15.9 Windows 群組規則 (使用者與工作站套件)

您可以指定並編輯 Windows 2000/XP 工作站 (使用者與工作站套件) 與 Windows 2000/2003 終端機伺服器 (僅使用者套件) 的群組規則。

附註:使用者套件與工作站套件中均包含 Windows 群組規則。當您設定使用者套件中的 Windows 群組規則時,此規則會套用至所有關聯的使用者,而不論他們所使用的工作站為何。當您設定工作站套件中的 Windows 群組規則時,此規則會套用至登入關聯工作站的所有使用者。

下列幾節包含了其他的資訊:

15.9.1 瞭解 Windows 群組規則

Windows 群組規則是 Windows 2000/XP 和 Active Directory 可擴充規則的延伸。在 Windows 群組規則與桌面管理可擴充規則之間存在某種規則設定重疊,例如在「使用者組態」>「管理樣板」下。如需有關可擴充規則的更多資訊,請參閱節 15.2, 電腦/使用者可擴充規則 (工作站/使用者套件)

附註:您不應使用 ConsoleOne 設定 Windows 2000 領域控制器上的群組規則。若要透過 ConsoleOne 編輯群組規則,您應使用 Windows 2000 工作站編輯 Windows 2000 群組規則,使用 Windows XP 工作站編輯 Windows XP 群組規則。

如果工作站為 Active Directory 領域的成員,但已與領域解除連接,則使用者與工作站套件中包含的 Windows 群組規則均將不適用。

由於發生了不可預期的行為,所以不支援使用 ZENworks 桌面管理將群組規則配送至群組規則已在其中透過 Active Directory 配送的工作站或使用者 (或反之)。ZENworks 桌面管理確實支援配送 Active Directory 設定。如需更多資訊,請參閱節 15.9.5, 輸入 Windows 群組規則 (使用者與工作站套件)

由於以下原因,您必須使用 UNC 路徑 (而非映射的磁碟機) 將此規則輸入桌面管理中:

  • 使用者會變更登入程序檔、更改磁碟機映射
  • 工作站物件經常會在使用者登入前登入,因此沒有可用的磁碟機映射

透過 UNC 路徑,只要伺服器可用,就可以找到規則。

自 ZENworks for Desktops 3 首次發行以來,群組規則已發生顯著變更。請查看以下各節,以取得更多資訊:

累積的群組規則

群組規則現在可以附加。這表示多個 Windows 群組規則中的設定可以累積有效性,而非只是個別有效。多個 Windows 群組規則中的設定可影響使用者和工作站。規則從本地 Windows 群組規則設定開始,並以規則搜尋順序的相反順序套用。也就是說,套用規則中的設定先是具有較低的優先順序,然後會以其他任何具有相同設定的規則改寫它的值。

「保全性」設定不能累積,而是由最後的有效規則設定。

修正版檢查

Windows 群組規則現在可追蹤有效規則的修訂。只要有效規則及其修訂版的清單保持不變,就不會處理 Windows 群組規則,但會使用快取的群組規則。

附註:每次按一下「編輯規則」按鈕時,Windows 群組規則的修訂版都會變更,從而導致重新處理規則。

群組規則快取

最後處理的 Windows 群組規則在本地快取。只在必要時才處理 Windows 群組規則,將有助於減少網路流量。如果 UserA 登入新的機器,則會處理其有效的群組規則,然後進行快取。

如果 UserA 登出,而 UserB 登入,並且 UserB 具有和 UserA 相同的有效群組規則,則會還原本地快取的群組規則,而非重新處理 Windows 群組規則。如果有效規則清單不同,或者如果任何規則的修訂版發生了變更,則會重新處理 Windows 群組規則。

桌面管理 Windows 群組規則實作已新增新功能。即使工作站已與網路解除連接,使用者套件與工作站套件中的 Windows 群組規則設定仍可以保持有效。

永久和短暫設定

管理員會決定 Windows 群組規則是永久的,還是短暫的。永久設定表示設定 Windows 群組規則後,即使當使用者只是登入工作站,而非登入網路時,也會保持設定。

短暫設定表示在以下情況下,將還原原始的本地 Windows 群組規則設定:

  • 使用者登出 (移除使用者群組規則設定)
  • 系統關閉 (移除工作站群組規則設定)

使用終端機伺服器上的群組規則

您可以在使用者套件中設定 Windows 2000 與 Windows 2003 終端機伺服器的 Windows 群組規則。如果您要設定同時適用於兩個平台的規則,以便更容易地管理終端機伺服器,您還可以使用 Window 2000-2003 終端機伺服器平台頁。

當設定終端機伺服器的 Windows 群組規則時,請考慮以下事項︰

  • 套用的設定類型︰ 僅「套用的設定類型」之下的「使用者組態」設定適用於終端機伺服器。對於終端機伺服器,「電腦組態」和「安全性設定」選項不適用。

  • 登出程序檔︰ 終端機伺服器環境不支援登出程序檔。

15.9.2 在使用者套件中設定 Windows 群組規則

  1. 在 ConsoleOne 中,於「使用者套件」上按一下滑鼠右鍵,按一下「內容」,然後按一下適當的平台頁

    選擇適當的平台頁時,請考慮以下事項:

    • Windows NT: 如需有關桌面管理對 Windows NT 平台支援的更多資訊,請參閱《Novell ZENworks 7 桌面管理安裝指南》中的「與 Windows NT 4 工作站的互通性」。

    • Windows NT-2000-XP 平台頁︰ 由於 Windows 2000 和 Windows XP 在如何儲存安全性設定方面存在差異,因此您無法使用 Windows NT-2000-XP 平台頁編輯 Windows 群組規則。對於 Windows 2000,安全性設定儲存在 gpttml.inf 檔案中;對於 Windows XP,安全性設定儲存在 xpsec.dat 檔案中。兩個檔案均位於 \group policies\machine\microsoft\windows nt\secedit 目錄中。

      在 ZENworks 7 中,Windows NT-2000-XP 平台頁上的「編輯」選項已停用;您必須使用特定平台頁之一編輯群組規則。

  2. 選取 Windows 群組規則之「已啟用」欄下的核取方塊。

    這樣會同時選擇及開啟規則。

  3. 按一下「內容」以顯示「Windows 群組規則」頁。

    「Windows 群組規則」頁。

  4. 為新的或現有群組規則指定網路位置。

    確定使用者擁有足夠的權限以存取此網路位置。

    如果您要在「現有/新群組規則的網路位置」欄位中使用環境變數,則必須先在執行 ConsoleOne 的管理工作站以及接收群組規則的所有工作站上設定該環境變數。您還必須結束並重新啟動 ConsoleOne,才可識別此變數。

  5. (依條件而定) 如果您要從 Active Directory 輸入群組規則,請按一下「輸入規則」。

    如需更多資訊,請參閱節 15.9.5, 輸入 Windows 群組規則 (使用者與工作站套件)

  6. (依條件而定) 如果您要編輯現有的群組規則,請按一下「編輯規則」。

    如需更多資訊,請參閱節 15.9.4, 編輯現有 Windows 群組規則 (使用者與工作站套件)

  7. (可選) 選取「使用者登出時群組規則仍有效」核取方塊,以指示在使用者登出後,本地 Windows 桌面上的推入群組規則仍將有效。

    重要:我們不建議在將使用者群組規則推至公用工作站上不同使用者的環境中,同時使用「使用者登出時群組規則仍有效」設定與「快取使用者組態」設定。

  8. (可選) 選取「快取使用者組態」核取方塊。

    快取使用者組態設定與啟用「使用者登出時群組規則仍有效」核取方塊不同。

    設定「使用者登出時群組規則仍有效」選項可讓管理員保留上次登入之使用者的群組規則設定。此方法的限制是,任何在本地登入的使用者 (僅工作站) 均會接收到上次在該工作站上登入網路之使用者的群組規則設定。如果管理員是上次在特定工作站上登入網路的使用者,則任何隨後的本地登入均會導致使用者接收管理員的規則設定。

    若要避免此情況,您可以啟用「快取使用者組態」核取方塊,以允許快取每位使用者的設定。

    在允許快取使用者套件之 Windows 群組規則中的設定之前,請考慮以下事項:

    • 快取使用者設定功能適用於終端上的 NetWare 或 Windows。如果您在終端上使用的是 Windows 伺服器,請考慮以下事項︰
      • 使用者必須使用本地使用者帳戶而非快取的領域帳戶登入。只要使用者登入該領域,Windows 群組規則設定就會套用至領域帳戶。如果使用者未登入該領域,但使用的是快取的領域帳戶,則不會套用桌面管理 Windows 群組規則設定。
      • 如果您在 Active Directory 伺服器上儲存群組規則檔案,則 Active Directory 使用者名稱與密碼必須符合 eDirectory 認證。
    • 使用者必須具有唯一的本地使用者帳戶。Windows 群組規則設定在本地使用者的設定檔中進行快取,因此具有不同的有效 Windows 群組規則的使用者必須具有不同的本地使用者帳戶。
    • 每位使用者都必須在要快取設定的機器上具有設定檔。您可以使用本地使用者帳戶或動態本地使用者 (DLU) 帳戶來提供此設定檔;但是,無法移除帳戶。如果 DLU 規則移除本地使用者帳戶 (使用短暫使用者帳戶或使用已過期的快取短暫使用者帳戶),則使用者將無法從本地登入。
    • 只會快取 \user\registry.pol 檔案中包含的設定。除了登入/登出程序檔外 (因為它們儲存在 \user 下的 Scripts 資料夾中,因此不會快取),這大致等同於群組規則編輯器中的「使用者設定」。

    選取「快取使用者組態」核取方塊,可將每位使用者之有效 Windows 群組規則的使用者組態設定儲存在每位使用者的本地設定檔中。當每位使用者在本地登入時,會從該使用者設定檔中 registry.pol 的快取副本中讀取使用者設定,並將其套用。僅快取儲存在 \user 資料夾之 registry.pol 檔案中的設定。不會快取其他設定,包括登入/登出程序檔、電腦設定以及安全性設定。

    重要:我們不建議在將使用者群組規則推至公用工作站上不同使用者的環境中,同時使用「使用者登出時群組規則仍有效」設定與「快取使用者組態」設定。

  9. 在「套用的設定類型」群組方塊中,啟用所需選項。

    透過這些選項,可使用使用者或工作站規則推入 Windows 使用者、電腦和安全性設定。這與舊版本不同,在舊版本中,透過使用者套件推入使用者設定,透過工作站套件推入電腦和安全性設定。

    使用者組態: 選取以在「使用者組態」下的設定中推入 Windows 群組規則。

    電腦組態: 選取以在「電腦組態」下的設定 (除「安全性設定」之外) 中推入 Windows 群組規則。

    安全性設定: 選取以在 Windows 安全性設定中推入 Windows 群組規則。選取此選項會套用「電腦組態」>「Windows 設定」>「安全性設定」下的所有安全性設定,包括「帳戶規則」、「本地規則」、「公用金鑰規則」以及「本地機器上的 IP 安全性規則」。您無法選擇推入個別規則以及不可附加的規則。

    僅「套用的設定類型」之下的「使用者組態」設定適用於終端機伺服器。對於終端機伺服器,「電腦組態」和「安全性設定」選項不適用。

  10. 按一下「規則排程」索引標籤 > 選取排程類型:

    • 套件排程
    • 事件
    • 每日
    • 每週
    • 每月
    • 每年

    您可以按一下「進階設定」來設定其他設定,(例如「完成」、「錯誤」、「登入型別」、「優先程度」和「時間限制」)。如需有關其中每個設定的詳細資訊,請按一下每頁上的「說明」按鈕。

  11. 按一下「確定」以儲存規則。

  12. 當您設定完此套件中所有規則後,請繼續執行節 15.13, 關聯使用者或工作站套件之下的步驟以關聯規則套件。

15.9.3 在工作站套件中設定 Windows 群組規則

  1. 在 ConsoleOne 中,於「工作站套件」上按一下滑鼠右鍵,按一下「內容」,然後按一下適當的平台頁

    選擇適當的平台頁時,請考慮以下事項:

    • Windows NT: 如需有關桌面管理對 Windows NT 平台支援的更多資訊,請參閱《Novell ZENworks 7 桌面管理安裝指南》中的「與 Windows NT 4 工作站的互通性」。

    • Windows NT-2000-XP 平台頁︰ 由於 Windows 2000 和 Windows XP 在如何儲存安全性設定方面存在差異,因此您無法使用 Windows NT-2000-XP 平台頁編輯 Windows 群組規則。對於 Windows 2000,安全性設定儲存在 gpttml.inf 檔案中;對於 Windows XP,安全性設定儲存在 xpsec.dat 檔案中。兩個檔案均位於 \group policies\machine\microsoft\windows nt\secedit 目錄中。

      在 ZENworks 7 中,Windows NT-2000-XP 平台頁上的「編輯」選項已停用;您必須使用特定平台頁之一編輯群組規則。

  2. 選取 Windows 群組規則之「已啟用」欄下的核取方塊。

    這樣會同時選擇及開啟規則。

  3. 按一下「內容」以顯示「Windows 群組規則」頁。

    「Windows 群組規則」頁。

  4. 為新的或現有群組規則指定網路位置。

    確定使用者擁有足夠的權限以存取此網路位置。

    如果您要在「現有/新群組規則的網路位置」欄位中使用環境變數,則必須先在執行 ConsoleOne 的管理工作站以及接收群組規則的所有工作站上設定該環境變數。您還必須結束並重新啟動 ConsoleOne,才可識別此變數。

  5. (依條件而定) 如果您要從 Active Directory 輸入群組規則,請按一下「輸入規則」。

    如需更多資訊,請參閱節 15.9.5, 輸入 Windows 群組規則 (使用者與工作站套件)

  6. (依條件而定) 如果您要編輯現有的群組規則,請按一下「編輯規則」。

    如需更多資訊,請參閱節 15.9.4, 編輯現有 Windows 群組規則 (使用者與工作站套件)

  7. (可選) 選取「保留工作站設定」核取方塊。

    選取此選項可指定不論網路連接狀況如何,工作站套件 Windows 群組規則中之桌面管理支援的所有工作站設定 (使用者、機器和安全性設定) 均可保持有效 (被快取)。

    在允許快取工作站套件之 Windows 群組規則中的設定之前,請考量以下事項:

    • 持續的工作站設定功能適用終端上的 NetWare 或 Windows。如果您在終端上使用的是 Windows 伺服器,並且您將 Windows 群組規則檔案儲存在 Windows 伺服器上,則工作站必須為該領域的成員。
    • 為了使用持續的工作站設定,您不能在要快取其設定之與工作站關聯的 Windows 群組規則中啟用「群組規則迴路支援」選項 (包括「取代模式」或「合併模式」選項)。在不啟用迴路支援的情況下,如果存在衝突設定,使用者規則中的組態將永遠優先於工作站套件之 Windows 群組規則中的組態。

    即使該工作站無法作為工作站物件登入網路 (例如,工作站與網路解除連接時),選取「保留工作站設定」核取方塊也會套用已儲存在 windows_directory\system32\group policy.wkscache 中的工作站有效 Windows 群組規則設定。

  8. 在「套用的設定類型」群組方塊中,啟用所需選項。

    透過這些選項,可使用使用者或工作站規則推入 Windows 使用者、電腦和安全性設定。這與舊版本不同,在舊版本中,透過使用者套件推入使用者設定,透過工作站套件推入電腦和安全性設定。

    使用者組態: 選取此選項以在「使用者組態」下的設定中推入 Windows 群組規則。

    電腦組態: 選取此選項以在「電腦組態」下的設定 (除「安全性設定」之外) 中推入 Windows 群組規則。

    安全性設定: 選取此選項以在 Windows 安全性設定中推入 Windows 群組規則。選取此選項會套用「電腦組態」>「Windows 設定」>「安全性設定」下的所有安全性設定,包括「帳戶規則」、「本地規則」、「公用金鑰規則」以及「本地機器上的 IP 安全性規則」。您無法選擇推入個別規則以及不可附加的規則。

  9. (可選) 選取「群組規則迴路支援」核取方塊,然後選取模式。

    啟用此選項將指定工作站套件規則優先於使用者套件規則。迴路支援具有兩種模式,取代與合併︰

    不套用使用者規則設定 (取代模式)︰ 選取此選項可忽略所有使用者規則設定,而將套用工作站規則設定。

    最後套用工作站規則設定 (合併模式)︰ 選取此選項可首先套用使用者規則設定,然後再套用工作站規則設定。這可讓您套用使用者設定,但使用工作站設定置換衝突設定。如果使用者設定不衝突,其仍有效。

  10. 按一下「規則排程」索引標籤 > 選取排程類型:

    • 套件排程
    • 事件
    • 每日
    • 每週
    • 每月
    • 每年

    由於 Windows 桌面檔案在載入群組規則設定之前完成載入,因此,如果將工作站套件中的某些群組規則排程為在使用者登入時執行,則它們可能會出現異常現象。尤其是,對桌面設定所做的所有變更 (例如,隱藏「我的網路位置」、隱藏桌面上的所有圖示等) 均未生效,而且,如果您已使用登入程序檔將程式編程為在使用者登入時執行,這些程式也不會執行。如果使用者登出再登回,設定將可以正確顯示。

    為避免此現象的發生,請勿將工作站套件中的群組規則設定為在使用者登入時執行。而應將它們設定為每天或按其他常規排程在系統啟動時執行。

    如果您將群組規則設定為執行啟動程序檔,並將它們排程為在系統啟動時執行,則您應選取步驟 7 中的「保留工作站設定」選項。由於 Windows 2000/XP 在工作站管理員驗證並套用規則之前尋找並執行啟動程序檔,因此,如果將設定為執行啟動程序檔的群組規則排程為在系統啟動時執行,它們可能無法執行。如果您選取「保留工作站設定」選項,則會快取工作站套件群組規則設定 (和啟動程序檔),並且可在下次系統啟動時正確套用這些設定。

    您可以按一下「進階設定」來設定其他設定,(例如「完成」、「錯誤」、「登入型別」、「優先程度」和「時間限制」)。如需有關其中每個設定的詳細資訊,請按一下每頁上的「說明」按鈕。

  11. 按一下「確定」以儲存規則。

  12. 當您設定完此套件中所有規則後,請繼續執行節 15.13, 關聯使用者或工作站套件之下的步驟以關聯規則套件。

15.9.4 編輯現有 Windows 群組規則 (使用者與工作站套件)

  1. 在 ConsoleOne 中,於「使用者套件」或「工作站套件」上按一下滑鼠右鍵,按一下「內容」,然後按一下適當的平台頁

  2. 選取 Windows 群組規則之「已啟用」欄下的核取方塊。

    這樣會同時選擇及開啟規則。

  3. 按一下「內容」以顯示「Windows 群組規則」頁。

  4. 為新的或現有群組規則指定網路位置。

  5. 按一下「編輯規則」。

    當您按一下「編輯規則」按鈕時,將啟動 Microsoft Management Console 編輯器,您可以在其中編輯使用者套件規則或工作站套件規則。如需更多資訊,請按一下對話方塊中的「說明」。完成編輯規則後,按一下「關閉」按鈕。

    編輯群組規則時,請注意以下事項︰

    • 目錄路徑: 為避免損毀資料,請確定您已選取正確的目錄路徑。在將 Active Directory 群組規則複製到所選目錄之前,會刪除此目錄中的所有檔案以及 \adm\user\machine 子目錄。

    • Windows XP 中無法編輯的安全性設定︰ 由於 Windows XP 中的變更,您目前無法使用桌面管理編輯以下 Windows XP 安全性設定:

      • 在「電腦組態」>「Windows 設定」>「安全性設定」>「帳戶規則」>「密碼規則」下︰

         「密碼必須滿足複雜性要求」   「使用可逆加密儲存密碼

      • 在「安全性設定」>「本地規則」>「安全性選項」下︰

         「網路存取︰允許匿名 SID/名稱轉換」   「帳戶︰管理員帳戶狀態」   「帳戶︰訪客帳戶狀態

    • ZENworks 7 中的作業系統版本與 Service Pack 層級檢查︰ ZENworks 7 中已新增新功能,可以在可編輯群組規則的所有平台 (Windows 2000、Windows XP 與 Windows Server 2003) 上編輯群組規則時,檢查作業系統版本與 Service Pack 層級。例如,如果群組規則建立於 Windows XP SP1 或舊版的工作站上,而您嘗試在 Windows XP SP2 工作站上編輯該規則,則 ZENworks 會顯示警告對話方塊。如果您使用的是安裝有 Windows XP 或 Windows XP SP1 的工作站,則 ZENworks 還會禁止您編輯建立於 Windows XP SP2 工作站上的群組規則。

    • 使用 ZENworks 7 停用群組規則設定︰ 在 ZENworks 7 中已包含新功能,可讓您停用某些群組規則設定,而不會阻止將來編輯規則。

      在舊版的 ZENworks 中,停用某些設定會停用群組規則編輯器,從而阻止您在將來編輯該規則。這些設定包含以下各項 (取決於作業系統與 Service Pack 層級,可能未包含所有設定)︰

      • 在「使用者組態」>「管理樣板」>「Windows 元件」>「Microsoft Management Console」下︰

          「限制使用者進入原著者模式」   「限制使用者使用明確允許的嵌入程式清單

      • 在「使用者組態」>「管理樣板」>「Windows 元件」>「Microsoft Management Console」>「限制/允許的嵌入程式」>「群組規則」下︰

          「群組規則管理」   「群組規則物件編輯器

      • 在「使用者組態」>「管理樣板」>「Windows 元件」>「Microsoft Management Console」>「限制/允許的嵌入程式」>「群組規則」>「群組規則嵌入程式延伸」下︰

          「管理樣板 (電腦)」   「管理樣板 (使用者)」   「資料夾重新導向」   「Internet Explorer 維護」   「遠端安裝服務」   「程序檔 (登入/登出)」   「程序檔 (啟動/關閉)」   「安全性設定」   「軟體安裝 (電腦)」   「軟體安裝 (使用者)」    「無線網路 (IEEE 802.11) 規則

      如果您停用任何設定,然後嘗試編輯規則,則會顯示錯誤訊息表明嵌入程式已由規則限制。此外,群組規則編輯器不會開啟。

      為避免 ZENworks 7 中發生此類問題,已將這些設定從群組規則中移除,並儲存在本地暫存位置。當關閉編輯器時,暫存檔案中的設定將與新設定之群組規則中的設定合併。如果您在使用編輯器時對這些設定進行了變更,並且其與儲存在暫存檔案中的設定相衝突,則新設定將優先於已移至暫存檔案中的原始設定。

  6. 按一下「確定」以儲存規則。

15.9.5 輸入 Windows 群組規則 (使用者與工作站套件)

  1. 在 ConsoleOne 中,於「使用者套件」或「工作站套件」上按一下滑鼠右鍵,按一下「內容」,然後按一下適當的平台頁

  2. 選取 Windows 群組規則之「已啟用」欄下的核取方塊。

    這樣會同時選擇及開啟規則。

  3. 按一下「內容」以顯示「Windows 群組規則」頁。

  4. 為新的或現有群組規則指定網路位置。

  5. 如果您要從 Active Directory 輸入群組規則,請按一下「輸入規則」,然後填寫欄位。

    1. 選取輸入選項︰

      輸入完整的 Active Directory 資料夾︰ 可讓您輸入 Active Directory 資料夾中的所有群組規則。如果選取此選項,請使用「來源位置」欄位指定包含群組規則之資料夾的 UNC 路徑,這些群組規則由 Active Directory 建立,並且您要將其移轉至「移轉群組規則的目的位置」欄位中所列的目錄中。您必須知道或瀏覽目錄的唯一名稱,以便從該目錄中輸入 Active Directory 群組規則。您可以透過檢查 Active Directory 群組規則的內容來尋找唯一名稱。

      輸入安全性設定︰ 可讓您從檔案中輸入安全性設定。如果選取此選項,請使用「來源位置」欄位指定包含安全性設定之檔案的 UNC 路徑,這些設定由 Active Directory 建立,並且您要將其移轉至「移轉群組規則的目的位置」欄位中所列的目錄中。您必須知道或瀏覽檔案的唯一名稱,以便將其輸入至群組規則中。

      輸入的安全性設定可讓管理員在不影響所有其他安全性設定的情況下,僅設定特定的安全性設定。安全性設定可以從Active Directory 群組規則中輸入,也可以透過 Microsoft Management Console (MMC) 中的安全性樣板嵌入程式建立。如需更多資訊,請參閱使用 Microsoft Management Console (MMC) 中的安全性樣板嵌入程式建立安全性設定

      輸入包含安全性設定的 Active Directory 群組規則或輸入安全性設定檔案時,輸入的設定會儲存在名為 zensec.inf 的新檔案中。

      將使用 zensec.inf 中的安全性設定,而不會使用在 MMC 中編輯群組規則時所顯示的常規安全性設定。MMC 中顯示的安全性設定不準確,並且不套用所做的任何變更。如果在編輯群組規則時偵測到輸入的安全性設定,則會顯示訊息方塊,通知使用者將使用 zensec.inf 中的安全性設定而非常規安全性設定,並為使用者提供顯示 zensec.inf 檔案中之設定的選項。

      重要:對於群組規則,應使用 UNC 路徑而非映射的磁碟機。

    2. 按一下「輸入」。

      這會將 Active Directory 群組規則或檔案複製到「移轉群組規則的目的位置」欄位中指定的目錄中。如果指定的目錄不存在,系統將建立該目錄。

      警告:為避免毀損資料,請確定您已在「移轉群組規則的目的位置」欄位中選取正確的目錄路徑。在將 Active Directory 群組規則複製到所選目錄之前,會刪除此目錄中的所有檔案以及 \adm\user\machine 子目錄。

  6. 按一下「確定」以儲存規則。

使用 Microsoft Management Console (MMC) 中的安全性樣板嵌入程式建立安全性設定

我們建議您在 MMC 中建立新的安全性設定,而非編輯現有的設定。如果您編輯現有的安全性設定,它們可能會包含您不需要的預設設定,而且可能需要很長時間進行處理。您可以透過產生新設定來避免此問題。

附註:您必須以管理員身份或管理員群組成員的身份登入,以建立安全性樣板。網路規則設定可能也會阻止您建立安全性樣板。

使用安全性樣板嵌入程式建立新安全性設定的步驟︰

  1. 按一下「啟動」按鈕,然後按一下「執行」。

  2. 鍵入 mmc,然後按一下「確定」。

  3. 按一下「檔案」>「新增/移除嵌入程式」,以顯示「新增/移除嵌入程式」對話方塊。

  4. 在「獨立」頁中,按一下「新增」。

  5. 在「新增獨立嵌入程式」對話方塊中,依次按一下「安全性樣板」和「新增」,然後按一下「關閉」以關閉「新增獨立嵌入程式」對話方塊。

  6. 在「新增/移除嵌入程式」對話方塊中,按一下「確定」。

  7. (可選) 在主控台樹狀結構中,於「安全性樣板」上按一下滑鼠右鍵,按一下「新樣板搜尋路徑」,然後選取新位置。

    主控台樹狀結構中將顯示具有新位置路徑的資料夾。

  8. 在您要儲存新樣板的資料夾上按一下滑鼠右鍵,然後按一下「新樣板」。

  9. 鍵入樣板名稱和描述,然後按一下「確定」。

  10. 在主控台樹狀結構中,連按兩下新的安全性樣板以顯示安全性區域,並進行導覽直至右窗格中顯示您要設定的安全性設定。

  11. 連按兩下您要設定的安全性設定,選取「樣板」核取方塊中的「定義此規則」設定,編輯該設定,然後按一下「確定」。

  1. 按一下「啟動」按鈕,然後按一下「執行」。

  2. 鍵入 mmc,然後按一下「確定」。

  3. 按一下「檔案」>「新增/移除嵌入程式」,以顯示「新增/移除嵌入程式」對話方塊。

  4. 在「獨立」頁上,按一下「新增」。

  5. 在「新增獨立嵌入程式」對話方塊中,依次按一下「安全性樣板」和「新增」,然後按一下「關閉」以關閉「新增獨立嵌入程式」對話方塊。

  6. 在「新增/移除嵌入程式」對話方塊中,按一下「確定」。

  7. (可選) 在主控台樹狀結構中,於「安全性樣板」上按一下滑鼠右鍵,按一下「新樣板搜尋路徑」,然後選取新位置。

    主控台樹狀結構中將顯示具有新位置路徑的資料夾。

  8. 在您要儲存新樣板的資料夾上按一下滑鼠右鍵,然後按一下「新樣板」。

  9. 鍵入樣板名稱和描述,然後按一下「確定」。

  10. 在主控台樹狀結構中,連按兩下新的安全性樣板以顯示安全性區域,並進行導覽直至右窗格中顯示您要設定的安全性設定。

  11. 連按兩下您要設定的安全性設定,選取「樣板」核取方塊中的「定義此規則」設定,編輯該設定,然後按一下「確定」。