本文件已封存並已停止維護。

使用群組原則工具管理瀏覽器設定

若您使用 Active Directory 網域服務 (AD DS) 管理網路,可以使用群組原則所提供的一組完整原則設定,在將 Windows® Internet Explorer® 9 部署至使用者電腦之後對其進行管理。下列工具提供不同的方式管理原則和設定。

  • 系統管理範本。您可以使用系統管理範本原則設定,管理數百個 Internet Explorer 9 選項 (包括安全性選項) 的已登錄原則。

  • Internet Explorer 維護。您可以使用群組原則中的 Internet Explorer 維護 (IEM) 延伸模組預設及管理網域中的一些 Internet Explorer 9 設定 (包括使用者介面和連線設定)。

Important重要
建議您盡可能使用群組原則中的系統管理範本設定管理 Internet Explorer 9,因為撰寫這些設定的目的就是為了要保護登錄中的「原則」分支。此外,建議您部署標準使用者帳戶,而不要讓使用者以系統管理員的身分登入電腦,以避免使用者對系統做出不必要的變更,或是覆寫群組原則設定。

若要遵循這些建議,使用者即無法藉由使用 Internet Explorer 9 使用者介面,或修改登錄變更受管理的設定。IEM 中的大部分延伸設定,以及您可以在 Internet Explorer Administration Kit 9 (IEAK 9) 中管理的瀏覽器設定,都有提供使用者在套用之後可以修改的喜好設定。

如果您不使用 AD DS 和群組原則管理使用者的電腦,則可以在部署之後,使用 IEAK 設定檔管理員設定並更新一些瀏覽器設定和喜好設定。如需 IEAK 設定檔管理員的詳細資訊,請參閱透過 IEAK 9 設定檔管理員管理瀏覽器設定

群組原則概觀

大部分 IT 專業人員都很熟悉群組原則,其是以 AD DS 為基礎,並可讓您管理電腦和使用者設定。您可以在群組原則物件 (GPO) 中設定群組原則設定。若要建立和編輯 GPO,您可以使用群組原則管理主控台 (GPMC)。您可以使用 GPMC 將 GPO 連結至所選取的 Active Directory 網站、網域及組織單位 (OU),以將 GPO 中的原則設定套用至那些 Active Directory 容器中的電腦和使用者。群組原則物件包括已登錄的系統管理範本原則設定、安全性設定、軟體部署、指令碼、資料夾重新導向、喜好設定和 IEM 設定。

使用群組原則設定 Internet Explorer 9,您可設定一次設定,即可將該設定強制套用在許多電腦上。與指令碼處理之類的技術相較,群組原則可說是最有效率的方式,因為它既會影響多部電腦,人為錯誤的風險也低。例如,您可以在連結至網域的 GPO 中,設定 Internet Explorer 9 安全性設定,而群組原則可以將那些設定套用至網域中的每部電腦。不是以系統管理員身分登入電腦的使用者,無法變更那些設定,所以您可以放心群組原則會強制執行標準設定。

群組原則也提供彈性的方法,可將群組原則設定的目標放在特定電腦和使用者。最簡單的方式就是將 GPO 連結至特定 OU,將其設定只套用至 OU 包含的電腦和使用者。其次,群組原則支援安全性篩選。例如,您可以設定 GPO,使其只套用至組織中的特定安全性群組。設定 GPO 目標的最佳方式,就是使用 WMI 篩選。例如,您可以建立 WMI 篩選,將 GPO 只套用至具有特定製造商與型號的電腦;或是建立具有膝上型電腦底座的 WMI 篩選。

群組原則的複雜度會因您的需求而有所不同。即使是小型組織,使用群組原則管理電腦也很有利。在那些案例中,實作方式可以極簡單 (只使用最基本的群組原則功能)。需求較複雜的較大組織,則可使用群組原則所提供的進階功能。如需詳細資訊,請參閱 TechNet 上的群組原則 TechCenter。群組原則 TechCenter 提供群組原則的最新技術文件、影片及下載。

群組原則管理工具

有幾項工具可用於建立、管理、檢視和疑難排解 GPO。下列各節會說明多項工具,並提供其詳細資訊的連結。其中包括:

群組原則管理主控台

GPMC 提供統一管理跨組織中的多重樹系之所有層面的群組原則。使用 GPMC 可讓您管理所有 GPO、Windows Management Instrumentation (WMI) 篩選,以及網路上與群組原則相關的權限。GPMC 是您進入群組原則的窗口,從 GPMC 介面可使用所有群組原則管理工具。

GPMC 提供 Microsoft Management Console (MMC) 的使用者介面,以及一組可編寫指令碼的介面,供管理群組原則之用。32 位元和 64 位元版本的 GPMC 隨附於 Windows Server 2008 和 Windows Server 2008 R2。GPMC 提供的功能包括:

  • 匯入和匯出 GPO。

  • 複製和貼上 GPO。

  • 備份和還原 GPO。

  • 搜尋現有的 GPO。

  • 報告功能,包括 HTML 報告中的原則結果組 (RSoP) 資料,可讓您儲存及列印。

  • 群組原則模型,可讓您模擬 RSoP 資料以規劃群組原則部署,再將其實作在生產環境中。

  • 群組原則結果,可讓您取得 RSoP 資料以檢視 GPO 互動,以及疑難排解群組原則部署。

  • 移轉表格,可幫助跨網域和跨樹系匯入及複製 GPO。移轉表格是一個檔案,會將來源 GPO 中的使用者、群組、電腦和通用命名慣例 (UNC) 路徑參照對應至目的地 GPO 中的新值。

  • 可編寫指令碼的介面,支援 GPMC 中所有可用的作業。但是您無法使用指令碼編輯 GPO 中的個別原則設定。

如需 GPMC 的詳細資訊,請參閱 TechNet 上的群組原則管理主控台一文。

群組原則管理編輯器

當您開啟 GPO 進行編輯時,GPMC 會開啟 GPME 視窗。GPME 提供使用者介面,可用於編輯個別 GPO 中的設定。您可以使用 GPME 設定的設定類型範例包括:

 

電腦原則

使用者原則

  • 軟體安裝

  • 啟動和關閉指令碼

  • 安全性設定

  • 系統管理範本

  • 喜好設定

  • 軟體安裝

  • 登入和登出指令碼

  • 安全性設定

  • 資料夾重新導向

  • Internet Explorer 維護

  • 系統管理範本

  • 喜好設定

進階群組原則管理

AGPM 是 MDOP 的一部分,為軟體保證客戶的附加授權,可延伸群組原則。它提供健全的委派模式和變更控制項,有助於組織最佳化群組原則管理、降低廣泛失敗的風險,以及在發生問題時快速復原。

要了解 AGPM,有三個重要概念。

離線編輯 GPO。首先,您在生產環境之外,使用 AGPM 編輯 GPO。AGPM 會將 GPO 儲存在 AGPM 封存中。唯有在編輯、檢閱及核准 GPO 以進行部署之後,AGPM 才會將 GPO 移至生產環境。

三個使用者角色。第二,您可以委派三個角色給使用者:

  • 檢閱者。檢閱者可以檢視和比較 AGPM 封存中的 GPO,但無法編輯或部署 GPO。

  • 編輯者。編輯者可以檢視和比較 AGPM 封存中的 GPO。他們也可以將 GPO 取出封存、編輯 GPO、將 GPO 存回封存,並要求 GPO 部署。

  • 核准者。核准者可以核准在 AGPM 封存中建立 GPO,以及將 GPO 部署至生產環境 (當核准者建立或部署 GPO 時,會自動核准)。

您可以針對網域中的所有受控制 GPO,將這些角色委派給使用者和群組 (也就是網域委派)。您也可以針對個別受控制的 GPO 委派這些角色。

進階變更控制功能。第三,AGPM 提供進階變更控制功能,可幫助您管理 GPO 的生命週期。具有一般版本控制工具 (例如 Microsoft SharePoint® Server 2010 中的版本控制功能) 使用經驗的系統管理員,對於許多 AGPM 變更控制概念會很熟悉。

若要變更及部署 GPO:

  1. 將 GPO 從封存中取出

  2. 視需要離線編輯 GPO。

  3. 將 GPO 存回封存。

  4. 要求 GPO 部署至生產環境。

AGPM 會保存每個 GPO 的變更歷程記錄。您可以將任何版本的 GPO 部署至生產環境,所以您可以視需要,快速將 GPO 回復至舊版。AGPM 也可以比較不同版本的 GPO,顯示已新增、變更及刪除的設定。因此,您可以先輕鬆地檢閱變更,再將其核准及部署至生產環境。每個 GPO 的完整歷程記錄不僅可以讓您稽核變更,還可以讓您稽核與該 GPO 相關聯的所有活動。

如需 AGPM 的詳細資訊,請參閱進階群組原則管理概觀

Windows PowerShell

Windows PowerShell 是命令列殼層及指令碼處理語言。使用 Windows PowerShell,您即可在單一電腦本機上或是從許多遠端電腦,自動化 Windows 和應用程式管理。為協助您自動化群組原則管理,群組原則為 Windows PowerShell 提供超過 25 個以上的「指令程式」。每個指令程式都是簡單、單一功能的命令列工具。您可以使用群組原則指令程式,針對網域型的 GPO 執行工作,例如:

  • 建立、移除、備份和匯入 GPO。

  • 建立、更新及移除群組原則連結。

  • 設定組織單位 (OU) 和網域的繼承旗標和權限。

  • 設定已登錄的原則設定,以及群組原則喜好設定的登錄設定。

  • 建立和編輯入門 GPO。

如需 Windows PowerShell 的詳細資訊,請參閱指令碼中心 TechCenter 上的使用 Windows PowerShell 撰寫指令碼

事件檢視器

群組原則會將事件訊息記錄在系統記錄檔中。您可以使用事件檢視器檢視這些訊息。事件來源是 Microsoft-Windows-GroupPolicy。如需使用事件日誌疑難排解群組原則的詳細資訊,請參閱使用事件日誌疑難排解群組原則

顯示: