You are on page 1of 83

07/06/13

Module 7: Managing User Desktop with Group Policy

Module 7: Managing User Desktop with Group Policy
Contents: Lesson 1: Lab A: Lesson 2: Lab B: Lesson 3: Lab C: Implement Administrative Templates Manage Administrative Templates and Central Store Configure Group Policy Preferences Manage Group Policy Preferences Manage Software with GPSI Manage Software with GPSI

Module Overview

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe

1/83

07/06/13

Module 7: Managing User Desktop with Group Policy

In an environment managed by a well­implemented Group Policy infrastructure, little or no configuration needs to be made by directly touching a desktop. The entire configuration is defined, enforced, and updated by using the settings in Group Policy objects (GPOs) that affect a portion of the enterprise as broad as an entire site or a domain, or as narrow as a single organizational unit (OU) or a group. In this module, you will learn what Group Policy is, how it works, and how best to implement it in your organization. In this module, you will learn how to configure desktop environments by using Administrative templates and Group Policy Preferences. You will also see how to properly scope Group Policy. In addition, you will learn how to deploy software by using Group Policy.

Objectives
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 2/83

07/06/13

Module 7: Managing User Desktop with Group Policy

After completing this module, you will be able to: • Describe Administrative templates. • Understand and configure Group Policy preferences. • Deploy software by using Group Policy.

Lesson 1: Implement Administrative Templates

Administrative Templates allow you to control the environment of the operating
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 3/83

07/06/13

Module 7: Managing User Desktop with Group Policy

system and user experience. There are two sets of Administrative Templates: one for users and one for computers. Using the administrative template sections of the GPO, you can deploy hundreds of modifications to the registry.

Objectives
After completing this lesson, you will be able to: • Describe Administrative Templates and how they work. • Describe managed settings, unmanaged settings, and preferences. • Describe Central Store.

What Are Administrative Templates?

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe

4/83

courseware-marketplace. The screenshot here shows the properties dialog box for the Prevent Access To Registry Editing Tools policy setting. https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 5/83 .07/06/13 Module 7: Managing User Desktop with Group Policy An administrative template is a text file that specifies the registry change to be made and that generates the user interface to configure the Administrative Templates policy settings in the GPME.

 you can obtain administrative templates for all recent versions of Microsoft ® Office from the Microsoft Downloads Center. Some software vendors provide administrative templates as a mechanism to manage the configuration of their application centrally.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 6/83 . A tutorial on creating custom administrative templates is beyond the scope of this course. For example. The registry setting that is made based on how you configure the policy is also defined in the administrative template. https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy The fact that the setting exists and that it provides a drop­down list with which to disable Regedit.exe from running silently is determined in an administrative template. You can also create your own custom administrative templates.

• Some settings are available only to certain versions of Windows operating systems.courseware-marketplace.ADM file.07/06/13 Module 7: Managing User Desktop with Group Policy Administrative Templates have the following characteristics: • They are organized into subfolders that deal with specific areas of the environment. you would need separate . if you want to create an . In case of conflicting settings. Double­clicking the settings will display the supported versions for that setting. the computer setting prevails. . all localization must be performed within the .ADM Files In versions of Windows prior to Windows Vista ®. For example. That is.ADM file to help deploy configuration in a multilingual organization.ADM files for each language to provide a user interface for administrators who speak that https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 7/83 . First.ADM extension. there is a setting to prevent Windows Messenger from running in both the user and the computer templates. an administrative template had an . such as a number of new settings can be applied only to the Windows 7® family of operating systems. • The settings in the computer section edit the HKEY_LOCAL_MACHINE hive in the registry. and settings in the user section edit the HKEY_CURRENT_USER hive in the registry. system. such as network. and Windows ® components.ADM files have several drawbacks. • Some settings exist for both user and computer. .

 they can be made to the single .ADMX file into the %SystemRoot%\PolicyDefinitions folder on your client or in the central store. To add . An . If you were to decide later to make a modification related to the registry settings managed by the templates.ADM files. it is stored multiple times. you would need to make the change to each .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 8/83 .ADMX/.ADM file is stored as part of the GPT in the SYSVOL. https://skillpipe. Windows Server® 2008. an administrative template is a pair of XML files.ADML administrative templates to the GPME.ADM files is the way they are stored.ADMX file and calls the appropriate .ADMX extension that specifies changes to be made to the registry and the other with an .ADML file to populate the user interface.ADM file.07/06/13 Module 7: Managing User Desktop with Group Policy language. copy the . . and Windows Server 2008 R2.courseware-marketplace. To add classic administrative templates to the GPME. There were also challenges in maintaining version control over . If an . Any administrator who modifies a GPO that uses the template accesses the same .ADMX file. The second problem with . When changes need to be made to settings managed by the administrative template. Windows 7.ADML extension that provides a language­specific user interface in the GPME.ADMX/. one with an . right­click the Administrative Templates node and then click Add/Remove Templates.ADML Files In Windows Vista. contributing to SYSVOL bloat.ADM file is used in multiple GPOs.

microsoft.com/fwlink/?LinkId=113124 How Administrative Templates Work https://skillpipe.ADMX The ADMX Migrator enables you to convert ADM files to the ADMX format. such as en­us. of %SystemRoot%\PolicyDefinitions on your client or in the central store. For more information. Migrate Classic Administrative Templates to .ADM files will appear under the Administrative Templates node in a node labeled Classic Administrative Templates (ADM). see: • ADMX Migrator http://go.com/fwlink/?LinkId=99466 • ADMX Migrator download (Blog) http://go.microsoft. No Need to Take Sides .07/06/13 Module 7: Managing User Desktop with Group Policy Copy the .ADM and .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 9/83 .ADML administrative templates can coexist. The central store will be discussed in the next topic. Settings generated by .ADMX/.ADML file into the language­and­region–specific subfolder.courseware-marketplace.

If this setting is enabled and the user tries to start a registry editor. which are beyond the scope of this course. a message appears. you will find several settings that allow you to control many aspects of Windows. use the Run Only Specified Windows Applications setting or use Software Restriction Policies. you can see the Properties dialog box for the Prevent Access To Registry Editing Tools policy setting. Note To prevent users from using other administrative tools. explaining that a setting prevents the action. On the slide. https://skillpipe.courseware-marketplace.07/06/13 Module 7: Managing User Desktop with Group Policy In the Administrative Templates node.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 10/83 .

courseware-marketplace. Settings provided in the Computer Configuration node will modify registry values in the HKEY_LOCAL_MACHINE (HKLM) key on the machine where Group Policy is applied.07/06/13 Module 7: Managing User Desktop with Group Policy Policies in the Administrative Templates node make changes to the registry. the following registry value is modified: H K C U \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ P o l i c i e s \ S y s t e m \ D i s a b l e R e g e d i t M o d e If you choose to restrict Regedit from running silently. Unmanaged Settings. Managed Settings. If you choose to restrict only the Registry Editor UI tool. Settings in the Administrative Templates node in the User Configuration node modify registry values in the HKEY_CURRENT_USER (HKCU) key.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 11/83 . In the case of this policy setting. and Preferences https://skillpipe. the value is set to 1. that value is set to 2.

 so a user cannot change the setting. • Changes are made in one of four keys in the registry reserved for managed policy https://skillpipe. For example.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 12/83 . Managed policy settings result in the appropriate UI being disabled. A managed policy setting has the following characteristics: • The user interface (UI) is locked.courseware-marketplace. a user cannot change the timeout delay.07/06/13 Module 7: Managing User Desktop with Group Policy There is a nuance to the registry policy settings configured by the Administrative Templates node that is important to understand—the difference between managed and unmanaged policy settings. if you configure the Screensaver Timeout policy setting.

 Together with UI lockout. This means that. The registry policy settings that have been discussed so far and that are encountered in the practices of this topic are examples of managed policy settings. https://skillpipe. this means that nonadministrative users will receive the change specified by the policy setting and cannot modify the setting on their computer.07/06/13 Module 7: Managing User Desktop with Group Policy settings: • HKLM\Software\Policies (computer settings) • HKCU\Software\Policies (user settings) • HKLM\Software\Microsoft\Windows\Current Version\Policies (computer settings) • HKCU\Software\Microsoft\Windows\Current Version\Policies (user settings) These keys are secured so that only administrators can make a change.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 13/83 . managed policy settings that had applied to a user will be released.courseware-marketplace. Additionally. the configuration is released automatically. When the user or computer is no longer within the scope of the GPO. generally. • Changes made by a Group Policy setting and the UI lockout are released if the user or computer falls out of scope of the GPO. For example. if you delete a GPO. the setting resets to its previous state. A managed policy setting effects a configuration change when the setting is applied by a GPO. the UI interface for the setting is enabled.

 but rather recommended. This is often called "tattooing" the registry. However. you can make many useful changes with unmanaged policy settings. the change is not forced. and then select from the Managed drop­down list. Central Store https://skillpipe. When a change is made by a preference.07/06/13 Module 7: Managing User Desktop with Group Policy In contrast. an unmanaged policy setting does not lock the UI for that setting. right­click Administrative Templates and click Filter Options. particularly for custom administrative templates to manage configuration for applications. Additionally. the GPME hides unmanaged policy settings to discourage you from implementing a configuration that is difficult to revert.courseware-marketplace. If the GPO no longer applies. you will work with Group Policy Preferences. To control which policy settings are visible. the setting remains. To reverse the effect of the policy setting. you must deploy a change that reverts the configuration to the desired state.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 14/83 . Later in this module. an unmanaged policy setting makes a change that is persistent in the registry. in other words. making a permanent change. By default.

courseware-marketplace.ADM format. the GPME loads the . Central Store is a single folder in SYSVOL that holds all the . Windows Server 2008 introduces Central Store. the GPME pulls the . and when you edit the GPO.ADMX/. the GPME recognizes it and loads all administrative templates from Central https://skillpipe. . After you have set up Central Store.ADM from the GPT to produce the user interface. When . When you edit a GPO that uses administrative templates in the . the GPO contains only the data that the client needs for processing Group Policy.ADML files are used as administrative templates.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 15/83 . This works well for smaller organizations.ADML files that are required.07/06/13 Module 7: Managing User Desktop with Group Policy As was previously stated.ADM files are stored as part of the GPO itself in the GPT. but for complex environments that include custom administrative templates or that require more centralized control.ADML files from the local workstation.ADMX and .ADMX and .

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 16/83 .ADML files from the appropriate language­specific subfolder of %SystemRoot%\PolicyDefinitions into the language­specific subfolder of the https://skillpipe. c o m \ S Y S V O L \ c o n t o s o .com domain would be. Copy all . c o m \ P o l i c i e s \ P o l i c y D e f i n i t i o n s If you log on to a domain controller. % S y s t e m R o o t % \ S Y S V O L \ d o m a i n \ P o l i c i e s \ P o l i c y D e f i n i t i o n s 2. Copy the .courseware-marketplace. Create a folder called PolicyDefinitions in the \\FQDN\SYSVOL\FQDN\Policies path. \ \ c o n t o s o .07/06/13 Module 7: Managing User Desktop with Group Policy Store instead of from the local machine. the local path to the PolicyDefinitions folder is. the central store for the contoso. 3.ADMX files from the %SystemRoot%\PolicyDefinitions folder of a Windows Server 2008 system to the new SYSVOL PolicyDefinitions folder. To create a central store: 1. locally or by using Remote Desktop. For example.

ADML files are located in %SystemRoot%\PolicyDefinitions\en­us. you must use a Windows Vista.ADML files. Copy them into \\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en­us.courseware-marketplace. For example.ADML files. If additional languages are required.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 17/83 .ADML files to Central Store.ADMX files and one or more folders containing language­specific .ADMX and . 4. copy the folder that contains the . English (United States) .07/06/13 Module 7: Managing User Desktop with Group Policy new SYSVOL PolicyDefinitions folder. Demonstration: Work with Settings and GPOs https://skillpipe. When you have copied all . or later to manage Group Policy. However. Note You can use the Central Store in a mixed environment with clients and servers running operating systems earlier than Windows Vista and Windows Server 2008. Windows Server 2008. the PolicyDefinitions folder on the domain controller should contain the . your administrative workstation must be running a version of Windows that is able to work with the Central Store. The GPOs you create can be applied to previous versions of Windows. That is.

 In this demonstration. Filter Administrative Template Policy Settings A weakness of the Group Policy editing tools in previous versions of Windows is the inability to search for a specific policy setting. With thousands of policies to choose from.07/06/13 Module 7: Managing User Desktop with Group Policy Group Policy editing tools in Windows Server 2008 R2 provide several new functionalities that ease configuration and management of GPOs.courseware-marketplace. it can be difficult to locate exactly the setting you want to configure. https://skillpipe. The new GPME in Windows Server 2008 solves this problem for Administrative Template settings—you can now create filters to locate specific policy settings. we will review these options.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 18/83 .

 select the Enable keyword filters check box. To locate a specific policy. enter the words with which to filter and select the fields within which to search. The screen shot here shows an example of a search for policy settings related to the screen saver.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 19/83 .07/06/13 Module 7: Managing User Desktop with Group Policy To create a filter: 1. 2. Right­click Administrative Templates and click Filter Options.courseware-marketplace. https://skillpipe.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 20/83 .07/06/13 Module 7: Managing User Desktop with Group Policy In the top section of the Filter Options dialog box shown. you can filter the view to show only policy settings that are configured. You can also filter for Group Policy settings that apply to specific versions of https://skillpipe. This can help you locate and modify settings that are already specified in the GPO.courseware-marketplace.

courseware-marketplace. in effect. Starter GPOs Another new Group Policy feature in Windows Server 2008 is starter GPOs. A starter GPO contains Administrative Template settings. You can create a new GPO from a starter GPO. Windows Server 2008 enables you to add comments to policy settings in the Administrative Templates node. in which case the new GPO is prepopulated with a copy of the settings in the starter GPO. Unfortunately. Comments You can also search and filter based on policy­setting comments.07/06/13 Module 7: Managing User Desktop with Group Policy Windows. double­click a policy setting and click the Comment tab. https://skillpipe. You should also add comments to the GPO itself. Windows Server 2008 enables you to attach comments to a GPO. and other Windows components. It is a best practice to add comments to configured policy settings to document the justification for a setting and its intended effect. A starter GPO is. click Properties. right­click the root node in the console tree. and then click the Comment tab. In the GPME. When you create a new GPO. the filter only applies to settings in the Administrative Templates nodes. you can still choose to begin with a blank GPO. a template. or you can select one of the preexisting starter GPOs or a custom starter GPO. Internet Explorer.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 21/83 . To do so.

 In the target domain. • To transfer settings between GPOs in different domains or forests. create a new GPO. There are two other ways to copy settings from one GPO into another new GPO. You will be able to import the settings of the backed up GPO. Other Ways to Copy GPO Settings Starter GPOs can contain only Administrative Templates policy settings. right­click it. Changes to the starter GPO do not affect the GPOs that were previously created from the starter GPO. and click Import Settings. • You can copy and paste entire GPOs in the Group Policy Objects container of the GPMC so that you have a new GPO with all settings of the source GPO.07/06/13 Module 7: Managing User Desktop with Group Policy After you have created a GPO from a starter GPO. Lab A: Manage Administrative Templates and Central Store https://skillpipe.courseware-marketplace. right­click a GPO and click Back Up.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 22/83 . there is no link to the starter GPO.

 click 6425C­NYC­DC1. https://skillpipe. Before you begin the lab. Wait until the virtual machine starts. In Hyper­V™ Manager. point to Administrative Tools. you must complete the following steps: 1.courseware-marketplace. you will use the available virtual machine environment.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 23/83 . and then click Hyper­V Manager. click Start. click Connect. On the host computer.07/06/13 Module 7: Managing User Desktop with Group Policy Lab Setup For this lab. 2. and in the Actions pane. In the Actions pane. 3. click Start.

 replacing the previous administrator.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 24/83 . who retired. In this exercise. You will also create a central store of administrative templates to centralize the management of templates. Ltd. you will examine and manage administrative templates. You are not certain what policy settings have been configured.07/06/13 Module 7: Managing User Desktop with Group Policy 4. so you decide to locate and document GPOs and policy settings. Log on by using the following credentials: • User name: Pat.Coleman • Password: Pa$$w0rd • Domain: Contoso Lab Scenario You were recently hired as the domain administrator for Contoso.courseware-marketplace. You also discover that the company has not leveraged either the functionality or the manageability of administrative templates. https://skillpipe. Exercise 1: Manage Administrative Templates Administrative templates provide the instructions with which the GPME creates a user interface to configure Administrative Templates policy settings and specify the registry changes that must be made based on those policy settings.

6. Task 1: Explore the syntax of an administrative template. Manage . Open the en­US folder or the folder for your region and language. Create the central store. 4.07/06/13 Module 7: Managing User Desktop with Group Policy The main tasks for this exercise are as follows: 1. 3. Double­click ControlPanelDisplay. Select the Select a program from a list of installed programs option and click OK. Explore the syntax of an administrative template. 2.courseware-marketplace. 25/83 https://skillpipe. 3.ADMX and . click Run. 2. 4. type %SystemRoot%\PolicyDefinitions.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe . Manage classic administrative templates (.ADML files. Click the Format menu and select Word wrap. The PolicyDefinitions folder opens. and press Enter. click Start.adml. 5. Select Notepad and click OK. On NYC­DC1. 1.ADM files).

courseware-marketplace. ScreenSaverIsSecure. Go to the PolicyDefinitions folder. 10. Note the name of the variable on the following line. 16. 14. 15. 8.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 26/83 . 9. This is a definition of a string variable called ScreenSaverIsSecure.07/06/13 Module 7: Managing User Desktop with Group Policy 7.admx. 13. also shown below: < p o l i c yn a m e = " S c r e e n S a v e r I s S e c u r e "c l a s s = " U s e r " d i s p l a y N a m e = " $ ( s t r i n g . Choose the Select a program from a list of installed programs option and click OK. Select Notepad and click OK. Examine the code in the file. 12. ScreenSaverIsSecure_Help. Close the file. S c r e e n S a v e r I s S e c u r e ) " e x p l a i n T e x t = " $ ( s t r i n g . Search for the text ScreenSaverIsSecure. S c r e e n S a v e r I s S e c u r e _ H e l p ) " k e y = " S o f t w a r e \ P o l i c i e s \ M i c r o s o f t \ W i n d o w s \ C o n t r o l https://skillpipe. Search for the text. 11. Note the text between the <string> and </string> tags. and the text between the <string> and </string> tags. Double­click ControlPanelDisplay.

Close the file. Identify the parts of the template that define the following: • The name of the policy setting that appears in the GPME • The explanatory text for the policy setting • The registry key and value affected by the policy setting • The data put into the registry if the policy is enabled • The data put into the registry if the policy is disabled 18.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 27/83 . Task 2: Manage classic administrative templates (. On NYC­DC1. 1.ADM files). open Group Policy Management console as Pat.courseware-marketplace. and then close Windows Explorer.Coleman_Admin https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy P a n e l \ D e s k t o p "v a l u e N a m e = " S c r e e n S a v e r I s S e c u r e " > < p a r e n t C a t e g o r yr e f = " P e r s o n a l i z a t i o n "/ >< s u p p o r t e d O n r e f = " w i n d o w s : S U P P O R T E D _ W i n 2 k S P 1 "/ >< e n a b l e d V a l u e > < s t r i n g > 1 < / s t r i n g >< / e n a b l e d V a l u e >< d i s a b l e d V a l u e > < s t r i n g > 0 < / s t r i n g >< / d i s a b l e d V a l u e >< / p o l i c y > 17.

07/06/13

Module 7: Managing User Desktop with Group Policy

2. 3. 4.

Right click Default Domain Policy object and select Edit Expand User Configuration\Policies\Administrative Templates folder, Add the office12.adm template from D:\Labfiles\Lab07b\Office 2007 Administrative Templates. Classic administrative templates (.ADM files) are provided primarily for enterprises that do not manage Group Policy with Windows Vista or Windows Server 2008 or newer operating systems. You should use a computer running the most recent version of Windows to manage Group Policy. By doing so, you will be able to view and modify all available policy settings, including those that apply to previous versions of Windows. If you have at least one computer running Windows Vista, Windows Server 2008, or later, you should use that computer to manage Group Policy, and then you will not need classic administrative templates (.ADM files) when .ADMX/.ADML files are available. Note that the template format affects only the management of Group Policy. Settings will apply to versions of Windows as described in the Supported on or Requirements section of the policy setting properties.

5. 6.

Examine the settings in this administrative template. Remove the template.

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe

28/83

07/06/13

Module 7: Managing User Desktop with Group Policy

Task 3: Manage .ADMX and .ADML files.

1.

Copy all .ADMX files and the en­us subfolder (or the appropriate subfolder for your language and region) from D:\Labfiles\Lab07b\Office 2007 Administrative Templates to %SystemRoot%\PolicyDefinitions. When you paste the files, you will be prompted for administrative credentials. Use the user name Pat.Coleman_Admin and the password Pa$$w0rd.

2.

Close and then reopen the GPME for 6425C. In the console tree, expand User Configuration\Policies\Administrative Templates. Note the addition of Microsoft® Office 2007 policy setting folders.

Task 4: Create the central store.

1.

In the GPME, select the Administrative Templates node under User Configuration\Policies and note the heading in the details pane reports: Policy definitions (ADMX files) retrieved from the local machine.

2. 3.

Close the GPME. Copy all .ADMX files from %systemroot%\PolicyDefinitionsto \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions.

4.

Copy all .ADML files from %systemroot%\PolicyDefinitions\en­us (or the appropriate folder for your language and region)to
29/83

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe

07/06/13

Module 7: Managing User Desktop with Group Policy

\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\en­us (or the appropriate folder for your language and region). 5. Edit the 6425C GPO and, in the GPME, select the Administrative Templates node under User Configuration\Policies, and note the heading in the details pane reports: Policy definitions (ADMX files) retrieved from the central store.

Results: In this exercise, you created a central store of administrative templates and added the Microsoft Office 2007 templates.

Note Do not shut down the virtual machines after you finish this lab because the settings you have configured here will be used in subsequent labs.

Lab Review Questions Question: Describe the relationship between administrative template files (both .ADMX and .ADML files) and the GPME. Question: When does an enterprise get a central store? What benefits does it provide? Question: What are the advantages of managing Group Policy from a client
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 30/83

07/06/13

Module 7: Managing User Desktop with Group Policy

running the latest version of Windows? Do the settings you manage apply to the previous versions of Windows?

Lesson 2: Configure Group Policy Preferences

In the previous versions of Windows Server, many common settings, such as mapped drives, that affect the user and computer environment could not be delivered through ordinary Group Policy settings. These settings were usually delivered through logon
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 31/83

 deploy.courseware-marketplace. What Are Group Policy Preferences? https://skillpipe. Windows Server 2008and Windows Server 2008 R2 include the new built­in feature called Group Policy Preferences in the GPMC. you will be able to: • Describe Group Policy Preferences. and manage many common operating system and application settings that they were not able to manage by using Group Policy.07/06/13 Module 7: Managing User Desktop with Group Policy scripts or imaging solutions. • Describe the differences between Group Policy settings and Group Policy Preferences. Group Policy Preferences enable IT professionals to configure.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 32/83 . • Configure and deploy Group Policy Preferences. Objectives After completing this lesson.

 The most common tasks https://skillpipe. Although preferences might not eliminate the need for logon scripts.07/06/13 Module 7: Managing User Desktop with Group Policy Group Policy Preferences are a new feature in the Windows Server 2008 and Windows Server 2008 R2 operating systems. In contrast to policy settings. Benefits of Group Policy Preferences Group Policy preferences provide the following benefits: • Reduces the need for logon scripts. you allow the users to change preferences after you’ve deployed the Group Policy Preferences.courseware-marketplace. it significantly reduces their need. and they include more than 20 new Group Policy extensions that expand the range of configurable settings within a GPO.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 33/83 .

 Using Group Policy preferences. • Minimizes image maintenance.07/06/13 Module 7: Managing User Desktop with Group Policy performed by logon scripts are installing printers. you must deploy the Group Policy Preferences CSE to any client computer to which you want to deploy preferences.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 34/83 . It supports the following Windows versions: https://skillpipe. Group Policy Preferences can be deployed in a Windows Server 2003 environment by installing Remote Server Administration Tools (RSAT) on a computer running Windows Vista SP1 or Windows 7. You can accomplish these tasks by using preferences. you can significantly reduce the time and cost of maintaining disk images. The CSE is available as a separate download from Microsoft. configuring registry settings. By default. Configuration errors during and after deployment are often the reason for support calls and escalations that lead to higher deployment costs. mapping network drives. Windows Server 2008 includes Group Policy Preferences as part of the GPME. Although you do not have to install any services to create GPOs that contain Group Policy Preferences.courseware-marketplace. • Limits configuration errors. Deploying Group Policy Preferences Group Policy preferences do not require you to install any services on servers. you can deploy a generic image and update Group Policy preferences. and copying files and folders. Group Policy preferences significantly help reduce these costs. Instead of updating images to reflect configuration changes.

Features of Group Policy Preferences Preferences support a number of features that settings do not. The result is that Group Policy preferences replace all existing settings and files associated with the preference item. Remove an existing item from the targeted computer. Create a new item on the targeted computer. • Windows 7 You must use the new version of the GPME to configure preferences. Delete and re­create an item on the targeted computer. Most Group Policy Preferences extensions support the following actions for each preference item: • Create.courseware-marketplace. https://skillpipe. This new version is part of the RSAT that can be installed on Windows Server 2008. • Delete. Windows Vista.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 35/83 .07/06/13 Module 7: Managing User Desktop with Group Policy • Windows XP SP2 • Windows Vista • Windows Server 2003 SP1 • Windows Server 2008 and Windows Server 2008 R2 already includes the CSE. and newer operating systems. • Replace.

By default. these items can only access system environment variables and local resources. Group Policy restores preference items. As a result. enable this option. Choosing this option changes the default behavior: when the GPO is removed from the user or the computer.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe . including network drives.courseware-marketplace. Group Policy preferences process preference items by using the local System account.    Remove this item when it is no longer applied Apply once and do not reapply Unlike policy settings. by default. To access user environment variables and network resources.07/06/13 Module 7: Managing User Desktop with Group Policy • Update. The following table describes the settings. Modify an existing item on the targeted computer. Group Policy does not remove preferences when the GPO is removed from the user or the computer. If you want preferences to stop processing additional items if an error occurs. you must enable this option to process the item by using the logged­ on user’s account. even though users can change the settings they create. Every Group Policy Preference item has a Common tab that you can use to configure additional options that control the behavior of the item. As a result. Item­level Targeting determines to which users and computers a preference item applies. errors do not prevent Group Policy Preferences from processing the remaining preference items in the same extension. Group Policy refreshes preference items during the regular refresh interval. Enable 36/83 https://skillpipe. Option Stop processing items in this extension if an error occurs Run in logged­on user's security context Description By default.

 You can use logical operators to join criteria. you can apply a preference if the computer matches a specific IP Address range and operating system version. You can target different preference items within a single GPO at computers based on different criteria. Targeting Control Item­level targeting determines the users and computers to which Group Policy applies individual preference items within a GPO.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 37/83 . Differences Between Group Policy Preferences and Settings https://skillpipe. and then click the Targeting button to configure targeting items  for the preference item.07/06/13 Module 7: Managing User Desktop with Group Policy targeting this option.courseware-marketplace. For example.

Preferences Preferences are not enforced. Policies Settings are enforced.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 38/83 . managed and unmanaged. you allow users to change preferences after you have deployed them. Managed settings are policy settings that you enforce.courseware-marketplace. Organizations typically deploy two types of settings. The following table describes the differences between policies and preferences. Unmanaged settings are preferences.07/06/13 Module 7: Managing User Desktop with Group Policy The key difference between preferences and policy settings is enforcement. Group Policy strictly enforces policy settings. In contrast to policy settings. https://skillpipe.

 use preferences.07/06/13 Module 7: Managing User Desktop with Group Policy User interface is not disabled. Original settings are not changed. Filtering is based on Windows Management Instrumentation (WMI) and requires writing WMI queries. Import individual registry settings or entire registry branches from a local or a remote computer. User interface is disabled. and so on. The next factor to consider is whether the application or feature is Group Policy–aware. Not available in local Group Policy. Supports filtering at a GPO level. To configure a setting without enforcing it. Removing the policy setting restores the original settings. Removing the preference item does not restore the original setting. Supports non­Group Policy–aware applications. the most important factor you must consider is whether you want to enforce the setting.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 39/83 . Targeting is granular with a user interface for each type of targeting item. https://skillpipe. Original settings are overwritten.courseware-marketplace. Requires Group Policy–aware applications. folders. you can deploy them as preference items and then disable the Apply Once And Do Not Reapply option in the configuration of the setting. Cannot create policy settings to manage files. When choosing whether to deploy an item by using Group Policy settings or preferences. Supports targeting at the individual preference item level. To enforce items for which no policy setting is available. Available in local Group Policy.

courseware-marketplace. Demonstration Steps • Add a shortcut to Notepad for NYC­CL1. • Add a folder named Reports to all computers running Windows Server 2008 R2. your instructor will show you how to configure some Group Policy Preferences. https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy Demonstration: Configure Group Policy Preferences In this demonstration.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 40/83 .

 you must complete the following steps: 1. Before you begin the lab. On the host computer. point to Administrative Tools. click Start. and in the Actions pane.07/06/13 Module 7: Managing User Desktop with Group Policy Lab B: Manage Group Policy Preferences Lab Setup For this lab. click Start. and then click Hyper­V Manager. click 6425C­NYC­DC1.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 41/83 . you will use the available virtual machine environment. 2. In Hyper­V Manager. https://skillpipe.

Add a shortcut to Notepad on the desktop of NYC­DC1. click Connect.courseware-marketplace. In the Actions pane. https://skillpipe. Wait until the virtual machine starts.Coleman • Password: Pa$$w0rd • Domain: Contoso Lab Scenario You were recently hired as the domain administrator for Contoso. 4. Create a new folder named Reports on the C: drive of all computers running Windows Server 2008. you need to deploy several Group Policy Preferences settings that will allow for more flexibility for corporate users. 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 42/83 . Exercise 1: Configure Group Policy Preferences The main tasks for this exercise are: 1. which includes eliminating the need for logon scripts to map drives. Ltd. Log on by using the following credentials: • User name: Pat.07/06/13 Module 7: Managing User Desktop with Group Policy 3. To simplify Group Policy management.

 and then click Folder. right­ click Shortcuts.exe in the All Users Desktop location.07/06/13 Module 7: Managing User Desktop with Group Policy 3. • In the New Shortcut Properties dialog box.courseware-marketplace. Task 2: Create a new folder named Reports on drive C of all computers running Windows Server 2008.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 43/83 . point to New. 1. 1. right­click Folders. in the Group Policy Management window. Task 1: Add a shortcut to Notepad on the desktop of NYC-DC1. On 6425C­NYC­DC1. Windows Settings. configure the Default Domain Policy GPO with the following settings: • Under Computer Configuration. and then click Shortcut. Configure drive mapping. under Windows Settings. • On the Common tab. Preferences. In the Group Policy Management Editor window. point to New. create a shortcut for Notepad. 2. https://skillpipe. configure item­level targeting for the computer NYC­ DC1. Leave the Group Policy Management Editor window open for the next task.

Create a new mapped drive labeled Data for \\NYC­DC1\Data by using the drive letter P and select the Reconnect option. Verify that the preferences have been applied. and then click Mapped Drive. On the Common tab. Preferences. Task 3: Configure drive mapping. In the Group Policy Management Editor window. 2. Exercise 2: Verify Group Policy Preferences Application The main tasks for this exercise are: 1. point to New. Task 1: Verify that the preferences have been applied https://skillpipe. 4. 1. configure item­level targeting for the Windows Server 2008R2 operating system. In the New Folder Properties dialog box.courseware-marketplace. 3. Windows Settings. Drive Maps.07/06/13 Module 7: Managing User Desktop with Group Policy 2. Leave the Group Policy Management Editor window open for the next task. create the C:\Reports folder. right­click Drive Maps. under User Configuration.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 44/83 .

07/06/13 Module 7: Managing User Desktop with Group Policy 1. On NYC­DC1.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 45/83 . log off. Lab Review Questions Question: What is the alternate method of providing drive mapping to users. and then log on again as Contoso\Pat. you configured and tested Group Policy Preferences and verified their application. Result: In this exercise. Note It may take a few moments for this folder to appear. Verify that the C:\Reports folder exists.Coleman. 3. Note Do not shut down the virtual machines after you are finish with this lab because the settings you have configured here will be used in the subsequent labs. instead of https://skillpipe. Verify that drive P is mapped to the Data share on NYC­DC1. 2.courseware-marketplace.

courseware-marketplace.07/06/13 Module 7: Managing User Desktop with Group Policy using Preferences? Question: If you apply a Group Policy preferences setting.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 46/83 . can you change this setting on the client side? Lesson 3: Manage Software with GPSI You might be aware of several tools that can be used to deploy software within an https://skillpipe.

Objectives After completing this lesson. • Describe software deployment options. you can effectively deploy most software without these tools by using only Group Policy software installation (GPSI). including features to meter software use and inventory systems.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 47/83 .courseware-marketplace. including Microsoft System Center Configuration Manager and its predecessor Microsoft Systems Management Server (SMS).07/06/13 Module 7: Managing User Desktop with Group Policy organization. • Remove software originally installed with GPSI. Understand GPSI https://skillpipe. Although these tools provide great benefits. you will be able to: • Deploy software by using GPSI.

3. https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy GPSI is used to create a managed software environment that has the following characteristics: 1. Users have access to the applications they need to do their jobs. 2.courseware-marketplace. no matter which computer they log on to. or removed to meet the needs of the organization. without intervention from a technical support representative.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 48/83 . Applications can be updated. maintained. Computers have the required applications.

Windows Installer Packages GPSI uses the Windows Installer service to install.msi extension that describes the installed state of the application. The extension enables you to manage centrally the initial deployment. The Windows Installer service manages software by using information contained in the application’s Windows Installer package. and remove software. CSEs were discussed in Module 6. Adobe provides an enterprise deployment tool for Adobe Acrobat Reader that generates a transform. You can customize Windows Installer packages by using one of the following types of files: • Transform (.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 49/83 . maintain. such as automatic updates that involve access to the Internet.mst) files. Some applications provide wizards or templates that permit a user to create transforms. The Windows Installer package is in a file with an . For example. https://skillpipe. the upgrades.07/06/13 Module 7: Managing User Desktop with Group Policy The software installation extension is one of the many client­side extensions (CSEs) that support change and configuration management by using Group Policy. All configuration of the software deployment is managed within a GPO by using procedures detailed later in this lesson. and the removal of software.courseware-marketplace. The package contains explicit instructions regarding the installation and removal of an application. Many enterprises use the transform to configure agreement with the end­user license agreement and to disable certain features of the application. These files provide a means for customizing the installation of an application.

msp) files. updates to Microsoft Office 2003 and later are provided as . or software update. Note You cannot deploy . For example.com/fwlink/?LinkID=214197for details.msp files. bug fixes.microsoft. can manage applications that use other deployment mechanisms. allowing for a more secure enterprise. Most organizations do not use .mst or . including Configuration Manager and SMS. An . Other tools. because the installation of the application requires the user to have administrative privileges on the system. See knowledge base article 231747 at http://go.courseware-marketplace. https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy • Update (. These files are used to update an existing . GPSI can make limited use of non­MSI application files (. They must be applied to an existing Windows Installer package. also known as down­level application packages.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 50/83 . the user does not require administrative privileges.msp file provides instructions about applying the updated files and registry keys in the software patch.zap file). and service packs.msi file for security updates.zap files. When GPSI installs an application by using a Windows Installer package. Note GPSI can fully manage applications only if the applications are deployed by using Windows Installer packages.msp files alone. that specify the location of the software distribution point (SDP) and the setup command. service pack.

 transforms.07/06/13 Module 7: Managing User Desktop with Group Policy The . You assign required or mandatory software to users or to computers. and other files required to install an application are stored in a shared software distribution point (SDP). You publish software that users might find useful in performing their jobs.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 51/83 . Assigning Applications https://skillpipe.msi file. Software Deployment Options You can deploy software by assigning applications to users or computers or by publishing applications for users.courseware-marketplace.

 When you assign an application to the computer. the application can be installed when a user opens a file type associated with the application.pdf extension. the application does not appear as if it is installed on the users’ computers. Additionally. advertising the availability of the application. This application is installed the first time the user activates the application on the computer. Instead. Given that applications can be either assigned or published and targeted to users or computers. are updated and its shortcuts are created on the Start menu or desktop.07/06/13 Module 7: Managing User Desktop with Group Policy When you assign an application to a user. Windows Vista®. For example. the application’s local registry settings. including file name extensions. Publishing Applications When you publish an application to users. the application appears as an available application for the user to install using Add Or Remove Programs in Control Panel on a Windows XP system or in programs and features on a Windows Server 2008. The following table details the different software deployment options. you can establish a workable combination to meet your software management goals. The application advertisement follows the user.courseware-marketplace. https://skillpipe. regardless of which physical computer the user logs on to. if Acrobat Reader is advertised to users. No shortcuts are visible on the desktop or Start menu. the application is installed during the computer’s startup process. or Windows 7 system.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 52/83 . it will be installed if a user opens a file with a . either by selecting the application on the Start menu or by opening a document associated with the application.

Does not apply; the software is already installed. the software is available for installation: Typically. Yes. The next time a user logs on. The software is installed automatically when the computer starts. https://skillpipe. Start menu or desktop shortcut.courseware-marketplace. Windows Vista. the user installs the software from: Add Or Remove Programs in Control Panel (Windows XP) or programs and features (Windows Server 2008. does the software install? Yes (if auto­install is enabled). An application can also be configured to install automatically at logon.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 53/83 . and Windows 7).    Assign (User) The next time a user logs on. If the software is not installed and the user opens a file associated with the software.    Assign (Computer) The next time the computer starts.07/06/13 Module 7: Managing User Desktop with Group Policy Software Deployment Options    Publish (User  Only) After deployment of the GPO.

 you can prepare the SDP. No.courseware-marketplace. and the user can choose to install it again from Control Panel. Demonstration: Create a Software Distribution Point Now that you understand GPSI at a high level.msi files). Windows Installer packages (.zap files.07/06/13 Module 7: Managing User Desktop with Group Policy Can the user remove the software by using Control Panel? Yes. . Yes.msi files).msi files). and the software is available for installation again from the Start menu shortcuts or file associations. Windows Installer packages (.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 54/83 . Only a local administrator can remove the software; a user can run a repair on the software. Supported installation files: Windows Installer packages (. The SDP is https://skillpipe.

courseware-marketplace. and then press Enter. 4. but do not log on. expand the contoso.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe . point to New. and all other necessary files to the application folders. Run Active Directory Users and Computers with administrative credentials. expand the contoso. Start 6425C­NYC­DC1 and log on as Pat.com domain and the Groups OU. Set appropriate permissions on the folders that allow users or computers Read & Execute permission—the minimum permission required to successfully install an application from the SDP. and 55/83 https://skillpipe. Switch to NYC­DC1. Demonstration Steps 1. In the console tree. 8. Then.Coleman_Admin with the password Pa$$w0rd. 6. Create a shared folder and a separate folder for each application.07/06/13 Module 7: Managing User Desktop with Group Policy simply a shared folder from which users and computers can install applications. modifications. copy the software package. Type APP_XML Notepad. 5. Right­click the Application OU. Pa$$w0rd. Start 6425C­NYC­SVR1. and then click Group.Coleman with the password. and then click the Application OU. In the console tree. Use the account Pat. 3. The administrators of the SDP must be able to change and delete files to maintain the SDP over time. 7.com domain and the Servers OU. 2.

Accept the default Share name. In the console tree. The Advanced Security Settings dialog box appears. In the Folder Path box. 9. and then click Next. A message appears asking if you want to create the folder. 10. Click Security. In the details pane. 18. type C:\Software. 12. and then click New Share. The Create a Shared Folder Wizard appears. 17. and then click Custom. focused on NYC­SVR1. and then click Next. and then click Shares. 11. The Computer Management console opens.courseware-marketplace. Click Change Permissions. 19. Click Customize permissions. 13. Click Next. Click Advanced. expand System Tools and Shared Folders. 15. 14.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 56/83 . Right­click Shares. https://skillpipe. Software. 16. and then click Manage. Click Yes.07/06/13 Module 7: Managing User Desktop with Group Policy then click the File OU. right­click NYC­SVR1.

 and then click Remove. The resultant access level will be the more restrictive permissions defined in the ACL of the folder.07/06/13 Module 7: Managing User Desktop with Group Policy 20. and then click Remove. Click OK two times to close the Advanced Security Settings dialog boxes. In the Customize Permissions dialog box. 25. Select the remaining permission assigned to the Users group. Click OK. 28. Select the first permission assigned to the Users group. 27. 23. which will apply to users. Click Add. A dialog box appears asking if you want to Add or Remove inherited permissions.courseware-marketplace. regardless of how users connect to the resource. Select the permission assigned to Creator Owner. Clear the Include inheritable permissions from this object's parent option. Select the Full Control check box. and then click Remove.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 57/83 . The security management best practice is to configure least privilege permissions in the ACL of the resource. 21. 24. at which point you can use the Full Control permission on the SMB shared folder. click the Share Permissions tab. https://skillpipe. 26. 22.

30. In the User name box. Click Add. A Windows Explorer window opens. 40. Open the Software folder. 39. 35. type Pa$$w0rd. Click Edit. The Connect to NYC­SVR1 dialog box appears. 32. In the Password box. and then press Enter. Type XML Notepad. 34. click Run. Right­click the XML Notepad folder. 37. or Groups dialog box appears. 33. Click Finish to close the wizard. type \\NYC­SVR1\c$.07/06/13 Module 7: Managing User Desktop with Group Policy 29. type CONTOSO\Pat.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 58/83 . Click Start. Click Finish. https://skillpipe. Service Accounts. and then press Enter. 31. The Select Users. focused on the root of the drive C on NYC­ SVR1.courseware-marketplace. and then press Enter." 36. Computers. 38. and then click Properties. Click Security. A new folder is created and is in "rename mode. Click New folder.Coleman_Admin.

Create and Scope a Software Deployment GPO https://skillpipe. The group is given the default. 44. 46. 48. Type APP_XML Notepad. and then press Enter. 45. Close all open Windows Explorer windows. 42. Right­click in the empty details pane.msi. and then click Copy.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 59/83 . Close the Computer Management console. Open the D:\Labfiles\Lab07c folder in a new window. displaying \\NYC­ SVR1\c$\Software\XML Notepad. 47. 49. and then click Paste. Switch to the Windows Explorer window. Right­click XMLNotepad. Read & Execute permission. Open the XML Notepad folder.courseware-marketplace. 43. Click OK twice to close all open dialog boxes.07/06/13 Module 7: Managing User Desktop with Group Policy 41. XML Notepad is copied into the folder on NYC­SVR1.

 select the Software Installation node in the User Configuration branch. choose New. Alternatively. 3. 4. https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy To create a software deployment GPO. and then select Package. Right­click Software Installation. you must perform the following steps: 1.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 60/83 . Edit the GPO by using the Group Policy Management Editor. Use the Group Policy Management console to create a new GPO or select an existing GPO. Expand the console nodes Computer Configuration\Policies\Software Settings\Software Installation. 2.courseware-marketplace.

 Therefore. Assigned. Select Published.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 61/83 . https://skillpipe. The package properties dialog box then appears. configure Published or Assigned. or Advanced. The Advanced option enables you to specify whether the application is published or assigned and gives you the opportunity to configure advanced properties of the software package.courseware-marketplace.07/06/13 Module 7: Managing User Desktop with Group Policy 5.msi file for the application. Click Open. Browse to locate the . You cannot publish an application to computers. Among the more important properties that you can configure are the following choices: • Deployment Type: On the Deployment tab. The Deploy Software dialog box appears. shown in the following screen shot: 6. so the option will not be available if you are creating the package in the Software Installation node in Computer Configuration. select Advanced.

 Most tabs in the package Properties dialog box are available for you to change settings at any time. applications published by using GPSI are presented in groups based on these categories. right­click Software Installation and click Properties. These options.courseware-marketplace. Upgrades are discussed in the “Maintain Software Deployed with GPSI” section later in this lesson. • Uninstall This Application When It Falls Out Of the Scope Of Management: If this option is selected. Categories are used when an application is published to a user. • Modifications: If you have a transform (. Then.07/06/13 Module 7: Managing User Desktop with Group Policy • Deployment Options: Based on the selected deployment type. https://skillpipe. along with other settings on the Deployment tab.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 62/83 . different choices appear in the Deployment Options section. When the user opens the Control Panel to install a program. the Modifications tab is available only when you create the new package and select the Advanced option. • Upgrades: On the Upgrades tab. click the Categories tab. manage the behavior of the application installation. • Categories: The Categories tab enables you to associate the package with one or more categories. • To create categories that are available to associate with packages. click the Add button to associate the transform with the package.mst file) that customizes the package. However. the application will be automatically removed when the GPO no longer applies to the user or computer. you can specify the software that this package will upgrade.

Maintain Software Deployed with GPSI https://skillpipe. For example. the application is installed on each computer to which the user logs on.07/06/13 Module 7: Managing User Desktop with Group Policy Managing the Scope of a Software Deployment GPO After you have created a software deployment GPO.courseware-marketplace. In many software management scenarios. and if the application is assigned to a user. You can scope a GPO by linking the GPO to an OU or by filtering the GPO so that it applies only to a selected global security group. This is because most software licenses allow an application to be installed on one computer.com/fwlink/?LinkID=214198)would be linked to the domain and filtered with a group containing developers that require the tool.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 63/83 . Many organizations have found that it is easiest to manage software by linking an application’s GPO to the domain and filtering the GPO with a global security group that contains the users and computers to which the application should be deployed.microsoft. applications should be assigned to computers rather than to users. you can scope the GPO to distribute the software to appropriate computers or users. a GPO that deploys the XML Notepad tool (available from the Microsoft downloads site at http://go. The group would have a descriptive name that indicates its purpose to manage the deployment of XML Notepad such as APP_XML Notepad.

https://skillpipe. small changes might have been made to the original Windows Installer package.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 64/83 . click All Tasks. the computer will not attempt to reinstall the application at each Group Policy refresh. and then select Redeploy Application.07/06/13 Module 7: Managing User Desktop with Group Policy After a computer has installed an application by using the Windows Installer package specified by a GPO.courseware-marketplace. There might be scenarios in which you want to force systems to reinstall the application. To redeploy an application deployed with Group Policy: • Right­click the package in the GPO. For example.

2. Select whether the package for the previous version of the application is in the current GPO or in another GPO. The Add Upgrade Package dialog box appears. Click the Upgrades tab. 4.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 65/83 . click Browse to select that GPO.07/06/13 Module 7: Managing User Desktop with Group Policy You can also upgrade an application that has been deployed with GPSI. Right­click the package and click Properties. 1.courseware-marketplace. https://skillpipe. 3. and then click the Add button. Create a package for the new version of the application in the Software Installation node of the GPO. If the previous package is in another GPO. The package can be in the same GPO as the package for the previous version or in any different GPO.

07/06/13 Module 7: Managing User Desktop with Group Policy 5. Based on your knowledge of the application’s upgrade behavior. 2. • Uninstall the existing package. and then install the upgrade package • Package can upgrade over the existing package 7. This option. In the Remove Software dialog box. choose one of the following two options: • Immediately uninstall the software from users and computers. Right­click the package. The software installation extension will remove an application when the computer restarts if the application was deployed with a package in the Computer Configuration portion of the GPO. Click OK.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 66/83 . But Prevents New https://skillpipe. click All Tasks. 6. Then. • Allows Users To Continue To Use The Software. choose one of the upgrade options shown at the lower part of the dialog box. the application is uninstalled the next time the user logs on.courseware-marketplace. and then select Remove. select the package from the Package to upgrade list. You can also remove an application that was deployed with GPSI by performing the following steps: 1. If the package is in the User Configuration portion. known as forced removal. causes computers to remove the application.

 the software is not removed according to your instructions. If. which specifies forced or optional removal. disable. or unlink the GPO. you chose the Uninstall this application when it falls out of the scope of management option. you can simply delete. Clients need to receive this setting.courseware-marketplace. This setting. or unlink the GPO. If the GPO is deleted or no longer applied before all clients have received this setting. when creating the software package. disable. If you use one of these two options to remove software by using GPSI. This is particularly important in environments with mobile users on laptop computers that might not connect to the network on a regular basis. known as optional removal.07/06/13 Module 7: Managing User Desktop with Group Policy Installations. causes the software installation extension to avoid adding the package to systems that do not yet have the package installed. it is important that you allow the settings in the GPO to propagate to all computers within the scope of the GPO before you delete. so users can continue using it. Computers that had previously installed the application do not forcibly uninstall the application. and the application will be forcibly removed by all clients that have installed the package with that setting. GPSI and Slow Links https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 67/83 .

07/06/13 Module 7: Managing User Desktop with Group Policy When a client performs a Group Policy refresh. By default. it tests the performance of the network to determine whether it is connected by using a slow link defined by default as 500 kilobits per second (kbps). you could modify the https://skillpipe. Each client­side extension is configured to process Group Policy or to skip the application of settings on a slow link. You can change the slow link policy processing behavior of each client­side extension by using policy settings located in Computer Configuration\Policies \Administrative Templates\System\Group Policy.courseware-marketplace. GPSI does not process Group Policy settings over a slow link because the installation of software over a slow link could cause significant delays. For example.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 68/83 .

You can also change the connection speed threshold that constitutes a slow link. you can convince the client­side extensions that a connection is not a slow link.07/06/13 Module 7: Managing User Desktop with Group Policy behavior of the software installation extension so that it does process policies over a slow link. There are separate Group Policy Slow Link Detection policy settings for computer policy processing and user policy processing. The policies are in the Administrative Templates\System\Group Policy folders in Computer Configuration and User Configuration. Lab C: Manage Software with GPSI https://skillpipe.courseware-marketplace. even if it actually is.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 69/83 . By configuring a low threshold for the connection speed.

2. click Start. On the host computer. and in the Actions pane. you must complete the following steps: 1. Wait until the virtual machine starts. 3. point to Administrative Tools.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 70/83 . In Hyper­V Manager. If required. click Connect. In the Actions pane. and then click Hyper­V Manager. click 6425C­NYC­DC1.07/06/13 Module 7: Managing User Desktop with Group Policy Lab Setup For this lab.courseware-marketplace. you will use the same virtual machine environment used in previous labs. click Start. https://skillpipe.

 Most applications are licensed per computer. Do not log on to the machine until directed to do so. Log on by using the following credentials: • User name: Pat. You decide to use Group Policy Software Installation.07/06/13 Module 7: Managing User Desktop with Group Policy 4. including NYC­CL1.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 71/83 . rather than associating the application with their user accounts. The main tasks for this exercise are as follows: https://skillpipe. so you will deploy XML Notepad to the developers' computers. Ltd. you will use GPSI to deploy XML Notepad to computers. Lab Scenario You are an administrator at Contoso. Your developers require XML Notepad to edit XML files.Coleman • Password: Pa$$w0rd • Domain: Contoso 5. Exercise 1: Deploy Software with GPSI In this exercise.courseware-marketplace. and you want to automate the deployment and life cycle management of the application. Repeat steps 2 and 3 for 6425C­NYC­SVR1.

 right­click NYC­SVR1. 1.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 72/83 . and then click Manage. Deploy software to computers. Confirm the successful deployment of software.courseware-marketplace. with a share name of Software. 4. In the Groups\Application OU. 3.07/06/13 Module 7: Managing User Desktop with Group Policy 1. In the Servers\File OU. Create a software distribution folder. 2. Create a software deployment GPO. Configure the NTFS permissions as described below: • System: Allow: Full Control • Administrators: Allow: Full Control https://skillpipe. 3. 2. On NYC­DC1. create a new global security group named APP_XML Notepad. run Active Directory Users and Computers as an administrator. 4. with the user name Pat. Task 1: Create a software distribution folder. Use the Shared Folders snap­in to create a new shared folder.Coleman_Admin and the password Pa$$w0rd. C:\Software.

Close any open Windows Explorer windows. Copy XML Notepad. Open the administrative share for drive C on NYC­SVR1 (\\NYC­SVR1\c$) as Pat. 9. https://skillpipe. 10. The resultant access level will be the more restrictive permissions defined in the ACL of the folder. configure the Share permission such that the Everyone group is allowed Full Control. 6. at which point you can use the Full Control permission on the SMB shared folder.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 73/83 . Inside the Software folder on NYC­SVR1. Security management best practice is to configure least privilege permissions in the ACL of the resource. Add permission to the XML Notepad folder so that the APP_XML Notepad group is allowed Read & Execute permission. Close the Computer Management console.Coleman_Admin with the password Pa$$w0rd. 5. 7.07/06/13 Module 7: Managing User Desktop with Group Policy Then. which will apply to users. 8. create a folder called XML Notepad.courseware-marketplace.msi from D:\Labfiles\Lab07c to \\NYC­ SVR1\c$\Software\XML Notepad. regardless of how users connect to the resource.

9. 8. Click the Deployment tab. 5. Software Settings. Policies. 4. 7.courseware-marketplace. Assigned is the only option. Select the Windows Installer package. XmlNotepad.msi; and then click Open.Coleman_Admin and the password Pa$$w0rd. Expand Computer Configuration. type the network path to the software distribution folder. Click Advanced. with the user name Pat. On the General tab. Run Group Policy Management as an administrator. note that the name of the package includes the version. Note that when deploying software to computers. Edit that GPO. create a new GPO called XML Notepad. Examine the options that would be available if you were assigning or publishing https://skillpipe. 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 74/83 . and then click Package. 6. and then press Enter. In the File name text box.07/06/13 Module 7: Managing User Desktop with Group Policy Task 2: Create a software deployment GPO. the Deploy Software dialog box appears. After a few moments. and then click OK. In the Group Policy Objects container. \\NYC­SVR1\software\XML Notepad. and then click Software Installation. 1. point to New. XML Notepad 2007. Right­click Software Installation. 3.

Link the GPO to the Client Computers OU. 1. Task 4: Confirm the successful deployment of software. and not to Authenticated Users. Close the Group Policy Management Editor. Click OK. Log on to NYC­CL1 as Pat. Task 3: Deploy software to computers. 2. Scope the GPO to apply only to members of APP_XML Notepad.Coleman with the password Pa$$w0rd.07/06/13 Module 7: Managing User Desktop with Group Policy the application to users. 13. 12. 2. Select Uninstall This Application When It Falls Out Of The Scope Of Management. 14.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe . Confirm that XML Notepad installed successfully. Start 6425C­NYC­CL1. 75/83 https://skillpipe. but do not log on. 10. 11. Add NYC­CL1 to the APP_XML Notepad group.courseware-marketplace. 1.

The main task for this exercise is as follows: • Create an upgrade package by using GPSI. You may need to do this a couple of times. if you do not see Notepad installed. Task 1: Create an upgrade package by using GPSI. Exercise 2: Upgrade Applications with GPSI In this exercise. and it may take two startups to be successful. right­click the XML Notepad 76/83 https://skillpipe. restart the virtual machine. 1.courseware-marketplace. In the Group Policy Management console tree. 2. you will simulate deploying an upgraded version of XML Notepad.07/06/13 Module 7: Managing User Desktop with Group Policy Note When verifying the deployment of the xml notepad. Results: In this exercise.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe . Switch to NYC­DC1. you deployed XML Notepad to NYC­CL1.

 Assigned is the only deployment type option. 6. The Group Policy Management Editor opens. change the name of the package to suggest that it is the next version of the application. This exercise will use the existing XmlNotepad.msi file as if it is an updated version of XML Notepad. 10. 11.msi. Software Settings.07/06/13 Module 7: Managing User Desktop with Group Policy GPO in the Group Policy Objects container. Select the Windows Installer package. and then click Software Installation. Because you are deploying the application to computers. In the console tree. and then click Edit. and then click Open. Click Advanced. 9. 7. 5. XmlNotepad. and then press Enter. In the File name text box. and then click Package.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 77/83 .courseware-marketplace. and then click OK. On the General tab. type the network path to the software distribution folder. Type XML Notepad 2011. https://skillpipe. Right­click Software Installation. point to New. expand Computer Configuration. Click Upgrades. Policies. Click the Deployment tab. 8. 3. 4. \\NYC­SVR1\software\XML Notepad. The Deploy Software dialog box appears. Click Add.

 select the package for the simulated earlier version. and then click OK. point to All Tasks. the new package would upgrade the previous version of the application as clients applied the XML Notepad GPO. 16. If this were an actual upgrade. Click OK. 17.courseware-marketplace. click Immediately uninstall the software from users and computers. 13.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 78/83 . which you just created to simulate an upgrade. 14. 18. In the Remove Software dialog box. you can remove the simulated upgrade package.07/06/13 Module 7: Managing User Desktop with Group Policy 12. In the Package to upgrade list. Click OK. Select the Uninstall the existing package and then select then install the upgrade package option. Because this is only a simulation of an upgrade. https://skillpipe. and then select Remove. Click the Current Group Policy Object (GPO) option. Results: In this exercise. you simulated an upgrade of XML Notepad by using GPSI. XML Notepad 2007. 15. Right­click XML Notepad 2011.

courseware-marketplace. click Revert. Repeat these steps for 6425C­NYC­CL1. 3. Right­click 6425C­NYC­DC1in the Virtual Machines list. start Hyper­V Manager. On the host computer. To do this. complete the following steps: 1. and then click Revert. revert the virtual machines to their initial state. In the Revert Virtual Machine dialog box. Explain why these least privilege permissions are preferred to the default permissions.07/06/13 Module 7: Managing User Desktop with Group Policy To prepare for the next module When you finish the lab. 4. https://skillpipe. Lab Review Questions Question: Consider the NTFS permissions you applied to the Software and XML Notepad folders on NYC­SVR1. 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 79/83 .

 and linking the GPO to the Client Computers OU. filtering the GPO to apply to the APP_XML Notepad group that contains only computers.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 80/83 .courseware-marketplace. Why is this approach advantageous for deploying most software? What would be the disadvantage of scoping software deployment to users rather than to computers? Module Review and Takeaways https://skillpipe.07/06/13 Module 7: Managing User Desktop with Group Policy Question: Consider the methods used to scope the deployment of XML Notepad: Assigning the application to computers.

07/06/13 Module 7: Managing User Desktop with Group Policy Review Questions 1.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe . What is the difference between publishing and assigning software through GPSI? Common Issues Related to Group Policy Management Issue Troubleshooting tip 81/83 https://skillpipe. 2. What is the benefit of having Central Store? What is the main difference between Group Policy Settings and Group Policy Preferences? 3.

 so you must ensure that only the right users get the mappings.07/06/13 Module 7: Managing User Desktop with Group Policy Group Policy Preferences are not being applied.courseware-marketplace. Not all users need these drive mappings.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 82/83 . You want to move away from using these scripts. Group Policy Software installation does not work for some users       Real-World Issues and Scenarios You have a number of logon scripts that map network drives for users.msi format to a large number of users or computers. Tools https://skillpipe. Best Practices Related to Group Policy Management • Make comments on GPO settings • Use Central Store for Administrative templates when having clients with Windows Vista and Windows 7 • Use Group Policy preferences to configure settings not available in Group Policy set of settings • Use Group Policy Software Installation to deploy packages in .

Command­line utility GPUpdate Refreshing local and AD DS­ based Group Policy settings. Command­line utility Dcgpofix Restoring the default Group Policy objects to their original state after initial installation. For use with Windows Vista and later versions. HTML.courseware-marketplace. Command­line utility GPOLogView Exporting Group Policy­related events from the system and operational logs into text. or XML files. Where to find it Group Policy Management Console GPResult A command­line utility that displays RSoP information.07/06/13 Module 7: Managing User Desktop with Group Policy Tool Group policy reporting RSoP Use for Reporting information about the current policies being delivered to clients.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=9&FontSize=3&FontType=segoe 83/83 . Command­line utility https://skillpipe.