Computer configuration administrative templates

Административные шаблоны для управления настройками MS Office с помощью GPO

Computer configuration administrative templates

Для централизованного управления настройками программ пакета офисных программ Microsoft Office (Word, Excel. Outlook, Visio, PowerPoint и т.д.) с помощью групповых политик в домене существуют специальные административные ADMX шаблоны. Данные административные шаблоны позволяют задать одинаковые настройки программ MS Office сразу на множестве компьютеров домена.

По умолчанию ADMX шаблоны для MS Office не устанавливаются в системе при развертывании домена Active Directory или установке программ пакета MS Office. Администраторы должны скачать и развернуть пакет административных шаблонов для Office вручную.

Для каждой версии MS Office используется свой версия административных шаблонов. Ниже перечислены списки для загрузки административных шаблонов для разных версий Office.

В этой статье мы покажем, как установить и использовать административные шаблоны групповых политик для управления программами из пакета Office 2016. Эти шаблоны политик можно использовать для настройки параметров Office 365 ProPlus, Office 2019 (см. отличия между Office 2016 и Office 365) и Office 2016 на Windows 10 , Windows 7, Windows 8.1, Windows Server 2012, Windows Server 2016.

Установка административных шаблонов политик Office 2016, 2019 и Office 365

Перейдите на страницу загрузки ADMX шаблонов GPO для Office 2016. Обратите внимание, что вам предлагается скачать 32 или 64 битную версию шаблонов. Это не означает, что если на компьютерах пользователей установлена 32 битная версия Office 2016, то вам нужно качать файл admintemplates_x86_4768-1000_en-us.

exe, а если используется MS Office x64 — admintemplates_x64. В обоих архивах используются одинаковые версии ADMX и ADML файлов. Разрядность относится только к версии утилиты Office Customization Tool, которая используется для предварительной настройки программ MS Office перед развертыванием (в нашей статье этот функционал не затрагивается).

Поэтому вы можете скачать любую версию файла.

Распакуйте скачанный файл. Архив содержит:

  1. Каталог admin – в нем хранится набор OPAX/OPAL файлов для настройки дистрибутива Office 2016 перед развертыванием с помощью Office Customization Tool (OCT). В нашем случае этот каталог не используется;
  2. Каталог admx — набор admx и adml файлов для редактора групповых политики;
  3. Файл office2016grouppolicyandoctsettings.xlsx — Excel файл с описанием всех групповых политик и соответствия между настройками GPO и ключей реестра для продуктов Office).

Обратите внимание на структуру файлов в каталоге admx. В каталогах с названием языка содержатся adml файлы с языковыми настройками для административных шаблонов GPO для разных языков. В каталоге ru-ru есть файлы с описанием политик на русском языке.

В пакете содержатся отдельные ADMX файлы шаблонов для управления настройками следующих продуктов MS Office 2016:

  • access16.admx — Microsoft Access 2016;
  • excel16.admx — Microsoft Excel 2016;
  • lync16.admx — Microsoft Lync (Skype for Business) 2016;
  • office16.admx – общие настройки MS Office;
  • onent16.admx — OneNote 2016;
  • outlk16.admx – Outlook 2016;
  • ppt16.admx — PowerPoint 2016;
  • proj16.admx — Microsoft Project 2016;
  • pub16.admx — Microsoft Publisher 2016;
  • visio16.admx — Visio 2016;
  • word16.admx — Microsoft Word 2016.

На отдельном компьютере вы можете подключить данные административные шаблоны в редактор локальных групповых политик gpedit.msc, скопировав содержимое каталога Admx в локальный каталог C:\Windows\PolicyDefinitions.

Если вы хотите использовать административные шаблоны политик Office для управления настройками на компьютерах домена, необходимо скопировать (с перезаписью) файлы политик в каталог \\winitpro.ru\SYSVOL\winitpro.

ru\policies\PolicyDefinitions на контроллере домена (каталог PolicyDefinitions придется создать вручную, если его еще нет).

Этот каталог является централизованным хранилищем административных шаблонов (Group Policy Central Store).

Теперь, если открыть редактор локальной групповой политики (gpedit.msc) или редактор доменных политик Group Policy Management Console (gpmc.msc), вы увидите, что в консоли GPO в разделе административных шаблонов пользователя (User Configuration) и компьютера (Computer Configuration) появятся новые разделы для управления продуктами Office 2016.

Аналогичным образом вы можете скопировать в центральное хранилище PolicyDefinitions на контроллере домене административные шаблоны для Office 2010 и Office 2013 (если они используются на ПК в вашем домене).

На скриншоте ниже видно, что в консоли редактора GPO присутствуют административные шаблоны для Office 2007, 2010, 2013 и 2016.

Все эти шаблоны хранятся на контролере домена (об этом свидетельствует надпись Policy definitions (ADMX files) retrieved from the central store).

Управление настройками программ пакета Office 2016/2019 с помощью GPO

Предположим, нам нужно на всех компьютерах домена изменить настройки некоторых программ из пакета Office. Если вы не знаете, в каком разделе дерева GPO настраивается конкретный параметр программы пакета Office, вы можете найти его в файле office2016grouppolicyandoctsettings.xlsx.

  1. Откройте консоль редактирования доменных политик GPMC.msc и создайте новый объект GPO;
  2. Перейдите в режим редактирования созданного объекта GPO;
  3. Включим следующие политики:
    • Включим режим кэширования Exchange для Outlook 2016 – политика Use Cached Exchange Mode for new and existing Outlook profiles в разделе User Configuration –> Policies –> Administrative Templates –> Microsoft Outlook 2016 –> Account Settings–> Exchange–> Cached Exchange Mode;
    • Запретим предварительный просмотр вложнений в Outlook политика Do not allow attachment previewing in Outlook (раздел User Configuration –> Policies –> Administrative Templates –> Microsoft Outlook 2016 –> Preferences –> E-Mail Options);
    • Отключим возможность запуска макросов в Word 2016 – политика VBA Macro Notification Settings со значением Disable All With Notification (раздел … Microsoft Word 2016 –> Word Options –> Security –> Trust Center).
  4. Осталось назначить данную политику на OU с пользователями (Link an Existing GPO) и после обновления политик на клиентах к Outlook 2016 и Word 2016 применятся новые настройки.

Итак, мы рассмотрели, как управлять настройками программ Word, Access, Excel, Outlook и т.д. на компьютерах домена с помощью ADMX шаблонов групповых политик.

Источник: https://winitpro.ru/index.php/2019/01/16/office-admx-administrativnye-shablony-gpo/

Административные шаблоны windows 10 как открыть

Computer configuration administrative templates

» Windows 10 » Административные шаблоны windows 10 как открыть

Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений.

Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).

Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.

Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker.

Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора.

Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».

Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, — gpedit.msc. После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.

Внешний вид редактора внешне абсолютно ничем не отличается от всех других оснасток для управления и контроля над ПК: сервисов, разметки жесткого диска, системного монитора, средства проверки памяти и других узлов. В левой части активного окна находится структура папок для иерархического доступа к параметрам кастомизации, а в правой части – сами эти параметры.

Настройки в левой части оснастки поделены на две основные категории: для управления конфигурацией компьютера (т.е. те, которые действуют для системы в целом, вне зависимости от того, с помощью какого аккаунта был выполнен вход в ОС) и для настройки конфигурации пользователя (т.е. актуальный только для того юзера, который залогинился в операционку). См.

также Как войти в Windows 10 как администратор.

  Как создать учетную запись Microsoft на Windows 10

Каждая из представленных категорий вмещает в себя параметры трех типов:

  • административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
  • конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
  • конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).

Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система.

Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».

Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.

По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».

Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.

Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.

Чтобы отключить групповую политику, выберите вариант «Не задано».

  Как настроить локальную сеть в Windows 10

Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.

Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности. В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.

По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).

Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.

Следующая опция – «Запрос учетных данных на безопасном рабочем столе».

Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.

Еще один вариант – «Запрос согласия на безопасном рабочем столе». Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.

Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.

Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления.

Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.

  Что такое торрент и что такое торрент-трекер?

Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.

Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection».

Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».

Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.

composs.ru

Как на практике применить групповые политики в Windows 10

Здравствуйте, уважаемые читатели моего блога.

В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС.

Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться.

Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Групповые политики для Windows Home Скачано: 1642, размер: 855 Кб, дата: 08.Авг.2016

Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

  1. gpedit
  2. appmgr
  3. fde
  4. gptext
  5. fdeploy
  6. gpedit.msc
  • Вставляем их в директорию %WinDir%\System32
  • Теперь заходим в каталог SysWOW64 и с него копируем папки:
  1. GroupPolicy
  2. GroupPolicyUsers
  3. GPBAK
  4. И один файл gpedit.msc
  • Вставляем их System32 и перезапускаем ПК.
  • После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:
  • В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Примеры работы групповых политик на практике

О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.

Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.

Установка запрета на запуск приложений

  • Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
  • Справа отобразится перечень возможностей.
  • Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
  • В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).
  • Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
  • После попытки запуска указанного софта будет появляться следующая ошибка:
  • Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

  • Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
  • Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
  • Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

Источник: https://htfi.ru/windows_10/administrativnye_shablony_windows_10_kak_otkryt.html

Оснастка

Computer configuration administrative templates

В предыдущей части статьи вы узнали о том, что такое оснастка “Редактор локальной групповой политики”, категориях групповой политики, а также об узлах “Конфигурация компьютера” и “Конфигурация пользователей”.

Помимо этого, вы могли вкратце ознакомиться с узлами “Конфигурация программ” и “Конфигурация Windows”, которые располагаются внутри обоих основных узлов.

В этой части статьи вы узнаете о последнем узле оснастки “Редактор локальной групповой политики”“Административные шаблоны”.

Административные шаблоны – это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле “Административные шаблоны” как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Также вы научитесь использовать фильтры представления папки административных шаблонов.

Административные шаблоны

Узел “Административные шаблоны” является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра.

Политики в узле “Административные шаблоны” конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле “Административные шаблоны” конфигурации пользователя – HKEY_CURRENT_USER (HKCU).

В некоторых источниках административные шаблоны могут называться политиками на основе реестра. В рамках этой статьи будет рассматриваться узел “Административные шаблоны” для локального компьютера.

О применении настроек административных шаблонов для нескольких компьютеров или пользователей, входящих в домен будет рассказываться в одной из последующих статей.

Для системных администраторов узел “Административные шаблоны” предоставляет возможности динамического управления операционной системой. Несмотря на то, что администратору понадобится немало времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.

Административные шаблоны операционных систем Windows 7 и Windows Server 2008 R2 теперь поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики.

Благодаря этим нововведениям вы можете применять административные шаблоны для управления тех приложений, которые используют в реестре значения типа REG_MULTI_SZ и QWORD.

Может возникнуть следующий вопрос: “В чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих операционных систем?”.

При помощи типа значений реестра QWORD вы можете изменять параметра политики административных шаблонов для 64-разрядных приложений, а при помощи значений реестра REG_MULTI_SZ – вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.

Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:

  • HKEY_LOCAL_MACHINE\SOFTWARE\policies – конфигурация компьютера;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies – конфигурация компьютера;
  • HKEY_CURRENT_USER\SOFTWARE\policies – конфигурация пользователя;
  • HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies – конфигурация пользователя.

Для того чтобы изменить параметры существующей политики административных шаблонов, выполните следующие действия:

  1. Откройте оснастку “Редактор локальной групповой политики”;
  2. В дереве консоли разверните узел “Административные шаблоны”, после чего откройте узел, содержащий нужный для вас параметр политики, например: Конфигурация пользователя\Административные шаблоны\Проводник Windows;

  3. Просмотрите параметры, которые расположены в этом узле. В области сведений вы можете прочитать подробную информацию об интересующем вас параметре политики. Нажмите левой кнопкой мыши на том параметре политики, конфигурацию которого вы планируете изменить, например, параметр “Максимально доступный размер корзины”;
  4. Откройте диалоговое окно свойств параметра политики. Открыть это окно вы можете следующими способами:
    • перейдите по ссылке “Параметр политики” в области сведений;
    • дважды щелкните левой кнопкой мыши на выбранном параметре;
    • в области действий выберите “Дополнительные действия”, а затем команду “Изменить”;
    • откройте меню “Действие”, а затем выберите команду “Изменить”.
  5. В окне с названием политики (в нашем случае – “Максимально допустимый размер Корзины”) вы можете выполнить следующие действия:
    • Выбрать одну из опций, отвечающую за состояние параметра. При выборе опции “Не задано” значение параметра реестра не изменяется. Если будет выбран параметр “Включить”, в системном реестре будет выбрано значение, включающее параметр данной политики. Значение “Отключить”, в свою очередь, выполняет действие, отключающее условия, указанные в параметре политики;

Источник: http://www.interface.ru/home.asp?artId=23376

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.