TechNet 網路廣播 <SLIDETITLE INCLUDE=0>Entry Slide</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT></SLIDESCRIPT> <SLIDETRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION> Welcome

群組原則應用篇 (三) 管理範本 鼎運資訊有限公司 梁銘鼎 <SLIDETITLE INCLUDE=7>Title Slide</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Hello and Welcome to this Microsoft TechNet session on {insert session title}. My name is {insert name} </SLIDESCRIPT> <SLIDETRANSITION> <TRANSITION LENGTH=7>Let us start this session by going into more detail on exactly what we will be covering.</TRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION> 鼎運資訊有限公司 梁銘鼎

Agenda 管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista <SLIDETITLE INCLUDE= >Agenda: </SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> [Start by telling them what you are going to tell ‘em, then each subsequent agenda item, tell ‘em what you told ‘em as well] </SLIDESCRIPT> <SLIDETRANSITION> <TRANSITION LENGTH=></TRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>

管理範本在群組原則的地位 管理範本概述 對使用者或電腦設定用戶端電腦的運作行為。 設定項目約 600 項。 設定內容：作業系統元件、應用程式。

管理範本在群組原則的地位 管理範本本質 套用前 套用後 變更用戶端電腦的 Registry。 變更依據：.adm 檔案，存放在 %Systemroot%\inf 之內。 套用前 套用後

思考 為什麼要使用管理範本來變更用戶端電腦的 Registry 設定？

Agenda 管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista <SLIDETITLE INCLUDE= >Agenda: </SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> [Start by telling them what you are going to tell ‘em, then each subsequent agenda item, tell ‘em what you told ‘em as well] </SLIDESCRIPT> <SLIDETRANSITION> <TRANSITION LENGTH=></TRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>

管理範本的結構及運作 GPO 與管理範本的關連性 AD 資料庫的一部份 檔案類型

管理範本的結構及運作 GPO 與管理範本的關連性 .adm 檔案產生的時機 當 GPO 第一次建立，開始編輯後，.adm 檔案從網域控制站的 %Systemroot%\inf 中複製到 GPO<GUID>下的 Adm 資料夾內。

管理範本的結構及運作 預設管理範本與 .adm 檔案 用途 適用對象 備註 System.adm 系統設定 Windows 2000、Windows XP、Windows Server 2003 Inetres.adm IE 瀏覽器設定 Conf.adm NetMeeting 設定 不適用於 64 位元的 Windows XP 及 Windows Server 2003 Wmplayer.adm Windows Media Player 設定 Wuau.adm Windows Update 設定 Windows 2000/SP3、Windows XP/SP1、Windows Server 2003

管理範本的結構及運作 管理範本如何套用到電腦 當 GPO 內的設定包含管理範本，設定完成後，在 Machine 或 User 資料夾內將產生「registry.pol」，registry.pol 內放置管理範本的設定值。 用戶端電腦向網域控制站取得群組原則設定時，在管理範本部份是取得「registry.pol」，以 registry.pol 為依據，寫入用戶端電腦的 「ntuser.pol」檔案內。 用戶端電腦的「ntuser.pol」，除了將未套用管理範本設定前的本機 Registry 設定存放在其中之外，亦會於每次進行幕後更新時更新「registry.pol」的設定值。 若 GPO 的管理範本不再套用於用戶端電腦，用戶端電腦原始的 Registry 設定將從「ntuser.pol」還原回來。 ntuser.pol 存放於 %Systemroot%\All Users內 registry.pol 存放於 Sysvol 內 用戶端電腦 網域控制站

管理範本的結構及運作 用戶端電腦與管理範本的互動 如果用戶端電腦的設定與 GPO 的 Registry 設定(管理範本)衝突，將以 GPO 的管理範本設定為主。 GPO 管理範本 用戶端設定 結果 No 用戶端設定值 Yes GPO 的設定值 忽略本機設定，以 GPO 的設定值為主

Agenda 管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista <SLIDETITLE INCLUDE= >Agenda: </SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> [Start by telling them what you are going to tell ‘em, then each subsequent agenda item, tell ‘em what you told ‘em as well] </SLIDESCRIPT> <SLIDETRANSITION> <TRANSITION LENGTH=></TRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>

自訂管理範本 管理範本的範圍 HKEY_LOCAL_MACHINE\SOFTWARE\policies (preferred location) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies HKEY_CURRENT_USER\SOFTWARE\policies (preferred location) HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies 可在微軟網站下載管理範本： 系統 IE 瀏覽器 Office 還有更多管理範本… 編輯 .adm 的文件：Using Administrative Template Files with Registry-Based Group Policy

Agenda 管理範本在群組原則的地位 管理範本的結構及運作 如何自訂管理範本 管理範本與 Vista <SLIDETITLE INCLUDE= >Agenda: </SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> [Start by telling them what you are going to tell ‘em, then each subsequent agenda item, tell ‘em what you told ‘em as well] </SLIDESCRIPT> <SLIDETRANSITION> <TRANSITION LENGTH=></TRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>

管理範本與 Vista 功能面 一、GPMC 已成為 Vista 的標準管理工具。 二、管理範本由 .ADM 變更為 .ADMX。 三、Vista 的管理範本設定項目較 Windows Server 2003 多了約 700 項。 四、新增的群組原則 (For Vista ) 增加電源管理群組原則。 限制裝置存取。 加強安全性設定(防火牆、IPSec)。 IE 瀏覽器的管理。 依據登入地點指定印表機。 五、管理方式：由 Vista 的 GPMC 負責管理任務。

管理範本與 Vista 存放在資料夾的管理範本大小為： 4 MB × GPO 數量 Windows Server 2003 Group Policy 架構面－管理範本 GPO-01 群組原則設定 管理範本 4 MB GPO-02 群組原則設定 存放在資料夾的管理範本大小為： 4 MB × GPO 數量 管理範本 4 MB GPO-03 群組原則設定 管理範本 4 MB

管理範本與 Vista 架構面－管理範本 Group Policy for Vista GPO-01 群組原則設定 並非每一個 GPO 都包含管理範本，管理範本將集中放置於網域控制站內(Central Store)，亦可使用 DFS 以降低 AD 同步資料量。 GPO-02 群組原則設定 管理範本 GPO-03 群組原則設定

應用範例－停用 USB 儲存設備 For Windows 2003－若 USB 儲存設備從未連接到電腦 套用對象：電腦 設定位置：電腦設定→Windows 設定→安全性設定→檔案系統 如果電腦尚未使用過 USB 儲存設備，需禁止 USB 儲存設備驅動程式的安裝。

應用範例－停用 USB 儲存設備 For Windows 2003－若 USB 儲存設備已連接到電腦 套用對象：電腦 設定位置： 　　1. 匯出並變更 USB Store 的 Registry Key：HKEY_LOCAL_MACHINE\CurrentControlSet\Services\USBSTOR 　　2. 將匯出的 Registry Key 設為 Logon Script：電腦設定→Windows 設定→指令碼-(啟動/關機)→啟動 如果電腦已安裝 USB 儲存設備的驅動程式，需將 Registry Key 設為停用。

應用範例－停用 USB 儲存設備 For Vista

總結 管理範本的用途為變更電腦的Registry Key。 程式開發者客製化管理範本。 Vista 將增加群組原則的管理能力及效能。

<SLIDETITLE INCLUDE=0>Tag line</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT></SLIDESCRIPT> <SLIDETRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>