還原方式真的簡單，三個鍵而已…

第一鍵-開機按下F12、
第二鍵-方向鍵選擇開機啟動磁區、
第三鍵-按下ENTER開始還原

使用AI改了一張ocswp-grub2的背景圖，提示老師系統即將還原…

老師自行還原操作步驟：

第一步-開機看到ACER字樣時按下鍵盤F12

第二步-選擇TS512GMTE228SS, Partition 4

看到開機選單後透過方向鍵選擇下圖TS512GMTE228SS這顆硬碟的第4分割區

第三步-按下ENTER鍵啟動還原

開機選單選好之後按下ENTER就會開始還原，底下為還原示意圖（與現實不符），因為我從影片中擷取還原進度的畫面解析度不佳，丟給AI優化結果出了這張很夢幻的還原進度圖，真要改成這樣超出我能力所及，留著欣賞紀念一下就好…

錄了影片提供老師操作使用

影片中的流程，請AI摘要如下：

電腦自動還原流程說明：

班級電腦系統還原流程：

1. 重新啟動電腦：發現電腦有問題時，先將電腦重新啟動。
2. 抓準時機按下 F12 鍵：將手放在鍵盤的 F12 鍵上準備，當開機螢幕上出現「ACER」畫面時，按下 F12 鍵。
3. 選擇還原磁區 (Partition 4)：在跳出的開機選單中，選擇「第二個選項」（選項後方會標示 partition 4），並按下 Enter 鍵進入自動還原程序。
   等待系統跑還原進度：畫面會停頓 5 秒鐘，接著開始跑還原進度條。大約需要花費 2-3 分鐘的時間，這段期間不需進行任何操作。
4. 第一次自動重啟 (更改電腦名稱)：還原進度跑完並開機進入系統後，請暫時不要碰電腦。系統會自動執行「更改電腦名稱」的動作，完成後會自己再重新啟動一次 。
5. 第二次自動重啟 (加入學校內網)：第二次重開機進入系統後，同樣請先不要操作電腦。此時系統會自動執行「加入學校內網」的程序，設定完畢後會進行最後一次重新開機。
6. 完成還原並登入：當最後一次開機進入登入畫面後，整個還原過程即告完成。老師可以輸入帳號密碼開始使用 。
   • 溫馨提醒：第一次登入進入桌面時，系統會在背景自動安裝「防毒軟體」，這不會影響操作，老師可以直接使用電腦不需理會 。

本次製作無人值守自動還原的幾個關鍵點

1.還原後的電腦名稱需變更
2.變更後的電腦名稱才能加入網域
3.製作還原用的映像檔
4.調整grub.cfg的開機選單

電腦還原後的自動化作業

佈署deploy自動化控制

第1、2項透過自動化處理，於是在c磁碟佈署deploy資料匣，這個資料匣設為隱藏避免誤觸

deploy裏頭設置需要的工具rename.exe、AD.exe，另外於啟動置入run_ad.cmd控制自動化流程

路徑配置如下：
C:\deploy\rename.exe
C:\deploy\AD.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\run_ad.cmd

run_ad.cmd的內容如下：
在執行rename.exe之後下旗幟rename_done.flag，避免每次開機反覆執行變更電腦名稱
在執行AD.exe之後下旗幟ad_done.flag，避免每次開機反覆執行加入網域
補充：
沒有在此處理重新啟動，因為個別寫在rename.exe、AD.exe裏頭執行，也沒有處理防毒軟體，因為一直都是初次進入網域的電腦自動透過autopcc安裝防毒。

@echo off
cd /d C:\deploy
REM ===== Step 1: rename computer =====
if not exist C:\deploy\rename_done.flag (
    echo Running rename...
    rename.exe
    echo done > C:\deploy\rename_done.flag
    exit
)
REM ===== Step 2: join AD =====
if not exist C:\deploy\ad_done.flag (
    echo Running AD join...
    AD.exe
    echo done > C:\deploy\ad_done.flag
    exit
)
REM ===== All done =====
echo Deployment finished
exit

還原後自動更改電腦名稱

接下來自動更名的處理是關鍵，該如何讓每台電腦知道自己的教室位置或編號?本來想在本機製作一個清單讓程式比對後進行更名，但這個清單會變成日後無法即時更新。所以必須改為線上方案，可是卡在資安考量我SMB服務都透過AD封鎖了，找個單機或NAS來處理這件事又顯得礙手礙腳，也需要處理權限問題，測試時也覺得不理想。最後問了AI可以透過Google試算表來處理嗎?哈~解決了…

先從DHCP匯出所有電腦的資料，會包含電腦名稱、IP、mac…校內九成以上的電腦都做了IP保留所以可以透過IP來綁定電腦名稱，但也怕萬一將來有個變動時會遇到問題，所以選擇最穩定的方式綁mac而不是綁IP…反正每間教室那台電腦若非換機或是換板子，mac都是不動如山的待在教室，也因為是Google試算表，日後隨時要修改名稱或是更改mac都方便，在教室現場手機拿出來隨時修改立即生效。

rename.exe內容找AI處理…先建立試算表並設定共用後”在雙引號內填入我的Google試算表共用網址“，到這邊deploy就佈署完成，電腦還原後會透過run_ad.cmd來控制rename.exe，電腦改名的問題就解決…

# ==========================================
# 靜默版：自動讀取 Google 表單 CSV 改名
#  ==========================================
...中間省略
...中間省略
...中間省略
# 1. Google 試算表 CSV 匯出網址
$csvUrl = "在雙引號內填入我的Google試算表共用網址"
...中間省略
...中間省略
...中間省略
}

磁碟分割規劃

接下來就可以進行作業系統安裝，Windows11系統+更新+軟體很容易就4-50GB，所以C碟我都切200GB。為了將還原映像檔做在本機所以切了一個FAT32的RESTORE分割區，N4670G硬碟有500GB所以留50GB給RESTORE，D磁碟仍游刃有餘；但是N4660G硬碟只有238GB，在備份c碟之後映像檔實際需要21GB，所以很勉強的在N4660G上只切22GB容量給RESTORE，而它的D磁碟就只剩下很難看的15GB左右。

備註：
Windows10開始磁碟格式化FAT32限制在32GB以下，可以透過Gparted Live USB處理超過32GB的FAT32磁碟格式，但是我一開始沒留意所以做出了NTFS，由於RESTORE還需要隱藏磁區，所以後來改用mini tools partition來處理RESTORE分割區的問題。

製作再生龍的映像檔

因為目標是要給老師自行操作還原，需要做成本機還原而不是透過Clonezilla Live USB，所以有幾個地方要小心別做錯：

1.首先RESTORE是放置映像檔的分割區，為了讓RESTORE這個隱藏分割區能啟動，所以必須在FAT32環境下才能正常執行makeboot64。

2.製作本機還原使用Clonezilla打包時，掛載的磁區（RESTORE或其他隨身碟）都必須是FAT32，打包過程才能將映像檔分割為單一檔案不超過4GB，如果這邊沒有掛載FAT32磁碟進行打包，最後這個檔案將無法放回RESTORE磁碟。

3.因為需要製作產生回復專用的映像檔.zip，在將FAT32底下製作出來的映像檔再次透過再生龍製作產生回復專用的映像檔.zip時，因為這個打包的zip檔案最後一定會超過4GB，但FAT32不支援單一檔案大小超過4GB，所以可以先複製FAT32裏頭的clonzilla映像檔到其他NTFS磁碟掛載後再進行轉換來產生回復專用的映像檔.zip，這樣產生回復專用的映像檔.zip檔案大小在超過4GB的情況下才能被NTFS磁碟區保留下來。

4.接著再將產出回復專用的映像檔.zip中的所有檔案全部解壓縮到隱藏分割RESTORE根目錄

5.將Grub.cfg改為無人值守，首先第4行set timeout=”3″，進入還原後畫面停留3秒（預設30秒）

底下只保留進入clonezilla後第一組選單的menuentry ，第二組之後的全部刪掉避免老師誤觸

第一組menuentry指令後面-edio後的參數-c改為-batch、參數-p後面確認為reboot，存檔後只差最後一步就完成設定

6.最後進到RESTORE\utils\win64底下執行makeboot64.cmd，按一下任意鍵開始檢查RESTORE環境是否為FAT32

如果正確就會顯示綠色背景，完成之後再按任意鍵即可跳出

成功執行makeboot64.cmd後，開機選單就會出現這個分割區，老師只要按下ENTER就會啟動還原。

去年才更新過的群組原則範本，結果現在又有了25H2的新範本了，以往都無視範本更新，等要處理樹系、網域功能等級提升時才取得較新的範本，結果今天想透過GP處理一些win11的小設定卻找不到設定的地方，查了一下才發現目前的範本不支援該設定，只好來做更新範本…

首先，去微軟下載中心取得範本檔

https://www.microsoft.com/en-us/download/details.aspx?id=108394

這次拿到的是.msi檔，印象中之前是.zip，先透過解壓縮軟體看一下內容會發現檔名都加了前綴staging_的字樣需要加工去除，大量.adml語系檔有4-5千個檔案，我只要取zh-TW、en-US即可

# 進到存放 staging 檔案的資料夾
cd "C:\Users\mis\Downloads\Administrative"

# 把所有 staging_ 開頭的檔案改名，去掉前綴
Get-ChildItem -Filter "staging_*.admx" | ForEach-Object {
    $newName = $_.Name -replace "^staging_", ""
    Rename-Item $_.FullName $newName
}

# 如果有語言檔 (adml)，也要一起改名
Get-ChildItem -Filter "staging_en_US_*.adml" | ForEach-Object {
    $newName = $_.Name -replace "^staging_en_US_", ""
    Rename-Item $_.FullName $newName
}

找AI幫忙透過PS去除adml前綴的指令如上：
admx的前綴為staging_
adml各語系的前綴以繁中為例staging_zh_TW、英文staging_en_US_…

.adml透過PS處理順利完成…語系檔我只需保留zh-TW以及en-US兩種

.admx同樣透過PS處理去除前綴…

修改完在更新時出了一點錯誤，要記得別使用複製貼上的方式取代舊範本，因為新舊版可能會遇到相同範本但因命名方式不同而造成命名空間宣告衝突的問題，正確的做法是先備份舊版範本，然後移除定義原則目錄（PolicyDefinitions）中的adml與admx，最後才貼上全新的範本及語言檔。

我在這兩個檔案上吃了虧造成宣告衝突，結果只是符號用法的差異~暈
grouppolicy_server.admx（新）
grouppolicy-server.admx（舊）

如果真的衝突其實也沒事，就是趕快清空原則中心根目錄（PolicyDefinitions）再倒備份檔回來就好了，因為範本不會實際影響群組原則設定的內容。即使範本遺失或出錯了也不影響原則內容是否生效，只是沒了再次修改的UI，實際控制設定是否生效的其實是登錄檔，所以萬一發現群組原則與登錄檔設定內容不一致時，要以登陸檔設定為是否生效的依據。

另外，我之前有手動新增google.admx、chrome.admx來統一瀏覽器設定，這不包含在Administrative Templates (admx) for Windows 11 Sep 2025 Update.msi檔案中，所以必須從備份檔倒回google.admx、chrome.admx、google.adml、chrome.adml這四個檔案才完工。

在範本更新完成後開啟群組原則確認還有沒有跳出命名空間關聯宣告錯誤的訊息、檢查一下原則內容，額外新增的chrome.admx與設定是否正常…

更新完來尋找起初要做的設定多重顯示模式，設定路徑在電腦設定/原則/系統管理範本/系統/顯示器中的設定多重顯示模式。這個動作其實之前有透過DisplaySwitch寫在帳號登入時生效，但開學後發現一個狀況會造成失敗，今年寒假中做過電腦還原，還原後的電腦在老師初次登入帳號時通常會需要一點時間來同步帳號的profile設定，profile設定檔越大，等待時間就越長，而DisplaySwitch是在使用者登入時執行一次就會遇到被還原的電腦需要等待profile同步而發生逾時，所以開學第一天還是有幾位老師在反應畫面不同步的問題，雖然老師只要再次登入就可以讓DisplaySwitch再次觸發，但還是決定先把環境做起來，日後班級電腦換Win11後就有了雙重保險。

備註：
設定多重顯示模式至少需要Win11-24H2以上版本，我班級還在win10呢，感覺又是忙了一天最後一事無成阿~呵呵呵…

最後問一下AI得知這次Administrative Templates (.admx) for Windows 11 2025 Update (25H2)新增的範本有底下這些?

Windows 11 25H2 新增的群組原則範本

根據 Microsoft 公布的最新 Administrative Templates 套件，25H2 一共新增了 42 個新的群組原則設定，主要分布在以下幾個領域：

桌面與使用者介面

• Widgets (小工具) → 可控制是否允許或禁止 Widgets 面板。
• Task View → 可控制是否允許或禁止 Task View (工作檢視)。
• Start Menu / Taskbar → 新增更多自訂選項，例如固定/隱藏特定功能。

安全性與系統

• Windows Copilot → 可啟用或停用 Copilot。
• Recall (AI 記憶功能) → 新增策略來控制是否允許 Recall。
• Exploit Protection / Defender → 增加更多細項設定。

網路與更新

• Windows Update → 新增更細緻的更新行為控制。
• Delivery Optimization → 增加更多網路流量管理選項。

其他新增策略

• News and Interests → 控制是否顯示新聞與興趣面板。
• Feeds → 控制動態內容來源。
• Terminal Server / Remote Desktop → 新增伺服器端的管理選項。

寒暑假期間常常需要大量還原學校電腦，在既有環境下其實已具備不少自動化作業在背景運行，包含初次登入自動安裝防毒軟體、自動部屬印表機、停用班級電腦USB網卡（觸屏虛擬網卡）…今年寒假還原全校電腦後又增加了3項小的背景自動化作業，包含統一電腦的桌面背景、桌面顯示圖示、螢幕鏡像雙輸出等三項設定。

一、螢幕鏡像輸出

班級都有觸屏所以電腦避免不了需要雙輸出，觸屏走HDMI、電腦螢幕走VGA，通常我在製作系統時不會去模擬這樣的環境，所以都是系統派送下去後自動偵測是否有第二螢幕，這就導致了常有老師為了觸屏上看到的是延伸螢幕而非電腦桌面(鏡像輸出)來求救，雖然有教大家透過視窗鍵+P來切換，但每次都要一直教這個實在也是很磨人耐心…

所以能夠統一在我這邊處理掉的問題就先排除，要省心才有辦法在這個位置上走得久，做法就是透過群組原則在使用者登入時自動執行displayswitch並選擇鏡像模式(clone)。

%windir%\System32\DisplaySwitch.exe /clone

DisplaySwitch的其他模式記錄在這邊…

@echo off
rem 複製模式
DisplaySwitch.exe /clone
rem 延伸模式
DisplaySwitch.exe /extend
rem 僅顯示在第二螢幕
DisplaySwitch.exe /external
rem 僅顯示在第一螢幕
DisplaySwitch.exe /internal

而且要下在群組原則針對使用者設定，在使用者帳號登入時自動做這個動作，不建議做在電腦設定是因為displayswitch需要在電腦登入後才開始運作，如果下在電腦啟動時動作極有可能無法正常發揮。

二、桌面預設背景

windows10/11的預設桌面背景名稱都是img0.jpg這張圖檔，但是每每安裝作業系統在老師們的帳號陸續登入後就都不是出現這張具有代表性的預設桌面而會是美麗的風景圖。其實預設桌面都存在這個本機路徑下的這個地方C:\Windows\Web\Wallpaper\Windows，桌面設定也很少有老師會刻意去更動它，使用預設也沒甚麼不好就乾脆統一，透過GP也是下在使用者設定\原則\系統管理範本\桌面\桌面\桌面桌布，其他照下圖選就達到統一了。

三、顯示桌面圖示

桌面設定其實也是個人帳號profile管轄的一環，在AD環境下的Client帳號登入後是都沒有本機、控制台、我的文件、網路…等圖示的，想要幫所有老師拉出這些東西就必須透過regedit去改登錄檔，說真的以前是不太敢去亂動登錄檔，怕會造成悲劇，不過現在臉皮隨著年齡增厚了膽子就跟著肥了…想做就做吧~

這些圖示的顯示狀態是由登錄值控制，可以透過 使用者設定 → 偏好設定 → Windows 設定 → 登錄 下進行新增，說是新增但其實在設定上經常都是要選擇更新才不容易出錯，不知道怎麼解釋這種情況所以去問Ai，得到的說法是…

建議做法
如果你要強制覆蓋所有使用者的設定，Update 是最穩定的選擇。
在部署桌面圖示顯示策略時，使用 Update。
這樣可以同時涵蓋「不存在 → 建立」與「已存在 → 修改」兩種情況，避免重複或錯誤。

同時Ai幫我列出這些功能的GUID如下，照著寫入登錄檔就可以了

我要做的是把本機、控制台2個圖示拉到所有老師登入帳號的桌面上，所以加入底下這兩組GUID，設定內容照上表寫入即可。
機碼路徑：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPane
本機：{20D04FE0-3AEA-1069-A2D8-08002B30309D}
控制台：{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}

另外再加入一筆sort在桌面上以項目類型進行排列，機碼路徑在Software\Microsoft\Windows\Shell\Bags\1\Desktop

接著分別在組織單位T1以及T2兩個OU各作一次，全校電腦統一的桌面標準化就作好了…

以代理教師為例，帳號登入電腦看到的桌面背景、圖示、排列方式就會如下圖所示…

行政換機一週後，也該處理自己的換機事宜了，因為自己喜歡純淨一點的系統，平常用不到的軟體不裝，所以通常會捨棄公版內容…一如往例從局端站台取得Windows 11 製作隨身碟之後進行安裝，但是糗了…抓不到硬碟！

查了一下是Intel Rapid Storage Technology（IRST）需要被驅動，感覺跟好久之前手邊的IBM x3655伺服器一樣，系統光碟認不到硬碟控制器，必須手動載入並驅動控制器才會抓到硬碟。

從Acer官網下載的IRST驅動程式解壓縮後長這樣，放進隨身碟去載入驅動結果系統提示沒有所需的驅動程式！

結果是魔鬼藏在細節裡，上圖的SetupRST.zip要解壓縮再放入隨身碟，載入時要一路往內找到SetupRST.zip\production\Windows10-x64\15063\Drivers\VMD目錄內才能驅動，重要的.cat、.sys、.inf三個檔案要在就能驅動。

載入後成功抓到硬碟就可以開始安裝OS了。

行政電腦最近換機，系統從win10改成win11，蠻多人不習慣新版的右鍵選單，其實我自己也不太喜歡，新版要點選最下方的顯示其他選項才能切回傳統樣式，不然就是在按右鍵之前先按住shift再按右鍵才會開啟傳統樣式。所以弄2個小工具幫大家修改登錄檔，等之後班級電腦也換win11時可以透過GPO大量佈署在電腦啟動時執行。

@echo off
:: 切換 Windows 11 到傳統右鍵選單
chcp 65001 >nul

reg add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f /ve

echo 已套用設定，請重新啟動電腦後生效。
pause

將上面指令存成.bat執行，重新開機後可修改回傳統右鍵選單

@echo off
:: 還原 Windows 11 新版右鍵選單
chcp 65001 >nul

reg delete "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}" /f

echo 已移除設定，請重新啟動電腦後生效。
pause

如果想改回win11樣式就是刪除這個登錄檔reg delete “HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}”

自從學校大量裝設觸屏後，發現每間教室電腦會各拿2個IP位址，再加上觸屏的有線網路，等於一間教室就要拿3個vlan20的IP，我沒有申請擴充vlan20所以其實IP用得有點緊，因此非必要的設備亂拿IP就得要處理。究其原因其實有一個要IP的情形是觸屏與電腦之間的USB傳輸線導致，這條線有其必要的功用所以不能拔掉，如果拔掉這條線會導致觸屏顯示電腦畫面時，在觸屏上的操作無法再控制電腦端的動作，等於老師上課若使用電子書或教學互動軟體時就失去了互動功能。但是給這USB虛擬網卡拿了IP非但沒有實際功用也會造成其他問題，一方面這個vlan剩餘IP已經不多，另一方面在管理系統中的班級電腦都設為DHCP，常常被USB虛擬網卡搶了IP造成電腦與管理系統的設定不符而發生錯誤…

整理一間教室中來要vlan20 IP的網卡如下
1.電腦有線網卡（允許），98eecbxxxxxx
2.觸屏有線網卡（拒絕），207bd2xxxxx、0ccc47xxxxxx
3.USB虛擬網卡（停用），100648xxxxxx

經實測虛擬網卡不能拒絕發IP，一旦拒發IP給虛擬網卡會連帶拒絕班級電腦4660G的網卡，所以考慮停用…

觸屏原廠回覆：透過更新韌體來解決…
年初於寒假期間更新到了2025.02xx的版本後，大部分教室都沒問題了但仍有少部分教室在更新後問題依舊，還是有近十台左右觸屏連接電腦的USB網路共享雖然顯示為未連接但仍會取得IP。

即使昨天又更新韌體到20250820的最新版本，結果也還是一樣。

差別在於第一次更新韌體後，電腦的這張USB虛擬網卡狀態變成了打叉叉未連接狀態，但實在不解為何還是能夠取得IP(參照圖三)。

從班級電腦4660G的裝置管理員來看就是Realtek USB FE Family Controller這張虛擬網卡在搗蛋，在確認停用它不會影響觸控功能後就進行停用。

但60多台觸屏不會想每個班去跑，所以先確認本機USB硬體識別碼為VID_0BDA&PID_8152，然後透過腳本來進行停用。

$pattern = "USB*VID_0BDA&PID_8152*"
Get-PnpDevice | Where-Object { $_.InstanceId -like $pattern } |
  ForEach-Object { Disable-PnpDevice -InstanceId $_.InstanceId -Confirm:$false }

在單機上確認腳本可以執行成功，大範圍的處理考慮交給AD透過GPO來處理…

@echo off
REM startup_disablePnP.bat
REM 假設 .bat 與 .ps1 放在同一 SYSVOL 資料夾
REM 以 SYSTEM 身份在開機時執行
powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File "%~dp0disablePnP-4660G-usbVID.ps1"

結果似乎GPO無法直接透過.ps1來處理PnP cmdlet 的功能，所以改由disablePnP-4660G-usbVID.bat來呼叫disablePnP-4660G-usbVID.ps1。最後跑一次Gpupdate /force，本機改回啟用狀態來測試登出再登入、重新開機，由於GPO設在電腦開機與帳號登入雙重條線下都要執行，所以結果都能順利複寫本機被修改後的狀態，確實停用掉了這張Realtek USB FE Family Controller，之後再持續追蹤DHCP還有沒有收到這USB虛擬網卡來索取IP的請求。

經過一天觀察，DHCP已經沒有再出現100648xxxxxx開頭的mac address

以電腦名稱進行排列也都沒有再出現重複，表示班級電腦都沒有再拿到2個IP的狀況，Realtek USB FE Family Controller這張虛擬網卡確實停掉了，收工。

新增帳號算不上是麻煩事，但異動人數多時得不斷重複做目錄權限調整或是掛載磁碟機這些相同工作還挺煩的，也因為都是手動處理就難免出錯，事後想處理就得花更多時間比對權限對齊的問題，所以把新增使用者目錄、共用權限、安全性權限、掛載使用者主資料匣這幾項工作交給自動化處理，我只做輸入帳號名稱與預設密碼就好。

Import-Module ActiveDirectory

$logFile = "C:\Scripts\CreateTeacherFolder.log"
Add-Content $logFile "$(Get-Date) - 腳本開始執行"

try {
    # 取得最近一筆事件 4720 (建立使用者帳號)
    $event = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720} -MaxEvents 1
    $SamAccountName = $event.Properties[0].Value

    # 查詢 AD 使用者顯示名稱
    $user = Get-ADUser -Identity $SamAccountName -Properties DisplayName
    $DisplayName = if ([string]::IsNullOrWhiteSpace($user.DisplayName)) { $SamAccountName } else { $user.DisplayName }

    Add-Content $logFile "偵測到新使用者：$SamAccountName ($DisplayName)"

    # 建立資料匣
    $rootPath = "磁碟機名稱:\目錄名稱$"
    $folderName = "$DisplayName`$"
    $folderPath = Join-Path $rootPath $folderName

    if (-not (Test-Path $folderPath)) {
        New-Item -ItemType Directory -Path $folderPath | Out-Null
        Add-Content $logFile "已建立資料匣：$folderPath"
    } else {
        Add-Content $logFile "資料匣已存在：$folderPath"
    }

    # NTFS 權限設定
    icacls $folderPath /remove "SIPS\${SamAccountName}" | Out-Null
    icacls $folderPath /remove "SIPS\Administrator" | Out-Null
    icacls $folderPath /grant "SIPS\${SamAccountName}:(OI)(CI)M" | Out-Null   # 修改權限
    icacls $folderPath /grant "SIPS\Administrator:(OI)(CI)F" | Out-Null       # 完全控制

    # 共用權限設定
    net share "$folderName" /delete
    net share "$folderName=$folderPath" /grant:"SIPS\${SamAccountName}",CHANGE /grant:"SIPS\Administrator",FULL

    # 設定使用者主資料匣 (Home Folder) → X: \\主機名稱\顯示名稱$
    $homePath = "\\主機名稱\$folderName"
    Set-ADUser -Identity $SamAccountName -HomeDirectory $homePath -HomeDrive "X:"

    Add-Content $logFile "完成 $folderName 的 NTFS、共用權限設定，並將使用者主資料匣設為 $homePath (X:)"
}
catch {
    Add-Content $logFile "❌ 發生錯誤：$($_.Exception.Message)"
}

指令交給魔法coco輕鬆搞定，但需要搭配事件來觸發動作，這部分交給排程處理，以往觸發排程的時機都是依照時間，第一次嘗試透過事件來觸發，所以流程是在我完成新增使用者帳號時，會新增一筆編號4720的事件紀錄，當4720事件紀錄產生時觸發排程工作來執行上面這段指令（檔案名稱為CreateTeacherFolder.ps1）並同時設定好權限與掛載的工作。

4720的事件在Windows記錄/安全性底下進行篩選可以撈出來

完成之後比對一下目錄的共用權限與安全性權限設定正確，新增帳號的主資料匣也掛載成功，省去日後手動處理這些瑣事的步驟，收工。

最近常常跳出這個錯誤，嚴格來說應該不只WSUS提到的22個，因為我其實很少在清理ADUC裏頭的電腦，早期班級或科任教室統一以教室編號命名電腦名稱，後來改為電腦型號+教室編號來命名，因此留下了許多淘汰或換機之後不再使用的電腦名稱。

Import-Module ActiveDirectory

# 設定閾值：100 天
$threshold = (Get-Date).AddDays(-100)

Write-Host "`n=== 超過 100 天未回報的電腦清單 ===" -ForegroundColor Cyan

Search-ADAccount -ComputersOnly -AccountInactive -TimeSpan 100.00:00:00 |
    Get-ADComputer -Properties Name, LastLogonDate |
    Select-Object Name, LastLogonDate |
    Sort-Object LastLogonDate |
    Format-Table -AutoSize

因為久未清理且數量不少，如果一台台確認再刪除恐怕曠日廢時，所以打算透過腳本先列出超過100天未上線的電腦。腳本內容如上…

上圖看出許多以教室編號命名的電腦卻沒有顯示最後登入日期，表示已不再使用該名稱或之前樹系升級後都沒有登入過的電腦，將這類的進行刪除肯定沒問題的。

另外數量比較多的是有最後登入日期但超過100天未登入過的電腦，這類的許多都已經超過3年沒登入了，也是應該列為被刪除的對象。

<#
AD Inactive Computers Cleanup (>1 Year)
- 找出超過 365 天未回報 (AccountInactive >= 365 天) 的電腦
- 直接刪除 (非 DryRun)
- 輸出 CSV 與 Log
#>

Import-Module ActiveDirectory

# ===== 設定區 =====
$Config = [ordered]@{
    DaysThreshold = 365                   # 1 年
    OutputDir     = "C:\Temp\ADCleanup"
    CsvName       = "InactiveComputers_Over1Year.csv"
    LogName       = "InactiveComputers_Over1Year.log"
    OUFilter      = $null                  # 可選：只掃某 OU (例如 "OU=Computers,DC=xxxx,DC=xxx,DC=xxx,DC=xxx")
}
# ===== 設定區結束 =====

# 建立輸出目錄與檔案路徑
New-Item -ItemType Directory -Path $Config.OutputDir -Force | Out-Null
$csvPath = Join-Path $Config.OutputDir $Config.CsvName
$logPath = Join-Path $Config.OutputDir $Config.LogName

# 簡易 logger
function Write-Log {
    param(
        [string]$Message,
        [ValidateSet('INFO','WARN','ERROR','ACTION')]
        [string]$Level = 'INFO'
    )
    $line = "[{0}] [{1}] {2}" -f (Get-Date).ToString("yyyy-MM-dd HH:mm:ss"), $Level, $Message
    Write-Host $line
    Add-Content -Path $logPath -Value $line
}

Write-Log -Message "開始掃描超過 $($Config.DaysThreshold) 天未回報的電腦，並直接清理。" -Level INFO

# 產生 TimeSpan
$ts = New-TimeSpan -Days $Config.DaysThreshold

# 搜尋範圍
$searchParams = @{
    ComputersOnly   = $true
    AccountInactive = $true
    TimeSpan        = $ts
}
if ($Config.OUFilter) { $searchParams['SearchBase'] = $Config.OUFilter }

# 取得超過 1 年未回報的電腦清單
$inactive = Search-ADAccount @searchParams | Get-ADComputer -Properties Name, DistinguishedName, Enabled, LastLogonDate

if (-not $inactive -or $inactive.Count -eq 0) {
    Write-Log -Message "沒有找到超過 $($Config.DaysThreshold) 天未回報的電腦。" -Level INFO
    return
}

# 建立輸出資料
$data = $inactive | ForEach-Object {
    [PSCustomObject]@{
        Name              = $_.Name
        DistinguishedName = $_.DistinguishedName
        Enabled           = $_.Enabled
        LastLogonDate     = $_.LastLogonDate
        DaysSinceLastLogon= if ($_.LastLogonDate) { [int]((Get-Date) - $_.LastLogonDate).TotalDays } else { $null }
    }
}

# 輸出 CSV
$data | Sort-Object DaysSinceLastLogon -Descending | Export-Csv -Path $csvPath -NoTypeInformation -Encoding UTF8
Write-Log -Message "已輸出 CSV：$csvPath。共 $($data.Count) 台。" -Level INFO

# 顯示前幾筆供人工確認
Write-Host "`n=== 預覽前 10 筆 ==="
$data | Select-Object Name, LastLogonDate, DaysSinceLastLogon, Enabled | Sort-Object DaysSinceLastLogon -Descending | Select-Object -First 10 | Format-Table -AutoSize

# 刪除流程
Write-Log -Message "正式刪除開始。" -Level ACTION

foreach ($item in $inactive) {
    try {
        Remove-ADComputer -Identity $item.DistinguishedName -Confirm:$false
        Write-Log -Message "已刪除：$($item.Name) | DN=$($item.DistinguishedName)" -Level ACTION
    }
    catch {
        Write-Log -Message "刪除失敗：$($item.Name) | 錯誤=$($_.Exception.Message)" -Level ERROR
    }
}

Write-Log -Message "正式刪除完成。詳見 log：$logPath" -Level INFO
Write-Host "`n完成。"

接著透過腳本將1年未上線的電腦直接清理

清理完成

再跑一次List-LoginOver-100d檢視久未登入的電腦清單，最後剩下3台電腦就是要進行確認是否仍需使用的部分了。

<#
.SYNOPSIS
  建立排程工作：每年 7/31 凌晨 00:00 執行 Del-LoginOver-365d.ps1
  以 NT AUTHORITY\SYSTEM 身分執行
#>

$TaskName   = "AD-Cleanup-Over365d"
$ScriptPath = "C:\Scripts\Del-LoginOver-365d.ps1"

# 建立新的排程工作
schtasks /create /tn $TaskName `
  /tr "powershell.exe -NoProfile -ExecutionPolicy Bypass -File `"$ScriptPath`"" `
  /sc monthly /mo 12 /d 31 /st 00:00 /ru "SYSTEM"

Write-Host "已建立排程工作：$TaskName，每年 7/31 00:00 執行。"

最後將腳本列入排程於每年7/31上午12點自動執行Del-LoginOver-365d.ps1

完成排程設定

AI話題強強滾，自己最近也花了點時間透過某家產品來優化了學校行事曆的管理流程，這個應用面還挺無趣的，但也因為自己不懂程式設計，所以在整個優化過程倒是覺得學到很多。

為何選定行事曆這個主題來做?因為它很煩，每學期得花不少時間才能將學校行事曆內容弄到Google日曆，眼睛也吃不消，所以一開始只是想做個轉檔工具，我只要把學校的行事曆word檔案餵給converter就能變成Google日曆標準格式的csv匯入檔，再將檔案下載匯入Google日曆就完工，結果沒想到一下子就做好了。

轉出的結果也不賴，拿100學年度行事曆來測試轉出了147/2(全天事件站一行)筆活動。但是不難發現其實內容還是有少許地方怪怪的，因為過濾條件不能訂太嚴格，所以會漏掉一些符號在過濾後沒有被處理到。定嚴格一些如果分寸沒拿捏好的結果會造成沒有多少活動能轉出來，所以寬鬆一點後面再微調是比較適合的做法。

所以再增加了一個後台作活動微調用途，因為在Google日曆上修改的方式要每個活動點進去再修改日期、內容、時間，活動沒有辦法一目了然，所以改一個可以切換月份活動的事件列表，直接在操作欄位修改或刪除後自動同步回去Google日曆，我是覺得這樣的工作效率好多了。這個列表最後沒有做成自動雙向同步的版本，其實過程中有做到，但後來決定打掉不要，畢竟內容不是一天到晚在變動，需要修改時手動將最新資料同步回來再改就好了，而且其實也做了排程，每小時同步一次就夠了。

最後也做了一個新的前台，學校網站之前都是放Google的格狀日曆，每個小小的格子其實呈現不了幾個字，總覺得給人不小的閱讀障礙。所以改的這個前台捨棄格狀日曆改採事件列表方式呈現，資料來源沒有選擇走自己的後台，理由很簡單，學校行事曆在大宗活動都上去之後，同事日常更新的習慣肯定是透過手機中的日曆隨時進行增刪或修改，那麼最新的資料來源肯定會是在Google日曆，而我的後台最慢會在1小時後才觸發同步。也因此前面提到後台最終的版本沒有決定做自動雙向同步這個功能。

前端公開的行事曆為了完全獨立運作又不能受到影響，所以讓他走API KEY這條路，後台行政登入以及行事曆操作則是走Oauth的認證，必須是學校Google信箱帳號且為行政團隊的群組成員才能進到後台。前端另外整合了台灣假期的日曆，讓兩個不同的日曆來源一起呈現在前端公開瀏覽的行事曆中。為了做到這樣的區隔，於是請AI幫我將calendar-service.php這支程式一分為二，改成專走API用的calendar-service-public.php以及專為Oauth用途的calendar-service-oauth.php。

最後，不得不提一下資安議題，雖然只是一個看似沒什麼特別的服務，但實際上用到不少敏感的參數，舉凡API Key、Token、Google Client Id、Calendar Id、Google Client Secret、Admin Group…甚至連Log這些都應該要避免暴露。藉由AI寫程式很方便，但是除非自己有經驗能夠判斷與稽核，不然很容易在自己還不是很有經驗的時候、還沒有想清楚的時候就任由AI幫忙寫或搭建一個系統出來，如果有一直在這個系統堅持下去時，應該會發現初期的產品或許能用但一開始的架構並不嚴謹，後續得花很多時間來調整架構與提升安全性。我遇到的狀況就是一開始沒涉獵過API、Oauth、token…這些東西，雖然知道要避免暴露敏感資訊但是不知該如何設計較適宜的架構，所以AI初期幫我寫的程式會把敏感資訊固定寫死在每個需要的php之中，到了中期當架構規模變大之後開始建議我集中設定檔再個別引入以免日後維護不易，這個時候其實我已經上線測試了，要改架構得逐頁檢查再行抽離，其實還挺累人的。但是做到這邊都還談不上是個安全的架構，只有在維護上提升了便利性，但不宜暴露的參數或資訊雖然獨立了，但是都還沒有改為環境變數.ENV再透過定義變數的中介程式去讀取ENV設定值。所以在後期的工作又再次將環境參數等設定調整為.env的架構並放置到站台目錄無法直接存取的位置，接著編輯中介程式再次逐頁比對各項參數進行定義，才能讓這個網站在一個具備基本安全的架構上運作。至於AI給出的程式碼寫得是否安全無虞？這個不是我有能力判斷的事情，連Google、Microsoft等大廠寫出的系統或瀏覽器都需要不斷進行安全性更新，就不要天真的還認為世上會有絕對安全的系統或平台這件事了。

結論，透過AI的輔助容易讓人產生自以為是的錯覺，但是等到海水退了就會知道是誰沒穿褲子@#$…~

資料庫名稱：mis
資料庫帳號：mis
資料庫密碼：***********
玩壞的系統帳號：mis
玩壞的系統新密碼：80723456+29603456(需雜湊)

模擬的玩壞系統帳號mis寫在mis資料庫的users資料表

/查詢資料表
MariaDB [mis]> show tables;
+---------------+
| Tables_in_mis |
+---------------+
| users |
+---------------+

使用php產生80723456+29603456的雜湊密碼之後初次寫入與日後更新兩種做法如下…

/---取得新密碼的雜湊---
# php -r "echo password_hash('80723456+29603456', PASSWORD_DEFAULT), PHP_EOL;"
 $2y$10$z.1qAaGpZdce4q/i423WE.a7PWLwL3AVfbX2GrjujPLYa6VvzJi7O

/---更新帳號所在的資料表(users)，接著設定系統帳號mis雜湊密碼的做法---
MariaDB [mis]> UPDATE users(資料表名稱)
-> SET password ='$2y$10$z.1qAaGpZdce4q/i423WE.a7PWLwL3AVfbX2GrjujPLYa6VvzJi7O'
-> WHERE account = 'mis';

/---順手記錄一下若是初次將系統帳號mis雜湊密碼寫入users資料表的做法---
MariaDB [mis]>INSERT INTO users (account, password)
VALUES ('mis', '$2y$10$PbUqqihmHC7s7CQERyb6Y.dkFmCsOLFiEKIVRGtWNvf5Sx1I/d6kG');