從Windows Vista sp1和Windows Server 2008開始,組策略(Group Policy)和先前的版本有了更加長足的進步。細心的管理員可能已經發現,最新版本的組策略分成了策略設置(Policy Settings)和策略首選項(Policy Preferences)兩個部分。其中策略設置基本上繼承了以前版本組策略的主要內容,而策略首選項則是全新的內容,為管理員提供了更多更細的設置。
組策略設置和首選項的不同之處就在於強制性。組策略設置是受管理的、強制實施的。而組策略首選項則是不受管理的、非強制性的。
對於很多系統設置來說,管理員既可以通過策略設置來實現,也可以通過策略首選項來實現,2者有相當一部分的重疊。那麼什麼情況下應該用策略首選項,什麼情況下應該用策略設置呢?本文將為你解開這個謎團。
=========================================
(下文大多數情況下將“組策略的策略設置”簡稱為“策略”或“策略設置”,將“組策略的策略首選項”簡稱為“首選項”)
因為首選項和策略在某些管理區域相互重疊,有時候你可以通過多種方法來實現同一個特定的任務。比如,你可以通過策略來指定必須使用的登錄腳本。在 這些腳本中,你可以映射網絡驅動器、配置打印機、創建快捷方式、復制文件和文件夾以及執行其他任務。使用首選項,你可以不需要通過登錄腳本就完成相同的任 務。那麼,應該選擇哪一種方法呢?嗯,真相是沒有一個標准答案,確實是這樣,這取決於你想怎麼做。在下面的章節中,我將告訴你一些大致的指導意見。
當在同一個GPO中的策略和首選項發生沖突時,基於注冊表的策略通常會獲勝。對於不基於注冊表的策略和首選項來說,最後寫入的那個值獲勝(這取決 於策略與首選項的客戶端擴展執行的順序)判斷策略設置是否是基於注冊表的方法很簡單,因為所有基於注冊表的策略設置都定義在管理模板 (Administrative Templates) 中。
設備安裝
通過策略設置,你可以通過阻止用戶安裝驅動程序的方法來限制用戶安裝某些特定類型的硬件設備。你可以指定某個經過許可的設備可以被安裝(根據設備 的硬件ID),也可以阻止特定設備的安裝(還是根據設備的硬件ID)。這些策略設置僅對Windows Vista及更高版本有效,可在Computer Configuration\Policies\Administrative Templates\System\Device Installation Restrictions下找到。(注:中文版為“計算機配置\策略\管理模版\系統\設備安裝限制”)
雖然這些限制措施能阻止新設備的安裝,或阻止一個設備在拔下後並重新插入時的重新安裝,但並不能阻止已存在設備的運行。
使用首選項,你可以禁用設備類(Device Classes)、某個設備、端口類(Port Classes)以及某個端口,但不能阻止驅動程序的載入。相關的首選項設置可以在Computer User Configuration\Preferences\Control Panel Settings\Devices下找到。
(注:中文版為“計算機 用戶配置\首選項\控制面板設置\設備”)
雖然用首選項可以禁用設備和端口,這並不會阻止設備驅動程序的安裝。它也不會阻止具有相應權限的用戶通過設備管理器(Device Manager)啟用設備或端口。然而,因為組策略默認會以同樣的時間間隔來刷新策略設置和首選項,首選項設置會在下一次刷新組策略的時候被重新應用。這 樣,除非你特別指定該首選項只應用一次且不再重新應用,該設置會每90-120分鐘被應用一次。
如果你想完全鎖定並阻止某個特定設備被安裝和使用,可以將策略設置和首選項配合起來使用:用首選項來禁用已安裝的設備,並通過策略設置阻止該設備驅動程序的重新載入。
最後要指出的是,這裡提到的策略設置僅對Windows Vista或更高版本生效,而首選項則可以對安裝了組策略首選項客戶端擴展(Client-side Extension for Group Policy Preferences)的任何計算機生效。
文件和文件夾
通過策略可以為重要的文件和文件夾創建特定的訪問控制列表(ACL)。然而,只有目標文件和文件夾存在情況下,ACL才能被應用。這種策略設置可 以應用於任何支持組策略的計算機上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\File System下找到。