維護組態

在這個部分中:

• 建立組態
• 匯入組態
• 匯出組態
• 儲存組態
• 測試組態
• 群組原則組態
• 搜尋組態

建立組態

若要建立新組態，按一下檔案 > 新增。

系統會顯示新組態，並依預設自動提供以下保護:

• 禁止並非儲存在本機硬碟中的應用程式。例如，系統會禁止網路磁碟機和卸除式媒體中的應用程式。非由管理員所擁有的應用程式也會遭到禁止。例如，以非管理員身份複製到電腦硬碟的任何應用程式都會遭到禁止。
• 所有管理員都可以執行任何應用程式。

在實作預設設定之前，您必須先儲存新組態。

匯入組態

您可以將組態匯入 應用程式控制。

1. 按一下檔案 > 匯入與匯出 > 從 MSI 匯入組態。

   「開啟」對話方塊隨即顯示。

2. 導覽至 MSI 所在位置，選取它並按一下開啟。

組態會在 應用程式控制 控制台中開啟。

匯出組態

您可以從 應用程式控制 匯出組態。

1. 按一下檔案 > 匯入與匯出 > 將組態匯出成 MSI。

   「另存新檔」對話方塊隨即顯示。

2. 導覽至您要儲存 MSI 的位置，然後按一下儲存。

儲存組態

您可以在「檔案」功能表中使用以下可儲存組態的選項。

儲存

• 儲存並繼續編輯 - 儲存組態，並於開啟時保持鎖定以供編輯。已進行的任何變更都不會提交到組態，而且無法在鎖定時部署。
• 儲存並解除鎖定 - 儲存組態，並將其解除鎖定以供部署。
• 解除鎖定且不儲存 - 解除組態鎖定且不儲存任何變更。

另存新檔

• 此電腦上的即時組態 - 使用目前開啟的組態來取代/更新本機電腦上的組態。
• 管理中心 內的組態 - 將組態儲存在所選「管理伺服器」上的套件儲存區中。
• System Center Configuration Manager 中的組態 - 將組態儲存到指定的 System Center Configuration Manager 伺服器。
• 群組原則內的組態 - 允許您在選取的「群組原則儲存區」中建立組態。
• 磁碟上的組態檔案 - 將組態儲存至磁碟。

測試組態

在繼續此工作前，設置測試使用者設定。測試帳戶不能是組態內「受信任所有者」之一。

1. 以管理員身分登入已安裝相關 應用程式控制 組態的端點。
2. 啟動 應用程式控制。
3. 在導覽樹狀目錄中，導覽至規則 > 使用者。

4. 按一下「規則」功能區上的「新增規則」，並選取「使用者規則」。

   「新增使用者規則」對話方塊隨即顯示。

5. 按一下瀏覽。

   Active Directory「選取使用者」對話方塊隨即顯示。

6. 按一下進階。

7. 按一下立即尋找。

   搜尋結果會顯示在對話方塊的底部。

8. 向下捲動以找出測試使用者，選取並按一下確定。

   「選取使用者」對話方塊隨即顯示，而且測試使用者會在物件名稱內顯示。

9. 按一下確定。

   「使用者規則」工作區域會顯示新建立的測試使用者。

10. 儲存組態。
11. 以管理員身分登出。
12. 以測試使用者身分登入以查看 應用程式控制 是否正常運行。

群組原則組態

「群組原則」可針對 Active Directory 環境中的作業系統、應用程式與使用者設定提供集中式管理與組態。應用程式控制 可使用「群組原則」功能來儲存及部署組態至網域內指定組織單位 (OU) 中的任何電腦，無需額外的基礎結構。若要使用「群組原則」，您必須先安裝「遠端伺服器管理工具」。

如需詳細資訊，請參閱安裝或移除遠端伺服器管理工具套件。

若要新增 應用程式控制 組態檔案至 GPO，您必須先將網域新增至從「選取網域」對話方塊中存取的可選清單。如需詳細資訊，請參閱新增可選網域至您的清單。

如有需要，您可以使用下列命令透過 PowerShell 安裝「群組原則管理控制台」:

Import-Module ServerManager (2008 Server 及以上版本)

Add-WindowsFeature -Name GPMC

新增可選網域至您的清單

使用「選取網域」對話方塊將網域新增至您的可選網域清單。新增網域後，接著您就能將組態套用至網域上的 GPO (群組原則物件)。

1. 在「檔案」功能表中，選擇另存新檔 (或開啟) 並選取群組原則內的組態。

   「選取網域」對話方塊隨即顯示。

2. 在工具列中選取「新增」圖示。

   「新增網域」對話方塊隨即顯示。

3. 輸入要新增至清單的網域名稱。您必須具有要新增之網域的足夠權限。
4. 按一下新增按鈕。

網域會新增至您的清單且可供選取。

使用群組原則物件部署組態

當完成組態且已部署時，「用戶端擴充程式」會將組態連同 merge_manifest.xml 檔案一起複製至 應用程式控制 %ProgramData% 結構中。應用程式控制 代理程式會收到更新通知，而且 merge_manfest.xml 檔案會複製到合併資料夾，以便進行合併。接著會將組態套用至您的端點。

一旦組態儲存至「群組原則物件」(GPO)，該組態的部署便取決於貴組織的「群組原則」設定。

應用程式控制 支援使用群組原則部署的多個組態合併。每個 GPO 僅能包含一個組態；如需部署多個組態，您需要有相同數量的 GPO。若所有 GPO 均存放在 Active Directory 的相同層級中，則連結順序會影響組態的合併方式，其中號碼最小的項目將會是基本組態。

依預設，電腦「群組原則」會每 90 分鐘在背景更新一次，而時間上的隨機差距從 0 到 30 分鐘不等。

儲存組態至 GPO

若要儲存組態至「群組原則」物件，您必須擁有一組在目前使用之 Active Directory (AD) 區域內具備讀寫權限的帳戶。您僅能儲存至該區域，而且原則僅適用於其中的電腦。

必須透過 應用程式控制 控制台建立組態，並且必須在所選網域內的組織單位 (OU) 中建立 GPO。

1. 建立您的 Ivanti 應用程式控制 組態檔案 (AAMP)。

2. 選取檔案 > 另存新檔 > 群組原則內的組態。

   「選取網域」對話方塊隨即顯示。

3. 反白顯示您選取的網域並按一下「連線」。

   若清單中沒有您要儲存至該處的網域，則需要新增該網域。

   請參閱新增可選網域至您的清單。

4. 導覽至您的 OU。您必須具有所選 OU 上的足夠權限。
5. 選取 GPO 並按一下儲存。

6. 若 GPO 不存在，以滑鼠右鍵按一下目標 OU 並選取「在這個網域中建立 GPO 並將它連結到這裡」。

   在部分端點上，儲存 GPO 到 Active Directory (AD) 時可能會遇到延遲情況。這是因為需要有 AD 複寫才能跨多網域控制器執行，而且 應用程式控制 在複寫完成前無法找到 GPO。

   包含組態的 GPO 儲存在下列位置，而且可以透過其唯一 GUID 進行識別。

   \\<Domain Controller>\SysVol\<domain.fqdn>\Policies\<guid for GPO>\Machine\AppSense

   若使用「群組原則」將一個以上的組態部署至端點，則會發生「端點組態合併」，而且 merged_configuration.aamp 的優先順序會高於任何現有組態。如需進一步資訊，

請參閱端點組態合併。

搜尋組態

隨著群組和規則集的新增，組態的大小可能會變得相當龐大。為了瀏覽組態的所需區域，您可以進行文字搜尋，藉此找出該項目設定在組態中的位置。

如何搜尋組態

我們以 widget.exe 作為範例。您已經為 widget.exe 設定了規則，但是不記得它位於哪個群組或規則集。

1.瀏覽至編輯 > 選項選單，選擇搜尋組態。

「搜尋組態」對話方塊隨即顯示。

2.在「搜尋」欄位輸入您要搜尋的文字，例如 widget。

3.系統會在組態中「所有群組和規則集」中搜尋 widget 文字，並且將所有搜尋結果顯示於結果清單。

4.按一下清單中的搜尋結果即可開啟組態中的位置。

您可以在「組態編輯器」的「搜尋」對話方塊開啟時工作。如果您希望保留搜尋結果，但是想要暫時將對話方塊從畫面中移除，請選擇關閉，若要重新顯示請選擇搜尋組態。

相關主題

通用設定

組態