系統管理員可使用群組原則封鎖或允許特定的信賴平台模組 (TPM) 命令。您無法使用 TPM 管理來啟用原則所封鎖的命令。不過,您可以使用 TPM 管理來封鎖原則所允許的命令。

若要完成此程序,至少需要本機 Administrators 群組或等同群組的成員資格。

使用本機群組原則編輯器封鎖及允許 TPM 命令

  1. 依序按一下 [開始][所有程式][附屬應用程式],然後按一下 [執行]

  2. [開啟] 方塊中,輸入 gpedit.msc,然後按 ENTER 鍵。

  3. [使用者帳戶控制] 對話方塊出現,確認顯示的動做為所需動作後,再按一下 [是]

  4. 畫面會顯示 [本機群組原則編輯器],並開啟本機電腦原則供您編輯。

    附註

    具有網域之適當權限的系統管理員可以透過 Active Directory 網域服務 (AD DS),設定要套用的群組原則物件 (GPO)。

  5. 在主控台樹狀目錄的 [電腦設定] 下,展開 [系統管理範本],然後展開 [系統]

  6. [系統] 下,按一下 [信賴平台模組服務]

  7. 在詳細資料窗格中,按兩下 [設定封鎖 TPM 命令的清單]

  8. 按一下 [已啟用],然後按一下 [顯示]

  9. 對於要封鎖的每一個命令,按一下 [新增],然後輸入命令編號,再按一下 [確定]

    附註

    TPM 管理中目前有 120 個命令,並依功能分成 27 個類別。如需 TPM 管理中命令清單的參考資料,請參閱信賴平台模組 (TPM) 規格 (https://go.microsoft.com/fwlink/?LinkID=139770 (可能為英文網頁))。

  10. 對於要封鎖的每一個命令新增編號後,按一下 [確定],然後再按一次 [確定]

  11. 必要時,您也可以根據預設的封鎖清單或本機清單,啟用禁止封鎖命令的原則。如需其中每一個選項的詳細資訊,請閱讀 [本機群組原則編輯器] 中顯示的 [忽略封鎖 TPM 命令的預設清單] 原則設定和 [忽略封鎖 TPM 命令的本機清單] 原則設定的說明文字。

    附註

    本機系統管理員不允許透過群組原則封鎖 TPM 命令。除非變更群組原則設定的預設值,否則也會封鎖本機系統管理員使用 TPM 管理所封鎖的命令,並且封鎖預設封鎖清單中的命令。

  12. 關閉 [本機群組原則編輯器]。

目錄