by Eddie
12. February 2015 12:09
Windows Update 在企業環境中應該算是令人厭煩的一件工作,
更新了怕KB有問題影響工作,不更新又怕有安全性的漏洞在,
大一點的企業會使用WSUS作為Windows update的服務,
如果是小一點的單位我就建議用GPO作為Windows Update的服務。
以Server 2008R2為例開啟「本機群組原則編輯器」後。
在「本機電腦原則」→「電腦設定」→「系統管理範本」中的「Windows Update」
在「Windows Update」中有一個「設定自動更新」的選項,
點選後可以設定Windows Update的時間,
先點選「已設定」的選項後設定下方的時間欄位,
「4 – 自動下載和排程安裝」並設定好希望更新的時間。
目前這個方法唯一麻煩的地方是,如果有客戶只要一個月更新一次的話,
就只能在更新前幾天將這個更新啟動,平常設定為「3 – 自動下載和通知我下載」。
另外提供一下小技巧,有時候客戶並不希望有軟體更新,
例如IE不想要更新為IE10,但是自動安裝更新的時候並不會將這些更新排除掉,
這時候可以在Windows Update中設定排除掉這些更新。
開啟Windows Update,並找到使用者不想更新的項目,
在上面使用滑鼠右鍵選擇「隱藏更新」
這樣以後就不會看到這些更新的項目。
要解除的話也很簡單
有更新被隱藏後在Windows Update中會多出一個「還原隱藏的更新」的選項
開啟進去後,勾選要還原的更新項目點選「還原」就可以回復更新。
by Eddie
28. November 2014 12:50
在Windows Server的環境底下,常遇到客戶希望幫他們設定一些群組原則
來讓限制或管理公司的使用者去做一些事情,最常遇到的就是關於密碼原則的設定,
大多數都是希望密碼可以不要過期,字數可以短一點,也不要開啟複雜性原則等。
不過密碼原則的設定在網路上應該有許多前輩有分享過如何設定就不多敘述,
今天所要分享的是在工作上遇到的兩個覺得蠻實用的群組原則,
一個是如何鎖定Windows 內建小遊戲,
另一個是使用者閒置多久時間會會自動啟用螢幕保護程式。
第一個封鎖內建小遊戲的群組原則可能有人會說,
都甚麼時代了沒人會玩接龍跟彈珠檯了拉,
不過這個封鎖的方式也適用於鎖定內部限制的應用程式,
例如影音撥放程式或者通訊軟體之類的。
設定方式如下
1.在Windows 7可以找到小遊戲的路徑,位置為下:C磁碟→Program Files→Microsoft Games(XP路徑不同)
2.開啟管理GPO的伺服器,開啟群組原則管理,對預設網域原則進行編輯。
3.在電腦設定→原則→Windows 設定→軟體限制原則,
預設沒有啟用請利用滑鼠右鍵新增。
4.在其他原則中使用滑鼠郵件新稱一個路徑原則。
5.設定C磁碟→Program Files→Microsoft Games為不允許
之後確定後進行Gpupdate,之後電腦登入登出後進會如同下圖一樣被限制
另一個閒置一段時間後使用螢幕保護程式並鎖定電腦的GPO也是一個常用的群組原則,
畢竟人是健忘的,就算告知使用這離開座位就要鎖定電腦或登出,
但是大多數的使用者都會忘記這件事情。
設定的方式請參考下列說明:
1. 開啟群組原則管理編輯器後,
可以在使用者設定→原則→系統管理範本→控制台→個人化
中找到所要設定的群組原則,一共有五條原則要設定。
(1). 啟用螢幕保護裝置
(2). 以密碼保護螢幕保護裝置
(3). 螢幕保護裝置逾時
(4). 防止變更螢幕保護裝置
(5). 強制特定螢幕保護裝置
其中的「啟用螢幕保護裝置」、「以密碼保護螢幕保護裝置」
以及「防止變更螢幕保護裝置」只要啟用就好,但是其他兩個就要設定相關的參數
「螢幕保護裝置逾時」這個設定會詢問閒置的秒數多久後進入螢幕保護裝置,
而設定的條件是「啟用螢幕保護裝置」的GPO要啟用,不能為零秒
而「強制特定螢幕保護裝置」是指使用特定的螢幕保護裝置,
檔案可以在Windows\System底下找到*.scr的檔案,或者是自製螢幕保護裝的應用程式。
套用路徑後就可以指定特定的螢幕保護裝置。
by Joseph Wu
14. January 2011 18:52
使用GPO在部署軟體(我要部署的是forefront client security)的時候,有公司同仁的電腦是Windows 7 X64 企業版,安裝時一直跳出「windows Installer 版本太舊請安裝windows installer 3.1 or 以上的版本」的訊息,但win7 的windows installer 是5.x 的版本,而其他使同樣作業系統的同仁也沒有出現此錯誤訊息,試了好多方法就是不能安裝。(嘗試針對語言、CPU位元數安裝不同版本軟體)
後來,請教了公司主管,將要部署的軟體下載至該同仁的桌面上,安裝時使用run as administrator就成功了(…….)。
當下很無言,這算是微軟的bug 嗎? 照理說GPO部署不會需要使用run as administrator,部署軟體使用發佈的型式也不會有讓你點右鍵按 run as administrator的選項……。 但往好處想,自己又學到了一課。