在組策略的首選項和策略設置

1、更加長足的進步。細心的管理員可能已經發(fā)現(xiàn)，最新版本的組策略分成了策略設置(Policy Settings)和策 略首選項(Policy Preferences)兩個部分。其中策略設置基本上繼承了以前版本組策略的主要內容，而策略首選項則是全新的內容，為管理員提供了更多更細的設置。組策略設置和首選項的不同之處就在于強制性。組策略設置是受管理的、強制實施的。而組策略首選 項則是不受管理的、非強制性的。對于很多系統(tǒng)設置來說，管理員既可以通過策略設置來實現(xiàn)，也可以通過策略首選項來實現(xiàn)，2者有 相當一部分的重疊。那么什么情況下應該用策略首選項，什么情況下應該用策略設置呢？本文將為你解開 這個謎團。(下文大

2、多數(shù)情況下將“組策略的策略設置”簡稱為“策略”或“策略設置”，將“組策略的策略首 選項”簡稱為“首選項”)因為首選項和策略在某些管理區(qū)域相互重疊，有時候你可以通過多種方法來實現(xiàn)同一個特定的任務。 比如，你可以通過策略來指定必須使用的登錄腳本。在這些腳本中，你可以映射網絡驅動器、配置打印機、 創(chuàng)建快捷方式、復制文件和文件夾以及執(zhí)行其他任務。使用首選項，你可以不需要通過登錄腳本就完成相 同的任務。那么，應該選擇哪一種方法呢？嗯，真相是沒有一個標準答案，確實是這樣，這取決于你想怎 么做。在下面的章節(jié)中，我將告訴你一些大致的指導意見。當在同一個GPO中的策略和首選項發(fā)生沖突時，基于注冊表的策略通常會獲

3、勝。對于不基于注冊表的 策略和首選項來說，最后寫入的那個值獲勝(這取決于策略與首選項的客戶端擴展執(zhí)行的順序)判斷策略 設置是否是基于注冊表的方法很簡單，因為所有基于注冊表的策略設置都定義在管理模板(Administrative Templates)中。設備安裝通過策略設置，你可以通過阻止用戶安裝驅動程序的方法來限制用戶安裝某些特定類型的硬件設備。 你可以指定某個經過許可的設備可以被安裝(根據設備的硬件ID)，也可以阻止特定設備的安裝(還是根據 設備的硬件ID)。這些策略設置僅對Windows Vista及更高版本有效，可在Computer ConfigurationPoliciesAdmini

4、strative TemplatesSystemDevice Installation Restrictions 下找 到。(注：中文版為“計算機配置策略管理模版系統(tǒng)設備安裝限制”)雖然這些限制措施能阻止新設備的安裝，或阻止一個設備在拔下后并重新插入時的重新安裝，但并不 能阻止已存在設備的運行。使用首選項，你可以禁用設備類(Device Classes)、某個設備、端口類(Port Classes)以及某個端口， 但不能阻止驅動程序的載入。相關的首選項設置可以在Computer|User ConfigurationPreferencesControl Panel SettingsDevices

5、 下找到。(注：中文版為“計算機|用戶配置首選項控制面板設置設備”)雖然用首選項可以禁用設備和端口，這并不會阻止設備驅動程序的安裝。它也不會阻止具有相應權限 的用戶通過設備管理器(Device Manager )啟用設備或端口。然而，因為組策略默認會以同樣的時間間隔來 刷新策略設置和首選項，首選項設置會在下一次刷新組策略的時候被重新應用。這樣，除非你特別指定該 首選項只應用一次且不再重新應用，該設置會每90-120分鐘被應用一次。如果你想完全鎖定并阻止某個特定設備被安裝和使用，可以將策略設置和首選項配合起來使用：用首 選項來禁用已安裝的設備，并通過策略設置阻止該設備驅動程序的重新載入。最后要指

6、出的是，這里提到的策略設置僅對Windows Vista或更高版本生效，而首選項則可以對安裝 了組策略首選項客戶端擴展(Client-side Extension for Group Policy Preferences)的任何計算機生效。文件和文件夾通過策略可以為重要的文件和文件夾創(chuàng)建特定的訪問控制列表(ACL)。然而，只有目標文件和文件夾存 在情況下，ACL才能被應用。這種策略設置可以應用于任何支持組策略的計算機上。你可以在Computer ConfigurationPoliciesWindows settingsSecurity SettingsFile System 下找到。(注：中文

7、版的位置是“計算機配置策略Windows設置安全設置文件系統(tǒng)”)使用首選項，你可以管理文件和文件夾。對于文件，你可以通過從源計算機復制的方法來創(chuàng)建、更新、 替換或刪除一個文件或文件夾。對于文件夾，還可以指定在創(chuàng)建、更新、替換或刪除操作時，是否刪除文 件夾中現(xiàn)存的文件和子文件夾。文件和文件夾首選項可以應用于任何安裝了組策略首選項客戶端擴展的計算機上。對于文件，你可以 在 Computer|User ConfigurationPreferncesWindows SettingsFiles 下找到。對于文件夾，你可以在 Computer|User ConfigurationPreferncesWin

8、dows SettingsFolders 下找到。（注：中文版對應的位置分別是“計算機|用戶配置首選項Windows設置文件”和“計算機|用戶配 置首選項Windows設置文件夾”）小技巧：組策略還提供了可用于.ini配置文件和快捷方式的首選項。用于.ini文件的首選項僅限于 修改.ini文件中特定分支的特定屬性值?？旖莘绞绞走x項可用于創(chuàng)建文件、文件夾、URL以及在特定Shell 對象（例如桌面）的快捷方式。所以，最佳方案是同時使用文件和文件夾的策略和首選項。你可以用首選項來創(chuàng)建一個文件或文件夾， 并通過策略對剛創(chuàng)建的文件或文件夾設置ACL。此外，對于文件和文件夾，應該選擇“只應用一次而不再

9、重新應用”。否則，創(chuàng)建、更新、替換或者刪除的操作會在下一次組策略刷新時被重新應用。Internet Explorer組策略為Internet Explorer提供了非常多的策略和首選項設置，多到連不少專家都常常為哪個設置能 做什么而感到困惑。下面這些是需要被關注的關鍵：Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsInternet Explorer策略主要用來控制Internet Explorer的行為表現(xiàn)。這些策略配置了瀏覽器的安全增強并幫助鎖 定Internet安全區(qū)域設置。User Conf

10、igurationPoliciesWindows SettingsInternet Explorer Maintenance 策略用來指定重 要的URL，比如主頁、搜索欄、聯(lián)機支持頁、收藏夾和鏈接。策略設置也被用于自定義瀏覽器界面，例如給 IE增加自定義Logo、標題和按鈕，建立默認程序、代理服務器和其他方法等。User ConfigurationPreferencesControl Panel SettingsInternet Settings 下的首選項設置允 許你配置控制面板中“Internet選項”工具中的任何選項。因為策略是被管理的而首選項是不被管理的，當你想要強制設定某些Inter

11、net Explorer選項時，應該 使用策略設置。盡管你也可以使用首選項來配置Internet Explorer，但是因為首選項是非強制性的，所以 用戶可以自行更改設置。電源選項選擇非常容易為Windows Vista或更高版本選擇策略；為Windows XP選擇首選項。Vista或更高版本的策略設置位于Computer|User ConfigurationPoliciesAdministrative TemplatesSystemPower Management（中文版：“計算機|用戶配置策略管理模板系統(tǒng)電源管理”）Windows XP的首選項設置位于Computer|User Confi

12、gurationPreferencesControl Panel SettingsPower Options（中文版：“計算機|用戶配置首選項控制面板設置電源選項”）打印機通過組策略，你可以將打印機部署到任何支持組策略的計算機上，這是通過建立一個到現(xiàn)存的共享打 印機上的連接來實現(xiàn)的。對于Windows Vista或更高版本的計算機，可以通過位于User ConfigurationPoliciesWindows SettingsDeployed Printers的策略設置來部署打印機；對于更早版本的Windows計算機，可以通過在登 錄/啟動腳本中使用PushPrinterConnection.

13、exe來部署打印機連接。你可以通過首選項來映射和配置打印機，這些首選項包括配置本地打印機以及映射網絡打印機，包括 共享網絡打印機或TCP/IP網絡打印機。這些首選項可以應用在任何安裝了組策略首選項客戶端擴展 （Client-side Extension for Group Policy Preferences）的計算機上。因為打印機首選項的設置要遠比策略設置豐富的多，你可能會更傾向于使用首選項。不過，如果你已 經通過策略設置部署了打印機，也沒必要切換到首選項并重新部署。注冊表項與值通過策略設置，可以為注冊表項設置特定的訪問控制列表（ACL）。然而，只有注冊表項存在的情況下，ACL才能被應用。這

14、種策略設置可以應用于任何支持組策略的計算機上。你可以在Computer ConfigurationPoliciesWindows settingsSecurity SettingsRegistry 下找到。（注：中文版的位置是“計算機配置策略Windows設置安全設置注冊表”）使用首選項，你可以創(chuàng)建、更新、替換或刪除一個注冊表項。相關的首選項的位置在Computer|User ConfigurationPreferncesWindows SettingsRegistry。（注：中文版的位置是“計算機配置 首選項 Windows設置注冊表”）盡管用首選項可以修改幾乎任何注冊表項，但是這種方法卻很

15、少被廣泛使用。為什么呢？因為這相當 于直接修改注冊表，而直接修改注冊表是一個危險的操作。你可能破壞了注冊表導致系統(tǒng)的崩潰。所以我 建議你只有在極少數(shù)必須的情況下才使用首選項來修改注冊表項。你應該通過策略設置中的管理模板來修 改注冊表。組策略提供了很多管理模版，你還可以到微軟網站為其他應用程序（比如MS Office）下載并 安裝額外的管理模板，來給其他應用程序管理注冊表。如果某個特定的應用程序沒有相應的管理模板，你 還可以創(chuàng)建自定義的管理模板。此外，你可能希望對注冊表項的首選項“只應用一次且不再重新應用”。否則，創(chuàng)建、更新、替換或 者刪除的操作會在下一次組策略刷新時被重新應用。開始菜單說起對開

16、始菜單的控制，策略配置和首選項有很多重疊之處。但是做法很不一樣。通過策略設置，你可以控制和限制開始菜單選項和不同的開始菜單行為。這些控制位于User ConfigurationPoliciesAdminsitrative TemplatesStart Menu And Taskbar 下。例如，你可以指定是 否要在用戶注銷時清除最近打開的文檔歷史，或是否在“開始”菜單上禁用拖放操作。還可以鎖定任務欄， 移除系統(tǒng)通知區(qū)域的圖標以及關閉所有氣球通知。（注：中文版的位置是“用戶配置策略管理模板開始菜單和任務欄”）首選項位于 User ConfigurationPreferencesControl P

17、anel SettingsStart Menu。你可以如同通 過控制面板中的任務欄和開始菜單屬性對話框一樣來進行配置。不過沒有關于任務欄的首選項。（注：中文版的位置是“用戶配置首選項控制面板設置開始菜單”）系統(tǒng)服務對于系統(tǒng)服務，選擇很容易。你可以通過策略設置來*配置服務的啟動模式*指定服務的訪問許可（誰可以開始、停止和暫停服務）策略設置位于 Computer ConfigurationPoliciesWindows settingsSecurity SettingsSystem Services（注：中文版的位置是“計算機配置策略Windows設置安全設置系統(tǒng)服務”）首選項則用于* 配置服務啟

18、動模式*配置服務操作（例如啟動服務，停止服務，停止并重啟服務）*設定用于啟動服務的帳號和密碼*設定當服務失敗時計算機的恢復反應。服務的首選項位于 Computer ConfigurationPreferencesControl Panel SettingsServices（注：中文版的位置是“計算機配置首選項控制面板設置服務”）因為策略是受管理的，而首選項是不受管理的，當你想強制定義啟動模式和訪問許可的時候，可以用 策略設置。盡管你可以用首選項來配置服務，但是因為首選項是非強制的，用戶可以自行更改設置。這就 是說，如果你應用了首選項并通過常規(guī)的組策略刷新機制來自動刷新，某些用戶更改將會被你的首選項設 置所覆蓋。用戶和組對于用戶和組來說，選擇首選項還是策略很容易。如果你想限制某個AD組或本地組的成員，你就應該 用策略設置。相關策略設置的位置是 Computer ConfigurationPoliciesWindows settingsSecurity SettingsRestricted Groups（注：中