在組策略的首選項(xiàng)和策略設(shè)置

1、更加長足的進(jìn)步。細(xì)心的管理員可能已經(jīng)發(fā)現(xiàn)，最新版本的組策略分成了策略設(shè)置(Policy Settings)和策 略首選項(xiàng)(Policy Preferences)兩個(gè)部分。其中策略設(shè)置基本上繼承了以前版本組策略的主要內(nèi)容，而策略首選項(xiàng)則是全新的內(nèi)容，為管理員提供了更多更細(xì)的設(shè)置。組策略設(shè)置和首選項(xiàng)的不同之處就在于強(qiáng)制性。組策略設(shè)置是受管理的、強(qiáng)制實(shí)施的。而組策略首選 項(xiàng)則是不受管理的、非強(qiáng)制性的。對于很多系統(tǒng)設(shè)置來說，管理員既可以通過策略設(shè)置來實(shí)現(xiàn)，也可以通過策略首選項(xiàng)來實(shí)現(xiàn)，2者有 相當(dāng)一部分的重疊。那么什么情況下應(yīng)該用策略首選項(xiàng)，什么情況下應(yīng)該用策略設(shè)置呢？本文將為你解開 這個(gè)謎團(tuán)。(下文大

2、多數(shù)情況下將“組策略的策略設(shè)置”簡稱為“策略”或“策略設(shè)置”，將“組策略的策略首 選項(xiàng)”簡稱為“首選項(xiàng)”)因?yàn)槭走x項(xiàng)和策略在某些管理區(qū)域相互重疊，有時(shí)候你可以通過多種方法來實(shí)現(xiàn)同一個(gè)特定的任務(wù)。 比如，你可以通過策略來指定必須使用的登錄腳本。在這些腳本中，你可以映射網(wǎng)絡(luò)驅(qū)動器、配置打印機(jī)、 創(chuàng)建快捷方式、復(fù)制文件和文件夾以及執(zhí)行其他任務(wù)。使用首選項(xiàng)，你可以不需要通過登錄腳本就完成相 同的任務(wù)。那么，應(yīng)該選擇哪一種方法呢？嗯，真相是沒有一個(gè)標(biāo)準(zhǔn)答案，確實(shí)是這樣，這取決于你想怎 么做。在下面的章節(jié)中，我將告訴你一些大致的指導(dǎo)意見。當(dāng)在同一個(gè)GPO中的策略和首選項(xiàng)發(fā)生沖突時(shí)，基于注冊表的策略通常會獲

3、勝。對于不基于注冊表的 策略和首選項(xiàng)來說，最后寫入的那個(gè)值獲勝(這取決于策略與首選項(xiàng)的客戶端擴(kuò)展執(zhí)行的順序)判斷策略 設(shè)置是否是基于注冊表的方法很簡單，因?yàn)樗谢谧员淼牟呗栽O(shè)置都定義在管理模板(Administrative Templates)中。設(shè)備安裝通過策略設(shè)置，你可以通過阻止用戶安裝驅(qū)動程序的方法來限制用戶安裝某些特定類型的硬件設(shè)備。 你可以指定某個(gè)經(jīng)過許可的設(shè)備可以被安裝(根據(jù)設(shè)備的硬件ID)，也可以阻止特定設(shè)備的安裝(還是根據(jù) 設(shè)備的硬件ID)。這些策略設(shè)置僅對Windows Vista及更高版本有效，可在Computer ConfigurationPoliciesAdmini

4、strative TemplatesSystemDevice Installation Restrictions 下找 到。(注：中文版為“計(jì)算機(jī)配置策略管理模版系統(tǒng)設(shè)備安裝限制”)雖然這些限制措施能阻止新設(shè)備的安裝，或阻止一個(gè)設(shè)備在拔下后并重新插入時(shí)的重新安裝，但并不 能阻止已存在設(shè)備的運(yùn)行。使用首選項(xiàng)，你可以禁用設(shè)備類(Device Classes)、某個(gè)設(shè)備、端口類(Port Classes)以及某個(gè)端口， 但不能阻止驅(qū)動程序的載入。相關(guān)的首選項(xiàng)設(shè)置可以在Computer|User ConfigurationPreferencesControl Panel SettingsDevices

5、 下找到。(注：中文版為“計(jì)算機(jī)|用戶配置首選項(xiàng)控制面板設(shè)置設(shè)備”)雖然用首選項(xiàng)可以禁用設(shè)備和端口，這并不會阻止設(shè)備驅(qū)動程序的安裝。它也不會阻止具有相應(yīng)權(quán)限 的用戶通過設(shè)備管理器(Device Manager )啟用設(shè)備或端口。然而，因?yàn)榻M策略默認(rèn)會以同樣的時(shí)間間隔來 刷新策略設(shè)置和首選項(xiàng)，首選項(xiàng)設(shè)置會在下一次刷新組策略的時(shí)候被重新應(yīng)用。這樣，除非你特別指定該 首選項(xiàng)只應(yīng)用一次且不再重新應(yīng)用，該設(shè)置會每90-120分鐘被應(yīng)用一次。如果你想完全鎖定并阻止某個(gè)特定設(shè)備被安裝和使用，可以將策略設(shè)置和首選項(xiàng)配合起來使用：用首 選項(xiàng)來禁用已安裝的設(shè)備，并通過策略設(shè)置阻止該設(shè)備驅(qū)動程序的重新載入。最后要指

6、出的是，這里提到的策略設(shè)置僅對Windows Vista或更高版本生效，而首選項(xiàng)則可以對安裝 了組策略首選項(xiàng)客戶端擴(kuò)展(Client-side Extension for Group Policy Preferences)的任何計(jì)算機(jī)生效。文件和文件夾通過策略可以為重要的文件和文件夾創(chuàng)建特定的訪問控制列表(ACL)。然而，只有目標(biāo)文件和文件夾存 在情況下，ACL才能被應(yīng)用。這種策略設(shè)置可以應(yīng)用于任何支持組策略的計(jì)算機(jī)上。你可以在Computer ConfigurationPoliciesWindows settingsSecurity SettingsFile System 下找到。(注：中文

7、版的位置是“計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置文件系統(tǒng)”)使用首選項(xiàng)，你可以管理文件和文件夾。對于文件，你可以通過從源計(jì)算機(jī)復(fù)制的方法來創(chuàng)建、更新、 替換或刪除一個(gè)文件或文件夾。對于文件夾，還可以指定在創(chuàng)建、更新、替換或刪除操作時(shí)，是否刪除文 件夾中現(xiàn)存的文件和子文件夾。文件和文件夾首選項(xiàng)可以應(yīng)用于任何安裝了組策略首選項(xiàng)客戶端擴(kuò)展的計(jì)算機(jī)上。對于文件，你可以 在 Computer|User ConfigurationPreferncesWindows SettingsFiles 下找到。對于文件夾，你可以在 Computer|User ConfigurationPreferncesWin

8、dows SettingsFolders 下找到。（注：中文版對應(yīng)的位置分別是“計(jì)算機(jī)|用戶配置首選項(xiàng)Windows設(shè)置文件”和“計(jì)算機(jī)|用戶配 置首選項(xiàng)Windows設(shè)置文件夾”）小技巧：組策略還提供了可用于.ini配置文件和快捷方式的首選項(xiàng)。用于.ini文件的首選項(xiàng)僅限于 修改.ini文件中特定分支的特定屬性值?？旖莘绞绞走x項(xiàng)可用于創(chuàng)建文件、文件夾、URL以及在特定Shell 對象（例如桌面）的快捷方式。所以，最佳方案是同時(shí)使用文件和文件夾的策略和首選項(xiàng)。你可以用首選項(xiàng)來創(chuàng)建一個(gè)文件或文件夾， 并通過策略對剛創(chuàng)建的文件或文件夾設(shè)置ACL。此外，對于文件和文件夾，應(yīng)該選擇“只應(yīng)用一次而不再

9、重新應(yīng)用”。否則，創(chuàng)建、更新、替換或者刪除的操作會在下一次組策略刷新時(shí)被重新應(yīng)用。Internet Explorer組策略為Internet Explorer提供了非常多的策略和首選項(xiàng)設(shè)置，多到連不少專家都常常為哪個(gè)設(shè)置能 做什么而感到困惑。下面這些是需要被關(guān)注的關(guān)鍵：Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsInternet Explorer策略主要用來控制Internet Explorer的行為表現(xiàn)。這些策略配置了瀏覽器的安全增強(qiáng)并幫助鎖 定Internet安全區(qū)域設(shè)置。User Conf

10、igurationPoliciesWindows SettingsInternet Explorer Maintenance 策略用來指定重 要的URL，比如主頁、搜索欄、聯(lián)機(jī)支持頁、收藏夾和鏈接。策略設(shè)置也被用于自定義瀏覽器界面，例如給 IE增加自定義Logo、標(biāo)題和按鈕，建立默認(rèn)程序、代理服務(wù)器和其他方法等。User ConfigurationPreferencesControl Panel SettingsInternet Settings 下的首選項(xiàng)設(shè)置允 許你配置控制面板中“Internet選項(xiàng)”工具中的任何選項(xiàng)。因?yàn)椴呗允潜还芾淼亩走x項(xiàng)是不被管理的，當(dāng)你想要強(qiáng)制設(shè)定某些Inter

11、net Explorer選項(xiàng)時(shí)，應(yīng)該 使用策略設(shè)置。盡管你也可以使用首選項(xiàng)來配置Internet Explorer，但是因?yàn)槭走x項(xiàng)是非強(qiáng)制性的，所以 用戶可以自行更改設(shè)置。電源選項(xiàng)選擇非常容易為Windows Vista或更高版本選擇策略；為Windows XP選擇首選項(xiàng)。Vista或更高版本的策略設(shè)置位于Computer|User ConfigurationPoliciesAdministrative TemplatesSystemPower Management（中文版：“計(jì)算機(jī)|用戶配置策略管理模板系統(tǒng)電源管理”）Windows XP的首選項(xiàng)設(shè)置位于Computer|User Confi

12、gurationPreferencesControl Panel SettingsPower Options（中文版：“計(jì)算機(jī)|用戶配置首選項(xiàng)控制面板設(shè)置電源選項(xiàng)”）打印機(jī)通過組策略，你可以將打印機(jī)部署到任何支持組策略的計(jì)算機(jī)上，這是通過建立一個(gè)到現(xiàn)存的共享打 印機(jī)上的連接來實(shí)現(xiàn)的。對于Windows Vista或更高版本的計(jì)算機(jī)，可以通過位于User ConfigurationPoliciesWindows SettingsDeployed Printers的策略設(shè)置來部署打印機(jī)；對于更早版本的Windows計(jì)算機(jī)，可以通過在登 錄/啟動腳本中使用PushPrinterConnection.

13、exe來部署打印機(jī)連接。你可以通過首選項(xiàng)來映射和配置打印機(jī)，這些首選項(xiàng)包括配置本地打印機(jī)以及映射網(wǎng)絡(luò)打印機(jī)，包括 共享網(wǎng)絡(luò)打印機(jī)或TCP/IP網(wǎng)絡(luò)打印機(jī)。這些首選項(xiàng)可以應(yīng)用在任何安裝了組策略首選項(xiàng)客戶端擴(kuò)展 （Client-side Extension for Group Policy Preferences）的計(jì)算機(jī)上。因?yàn)榇蛴C(jī)首選項(xiàng)的設(shè)置要遠(yuǎn)比策略設(shè)置豐富的多，你可能會更傾向于使用首選項(xiàng)。不過，如果你已 經(jīng)通過策略設(shè)置部署了打印機(jī)，也沒必要切換到首選項(xiàng)并重新部署。注冊表項(xiàng)與值通過策略設(shè)置，可以為注冊表項(xiàng)設(shè)置特定的訪問控制列表（ACL）。然而，只有注冊表項(xiàng)存在的情況下，ACL才能被應(yīng)用。這

14、種策略設(shè)置可以應(yīng)用于任何支持組策略的計(jì)算機(jī)上。你可以在Computer ConfigurationPoliciesWindows settingsSecurity SettingsRegistry 下找到。（注：中文版的位置是“計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置注冊表”）使用首選項(xiàng)，你可以創(chuàng)建、更新、替換或刪除一個(gè)注冊表項(xiàng)。相關(guān)的首選項(xiàng)的位置在Computer|User ConfigurationPreferncesWindows SettingsRegistry。（注：中文版的位置是“計(jì)算機(jī)配置 首選項(xiàng) Windows設(shè)置注冊表”）盡管用首選項(xiàng)可以修改幾乎任何注冊表項(xiàng)，但是這種方法卻很

15、少被廣泛使用。為什么呢？因?yàn)檫@相當(dāng) 于直接修改注冊表，而直接修改注冊表是一個(gè)危險(xiǎn)的操作。你可能破壞了注冊表導(dǎo)致系統(tǒng)的崩潰。所以我 建議你只有在極少數(shù)必須的情況下才使用首選項(xiàng)來修改注冊表項(xiàng)。你應(yīng)該通過策略設(shè)置中的管理模板來修 改注冊表。組策略提供了很多管理模版，你還可以到微軟網(wǎng)站為其他應(yīng)用程序（比如MS Office）下載并 安裝額外的管理模板，來給其他應(yīng)用程序管理注冊表。如果某個(gè)特定的應(yīng)用程序沒有相應(yīng)的管理模板，你 還可以創(chuàng)建自定義的管理模板。此外，你可能希望對注冊表項(xiàng)的首選項(xiàng)“只應(yīng)用一次且不再重新應(yīng)用”。否則，創(chuàng)建、更新、替換或 者刪除的操作會在下一次組策略刷新時(shí)被重新應(yīng)用。開始菜單說起對開

16、始菜單的控制，策略配置和首選項(xiàng)有很多重疊之處。但是做法很不一樣。通過策略設(shè)置，你可以控制和限制開始菜單選項(xiàng)和不同的開始菜單行為。這些控制位于User ConfigurationPoliciesAdminsitrative TemplatesStart Menu And Taskbar 下。例如，你可以指定是 否要在用戶注銷時(shí)清除最近打開的文檔歷史，或是否在“開始”菜單上禁用拖放操作。還可以鎖定任務(wù)欄， 移除系統(tǒng)通知區(qū)域的圖標(biāo)以及關(guān)閉所有氣球通知。（注：中文版的位置是“用戶配置策略管理模板開始菜單和任務(wù)欄”）首選項(xiàng)位于 User ConfigurationPreferencesControl P

17、anel SettingsStart Menu。你可以如同通 過控制面板中的任務(wù)欄和開始菜單屬性對話框一樣來進(jìn)行配置。不過沒有關(guān)于任務(wù)欄的首選項(xiàng)。（注：中文版的位置是“用戶配置首選項(xiàng)控制面板設(shè)置開始菜單”）系統(tǒng)服務(wù)對于系統(tǒng)服務(wù)，選擇很容易。你可以通過策略設(shè)置來*配置服務(wù)的啟動模式*指定服務(wù)的訪問許可（誰可以開始、停止和暫停服務(wù)）策略設(shè)置位于 Computer ConfigurationPoliciesWindows settingsSecurity SettingsSystem Services（注：中文版的位置是“計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置系統(tǒng)服務(wù)”）首選項(xiàng)則用于* 配置服務(wù)啟

18、動模式*配置服務(wù)操作（例如啟動服務(wù)，停止服務(wù)，停止并重啟服務(wù)）*設(shè)定用于啟動服務(wù)的帳號和密碼*設(shè)定當(dāng)服務(wù)失敗時(shí)計(jì)算機(jī)的恢復(fù)反應(yīng)。服務(wù)的首選項(xiàng)位于 Computer ConfigurationPreferencesControl Panel SettingsServices（注：中文版的位置是“計(jì)算機(jī)配置首選項(xiàng)控制面板設(shè)置服務(wù)”）因?yàn)椴呗允鞘芄芾淼模走x項(xiàng)是不受管理的，當(dāng)你想強(qiáng)制定義啟動模式和訪問許可的時(shí)候，可以用 策略設(shè)置。盡管你可以用首選項(xiàng)來配置服務(wù)，但是因?yàn)槭走x項(xiàng)是非強(qiáng)制的，用戶可以自行更改設(shè)置。這就 是說，如果你應(yīng)用了首選項(xiàng)并通過常規(guī)的組策略刷新機(jī)制來自動刷新，某些用戶更改將會被你的首選項(xiàng)設(shè) 置所覆蓋。用戶和組對于用戶和組來說，選擇首選項(xiàng)還是策略很容易。如果你想限制某個(gè)AD組或本地組的成員，你就應(yīng)該 用策略設(shè)置。相關(guān)策略設(shè)置的位置是 Computer ConfigurationPoliciesWindows settingsSecurity SettingsRestricted Groups（注：中