Som jeg fandt ud ad for noget tid siden, så er GPO ikke understøttet i nogle af Consumer versionerne af Office 2013 og Office 2016, her er umilbart den workarround jeg kunne komme på for at sikre Office Macro sikkerhed, ( at macro ikke må køre samt at brugen ikke selv kan klikke sig til at enable macro)

Kort handler det om at sætte den registry value man har behov for og derefter fjerne brugerens egne Full Controll flag for Registry Key'en, men samtidig tillade maskine og brugen læse disse keys.

Her er et par linjer PowerShell som fanger den ACL om er sat på brugens HKCU:\Software\policies, stopper nedarvning af rettigheder på Word\security registry keyen og ligger Policy ACL ned over Word\security registy key'en, herefter vil man fra Word Gui ikke kunne ændre på macro Sikkerheden, dvs. man kan godt ændre med det vil aldrig slå igennem og Registry key'en vil være det samme hvergang GUI åbnet

$RegToSecure = "HKCU:\Software\Microsoft\Office\16.0\Word\Security"

$Name = "VBAWarnings" $value = "4" New-ItemProperty -Path $RegToSecure -Name $name -Value $value -PropertyType DWORD -Force
$RegPolicyAcl = Get-Acl -Path "HKCU:\SOFTWARE\Policies" $RegUserAcl = Get-Acl -Path $RegToSecure $RegUserAcl.SetAccessRuleProtection($true,$true) $RegUserAcl |Set-Acl $RegPolicyAcl | set-acl -Path $RegToSecure

Dette er IKKE en køn løsning, men dog en løsning til husmands behov.

Dagens sjove læring, GPO til microsoft office virker IKKE i alle versioner af OFFICE.

Jeg ville idag hjælpe noget famile med at låse Word, excel og Powerpoint ned, i forhold til ikke køre Macro (Anti Ransomware)

Versionen af office var den som hedder HomeBuisness, dvs. den version hvor Outlook er med. ;-)

det korte af det lange var at, jeg lagde policy registry keys'ne for politikkerne, men grafikken i word's Trust Center blev ikke grå, GPO'en blev ikke enforced.

Lidt googling og jeg fandt en længere tråd som bragte mig til denne Technet artikel: https://technet.microsoft.com/en-us/library/cc179176.asp

hvor følgende står:

You can use Group Policy to manage the following versions of Office 2013:

Office suites available through volume licensing. For example, Office Standard 2013.
Individual Office programs sold through retail stores or through volume licensing.

If you buy Office as part of Office 365, your license plan determines whether you can use Group Policy to manage your Office programs. The Office Applications Service Description lists which Office 365 plans support Group Policy.c

ligeldes kunne jeg på tabellen her se at ikke alle O365 office pakker understøtter GPO
https://technet.microsoft.com/en-us/library/office-applications-service-description.aspx?f=255&MSPPError=-2147217396

Her er en anden admin som beskriver problemet:
http://jdfoxmicro.com/resource-center/articles/group-policy-office-2013/

 

 

Et par quick notes omkring Office 2010 deployment.

QAT roaming klares med nedenstående key

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Toolbars]
"CustomUIRoaming"=dword:00000001

Hvilket flytter %AppData%\Local\Microsoft\Office til C:\Users\lwh\AppData\Roaming\Microsoft\Office

Lidt info omkring Config.xml.

Sættings i Config.xml har altid pressens over settings som også kan findes i en OCT.MSP file.

Config.xml er case aware !!!

Hjælp dig selv og definere stien til config.xml via setup.exe /config \\path\to\config.xml  da en config.xml kan placeret flere steder hvor den automatisk kommer i spil
I mappen ved setup.exe
I .WW mappen.
Hvis config.xml findes begge steder er det den føreste af de 2 ovenstående som vinder.

Lidt info omkring OCT.MSP

Droppes MSP filen i UPDATES mappen, bliver den automatisk kørt, ellers brug /adminfile \\path\to\oct.msp
er der flere OCT.MSP filer i Updates mappen er den kun den første af disse som bliver kørt.

Sikker at få MSP filen opdateret når.
Der tilføjes nye sprog til installationen.
Det opdateres admin filer. http://www.microsoft.com/downloads/en/details.aspx?FamilyID=64b837b6-0aa0-4c07-bc34-bec3990a7956&displaylang=en

 

Office 2010 Pro har snart været tilgænglig i en måneds tid for større virksomheder og udviklere, derfor er det tid til at afinstallere Tech og Beta versionerne og komme på RTM Versionen.

En Office 2010 Pro installationen kan bestå af 3 dele som kan kombineres på flere måder.

Office 2010 Pro installations filerne.
Standard sprog neutral installations filer.
dog fåes der installations pakker som er incl. Dansk f.eks.

Office 2010 Multilanguage packs.
Multilanguage packs bruges når man har behov for at bruger interfacet skal kunne skifte til alternative sprog, dette virker dog kun i forbindelse med at OS, dvs. Windows XP - Vista - 7  også understøtter sproget, ellers fejler installationen. Multilanguage forkortes ofte MUI.

Office 2010 ProofingTools
Proffingtools pakken har jeg endnu ikke selv haft fingerne i, men denne pakke giver adgang til stave kontrollen for yderligere sprog, f.eks Tysk Spansk osv.
Mange steder kaldes Proofingtools også LIP.

Unattended installation af pakkerne følger den samme standard syntax, dvs.
setup.exe /config \\server\share\path\to\config.xml /adminfile \\server\share\path\to\Office2010-x86.MSP

Config.xml filen kan variere en del fra office installationen til MUI og LIP pakken.
man behøver ikke at benytte både en MSP og config.xml file, MSP kan indeholde de samme informationer som config.xml dvs. en valid installation kunne også være: setup.exe /adminfile \\server\share\path\to\Office2010-x86.MSP

Det er muligt at lave en helt unattended installation af Office 2010 Pro med config.xml filen og derefter have forskellige MSP filer alt efter forskellige afdelingers/kunders behov, MSP filen kan efterfølgende køres via msiexec /P \\server\share\path\to\AfdelingA-x86.MSP Ting som kan styres i MSP filer  og som ikke findes i Config.xml, kan oftes også sættes via GPO
På denne måde kan en Installations pakke, dække et behov flere steder.
Man kan endda benytte flere MSP filer, hvorved det bliver summen af alle MSP filer der bliver den endelige konfiguration.

 Forslag til struktur af Office 2010 Pro installations pakken:

\Office2010Pro\
\Office2010Pro\source-x86\AlleFilerFraInstallationsCD
\Office2010Pro\Version\update-x86\AlleOpdateringsFilerMicrosoft.com
\Office2010Pro\Version\config\Alle installations konfigurationsfiler dsv. Config.xml + MSP'filer.
\Office2010Pro\Version\config\config.xml
\Office2010Pro\Version\config\Office2010-x86.MSP
\Office2010Pro\Version\config\AfdelingA-x86.MSP
\Office2010Pro\Version\config\AfdelingB-x86.MSP

Tanken med denne struktur er følgende:
Indholdet af source-x86 mappen ikke udskiftes igennem installations pakkens levetid !
Version mappen ændres når der kommer nye filer i updates-x86 mappen eller når config.xml / MSP filen ændres, dette giver mulighed for nem fallback i tilfælde af at man får lavet noget der får installationen til af fejle. 
Grunden til at jeg har navn givet mappen til source filer og update med -x86 er at på den måde viser folk at der er tale om x86 versionen af Office 2010 Pro og ikke x64 versionen, der pt. ikke bliver anbefalet fra MS at deploy'e til alle folk i ens firma med mindre at man har et behov som kun kan løses med x64 versionen af Office pakken, baggrund for dette skulle være integrations udfrodringer med andre 32 bit applikationer, der benytter office dll'er.

Har man behov for x64 versione af Office 2010 kan man blot oprette følgend mapper:

\Office2010Pro\source-x64\AlleFilerFraInstallationsCD
\Office2010Pro\Version\update-x64\AlleOpdateringsFilerMicrosoft.com
\Office2010Pro\Version\config\Office2010-x64.MSP

Vær opmærksom på at config.xml filen kan deles mellem X86 og x64 installationen, men MSP filen skal laves udfra hver set sourcefiiler, ved at køre setup.exe /adminfile fra hver arch.

Uninstallation af Office 2010 Tech / Beta / office 200x pakken.
Har man behov for at fjerne tidligere versioner af Office fra en pc, er det muligt at gørre dette via MSP filen under installationen af Office 2010 Pro.

For kort tid siden blev Ms Office2010 lagt ud til offentlig Beta.
Med denne opdatering er det nu blevet muligt at lave unattended installtioner af produktet.
Kender man til metoden hvorved office 2007 kunne lavet til en unattended installtion udfra config.xml filen tager det max 30 minutter at struktuere en unattended basis installation af produktet.

Man skal dog lige være opmærksom på at Installtions filerne til X64 og X86 ligger i 2 forskellige download pakker og disse umilbart ikke bør copieres over hinanden, dvs. skal man dække både en X64 og X86 beta installation skal man have et installations script som detektere OS versionen og derudfra benytter de rigtig installations filer.

Udpakningen af de downloaded filer forgår som altid med /extract:<path til filerne>  da jeg vi have filerne i en folder ved siden af source filen skriver jeg følgende for at udpakke office 2010 beta filerne via en cmd.

<Path til filen>\en_office_professional_plus_2010_beta_x86_x16-19227.exe /extract:./MSoffice2010BetaX86
Office2010 Beta udpakning

Når filerne er pakket ud skulle man gerne have et biblotek som dette.

Office2010beta filer
I mappen ProPlus.WW kan man finde config.xml filen som kan bruges til at lave en meget basat unattended installation uden bruger ændringer.
Config filer
For at få en unattende installtion skal Config.xml ændres til, herunder er hvordan jeg laver min....
config.xml

Hvis man samligner min Config file med den orginale, vil man se at den øverste linje er ændret en del samt at der er kommet en <PIDKEY Value> ind for at tilføje licens nummeret til office2010

Til sidst er der kun at sætte en batfile sammen som kalder det hele.
dvs.
<path til>\setup.exe /config <path til>\config.xml

Ovenstående installations metode virker naturligvis også for visio2010 og projekt2010 beta produkterne