本文件已封存並已停止維護。

使用群組原則工具管理瀏覽器設定

如果您使用 Active Directory 網域服務 (AD DS) 來管理網路,可以使用群組原則所提供的一組完整原則設定,在將 Internet Explorer 10 部署至使用者電腦之後對其進行管理。下列工具提供不同的方式管理原則和設定。

  • 系統管理範本。您可以使用系統管理範本原則設定,為數百個 Internet Explorer 10 選項 (包括安全性選項) 管理以登錄為基礎的原則。

  • 群組原則喜好設定。您可以使用群組原則喜好設定來設定使用者日後可以變更的選項。

Important重要
建議您儘可能使用群組原則中的系統管理範本設定來管理 Internet Explorer 10,因為撰寫這些設定的目的就是為了要保護登錄中的「原則」分支。此外,建議您部署標準使用者帳戶,而不要讓使用者以系統管理員的身分登入電腦,這樣能避免使用者對系統做出不必要的變更,或是覆寫群組原則設定。

使用者無法透過 Internet Explorer 10 使用者介面或修改登錄來變更受管理的設定。大部分透過 Internet Explorer Administration Kit 10 (IEAK 10) 管理的瀏覽器設定所提供的喜好設定都可以在使用者套用後加以修改。

群組原則管理工具

有幾種工具可用於建立、管理、檢視和疑難排解 GPO。下列各節會說明其中多種工具,並提供詳細資訊的連結。其中包括:

群組原則管理主控台

GPMC 針對同一組織中跨多重樹系之群組原則的所有層面,提供統一的管理。使用 GPMC 可讓您管理所有 GPO、Windows Management Instrumentation (WMI) 篩選,以及網路上與群組原則相關的權限。GPMC 是您進入群組原則的窗口,從 GPMC 介面可使用所有群組原則管理工具。

GPMC 提供 Microsoft Management Console (MMC) 的使用者介面,以及一組用於管理群組原則的可編寫指令碼介面。32 位元和 64 位元版本的 GPMC 隨附於 Windows Server 2008 和 Windows Server 2008 R2。GPMC 提供的功能包括:

  • 匯入和匯出 GPO。

  • 複製和貼上 GPO。

  • 備份和還原 GPO。

  • 搜尋現有的 GPO。

  • 報告功能,其中包括 HTML 報告格式的原則結果組 (RSoP) 資料,方便您儲存和列印。

  • 群組原則模型,可讓您模擬 RSoP 資料以規劃群組原則部署,再將其實作在生產環境中。

  • 群組原則結果,可讓您取得 RSoP 資料以檢視 GPO 互動,以及疑難排解群組原則部署。

  • 移轉表格,可幫助跨網域和跨樹系匯入及複製 GPO。移轉表格是一個檔案,會將來源 GPO 中的使用者、群組、電腦和通用命名慣例 (UNC) 路徑參照對應至目的地 GPO 中的新值。

  • 可編寫指令碼的介面,支援 GPMC 中所有可用的作業。但是您無法使用指令碼編輯 GPO 中的個別原則設定。

如需 GPMC 的詳細資訊,請參閱 TechNet 上的群組原則管理主控台一文。

群組原則管理編輯器

當您開啟 GPO 進行編輯時,GPMC 會開啟 GPME 視窗。GPME 提供用於編輯個別 GPO 中設定的使用者介面。您可以使用 GPME 來設定的設定類型範例包括:

 

電腦原則 使用者原則
  • 軟體安裝

  • 啟動和關閉指令碼

  • 安全性設定

  • 系統管理範本

  • 喜好設定

  • 軟體安裝

  • 登入和登出指令碼

  • 安全性設定

  • 資料夾重新導向

  • 系統管理範本

  • 喜好設定

進階群組原則管理

AGPM 做為 MDOP 的一部分,是延伸群組原則之軟體保證客戶的附加授權,其中提供健全的委派模式和變更控制項,有助於組織最佳化群組原則管理、降低大規模失敗的風險,以及在發生問題時快速復原。

要了解 AGPM,有三個重要概念。

離線編輯 GPO。首先,您在生產環境外使用 AGPM 編輯 GPO。AGPM 會將 GPO 儲存在 AGPM 封存。只有在編輯、檢閱及核准 GPO 以進行部署之後,AGPM 才會將 GPO 移到生產環境。

3 個使用者角色。其次,您可以委派 3 個角色給使用者:

  • 檢閱者。檢閱者可以檢視和比較 AGPM 封存中的 GPO,但無法編輯或部署 GPO。

  • 編輯者。編輯者可以檢視和比較 AGPM 封存中的 GPO。他們也可以將 GPO 取出封存、編輯 GPO、將 GPO 存回封存,以及要求 GPO 部署。

  • 核准者。核准者可以核准在 AGPM 封存中建立 GPO,以及將 GPO 部署至生產環境 (當核准者建立或部署 GPO 時,會自動核准)。

您可以針對網域中的所有受控制 GPO,將這些角色委派給使用者和群組 (也就是網域委派)。您也可以針對個別受控制的 GPO 委派這些角色。

進階變更控制項功能。最後,AGPM 提供進階的變更控制功能,可以協助您管理 GPO 的週期。系統管理員若有一般版本控制工具 (例如 Microsoft SharePoint® Server 2010 中的版本控制功能) 使用經驗,也會很熟悉多數 AGPM 變更控制概念。

若要變更及部署 GPO:

  1. 將 GPO 從封存中取出

  2. 視需要離線編輯 GPO。

  3. 將 GPO 存回封存。

  4. 要求 GPO 部署至生產環境。

AGPM 會保存每個 GPO 的變更歷程記錄。您可以將任何版本的 GPO 部署至生產環境,所以您可以視需要,快速將 GPO 回復至舊版。AGPM 也可以比較不同版本的 GPO,顯示已新增、變更及刪除的設定。因此,您可以先輕鬆地檢閱變更,再將其核准及部署至生產環境。每個 GPO 的完整歷程記錄不僅可以讓您稽核變更,還可以讓您稽核與該 GPO 相關聯的所有活動。

如需 AGPM 的詳細資訊,請參閱進階群組原則管理 4.0 文件

Windows PowerShell

Windows PowerShell 是命令列殼層及指令碼處理語言。您可以使用 Windows PowerShell 在單一電腦本機上或從許多遠端電腦,自動化 Windows 和應用程式管理。為了協助您自動化群組原則管理,群組原則為 Windows PowerShell 提供超過 25 個以上的 "Cmdlet"。每個 Cmdlet 都是簡單、單一功能的命令列工具。您可以使用群組原則 Cmdlet,針對網域型的 GPO 執行工作,例如:

  • 建立、移除、備份和匯入 GPO。

  • 建立、更新及移除群組原則連結。

  • 設定組織單位 (OU) 和網域的繼承旗標和權限。

  • 設定以登錄為基礎的原則設定,以及群組原則喜好設定的登錄設定。

  • 建立和編輯入門 GPO。

如需 Windows PowerShell 的詳細資訊,請參閱指令碼中心 TechCenter 上的使用 Windows PowerShell 管理群組原則

事件檢視器

群組原則會將事件訊息記錄在系統記錄檔,而您可以使用事件檢視器來檢視這些訊息。事件來源是 Microsoft-Windows-GroupPolicy。

顯示: