適用於:Configuration Manager (目前的分支)
使用 Configuration Manager 自定義 Windows 桌面和伺服器組態專案來管理 Configuration Manager 用戶端所管理之 Windows 計算機和伺服器的設定。
啟動精靈
在 Configuration Manager 控制台中,移至 [資產與兼容性] 工作區,展開 [相容性設定],然後選取 [設定專案] 節點。
在功能區的 [ 首頁 ] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立設定專案]。
在 [建立設定專案精靈] 的 [一般] 頁面上,指定組態專案的名稱和選擇性描述。
在 [指定您要建立的組態項目類型] 下,選取 [ Windows 桌面和伺服器 (自定義) 。
- 如果您想要提供可檢查應用程式是否存在的偵測方法設定,請選取 [此組態檔包含應用程式設定]。
若要協助您在 Configuration Manager 控制台中搜尋和篩選設定專案,請選取 [類別] 以建立並指派類別。
偵測方法
使用此程式來提供設定專案的偵測方法資訊。
注意事項
只有當您在精靈的 [一般] 頁面上選取 [此組態專案包含應用程式設定] 時,才適用此資訊。
Configuration Manager 中的偵測方法包含用來偵測電腦上是否已安裝應用程式的規則。 此偵測會在客戶端評估其組態專案的合規性之前發生。 若要偵測應用程式是否已安裝,您可以偵測應用程式的 Windows Installer 檔案是否存在、使用自定義腳本,或選取 [ 永遠假設應用程式已安裝 ] 來評估設定專案是否符合規範,而不論是否已安裝應用程式。
使用 Windows Installer 檔案偵測應用程式安裝
在 [建立設定專案精靈] 的 [偵測方法] 頁面上,選取 [使用 Windows Installer 偵測] 選項。
選取 [開啟],流覽至您要偵測的 Windows Installer (.msi) 檔案,然後選取 [ 開啟]。
[ 版本] 字段會自動填入 Windows Installer 檔案的版本號碼。 如果顯示的值不正確,請在這裡輸入新的版本號碼。
如果您想要偵測電腦上的每個使用者配置檔,請選取 [ 此應用程式已針對一或多個使用者安裝]。
偵測特定應用程式和部署類型
在 [建立設定專案精靈] 的 [偵測方法] 頁面上,選取 [偵測特定應用程式和部署類型]。 選擇 [選取]。
在 [ 指定應用程式 ] 對話框中,選取您要偵測的應用程式和相關聯的部署類型。
使用自訂文本偵測應用程式安裝
當 Windows PowerShell 文稿以偵測方法執行時,Configuration Manager 用戶端會使用 -NoProfile 參數呼叫 PowerShell。 此選項會在沒有設定文件的情況下啟動 PowerShell。 PowerShell 配置檔是在 PowerShell 啟動時執行的腳本。
在 [建立設定專案精靈] 的 [偵測方法] 頁面上,選取 [使用自定義腳本偵測此應用程式] 選項。
在清單中,選取文本的語言。 選擇下列格式:
VBScript
JScript
PowerShell
選取 [開啟],流覽至您要使用的腳本,然後選取 [ 開啟]。
重要事項
使用已簽署的 PowerShell 腳本時,請務必選取 [ 開啟]。 您無法使用已簽署文稿的複製和貼上。
指定支持的平臺
在 [建立設定專案精靈] 的 [支持的平臺] 頁面上,選取您要評估組態項目合規性的 Windows 版本,或選擇 [全選]。
您也可以 手動指定 Windows 版本。 選取 [新增 ],並指定 Windows 組建編號的每個部分。
注意事項
指定 Windows Server 2016 時,的選取All Windows Server 2016 and higher 64-bit)專案也會包含 Windows Server 2019。 若只要指定 Windows Server 2016,請使用 [手動指定 Windows 版本] 選項。
進行設定
使用此程式來設定組態專案中的設定。
設定代表用來評估用戶端裝置合規性的商務或技術條件。 您可以設定新的設定,或瀏覽至參照電腦上的現有設定。
在 [ 建立 設定 項目精靈] 的 [設定] 頁面上,選取 [ 新增]。
在 [建立設定] 對話框的 [一般] 索引標籤上,提供下列資訊:
名稱:輸入設定的唯一名稱。 您最多可以使用 256 個字元。
描述:輸入設定的描述。 您最多可以使用 256 個字元。
設定類型:在清單中,選擇並設定要用於此設定的下列其中一個設定類型:
數據類型:選擇條件在用來評估設定之前傳回數據的格式。 並非所有設定類型都會顯示 [資料類型 ] 清單。
提示
浮點數據類型只支援小數點之後的三位數。
在 [設定 類型 ] 列表下設定此設定的其他詳細數據。 您可以設定的項目會根據您選取的設定類型而有所不同。
選取 [確定 ] 以儲存設定並關閉 [ 建立設定 ] 對話框。
Active Directory 查詢
LDAP 前置詞:指定 Active Directory 網域服務 查詢的有效前置詞,以評估客戶端電腦上的合規性。 若要執行全域編錄搜尋,請使用
LDAP://或GC://。辨別名稱 (DN) :指定用戶端電腦上評估相容性之 Active Directory 網域服務 物件的辨別名稱。
搜尋篩選:指定選擇性的LDAP篩選器,以精簡 Active Directory 網域服務 查詢的結果,以評估用戶端電腦上的合規性。 若要傳回查詢中的所有結果,請輸入
(objectclass=*)。搜尋範圍:在 Active Directory 網域服務 中指定搜尋範圍
基底:僅查詢指定的物件
一個層級:此版本的 Configuration Manager 不使用此選項
子樹:在目錄中查詢指定的物件及其完整子樹
屬性:指定用來評估用戶端計算機上合規性之 Active Directory 網域服務 對象的屬性。
例如,如果您要查詢儲存使用者不正確輸入密碼次數的 Active Directory 屬性,請在此欄位中輸入
badPwdCount。查詢:顯示從 LDAP前置詞、辨別 名稱 (DN) 中所建構的查詢、如果指定) ,則顯示 搜尋篩選 (,以及 Property。
組件
元件是可在應用程式之間共用的一段程序代碼。 元件可以有擴展名 .dll 或 .exe。 全域程式集緩存是客戶端電腦上的資料夾 %SystemRoot%\Assembly 。 此快取是 Windows 儲存所有共用元件的位置。
- 元件名稱: 指定您要搜尋之元件物件的名稱。 名稱不能與相同類型的其他元件物件相同。 請先在全域程式集緩存中註冊它。 元件名稱的長度上限為 256 個字元。
檔案系統
類型:在清單中,選取您要搜尋 檔案 或 資料夾。
路徑:指定客戶端電腦上指定之檔案或資料夾的路徑。 您可以在路徑中指定系統環境變數和環境
%USERPROFILE%變數。檔案系統設定類型不支援在 [路徑] 方塊中指定網路共用的 UNC 路徑。
如果您在 [
%USERPROFILE%路徑] 或 [檔案或資料夾名稱] 方塊中使用環境變數,Configuration Manager 用戶端會搜尋客戶端電腦上的所有使用者配置檔。 此行為可能會導致它尋找檔案或資料夾的多個實例。如果合規性設定無法存取指定的路徑,則會產生探索錯誤。 此外,如果您要搜尋的檔案目前正在使用中,則會產生探索錯誤。
提示
選取 [瀏覽 ] 以從參照電腦上的值設定設定。
檔案或資料夾名稱:指定要搜尋之檔案或資料夾物件的名稱。 您可以在檔案或資料夾名稱中指定系統環境變數和環境
%USERPROFILE%變數。 您也可以在檔案名中使用通配符*和?。- 如果您指定檔案或資料夾名稱並使用通配符,此組合可能會產生大量結果。 這也可能導致客戶端電腦上的高資源使用量,以及向 Configuration Manager 報告結果時的高網路流量。
包含子資料夾:同時搜尋指定路徑下的任何子資料夾。
此檔案或資料夾與64位應用程式相關聯:如果啟用,則僅搜尋64位檔案位置,例如
%ProgramFiles%在64位電腦上。 如果未開啟這個選項,請同時搜尋 64 位位置和 32 位位置,例如%ProgramFiles(x86)%。- 如果相同 64 位電腦上的 64 位和 32 位系統檔案位置同時存在相同的檔案或資料夾,全域條件就會探索到多個檔案。
IIS Metabase
Metabase 路徑:指定 Internet Information Services (IIS) metabase 的有效路徑。 例如,
/LM/W3SVC/。屬性標識碼:指定 IIS Metabase 設定的數值屬性。
登錄機碼
Hive:選取您要搜尋的登錄區
- 選取 [瀏覽 ] 以從參照電腦上的值設定設定。 若要瀏覽至遠端電腦上的登錄機碼,請在遠端電腦上啟用 遠端登錄 服務。
機碼:指定您要搜尋的登錄機碼名稱。 請使用格式
key\subkey。此登錄機碼與64位應用程式相關聯:除了在執行64位版本Windows的用戶端上搜尋32位登錄機碼之外,還會搜尋64位登錄機碼。
- 如果相同 64 位電腦上的 64 位和 32 位登錄位置同時存在相同的登錄機碼,全域條件會探索這兩個登錄機碼。
登錄值
Hive:選取要搜尋的登錄區。
- 選取 [瀏覽 ] 以從參照電腦上的值設定設定。 若要瀏覽至遠端電腦上的登錄值,請在遠端電腦上啟用 遠端登錄 服務。 您也需要系統管理員許可權才能存取遠端電腦。
機碼:指定要搜尋的登錄機碼名稱。 請使用格式
key\subkey。值:指定必須包含在指定登錄機碼內的值。
此登錄機碼與64位應用程式相關聯:除了在執行64位版本Windows的用戶端上搜尋32位登錄機碼之外,還會搜尋64位登錄機碼。
- 如果相同 64 位電腦上的 64 位和 32 位登錄位置同時存在相同的登錄機碼,全域條件會探索這兩個登錄機碼。
指令碼
腳本傳回的值是用來評估全域條件的合規性。 例如,使用 VBScript 時,您可以使用 命令 WScript.Echo Result 將 Result 變數值傳回至全域條件。 當您使用 Windows PowerShell 作為探索或補救腳本時,Configuration Manager 用戶端會使用 -NoProfile 參數呼叫 PowerShell。 此選項會在沒有設定文件的情況下啟動 PowerShell。 PowerShell 配置檔是在 PowerShell 啟動時執行的腳本。
探索腳本:選取 [新增腳本],然後輸入或流覽至腳本。 此腳本是用來尋找值。 您可以使用 Windows PowerShell、VBScript 或 Microsoft JScript 腳本。
修復文本 (選擇性) :選取 [ 新增腳本],然後輸入或瀏覽至腳本。 此腳本可用來補救不符合規範的設定值。 您可以使用 Windows PowerShell、VBScript 或 Microsoft JScript 腳本。
重要事項
- 若要正確回報補救失敗,腳本必須擲回例外狀況,而不是非零結束代碼。
使用登入的使用者認證來執行腳本:如果您啟用此選項,腳本會在使用已登入使用者認證的用戶端計算機上執行。
重要事項
- 使用已簽署的 PowerShell 腳本時,請務必選取 [ 開啟]。 您無法使用已簽署文稿的複製和貼上。
- 從 2207 開始,您可以在設定相容性設定的客戶端設定時,定義腳本執行逾時 (秒) 。
SQL 查詢
SQL Server 實例:選擇要在預設實例、所有實例或指定的資料庫實例名稱上執行 SQL 查詢。 實例名稱必須參考 SQL Server 的本機實例。 若要參考 SQL Server Always On 故障轉移叢集實例或可用性群組,請使用腳本設定。
資料庫:指定您要執行 SQL 查詢的Microsoft SQL Server 資料庫名稱。
數據行:指定用來評估全域條件合規性之 Transact-SQL 語句所傳回的數據行名稱。
Transact-SQL 語句:指定要用於全域條件的完整 SQL 查詢。 若要使用現有的 SQL 查詢,請選取 [ 開啟]。
重要事項
SQL 查詢設定不支援任何修改資料庫的 SQL 命令。 您只能使用從資料庫讀取資訊的 SQL 命令。
WQL 查詢
命名空間:指定評估用戶端電腦相容性的 WMI 命名空間。 預設值為
root\cimv2。類別:在上述命名空間中指定目標 WMI 類別。
屬性:在上述類別中指定目標 WMI 屬性。
WQL 查詢 WHERE 子句:指定限定子句以減少結果。 例如,若只要查詢 Win32_Service 類別中的 DHCP 服務,WHERE 子句可以是
Name = 'DHCP' and StartMode = 'Auto'。
XPath 查詢
路徑:指定用戶端計算機上用來評估合規性之 .xml 檔案的路徑。 Configuration Manager 支援在路徑名稱中使用所有 Windows 系統環境變數和
%USERPROFILE%用戶變數。XML 檔名:指定包含上述路徑中 XML 查詢的檔案名。
包含子資料夾:啟用此選項可搜尋指定路徑下的任何子資料夾。
此檔案與64位應用程式相關聯:除了執行64位版本Windows的用戶端 Configuration Manager上的32位系統檔案位置之外,搜尋64位系統檔案位置
%Windir%\System32%Windir%\Syswow64。XPath 查詢:指定有效的完整 XML 路徑語言 (XPath) 查詢。
命名空間:識別要在 XPath 查詢期間使用的命名空間和前置詞。
如果您嘗試探索加密的 .xml 檔案,合規性設定會尋找該檔案,但 XPath 查詢不會產生任何結果。 Configuration Manager 用戶端不會產生錯誤。
如果 XPath 查詢無效,則會在用戶端電腦上將設定評估為不符合規範。
設定合規性規則
合規性規則會指定定義設定項目合規性的條件。 在評估設定是否符合規範之前,它必須至少有一個合規性規則。 WMI、登錄和文稿設定可讓您補救發現不符合規範的值。 您可以建立新的規則,或流覽至任何設定專案中的現有設定,以選取其中的規則。
若要建立合規性規則
在 [建立設定項目精靈] 的 [合規性規則] 頁面上,選取 [新增]。
在 [ 建立規則] 對話框中,提供下列資訊:
選取 [確定 ] 以關閉 [ 建立規則 ] 對話框。
值規則
屬性:要檢查的物件屬性會根據選取的設定而有所不同。 可用的屬性會根據設定的類型而有所不同。
設定必須符合下列條件:可用的規則或許可權會根據設定類型而有所不同。
支援時補救不符合規範的規則:針對 Configuration Manager 選取此選項,以自動補救不符合規範的規則。 Configuration Manager 以下列規則類型支援此動作:
登錄值:如果不符合規範,用戶端會設定登錄值。 如果不存在,用戶端會建立 值。
文本:用戶端會使用您使用 設定所指定的補救腳本。
WQL 查詢
重要事項
- 若要正確回報補救失敗,腳本必須擲回例外狀況,而不是非零結束代碼。
- 當規則運算符設定為 Equals 時,您只能補救不符合規範的規則。
如果找不到此設定實例,則回報不相容:如果在用戶端電腦上找不到此設定,請啟用此選項讓組態項目報告不符合規範。
報告的不符合規範嚴重性:指定如果此合規性規則失敗,Configuration Manager 報告中報告的嚴重性層級。 下列嚴重性層級可供使用:
- 無
- Information
- 警告
- 要徑
- 重大事件:不符合此合規性規則的計算機會回報嚴重性的失敗嚴重 性。 此嚴重性層級也會記錄為應用程式事件記錄檔中的 Windows 事件。
存在規則
注意事項
顯示的選項可能會因您要設定規則的設定類型而有所不同。
此設定必須存在於用戶端裝置上
此設定不得存在於客戶端裝置上
設定會發生下列次數:
報告的不符合規範嚴重性:指定如果此合規性規則失敗,Configuration Manager 報告中報告的嚴重性層級。 下列嚴重性層級可供使用:
- 無
- Information
- 警告
- 要徑
- 重大事件:不符合此合規性規則的計算機會回報嚴重性的失敗嚴重 性。 此嚴重性層級也會記錄為應用程式事件記錄檔中的 Windows 事件。
追蹤設定專案補救
(2002) 版中導入
從 Configuration Manager 2002 版開始,您可以在設定專案合規性規則上支援時追蹤補救歷程記錄。 啟用此選項時,在組態專案的用戶端上發生的任何補救都會產生狀態消息。 歷程記錄會儲存在 Configuration Manager 資料庫中。
建置自定義報表,以使用公用檢視v_CIRemediationHistory來檢視補救 歷程記錄。 數據行 RemediationDate 是用戶端在UTC中執行補救的時間。 會 ResourceID 識別裝置。 使用 v_CIRemediationHistory 檢視建置自訂報表可協助您:
- 識別補救腳本的可能問題
- 尋找補救的趨勢,例如每個評估週期一致不相容的用戶端。
啟用 [支援時追蹤補救歷程記錄] 選項
- 針對新的設定專案,當您在精靈的 [設定] 頁面上建立新設定時,請在 [合規性規則] 索引標籤中新增 [當支援時追蹤補救歷程記錄] 選項。
- 針對現有的設定專案,在設定專案 [內容] 的 [兼容性規則] 索引標籤上,新增 [支援時追蹤補救歷程記錄] 選項。
