编辑“Intune/在使用组策略管理的企业中规划部署”

{{Intune top}}
由于[[Windows Intune]]管理的某些配置也由组策略管理，因此，在同时面向两种系统的[[计算机]]上，可能会发生策略应用冲突。本条目描述用于避免策略冲突的建议方法。

==在使用组策略管理的企业中规划部署==
Windows Intune 在“策略”工作区中提供了策略管理功能。Windows Intune 的此版本中实现的策略管理未连接到组策略。尽管这两种策略管理系统都实现同一目的，但它们的管理范围不同，并且在 Windows Intune 的此版本中独立运行。

除非已加入域的客户端计算机无法连接到域控制器，否则域级组策略通常优先于 Windows Intune 策略。如果无法连接到域控制器，则会将Windows Intune策略应用于客户端计算机。

为了避免由于存在竞争性策略管理系统而导致的策略冲突，我们建议部署 Windows Intune 客户端软件的管理员确保通过Windows Intune策略管理的客户端计算机未同时接收来自组策略的指令来实现相同配置设置。

以下三个部署选项可帮助您防止在希望使用 Windows Intune 管理的客户端计算机上出现策略管理问题。
*选项 1：通过将注册了服务的计算机移到新的组织单位 (OU)，从而将它们与组策略隔离开来 
*选项 2：筛选现有组策略对象以避免与注册了服务的计算机冲突 
*选项 3：更改现有组策略对象以删除存在冲突的设置 

==通过将注册了服务的计算机移到新的组织单位，从而将它们与组策略隔离开来==
如有可能，请重建组织单位 (OU) 层次结构，以将注册了 Windows Intune 的计算机隔离到无法由冲突的组策略设置修改的一个或多个单独的 OU 中。通过采用这种方式组织 OU 层次结构，将可简化策略管理，从而允许 Windows Intune OU 只面向特定策略设置。

在您的企业中安装 Windows Intune 客户端[[软件]]之前，请创建要通过使用 Windows Intune 管理的客户端计算机或将这些计算机转移到满足本条目中所述条件的 OU 中。

如果您的组织运行 Windows Server Update Services (WSUS)、System Center Essentials 或 System Center Configuration Manager 来帮助保持客户端计算机的安全和更新，请创建 OU - 或将计算机移到现有 OU 中 - 该 OU 未指定运行 WSUS、System Center Essentials 或 System Center Configuration Manager 的[[服务器]]作为其受管节点。然后，执行以下操作以防止客户端管理中出现冲突。

在包含已在 Windows Intune 中注册并且不希望应用组策略设置的计算机的 OU 上，阻止组策略继承。然后，确保为父 OU 或域的组策略对象 (GPO) 禁用“强制”设置。

===在OU上阻止组策略继承===
*打开组策略管理控制台。
*在控制台树中，展开包含希望使用 Windows Intune 管理的客户端计算机 OU 的林。
*展开域以及任何其他下属节点，以找到 OU。
*右键单击 OU，然后单击“阻止继承”。

==筛选现有组策略对象以避免与注册了服务的计算机冲突==
确定其设置可能与 Windows Intune 冲突的组策略对象 (GPO)，然后为这些 GPO 使用以下筛选方法，将这些 GPO 仅限制到未使用 Windows Intune 管理的计算机。

===使用WMI筛选器===
WMI 筛选器会有选择地将 GPO 应用于满足查询条件的计算机。若要应用 WMI 筛选器，在 Windows Intune 服务中注册任何计算机之前，请将 WMI 类实例部署到企业中的所有计算机。注册过程会自动重置 WMI 实例以指明计算机已在 Windows Intune 服务中注册，并受 Windows Intune 策略所限。

===将WMI筛选器应用于GPO===
1.通过将以下内容复制并粘贴到文本文件中，然后将该文件另存为“WIT.mof”保存到一个方便的位置，从而创建管理对象文件。该文件包含部署到您希望在 Windows Intune 服务中注册的计算机的 WMI 类实例。
<pre>
//Beginning of MOF file.#pragma classflags("forceupdate") #pragma namespace ("\\\\.\\Root") instance of __Namespace { Name = "WindowsIntune"; };

#pragma namespace ("\\\\.\\Root\\WindowsIntune") [ Description("此类定义 Windows Intune 常见属性") ] class WindowsIntune_ManagedNode 
{ [ read, Description("这用于定义 Windows Intune 策略是否处于启用状态"): DisableOverride ToSubClass ] boolean WindowsIntunePolicyEnabled; 
[ read, key, Description("此属性定义版本。""Example: 1.0"): ToSubClass ] string Version; };

instance of WindowsIntune_ManagedNode { Version = "1.0"; WindowsIntunePolicyEnabled = 1; };
</pre>

2.使用启动脚本或组策略来部署该文件。下面是启动[[脚本]]的部署命令。MOFCOMP 命令通常位于 C:/Windows/System32/Wbem 中。在 Windows Intune 服务中注册客户端计算机之前，必须部署 WMI 类实例。
 MOFCOMP <MOF 文件的路径>\wit.mof

3.运行以下任一命令以创建下面的 WMI 筛选器，具体情况取决于您希望筛选的 GPO 是应用于使用 Windows Intune 管理的计算机，还是应用于未使用 Windows Intune 管理的计算机。
*对于应用于未使用 Windows Intune 管理的计算机的 GPO，请使用以下[[代码]]：
 Namespace:root\WindowsIntune Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0
*对于应用于由 Windows Intune 管理的计算机的 GPO，请使用以下代码：
 Namespace:root\WindowsIntune Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=1

4.在组策略管理控制台中编辑 GPO 以应用上一步中创建的 WMI 筛选器。
*对于应该仅应用于要使用 Windows Intune 管理的计算机的 GPO，请应用筛选器 WindowsIntunePolicyEnabled=1。
*对于应该仅应用于不希望使用 Windows Intune 管理的计算机的 GPO，请应用筛选器 WindowsIntunePolicyEnabled=0。

==使用安全组筛选器==
利用组策略，您可以将 GPO 仅应用于在所选 GPO 的组策略管理控制台的“安全筛选”区域中指定的那些安全组。默认情况下，GPO 应用于“Authenticated Users”。在“Active Directory 用户和计算机”管理单元中，创建一个新的安全组，其中包含您不希望使用 Windows Intune 管理的计算机和用户帐户。例如，可将该组命名为“不在 Windows Intune 中”。

在组策略管理控制台中所选 GPO 的“委派”选项卡上，右键单击新的安全组以将相应的“读取”和“应用组策略”权限委派给该安全组中的用户和计算机。(“应用组策略”权限可在“高级”对话框上找到。）然后，将新的安全组筛选器应用于所选 GPO，并删除“Authenticated Users”默认筛选器。在 Windows Intune 服务中的注册发生更改时，必须对新的安全组进行维护。

==更改现有组策略对象以删除存在冲突的设置==
您可以手动禁用与 Windows Intune 策略设置冲突的特定 GPO（或 GPO 内的设置），而不是隔离注册了 Windows Intune 的计算机、创建新组策略对象 (GPO) 或筛选 GPO。将与应用于 Windows Intune 管理的计算机的设置冲突的 GPO 设置为“未配置”。然后，为设置为“未配置”的 GPO 定义和部署 Windows Intune 策略。

注意：如果使用此选项管理策略冲突，则必须分析和经常更改 GPO 以避免策略冲突。

==参考来源==
http://onlinehelp.microsoft.com/zh-cn/windowsintune/ff628140.aspx

{{Intune}}

[[category:Intune|Z]]