では、同内容をドメイン環境の場合はどのように設定すれば良いのか?。
私はグループ ポリシー設計、構築の経験がほぼないため、調査・設定をテスト環境で行ってみました。
今回は、ドメイン ネットワークにおける「Office 2013 グループ ポリシー管理用テンプレート」の導入手順と設定についてメモ。
2014.01.02 ADMX ファイルの手順説明に画像を追加しました
グループ ポリシーとは?
ThinkITの記事「第3回 グループポリシーを使って楽々管理」によるとグループ ポリシーとは、
Active Directory ドメイン サービス(AD DS)がサポートする「グループ ポリシー」を使う事で、
Windows 2000 Serverから実装されたユーザーおよびコンピュータの運用管理機構というそうです。
Active Directory ドメイン サービス(AD DS)がサポートする「グループ ポリシー」を使う事で、
- コンピューターの使用環境を設定、又は制限
- ポリシーをドメイン内のコンピューター及びユーザーに一括適用
今回の環境
Windows Server 2012 R2 Essentials のドメイン ネットワークを使い、手順を説明します。手順
最初に「Office 2013 のグループ ポリシー管理用テンプレート ファイル」をダウンロード、インストールします。
Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool
Office 2013用ADMX ファイル(.admxと.adml)をドメイン コントローラーにコピーします。
- ドメイン コントローラーのサーバーにログイン
- C:\Windows\SYSVOL\domain\Policiesへ移動
- フォルダー名「PolicyDefinitions」を新規作成
- 言語に依存しない xxx.admx ファイルを「PolicyDefinitions」フォルダーへコピー
- 言語に依存する xxx.adml ファイルは、「PolicyDefinitions」フォルダー配下に言語フォルダーを新規作成しコピー※日本語の場合は、「ja-jp」フォルダーを作成
次に、グループ ポリシー オブジェクト(以後GPO)を作成します。
- [グループ ポリシーの管理]を起動
- Office 2013用グループ ポリシー オブジェクト(以後GPO)を作成
※例としてGPO名を「Office 2013 Policy」とします - GPO ポリシーを設定
- [スコープ]タブ→[セキュリティ フィルター処理]を設定
セキュリティ フィルター処理は後ほど説明します - ポリシーを編集
編集は下記方法で[グループ ポリシー管理エディター]を開き行います。 - GPOを右クリック→[編集]をクリック。又は
- GPOの[設定]タブを選択→画面内で右クリック→[編集]をクリック
- 6のGPOをリンク
- ドメイン配下の<ドメイン名>.localを右クリック
- [既存のGPOのリンク(L)...]をクリック
- [グループ ポリシー オブジェクト]一覧から該当のポリシーを選択
今回の場合は、「Office 2013 Policy」を選択
- [OK]ボタンをクリック
最後に、各クライアントに対しGPOを適用します。
GPOを適用する方法はいくつかあります。
GPOを適用する方法はいくつかあります。
- グループ ポリシーが配布されるまで待つ
既定では、最短90分、最長120分(90分+0~30分のランダム オフセット) - 再起動する(コンピューターの構成の場合)
- ログオン(サインイン)する(ユーザーの構成の場合)
- gpupdate.exeを実行し強制適用
手順は以上です。
構築時に良く分からなかった点がいくつかありましたので、調べた内容をメモします。
ポリシーのスコープ
スコープに登録されている既定は、Authenticated Users グループにに対しGPOが適用されます。「セキュリティ識別子 - Technet ライブラリ」によるとAuthenticated Users グループとは
ID が認証されたすべてのユーザーおよびコンピュータ。と説明されています。
Authenticated Users には Guest は含まれません。これは Guest アカウントにパスワードがある場合も同様です。
全ユーザーではなく、
- 特定のユーザー アカウント
- Windows Server 2012 R2 Essentialsのダッシュボードに登録したユーザー グループ
ポリシーの設定
適用したいOffice 2013のポリシーを設定します。
サンプルとして、下記は私が実際に有効にしているポリシーをご紹介します。
※下記内容は私個人が必要と思う設定であり、こうでなければならないという事は一切ありません。
- Microsoft Office 2013
- FirstRun
- 最初の実行時のムービーを無効にする(有効)
- アプリケーションの起動時にOffice First Runを無効にする(有効)
- Microsoft PDF および XPSとして保存アドイン
- PDF および XPS 出力ファイルにドキュメント プロパティを含めない(有効)
- その他
- ブログの管理(有効:SharePoint ブログのみ許可する)
- Office アニメーションを無効にする(有効)
- Office の背景を無効にする(有効)
- すべての Office アプリケーションの Office スタート画面を無効にする(有効)
- ハードウェア グラフィック アクセラレータを使用しない(有効)
- OneDrive のサインインを表示する(無効)
- Office への署名をブロック(有効:Microsoft アカウントのみ ブロックする)
- 推奨設定 ダイアログを表示しない(有効)
- ツール|オートコレクトのオプション
- 文の先頭文字を大文字にする[the .. -> The ...](無効)
- ツール|オプション|全般|サービス オプション
- オンライン コンテンツ
- サービス レベルのオプション(有効:Microsoft のサービスのみ)
- プライバシー
- セキュリティ センター
- 初回起動時に選択ウィザードを表示しない(有効)
- Office のフィードバックにスクリーンショットを含めることを許可する(無効)
- Microsoft Excel 2013
- Excel のオプション
- セキュリティ
- セキュリティ センター
- 信頼できる場所
- ネットワーク上の信頼できる場所を許可する(有効)
- 信頼できる場所 #x
- Microsoft Access 2013
Excel 2013と同ポリシーを適用 - Microsoft Word 2013
Excel 2013と同ポリシーを適用
Windows Server 2012 R2 Essentialsの設定
Windows Server 2012 R2 Essentials のドメインに参加しているクライアント コンピューターに「グループ ポリシーを実装」する事で上記グループ ポリシーが適用されます。
グループ ポリシーを実装する手順は下記の通りです。
グループ ポリシーを実装する手順は下記の通りです。
- ダッシュボードを開く
- [デバイス]タブをクリック
- [コンピューター]タブが選択されている事を確認
- 右側[コンピューター タスク]ペインにある[グループ ポリシーの実装]をクリック
- 適用したいグループ ポリシーを設定
[グループ ポリシーの実装]の設定は下記記事を参考にしてください。