配置客户端引导策略
总结: 如何管理组策略。
组策略管理控制台 (GPMC) 和组策略对象编辑器是用于管理组策略的工具。 Office 组策略管理模板附带的 lync16.admx (ADMX) 和 .adml (ADML) 管理模板,其中包含您为域中组策略对象配置的基于注册表的Skype for Business策略设置。 ADML 文件是针对 ADMX 文件的特定语言的补充。 每个 ADMX 和 ADML 文件均包含单个 Office 应用程序的策略设置。 可以从 Microsoft 下载中心免费 下载 Office 2016 管理模板文件 (ADMX/ADML) 。
对于Skype for Business客户端,在用户首次登录到服务器之前,应考虑配置多个客户端引导策略。 例如,客户端在登录完成之前应使用的默认服务器和安全模式。 在用户登录并开始从服务器接收带内预配设置之前,可以使用 组策略 在用户的计算机注册表中建立这些设置。 下表列出了可用于Skype for Business的组策略设置。
Skype for Business的组策略设置
| 组策略设置 | 描述 |
|---|---|
| 指定服务器 (ConfigurationMode) |
指定Skype for Business如何标识在登录期间要使用的传输和服务器。 在此设置中,可以指定: ServerAddressExternal:指定在从外部防火墙之外连接时由客户端和联盟联系人使用的服务器名称或 IP 地址。 ServerAddressInternal:指定客户端从组织的防火墙内部进行连接时使用的服务器名称或 IP 地址。 Transport:指定传输控制协议 (TCP) 或传输层安全性 (TLS)。 |
| 支持的其他服务器版本 (ConfiguredServerCheckValues) |
指定除默认支持的服务器版本外,Skype for Business Server将登录到的服务器版本名称列表(用分号分隔)。 |
| 禁止自动上载登录失败日志 (DisableAutomaticSendTracing) |
自动将登录失败日志上传到Skype for Business Server进行分析。 如果登录成功,则不会自动上载任何日志。 如果未配置此策略,则会出现下列情况: 对于 Skype for Business Online 用户:会自动上传登录失败日志。 对于Skype for Business本地用户:上传前向用户显示确认对话框。 禁用此设置后,本地Skype for Business和Skype for Business Online 用户的登录日志会自动上传到 Skype for Business Server。 如果启用此设置,则绝不会自动上载登录日志。 |
| 为 SIP 连接禁用 HTTP 回滚 (DisableHttpConnect) |
如果 TLS 或 TCP 不可用,则防止Skype for Business Server尝试使用 HTTP 连接到服务器。 默认情况下,Skype for Business首先尝试使用 TLS 或 TCP 连接到服务器,如果这两种传输方法均未成功,Skype for Business尝试使用 HTTP 进行连接。 使用此策略可禁止回滚 HTTP 连接尝试。 |
| 需要登录凭据 (DisableNTCredentials) |
要求用户提供Skype for Business的登录凭据,而不是在登录到 SIP 服务器期间自动使用 Windows 凭据。 |
| 禁用服务器版本检查 (DisableServerCheck) |
如果将此策略设置为 1,则阻止Skype for Business在登录前检查服务器名称和版本。 默认情况下,Skype for Business在登录前进行这些检查。 |
| 允许使用 BITS 下载通讯簿服务文件 (EnableBitsForGalDownload) |
使Skype for Business能够使用后台智能传输服务 (BITS) 下载通讯簿服务文件。 |
| 配置 SIP 安全模式 (EnableSIPHighSecurityMode) |
使Skype for Business能够更安全地发送和接收即时消息。 此策略对 Windows .NET 或 Microsoft Exchange Server 服务不起作用。 如果未配置此策略设置,Skype for Business可以使用任何传输。 但是,如果它不使用 TLS 并且服务器对用户进行身份验证,Skype for Business必须使用 NTLM 或 Kerberos 身份验证。 |
| 全局通讯簿下载初始延迟 (GalDownloadInitialDelay) |
指定全局地址列表 (GAL) 下载发生之前的时间。 默认值为 60 分钟,这表示服务器可将 GAL 文件的下载延迟 0 到 60 分钟之间的任意时间。 |
| 阻止用户运行 Skype for Business (PreventRun) |
阻止用户运行Skype for Business。 可在“计算机配置”和“用户配置”中同时配置此策略设置,但“计算机配置”中的策略设置优先。 |
| 允许存储用户密码 (SavePassword) |
启用Skype for Business来存储密码。 |
| 配置 SIP 压缩模式 (SipCompression) |
指定何时打开 SIP 压缩。 默认情况下,根据适配器速度启用 SIP 压缩。 请注意,设置此策略可能会导致登录时间延长。 |
| 受信任的域列表 (TrustModelData) |
列出与客户 SIP 域的前缀不匹配的受信任域。 |
服务器上所配置的策略优先于用户所配置的组策略设置和客户端选项。 下表汇总了在发生冲突时各个设置的优先顺序。
组策略优先级
| 优先级 | 设置的位置或方法 |
|---|---|
| 1 |
Skype for Business Server带内预配 |
| 2 |
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\16.0\Lync |
| 3 |
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Lync |
| 4 |
Skype for Business 中的“选项”对话框 |
使用Skype for Business管理模板文件定义组策略设置
创建根级别文件夹以包含所有与语言无关的 ADMX 文件。 例如,在位于以下位置的域控制器上创建中央存储的根文件夹:
%systemroot%\sysvol\domain\policies\PolicyDefinitions注意
此过程假定您需要管理域中的多台计算机。 在此情况下,您将模板存储在主域控制器上的 Sysvol 文件夹中的中央存储中。 这将为域管理模板提供复制的中央存储位置。
为要使用的每种语言创建一个子文件夹。 这些子文件夹将包含特定语言的 ADML 资源文件。 例如,在以下位置为美国英语 (EN-US) 创建一个子文件夹:
%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US