為使用 Configuration Manager 用戶端管理的 Windows 桌上型電腦和伺服器電腦建立自訂設定專案
適用於:Configuration Manager (目前的分支)
使用Configuration Manager自訂 Windows 桌面和伺服器設定專案,來管理Configuration Manager用戶端所管理之 Windows 電腦和伺服器的設定。
啟動精靈
在Configuration Manager主控台中,移至 [資產與相容性] 工作區,展開 [相容性設定],然後選取 [設定專案] 節點。
在功能區的 [ 首頁 ] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立設定專案]。
在 [建立設定專案精靈] 的 [一般] 頁面上,指定組態專案的名稱和選擇性描述。
在 [指定您要建立的組態專案類型] 下,選取 [ Windows 桌面和伺服器 (自訂) 。
- 如果您想要提供可檢查應用程式是否存在的偵測方法設定,請選取 [此組態檔包含應用程式設定]。
若要協助您在Configuration Manager主控台中搜尋和篩選設定專案,請選取[類別] 以建立並指派類別。
偵測方法
使用此程式來提供設定專案的偵測方法資訊。
注意事項
只有當您在精靈的 [一般] 頁面上選取 [此組態專案包含應用程式設定] 時,才適用此資訊。
Configuration Manager中的偵測方法包含用來偵測應用程式是否安裝在電腦上的規則。 此偵測會在用戶端評估其組態專案的合規性之前發生。 若要偵測應用程式是否已安裝,您可以偵測應用程式的 Windows Installer 檔案是否存在、使用自訂腳本,或選取 [ 永遠假設應用程式已安裝 ] 來評估設定專案是否符合規範,而不論是否已安裝應用程式。
使用 Windows Installer 檔案偵測應用程式安裝
在 [建立設定專案精靈] 的 [偵測方法] 頁面上,選取 [使用 Windows Installer 偵測] 選項。
選取 [開啟],流覽至您要偵測的 Windows Installer (.msi) 檔案,然後選取 [ 開啟]。
[ 版本] 欄位會自動填入 Windows Installer 檔案的版本號碼。 如果顯示的值不正確,請在這裡輸入新的版本號碼。
如果您想要偵測電腦上的每個使用者設定檔,請選取 [ 此應用程式已針對一或多個使用者安裝]。
偵測特定應用程式和部署類型
在 [建立設定專案精靈] 的 [偵測方法] 頁面上,選取 [偵測特定應用程式和部署類型]。 選擇 [選取]。
在 [ 指定應用程式 ] 對話方塊中,選取您要偵測的應用程式和相關聯的部署類型。
使用自訂腳本偵測應用程式安裝
當Windows PowerShell腳本以偵測方法執行時,Configuration Manager用戶端會使用 -NoProfile 參數呼叫 PowerShell。 此選項會在沒有設定檔的情況下啟動 PowerShell。 PowerShell 設定檔是在 PowerShell 啟動時執行的腳本。
在 [建立設定專案精靈] 的 [偵測方法] 頁面上,選取 [使用自訂腳本來偵測此應用程式] 選項。
在清單中,選取腳本的語言。 選擇下列格式:
VBScript
Jscript
PowerShell
選取 [開啟],流覽至您要使用的腳本,然後選取 [ 開啟]。
重要事項
使用已簽署的 PowerShell 腳本時,請務必選取 [ 開啟]。 您無法使用已簽署腳本的複製和貼上。
指定支援的平臺
在 [建立設定專案精靈] 的 [支援的平臺] 頁面上,選取您要評估組態專案合規性的 Windows 版本,或選擇 [全選]。
您也可以 手動指定 Windows 版本。 選取 [新增 ],並指定 Windows 組建編號的每個部分。
注意事項
指定Windows Server 2016時,的選取 All Windows Server 2016 and higher 64-bit) 專案也包含 Windows Server 2019。 若只要指定Windows Server 2016,請使用 [手動指定 Windows 版本] 選項。
進行設定
使用此程式來設定組態專案中的設定。
設定代表用來評估用戶端裝置合規性的商務或技術條件。 您可以設定新的設定,或流覽至參照電腦上的現有設定。
在 [ 建立 設定 專案精靈] 的 [設定] 頁面上,選取 [ 新增]。
在 [建立設定] 對話方塊的 [一般] 索引標籤上,提供下列資訊:
名稱:輸入設定的唯一名稱。 您最多可以使用 256 個字元。
描述:輸入設定的描述。 您最多可以使用 256 個字元。
設定類型:在清單中,選擇並設定要用於此設定的下列其中一個設定類型:
資料類型:選擇條件在用來評估設定之前傳回資料的格式。 並非所有設定類型都會顯示 [資料類型 ] 清單。
提示
浮點資料類型只支援小數點之後的三位數。
在 [設定 類型 ] 清單下設定此設定的其他詳細資料。 您可以設定的專案會根據您選取的設定類型而有所不同。
選取 [確定 ] 以儲存設定並關閉 [ 建立設定 ] 對話方塊。
Active Directory 查詢
LDAP 前置詞:指定Active Directory 網域服務查詢的有效前置詞,以評估用戶端電腦上的合規性。 若要執行通用類別目錄搜尋,請使用
LDAP://或GC://。辨別名稱 (DN) :指定用戶端電腦上評估相容性之Active Directory 網域服務物件的辨別名稱。
搜尋篩選:指定選擇性的 LDAP 篩選準則,以精簡Active Directory 網域服務查詢的結果,以評估用戶端電腦上的合規性。 若要傳回查詢中的所有結果,請輸入
(objectclass=*)。搜尋範圍:在 Active Directory 網域服務 中指定搜尋範圍
基底:僅查詢指定的物件
一個層級:此版本的Configuration Manager不使用此選項
子樹:在目錄中查詢指定的物件及其完整子樹
屬性:指定用來評估用戶端電腦上合規性之Active Directory 網域服務物件的 屬性。
例如,如果您想要查詢儲存使用者不正確輸入密碼次數的 Active Directory 屬性,請在此欄位中輸入
badPwdCount。查詢:顯示從 LDAP 前置詞、辨別 名稱 (DN) 中所建構的查詢、如果指定) ,則顯示 搜尋篩選 (,以及 Property。
組件
元件是可在應用程式之間共用的一段程式碼。 元件可以有副檔名.dll或.exe。 全域組件快取是用戶端電腦上的資料夾 %SystemRoot%\Assembly 。 此快取是 Windows 儲存所有共用元件的位置。
- 元件名稱: 指定您要搜尋之元件物件的名稱。 名稱不能與相同類型的其他元件物件相同。 請先在全域組件快取中註冊它。 元件名稱的長度上限為 256 個字元。
檔案系統
類型:在清單中,選取您要搜尋 檔案 或 資料夾。
路徑:指定用戶端電腦上指定之檔案或資料夾的路徑。 您可以在路徑中指定系統內容變數和環境
%USERPROFILE%變數。檔案系統設定類型不支援在 [路徑] 方塊中指定網路共用的 UNC路徑。
如果您在 [
%USERPROFILE%路徑] 或 [檔案或資料夾名稱]方塊中使用環境變數,Configuration Manager用戶端會搜尋用戶端電腦上的所有使用者設定檔。 此行為可能會導致它尋找檔案或資料夾的多個實例。如果合規性設定無法存取指定的路徑,則會產生探索錯誤。 此外,如果您要搜尋的檔案目前正在使用中,則會產生探索錯誤。
提示
選取 [流覽 ] 以從參照電腦上的值設定設定。
檔案或資料夾名稱:指定要搜尋之檔案或資料夾物件的名稱。 您可以在檔案或資料夾名稱中指定系統內容變數和環境
%USERPROFILE%變數。 您也可以在檔案名中使用萬用字元*和?。- 如果您指定檔案或資料夾名稱並使用萬用字元,此組合可能會產生大量結果。 這也可能導致用戶端電腦上的高資源使用量,以及向Configuration Manager報告結果時的高網路流量。
包含子資料夾:同時搜尋指定路徑下的任何子資料夾。
此檔案或資料夾與 64 位應用程式相關聯:如果啟用,則僅搜尋 64 位檔案位置,例如
%ProgramFiles%在 64 位電腦上。 如果未啟用此選項,請同時搜尋 64 位位置和 32 位位置,例如%ProgramFiles(x86)%。- 如果相同 64 位電腦上的 64 位和 32 位系統檔案位置同時存在相同的檔案或資料夾,全域條件就會探索到多個檔案。
IIS Metabase
Metabase 路徑:指定 Internet Information Services (IIS) metabase 的有效路徑。 例如,
/LM/W3SVC/。屬性標識符:指定 IIS Metabase 設定的數值屬性。
登錄機碼
Hive:選取您要搜尋的登錄區
- 選取 [流覽 ] 以從參照電腦上的值設定設定。 若要流覽至遠端電腦上的登錄機碼,請在遠端電腦上啟用 遠端登入 服務。
機碼:指定您要搜尋的登錄機碼名稱。 請使用格式
key\subkey。此登錄機碼與 64 位應用程式相關聯:除了在執行 64 位版本 Windows 的用戶端上搜尋 32 位登錄機碼之外,還會搜尋 64 位登錄機碼。
- 如果相同 64 位電腦上的 64 位和 32 位登錄位置同時存在相同的登錄機碼,全域條件會探索這兩個登錄機碼。
登錄值
Hive:選取要搜尋的登錄區。
- 選取 [流覽 ] 以從參照電腦上的值設定設定。 若要流覽至遠端電腦上的登錄值,請在遠端電腦上啟用 遠端登入 服務。 您也需要系統管理員許可權才能存取遠端電腦。
機碼:指定要搜尋的登錄機碼名稱。 請使用格式
key\subkey。值:指定必須包含在指定登錄機碼內的值。
此登錄機碼與 64 位應用程式相關聯:除了在執行 64 位版本 Windows 的用戶端上搜尋 32 位登錄機碼之外,還會搜尋 64 位登錄機碼。
- 如果相同 64 位電腦上的 64 位和 32 位登錄位置同時存在相同的登錄機碼,全域條件會探索這兩個登錄機碼。
指令碼
腳本傳回的值是用來評估全域條件的合規性。 例如,使用 VBScript 時,您可以使用 命令 WScript.Echo Result 將 Result 變數值傳回至全域條件。 當您使用 Windows PowerShell 作為探索或補救腳本時,Configuration Manager用戶端會使用 參數呼叫 PowerShell -NoProfile 。 此選項會在沒有設定檔的情況下啟動 PowerShell。 PowerShell 設定檔是在 PowerShell 啟動時執行的腳本。
探索腳本:選取 [新增腳本],然後輸入或流覽至腳本。 此腳本是用來尋找值。 您可以使用 Windows PowerShell、VBScript 或 Microsoft JScript 腳本。
修復腳本 (選擇性) :選取 [ 新增腳本],然後輸入或流覽至腳本。 此腳本可用來補救不符合規範的設定值。 您可以使用 Windows PowerShell、VBScript 或 Microsoft JScript 腳本。
重要事項
- 若要正確回報補救失敗,腳本必須擲回例外狀況,而不是非零結束代碼。
使用登入的使用者認證來執行腳本:如果您啟用此選項,腳本會在使用已登入使用者認證的用戶端電腦上執行。
重要事項
- 使用已簽署的 PowerShell 腳本時,請務必選取 [ 開啟]。 您無法使用已簽署腳本的複製和貼上。
- 從 2207 開始,您可以在設定相容性設定的用戶端設定時,定義腳本執行逾時 (秒) 。
SQL 查詢
SQL Server實例:選擇要在預設實例、所有實例或指定的資料庫實例名稱上執行 SQL 查詢。 實例名稱必須參考SQL Server的本機實例。 若要參考SQL Server Always On容錯移轉叢集實例或可用性群組,請使用腳本設定。
資料庫:指定您要執行 SQL 查詢的Microsoft SQL Server資料庫名稱。
資料行:指定用來評估全域條件合規性之 Transact-SQL 語句所傳回的資料行名稱。
Transact-SQL 語句:指定要用於全域條件的完整 SQL 查詢。 若要使用現有的 SQL 查詢,請選取 [ 開啟]。
重要事項
SQL 查詢設定不支援任何修改資料庫的 SQL 命令。 您只能使用從資料庫讀取資訊的 SQL 命令。
WQL 查詢
命名空間:指定評估用戶端電腦相容性的 WMI 命名空間。 預設值為
root\cimv2。類別:在上述命名空間中指定目標 WMI 類別。
屬性:在上述類別中指定目標 WMI 屬性。
WQL 查詢 WHERE 子句:指定限定子句以減少結果。 例如,若只要查詢 Win32_Service 類別中的 DHCP 服務,WHERE 子句可以是
Name = 'DHCP' and StartMode = 'Auto'。
XPath 查詢
路徑:指定用戶端電腦上用來評估合規性之.xml檔案的路徑。 Configuration Manager支援在路徑名稱中使用所有 Windows 系統內容變數和
%USERPROFILE%使用者變數。XML 檔案名:指定包含上述路徑中 XML 查詢的檔案名。
包含子資料夾:啟用此選項可搜尋指定路徑下的任何子資料夾。
此檔案與 64 位應用程式相關聯:除了執行 64 位版本 Windows 的用戶端 Configuration Manager上的 32 位系統檔案位置
%Windir%\System32之外,搜尋 64 位系統檔案位置%Windir%\Syswow64。XPath 查詢:指定有效的完整 XML 路徑語言 (XPath) 查詢。
命名空間:識別要在 XPath 查詢期間使用的命名空間和前置詞。
如果您嘗試探索加密的.xml檔案,合規性設定會尋找該檔案,但 XPath 查詢不會產生任何結果。 Configuration Manager用戶端不會產生錯誤。
如果 XPath 查詢無效,則會在用戶端電腦上將設定評估為不符合規範。
設定合規性規則
合規性規則會指定定義設定專案合規性的條件。 在評估設定是否符合規範之前,它必須至少有一個合規性規則。 WMI、登錄和腳本設定可讓您補救發現不符合規範的值。 您可以建立新的規則,或流覽至任何設定專案中的現有設定,以選取其中的規則。
若要建立合規性規則
在 [建立設定專案精靈] 的 [合規性規則] 頁面上,選取 [新增]。
在 [ 建立規則] 對話方塊中,提供下列資訊:
選取 [確定 ] 以關閉 [ 建立規則 ] 對話方塊。
值規則
屬性:要檢查的物件屬性會根據選取的設定而有所不同。 可用的屬性會根據設定的類型而有所不同。
設定必須符合下列條件:可用的規則或許可權會根據設定類型而有所不同。
支援時補救不符合規範的規則:針對Configuration Manager選取此選項,以自動補救不符合規範的規則。 Configuration Manager以下列規則類型支援此動作:
登錄值:如果不符合規範,用戶端會設定登錄值。 如果不存在,用戶端會建立 值。
腳本:用戶端會使用您使用 設定指定的補救腳本。
WQL 查詢
重要事項
- 若要正確回報補救失敗,腳本必須擲回例外狀況,而不是非零結束代碼。
- 當規則運算子設定為 Equals時,您只能補救不符合規範的規則。
如果找不到此設定實例,則回報不相容:如果在用戶端電腦上找不到此設定,請啟用此選項讓組態專案報告不符合規範。
報告的不相容嚴重性:指定如果此合規性規則失敗,Configuration Manager報告中報告的嚴重性層級。 下列嚴重性層級可供使用:
- 無
- Information
- 警告
- 要徑
- 重大事件:不符合此合規性規則的電腦會回報嚴重性的失敗嚴重 性。 此嚴重性層級也會記錄為應用程式事件記錄檔中的 Windows 事件。
存在規則
注意事項
顯示的選項可能會因您要設定規則的設定類型而有所不同。
此設定必須存在於用戶端裝置上
此設定不得存在於用戶端裝置上
設定會發生下列次數:
報告的不相容嚴重性:指定如果此合規性規則失敗,Configuration Manager報告中報告的嚴重性層級。 下列嚴重性層級可供使用:
- 無
- Information
- 警告
- 要徑
- 重大事件:不符合此合規性規則的電腦會回報嚴重性的失敗嚴重 性。 此嚴重性層級也會記錄為應用程式事件記錄檔中的 Windows 事件。
追蹤設定專案補救
(2002) 版中導入
從 Configuration Manager 2002 版開始,您可以在設定專案合規性規則支援時追蹤補救歷程記錄。 啟用此選項時,在設定專案的用戶端上發生的任何補救都會產生狀態訊息。 歷程記錄會儲存在 Configuration Manager 資料庫中。
建置自訂報表,以使用公用檢視v_CIRemediationHistory來檢視補救 歷程記錄。 資料行 RemediationDate 是用戶端在 UTC 中執行補救的時間。 會 ResourceID 識別裝置。 使用 v_CIRemediationHistory 檢視建置自訂報表可協助您:
- 識別補救腳本的可能問題
- 尋找補救的趨勢,例如每個評估週期一致不相容的用戶端。
啟用 [支援時追蹤補救歷程記錄] 選項
- 針對新的設定專案,當您在精靈的 [設定] 頁面上建立新設定時,請在 [合規性規則] 索引標籤中新增 [當支援時追蹤補救歷程記錄] 選項。
- 針對現有的設定專案,在設定專案 [內容] 的 [相容性規則] 索引標籤上,新增 [支援時追蹤補救歷程記錄]選項。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應