萬能技客:達成無 GPP 的 GPP
還有其他的方法來管理微軟系統中心 2012年組態管理員中的法規遵從性設置,如果您正在從群組原則關閉。
Greg Shields
世界各地的 IT 組織系統中心 2012年版本中,為斜向,所以我做了很多系統中心訓練。 這完全合乎情理。 什麼不通的是大多數微軟系統中心組態管理員管理員告訴我他們的公司仍然不讓他們使用群組原則和群組原則首選項 (Gpp)。
其原因始終是相同的:群組原則是由伺服器團隊處理的。 在某些情況下,它可能會 Active Directory 團隊。 "他們不讓我們使用它,"他們說。 公司規模和行業都不重要。 穿過它,誰負責桌上型電腦和誰照顧的伺服器之間的草坪戰爭無意中從他們的桌面管理工具保持桌面的傢伙。
您幾乎可以瞭解原因,如果不是結果。 群組原則和 Gpp 通常被視為活動目錄的一部分。 Active Directory 是一種經典的伺服器端技術。 不幸的是這些工具可以管理的配置可能是更多比伺服器桌面很有用。
我的一個學生只被問,"我想要禁用自動更新對 Adobe Reader。 我知道哪個登錄機碼和值將其關閉,但如何將出該註冊表更改分發給我所有的電腦呢?"
我最初的反應是對 Gpp 簡明扼要。 分發簡單的註冊表更改,因為我的學生想要做的需要大約一打的點擊。 答案可能是簡單的但他擔心他永遠不會獲准做這件事。 因為改變他 Active Directory 看護人的頭腦似乎有點問題,我們轉向了他可以實現的選項。 其中之一是組態管理員 2012年 — — 特別是其新的和改進法規遵從性設置。
目標建構管理
監測符合性設置是不是新的組態管理員中。 它實際上是在以前的版本中引入作為所需建構管理 (DCM)。 在其原始形式,DCM 可監視配置基線,偏離,但它不能做補救。 組態管理員 2007 DCM 可能會告訴你哪些電腦不滿足基準,但你得弄清楚如何解決自己的問題。
組態管理員 2012年將直接修復添加到的 DCM 功能集。 這是非常需要協助的群組原則物件 (GPO)-到處都少桌面管理員。 這裡是它的工作原理。
你會發現 Adobe 閱讀器 X 的登錄機碼控制在自動更新:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Adobe ARM\1.0\ARM。 將 iCheck 的 DWORD 值設置為 3,告訴 Adobe 更新程式會自動下載並安裝更新。 將該值設置為 0 關閉 Adobe 更新程式。
查找金鑰和正確的值可能這一進程最困難的部分。 一種方法是搜索正確的價值觀。 另一種把戲涉及使用註冊資料表掃描工具以查看哪些值發生更改時您更改該設置。 武裝與正確的登錄機碼、 路徑和值,您可以在組態管理員 2012年主控台內的休息。
根據該主控台的資產和法規遵從性節點,按一下符合性設置。 你會發現要配置配置基線和配置項 (Ci) 的地方。 基線包含獨聯體,以及其他的基線。 首先創建一個基線。 在這種情況下,我已經為題礦井只是"Adobe 閱讀器 X"(請參見圖 1)。 這使我自由地進行補救其他配置以後使用此基準。
圖 1 可以配置基線,並將它們用於未來的配置。
創建該基線後, 創建一個指定的登錄機碼的詞和您要計算的值。 給一個名稱的詞與詞您想要創建的類型指定為 Windows。 然後檢查框中,確認此詞的確不會包含應用程式設定 (請參見圖 2)。 如果您願意,也可以分配一個類別。
圖 2 的配置項使用允許您指定的各種設置。
組態管理員 2012 年獨聯體可以依靠的發現在應用程式的微軟安裝程式 (MSI) 或自訂腳本來檢測其安裝狀態的詳細資訊 (請參閱圖 3)。 此驗證可確保一個基線只適用于其已安裝應用程式的電腦。 它通常是一個好主意,以確保法規遵從性度量不扭曲沒有安裝的應用程式的電腦。
圖 3 的配置項可以檢查應用程式安裝狀態。
你應該知道的 Windows 安裝程式檢測資料從用來安裝該應用程式,並不是應用程式本身的原始 MSI 收集。 某些安裝包他們 MSI 內 exe 檔,因此您需要首先"拆解"MSI。 常見的小把戲,這樣做涉及發射,但不是進行安裝。 導航到電腦的 %temp%資料夾安裝開球後。 在根目錄或子的 %temp%資料夾中,你經常會發現您需要的 MSI。
配備必要的檢測的資訊,按一下下一步。 嚮導的第三個螢幕指定的應用程式設定。 按一下新建以創建新的設置對應于應用程式。 有 10 設置類型可用:活動目錄查詢、 程式集、 檔案系統、 IIS 元資料庫、 登錄機碼、 註冊表值、 腳本、 SQL 查詢、 Windows 管理規範 (WMI) 查詢語言 (WQL) 查詢和 XPath 查詢。
解決這一問題,需要驗證一個 DWORD 註冊表值設置正確。 如果沒有,你要修復它到正確值。 執行此操作的設置類型和資料類型,選擇註冊表值和整數。 按一下瀏覽按鈕以找到正確的登錄機碼和值 (請參見圖 4)。
圖 4 你需要找到正確的登錄機碼和值。
當您完成這一步時,它將創建一個規則。 您需要配置此進一步的法規遵從性規則選項卡下。 此過程將創建一個規則,Adobe 閱讀器 x (請參見圖 5)。 檢查不符合規則時支援自動到框中的修正修復任何用戶端,從基線的偏離。
圖 5 這些步驟創建一個規則: 對於 Adobe 閱讀器十.
通過嚮導來指定該規則將計算位置的適用作業系統的其餘部分,請按一下。 然後創建詞,並將其添加到基線。 您可以用滑鼠右鍵按一下該基線,並選擇顯示的成員,要確認此詞已與基線相關聯。
基線組態管理員 2012 年如果他們進行評估,必須將它們部署到一個集合。 用滑鼠右鍵按一下該基線,然後選擇部署啟動部署配置基線嚮導 (請參見圖 6)。 您需要確定基線和一個集合,針對評估要部署。
圖 6 完成後,您可以部署您基線。
支援的框,以使組態管理員自動修復任何不符合的電腦時,請檢查修正不符合規則。 設置排程,請選擇是否生成警報,以完成部署。 預設情況下,基線評估的每七天。 您還可以修改計畫以適合您的需要。
組態管理員配置基線不提供 Gpp 相同的"首選項"的工作經驗,他們可以控制要求絕對法規遵從性的配置,一個有用的解決方案。 全功能的實例的組態管理員 2012 年的地方,他們一樣簡單設置為 Gpp。 最重要的是,他們坐著"群組原則的 Active Directory 函數",不幸的是限制其使用的很多人的範圍之外。
**Greg Shields**MVP,是集中技術合作夥伴。 獲取更多的盾牌的多面手的提示和竅門在 ConcentratedTech.com。