2015/01/02

ドメイン環境に「Office 2013 グループ ポリシー管理用テンプレート」を導入してみた

先日投稿したOffice 2013に関する設定記事(Word & Excel 2013 「Officeにサインイン」を消す方法Word & Excel 2013 保存先からOneDriveを消す方法)は、ワークグループ 環境を想定しました。
では、同内容をドメイン環境の場合はどのように設定すれば良いのか?
私はグループ ポリシー設計、構築の経験がほぼないため、調査・設定をテスト環境で行ってみました。
今回は、ドメイン ネットワークにおける「Office 2013 グループ ポリシー管理用テンプレート」の導入手順と設定についてメモ。

2014.01.02 ADMX ファイルの手順説明に画像を追加しました

グループ ポリシーとは?

ThinkITの記事「第3回 グループポリシーを使って楽々管理」によるとグループ ポリシーとは、
Windows 2000 Serverから実装されたユーザーおよびコンピュータの運用管理機構
というそうです。
Active Directory ドメイン サービス(AD DS)がサポートする「グループ ポリシー」を使う事で、
  • コンピューターの使用環境を設定、又は制限
  • ポリシーをドメイン内のコンピューター及びユーザーに一括適用
が出来ます。

今回の環境

Windows Server 2012 R2 Essentials のドメイン ネットワークを使い、手順を説明します。

手順

最初に「Office 2013 のグループ ポリシー管理用テンプレート ファイル」をダウンロード、インストールします。
Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool
Office 2013用ADMX ファイル(.admxと.adml)をドメイン コントローラーにコピーします。
  1. ドメイン コントローラーのサーバーにログイン
  2. C:\Windows\SYSVOL\domain\Policiesへ移動
  3. フォルダー名「PolicyDefinitions」を新規作成
  4. 言語に依存しない xxx.admx ファイルを「PolicyDefinitions」フォルダーへコピー
  5. 言語に依存する xxx.adml ファイルは、「PolicyDefinitions」フォルダー配下に言語フォルダーを新規作成しコピー
    ※日本語の場合は、「ja-jp」フォルダーを作成
次に、グループ ポリシー オブジェクト(以後GPO)を作成します。
  1. [グループ ポリシーの管理]を起動
  2. Office 2013用グループ ポリシー オブジェクト(以後GPO)を作成
    ※例としてGPO名を「Office 2013 Policy」とします
  3. GPO ポリシーを設定
  4. [スコープ]タブ→[セキュリティ フィルター処理]を設定
    セキュリティ フィルター処理は後ほど説明します
  5. ポリシーを編集
    編集は下記方法で[グループ ポリシー管理エディター]を開き行います。
    • GPOを右クリック→[編集]をクリック。又は
    • GPOの[設定]タブを選択→画面内で右クリック→[編集]をクリック
  6. 6のGPOをリンク
    1. ドメイン配下の<ドメイン名>.localを右クリック
    2. [既存のGPOのリンク(L)...]をクリック

    3. [グループ ポリシー オブジェクト]一覧から該当のポリシーを選択
      今回の場合は、「Office 2013 Policy」を選択

    4. [OK]ボタンをクリック
最後に、各クライアントに対しGPOを適用します。
GPOを適用する方法はいくつかあります。
  • グループ ポリシーが配布されるまで待つ
    既定では、最短90分、最長120分(90分+0~30分のランダム オフセット)
  • 再起動する(コンピューターの構成の場合)
  • ログオン(サインイン)する(ユーザーの構成の場合)
  • gpupdate.exeを実行し強制適用
手順は以上です。
構築時に良く分からなかった点がいくつかありましたので、調べた内容をメモします。
ポリシーのスコープ
スコープに登録されている既定は、Authenticated Users グループにに対しGPOが適用されます。
セキュリティ識別子 - Technet ライブラリ」によるとAuthenticated Users グループとは
ID が認証されたすべてのユーザーおよびコンピュータ。
Authenticated Users には Guest は含まれません。これは Guest アカウントにパスワードがある場合も同様です。
と説明されています。
image
全ユーザーではなく、
  • 特定のユーザー アカウント
  • Windows Server 2012 R2 Essentialsのダッシュボードに登録したユーザー グループ
に対しGPOを適用したい場合は、Authenticated Usersを削除しそれらを追加する事でポリシーを適用できました。
image
ポリシーの設定
適用したいOffice 2013のポリシーを設定します。
サンプルとして、下記は私が実際に有効にしているポリシーをご紹介します。
下記内容は私個人が必要と思う設定であり、こうでなければならないという事は一切ありません。
  • Microsoft Office 2013
    • FirstRun
      • 最初の実行時のムービーを無効にする(有効)
      • アプリケーションの起動時にOffice First Runを無効にする(有効)
    • Microsoft PDF および XPSとして保存アドイン
      • PDF および XPS 出力ファイルにドキュメント プロパティを含めない(有効)
    • その他
      • ブログの管理(有効:SharePoint ブログのみ許可する)
      • Office アニメーションを無効にする(有効)
      • Office の背景を無効にする(有効)
      • すべての Office アプリケーションの Office スタート画面を無効にする(有効)
      • ハードウェア グラフィック アクセラレータを使用しない(有効)
      • OneDrive のサインインを表示する(無効)
      • Office への署名をブロック(有効:Microsoft アカウントのみ ブロックする)
      • 推奨設定 ダイアログを表示しない(有効)
    • ツール|オートコレクトのオプション
      • 文の先頭文字を大文字にする[the .. -> The ...](無効)
    • ツール|オプション|全般|サービス オプション
      • オンライン コンテンツ
        • サービス レベルのオプション(有効:Microsoft のサービスのみ)
    • プライバシー
      • セキュリティ センター
        • 初回起動時に選択ウィザードを表示しない(有効)
        • Office のフィードバックにスクリーンショットを含めることを許可する(無効)
  • Microsoft Excel 2013
    • Excel のオプション
      • セキュリティ
        • セキュリティ センター
          • 信頼できる場所
            • ネットワーク上の信頼できる場所を許可する(有効)
            • 信頼できる場所 #x
  • Microsoft Access 2013
    Excel 2013と同ポリシーを適用
  • Microsoft Word 2013
    Excel 2013と同ポリシーを適用
    image

    Windows Server 2012 R2 Essentialsの設定

    Windows Server 2012 R2 Essentials のドメインに参加しているクライアント コンピューターに「グループ ポリシーを実装」する事で上記グループ ポリシーが適用されます。
    グループ ポリシーを実装する手順は下記の通りです。
    1. ダッシュボードを開く
    2. [デバイス]タブをクリック
    3. [コンピューター]タブが選択されている事を確認
    4. 右側[コンピューター タスク]ペインにある[グループ ポリシーの実装]をクリック
    5. 適用したいグループ ポリシーを設定
    [グループ ポリシーの実装]の設定は下記記事を参考にしてください。
    参考にしたサイト
    スポンサーリンク

    スポンサーリンク