MS Groepsbeleid gebruiken – Deel 4 – Microsoft Office op het netwerk

Hieronder wordt de geautomatiseerde installatie, configuratie en administratie van Microsoft Office 2003 in het netwerk beschreven. Onder de vorige versies MS Office 2000 en MS Office XP zijn de te gebruiken methoden echter dezelfde. Deel …

MS Groepsbeleid gebruiken – Deel 4 – Microsoft Office op het netwerk

  1. Tijdschrift
  2. »
  3. Artikel
  4. »
  5. Windows
  6. »
  7. MS Groepsbeleid gebruiken – Deel 4 – Microsoft Office op het netwerk

Hieronder wordt de geautomatiseerde installatie, configuratie en administratie van Microsoft Office 2003 in het netwerk beschreven. Onder de vorige versies MS Office 2000 en MS Office XP zijn de te gebruiken methoden echter dezelfde.

Deel 1 – Inleiding tot groepsbeleid
Deel 2 – Gebruik van Windows XP groepsbeleid
Deel 3 – Zelf sjabloonbestanden maken voor ontbrekend groepsbeleid

Deze serie artikelen is een uittreksel uit de “Integratiehandleiding Microsoft Netwerk” van Ulrich Schlüter. Publicatiedatum: oktober 2004 door Galileo Computing. (ISBN 3-89842-525-8) en werd vooraf exclusief aan WinTotal ter beschikking gesteld.

Microsoft Office Groepsbeleid gebruiken

Office 2003 sjabloonbestanden

Met groepsbeleid kunt u het gedrag van Microsoft Office vanaf een centrale locatie regelen. De sjabloonbestanden voor groepsbeleid worden niet geleverd met de Office 2003-cd, maar met de Office 2003 Resource Kit. Na installatie van de Office 2003 Resource Kit vindt u de ADM-bestanden in de directory C:\WindowsInf. Om ze in de Active Directory te kunnen gebruiken, moeten ze worden overgebracht naar de directory van de domeincontroller met dezelfde naam. Dit geldt overigens ook voor de versies van Office 2000 en Office XP. Op de DVD van het boek staan veel ADM-bestanden. Een andere interessante bron is www.gruppenrichtlinien.de.

Zet alle Office 2003 ADM-bestanden over naar de map C:\WindowsInf van de S1-domeincontroller. Hieronder volgt een lijst van de Office 2003 ADM-bestanden en hun functies:

  • ACCESS11.ADM: Richtlijnen voor Access 2003
  • EXCEL11.ADM: Richtlijnen voor Excel 2003
  • FP11.ADM: Richtlijnen voor Frontpage 2003
  • GAL11.ADM: richtlijnen voor Office 2003 Clip Organizer
  • INF11.ADM: richtlijnen voor InfoPath 2003
  • OFFICE11.ADM: richtlijnen voor Office 2003
  • OUTLK11.ADM: Richtlijnen voor Outlook 2003
  • PPT11.ADM: Richtlijnen voor PowerPoint 2003
  • PUB11.ADM: richtlijnen voor Publisher 2003
  • RM11.ADM: richtlijnen voor Relatiebeheer 2003
  • SCRIB11.ADM: richtlijnen voor OneNote 2003
  • WORD11.ADM: richtlijnen voor Word 2003

Onder Office XP hebben deze bestanden versienummer 10 in plaats van 11. De volgende vragen rijzen:

  • Wat zijn de functies van deze Office 2003 sjabloonbestanden voor groepsbeleid?
  • Welke van de sjabloonbestanden moeten worden gebruikt zonder het spoor bijster te raken in een woud van groepsbeleid?
  • Welke van de sjabloonbestanden brengen hoofdzakelijk of uitsluitend wijzigingen aan in computerinstellingen, en welke zijn hoofdzakelijk of uitsluitend gebruikersgerelateerd?
  • Welke van de sjabloonbestanden moeten bijgevolg worden toegepast op een organisatorische eenheid die alleen computers bevat?
  • Welke van de sjabloonbestanden moet dus worden toegepast op een organisatorische eenheid die alleen gebruikers bevat?

Open alle ADM-bestanden één voor één met een editor en zoek naar de termen CLASS MACHINE en vervolgens CLASS USER. U vindt: Alleen het OFFICE11.ADM bestand heeft zowel een CLASS MACHINE als een CLASS USER categorie, de andere bestanden hebben geen CLASS MACHINE categorie. Dit betekent dat alleen het sjabloonbestand OFFICE11.ADM nieuw beleid toevoegt onder Computerconfiguratie – Administratieve sjablonen. De overige sjabloonbestanden bieden alleen aanvullend beleid onder Gebruikersconfiguratie – Administratieve sjablonen.

Ter inleiding van de volgende analyse: Vooral in de categorie User Configuration krijg je een overvloed aan nieuwe policies met Engelse namen en een Explanation tab die helaas geen enkele beschrijving bevat. Alle Office 2003 group policy files zijn niet gedocumenteerd. Er zit maar één ding op: kijk naar de opties van de verschillende applicaties op een computer waarop Office 2003 is geïnstalleerd. Met een beetje fantasie kunt u dan de betekenis van veel Office 2003 beleidsregels raden. Op www.gruppenrichtlinien.de of op de DVD bij het boek vindt u echter een vergelijking van belangrijke Office policies en de bijbehorende opties van de Office onderdelen.

Als u dat nog niet hebt gedaan, installeert u de Group Policy Management Console met SP1 GPMC.MSI op de server. Het is later uitgebracht dan Windows Server 2003 en werd daarom niet meegeleverd. Het kan afzonderlijk worden gedownload uit het softwarearchief van Microsoft of WinTotal en ook worden geïnstalleerd op een Windows XP-client als het beheerpakket AdminPak.msi al is geïnstalleerd.

Office 2003-beleid in de categorie “Computerconfiguratie

Om vertrouwd te raken met de nieuwe groepsbeleidsbestanden, start u de Active Directory Users and Computers snap-in en maakt u een organisatorische eenheid aan met de naam Computers. Maak in deze organisatorische eenheid een nieuw groepsbeleid genaamd Office2003 Computers. Open het nieuwe groepsbeleid voor bewerking, klik met de rechtermuisknop op de categorie Administratieve sjablonen onder Computerconfiguratie en verwijder de standaardsjablonen conf, inetres, system, wmplayer en wuau. Voeg vervolgens de sjabloon OFFICE11.ADM toe. Op deze manier ziet u dan alleen het Office-beleid, wat de analyse vergemakkelijkt.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Laten we eerst analyseren welk beleid het sjabloonbestand OFFICE11.ADM heeft toegevoegd aan de subOU Computers in het nieuwe groepsbeleid Office2003-Computers. In de categorie Computerconfiguratie – Administratieve sjablonen – Microsoft Office 2003 vindt u de twee nieuwe categorieën Aangepaste onderhoudsassistent en Beveiligingsinstellingen.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

De categorie Custom Maintenance Wizard bevat slechts één policy Toestaan dat CMW-bestanden van een willekeurige locatie worden toegepast. Met dit beleid hoeft u zich pas later bezig te houden, als u de tool Custom Maintenance Wizard in de Office 2003 Resource Kit hebt bekeken en wilt gebruiken. Deze tool kan worden gebruikt om een CMW-bestand te maken om een reeds uitgerolde Office 2003 bij te werken.

Met de richtlijnen in de categorie Beveiligingsinstellingen kunt u de macrobeveiliging per Office-onderdeel instellen op Hoog, Gemiddeld of Laag en andere beveiligingsproblemen als gevolg van het gebruik van add-ins, sjablonen, Visual Basic for Applications (VBA) of ActiveX-besturingselementen naar behoefte aanpakken.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Office 2003-beleid in de categorie “Gebruikersconfiguratie

Maak nu een nieuwe organisatorische eenheid genaamd Gebruikers . Maak in deze organisatorische eenheid een nieuw groepsbeleid genaamd Office2003-User. Open het nieuwe groepsbeleid Office2003-User voor bewerking, klik met de rechtermuisknop op de categorie Administratieve sjablonen onder Gebruikersconfiguratie en verwijder de standaardsjablonen conf, inetres, system, wmplayer en wuau. Laad vervolgens voorlopig alleen de volgende essentiële Office 2003-sjablonen: Office11, Word11, Excel11, Outlk11 en Access11.

Gebruikersconfiguratie
Klik op de afbeelding om te vergroten

Gebruikersconfiguratie
Klik op de afbeelding om te vergroten

De sjabloonbestanden voor groepsbeleid van Frontpage (FP11.ADM), Clip Organizer (GAL11.ADM), InfoPath (INF11.ADM), PowerPoint (PPT11.ADM), Publisher (PUB11.ADM), Relationship Manager (RM11.ADM) en OneNote (SCRIB11.ADM) moeten, althans in deze fase van de analyse, buiten beschouwing worden gelaten om het overzicht niet te verliezen. Als deze toepassingen later slechts door enkele gebruikers worden gebruikt, zullen de bijbehorende ADM-bestanden waarschijnlijk nooit een rol spelen.

Zo krijgen we een apart overzicht van het belangrijke Office 2003 gebruikersbeleid, gescheiden van ander groepsbeleid zoals het Windows XP beleid. Laten we nu dus eens kijken naar het Office 2003-beleid dat is toegevoegd aan de categorie Gebruikersconfiguratie – Administratieve sjablonen. Het is een overvloed aan subcategorieën en beleidsregels zonder verklarende tekst. Maar geen paniek. Toen we het voorbereidende werk voor de installatie van Office 2003 deden, hebben we al veel standaardinstellingen voor Office 2003 gemaakt met de aangepaste installatiewizard toen we het transformatiebestand Standard.mst maakten. Deze standaardinstellingen worden al van kracht wanneer een gebruiker zich later voor het eerst aanmeldt. Dit betekent dat veel van de Office 2003-opties al zijn ingesteld zodat de gebruiker met Office 2003 kan werken en geen problemen zal hebben om zijn weg te vinden. Slechts enkele instellingen ontbreken nog en kunnen nu via groepsbeleid worden gemaakt. In het hoofdstuk over de aangepaste installatiewizard is ook de betekenis van veel instellingen van Office 2003 uitgelegd.

Als u nu de Office 2003 group policies één voor één bekijkt en vergelijkt met de instellingen die via de Custom Installation Wizard kunnen worden gemaakt, moet het u weer duidelijk worden dat u bij het configureren van de sample client en de Active Directory met betrekking tot Office instellingen moet beslissen welke instellingen u via de Custom Installation Wizard of via group policies wilt maken. Instellingen die u maakt via de Custom Installation Wizard zijn in principe te beschouwen als suggesties die de gebruiker aantreft bij het starten van de Office applicaties, maar individueel kan wijzigen. Instellingen die u maakt via groepsrichtlijnen kunnen niet door de gebruiker worden gewijzigd.

Of het afdwingen van groepsrichtlijnen voordelig of nadelig is, hangt af van verschillende zaken. Er zijn standaardinstellingen die, indien gewijzigd door de gebruiker, kunnen leiden tot fouten of minder productief werkgedrag. Er zijn standaardinstellingen die optimaal zijn voor de meerderheid van de gebruikers, maar nadelig voor specifieke gebruikers. In die gevallen is het goed als de betrokken opties via het MST-bestand zodanig worden ingesteld dat het grote aantal gebruikers de optie niet hoeft te wijzigen, maar dat individuele gebruikers de optie kunnen aanpassen aan hun behoeften. Indien voor deze gebruikers een instelling via een groepsbeleid zou worden afgedwongen zonder dat de gebruiker deze individueel voor zijn doeleinden kan aanpassen, zou dit voor de gebruiker zeer vervelend zijn.

Een voorbeeld illustreert dit. Bij het doorlopen van de verschillende opties van de Office 2003-toepassingen in de aangepaste installatiewizard heb ik voorgesteld de Outlook-optie Bij het verzenden van een bericht zodanig voor te configureren dat de suboptie Komma’s als adresscheidingsteken toest aan wordt geactiveerd.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Deze standaardinstelling heeft tot gevolg dat bij elke gebruiker die Outlook voor het eerst opstart, de optie Komma’s toestaan als adresscheidingsteken standaard geactiveerd is onder Extra – Opties op het tabblad Instellingen onder E-mailopties – Geavanceerde E-mailopties. Dus als een gebruiker een nieuw bericht wil sturen naar de ontvangers “Hugo Testuser” en “Paul Poweruser”, kan hij gewoon Testuser en Poweruser invoeren in het veld Aan.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Outlook zal de ontvangers gericht oplossen omdat de komma wordt geïnterpreteerd als een scheidingsteken tussen verschillende ontvangers en niet als een scheidingsteken tussen de achternaam en de voornaam. Als de optie Komma als adresscheidingsteken toestaan niet is geactiveerd, krijgt de afzender een foutmelding:

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Outlook interpreteert Testuser als achternaam en Poweruser als voornaam en zoekt naar een Exchange-ontvanger met de naam Poweruser Testuser.

De standaardinstelling Komma als adresscheidingsteken toestaan is zeker zinvol voor de meeste gebruikers, maar niet noodzakelijkerwijs voor bijvoorbeeld Engelsen of Amerikanen die slechts tijdelijk aan een project in uw bedrijf werken en die een komma en een puntkomma precies andersom gebruiken. Zolang het een standaardinstelling is die de gebruiker kan aanpassen, maakt het niet uit. Maar u kunt dezelfde instelling ook afdwingen via een groepsbeleid, met dit verschil dat de gebruiker deze standaardinstelling niet permanent kan wijzigen.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Voor elk beleid van Office 2003 moet u dus nagaan of het een instelling is die rigide en onveranderlijk aan de gebruiker moet worden opgelegd. Als u alleen standaardinstellingen wilt maken die zinvol zijn voor het grote aantal van uw gebruikers, maar optioneel moeten blijven voor speciale gebruikers, d.w.z. die naar hun behoeften kunnen worden gewijzigd, is het beter om een overeenkomstig beleid in de niet-geconfigureerde staat te laten en te proberen een gelijkwaardige standaardinstelling te maken in de wizard Aangepaste installatie.

Natuurlijk is het technisch ook mogelijk om de gebruikers weer in groepen te verdelen en voor elke groep een ander beleid te ontwerpen. In het zojuist getoonde voorbeeld zou u dus een groep met de naam Engels kunnen maken en voor die groep alle beleidsregels kunnen uitschakelen die zinvol zijn voor een Duitse Windows XP en een Duitse Office 2003. Maar er zijn genoeg andere, waarschijnlijk betere, voorbeelden dan het bovenstaande. Als u voor alle uitzonderingen speciale organisatorische eenheden, beveiligingsgroepen en groepsbeleid creëert, zult u snel in chaos verzinken, en noch u noch uw collega’s zullen na verloop van tijd de interactie van het groepsbeleid kunnen doorzien. Een dergelijke aanpak is al snel in strijd met het verstandige KISS-principe: Keep It Simple And Smart.

Een advies: probeer met de wizard Aangepast profiel een Office 2003 te installeren op de voorbeeldcomputer waarvan de standaardinstellingen zijn geoptimaliseerd voor de standaardgebruiker. Hetzelfde geldt voor het besturingssysteem zelf en andere standaardtoepassingen. Gebruik zo weinig mogelijk actief groepsbeleid om bepaalde instellingen voor elke toepassing af te dwingen. Zo blijft het systeem transparant en is de ondersteuningsinspanning gering.

En vooral belangrijk: betuttel de gebruiker niet onnodig door alle opties via beleidsregels af te dwingen en hem niet langer de mogelijkheid te bieden zijn werkomgeving te optimaliseren en dus bepaalde standaardinstellingen aan te passen aan zijn behoeften. Leg gebruikers via groepsbeleid geen beperkingen op die u voor uzelf niet zou accepteren.

Configureer het Office 2003-beleid onder “Gebruikersconfiguratie

Hieronder bespreken we enkele belangrijke Office 2003-beleidslijnen en doen we suggesties voor de configuratie. Laten we beginnen met het algemene Office 2003-beleid voordat we het beleid voor afzonderlijke toepassingen doornemen.

Onder Microsoft Office 2003 – Extra | Aanpassen | Opties, kunt u aangeven dat alle Office 2003-toepassingen onmiddellijk volledige menu’s moeten tonen door het beleid Toon altijd volledige menu’s te activeren. Door het beleid Toon sneltoetsen in Schermtips te activeren, kunt u de sneltoetsen waarmee afzonderlijke opdrachten kunnen worden uitgevoerd, laten weergeven wanneer u de muis op pictogrammen in de werkbalk plaatst. Als u de muis op het pictogram F in de werkbalk van Word plaatst, wordt na een korte vertraging“Vet” weergegeven. Na activering wordt“Vet (Ctrl+Shift+F)” weergegeven. Zo leert de gebruiker de toetscombinaties waarmee de opdrachten zonder de muis kunnen worden uitgevoerd.

Groepsbeleid voor Office

Als in een Office-toepassing een onverwachte fout optreedt, verschijnt een foutmelding met de vraag of deze fout moet worden gelogd en het foutenlogboek naar Microsoft moet worden gestuurd. De gebruiker is alleen verbaasd over zo’n bericht, want de contactpersoon voor programmafouten is immers zijn IT-afdeling en niet Microsoft. Door het beleid Meldingen van niet-kritieke fouten uitschakelen en Meldingen van foutmeldingen uitschakelen te activeren, kunt u de weergave van deze verwarrende berichten voor alle gebruikers permanent uitschakelen. Maakt u zich geen zorgen: als een toepassing regelmatig vastloopt, zult u als systeembeheerder daarvan op de hoogte zijn, zelfs als deze berichten zijn geblokkeerd. De getroffen gebruiker zal het al melden.

Groepsbeleid voor Office

Het beleid onder Microsoft Office 2003 – Gedeelde paden is uiterst belangrijk. Hier kunt u instellen waar de gebruikerssjabloonmap en de werkgroepsjabloonmap zich moeten bevinden.

Groepsbeleid voor Office

In Word hebben sjabloonbestanden de bestandsnaamextensie punt, in Excel xlt. In de opties van Word kan op het tabblad Bestandslocatie een map voor gebruikerssjablonen en een map voor werkgroepsjablonen worden ingesteld.

Groepsbeleid voor Office

Standaard staat de map voor gebruikerssjablonen in de map C:\Documents and Settings%Logon Name%Application Data\MicrosoftTemplates en bevat de persoonlijke sjabloonbestanden. De sjabloonmap voor werkgroepsjablonen is niet vooraf ingesteld. De gebruiker heeft schrijftoegang nodig tot de persoonlijke sjabloonmap, waar het Word sjabloonbestand normal.dot staat, omdat hier bijvoorbeeld een tijdelijk bestand met de naam ~$normal.dot wordt aangemaakt als Word wordt gestart. Sjabloonbestanden die voor het bedrijf worden gemaakt en aangepast, moeten in de back-up worden opgenomen. Daarom is het belangrijk ervoor te zorgen dat de sjabloonmappen zich op de server bevinden, die, in tegenstelling tot de werkstations, regelmatig wordt geback-upt. Bijgevolg moet de groepssjabloonmap beslist naar een servermap worden verplaatst.

Als u, zoals aanbevolen, werkt met op de server opgeslagen gebruikersprofielen (roaming profiles), wordt de map C:\Documents and Settings%Username% bij het aan- en afmelden gesynchroniseerd met de profielmap van de gebruiker op de server. Een kopie van alle persoonlijke sjabloonbestanden staat dan ook altijd op de server en wordt dus regelmatig geback-upt. Toch lijkt het mij verstandig om de persoonlijke sjabloonmap niet in de profielmap van de gebruiker te laten staan, omdat maar weinig gebruikers deze diep geneste opslaglocatie kennen. In plaats daarvan stel ik voor om in de basisdirectory (Userhome Directory) van elke gebruiker op de server een subdirectory Templates te maken, zodat de gebruiker deze directory gemakkelijk kan vinden.

Stel dat een werknemer een sjabloonbestand heeft gemaakt voor een reiskostendeclaratie en een andere werknemer wil een kopie ervan in zijn persoonlijke sjabloonmap zetten, zodat hij de Word-sjabloon in de toekomst kan gebruiken. Het is belangrijk dat beide werknemers duidelijk de map voor persoonlijke sjabloonbestanden kunnen identificeren. Helaas heb ik de laatste tijd steeds vaker meegemaakt dat zelfs goed opgeleide secretaresses het verschil niet meer weten tussen een Word-sjabloonbestand (dot-bestand) en een Word-document (doc-bestand). Het meest extreme voorbeeld dat ik heb meegemaakt is dat een medewerkster sjabloonbestanden rechtstreeks bewerkte, vervolgens de nieuw gemaakte documenten opsloeg als dot-bestand in plaats van met de extensie doc en ze ook op die manier als e-mailbijlage verstuurde. Aangezien e-mailbijlagen met de extensie dot wegens het gevaar van macrovirussen meestal niet zijn toegestaan, waren de problemen echter voorgeprogrammeerd. Wat het verstandig gebruik van sjabloonbestanden in Word en Excel betreft, lijkt er in veel bedrijven dringend behoefte te zijn aan opleiding.

In het hoofdstuk “Het inlogscript” wordt voorgesteld om voor alle gebruikers de stationsletter H: te plaatsen op de basisdirectory van de gebruiker op de server, de stationsletter I: op de archiefdirectory van het hele bedrijf en de stationsletter G: op de groepsdirectory van de afdelingsgroep waarin de gebruiker werkt. Afhankelijk van hoe complex uw bedrijf is, zou u nu als volgt te werk kunnen gaan:

Als er een bedrijfsoverkoepelende sjabloonmap moet komen waarin alle sjabloonbestanden moeten komen te staan waartoe alle medewerkers leestoegang moeten hebben, maakt u in de opslagmap I: van het bedrijf een centrale sjabloonmap aan met de aanduiding Bedrijfssjablonen. Als er ook sjabloonbestanden zijn waartoe alleen bepaalde afdelingen of afdelingsgroepen leestoegang mogen hebben, maakt u in de centrale sjabloon-directory overeenkomstige submappen aan en kent u aan deze submappen de juiste leesrechten toe. Geef alleen schrijftoegang tot de overeenkomstige mappen aan geselecteerde gebruikers die sjabloonbestanden mogen toevoegen of wijzigen.

Nu kunt U het groepsbeleid Gebruikerssjablonen pad zo instellen dat de persoonlijke sjabloonmap altijd wijst naar Z:\Templates.

Stel het groepsbeleid Werkgroep sjablonen pad zo in dat het wijst naar de map I:\Bedrijfssjablonen.

Groepsbeleid voor Office

Om de groepssjablonen te testen, maakt u een map Bedrijfssjablonen in de share Groups met de submappen Afdeling A, Afdeling B en Afdeling C. Log in op de Windows XP-computer onder de identificatie Poweruser. Zorg ervoor dat de I: schijf verbonden is met de share \s1Groups. Start Word en kies het commando Bestand – Nieuw. Selecteer onder Word 2002 Algemene sjablonen, onder Word 2003 Op mijn computer…..U ziet de standaard tabbladen voor documentsjablonen.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

Pas als dot-bestanden in de submappen van \Unternehmensvorlagen zijn geplaatst, ziet u deze submappen als nieuwe tabbladen Divisie A, Divisie B en Divisie C.

Groepsbeleid voor Office
Klik op de afbeelding om te vergroten

De gebruiker ziet ook alle met Office 2003 voorgeïnstalleerde documentsjablonen. In een Duitse Microsoft Office-installatie is de directory voor deze sjabloonbestanden en wizards C:\Programme\Microsoft Office\Templates1031. In eerdere Office-versies vond u voor elk tabblad dat hier in de gemeenschappelijke sjabloon-directory wordt weergegeven een subdirectory met dezelfde naam, bijvoorbeeld een subdirectory voor het tabblad Reports, die dan dot-bestanden voor rapporten bevatte. In Office 2003 is de onderliggende technologie echter ondoorzichtig geworden. Als u nu veel subdirectories aanmaakt in de directory Bedrijfsjablonen, verschijnt er een overeenkomstig aantal tabbladen en wordt de sjabloonstructuur snel verwarrend.

Uw bedrijf heeft ongetwijfeld slechts een fractie nodig van de wizards en documentsjablonen die deel uitmaken van het Office 2003-pakket en die achter de verschillende tabbladen schuilgaan. Om het kaf van het koren te scheiden, moet u alle wizards en sjablonen bekijken, de interessante documentsjablonen aanpassen (uw eigen bedrijfslogo en bedrijfsadres opnemen) en vervolgens de aangepaste sjablonen opslaan in de centrale sjabloonmap \Bedrijfssjablonen. Vervolgens moet u in de aangepaste installatiewizard de wizards en sjablonen die u niet nodig hebt deselecteren of deze onderdelen ten laatste verwijderen voordat u de volledige image aanmaakt. In de installatie van Microsoft Office 2003 kunt u deze wizards en sjablonen vinden en verwijderen als een subcomponent van Microsoft Office Word.

Dit is niet het einde van de discussie over de map met groepssjablonen:

  • Welke rol speelt het Folder Redirection beleid in deze context?
  • Welk groepsbeleid moet aanvullend worden gedefinieerd en hoe, om de mappen voor de opslag van documenten en de opstartmappen van Word en Excel op een zinvolle manier te definiëren?
  • Hoe kan het probleem worden aangepakt dat een Word documentsjabloon in de groepssjabloonmap moet worden ingewisseld voor een herziene versie, maar dat het bijbehorende dot-bestand voortdurend toegankelijk is omdat gebruikers dit bestand hebben geopend?
  • Wat moet er worden gedaan wanneer verschillende Microsoft Office-versies tegelijkertijd in gebruik zijn en de macro’s in bijvoorbeeld briefsjablonen niet compatibel zijn tussen de afzonderlijke versies?
  • Hoe moet een corporate template directory gestructureerd worden om niet alleen template bestanden voor Microsoft Office, maar ook template bestanden voor andere applicaties zoals AutoCAD te herbergen?
  • Waarop moet worden gelet als werknemers regelmatig offline werken en ook toegang tot bedrijfssjablonen nodig hebben (laptopgebruikers, telewerkers)?
  • Met welke bijzonderheden moet rekening worden gehouden bij het gebruik van terminalservers?
  • Hoe kunnen werkgroepsjablonen in bedrijven met meerdere locaties centraal worden geïmporteerd en onderhouden en op de decentrale servers van de locaties worden gerepliceerd?

De bespreking van deze vragen is van immens belang voor een tot een minimum beperkt systeem, maar zou vanwege de complexiteit het doel van dit hoofdstuk te buiten gaan en is daarom uitbesteed aan een afzonderlijk hoofdstuk.

In de opties van Word vindt u de vermelding AutoStart in het tabblad Locatie voor bestanden. Een overeenkomstig groepsbeleid van Word vindt u onder de naam Opstarten in de categorie Extra – Bestandslocaties. Als u wilt dat bepaalde bedrijfsspecifieke macro’s elke keer dat Word wordt gestart automatisch worden geladen, kunt u dit groepsbeleid definiëren en ervoor zorgen dat bijvoorbeeld een centraal aangepast dot-sjabloonbestand via het aanmeldingsscript in de opstartdirectory van elke gebruiker wordt geladen.

Groepsbeleid voor Office

Met behulp van groepsbeleid voor Office kunt u ook aangeven welke map standaard als eerste wordt weergegeven wanneer een gebruiker de opdracht Bestand openen of Bestand opslaan als selecteert in een Office-toepassing. De standaard Mijn documenten moet worden heroverwogen. U moet medewerkers opdragen alle documenten standaard op te slaan in submappen van de gedeelde groepsmap, in plaats van in de map Mijn documenten, zodat de documenten in geval van vervanging ook door collega’s en supervisors kunnen worden gevonden en verder verwerkt. De map Mijn Documenten mag alleen in uitzonderlijke gevallen worden gebruikt om documenten op te slaan, en dan niet voor privé-documenten (die horen thuis op de privé-computer en niet op de bedrijfsserver!), maar voor documenten die nog in voorbereiding zijn en pas later aan de groep ter beschikking worden gesteld.

Op het eerste gezicht klinkt dit postulaat erg prescriptief en lijkt het de privacy van de gebruiker te ondermijnen. Analyseer de private basisdirectories van de gebruikers van een “organisch gegroeid” bedrijf eens met een tool als GetFolderSize. Het is vaak beangstigend welke gegevensrommel zich in de loop der jaren in de privémappen van gebruikers ophoopt, elke nacht in de back-up terechtkomt en enorme kosten veroorzaakt in termen van opslagruimte en back-up. Hoeveel tijd besteden systeembeheerders regelmatig aan het opschonen van de privémappen van medewerkers die het bedrijf hebben verlaten en het uitfilteren van die documenten die een opvolger van de voormalige medewerker nodig heeft en die dus met veel moeite handmatig in de groepsmap moeten worden ingevoerd? Welke kosten zijn verbonden aan deze gegevenscorpsen?

Het lijkt zinvoller om de standaardmap voor Office-documenten in te stellen op de groepsopslagmap via de aangepaste installatiewizard of via groepsbeleid. Dit stimuleert de gebruiker om eerst in de groepsmap te zoeken naar een geschikte opslaglocatie voor een nieuw document en alleen in uitzonderlijke gevallen over te schakelen naar de map Mijn documenten. Er is nog een ander argument ten gunste van deze aanpak: Stel dat 90 procent van de Word-documenten die door een gebruiker worden gemaakt, ook door deze gebruiker in de groepsmap worden opgeslagen. Als de map Mijn documenten is ingesteld als opslaglocatie voor documenten in Word, moet de gebruiker in 90 procent van de gevallen waarin hij een van de opdrachten Bestand openen of Bestand opslaan als oproept, in een extra werkstap eerst naar de groepsmap van de server gaan. Deze stap is niet nodig als de groepsdirectory in Word al is ingesteld als de standaard opslaglocatie voor Word-documenten. Maak nu een ruwe schatting hoeveel werktijd en dus geldelijke uitgaven per dag of per jaar worden bespaard als in een bedrijf met 100 werknemers deze werkstap niet alleen in Word, maar ook in alle andere toepassingen achterwege blijft, omdat u de opslagmappen van alle toepassingen via overeenkomstige groepsrichtlijnen verstandig hebt vastgelegd.

In Word vindt u het overeenkomstige beleid Documenten in de categorie Extra – Bestandslocaties en kunt u de directory instellen, bijv. de share \ServernameCompany.

Groepsbeleid voor Office

In de categorie Microsoft Office Excel 2003 heet het overeenkomstige groepsbeleid Standaard bestandslocatie en bevindt zich onder Extra – Algemeen.

Groepsbeleid voor Office

Voor Access 2003 stelt u het beleid Standaard databasemap in de subcategorie Extra – Algemeen dienovereenkomstig in.

Groepsbeleid voor Office

Voor andere toepassingen, zoals AutoCAD, zoekt u in het register naar de sleutel die de standaardlocatie bepaalt. U exporteert deze sleutel en maakt zelf een groepsbeleidbestand of een REG-bestand aan, dat u activeert via het aanmeldingsscript. Hoe dit werkt, leert u in andere hoofdstukken van dit boek en in artikelen op de DVD van het boek.

In ruimtelijk gedistribueerde bedrijven met gedecentraliseerde servers op verschillende locaties, moet het beleid voor documentarchieven op een meer gedifferentieerde manier worden gedefinieerd, bijvoorbeeld afhankelijk van de aansluiting van een gebruiker bij een speciale organisatorische eenheid of een beveiligingsgroep. Voor dergelijke complexere structuren kan het nuttig zijn een speciale organisatie-eenheid te creëren, bijvoorbeeld met de naam organisatiegroepbeleid. Deze organisatorische eenheid bevat dan geen gebruikersobjecten of computerobjecten, maar een verzameling groepsbeleid. In Active Directory kan het groepsbeleid van een organisatorische eenheid worden gekoppeld aan andere organisatorische eenheden. Het voordeel van een dergelijke structuur is dat alle organisatieoverschrijdende groepsbeleidslijnen duidelijk in één container staan en daar centraal worden beheerd, maar wel effect hebben op andere containers waarin dan bijvoorbeeld de bijbehorende gebruikersobjecten staan.

Een voorbeeld zal dit idee kort schetsen: Er zijn de drie locaties Aken, Berlijn en Frankfurt met servers en gebruikers op de drie locaties. U hebt in Active Directory de organisatorische eenheden Gebruiker-Aken, Gebruiker-Berlijn en Gebruiker-Frankfurt aangemaakt en in deze OU’s de gebruikersobjecten gecreëerd. De gebruikers op de locatie Aken moeten hun documenten opslaan in de share \SERVER-AACHEN\Groups, de gebruikers in Berlijn in de share \SERVER-BERLIN\Groups, en de gebruikers op de locatie Frankfurt moeten hiervoor de share \SERVER-FRANKFURT\Groups gebruiken. U maakt in het centrale organisatieonderdeel Organisatiegroepsbeleid drie groepsbeleidsregels aan met de namen Documentarchivering-Aken, Documentarchivering-Berlijn en Documentarchivering-Frankfurt en maakt in elk van deze groepsbeleidsregels alleen de juiste instellingen voor de documentmappen. Gebruik vervolgens de koppelingsfunctie om het groepsbeleid Documentarchivering-Aken toe te wijzen aan de OU Gebruiker-Aken. Voor andere doeleinden maakt u ander groepsbeleid aan in de centrale OU Organisatie-Groepsbeleid met unieke namen die de functies van het groepsbeleid aangeven, en koppelt u dit groepsbeleid aan de overeenkomstige OU’s. U kunt bijvoorbeeld een groepsbeleid nodig hebben voor elk van de laptops op de verschillende locaties, en op elke locatie is er een OU %LocationName%Laptops waaraan het overeenkomstige groepsbeleid wordt toegewezen door koppeling.

U brengt dan slechts op één plaats in de Active Directory wijzigingen aan in het groepsbeleid, namelijk in de OU Organisatie Groepsbeleid. En alleen geselecteerde, specifiek opgeleide beheerders krijgen de bevoegdheid om wijzigingen aan te brengen in deze centrale organisatie groepsbeleid OU.

In de categorie Microsoft Office Outlook 2003 zijn er veel group policies die mogelijk later in de pilotfase moeten worden ingesteld en afhankelijk zijn van vele factoren waarvan de interactie nog niet kan worden doorzien:

  • Is er sprake van een Exchange-omgeving of van andere mailsystemen?
  • Zijn er meerdere locaties met meerdere Exchange servers?
  • Mogen documenten, e-mails of bedrijfscontacten decentraal worden opgeslagen, bijvoorbeeld op harde schijven van laptops, of is dit in strijd met de beginselen van gegevensbeveiliging?

Daarom worden hieronder slechts enkele group policies genoemd als voorbeeld van dergelijke problemen.

Met de policy OST Creation van de subcategorie Exchange settings kunt u het aanmaken van offline mapbestanden (OST = Offline Storage) voorkomen voor alle gebruikers of voor bepaalde gebruikersgroepen. Offline mapbestanden zijn meestal nodig voor Exchange-mailboxen waarvan de eigenaars bijvoorbeeld een laptop hebben en onderweg toegang nodig hebben tot hun Outlook-objecten of bepaalde openbare mappen van de Exchange-server. Om veiligheidsredenen kan het zinvol zijn om in een eerste stap het maken van offline-mapbestanden voor alle gebruikers te voorkomen. In een tweede stap groepeert u de gebruikers die offline mappen mogen gebruiken in een beveiligingsgroep en heft u het verbod op offline mapbestanden weer op via een apart groepsbeleid dat alleen door deze beveiligingsgroep kan worden gelezen. Dit principe van het definiëren van de regel via een algemeen beleid en de uitzonderingen op de regel via een speciaal beleid dat “sterker” is dan het algemene beleid wordt in detail uitgelegd in een ander hoofdstuk van het boek en is geschikt om de wildgroei van vereiste groepsbeleid sterk te verminderen.

Groepsbeleid voor Office

U definieert of deactiveert auto-archivering via het beleid AutoArchive Settings in de categorie Tools – Other – AutoArchive. Met betrekking tot de AutoArchive-functie geldt wat al nauwkeuriger is uitgelegd dan hier in het hoofdstuk over de aangepaste installatiewizard: Archiefbestanden moeten worden geback-upt, wat betekent dat ze minstens als duplicaten op de bestandsserver moeten worden opgeslagen en daar geheugen in beslag nemen. Waarom het geld niet investeren in meer geheugen op de Exchange Server en de limieten van de mailboxen op de Exchange Server ruimer maken?

Als automatisch archiveren niet wordt uitgeschakeld, moeten de gebruikers in deze functie worden getraind. Anders is het onvermijdelijk dat gebruikers regelmatig support bellen en beweren dat e-mails plotseling zijn verdwenen. In werkelijkheid heeft de automatische archiveringsfunctie toegeslagen en oudere berichten naar het archief verplaatst, maar de gebruiker weet niet hoe hij weer bij deze dringend noodzakelijke objecten kan komen en vermoedt dat het systeem verkeerd werkt of verdenkt mogelijk de beheerders ervan de mailbox van de gebruiker op eigen gezag te hebben opgeschoond.

Groepsbeleid voor Office

De editor voor nieuwe berichten en het berichtformaat kunnen worden ingesteld via het beleid Berichtformaat/editor in de subcategorie Mailformaat – Berichtformaat. In het hoofdstuk Custom Installation Wizard is reeds advies gegeven en gemotiveerd dat en waarom men als editor de Outlook-interne editor in plaats van Word moet instellen en het berichtformaat moet wijzigen van HTML in Rich Text.

Groepsbeleid voor Office

In de subcategorie Extra – Voorkeuren – E-mailopties vindt u het beleid Over antwoorden en doorsturen. Met dit beleid kunt u voor alle gebruikers centraal instellen hoe met het oorspronkelijke bericht moet worden omgegaan bij een antwoord of doorsturen. U kunt bijvoorbeeld instellen dat het oorspronkelijke bericht wordt toegevoegd aan het antwoord en wordt gemarkeerd met een voorvoegsel zoals het groter dan teken >.

Groepsbeleid voor Office

In de inleidende opmerkingen bij het hoofdstuk “Inleiding tot Groepsbeleid” gaf ik het advies om dit zeer theoretische hoofdstuk in het begin alleen door te nemen, omdat het gemakkelijk te begrijpen zou zijn als je eenmaal had geleerd met groepsbeleid te goochelen door middel van praktische oefeningen. Aan het eind van dit hoofdstuk zou je dit punt bereikt moeten hebben. Lees nu het hoofdstuk “Inleiding tot Groepsbeleid” een tweede keer om na de praktijk de theorie grondig door te nemen.

Meer in het boek “Integratiehandboek Microsoft Netwerk

Dit besluit onze serie artikelen over groepsbeleid. Meer informatie en verdere verhandelingen over dit onderwerp vindt u in het “Integratiehandboek Microsoft Network” van Ulrich Schlüter.

Deze reeks artikelen is een uittreksel uit het “Integratiehandboek Microsoft Network” van Ulrich Schlüter. Publicatiedatum: oktober 2004 door Galileo Computing. (ISBN 3-89842-525-8) en werd vooraf exclusief aan WinTotal ter beschikking gesteld.

Ulrich Schlüter, 09.2004

Gerelateerde berichten