из Vista или Server 2008, придется использовать эти файлы.
Реализация шаблонов ADM Office
Для любой версии Windows, более ранней, чем Windows Vista, нужно задействовать файлы ADM. Заметим, что в версиях, выпущенных до Vista, файлы ADM хранятся по одному в объекте групповой политики Group Policy Object (GPO), таким образом, вам нужно будет выполнить эти шаги в каждом GPO, который вы хотите применить в политиках для Office 2007.
Первое, что нужно сделать, чтобы загрузить файлы ADM для использования в Group Policy, — это открыть в консоли управления Microsoft Management Console (MMC) оснастку редактора групповых политик Group Policy Editor (GPE), с GPO, которым вы управляете. Можно выбрать либо GPO для домена Active Directory (AD), либо локальный GPO. Правой кнопкой мыши щелкните по узлу Administrative Templates, расположенному либо под Computer Configuration, либо под User Configuration (неважно, который из них вы используете, когда будете добавлять шаблоны к GPO), выберите Add/Remove Templates из контекстного меню, затем нажмите Add для выбора папки файлов ADM для вашего языка Office 2007. Причем вы можете выбрать одновременно все файлы ADM в папке для загрузки в GPO, как показано на экране 1.Затем нажмите Open в диалоговом окне Policy Template; файлы ADM скопируются в GPO, потом они появятся под узлом Administrative Templates в GPE (см. экран 2).
Вы обнаружите параметры настроек Office под обоими узлами — Computer Configuration и User Configuration; параметры под Computer Configuration применяются ко всем пользователям на компьютере, где используется GPO. А те параметры, которые расположены под User Configuration, обращены к любому пользовательскому объекту в AD, который принимает GPO. Немного сбивает с толку то, что эти файлы ADM (как и файлы ADMX) поставляются как с новыми настройками, которыми полностью могут управлять администраторы, так и с настройками-предпочтениями, которые устанавливаются вне разделов данной политики в реестре. По умолчанию предпочтения в GPE не показаны. Чтобы увидеть все установочные настройки, поставляемые шаблонами Office, нужно выбрать View, Filtering in GPE, затем убрать флажок Only show policy settings that can be fully managed, таким образом, проявятся все предпочтения наряду с параметрами настройки. К сожалению, этот режим фильтрации не сохраняется, поэтому придется устанавливать его каждый раз, когда запускается GPE.
Реализация шаблонов ADMX Office
Vista многое изменила в управлении административными шаблонами за счет использования формата файла ADMX, который, по сути, заменяет файлы ADM на основанные на формате XML для определения новых параметров настройки в реестре. Преимущество файлов ADMX состоит в том, что GPE не требует долго хранить их в части SYSVOL каждого GPO в домене. Это экономит место и полосу пропускания на корпоративных контроллерах домена DC.
Чтобы получить доступ к файлам ADMX из Office 2007 на административном узле Vista, можно выбрать один из двух способов. Первый, самый легкий способ, — это просто скопировать файлы ADMX из папки ADMX на свою рабочую станцию, поместив их в папку под названием c:WindowsPolicyDefinitions. Убедитесь, что вы скопировали только файлы ADMX в эту папку, а не подпапки, которые содержат языковые файлы ADML, — это уже следующий шаг. Выберите необходимые языковые файлы ADML и скопируйте их в языковую подпапку с названием C:WindowsPolicyDefinitions. Например, в случае использования версии Windows на немецком языке вы бы скопировали файлы ADML из папки de-de в установочном каталоге Administrative Templates C:WindowsPolicyDefinitionsde-de. После копирования всех файлов в нужные папки вы увидите их под узлом Administrative Templates в узлах Computer Configuration и User Configuration, когда запустите GPE.
Другой способ доступа к файлам ADMX Office 2007 в GPE –построить централизованное хранилище. Vista и Server 2008 поддерживают общее централизованное файловое хранилище для файлов ADMX и ADML. Вам не нужно копировать эти файлы на локальную рабочую станцию администратора, чтобы сделать их доступными. Если вы скопируете их в одно хранилище в папке SYSVOL на корпоративных DC, они станут доступными для всех администраторов, которые запускают GPE в вашем домене.
Если у вас нет централизованного хранилища, его нужно создать и заполнить стандартными файлами ADMX и ADML, прежде чем копировать в него файлы Office 2007. Заметьте, что, когда централизованное хранилище в домене существует, GPE игнорирует содержимое C:WindowsPolicyDefinitions и просматривает только централизованное хранилище файлов ADMX. Если вы копируете только ADMX-файлы Office в централизованное хранилище, вы больше не увидите файлы ADMX Windows в любом из GPO! Создать централизованное хранилище легко: все шаги описаны в статье Microsoft «How to create a Central Store for Group Policy Administrative Templates in Window Vista» (support.microsoft.com/kb/929841). Однако я создал бесплатную утилиту, которую можно использовать для создания централизованного хранилища посредством графического интерфейса, чтобы не выполнять эту задачу вручную. Ее можно загрузить с www.gpoguy.com/cssu.htm.
Использование шаблонов для ограничения возможностей Office
Административные шаблоны в Office 2007, в которых значительно больше настроек, чем в Office 2003, предоставляют около 3500 настраиваемых параметров. Богатство выбора зачастую может поставить в тупик. Кроме того, пояснительный текст, сопровождающий административные шаблоны, редко присутствует в шаблонах Office. Это означает, что только методом проб и ошибок удастся подобрать правильную политику.
Дальше — больше: шаблоны Office не всегда ведут себя так, как другие административные шаблоны. Например, если вы активировали политику для Explorer с целью ограничения возможностей определенной функции, кнопка этой функции может быть затенена, поэтому пользователь не сможет изменить ее. Однако в случае с Office все не так. Например, если вы отключили фоновое сохранение в Microsoft Office Word 2007, то флажок для него не установлен, когда вы запускаете Word, но пользователь может установить его. Однако, когда вы запустите Word в следующий раз, то убедитесь, что этот флажок не установлен, как и предписывает политика. Такое поведение может сбить с толку, если не знать, что так и должно быть.
Еще одно неудачное проявление, которое я заметил, заключается в том, что приложения Office, в отличие от многих компонентов Windows, управляемых политикой, не отслеживают изменения политики в динамике во время работы приложения. Например, в нашем сценарии с функцией управления фоновым сохранением в Word, если я настрою политику и система пользователя обработает ее во время исполнения Word, то Word не будет сразу же реализовывать это изменение. Оно не будет применено вплоть до следующего запуска приложения пользователем.
Шаблоны позволяют отключить элементы меню в приложениях Office. Как правило, существует два способа сделать это для каждого приложения. Первый способ — выбрать один из прописанных в меню вариантов, которые предоставлены политикой. Второй, менее очевидный способ — использовать специальные идентификаторы меню, чтобы ограничить огромный выбор меню. Давайте посмотрим на использование обоих способов для ограничения пунктов меню Excel. Используя первый способ, пройдите в консоли GPE по дереву к User ConfigurationAdministrative TemplatesMicrosoft Office Excel 2007Disable Items in User InterfacePredefined, затем выберите политику Disable Commands в правой панели окна. Щелкните по Properties, чтобы увидеть диалоговое окно Disable commands Properties, где будут показаны параметры для деактивации конкретных пунктов меню (см. экран 3).
Теперь, выбирая контейнер Custom в разделе Disable Items in User Interface, вы можете определить свои команды (пункты меню) и любые «быстрые клавиши». Когда вы открываете параметры политики двойным щелчком, появляется запрос на command bar ID той команды, которую требуется настроить. Где достать этот ID? Ответ не так прост. Все, что я нашел, — это макрокоманды Visual Basic, которые можно запускать в приложении Office для нахождения command bar ID. Например, в статье Microsoft «WD2000: How to Generate a List of Command Bar Names, Captions, and ID Numbers» на support.microsoft.com/kb/243988 описано, как можно сделать то же самое для Word 2000; а я успешно использовал макрокоманду из той статьи для Office 2003. Я не видел никакой документации о ее применении в Office 2007, у которого есть новая лента меню, но я запускал макрокоманду в Word 2007, и она работала так, как ожидалось.
Защита Office 2007 при помощи Group Policy
Помимо административных шаблонов для настройки Office 2007, Microsoft предлагает два связанных с групповыми политиками инструмента, которые помогут убедиться, что ваша среда Office 2007 настроена с соблюдением норм безопасности. Первый из них — руководство по безопасности Microsoft Office 2007 Security Guide, оно доступно на сайте Microsoft. Данное руководство включает в себя электронную таблицу и ряд документов, которые детально описывают настройки административных шаблонов Office 2007, имеющие отношение к безопасности, и вы можете использовать их для безопасной настройки своей среды Office.
Другим помощником, облегчающим создание групповых политик для защиты вашей среды Office, является GPOAccelerator. Этот инструмент, который можно загрузить с сайта Microsoft, является файлом Windows Installer (msi), который вы устанавливаете на своей административной рабочей станции. Он включает ряд предписанных GPO, которые можно применить в домене AD (может быть, сначала в тестовом). Они обеспечивают настройки безопасности, рекомендованные Office 2007, для большого количества разных сценариев. GPOAccelerator устанавливает сценарий GPOAccelerator.wsf, который создает организационное подразделение OU в AD-домене, для которого вы запускаете сценарий, затем формирует объекты GPO согласно ключам, которые вы задаете. Я запускал сценарий GPOAccelerator с ключами/Enterprise,/Lab и /Vista, как показано на экране 4. Конечная структура организационного подразделения, включая объекты GPO, была создана для Vista Security Guide EC Client OU в моем тестовом домене.
Вдобавок к неплохим инструкциям по настройке административных шаблонов, связанных с Office, объекты групповых политик, принадлежащие GPOAccelerator, включают полезные инструкции для общих настроек безопасности, которые, в свою очередь, содержат такие области, как аудит, права пользователя и настройки журнала регистрации событий. Эти GPO являются хорошей отправной точкой для планирования собственных корпоративных GPO, нацеленных на управление пользователями Office. Вы можете подстраивать и видоизменять настройки в GPO в соответствии с требованиями той или иной среды. Словом, разработчики Microsoft проделали большую работу, чтобы понять, с какими настройками безопасности вы столкнетесь, и их труд значительно ускоряет и облегчает настройку Office 2007.
Что же пропущено?
Хотя административные шаблоны Office 2007 состоят из массы параметров для управления Office посредством Group Policy, вы обнаружите отсутствие нескольких, казалось бы, очевидных вещей. Например, вы не можете установить профили Microsoft Office Outlook, используя настройки административных шаблонов, но вы можете определить, как сервер Microsoft Exchange будет себя вести после того, как профиль Outlook указан в пользовательском профиле. Любые настройки, которые не хранятся в системном реестре, вроде тех что поддерживаются административными шаблонами, попадают в число пропущенных, например, тип REG_BINARY попадает в эту категорию.
Может быть, некоторые из этих недостающих возможностей Office появятся, когда Microsoft сделает доступными массовому пользователю расширения от DesktopStandard PolicyMaker, компании, которую Microsoft приобрела в 2006 году. Эти расширения включают такие функции, как создание профилей Outlook и установка параметров в Office, которые административные шаблоны не покрывают. Будем надеяться, что Microsoft выпустит их как можно быстрее.
Беспрецедентный контроль в офисе
С выпуском административных шаблонов для Office 2007, руководства 2007 Microsoft Office Security Guide и инструмента GPOAccelerator, компания Microsoft позволила настраивать беспрецедентное количество параметров Office с помощью групповых политик, которое вы можете использовать при работе либо с Windows Vista, либо с Windows XP. Хотя вы, вероятно, не обнаружите чего-то необходимого, однако с этими инструментами Microsoft вы становитесь намного ближе к полному управлению Office через Group Policy. Чем больше пользователей открывают для себя мощность Group Policy для задания настроек своих систем, тем больше для Microsoft будет иметь смысл делать свои продукты и компоненты управляемыми через Group Policy, так как можно снизить количество мест, куда администратору нужно будет идти, чтобы настроить настольные компьютеры.
Даррен Мар-Элиа (dmarelia@windowsitpro.net) — редактор журнала Windows IT Pro
Выбор административных шаблонов для добавления в GPO
Файлы ADM в административных шаблонах узла GPE
Параметры для блокировки пунктов меню Exel
Организационное подразделение с итоговыми GPO, созданными GPOAccelerator