ADMX-Vorlagen für Office 2021: Kompatibel mit 2016er-GPOs, 10 neue Einstellungen

    , 26.10.2021
    Tags: ,

    Angepasstes Setup für Office 2016 mit dem Deployment ToolMit dem Erscheinen von Office 2021 aktua­lisierte Microsoft die admini­strativen Vor­lagen für GPOs. Das neue Release erhält aber keine eigenen ADMX, sondern teilt sich diese mit den Vorgängern. Da­her greifen vor­handene GPOs auch bei einem Update. Im Ver­gleich zu Office 2019 bringen die ADMX 10 neue Ein­stellungen.

    Die ADMX für Office, die Microsoft auf seiner Website zum Download anbietet, gelten für die Versionen 2016 bis 2021 sowie für Microsoft 365 Apps for enterprise (ehemals ProPlus). Die Anwendungen von Office 365 Business lassen sich dagegen nicht über Gruppenrichtlinien konfigurieren.

    Microsoft bietet eigene Vorlagen für x86 und x64, aber nicht für die Version 2021

    Die GPO-Vorlagen können gleich mehrere Ausführungen von Office abdecken, weil diese intern die Major Version 16.0 tragen. Sie alle suchen daher in den Registry-Zweigen HKLM sowie HKCU unter

    software\policies\microsoft\office\16.0

    nach Einstellungen aus den Gruppen­richt­linien. Somit gelten GPOs, die man etwa für Office 2016 erstellt hat, nach einem Update auch für Version LTSC 2021.

    In gemischten Umgebung haben logischer­weise solche Einstellungen, die erst kürzlich eingeführt wurden, keinen Effekt auf Office 2016 oder 2019. Um zu wissen, um welche es sich dabei handelt, wäre es nützlich, wenn man die unterstützte Office-Version einer Einstellung dem GPO-Editor entnehmen könnte. Der zeigt aber nur an, welche Version von Windows mindestens erforderlich ist.

    Die ADMX für Office nennen für eine Einstellung nicht die mindestens erforderliche Version der Apps.

    Der Download der administrativen Vorlagen enthält eine Excel-Tabelle, die sämtliche Einstellungen dokumentiert. Leider gibt auch sie keine Auskunft darüber, welche Gruppen­richt­linie mit welcher Version von Office kompatibel ist.

    Vergleicht man per Script die ADMX- bzw. ADML-Dateien, die Microsoft noch Anfang des Jahres für Office 2019 anbot, mit jenen für Office LTSC 2021, dann zeigen sich zehn Unterschiede.

    Allgemein für Office:

    • Gestatten Sie Benutzern, die keine Administratoren sind, die Installation von Sprachzubehörpaketen (Allow users who aren’t admins to install language accessory packs)
    • Automatisch Alternativtext (alternativen Text) für Bilder generieren (Automatically generate alternative text (alt text) for pictures)
    • Empfohlene Dateien auf der Registerkarte "Datei" oder auf der Startseite anzeigen (Show recommended files on the File tab or start page)
    • Den Schutz nicht unterstützter Dateitypen in Application Guard für Office deaktivieren (Turn off protection of unsupported file types in Application Guard for Office)

    Für Outlook:

    • Schränken Sie ein, welche Berechtigungen für E-Mail-Ordner und Kalender an "Standard", "Anonym" oder "Meiner Organisation" zugewiesen werden können (Limit which permissions can be assigned to Default, Anonymous, or My Organization on mail folders and calendars)
    • Deaktivieren Sie Outlook-Web-Add-Ins, deren entsprechendes COM- oder VSTO-Add-In installiert ist (Deactivate Outlook web add-ins whose equivalent COM or VSTO add-in is installed)

    Für Word:

    • Blende die Funktion "Neuzeitliche Kommentare deaktivieren" aus (Hide the modern comments opt-out)
    • Nicht prüfen, ob der Linktext aussagekräftig ist (Stop checking to ensure hyperlink text is meaningful)
    • Überprüfung zur Sicherstellung, dass Link­text­erweiterungen aussagekräftig sind, wenn sie Erweiterungen umfassen, beenden (Stop checking to ensure hyperlink text extension is meaningful if they include extensions)

    Für Excel:

    • Excel am Ausführen von XLM-Makros hindern (Prevent Excel from running XLM macros)

    Die Bezeichnung der meisten Einstellungen ist selbsterklärend, zumindest wenn man alternativ zum maschinell übersetzten Kauderwelsch die englischen Namen liest. Im Prinzip dienen praktisch alle davon der Verbesserung der Usability bzw. Barrierefreiheit sowie der Sicherheit.

    So ist es sicher oft wünschenswert, dass Benutzer selbst Sprachpakete installieren dürfen, ohne dafür jedes Mal die IT-Abteilung zu bemühen. Dem Komfort dient auch das automatische Generieren des Textes für das aus HTML bekannten alt-Attributs von Bildern.

    Admins können Benutzern erlauben, Sprachpakete selbst zu installieren.

    Auf Wunsch vieler Anwender fügte Microsoft die Option hinzu, in Word wieder das alte Format für Kommentare nutzen zu können,  nachdem die "neuzeitliche" Version zahlreiche Nachteile hat. Mit der neuen Einstellung kann man den Benutzern diese Möglichkeit nehmen, aber laut Erklärtext nur in den Abo-Versionen von Office.

    Mit Application Guard lassen sich die Office-Anwendungen in einer Sandbox ausführen, um die Übertragung von Malware auf das System zu verhindern. Mit der neuen Einstellung können Admins festlegen, dass nicht unterstützte Dateitypen nicht einfach bloß blockiert werden, sondern dass Office sie in der Sandbox öffnet.

    Sicherheits­relevant ist auch die Einstellung für Excel, die Ausführung von XLM-Makros zu unterbinden.

    Mit dieser Einstellung lassen sich alte Makros aus der Zeit von Excel 4.0 blockieren.

    OPAX-Dateien

    Zum Download gehören auch die OPAX-Konfigurations­dateien, mit denen das Office Customization Tool die her­kömmliche MSI-Installation anpassen kann. Eine solche gibt es aber nur mehr für Office 2016, alle anderen Versionen werden über Click-to-Run installiert.

    Um dieses Verfahren zu konfigurieren, etwa um nur ausgewählte Office-Programme zu installieren, benötigt man das Office Deployment Tool.

    Fazit

    Die wenigen neuen Features für Office LTSC 2021 schlagen sich in der geringen Zahl an neuen Einstellungen für die Gruppen­richt­linien nieder. Diese dienen vornehmlich Komfort­funktionen, ein paar haben Einfluss auf die Sicherheit.

    Nachdem auch das neueste Release von Office intern die Major Version 16.0 behält, lassen sich vorhandene GPOs weiternutzen. Auch die Dokumentation ist weitgehend auf diesem Stand stehen geblieben. Eine Zuordnung der einzelnen Einstellungen zu bestimmten Versionen von Office sucht man vergeblich.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links