活动目录编程指南.doc

Active Directory活动目录编程指南版本 : V 1.0.0目录1AD用户密码与LDAP从帐号密码同步41.1AD端安装41.2AD端配置51.3LDAP端开发52AD组策略管理62.1项目管理内容62.2目录对象属性62.3策略文件存储82.4生成策略文件步骤113使用LDAP进行AD其他项目管理113.1组织单元(objectClass: organizationalUnit)属性123.2用户(objectClass:user)属性123.3组(objectClass: group)属性143.4Windows 2000 以前版本遗留属性15附录1 注册策略文件格式(Registry.pol)16附录2 管理模板文件格式(.adm)18#If Version18注释和字符串19CLASS19CATEGORY20POLICY20PART21ITEMLIST25ACTIONLIST25样本26Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。活动目录采用的是Exchange Server的数据存储结构，其特点是不需要事先定义数据库的参数，可以做到动态地增长。域（Domain）是Windows Server 2003域中Active Directory数据库的基本管理单位。目录存储在域控制器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。目录数据包括：u 域数据：域数据包含了与域中的对象有关的信息 。u 配置数据：配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。u 架构数据：架构是对目录中存储的所有对象和属性数据的正式定义。 我们将使用Java+Tomcat直接对目录数据进行操作管理。另外，LDAP应用系统从帐号列表将开发置于LDAP服务器上的同步插件与AD中用户名与密码进行同步。1 AD用户密码与LDAP从帐号密码同步1.1 AD端安装a) 点击“开始”，打开“控制面板”，然后运行“添加或删除程序”；b) 点击“添加/删除windows组件”；c) 在打开的“windows组件向导”中，点击勾选“Active Directory服务”；d) 选中“Active Directory服务”，点击“详细信息”；e) 在打开的“Active Directory服务”中，点击勾选“Identity Management for UNIX”；f) 选中“Identity Management for UNIX”，点击“详细信息”；g) 在打开的“Identity Management for UNIX”中，点击勾选“Password Synchronization”；h) 点击“确定”，Windows组件向导开始安装Identity Management for UNIX组件；i) 安装完成，重启服务器使Password Synchronization开始运行。1.2 AD端配置a) 打开“Identity Management for UNIX”；b) 右键点击“Password Synchronization”，打开“属性”；c) 勾选“Windows to Computer that runs on UNIX”，允许从windows端到UNIX端密码同步；d) 勾选“UNIX to Computer that runs on Windows”，允许从UNIX端到windows端密码同步；e) 使用6677之外的端口，在“Port Number”框中输入你想使用的端口数字，此端口为windows端开放的端口，允许UNIX端从此端口接入；f) 在“Encryption/Decryption key”框中输入你想使用的密钥，或者点击“New Key”自动生成一个新的密钥；g) 点击“确定”，保存新的设置；h) 右键点击“UNIX Computers”，打开“Add Computer.”；i) 要添加一台计算机到当前的计算机列表，在“Computer Name”框中办入你想添加的UNIX端计算机名或IP；j) 勾选“Synchronize password changes to the Computer enterd above”，允许将密码修改同步到上面输入的计算机；k) 勾选“Synchronize password changes from the Computer entered above”，允许从上面输入的计算机接受密码修改并执行同步；l) 在“Encryption/Decryption key”框中输入UNIX端使用的密钥，或者点击“New Key”自动生成一个新的密钥，以后将此密钥配置到UNIX端同步插件中；m) 使用6677之外的端口，在“Port Number”框中输入UNIX端开放的端口数字；n) 点击“确定”，保存新的设置，如果要添加多台同步服务器，可重复以上操作；1.3 LDAP端开发同步插件由微软提供下载的ssod.tar.gz源码修改而成。其中的ssod程序可以获取到AD正在修改的AD用户名与新密码原文，需要修改后添加处理操作将之写入LDAP；其中的pam_sso库文件可以修改AD中指定用户的密码，需要将之修改后添加到LDAP的同步插件中进行调用。注意：AD用户密码不能直接使用LDAP进行修改，建议经由LDAP修改后再同步到AD中去。2 AD组策略管理组策略是Win2003操作系统提供的一种重要的更新和配置管理技术，用来批量控制计算机和用户的环境，包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中，通过组策略可以对计算机和用户组进行高效集中化的管理。2.1 项目管理内容本项目包括如下内容：u 创建组策略对象；u 编辑组策略；u 添加或浏览组策略；u 安全组筛选；u 策略继承；u 将GPO链接到多个域和组织单元；u 环回处理。2.2 目录对象属性 组策略对象GPO在组策略编辑器中生成一个组策略后，就会对应生成一个组策略对象GPO。但GPO是域中一个虚拟对象，在AD数据库中并不存在真实的GPO对象。实际上，GPO对象由两部分组成,分别是保存在AD数据库中组策略容器GPC和保存在Sysvol共享文件夹中的对象组策略模板GPT。 组策略模板GPTGPT是实现了一系列组策略设置的指令集，包含具体组策略的相关设置参数。大多数GPT都采用文件形式，存放在sysvol共享文件夹中，以便于客户端下载和处理。 除软件部署使用的是二进制.aas文件外，其它GPT文件都是简单的文本文件，客户端下载GPT文件后，按照文件指令进行相应的操作和设置。GPT的版本号存储在Gpt.ini文件中，用于与GPC保持同步。 组策略容器GPCGPC是一个目录服务对象，主要包含有如下重要属性：versionNumber：版本号属性的主要目的是为了确保GPC与GPT信息保持同步，指出对GPO的改变次数。客户机根据GPO列表，查找到对应的组策略模板信息，通过比较缓存的GPO版本号与GPT中版本号，确定该组策略是否已经更新，如果组策略已经更新，下载GPT文件，并执行相应的操作和设置。gPCFileSysPath：提供客户端查找和定位对应组策略模板文件的路径。gPCWQLFilter：指定应用于组策略对象的任何WMI筛选器。GPC对象存储在AD数据库Domain分区中，“CN=Policies,CN=System”路径下。GPC与GPT之间由GPO的GUID保持关联，由GPC的gPCFileSysPath记载对应组策略模板具体位置。gPCMachineExtensionNames：指定客户端处理计算机策略GPT文件时需要使用的客户端扩展的ClassID。gPCUserExtensionNames：指定客户端处理用户策略GPT文件时需要使用的客户端扩展的ClassID。 ClassID值来源在Windows系统共有11种功能可以由组策略来管理，每个功能都有一个相应的服务在客户端运行，服务负责处理相应的组策略。这些服务称之为CSE(客户端扩展)，每个CSE都作为动态链接库dll的方式存在，在客户机启动时，由winlogon服务动态加载。当一客户计算机处理策略时，客户端扩展根据需要被加载。客户计算机首先得到一组策略对象的列表，然后，它环游客户端扩展并决定是否每个客户端扩展在任何组策略对象中有任何数据。如果一客户端扩展在组策略对象中有数据，客户端扩展随它将要处理的组策略对象列表被调用。如果客户端扩展在任何组策略对象中没有任何数据，则它不被调用。 下表列出了客户端扩展。客户端扩展DLL文件名注册表（在管理模板中） Userenv.dll磁盘定额（在管理模板中） Dskquota.dll文件夹重定向 Fdeploy.dll脚本 Gptext.dll软件安装 Appmgmts.dll安全 Scecli.dllIP 安全 Gptext.dllE F S（加密文件系统）恢复 Scecli.dllInternet Explorer维护 iedkcs32.dll远程安装服务 无详细的每个功能和对应的CSE扩展如下图：所有的MMC插件在注册表中如下的位置注册它们自己：HKEY_LOCAL_MACHINESOFTWAREMicrosoftMMCSnapInsSnap-in-GUID除了上面所提及的位置，组策略客户端扩展其后在注册表中如下的位置注册它们自己，因此可以在客户机注册表中查看详细的客户端扩展列表，具体注册表位置在：HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonGPExtensions。列表中每一项代表一个具体的服务，以ClassID来标识，与GPC中gPCMachineExtensionNames/gPCUserExtensionNames保持一致。客户机执行某一个GPO时，由GPC的gPCMachineExtensionNames/gPCUserExtensionNames属性定位出该组策略具体由哪一个CSE来执行。每个CSE扩展知道如何正确处理所对应的组策略设置。2.3 策略文件存储组策略对象(GPO)存储组策略内容到组策略模板(GPT)的文件系统中，它位于域控制器SYSVOL文件夹下的Policies子文件夹。当你修改组策略对象(GPO)时，组策略模板(GPT)所在的文件夹名是组策略对象(GPO)的GUID。例如，假设你修改一个域名叫Seattle的GPO。GPT文件夹的路径在如下位置（这里的GUID只是范例）：%systemroot%SYSVOLsysvol SPolicies47636445-af79-11d0-91fe-080036644603sysvol文件夹通过共享可进行远程读写，Linux下可通过samba进行共享读写。下图为组策略模板(GPT)存储目录结构如下图：每一个组策略模板文件夹的根目录有一个文件叫GPT.INI。该文件包含以下内容：GeneralVersion=0 /组策略对象的版本号DisplayName= /GPO的显示名称Version number为十进制形式，但代表的是一八位十六进制的号码（DWORD） 。低四位数字示Computer Setting的版本号，高四位数表示User Setting的版本号。例如，如果见到：Version=65539则Computer Setting的版本为3，User Setting的版本为1，因为65539转换为0X00010003。Adm包含组策略对象的所有.adm文件。初始化的.adm文件可以从WINDOWSinf下拷贝到管理端所在服务器进行存档。Adm文件是组策略管理模板，其中存放组策略的各项设置、描述和状态，并且在admfiles.ini中收录。默认 .adm 文件提供以下配置选项。Conf.adm：NetMeeting 设置Inetres.adm：Internet Explorer 设置System.adm：操作系统设置wmplayer.adm：Windows Media Player 设置wuau.adm：Windows Update 设置用户(User)文件夹包括一个Registry.pol文件，其内含套用到用户的登录设定值。当用户登录电脑时，Registry.pol文件被下载并套用到登录的HKEY_CURRENT_USER部份。用户(User)文件夹可能包含下列的子文件夹（依GPO的内容而定）： Applications包含Windows Installer所使用的广告文件（.aas文件） Document&Settings包含F d e p l o y. i n i，它包含有关当前用户所指文件夹的文件夹重定向的状态信息。ChoiceOSAUTO=1/自动安装，0已禁用，1已启用，未配置时删除此条目CUSTOM=1/自定义安装，0已禁用，1已启用，未配置时删除此条目RESTART=1/重新启动安装，0已禁用，1已启用，未配置时删除此条目TOOLS=1/工具，0已禁用，1已启用，未配置时删除此条目 MicrosoftRemoteInstall包含OSCfilter.ini，它包含通过远程安装服务的关于操作系统安装的用户的选择。 MicrosoftIEAK包含Internet Explorer Maintenance Snap-in的设置。 ScriptsLogon包含当用户注销计算机时所运行的脚本。 ScriptsLogoff包含当用户登录到计算机时所运行的脚本。计算机(Machine)文件夹包括一个Registry.pol 文件，其内含套用到计算机的登录设定值。当计算机启动时，Registry.pol文件被下载并套用到登录的HKEY_LOCAL_MACHINE部份。计算机(Machine)文件夹可能包含下列的子文件夹（依GPO 的内容而定）： ScriptsStartup包含当计算机启动时运行的脚本。 ScriptsShutdown包含当计算机关闭时运行的脚本。 应用程序内含Windows安装程序所使用的通知文件（.aas文件），这些套用到计算机中。 MicrosoftWindows NTSecedit包含GptTmpl.inf文件，它是Windows 2000域控制器的缺省的安全配置设置。 Applications它的内容取决于在给定的组策略对象前提下，有哪些应用程序被计算机指定。“User”与“Machine”文件夹是在安装时所建立的，其他的文件夹在策略设置需要时被创建。Registry.pol与.adm文件格式请参考附录。2.4 生成策略文件步骤当您启动组策略编辑器时，会建立一个内含两个节点的暂存登录树：“USER”和“MACHINE”。当您浏览组策略编辑器的管理模板时，会显示.adm文件节点。当一个特殊的节点被选取时，组策略编辑器内的.adm文件被动态的载入，而随后.adm文件变为快速存取。当细节窗格（MMC 主控台视窗的右边）的策略被选取时，就会要求在暂存的登录中所选取的策略是否要设定登录值，如果要，这些值会显示在“设置”对话框中。假如选取的策略不要设定登录值，就会使用来自.adm文件或关连的MMC 嵌入式管理单元的预设值。当您修改一个策略之后，您指设定的registry 值会被写到暂存登录的适当位置（不是“MACHINE”就是“USER”）。当您关闭组策略编辑器时，暂存登录hives 被汇出到组策略模板适当文件夹中的Registry.pol文件。下次您启动先前设定组策略设定值的编辑器，来自相对应Registry.pol文件的登录信息被汇入到暂存的登录树中。因此，在您检视策略的同时，它们就会反映出目前的状态。3 使用LDAP进行AD其他项目管理包括如下项目：u 添加组织单位；u 创建用户帐户；u 移动用户帐户；u 创建组；u 将用户添加到组中；u 发布共享文件夹（在目录中发布共享文件夹、搜索共享文件夹）；u 发布打印机；u 创建计算机对象；u 重命名、移动和删除对象；u 管理计算机对象（管理远程计算机）；u 查找特定对象；u 筛选对象列表；u 控制委派（验证授予的权限）。3.1 组织单元(objectClass: organizationalUnit)属性description描述c、co、countryCode国家（地区）st省/自治区l市/县street街道postalCode邮政编码managedBy管理者DNgPLink组策略站点、域或组织单元“Properties”页中的“Group Policy”标签允许用户指定哪些组策略对象链接到该站点、域或组织单元。该属性页在名为gPLink和gPOptions的活动目录属性中存储用户的选择。gPLink属性包含组策略对象链接的优先列表， gPOptions属性包含域或组织单元的Block Policy Inheritance策略设置。Block Policy Inheritance策略设置对站点来说不可用。3.2 用户(objectClass:user)属性常规sn姓givenName名initials英文缩写displayName显示名称description描述physicalDeliveryOfficeName办公室telephoneNumber电话号码otherTelephone电话号码（其他）多值mail电子邮件wWWHomePage网页url网页地址（其他）多值地址c、co、countryCode国家（地区）st省/自治区l市/县streetAddress街道postOfficeBox邮政信箱postalCode邮政编码帐户userPrincipalName用户登录名sAMAccountName用户登录名（Windows 2000 以前版本）sAMAccountType帐户类型logonHours登录时间userWorkstations登录工作站单值，逗号分割，空为所有计算机pwdLastSet密码最近一次设置时间(0用户下次登录时须更改密码)userAccountControl帐户选项(初始值0x200)0x10000密码永不过期0x80使用可逆的加密保存密码0x2帐户已禁用0x40000交互式登录必须使用智能卡0x80000帐户可以委派其他帐户0x100000敏感帐户，不能被委派0x200000此帐户需要使用DES加密类型0x400000不要求Kerberos预身份验证accountExpires帐户过期（0永不过期）配置文件profilePath用户配置文件-配置文件路径scriptPath用户配置文件-登录脚本homeDirectory主文件夹-本地路径电话homePhone家庭电话otherHomePhone家庭电话（其他）多值pager寻呼机otherPager寻呼机（其他）多值mobile移动电话otherMobile移动电话（其他）多值facsimileTelephoneNumber传真otherFacsimileTelephoneNumber传真（其他）多值ipPhoneIP电话otherIpPhoneIP电话（其他）多值info注释单位title职务department部门company公司manager经理DN3.3 组(objectClass: group)属性sAMAccountName登录帐户名（Windows 2000 以前版本）sAMAccountType帐户类型description描述mail电子邮件info注释member成员DN，多值managedBy管理者DNgroupType组类型值组类型2全局分发组4域本地分发组8通用分发组-2147483646全局安全组-2147483644域本地安全组-2147483640通用安全组值2、4和8分别表示全局组、域本地组和通用组。值-2147483648表示安全组。要确定组类别，可将第一个数字（2、4或8）与第二个数字（如果此组为安全组，则为-2147483648；如果为分发组，则为 0）相加。域本地分发组值为4 (4 + 0)；域本地安全组值为-2147483644 (4 + -2147483648)。3.4 Windows 2000 以前版本遗留属性sAMAccountName登录帐户名（Windows 2000 以前版本）sAMAccountType帐户类型帐户类型值SAM_GROUP_OBJECT0x10000000SAM_NON_SECURITY_GROUP_OBJECT0x10000001SAM_ALIAS_OBJECT0x20000000SAM_NON_SECURITY_ALIAS_OBJECT0x20000001SAM_USER_OBJECT0x30000000SAM_MACHINE_ACCOUNT0x30000001SAM_TRUST_ACCOUNT0x30000002附录1注册策略文件格式(Registry.pol)组策略的管理模板扩展在组策略模板中存储信息，为一绑定了二进制字符串的文本文件且名字为Registry.pol。这些文件包含定制的注册表设置，这些设置应用到注册表中的Machine或User部分，而注册表由用户使用组策略插件指定。两个Registry.pol文件在组策略模板中创建和存储，一个用于计算机配置，它存储于Machine子目录，另一个用于用户配置，它存储于User子目录。组策略编辑器在退出时在文件中保存设置，在启动时从文件中导入配置。为查看.pol文件而不把它们应用到注册表，使用Microsoft Windows 2000 Server资源大全配套光盘上的Regview.exe工具。Registry.pol由文件头与文件正文组成。文件头包含两个DWORD值分别表示文件签名与文件版本。这两个值定义如下：值定义REGFILE_SIGNATURE定义为0x67655250。REGISTRY_FILE_VERSION初始化定义为1,文件格式每进行修改一次则+1。文件正文由以下注册值格式构成：key;value;type;size;datakey注册键的路径。在此路径中不包含HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER而由文件的位置来决定这两个键中的哪个键被使用。value注册值的名字。下表中的这些值都有特殊的含义。值含义*DeleteValues删除一个用分号分割的多个值。作为相关连的键的值。*Del.valuename删除一个单一的值。作为相关连的键的值。*DelVals删除一个键的所有值。作为相关连的键的值。*DeleteKeys删除一个用分号分割的多个键。值字段必须在*DeleteKeys后以NULL或空格结束。例如: *DeleteKeys/0;type;size;NoRun;NoFind*SecureKey*SecureKey=1 保护这个键，赋予管理员和系统全部控制权限，赋予用户只读权限。*SecureKey=0 重置这个键的权限与根的设置一样。type数据类型。这个字段包括在WinNT.h中定义的所有注册值类型。REG_BINARY( 3 )/任意二进制数。REG_DWORD( 4 )/32位的数字。REG_DWORD_LITTLE_ENDIAN( 4 )/little-endian格式32位的数字。该值在Windows头文件中被定义为REG_DWORD.REG_DWORD_BIG_ENDIAN( 5 )/big-endian格式的32位数字，一些UNIX系统支持big-endian格式。REG_EXPAND_SZ( 2 )/字符串(例如, %PATH%). 当你使用Unicode函数，该值则标识Unicode字符串，否则表示ANSI字符串。REG_LINK( 6 )/保留值，供系统使用.REG_MULTI_SZ( 7 )/字符串数组。以两个空字符结束。REG_NONE( 0 )/为定义类型.REG_QWORD(11)/64位的数字REG_QWORD_LITTLE_ENDIAN(11)/little-endian格式的64位数字。Windows系统是在little-endian结构的计算机上运行的，因此该值在Windows头文件中被定义为REG_QWORD。REG_SZ( 1 )/字符串，当使用Unicode函数是，该类型表示Unicode字符串，否则表示ANSI字符串。size数据字段的大小，单位为字节。Data用户提供的数据。如果value, type, size, 或data被去除或者为零，只创建这个注册表键。附录2管理模板文件格式(.adm)组策略编辑器能从一个管理模板(.adm)文件中获取注册表策略设置，一个.adm文件定义组策略编辑器显示的属性页，允许管理员管理它的设置。该文件也标示设置存储的注册表位置。如果你的应用程序提供对.adm文件的管理，它应该在下面的注册表键中存储这些策略设置。 用户配置：HKEY_CURRENT_USERSoftwarePoliciesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies 计算机配置：HKEY_LOCAL_MACHINESoftwarePoliciesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies了解更多信息，请查看以下元素：#If Version#If Version比较条件语句被用来控制在某些管理模板节点中的特定策略设置的显示，基于使用的组策略编辑器版本。#If Version允许.adm文件的部分内容被有条件的解析并被某些更早版本的组策略对象编辑工具忽略。例如，SUPPORTED标签在版本4以前的组策略对象编辑器中是不支持的。因此，所有使用了SUPPORTED标签的语句被#If Version.#endif封闭包装。#If Version条件语句的格式：#if version operatorversionNumberGroup Policy administrative template definition statements#endifOperator有效的版本比较操作符：操作符表示 (GT) 大于。例如，a b 表示a大于b。 (LT) 小于。例如，a = (GTE) 大于或等于。例如，a = b表示a大于或等于b。= (LTE) 小于或等于。例如，a = b 表示a小于或等于b。versionNumber你可以在特定版本的组策略编辑工具中指定已评估的你.adm文件的任何部分。组策略编辑工具版本有：操作系统版本评估工具WindowsXP with SP1 and later, Windows Server20035.0组策略编辑工具WindowsXP4.0组策略编辑工具Windows20003.0组策略编辑工具WindowsNT4.02.0系统策略编辑工具Windows951.0系统策略编辑工具注释和字符串在注释原文前先添加一个分号(;)然后把注释添加到.adm文件中。注释可以放置在strings单元以上.adm文件正文任何有效行的末尾。在原文前先添加两个感叹号(!)然后把字符串变量添加到.adm文件中。这样做就可以只定义长字符串一次然后在.adm文件的多处使用它们，进而可以使.adm文件更容易本地化。.adm文件strings单元中每个字符串被明确的定义。字符串必须用引号封装。变量名和硬编码字符串可以非必须地用引号封装。名称与字符串中如果有空格就必须用引号封装。注意 你不能在字符串的末尾添加注释。CLASS类确定随后的分类是否出现在组策略对象编辑器的计算机配置或用户配置下。一个类定义如下：CLASS nameName类名，必须要么是USER，要么是MACHINE。CATEGORY分类出现在组策略对象编辑器的计算机配置或用户配置下，依赖于分类在哪个类中。一个分类定义如下。方括号表示可选参数。CATEGORY name KEYNAMEkey name policy definition statements END CATEGORYName分类名如组策略对象编辑器中所显示一样。key name可选的分类使用的注册表键路径。不要在注册表路径中包含HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER。前面的CLASS语句确定这两个注册表键中哪个被使用。如果一个键名被指定，它将会被所有的子分类，策略和部件所使用，除非它们特别提供了它们所有的键名。policy definition statements每个分类可以包含含零或多个策略语句。一个策略定义语句不能在单个分类中出现多次。POLICY确认一个被管理员修改的策略可用。策略显示在一个带控件的对话框中让管理员可以设置它的状态。一个策略定义如下：POLICY name KEYNAMEkey name EXPLAINhelp string VALUENAMEvalue name CLIENTEXTguid part definition statements END POLICYName策略名如组策略对象编辑器中所显示一样。key name可选的分类使用的注册表键路径。不要在注册表路径中包含HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER。前面的CLASS语句确定这两个注册表键中哪个被使用。如果一个键名被指定，它将会被所有的部件所使用，除非它们特别提供了它们所有的键名。help string帮助字符串显示在策略对话框的说明标签页中。value name修改的注册表值。如果管理员选择这个选项，这个值就是一个REG_DWORD并被置为1。如果管理员清除这个选项，这个注册表值就被删除。指定默认值之外的其他值，直接在相应的VALUENAME语句下使用VALUEON和VALUEOFF语句。这些语句定义如下：VALUEONon valueVALUEOFFoff value使用这些语句，如果管理员选择该选项，值设置为on value。如果管理员清除该选项，值设置为off value。Guid可选值，指定嵌入式管理单元扩充功能的全球惟一标识符。part definition statements每个策略包含零或多个PART语句。PART指定若干选项，包括组策略对象编辑器的下拉列表框，文本框和底层文本。一个策略部件定义如下。方括号表示可选参数。PART name part-type KEYNAMEkey nameVALUENAMEvalue nameVALUEONon valueVALUEOFFoff valuetype-dependent dataEND PARTName部件名如组策略对象编辑器中所显示一样。part-type策略部件类别。此参数可以是下列值中的任何一个。从下面备注部分可以看到每个类别接受的选项列表。类别描述CHECKBOX显示一个复选框。该值在注册表中设置为REG_DWORD类别。如果复选框被选中该值为非零，如果没被选中则为零。COMBOBOX显示一个组合框。DROPDOWNLIST显示一个下拉列表样式的组合框。用户可以只选择提供条目的一条。注意 组策略管理控制台(GPMC)需求键名和值名在指定DROPDOWNLIST之前定义。EDITTEXT显示一个文本框接受字母数字文本。文本在注册表中设置为REG_SZ或REG_EXPAND_SZ类别。LISTBOX显示一个带添加和删除按钮的列表框。这是唯一一个可以被用来在一个键下管理多值的部件类别。NUMERIC显示一个带可选数值调节钮控件的接受数值输入的文本框。该值在注册表中设置为REG_DWORD类别。TEXT显示一行静态文本。该部件类别没有相关的注册表值。type-dependent data类别依赖数据。可能的值在下面备注部分谈到。key name可选的分类使用的注册表键路径。不要在注册表路径中包含HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER。前面的CLASS语句确定这两个注册表键中哪个被使用。value name修改的注册表值。如果管理员选择这个选项，这个值就是一个REG_DWORD并被置为1。如果管理员清除这个选项，这个注册表值就被删除。指定默认值之外的其他值，直接在相应的VALUENAME语句下使用VALUEON和VALUEOFF语句。这些语句定义如下：VALUEONon valueVALUEOFFoff value备注下表描述CHECKBOX, COMBOBOX, DROPDOWNLIST, EDITTEXT, LISTBOX, NUMERIC和TEXT策略部件类别。CHECKBOX部件类别复选框部件类别接受下列选项。选项描述ACTIONLISTOFF如果复选框被清空则指定使用一个可选的活动列表。更多信息请查看ACTIONLIST。注意组策略管理控制台(GPMC)需求键名在指定ACTIONLISTOFF前定义。ACTIONLISTON如果复选框被选中则指定使用一个可选的活动列表。更多信息请查看ACTIONLIST。注意组策略管理控制台(GPMC)需求键名在指定ACTIONLISTON前定义。DEFCHECKED导致复选框被初始化选中。VALUEOFF如果复选框被清空则忽略默认行为。 注意组策略管理控制台(GPMC)需求键名和值名在指定VALUEOFF前定义。VALUEON如果复选框被选中则忽略默认行为。 注意组策略管理控制台(GPMC)需求键名和值名在指定VALUEON前定义。VALUEON Turned on复选框的默认行为是如果它被选中则往注册表写值1，如果它被清空则写值0。VALUEON和VALUEOFF选项忽略此行为。例如，当复选框被选中时，下面选项往注册表写“Turned on”。当复选框清空时，下面语句往注册表写值12。VALUEOFF NUMERIC 12COMBOBOX部件类别组合框部件类别接受与EDITTEXT相同的选项，还有下列选项。选项描述SUGGESTIONS一清单的建议值置入下拉列表中。该列表必须以END SUGGESTIONS结尾。建议值用空格分开并且用双引号封装。一个包含空格的建议值必须用引号限定，下面例子用“New York”举例说明：SUGGESTIONS Alaska Alabama Mississippi New York END SUGGESTIONSDROPDOWNLIST部件类别下拉列表部件类别接受下列选项。选项描述ITEMLIST下拉列表中的条目清单。更多信息请查看ITEMLIST。REQUIRED指定组策略对象编辑器不允许一个策略包含的这个部件被激活除非一个值被提供给这个部件。EDITTEXT部件类别文本编辑框部件类别接受下列选项。选项描述DEFAULT value指定置入文本框的初始化字符串。如果该选项未指定，文本框初始化为空。MAXLEN value指定一个字符串的最大长度。文本框中的字符串被限制为这个长度。REQUIRED指定组策略对象编辑器不允许一个策略包含的这个部件被激活除非一个值被提供给这个部件。OEMCONVERT在文本框中设置为ES_OEMCONVERT样式，因此，输入的文本从ANSI码转换成OEM码，然后又转换成ANSI码。EXPANDABLETEXT指定文本在注册表中设置为REG_EXPAND_SZ类别。默认情况下，文本在注册表中设置为REG_SZ类别。LISTBOX部件类别列表框部件类别接受下列选项。选项描述ADDITIVE默认情况下，列表框的内容覆盖注册表中的设定值。如果指定这个选项，已存在的值不会被删除，除目标注册表项中存在的任何值之外的值设置在列表框中。EXPLICITVALUE该选项不仅使用户指定值数据，还有值名。列表框为所有条目显示两列，一列为名称，另一列为数据。该选项不能与VALUEPREFIX选项搭配使用。VALUEPREFIX prefix前缀指定用来确定值名。如果一个前缀被指定，该前缀和一个增加的整数用来替代先前描述的默认值命名规则。例如，前缀“SomeName”衍生值名“SomeName1”，“SomeName2”等等。前缀可以为空(“”)，然后值名为“1”，“2”等等。VALUENAME选项不能与LISTBOX部件类别搭配使用，因为该类别不会关联单个值名。默认情况下，只有一列显示在列表框中，这样每个条目的值被创建成名与值相同。NUMERIC部件类别数字部件类别接受下列选项。选项描述DEFAULT value指定文本框中初始化的数值。如果该选项未指定，文本框初始化为空。MAX value指定数字的最大值。默认为9999。MIN value指定数据的最小值。默认为0。REQUIRED指定策略编辑器不允许包含这个部件的策略被激活除非一个值提供给这个部件。SPIN value指定数值调节钮控件使用的增量。SPIN 0移除该数值调节钮控件。SPIN 1为默认设置。TXTCONVERT把值当作REG_SZ字符串(1, 2, or 128)写入而不是当作二进制值。TEXT部件类别文本部件类别接受无类型具体数据。该部件类型用来显示一条描述性信息。ITEMLIST下拉列表中的条目清单。一个条目清单定义如下。方括号表示可选参数。ITEMLISTNAMEnameVALUEvalue ACTIONLISTactionlist . END ITEMLISTname在下拉列表中显示的该条目文本。valueVALUE Some value VALUE NUME