無強制要求採購共同供應契約廠商提供之服務，可由機關人員參考技服中心公告之GCB說明文件、部署資源、教育訓練教材及數位教材影片後，自行導入政府組態基準(GCB)。

NICS網站/GCB專區

群組原則管理時，GPO連結順序依設定值大小決定，連結順序的數字越小優先權越高，調整方式如下：
1. 選取欲調整之GPO，並點選下圖標示之移動按鈕，即可調整連結順序。

2. 結果顯示已將例外管理的連結順序調整至最優先。

請參閱下方說明文件：

WMI篩選器操作說明

請依照下列步驟操作，以顯示MSS類別的設定：
1.安裝LocalGPO程式。
2.按右鍵「以系統管理員身分執行」啟動LocalGPO Command 程式。
3.在LocalGPO Command輸入「cscript LocalGPO.wsf /ConfigSCE」執行後，就可以在群組原則編輯器看到MSS類別的設定。

執行「gpupdate /force」指令後，若顯示如下圖之失敗訊息，請先行檢視網域設定是否正常，若網域設定正常，可能為網域主機系統忙碌或網路連線異常導致使用者電腦更新群組原則失敗。

若機關須針對政府組態基準(GCB)條目進行測試，建議以二分法方式逐漸縮小範圍進行，如下圖以Microsoft Windows 7為例，將GPO分為「Account Policy、Computer Settings」與「 Firewall Settings、User Settings」等兩個群組，依次部署於測試環境，經測試後發現「Account Policy、Computer Settings」影響加解密相關程式，再拆分測試後發現為「Computer Settings」條目影響，單獨針對「Computer Settings」測試後即可釐清TWGCB-01-001-0040影響加解密相關程式，並可針對此項目進行例外管理。

如下圖所示，建議於上層OU部署技服中心政府組態基準(GCB)之GPO，在下層各科室OU部署例外管理GPO，依政府組態基準(GCB)套用原則，下層OU之設定會覆蓋上層OU設定值，以達成針對不同科室派送不同例外管理GPO之需求。

當機關組態設定值與技服中心公告之「政府組態基準文件」表列項目不同時，皆需列入例外管理，以確實控管可能存在的風險。若不在「政府組態基準文件」表列項目中，則不需列入例外管理。

GCB數位教材內容已納入例外管理表單範例，供機關參考以了解例外管理流程與需記錄之資訊，機關可依需求進行調整。相關內容請參閱「政府組態基準(GCB)」專區之「GCB數位教材-->政策說明、例外管理及部署教學教材」。

政策說明、例外管理及部署教學教材

建議機關針對所有例外管理項目訂立配套措施以提升安全性，若有無法訂立配套措施之情形，請機關以內部審查方式記錄例外管理項目清單，以確實控管資安風險。

LocalGPO及LGPO皆為Microsoft應用程式，提供以單機部署方式將GPO匯入電腦之功能，並產生相同的群組原則套用結果。
1. LocalGPO需進行安裝且Windows8.1、Windows 10、Windows Server 2012、Windows Server 2016無法直接使用，需至LocalGPO.wsf檔案新增程式碼後才可正常執行，GPO部署後若需進行還原，可透過指令直接回復至系統預設值。
2. LGPO為免安裝軟體且無作業系統版本限制，在GPO部署前需透過指令備份當下組態設定，後續還原將以此備份檔為基準。

請參閱下方說明文件：

LocalGPO操作說明

請參閱下方說明文件：

LocalGPO Script檔修改方式說明

請參閱下方說明文件：

LGPO操作方式說明

可選擇下列其中一種方式解決Path not found的問題：
1.移除目錄名稱中的空白，例如將「Windows 10 Account Settings」調整為「Windows10AccountSettings」。
2.匯入時將資料夾名稱前後加入雙引號，例如："C:\Windows10AccountSettings\{BB605EAD-FFC0-4763-AD67-F9B2125C54DA}"。

使用者執行上傳資料時，在下拉式選單中選擇以SFTP協定傳送即可排除問題。

執行程式時，按右鍵選擇「以系統管理員身分執行」，即可排除問題。

使用「筆硯公文系統」操作「線上簽核」功能，出現如下圖所示之錯誤訊息，可在執行IE瀏覽器時，按右鍵選擇「以系統管理員身分執行」，便可排除問題。

經實際測試，政府組態基準(GCB)不會影響健保卡驗證元件安裝，由於此元件安裝時，需寫入網域名稱對照資料至「C:\Windows\System32\drivers\etc\hosts」檔案中，才可順利完成安裝，建議檢視是否有鎖定hosts檔或將其設定為唯讀之情形。

目前僅提供鎖定的Excel工作表供機關參閱，如有編輯需求可將內容複製到新增的Excel資料表中進行。

Microsoft已終止LocalGPO版本更新，目前「GCB部署資源」頁面所提供之檔案為最終版本。

使用LocalGPO進行單機部署時，若出現「稽核原則程式停止」之訊息，不會影響GPO套用結果。

在已加入網域的電腦中，若同一條群組原則在Rsop.msc與Gpedit.msc皆有設定值，依群組原則套用順序，請以Rsop.msc的設定值為標準。

部署政府組態基準(GCB)時，可將所有GPO連結到網域，並使用WMI篩選器讓GPO套用到對應的電腦，惟若需使用此方式進行GPO套用，建議先進行小範圍測試後，再部署至全機關。

TWGCB-ID為我國政府組態基準專屬編碼方式，機關人員可透過TWGCB-ID快速查找GCB組態設定項目，目前已公告之政府組態基準說明文件皆已制定相對應之編碼供機關參考。

Windows Server 2012 R2與Windows Server 2016政府組態基準(GCB)定義之伺服器角色，係指於「伺服器管理員」安裝之角色，各角色於「伺服器管理員」之確認方式說明如下：

1.DC Server：點選「AD DS」進入「伺服器」畫面，檢查「角色和功能」列表中是否包含「Active Directory 網域服務」角色服務。

2.DNS Server：點選「DNS」進入「伺服器」畫面，檢查「角色和功能」列表中是否包含「DNS伺服器」角色服務。

3.File Server：點選「檔案與存放服務」進入「伺服器」畫面，檢查「角色和功能」列表中是否包含「檔案伺服器」角色服務。

4.Web Server：點選「IIS」進入「伺服器」畫面，檢查「角色和功能」列表中是否包含「網頁伺服器」角色服務。

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"使用者權限指派"=>"拒絕透過遠端桌面服務登入"」設為啟用，在「新增使用者或群組」處輸入「本機帳戶」即可。

若伺服器主機同時存在多個伺服器角色，各伺服器角色皆須部署專用群組原則物件，部署方式請參閱108年政府組態基準(GCB)實作研習活動教材-Windows Server 2016組態設定與實作練習。

108年政府組態基準(GCB)實作研習活動教材

政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整設定值，方法如下：

請調整群組原則設定，將啟動服務之帳戶加入「"電腦設定"=>"Windows 設定"=>"安全性設定"=>"本機原則"=>"使用者權限指派"=>"以服務方式登入"」，以允許帳戶啟動服務。

依照群組原則物件(GPO)部署方式與啟動帳戶類型之不同，設定方式說明如下：

1.單機部署GPO
    1.1.單機部署GPO，以網域帳戶啟動服務：
        至本機端使用本機群組原則編輯器(Gpedit.msc)設定「以服務方式登入」，加入啟動服務之網域帳戶。
    1.2.單機部署GPO，以本機帳戶啟動服務：
        至本機端使用本機群組原則編輯器(Gpedit.msc)設定「以服務方式登入」，加入啟動服務之本機帳戶。

2.以網域主機部署GPO
    2.1.以網域主機部署GPO，以網域帳戶啟動服務：
        至網域主機使用群組原則管理工具設定「以服務方式登入」，加入啟動服務之網域帳戶。
    2.2.以網域主機部署GPO，以本機帳戶啟動服務：
        先至網域主機使用群組原則管理工具設定「以服務方式登入」，將設定值調整為「尚未定義」，再至本機端使用本機群組原則編輯器(Gpedit.msc)，將啟動服務之本機帳戶加入「以服務方式登入」項目中。

若使用者帳戶啟用「密碼永久有效」設定，將覆蓋群組原則「密碼最長使用期限」設定，造成系統不再要求使用者更換密碼。

建議停用「密碼永久有效」設定，以確保GCB「密碼最長使用期限」設定生效。

依照使用者類型不同，停用「密碼永久有效」之設定方式說明如下：
1.本機使用者：
   步驟1：以系統管理員身分開啟「命令提示字元」視窗。
   步驟2：於「命令提示字元」視窗輸入「compmgmt.msc」，開啟「電腦管理」工具。
   步驟3：於左窗格點選「本機使用者和群組」，接著再點選「使用者」，即可於中間窗格中顯示帳戶列表。
   步驟4：雙擊欲停用「密碼永久有效」之帳戶，以開啟「帳戶內容」視窗。
   步驟5：於「一般」頁籤中，取消勾選「密碼永久有效」。
   步驟6：點選「確定」按鈕，即完成設定。

2.網域使用者：
舉例而言，若欲針對「2016gcb.com」網域之「testuser」組織單位內所有使用者停用「密碼永久有效」，設定方式如下：
   步驟1：以系統管理員身分開啟PowerShell視窗。
   步驟2：執行以下指令，即可對「testuser」組織單位內所有使用者停用「密碼永久有效」設定：
   dsquery user ou=testuser,dc=2016gcb,dc=com | dsmod user -pwdneverexpires no

執行「群組原則管理編輯器」，開啟「進階稽核原則設定」內之群組原則設定視窗，勾選「設定下列稽核事件」選項，並確認無勾選「成功」與「失敗」選項，即可將該群組原則設為「沒有稽核」。

下圖以設定「稽核詳細目錄服務複寫」群組原則為例：

凡符合GCB適用環境之資通訊設備皆需導入GCB，包含實體機與虛擬機。

政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整設定值，方法如下：

1.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Windows遠端殼層"=>"允許遠端殼層存取"」設定為啟用，以允許RADIUS用戶端遠端連線網路原則伺服器。
2.設定主機防火牆連線規則，允許RADIUS協定所使用之通訊埠(預設使用1812埠)。
3.將「電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"網路安全性：LAN Manager驗證等級」設定內容，調整為與RADIUS用戶端設定之驗證等級匹配。

可透過AD伺服器主機之群組原則編輯工具調整GPO設定值，再將GPO匯出，即可進行單機部署。

透過AD伺服器群組原則工具檢視GPO設定值時，如出現adml檔剖析錯誤訊息，係因群組原則系統管理範本毀損所造成，機關可自行評估是否更新管理範本，更新注意事項與相關風險請參考下列網址：

https://docs.microsoft.com/zh-TW/troubleshoot/windows-client/group-policy/create-and-manage-central-store。

若需在單機環境下手動調整Windows Server主機系統服務的GCB設定值，請使用Services.msc工具進行調整。

可使用gpresult工具將網域部署結果匯出成html檔案，詳細使用方式請參閱「政府組態基準(GCB)」專區之「GCB數位教材-->政策說明、例外管理及部署實作教材」

政策說明、例外管理及部署實作教材

Windows Server 2012 R2以上版本作業系統定義之「本機帳戶與Administrators群組的成員」為本機帳戶且為內建管理群組之成員。

政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整設定值，方法如下：

將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"遠端桌面服務"=>"遠端桌面工作階段主機"=>"裝置及資源重新導向"=>"不允許磁碟重新導向"」原則設為停用，遠端電腦即可透過遠端桌面連線複製檔案至本機。

1. Windows Server政府組態基準之「帳戶鎖定閾值」係透過此項設定，限制作業系統使用者帳戶嘗試登入失敗5次後即鎖定該帳戶。

2. 資通安全責任等級分級辦法「附表十 資通系統防護基準」規定，要求「資通系統」須具備帳戶鎖定機制，帳戶登入進行身分驗證失敗達3次後，至少15分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。

3. 若機關資通系統登入機制採用Windows帳戶驗證方式，且該資通系統之Windows Server作業系統已套用GCB設定時，請依資通系統防護基準要求，將「帳戶鎖定閾值」設定為3次，並進行GCB例外管理。

Windows與Windows Server電腦套用GCB後，將啟用本機防火牆並封鎖輸入連線，如因公務執行需求，可調整本機防火牆規則，將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則」，新增防火牆輸入規則：允許ICMP通訊協定，即可允許本機回應遠端電腦Ping工具之封包。

政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整設定值，方法如下：
將「電腦設定\系統管理範本\Windows元件\Windows遠端殼層\允許遠端殼層存取 」原則設為啟用或未設定，即可正常新增伺服器角色。

部署GCB時，如欲使用群組原則工具檢視「MSS(Legacy)」或「MS Security Guide」類別之設定項目，須下載安裝「MSS-legacy」或「SecGuide」系統管理範本，才能看到該類別設定項目，詳細操作請參閱下方說明文件：

MSS-legacy與SecGuide系統管理範本安裝方式說明.pdf

MSS-legacy與SecGuide系統管理範本安裝方式說明.docx

舊版本網域主機可完整部署Windows 10 GCB，但無法檢視或修改部分組態設定值，如欲修改設定值，建議處理方式如下：

1.安裝Windows 10系統管理範本，安裝注意事項與相關風險請參考微軟網站(https://docs.microsoft.com/zh-TW/troubleshoot/windows-client/group-policy/create-and-manage-central-store)

2.使用新版本網域主機(如Windows Server 2019或更新版本)，編輯GPO後匯出使用。

安裝新系統管理範本時，須設定PolicyDefinitions資料夾權限，才能替換既有系統管理範本檔案，詳細操作請參閱下列「Windows系統管理範本替換流程」說明文件。

Windows系統管理範本替換方式說明_v1.0.docx

Windows系統管理範本替換方式說明_v1.0.pdf

政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整設定值，方法如下：

在Windows與Windows Server端，調整「電腦設定\Windows設定\安全性設定\本機原則\安全性選項\網路安全性：設定Kerberos允許的加密類型」原則設定值，勾選使用者網域帳戶支援之加密類型，即可重新修改密碼。

政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整設定值，方法如下：

將「電腦設定\系統管理範本\Windows元件\Windows遠端殼層\允許遠端殼層存取 」原則設為啟用或未設定，即可正常使用遠端備份功能。