部署與解除部署原則

若要執行已新增或編輯的原則,您必須加以部署。部署是將 Client Security 原則套用到您要用原則來保護的用戶端電腦的程序。對每一部用戶端電腦只能套用一個 Client Security 原則。

Bb418857.note(zh-tw,TechNet.10).gif附註
Client Security 原則僅適用於電腦,而不適用於使用者帳戶。若要使用自訂的原則來保護特定使用者,則必須將這些原則套用到該使用者所存取的電腦。

當用戶端電腦接收已新增或編輯的原則時,用戶端電腦會將原則設定儲存為登錄設定。如果您後來變更或修改原則,則必須部署原則,用戶端電腦才能得知變更。

此外,如果您不想再用先前部署的原則來保護用戶端電腦,則必須在電腦上部署不同的原則,或解除部署不想要的原則。當您解除部署原則時,代表所解除部署原則的登錄設定會從您解除部署原則的電腦上移除。

您可以部署原則至現有的群組原則物件。Client Security 會將 Client Security 原則合併到您指定的群組原則物件。此群組原則物件必須已存在 Active Directory 中。當您部署到現有的群組原則物件時,Client Security 原則設定會與該群組原則物件中已定義的設定合併。

Bb418857.note(zh-tw,TechNet.10).gif重要事項
若要部署至現有的群組原則物件,則必須具有編輯群組原則物件的權限。

若部署到已部署 Client Security 原則的現有群組原則物件,則會出現訊息,通知您新的 Client Security 原則設定將取代目前已部署的 Client Security 原則設定。不可能將兩個 Client Security 原則部署或合併到相同的群組原則物件。您必須取消部署新原則,或按一下 [繼續],以使用新原則取代原始的 Client Security 原則。系統將保留現有群組原則物件中已建立的設定 (Client Security 並未建立這些設定)。

Bb418857.note(zh-tw,TechNet.10).gif附註
若要識別 Client Security 建立的群組原則物件,請在 AD GPMC 中尋找含下列命名慣例的群組原則物件:FCS-原則-GUID-部署方法

您可以將原則部署至 Active Directory 組織單位及網域中的電腦。組織單位及網域的部署需要 Client Security 建立群組原則物件,並連結到您指定的現有 組織單位 或網域。

Bb418857.note(zh-tw,TechNet.10).gif重要事項
若要部署至組織單位或網域,您必須擁有在 Active Directory 中建立群組原則物件的權限,以及將群組原則物件連結到要套用原則的組織單位或網域的權限。

若部署到已部署 Client Security 原則的組織單位或網域,則會出現訊息,通知您新的原則將取代目前部署的原則。您無法合併原則設定或將多個 Client Security 原則連結到相同的組織單位。您必須取消部署新原則,或按一下 [繼續],以使用新原則取代目前已連結的原則。

您可以部署原則至 Active Directory 安全性群組中的電腦。這個方法需要群組原則將原則部署至您先前在 Active Directory 中設定安全性群組的電腦。部署至安全性群組的原則會覆寫部署至組織單位的原則。如此可讓您將不同的原則套用至屬於組織單位成員的電腦子集。例如,您可能想要將多個安全原則套用至組織主管所使用的電腦,但那些電腦可能屬於一個內含多台電腦的組織單位。您可以將一個原則部署至該組織單位,將另一個原則部署至包含主管所用電腦的安全性群組。該安全性群組原則設定優先適用。

Bb418857.note(zh-tw,TechNet.10).gif附註
將原則部署至安全性群組時,Client Security 會將原則連結至網域,並在群組原則物件上設定 [已執行] 選項。[已執行] 選項允許群組原則物件比其他群組原則物件優先適用,否則後者將覆寫前者。
Bb418857.note(zh-tw,TechNet.10).gif重要事項
若要部署至安全性群組,則必須具備建立群組原則物件並將群組原則物件連結至網域的權限。

若部署到目前已部署 Client Security 原則的安全性群組,則會出現訊息,通知您新的原則將取代目前部署的原則。您無法將多個 Client Security 建立的原則連結到相同的安全性群組或合併原則設定。您必須取消部署新原則,或按一下 [繼續],以使用新原則取代目前已連結的原則。

將原則部署至組織單位或安全性群組時,Client Security 會使用正在執行 Client Security 主控台的使用者權限來建立群組原則物件。Client Security 會使用要部署而建立的群組原則物件所依據的原則相關資訊,來命名群組原則物件。Client Security 為其建立的群組原則物件使用下列命名慣例:

FCS- 原則 - GUID - 部署方法

下列是所使用的參數:

  • 原則 - 將名稱手動指派給 Client Security 主控台中的原則。
  • GUID - 全域唯一識別元 (GUID) 會在 Client Security 建立原則時自動指派給該原則。
  • 部署方法 - 用來指示原則部署方法的數字。下列是有效值:
    • 2 - 組織單位部署
    • 3 - 安全性群組部署

例如,若建立名為 OurServers 的原則並將其部署至組織單位,則 Client Security 建立的群組原則物件的名稱如下 (內含隨機 GUID):

FCS-OurServers-{ea0961d2-f992-4624-9857-d51ca23f6179}-2

當您解除部署先前部署到組織單位或安全性群組的原則時,Client Security 會刪除它為該 組織單位 或安全性群組部署所建立的群組原則物件。

依組織單位、安全性群組或群組原則物件部署時,用戶端電腦會在標準的群組原則重新整理期間接收到原則,這個動作可能會花費數小時。若要立即將原則套用到用戶端電腦,則可執行下列其中一個動作:

  • 重新啟動電腦。
  • 強制執行群組原則物件重新整理:
    • 在 Windows Vista™ 或 Windows XP 中,執行下列命令:
      gpupdate /force
    • 在 Windows 2000 中,執行下列命令:
      secedit /refreshpolicy machine_policy /enforce

您可以用登錄檔案來部署原則。這個方法可將原則匯出 .reg 檔,以便讓您將其散發到用戶端電腦。Client Security 不會散發 .reg 檔。您必須決定散發 .reg 檔的方式。最簡單的方式是透過共用資料夾來提供 .reg 檔。

若要套用登錄檔案到用戶端電腦,您必須使用 Client Security 光碟中提供的 fcslocalpolicytool.exe 工具。您使用登錄檔案進行部署的每一部用戶端電腦,都必須能夠存取 fcslocalpolicytool.exe。

Bb418857.note(zh-tw,TechNet.10).gif附註
我們建議您將 Client Security 登錄檔案與 fcslocalpolicytool.exe 保存在集中位置,並限制對它們的一切權限,只讓有需要使用 fcslocalpolicytool.exe 的使用者才能存取該程式與登錄檔案。

您可以使用「部署摘要」報告,檢視透過登錄檔案部署接收原則的電腦名稱。登錄型原則部署至電腦之後,電腦中的 Client Security 代理程式會傳送它此時正在執行之原則的集合伺服器資訊。

當您解除部署或刪除先前部署至登錄檔案的原則時,主控台會顯示原則發生的變更,但 Client Security 並不會刪除登錄檔案。您尚未執行 fcslocalpolicytool.exe 的用戶端電腦必須能夠存取原則,才能解除部署登錄檔案原則。確定沒有任何用戶端電腦正在使用特定的登錄檔案型原則之後,即可安心地將其刪除。

部署原則
  1. 在 [Client Security 主控台] 上,按一下 [原則管理] 索引標籤,再按一下您要部署的原則。

    Bb418857.note(zh-tw,TechNet.10).gif附註
    使用原則時,只會開啟主控台的一個執行個體。Client Security 不支援一次在多個主控台中同時編輯原則。
  2. 按一下 [部署]。

    即顯示 [部署] 對話方塊。請使用 [部署] 對話方塊指定部署的目標。

  3. 選取要將原則部署到哪些目標。您可以新增多個目標以部署原則。

    如果您要部署到 Active Directory 組織單位或網域:

    1. 請按一下 [新增組織單位]。即顯示 [Active Directory] 對話方塊,並列出頂層的組織單位。
    2. 在 [選擇目標] 下,找出您部署原則的目標組織單位,並加以選取。如果您要將原則部署至網域中的所有受管理電腦上,您可以不選取組織單位,改為選取網域。
    3. 按一下 [確定]。組織單位或網域就會列在 [部署] 對話方塊中。

    如果您要部署到 Active Directory 安全性群組:

    1. 請按一下 [新增群組]。即顯示 [選取群組] 對話方塊。
    2. 使用 [選取群組] 對話方塊指定安全性群組。若要在 [從這個位置] 方塊中顯示的網域中搜尋安全性群組,請按一下 [進階],並使用第二個 [選取群組] 對話方塊。

    如果您要部署到群組原則物件:

    1. 請按一下 [新增群組原則物件]。即顯示 [新增群組原則物件] 對話方塊。
    2. 在 [選擇目標] 下方,找出您部署原則的目標群組原則物件,並加以選取。
    3. 按一下 [確定]。群組原則物件即列在 [部署] 對話方塊中。

    如果您要部署到 .reg 檔:

    1. 請按一下 [新增檔案]。即顯示 [另存新檔] 對話方塊。
    2. 選取儲存 .reg 檔的位置。
    3. 在 [檔案名稱] 中,鍵入您為原則 .reg 檔所命名的名稱。
    4. 按一下 [儲存]。檔案即列在 [部署] 對話方塊中。
  4. 按一下 [部署]。如果將原則部署至另一個已部署原則所選定的群組原則物件、組織單位或安全性群組,那麼 Client Security 會提示您確認是否決定要將目前的原則部署至該群組原則物件、組織單位或安全性群組。若要繼續部署原則,請按一下確認訊息上的 [確定]。

    Client Security 便會將原則部署至您選取的目標。

  5. 如果您將原則部署到組織單位,且想要原則立刻生效,您可以在組織單位中每一個用戶端電腦上執行 gpupdate /force 命令,或重新啟動每一部用戶端電腦。否則,原則將會在標準群組原則重新整理時,才會套用到用戶端電腦上。

    如果您已將原則部署至安全性群組,並希望原則立即生效,您可以重新啟動安全性群組中的每一部用戶端電腦。gpupdate /force 這個命令並不會更新安全性群組中用戶端電腦的原則。否則,原則將會在標準群組原則重新整理時,才會套用到用戶端電腦上。

    Bb418857.note(zh-tw,TechNet.10).gif附註
    gpupdate 命令無法在 Windows 2000 中使用。若要立即在執行 Windows 2000 的用戶端電腦上套用原則,請執行下列命令:secedit /refreshpolicy machine_policy /enforce

    如果您是透過登錄檔案來進行原則部署,則必須在要部署原則的所有用戶端電腦上執行下列步驟:

    1. 將 .reg 檔散發至電腦,或利用共用資料夾來提供 .reg 檔。
    2. 您可以使用 fcslocalpolicytool.exe 將原則套用到電腦上。
      fcslocalpolicytool.exe /i ‌policyname.reg
      若為自動部署,您可以使用 /f 選項來抑制確認訊息。
解除部署原則
  1. 在 Client Security 主控台上,按一下 [原則管理] 索引標籤,再按一下您要解除部署的原則。

  2. 按一下 [解除部署]。即顯示確認訊息。

  3. 按一下 [解除部署]。Client Security 就會解除部署原則。

  4. 如果您將原則部署到組織單位,且想要原則立刻生效,您可以在組織單位中每一個用戶端電腦上執行 gpupdate /force 命令,或重新啟動每一部用戶端電腦。否則,原則將會在標準群組原則重新整理時,才會套用到用戶端電腦上。

  5. 如果您已將原則部署至安全性群組,並希望原則立即生效,您可以重新啟動安全性群組中的每一部用戶端電腦。gpupdate /force 這個命令並不會更新安全性群組中用戶端電腦的原則。否則,原則將會在標準群組原則重新整理時,才會套用到用戶端電腦上。

  6. 如果您是透過登錄檔案來進行原則部署,則必須在利用登錄檔案散發原則的每一部目標用戶端電腦上執行 fcslocalpolicytool.exe。在命令提示字元中,鍵入:

    fcslocalpolicytool.exe /d

    若為自動部署,您可以使用 /f 選項來抑制確認訊息。

顯示: