在组策略的首选项和策略设置

1、更加长足的进步。细心的管理员可能已经发现，最新版本的组策略分成了策略设置(Policy Settings)和策 略首选项(Policy Preferences)两个部分。其中策略设置基本上继承了以前版本组策略的主要内容，而策略首选项则是全新的内容，为管理员提供了更多更细的设置。组策略设置和首选项的不同之处就在于强制性。组策略设置是受管理的、强制实施的。而组策略首选 项则是不受管理的、非强制性的。对于很多系统设置来说，管理员既可以通过策略设置来实现，也可以通过策略首选项来实现，2者有 相当一部分的重叠。那么什么情况下应该用策略首选项，什么情况下应该用策略设置呢？本文将为你解开 这个谜团。(下文大

2、多数情况下将“组策略的策略设置”简称为“策略”或“策略设置”，将“组策略的策略首 选项”简称为“首选项”)因为首选项和策略在某些管理区域相互重叠，有时候你可以通过多种方法来实现同一个特定的任务。 比如，你可以通过策略来指定必须使用的登录脚本。在这些脚本中，你可以映射网络驱动器、配置打印机、 创建快捷方式、复制文件和文件夹以及执行其他任务。使用首选项，你可以不需要通过登录脚本就完成相 同的任务。那么，应该选择哪一种方法呢？嗯，真相是没有一个标准答案，确实是这样，这取决于你想怎 么做。在下面的章节中，我将告诉你一些大致的指导意见。当在同一个GPO中的策略和首选项发生冲突时，基于注册表的策略通常会获

3、胜。对于不基于注册表的 策略和首选项来说，最后写入的那个值获胜(这取决于策略与首选项的客户端扩展执行的顺序)判断策略 设置是否是基于注册表的方法很简单，因为所有基于注册表的策略设置都定义在管理模板(Administrative Templates)中。设备安装通过策略设置，你可以通过阻止用户安装驱动程序的方法来限制用户安装某些特定类型的硬件设备。 你可以指定某个经过许可的设备可以被安装(根据设备的硬件ID)，也可以阻止特定设备的安装(还是根据 设备的硬件ID)。这些策略设置仅对Windows Vista及更高版本有效，可在Computer ConfigurationPoliciesAdmini

4、strative TemplatesSystemDevice Installation Restrictions 下找 到。(注：中文版为“计算机配置策略管理模版系统设备安装限制”)虽然这些限制措施能阻止新设备的安装，或阻止一个设备在拔下后并重新插入时的重新安装，但并不 能阻止已存在设备的运行。使用首选项，你可以禁用设备类(Device Classes)、某个设备、端口类(Port Classes)以及某个端口， 但不能阻止驱动程序的载入。相关的首选项设置可以在Computer|User ConfigurationPreferencesControl Panel SettingsDevices

5、 下找到。(注：中文版为“计算机|用户配置首选项控制面板设置设备”)虽然用首选项可以禁用设备和端口，这并不会阻止设备驱动程序的安装。它也不会阻止具有相应权限 的用户通过设备管理器(Device Manager )启用设备或端口。然而，因为组策略默认会以同样的时间间隔来 刷新策略设置和首选项，首选项设置会在下一次刷新组策略的时候被重新应用。这样，除非你特别指定该 首选项只应用一次且不再重新应用，该设置会每90-120分钟被应用一次。如果你想完全锁定并阻止某个特定设备被安装和使用，可以将策略设置和首选项配合起来使用：用首 选项来禁用已安装的设备，并通过策略设置阻止该设备驱动程序的重新载入。最后要指

6、出的是，这里提到的策略设置仅对Windows Vista或更高版本生效，而首选项则可以对安装 了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的任何计算机生效。文件和文件夹通过策略可以为重要的文件和文件夹创建特定的访问控制列表(ACL)。然而，只有目标文件和文件夹存 在情况下，ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer ConfigurationPoliciesWindows settingsSecurity SettingsFile System 下找到。(注：中文

7、版的位置是“计算机配置策略Windows设置安全设置文件系统”)使用首选项，你可以管理文件和文件夹。对于文件，你可以通过从源计算机复制的方法来创建、更新、 替换或删除一个文件或文件夹。对于文件夹，还可以指定在创建、更新、替换或删除操作时，是否删除文 件夹中现存的文件和子文件夹。文件和文件夹首选项可以应用于任何安装了组策略首选项客户端扩展的计算机上。对于文件，你可以 在 Computer|User ConfigurationPreferncesWindows SettingsFiles 下找到。对于文件夹，你可以在 Computer|User ConfigurationPreferncesWin

8、dows SettingsFolders 下找到。（注：中文版对应的位置分别是“计算机|用户配置首选项Windows设置文件”和“计算机|用户配 置首选项Windows设置文件夹”）小技巧：组策略还提供了可用于.ini配置文件和快捷方式的首选项。用于.ini文件的首选项仅限于 修改.ini文件中特定分支的特定属性值。快捷方式首选项可用于创建文件、文件夹、URL以及在特定Shell 对象（例如桌面）的快捷方式。所以，最佳方案是同时使用文件和文件夹的策略和首选项。你可以用首选项来创建一个文件或文件夹， 并通过策略对刚创建的文件或文件夹设置ACL。此外，对于文件和文件夹，应该选择“只应用一次而不再

9、重新应用”。否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。Internet Explorer组策略为Internet Explorer提供了非常多的策略和首选项设置，多到连不少专家都常常为哪个设置能 做什么而感到困惑。下面这些是需要被关注的关键：Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsInternet Explorer策略主要用来控制Internet Explorer的行为表现。这些策略配置了浏览器的安全增强并帮助锁 定Internet安全区域设置。User Conf

10、igurationPoliciesWindows SettingsInternet Explorer Maintenance 策略用来指定重 要的URL，比如主页、搜索栏、联机支持页、收藏夹和链接。策略设置也被用于自定义浏览器界面，例如给 IE增加自定义Logo、标题和按钮，建立默认程序、代理服务器和其他方法等。User ConfigurationPreferencesControl Panel SettingsInternet Settings 下的首选项设置允 许你配置控制面板中“Internet选项”工具中的任何选项。因为策略是被管理的而首选项是不被管理的，当你想要强制设定某些Inter

11、net Explorer选项时，应该 使用策略设置。尽管你也可以使用首选项来配置Internet Explorer，但是因为首选项是非强制性的，所以 用户可以自行更改设置。电源选项选择非常容易为Windows Vista或更高版本选择策略；为Windows XP选择首选项。Vista或更高版本的策略设置位于Computer|User ConfigurationPoliciesAdministrative TemplatesSystemPower Management（中文版：“计算机|用户配置策略管理模板系统电源管理”）Windows XP的首选项设置位于Computer|User Confi

12、gurationPreferencesControl Panel SettingsPower Options（中文版：“计算机|用户配置首选项控制面板设置电源选项”）打印机通过组策略，你可以将打印机部署到任何支持组策略的计算机上，这是通过建立一个到现存的共享打 印机上的连接来实现的。对于Windows Vista或更高版本的计算机，可以通过位于User ConfigurationPoliciesWindows SettingsDeployed Printers的策略设置来部署打印机；对于更早版本的Windows计算机，可以通过在登 录/启动脚本中使用PushPrinterConnection.

13、exe来部署打印机连接。你可以通过首选项来映射和配置打印机，这些首选项包括配置本地打印机以及映射网络打印机，包括 共享网络打印机或TCP/IP网络打印机。这些首选项可以应用在任何安装了组策略首选项客户端扩展 （Client-side Extension for Group Policy Preferences）的计算机上。因为打印机首选项的设置要远比策略设置丰富的多，你可能会更倾向于使用首选项。不过，如果你已 经通过策略设置部署了打印机，也没必要切换到首选项并重新部署。注册表项与值通过策略设置，可以为注册表项设置特定的访问控制列表（ACL）。然而，只有注册表项存在的情况下，ACL才能被应用。这

14、种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer ConfigurationPoliciesWindows settingsSecurity SettingsRegistry 下找到。（注：中文版的位置是“计算机配置策略Windows设置安全设置注册表”）使用首选项，你可以创建、更新、替换或删除一个注册表项。相关的首选项的位置在Computer|User ConfigurationPreferncesWindows SettingsRegistry。（注：中文版的位置是“计算机配置 首选项 Windows设置注册表”）尽管用首选项可以修改几乎任何注册表项，但是这种方法却很

15、少被广泛使用。为什么呢？因为这相当 于直接修改注册表，而直接修改注册表是一个危险的操作。你可能破坏了注册表导致系统的崩溃。所以我 建议你只有在极少数必须的情况下才使用首选项来修改注册表项。你应该通过策略设置中的管理模板来修 改注册表。组策略提供了很多管理模版，你还可以到微软网站为其他应用程序（比如MS Office）下载并 安装额外的管理模板，来给其他应用程序管理注册表。如果某个特定的应用程序没有相应的管理模板，你 还可以创建自定义的管理模板。此外，你可能希望对注册表项的首选项“只应用一次且不再重新应用”。否则，创建、更新、替换或 者删除的操作会在下一次组策略刷新时被重新应用。开始菜单说起对开

16、始菜单的控制，策略配置和首选项有很多重叠之处。但是做法很不一样。通过策略设置，你可以控制和限制开始菜单选项和不同的开始菜单行为。这些控制位于User ConfigurationPoliciesAdminsitrative TemplatesStart Menu And Taskbar 下。例如，你可以指定是 否要在用户注销时清除最近打开的文档历史，或是否在“开始”菜单上禁用拖放操作。还可以锁定任务栏， 移除系统通知区域的图标以及关闭所有气球通知。（注：中文版的位置是“用户配置策略管理模板开始菜单和任务栏”）首选项位于 User ConfigurationPreferencesControl P

17、anel SettingsStart Menu。你可以如同通 过控制面板中的任务栏和开始菜单属性对话框一样来进行配置。不过没有关于任务栏的首选项。（注：中文版的位置是“用户配置首选项控制面板设置开始菜单”）系统服务对于系统服务，选择很容易。你可以通过策略设置来*配置服务的启动模式*指定服务的访问许可（谁可以开始、停止和暂停服务）策略设置位于 Computer ConfigurationPoliciesWindows settingsSecurity SettingsSystem Services（注：中文版的位置是“计算机配置策略Windows设置安全设置系统服务”）首选项则用于* 配置服务启

18、动模式*配置服务操作（例如启动服务，停止服务，停止并重启服务）*设定用于启动服务的帐号和密码*设定当服务失败时计算机的恢复反应。服务的首选项位于 Computer ConfigurationPreferencesControl Panel SettingsServices（注：中文版的位置是“计算机配置首选项控制面板设置服务”）因为策略是受管理的，而首选项是不受管理的，当你想强制定义启动模式和访问许可的时候，可以用 策略设置。尽管你可以用首选项来配置服务，但是因为首选项是非强制的，用户可以自行更改设置。这就 是说，如果你应用了首选项并通过常规的组策略刷新机制来自动刷新，某些用户更改将会被你的首选项设 置所覆盖。用户和组对于用户和组来说，选择首选项还是策略很容易。如果你想限制某个AD组或本地组的成员，你就应该 用策略设置。相关策略设置的位置是 Computer ConfigurationPoliciesWindows settingsSecurity SettingsRestricted Groups（注：中