Windows組策略本地設置與審計的技巧

　下面讓我們來看一個例子，如何使用組策略首選項來管理AROBAT READER的程序行為。在這個例子中，我們想要阻止它用浏覽器內嵌的方式來查看PDF文件，取而代之的，我們需要它在網頁中被點擊後僅彈出自己的AROBAT READER程序窗口中查看PDF。

　　這個過程的第一步包含一個小調查。為了能建立某個ACROBAT READER的禁用運行方式，你首先需要描述出如何表述它的語言。在這個例子中，AROBAT READER的語言就是注冊表語言。通過簡單的GOOGLE搜索，你可以很快鎖定ADOBE的知識庫，它會告訴你要關閉浏覽器內嵌設置的確切注冊表鍵值

　　這個注冊表的路徑（至少在目前我們安裝的測試計算機上）是HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals。而主鍵在默認情況不存在，在這裡必須手動創建，命名為bBrowserIntegration，然後將REG_DWORD的鍵值分配為0，這樣就可以關閉浏覽器內嵌了。

　　了解這個注冊表路徑和鍵值是最難的部分。以這種方式來更改程序的運行方式只能用在那些按照標准撰寫代碼的軟件上。這就是為什麼有的時候在進行配置之前需要先做調查，因為有時需要的主鍵根本不存在，必須由你自己創建。

　　一旦你找到了需要的主鍵和鍵值，將它們的設置通過組策略首選項應用到你的整個網絡中去就是很容易的事情了。首先，運行組策略管理控制台（GPMC）然後創建一個新策略。當創建好之後，用組策略管理編輯器（GPME）打開它，定位到計算配置　首選項　WINDOWS設置　注冊表。然後右擊注冊表項目並選擇新建　注冊表項目來創建一個新的首選項。

　 這個新的注冊表屬性控制台看起來如圖1所示。點擊關鍵路徑後面的省略號（…）按鈕打開一個本地注冊表的樹形視圖，你可以找到並輸入正確的關鍵路徑。你還可以直接把正確的路徑輸入到對話框中。
 

　　主鍵名稱也需要你輸入，在本例中為bBrowserIntegration，還有主鍵類型REG_DWORD和鍵值0。 另外，還需要在四個Action選項中進行選擇。

　 正如我上一篇文章中所舉的例子，公用標簽（如圖2）列出了五個選項。你可能會希望通過組策略首選項來移除某些不需要的選項。當某些針對用戶或者計算機的策略不再需要的時候，配置該選項移除相應的注冊表更新，可以輕而易舉的將該策略禁用掉。

 

　　

　　如果你的網絡環境是比較常見的類型，那麼很可能每個應用程序並不是安裝在所有的計算機上的。盡管AROBAT READER可能安裝在幾乎每一個桌面端上，但是你仍然會希望你對程序的調整配置只對某些目標計算機有效。

　　這正是項目級別目標對注冊表的更改非常重要的原因。通過項目級別目標，你可以限制你的設置只對那些已經安裝了ACROBAT READER的計算機有效。這可以通過在目標編輯器（如圖3）中創建一個文件匹配項目來實現。這裡我們可以輸入一個和目標程序匹配的文件名稱。圖3顯示了ACRORD32.EXE文件如何被檢查是否存在。如果它的確存在，那麼該組策略首選項就會生效。
 

　　所有內容就是這些了。要使用組策略首選項來執行更大范圍的注冊表更改也是非常容易實現的，特別在和長期使用登陸腳本帶來的惡夢般的體驗對比。在這整個過程中，你唯一的挑戰就是正確找到你需要完全控制你的程序行為所需要的注冊表主鍵和相應的鍵值。