• [アーティクル]

グループ ポリシーを計画する

更新日: 2007年3月

適用対象: Office Resource Kit

 

トピックの最終更新日: 2008-11-18

Active Directory ベースの環境で、管理者は 2007 Microsoft Office system アプリケーションにグループ ポリシー設定を使用して、次のようなタスクを一元管理できます。

  • 2007 Office system アプリケーションのセキュリティ オプションの設定。たとえば、管理者はポリシー設定を指定して、次のオプションを管理できます。

    • 信頼できる場所および信頼できる発行元

    • 2007 Office system での Internet Explorer 機能の制御設定

    • 2007 Office system のプライバシー オプション

    • 2007 Office system でのドキュメント保護の設定

    • 2007 Office system でのファイル形式のブロックの設定

  • Microsoft Office Outlook 2007 のセキュリティ設定および構成設定の管理。たとえば、管理者はポリシー設定を指定して、次のような設定項目を管理できます。

    • [Exchange キャッシュ モード] オプション

    • 添付ファイルの設定のカスタマイズ

    • [Outlook セキュリティ モード] のオプション。このオプションは、Outlook で強制的に行うセキュリティ設定を指定します。

    • Outlook 2007 フォルダ ホーム ページのセキュリティ

    • プログラムによるセキュリティ設定のカスタマイズ

    • ActiveX とユーザー設定フォームのセキュリティ設定のカスタマイズ

    • Outlook 2007 用の信頼できるアドイン

    • 迷惑メールのフィルタ設定

    • Outlook 個人用フォルダ (PST) とオフライン フォルダ (OST) のファイル設定 (PST ファイルのサイズ制限、PST ファイルと OST ファイルの既定の場所の指定など)

    • RSS (Really Simple Syndication)、インスタント メッセージの統合オプション、インターネット予定表のオプション、および会議ワークスペースの設定

    • Outlook 機能のカスタマイズ (クイック検索、カテゴリ、検索フォルダ オプション、Unicode オプション、メッセージ エンコード オプション、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリ参照オプション、およびユーザー設定フィルタのオプション

    • Outlook ユーザー インターフェイス項目の無効化

  • Microsoft Office Word 2007、Microsoft Office Excel 2007、および Microsoft Office PowerPoint 2007 の既定のファイル保存オプションの指定。管理者は、既定のファイル形式のポリシー設定を構成して、Access 2007 と Access 2002-2003 のどちらの形式を使用するのかや、従来のデータベースを変換するのかどうかを指定することもできます。

  • 組織にとって重要な設定の制御。たとえば、管理者は、オープン XML 形式を組織内のすべてのクライアントで読み取ることができるようになるまで、2007 Office system アプリケーションの既定のファイル形式を従来の形式に設定できます。

  • 2007 Office system ユーザー インターフェイス項目へのアクセスの制限。たとえば、管理者は、Office アプリケーションのコマンド、メニュー項目、およびショートカット キーを無効にできます。

  • Office の既定の言語設定を強制的に設定するポリシー設定の指定。

  • 組織内での 2007 Office system ユーザー インターフェイス アプリケーション設定の標準構成の提供。

  • 組織内での 2007 Office system アプリケーションの厳しく制限された構成や管理がゆるやかな構成の提供。

ここでは、グループ ポリシー ベースのソリューションを展開するための計画手順について説明します。

グループ ポリシーを使用して 2007 Office アプリケーションを管理するための計画

グループ ポリシー ベースのソリューションを展開するための計画には、次の複数の手順が含まれます。

  1. 業務目標やセキュリティ要件の定義。

  2. 現在の環境の評価。

  3. 業務要件やセキュリティ要件に基づく管理された構成の設計。

  4. ソリューションに使用するアプリケーションのスコープの決定。

  5. グループ ポリシー ソリューションのテスト、ステージング、および展開の計画。

  6. ソリューションの計画および展開への主要な関係者の参加。

業務目標およびセキュリティ要件を定義する

業務要件やセキュリティ要件を明確にし、2007 Office system アプリケーションの標準構成をグループ ポリシーでどのように管理できるのかを判断します。グループ ポリシーを使用して管理する Office の設定に関するリソース (ユーザーやコンピュータのグループ) を特定し、プロジェクトのスコープを定義します。

現在の環境を評価する

Microsoft Office アプリケーションの構成に関連する管理タスクの現在の実施方法を調べて、使用する Office のポリシー設定の種類を決定できるようにします。現在の社内慣例や要件をドキュメント化します。この情報を使用すると、管理された構成を次の手順で設計する際に役立ちます。必要な項目を以下に示します。

  • 企業の既存のセキュリティ ポリシーや他のセキュリティ要件。セキュリティ上安全であると見なされる場所や発行元を特定します。Internet Explorer 機能の制御設定、ドキュメント保護、プライバシー オプション、およびファイル形式のブロックの設定を管理するための要件を評価します。

  • 組織のメッセージングの要件。グループ ポリシーを使用して Office Outlook 2007 のユーザー インターフェイス設定、ウイルス対策などのセキュリティ設定を構成するための要件を評価します。

    グループ ポリシーには、PST ファイルのサイズを制限する設定も用意されており、この設定を使用するとワークステーションのパフォーマンスを向上できます。

  • さまざまな種類のユーザーの役割に対応する Office アプリケーションのユーザー要件。これは、ユーザーの業務要件と組織のセキュリティ要件に大きく依存します。

  • Microsoft Office Word 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、および Microsoft Access 2007 で使用する既定のファイル保存オプションの決定。

  • 2007 Office system ユーザー インターフェイス項目に対してさまざまなユーザー グループに設定するアクセス制限の種類の決定。これには、コマンド、メニュー項目、ショートカット キーの無効化などが含まれます。

  • Windows Vista を実行しているコンピュータの特定 (混在環境の場合)。

    [!メモ] Windows Vista ベースまたは Windows Server 2008 ベースの新しいポリシー設定は、Windows Vista ベースまたは Windows Server 2008 ベースの管理用コンピュータでグループ ポリシー オブジェクト エディタまたはグループ ポリシー管理コンソールを実行した場合にのみ管理できます。これらのポリシー設定は ADMX ファイルにのみ定義され、これらのツールの Windows Server 2003 版、Windows XP 版、または Windows 2000 版では表示されません。管理者が Windows Vista ベースの新しいグループ ポリシー設定を構成するには、Windows Vista ベースまたは Windows Server 2008 ベースの管理用コンピュータでグループ ポリシー オブジェクト エディタを使用する必要があります。Office 2007 の場合, .adm ファイルと ADMX ファイルに含まれるポリシー設定は同じものです。

    Vista での ADMX ファイルの管理の詳細については、Microsoft TechNet Web サイトの「Managing Group Policy ADMX Files Step-by-Step Guide (英語)」を参照してください。

  • この展開方法を検討している場合は、グループ ポリシーのソフトウェアのインストールに関する問題を確認します。グループ ポリシーを使用して Active Directory がインストールされた小規模組織にソフトウェア アプリケーションをインストールできますが、制約があるため、展開の要件に適したソリューションであるかどうかを判断する必要があります。詳細については、「グループ ポリシーのソフトウェアのインストールを使用して 2007 Office system を展開する」の「展開に関する考慮事項」を参照してください。

    [!メモ] 複雑または変化の速い環境で多数のクライアントを管理する場合は、中規模および大規模の組織で 2007 Office リリースをインストールおよび保守する方法として、Microsoft Systems Management Server を使用することをお勧めします。Microsoft Systems Management Server には、目録の作成、スケジュール、レポートなどの追加機能が用意されています。Microsoft Systems Management Server を使用して 2007 Office リリースを展開する方法の詳細については、「Systems Management Server 2003 を使用して 2007 Office system を展開する」を参照してください。

    Active Directory 環境で 2007 Office system を展開する別の方法は、グループ ポリシーのコンピュータ スタートアップ スクリプトを使用することです。この方法の詳細については、「グループ ポリシーを使用して 2007 Office 展開のコンピュータ スタートアップ スクリプトを割り当てる」を参照してください。

  • どのような場合にグループ ポリシー設定を使用して Office アプリケーションの機能やオプションの構成を設定するのか、また、どのような場合に Office カスタマイズ ツール (OCT) を使用してオプションを設定するのかを判断します。グループ ポリシーを使用しても OCT を使用しても 2007 Office リリース アプリケーションのユーザー構成をカスタマイズできますが、重要な違いがあります。

    グループ ポリシーは、管理用テンプレートに含まれる 2007 Office リリースのポリシー設定を構成するために使用されます。これらのポリシー設定は、オペレーティング システムによって適用されます。これらの設定には、管理者以外のユーザーによる設定の変更を防ぐためのアクセス制御リスト (ACL) の制限があります。強制的に行う必要がある設定を構成するには、グループ ポリシーを使用します。

    OCT は、セットアップ カスタマイズ ファイル (MSP ファイル) を作成するために使用します。管理者は、OCT を使用して、機能をカスタマイズし、ユーザー設定を構成できます。ユーザーはインストール後に大部分の設定を変更できます。OCT は、優先する設定や既定の設定のみに使用することをお勧めします。

    詳細については、「グループ ポリシーの概要 (2007 Office system)」の「Office カスタマイズ ツールとグループ ポリシー」を参照してください。

  • どのような場合にローカル グループ ポリシーを使用して Office の設定を構成するのかを判断します。管理者は、ローカル グループ ポリシーを使用して、Active Directory ドメインには属さないスタンドアロン コンピュータを含む環境の設定を制御できます。ローカル グループ ポリシー オブジェクトを個別のコンピュータに構成することもできますが、グループ ポリシーの効果が最大限に発揮されるのは、Active Directory がインストールされた Windows 2000 または Windows Server 2003 ベースのネットワークにおいてです。

    Windows Vista および Windows Server 2008 では、スタンドアロン コンピュータで複数のローカル グループ ポリシー オブジェクト (GPO) を管理するためのサポートが提供されています。複数の GPO は、図書館やコンピュータ実験室のように、単一コンピュータでの共有コンピューティングが関係する環境の管理に使用できます。複数のローカル GPO をローカル ユーザーまたは組み込みグループに割り当てることができます。ローカル GPO や複数のローカル GPO の機能の詳細については、「グループ ポリシーの概要 (2007 Office system)」の「ローカルなグループ ポリシーと Active Directory ベースのグループ ポリシー」および「グループ ポリシーの処理」と、Microsoft TechNet Web サイトの「Step-by-Step Guide to Managing Multiple Local Group Policy Objects (英語)」を参照してください。

業務要件およびセキュリティ要件に基づいて管理された構成を設計する

業務要件、セキュリティ、ネットワーク、IT の要件、および組織の現在の Office アプリケーション管理の慣行を把握すると、組織内のユーザーに対して Office アプリケーションを管理するための適切なポリシー設定を特定できます。現在の環境を評価する過程で集めた情報は、目的のグループ ポリシーを設計するために役立ちます。

グループ ポリシーを使用して Office アプリケーションの構成を管理する目的を定義する際には、次の項目を決定します。

  • 各 GPO の目的。

  • 各 GPO の所有者 (GPO を管理する責任者)。

  • 使用する GPO の数。コンピュータに適用する GPO の数はコンピュータの起動時間に影響し、ユーザーに適用する GPO の数はネットワークへのログオンに必要な時間に影響するということに注意してください。ユーザーにリンクされるグループ ポリシー オブジェクトの数が増加すると (特に、それらの GPO 内の設定の数が増加すると)、ユーザーのログオン時に GPO を処理するための時間が増加します。ログオン処理中に、ユーザーのサイト、ドメイン、および組織単位 (OU) の各階層にあるそれぞれの GPO が適用され、[読み取り] および [グループ ポリシーの適用] 権限がユーザーに設定されます。

  • 各 GPO をリンクする適切な Active Directory コンテナ (サイト、ドメイン、または OU)。

  • Office アプリケーションをインストールする場所 (グループ ポリシーのソフトウェアのインストールを使用して 2007 Office system を展開する場合)。

  • コンピュータ スタートアップ スクリプトを実行する場所 (グループ ポリシーのコンピュータ スタートアップ スクリプトを割り当てて 2007 Office system を展開する場合)。

  • 各 GPO に含まれるポリシー設定の種類。これは、業務要件やセキュリティ要件、Office アプリケーション設定の現在の管理方法によって異なります。安定性やセキュリティにとって重要であると考えられる設定だけを構成し、構成は最小限にしておくことをお勧めします。また、Outlook の PST ファイル サイズの制御など、ワークステーションのパフォーマンスを改善できるポリシー設定の使用についても検討してください。

  • グループ ポリシーの既定の処理順序に対する例外を設定する必要があるかどうか。

  • 特定のユーザーやコンピュータを対象とするグループ ポリシーのフィルタ オプションを設定する必要があるかどうか。

グループ ポリシー構成を設計するときには、GPO 管理の一般的な推奨事項を考慮してください。詳細については、Microsoft TechNet Web サイトの「Best practices for Group Policy objects (英語)」を参照してください。

グループ ポリシー オブジェクトの継続的な管理の計画に役立つように、GPO を追跡して管理するための管理手順を確立することをお勧めします。これにより、すべての変更が前もって指示された方法で実施されるようになります。

ソリューションに使用するアプリケーションのスコープを決定する

企業のすべてのユーザーに該当する 2007 Office system ポリシー設定 (組織のセキュリティにとって重要であると考えられるすべてのアプリケーションのセキュリティ設定など) を特定します。ユーザーの役割に応じたユーザー グループに該当するポリシー設定も特定します。特定した要件に従って構成を計画します。

Active Directory 環境では、サイト、ドメイン、または組織単位に GPO をリンクしてグループ ポリシー設定を割り当てます。ほとんどの GPO は、通常は組織単位レベルで割り当てられるため、2007 Office system のグループ ポリシー ベースの管理戦略を OU 構造がサポートしていることを確認します。ドメイン内のすべてのユーザーに適用する必要があるセキュリティ関連のポリシー設定、Outlook の設定など、一部のグループ ポリシー設定はドメイン レベルで適用することもできます。

グループ ポリシー ソリューションのテスト、ステージング、および展開を計画する

この手順は、すべてのグループ ポリシー展開作業で重要な部分です。この手順には、2007 Office system アプリケーションの標準グループ ポリシー構成の作成と、組織内のユーザーへの展開前に行う非稼働環境での GPO 構成のテストが含まれます。必要に応じて、GPO のアプリケーションのスコープをフィルタしたり、グループ ポリシーの継承に対して例外を定義したりできます。管理者は、グループ ポリシー管理コンソールの [グループ ポリシーのモデル作成] を使用し、特定の GPO によってどのポリシー設定が適用されるかを評価できます。また、グループ ポリシー管理コンソールの [グループ ポリシーの結果] を使用し、どのポリシー設定が有効であるかを評価できます。

グループ ポリシー展開をテストおよびステージングする

グループ ポリシーは、組織内の数百および数千ものコンピュータの構成に影響を与える機能を備えています。そのため、変更管理の手順を使用し、稼働環境に新しいグループ ポリシーを移動する前に、非稼働環境ですべての新しいグループ ポリシーの構成と展開を厳密にテストすることが重要です。この手順を実行すると、GPO に含まれるポリシー設定により、Active Directory 環境内の対象のユーザーやコンピュータで期待する結果が確実に得られるようになります。

グループ ポリシーの実装を管理するベスト プラクティスとして、管理者が次に示す展開前の手順を実施し、グループ ポリシーの展開をステージングすることをお勧めします。

  • できるだけ稼働環境に一致させたテスト環境で、新しい GPO を展開します。

  • [グループ ポリシーのモデル作成] (GPMC) を使用して、新しい GPO がユーザーにどのように影響を与え、既存の GPO とどのように相互に作用するかを評価します。

  • [グループ ポリシーの結果] (GPMC) を使用して、テスト環境でどの GPO 設定が適用されるかを評価します。

展開のステージングの詳細については、「Microsoft Windows Server 2003 Deployment Kit」の「Designing a Managed Environment」ブックで、「Staging Group Policy Deployments (英語)」を参照してください。

グループ ポリシー管理コンソール (GPMC)、[グループ ポリシーのモデル作成] および [グループ ポリシーの結果] については、「グループ ポリシーの概要 (2007 Office system)」の「グループ ポリシー管理ツール」を参照してください。

ソリューションの計画および展開に主要な関係者を参加させる

企業内でのグループ ポリシーの展開には、通常、業務間の壁が存在します。展開の準備の一環として、組織内のさまざまな業務チームの主要な関係者に意見を求めて、分析、設計、テスト、および実行の各フェーズの間、必要に応じて彼らを参加させることが重要です。

2007 Office system アプリケーションの管理のために展開を計画しているポリシー設定のレビューを組織のセキュリティ チームや IT 運用チームと共に必ず実施し、その構成が組織に適合することを確認すると共に、ネットワーク リソースの保護に必要となる精度で一連のポリシー設定を適用する必要があります。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「2007 Office リソース キットのダウンロード可能なブック」を参照してください。