群组原则应用篇(三)管理范本.ppt

Welcome,TechNet 網路廣播,群組原則應用篇 (三) 管理範本,鼎運資訊有限公司 梁銘鼎,管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista,Agenda,管理範本在群組原則的地位 管理範本概述,對使用者或電腦設定用戶端電腦的運作行為。 設定項目約 600 項。 設定內容：作業系統元件、應用程式。,管理範本在群組原則的地位 管理範本本質,變更用戶端電腦的 Registry。 變更依據：.adm 檔案，存放在 %Systemroot%inf 之內。,套用後,思考,為什麼要使用管理範本來變更用戶端電腦的 Registry 設定？,管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista,Agenda,管理範本的結構及運作 GPO 與管理範本的關連性,AD 資料庫的一部份,檔案類型,管理範本的結構及運作 GPO 與管理範本的關連性,.adm 檔案產生的時機 當 GPO 第一次建立，開始編輯後，.adm 檔案從網域控制站的 %Systemroot%inf 中複製到 GPO下的 Adm 資料夾內。,管理範本的結構及運作 預設管理範本與 .adm 檔案,管理範本的結構及運作 管理範本如何套用到電腦,ntuser.pol 存放於 %Systemroot%All Users內,registry.pol 存放於 Sysvol 內,當 GPO 內的設定包含管理範本，設定完成後，在 Machine 或 User 資料夾內將產生registry.pol，registry.pol 內放置管理範本的設定值。 用戶端電腦向網域控制站取得群組原則設定時，在管理範本部份是取得registry.pol，以 registry.pol 為依據，寫入用戶端電腦的 ntuser.pol檔案內。 用戶端電腦的ntuser.pol，除了將未套用管理範本設定前的本機 Registry 設定存放在其中之外，亦會於每次進行幕後更新時更新registry.pol的設定值。 若 GPO 的管理範本不再套用於用戶端電腦，用戶端電腦原始的 Registry 設定將從ntuser.pol還原回來。,用戶端電腦,網域控制站,管理範本的結構及運作 用戶端電腦與管理範本的互動,如果用戶端電腦的設定與 GPO 的 Registry 設定(管理範本)衝突，將以 GPO 的管理範本設定為主。,管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista,Agenda,自訂管理範本,管理範本的範圍 HKEY_LOCAL_MACHINESOFTWAREpolicies (preferred location) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies HKEY_CURRENT_USERSOFTWAREpolicies (preferred location) HKEY_ CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpolicies 可在微軟網站下載管理範本： 系統 IE 瀏覽器 Office 還有更多管理範本 編輯 .adm 的文件：Using Administrative Template Files with Registry-Based Group Policy,管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista,Agenda,管理範本與 Vista,一、GPMC 已成為 Vista 的標準管理工具。 二、管理範本由 .ADM 變更為 .ADMX。 三、Vista 的管理範本設定項目較 Windows Server 2003 多了約 700 項。 四、新增的群組原則 (For Vista ) 增加電源管理群組原則。 限制裝置存取。 加強安全性設定(防火牆、IPSec)。 IE 瀏覽器的管理。 依據登入地點指定印表機。 五、管理方式：由 Vista 的 GPMC 負責管理任務。,功能面,管理範本與 Vista,架構面管理範本,群組原則設定,GPO-01,群組原則設定,GPO-02,群組原則設定,GPO-03,存放在資料夾的管理範本大小為： 4 MB GPO 數量,Windows Server 2003 Group Policy,管理範本與 Vista,架構面管理範本,群組原則設定,GPO-01,群組原則設定,GPO-02,群組原則設定,GPO-03,Group Policy for Vista,並非每一個 GPO 都包含管理範本，管理範本將集中放置於網域控制站內(Central Store)，亦可使用 DFS 以降低 AD 同步資料量。,應用範例停用 USB 儲存設備 For Windows 2003若 USB 儲存設備從未連接到電腦,如果電腦尚未使用過 USB 儲存設備，需禁止 USB 儲存設備驅動程式的安裝。,套用對象：電腦 設定位置：電腦設定Windows 設定安全性設定檔案系統,應用範例停用 USB 儲存設備 For Windows 2003若 USB 儲存設備已連接到電腦,如果電腦已安裝 USB 儲存設備的驅動程式，需將 Registry Key 設為停用。,套用對象：電腦 設定位置： 1. 匯出並變更 USB Store 的 Registry Key：HKEY_LOCAL_MACHINECurrentControlSetServicesUSBSTOR 2. 將匯出的 Registry Key 設為 Logon Scri