[Office]HOWTO: 强制刷新 Azure RMS 客户端规则策略
HOWTO: 强制刷新 Azure RMS 客户端规则策略
Office 365 订阅计划中包含一个非常强的功能服务 - RMS,即:权限管理服务。虽然该订阅计划包含在 Office 365,但管理时可通过 Azure 门户进行管理控制,所以也被称为:Azure Rights Management(Azure RMS)。利用 RMS 我们可以对那些敏感的文档进行加密保护,例如禁止某些用户复制文档内容,又或者禁止其进行打印或截屏。
Azure RMS目前支持多种设备,包括:Windows、Mac OS、Windows Phone、iOS 以及 Android 系统,下图展示了 Azure RMS 是如何进行运行的,更详细的描述建议参考官方文档“什么是 Azure RMS”。
本文的主题是如何强制刷新 Azure RMS 客户端规则策略。问题的由来,当 IT 人员在 Azure 上删除或修改了 RMS 策略后,客户端并不会马上对策略进行刷新,这样便会直接影响用户对文档的加密操作。那么解决办法比较简单,删除 RMS 相关的规则策略缓存即可,为此请执行如下三步。
1. 删除如下注册表路径下的GUID命名的项:
HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC\{GUID}
2. 删除如下注册表路径下的项:
HKEY_CURRENT_USER\SOFTWARE\Classes\Microsoft.IPViewerChildMenu\shell\
3. 删除如下目录路径下的文件:
%localappdata%\Microsoft\MSIPC\Templates
无需重启系统,便可生效!例如使用 RMS 共享应用程序 就能看到全部已经发布的规则策略。
参考资料:
HOWTO: 利用 CompactOS 减少 Windows 10 磁盘占用量
HOWTO: 利用 CompactOS 减少 Windows 10 磁盘占用量
gOxiA 今天要与大家分享的内容与 Windows 10 系统文件占用的磁盘容量有关,虽然现在大容量硬盘已经相当普及,但是对于那些使用小容量固态硬盘的设备来说,能够在尽可能以最小性能牺牲的前提下,减少系统文件占用的磁盘空间还是显得相当的有价值!尤其对于 OEM 设备,过去 OEM 厂商需要占用 4G 左右的空间来存储用于系统恢复的映像文件,而现在微软在全新的 Windows 10 上进行了改进,在执行系统恢复重置时已不再需要系统映像,也就是无需在设备上单独存储一份 WIM 格式的系统映像,即使当前系统损坏程度已经相当严重,当然我们仍旧可以创建一份系统备份,以确保在系统无法成功恢复重置设备时,能够有效的将设备重置为原始状态。
前面所讲的仅仅是 Windows 10 的新特性之一,而本文的主角则是 Windows 10 的 CompactOS 功能,这一功能被微软官方解释为 WIMBOOT 的进化,WIMBOOT 的相关介绍可以参考 gOxiA 之前的文章《Windows 8.1 Update WIMBoot 概述》或在本站搜索 WIMBoot,了解 WIMBoot 的朋友应该知道 WIMBoot 利用了文件指针将当前安装的系统文件重定向到恢复映像中,这对于小容量存储(16 - 32GB)的 OEM 设备来说将大大降低整体磁盘的占有量,但是随着系统或预装应用的不断更新,WIMBoot 就会显得力不从心。而 CompactOS 则利用 Windows 10 高效的压缩算法,压缩系统二进制文件,可在32位系统上回收 1.5GB 和 64位系统上回收 2.6GB 的磁盘容量。再结合前面所讲的无需系统映像进行系统恢复重置的新特性,最终可有效回收 6.6GB 磁盘容量。
Windows 10 的 CompactOS 功能在应用上非常灵活,我们可以在执行 Windows 安装时就启用 CompactOS 功能。利用 Windows ADK 的 ICD(Windows Imaging and Configuration Designer)组件可以创建启用 CompactOS 的安装盘。
step.1 创建一个“New Windows image customization”项目,选择基于 WIM 文件,之后选择 对应的 SKU
step.2 创建生产介质,选择 WIM 格式,接下来的一步非常重要,务必勾选“Enable Compact OS” 的“Yes” 选择,最后根据需要直接创建 U盘或存储到一个目录。
如果觉得使用 ICD 太复杂,可以使用 WSIM(Windows System Image Manager)创建一个应答文件(unattend.xml),启用设置“Microsoft-Windows-Setup\ImageInstall\OSImage\Compact”。
还觉得复杂,那可以在安装的时候手工执行 setup.exe 命令,并附加“/compactos enable” 参数,需要注意这一方式仅限于升级模式下使用。
还无法满足?!那就手工安装吧,找个 Windows 10 安装盘(Build 10586),使用 DISM 命令应用映像,命令行参考如下:
对于使用 MDT 批量部署的用户,需要修改 LTIApply.wsf 文件,参考如下(高亮部分即增加的内容):
' Apply the image
sCmd = " /Apply-Image /ImageFile:""" & sImagePath & """"
If sRWMPath <> "" then
sCmd = sCmd & " /SWMFile:""" & sRWMPath & """"
End if
If sSWMPath <> "" then
sCmd = sCmd & " /SWMFile:""" & sSWMPath & """"
End if
sCmd = sCmd & " /Index:" & sImageIndex & " /ApplyDir:" & sDestinationDrive
If UCase(oEnvironment.Item("OSDCompact")) = “TRUE” then
sCmd = sCmd & " /Compact:ON"
End if
具体可参考 Michael Niehaus 的博客文章《Windows: Reducing the disk footprint》。当然 CompactOS 的灵活之处还不局限与上面所述的几个方法,除了可以在安装时启用这一功能外,还支持在已有系统上启用或关闭该功能。执行下面的命令行可查询当前系统是否启用了 CompactOS。
也可以附加“always 或 never”参数在当前系统上启用或关闭 CompactOS。
[GPO]HOWTO: 利用组策略禁用 IE ESC(Internet Explorer 增强的安全配置)
HOWTO: 利用组策略禁用 IE ESC(Internet Explorer 增强的安全配置)
Internet Explorer Enhanced Security Configuration(即:IE ESC,Internet Explorer 增强的安全配置),自 Windows Server 2008 开始提供的一项服务器安全配置,旨在有效降低来自基于 Web 的不安全内容攻击的风险,直至 Windows Server 2012 R2 该安全配置默认都为启用。
IE ESC 默认情况下为 Administrators 组和 Users 组启用,当这些组用户在使用 IE 浏览网站时会收到警告提示,被告知该网站中的一些内容被阻止,此时可以去除“网站内容被阻止时继续提示”的复选框已减少干扰,加入用户信赖该网站,则可以将该网站添加到信任网站中,那么下次再访问的时候就不会在提示安全警告。
IE ESC 其实是一项非常不错的功能,但是在一些测试环境中,可能会略显繁琐,通过手工方式关闭简单有效,但是如果环境中创建了多台 Windows Server 虚机就会很麻烦,毕竟要一步一步执行操作。
如果当前正好是一个域环境,那么我们可以利用组策略来为禁用 IE ESC,接下来就可以编辑现有组策略或新建一个组策略!IE ESC 提供两个注册表项分别为 Administrators 组和 Users 组定义配置:{A509B1A7-37EF-4b3f-8CFC-4F3A74704073} 和 {A509B1A8-37EF-4b3f-8CFC-4F3A74704073},他们位于:HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components下,所以我们需要在组策略中创建两个注册表项的预定义,将其下的“IsInstalled”根据需要改为“00000000”,如下图所示:
如果还不知道如何在组策略中添加注册表配置,请参考下图:
