组策略概述 (2007 Office system)
更新时间: 2007年3月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
组策略是一种基础结构,管理员可以使用它为用户和计算机实施特定的计算配置。还可以将策略设置应用于 Active Directory 林范围内的成员服务器和域控制器。管理员可以使用组策略来定义配置一次,然后依赖于操作系统来强制实施该状态。
组策略设置包含在组策略对象 (GPO) 中,这些对象链接到选定的 Active Directory 目录服务容器 — 站点、域或组织单位 (OU)。将使用 Active Directory 的分层特性依据受影响的目标对 GPO 内的设置进行评估。
组策略基础结构由组策略引擎和若干单独的扩展组成。这些扩展用于配置组策略设置,方法是通过管理模板扩展修改注册表,或者针对安全设置、软件安装、文件夹重定向、Internet Explorer 维护、无线网络设置和其他领域设置组策略设置。
每个组策略扩展都由两个扩展组成:
组策略对象编辑器 Microsoft 管理控制台 (MMC) 管理单元的服务器端扩展,用于定义和设置应用于客户端计算机的策略设置。
客户端扩展,组策略引擎将调用该扩展以应用策略设置。
2007 Microsoft Office system 系统策略设置包含在管理模板 (.adm) 文件中。有关详细信息,请参阅管理模板一节。
以下各节概述了组策略概念。有关更详细的信息,请参阅 Microsoft TechNet 网站上的组策略集合(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x804)。
本主题内容
本地组策略和基于 Active Directory 的组策略
组策略处理
组策略应用
确定组策略对象应用的目标
管理模板扩展
用户首选项和真实策略
组策略管理工具
Office 自定义工具和组策略
本地组策略和基于 Active Directory 的组策略
每台计算机都有本地 GPO,将始终处理该 GPO,而不管计算机是域的一部分还是独立计算机。基于域的 GPO 无法阻止本地 GPO。但是,域 GPO 中的设置始终优先,因为它们是在本地 GPO 之后进行处理的。
虽然可以在各台计算机上分别配置本地组策略对象,但最能体现组策略优点的环境是安装了 Active Directory 的基于 Windows 2000 或 Windows Server 2003 的网络中。
管理员可以根据需要为组织中的任意范围实施组策略设置。为此,管理员将 GPO 链接到站点、域和 OU。GPO 链接按如下方式影响用户和计算机:
链接到站点的 GPO 应用于该站点中的所有用户和计算机。
链接到域的 GPO 直接应用于该域中的所有用户和计算机,并通过继承应用于子 OU 中的所有用户和计算机。组策略不跨域继承。
链接到 OU 的 GPO 直接应用于该 OU 中的所有用户和计算机,并通过继承应用于子 OU 中的所有用户和计算机。
GPO 创建后存储在域中。将 GPO 链接到 Active Directory 容器(比如 OU)时,链接将成为该 Active Directory 容器的组成部分。链接不是 GPO 的组成部分。
管理员必须具有 GPO 创建权限才能创建 GPO。默认情况下,只有域管理员、企业管理员以及组策略创建者所有者组的成员才能创建组策略对象。对于想要编辑的 GPO,您必须具有其编辑权限。
有关组策略基础结构的更详细信息,请参阅 Microsoft TechNet 网站上的组策略集合(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x804)。
Windows Vista 和 Windows Server® 2008 操作系统引入了用于管理本地 GPO 的新功能,该功能使独立计算机的管理员能够将多个组策略对象应用于独立计算机的用户。
多个本地 GPO:Windows Vista 和 Windows Server 2008 中的更改
Windows Vista 和 Windows Server 2008 支持在独立计算机上管理多个本地 GPO。在管理涉及到单一计算机上的共享计算的环境(比如图书馆或计算机实验室)时,此功能特别有用。可以向本地用户或内置组分配多个本地 GPO。
在工作组环境中,每台计算机均保留其自己的策略设置。此功能适用于基于域的组策略,或者,可以通过组策略设置禁用此功能。
管理员可以使用多个本地 GPO 执行以下操作:
将不同级别的本地组策略应用于独立计算机上的本地用户。对于无法进行基于域的管理的共享计算环境而言,此功能十分理想。
基于管理员组和非管理员组来管理组策略。例如,如果管理员想要设置计算机实验室中的计算机以配置一个安全的环境,他们可以为用户组创建管理严格的策略设置,并为内置 Administrator 帐户创建管理松散的策略设置。这样,本地管理员就不需要在执行管理任务之前明确地禁用或删除会对他们管理工作站的能力产生妨碍的组策略设置。Windows Vista 管理员也可以关闭本地组策略设置,而不用明确地启用基于域的组策略。
通过在域组策略对象中启用“关闭本地组策略对象处理”策略设置,域管理员可以在运行 Windows Vista 的客户端上禁用本地组策略对象的处理。可在“计算机配置”\“管理模板”\“系统”\“组策略”下访问此设置。
Windows Vista 提供了三层本地组策略对象:本地组策略、管理员和非管理员组策略以及特定于用户的本地组策略。按以下顺序对这几层本地组策略对象进行处理:
本地组策略
管理员和非管理员组策略
特定于用户的本地组策略
有关使用 Windows Vista 中的多个本地 GPO 功能的详细信息,请参阅 Microsoft TechNet 网站上的管理多个本地组策略对象的分步指南(该链接可能指向英文页面)。
组策略处理
先处理本地 GPO,最后处理计算机或用户所属(作为其直接成员)的组织单位。将按以下顺序处理组策略设置:
本地 GPO。每台计算机都有存储在本地的组策略对象。此 GPO 同时针对计算机和用户组策略进行处理。
站点。接下来处理链接到计算机所属站点的 GPO。将按管理员在组策略管理控制台 (GPMC) 中站点的“链接的组策略对象”选项卡上指定的顺序完成处理。具有最低链接顺序的 GPO 将最后处理,并具有最高的优先级。有关组策略管理控制台的信息,请参阅组策略管理工具一节。
域。将按管理员在组策略管理控制台中域的“链接的组策略对象”选项卡上指定的顺序处理多个域链接的 GPO。具有最低链接顺序的 GPO 将最后处理,并具有最高的优先级。
组织单位。将先处理链接到 Active Directory 层次结构中处于最高位置的组织单位的 GPO,然后处理链接到其子组织单位的 GPO,依此类推。最后处理链接到用户或计算机所属的组织单位的 GPO。
处理顺序以下列条件为依据:
Windows 管理规范 (WMI) 或应用于 GPO 的安全筛选。
可通过使用“强制”选项强制实施任何基于域的 GPO(而非本地 GPO),以使其策略设置无法被覆盖。由于强制 GPO 将最后进行处理,因此其他任何设置都无法覆盖该 GPO 中的设置。如果存在多个强制 GPO,则每个 GPO 中相同的设置可能会设置为不同的值。在这种情况下,GPO 的链接顺序确定哪个 GPO 包含最终设置。
可以在任何域或组织单位将组策略继承有选择地指定为“阻止继承”。但是,由于始终会应用强制 GPO,并且无法阻止这些 GPO,因此阻止继承不会阻止应用强制 GPO 中的策略设置。
策略继承
对于用户和计算机有效的策略设置是将在站点、域或 OU 应用的 GPO 组合起来的结果。将多个 GPO 应用于这些 Active Directory 容器中的用户和计算机时,将会聚合这些 GPO 中的设置。默认情况下,链接到 Active Directory 中更高级别容器(父容器)的 GPO 中所部署的设置会继承到子容器,并与链接到子容器的 GPO 中所部署的设置组合。如果多个 GPO 尝试设定一个值存在冲突的策略设置,则优先级最高的 GPO 将设定该设置。与较早处理的 GPO 相比,较迟处理的 GPO 的优先级较高。
组策略应用
用于计算机的组策略在计算机启动时应用。用于用户的组策略在用户登录时应用。除了启动和登录时的组策略初始处理外,随后还将定期在后台应用组策略。在后台刷新过程中,只有当客户端扩展检测到服务器上它的任何 GPO 或 GPO 列表中发生了更改时,客户端扩展才会重新应用策略设置。
对于软件安装和文件夹重定向,组策略处理只会在计算机启动或用户登录过程中进行。
同步和异步处理
可以将同步进程描述为一系列进程,其中的一项进程必须在下一项进程开始之前完成运行。由于异步进程的输出结果独立于其他进程,因此它们可以同时运行在不同的线程上。管理员可以使用每个 GPO 的策略设置来更改默认处理行为,以使处理异步进行(而不是同步进行)。
在同步处理下,所有组策略都必须于 60 分钟内在客户端计算机上完成处理。60 分钟后尚未完成处理的客户端扩展将会收到停止信号。在这种情况下,可能不会完全应用关联的策略设置。
“快速登录优化”功能
默认情况下会为域和工作组成员都设置“快速登录优化”功能。这样,当计算机启动或用户登录时,将会异步应用策略。这种策略应用方式类似于后台刷新。它可以缩短登录对话框显示的时间,以及向用户显示桌面所需花费的时间。
.gif "Note") 注意 |
|---|
| 当用户第一次登录、用户具有漫游用户策略文件、用户具有主目录以及用户具有在 User 对象中指定的登录脚本时,将不会启用登录优化,并且会同步处理策略。文件夹重定向和组策略软件安装需要同步应用策略。在这些情况下,计算机启动仍然可能是异步的。但是,由于登录是同步的,因此登录不会展现出优化性能。 运行 Windows XP Professional、Windows XP 64-bit Edition (Itanium) 和 Windows Server 2003 操作系统的客户端计算机在任何域环境中都支持快速登录优化。 对于服务器,启动和登录处理的行为始终就好像启用了此策略设置一样。 |
管理员可以用“计算机启动和登录时总是等待网络”策略设置来禁用“快速登录优化”功能,可在组策略对象编辑器的“计算机配置”\“管理模板”\“系统”\“登录”节点中访问该策略设置。如果启用此策略设置,则会按照与 Windows 2000 客户端登录相同的方式执行登录。这意味着 Windows XP 会在使用户登录之前等待网络完全初始化。将在前台同步应用组策略。
慢速链接处理
当连接速度低于指定阈值时,将不会处理某些组策略扩展。组策略认定慢速链接的默认值为低于 500 千位/秒 (Kbps) 的任何速度。
用于在慢速链接上处理组策略的默认设置如下。
| 设置 | 默认值 |
|---|---|
安全设置 |
ON(无法关闭) |
IP 安全 |
ON |
EFS |
ON |
软件限制策略 |
ON |
无线 |
ON |
管理模板 |
ON(无法关闭) |
软件安装 |
OFF |
脚本 |
OFF |
文件夹重定向 |
OFF |
IE 维护 |
ON |
管理员可以使用策略设置来覆盖默认设置。若要为计算机指定组策略慢速链接检测的设置,请使用组策略对象编辑器的“计算机配置”\“管理模板”\“系统”\“组策略”节点中的“组策略慢速链接检测”策略设置。
若要为用户设置此选项,请使用“用户配置”\“管理模板”\“系统”\“组策略”中的“组策略慢速链接检测”策略设置。
有关在慢速链接上管理组策略的详细信息,请参阅 Microsoft TechNet 网站上的为慢速链接检测指定组策略(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x804)。
组策略刷新间隔
默认情况下每 90 分钟处理组策略一次,并随机延迟最多 30 分钟,因此最长总刷新间隔最多为 120 分钟。
对于安全设置,当您编辑了安全设置策略后,将会按如下方式在组策略对象链接到的组织单位中的计算机上刷新策略设置:
在计算机重新启动时刷新。
每 90 分钟在工作站或服务器上刷新,每 5 分钟在域控制器上刷新。
默认情况下,组策略提供的安全策略设置还会每 16 小时(960 分钟)应用一次,即使 GPO 未更改。
触发组策略刷新
对组策略对象所做的更改必须首先复制到适当的域控制器;因此,对组策略设置所做的更改可能不会立即在用户的桌面上生效。在某些方案(比如应用安全策略设置)中,可能必须立即应用策略设置。
管理员可以手动从本地计算机中触发策略刷新,而不必等待自动后台刷新。为此,管理员可以在命令行处键入 gpupdate 以刷新用户或计算机策略设置。您无法使用 GPMC 来触发策略刷新。
gpupdate 命令在本地计算机(命令从中运行)上触发后台策略刷新。gpupdate 命令用于 Windows Server 2003 和 Windows XP 环境。
无法从服务器将组策略的应用按需推送到客户端。
有关使用 gpupdate 的详细信息,请参阅 Microsoft TechNet 网站上的使用 GPUpdate.exe 刷新组策略设置(https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x804)。
确定组策略对象应用的目标
用于指定哪些用户和计算机从 GPO 接收设置的主要方法是指向站点、域和组织单位的 GPO 链接。
您可以通过更改链接顺序、阻止策略继承、强制 GPO 链接(以前称为不覆盖)以及禁用 GPO 链接来更改处理 GPO 的默认顺序。
管理员可以使用安全筛选和 WMI 筛选来修改要对其应用 GPO 的用户和计算机的集合。
管理员还可以使用“环回”处理功能来确保向登录到特定计算机的任何用户应用相同的策略设置集。
更改 GPO 处理顺序
管理员可以使用以下方法之一来更改处理 GPO 的顺序:
更改链接顺序。站点、域或 OU 中的 GPO 链接顺序控制何时应用链接。管理员可以通过更改链接顺序、在列表中将每个链接上移或下移到适当的位置来更改链接的优先级。具有较高顺序的链接(1 为最高顺序)对于站点、域或组织单位具有较高的优先级。
阻止继承。通过为域或 OU 使用阻止继承,将可以防止子级 Active Directory 容器自动继承链接到较高站点、域或组织单位的 GPO。默认情况下,子级容器将从父级容器继承所有 GPO。但是,有时阻止继承将十分有用。
强制 GPO 链接。管理员可以指定某个 GPO 链接中的设置优先于任何子对象的设置,方法是将该链接设置为“强制”。无法从父容器中阻止强制的 GPO 链接。如果 GPO 包含存在冲突的设置,并且没有从较高级别的容器中强制实施,则链接到子组织单位的 GPO 中的设置将覆盖位于较高级别父容器的 GPO 链接的设置。通过强制,父 GPO 链接将始终优先。默认情况下,不会强制 GPO 链接。
禁用 GPO 链接。默认情况下,将启用对所有 GPO 链接的处理。通过为域、站点或组织单位禁用 GPO 链接,您可以为该站点、域或组织单位完全阻止应用 GPO。这样做不会禁用 GPO。如果 GPO 链接到其他站点、域或组织单位,如果它们的链接处于启用状态,则会继续处理 GPO。
安全筛选
此方法用于指定,只有其中链接了 GPO 的容器内的特定安全主体才会应用 GPO。管理员可以使用安全筛选来缩小 GPO 的范围,以使 GPO 只应用于单一组、用户或计算机。无法依据 GPO 内的其他设置有选择地使用安全筛选。
只有当用户或计算机通过组成员资格直接或间接地拥有 GPO 的“读取”和“应用组策略”(AGP) 权限时,GPO 才会应用于该用户或计算机。默认情况下,对于包括用户和计算机的 Authenticated Users 组,所有 GPO 的“读取”和 AGP 均设置为“允许”。将新 GPO 应用于组织单位、域或站点时,所有授权用户将通过这种方式收到该 GPO 的设置。
默认情况下,Domain Admins、Enterprise Admins 和 Local System 具有完全控制权限,不包含“应用组策略”访问控制项 (ACE)。管理员也是 Authenticated Users 的成员。这意味着,默认情况下,管理员将收到 GPO 中的设置。可以更改这些权限,以将范围限制为组织单位、域或站点内一组特定的用户、组或计算机。
组策略管理控制台 (GPMC) 将这些权限作为单一单位进行管理,并在“GPO 作用域”选项卡上显示 GPO 的安全筛选。在 GPMC 中,可以为每个 GPO 以安全筛选器的形式添加或删除组、用户和计算机。有关 GPMC 的信息,请参阅组策略管理工具一节。
Windows 管理规范筛选
Windows 管理规范 (WMI) 是基于 Web 的企业管理行业倡议的 Microsoft 实现,它建立了管理基础结构标准,并提供了一种方式来合并来自各种硬件和软件管理系统的信息。WMI 公开诸如 CPU、内存、磁盘空间以及制造商等硬件配置信息,以及注册表、驱动程序、文件系统、Active Directory、Windows Installer 服务、网络配置和应用程序数据中的软件配置数据。可以使用有关目标计算机的数据进行管理,比如对 GPO 进行 WMI 筛选。
WMI 筛选用于筛选 GPO 的应用,方法是将 WMI 查询语言 (WQL) 查询附加到 GPO。可以使用这些查询来查询多个项目的 WMI。如果查询对所有查询的项目都返回 true,则将 GPO 应用于目标用户或计算机。
GPO 链接到 WMI 筛选器并在目标计算机上应用,并将在目标计算机上计算筛选器的值。如果 WMI 筛选器的计算结果为 false,则不应用 GPO(除非客户端计算机运行 Windows 2000,这种情况下将会忽略筛选器并始终应用 GPO)。如果 WMI 筛选器的计算结果为 true,则应用 GPO。
WMI 筛选器是独立于目录中的 GPO 的单独对象。WMI 筛选器必须链接到 GPO 才能应用,并且 WMI 筛选器和它所链接到的 GPO 必须位于同一个域中。WMI 筛选器只存储在域中。每个 GPO 只能有一个 WMI 筛选器。同一个 WMI 筛选器可以链接到多个 GPO。
环回处理
环回处理是一个高级组策略设置,在某些管理严密的环境(比如服务器、网亭、实验室、教室和接收区)中的计算机上特别有用。通过设置环回,(在“替换”模式下)将不会应用用户的“用户配置”设置,而是会将应用于计算机的 GPO 中的“用户配置”策略设置应用于正在登录到该计算机的每个用户,或者,(在“合并”模式下),除了应用用户的“用户配置”设置外,还会应用该策略设置。管理员可以使用此功能来确保向登录到特定计算机的任何用户应用一致的策略设置集,而不管用户在 Active Directory 中处于什么位置。
若要设置环回处理,管理员可以使用“用户组策略环回处理模式”策略设置,可在组策略对象编辑器的“计算机配置”\“管理模板”\“系统”\“组策略”下访问该策略设置。
若要使用环回处理功能,用户帐户和计算机帐户都必须位于 Windows 2000 或更高版本的域中。环回不适用于联接到工作组的计算机。
有关确定 GPO 应用目标的详细信息,请参阅 Microsoft TechNet 网站上的使用 GPMC 控制组策略对象的范围(https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x804)。
管理模板扩展
组策略的管理模板扩展由一个用于配置策略设置的 MMC 服务器端管理单元和一个在目标计算机上设置注册表项的客户端扩展组成。管理模板策略也称为基于注册表的策略或注册表策略。
2007 Microsoft Office system 策略设置包含在管理模板文件中,可以从 Microsoft 下载中心的 2007 Office system 管理模板 (ADM)(https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x804) 中下载这些文件。
管理模板文件
管理模板 (.adm) 文件是一些 Unicode 文件,包含用于定义选项如何通过组策略对象编辑器和 GPMC 显示的类别和子类别的层次结构。这些文件还指示应更改的注册表位置(如果进行了选择)、指定与选择关联的选项或限制(在值中),并在某些情况下指示要使用的默认值(如果激活了选择)。
.adm 文件的功能有限。.adm 文件的目的是启用一个用户界面来配置策略设置。.Adm 文件不包含策略设置。策略设置包含在位于域控制器上 Sysvol 文件夹内的 registry.pol 文件中。
管理模板服务器端管理单元提供了一个“管理模板”节点,该节点出现在组策略对象编辑器的“计算机配置”节点和“用户配置”节点下。“计算机配置”下的设置处理计算机的注册表设置。“用户配置”下的设置处理用户的注册表设置。尽管某些策略设置需要简单的 UI 元素(如文本框)来输入值,但大多数策略设置都只包含以下选项:
启用:强制实施该策略。某些策略设置提供了附加选项,可在策略处于激活状态时定义行为。
禁用:为大多数策略设置强制实施与“启用”状态相反的行为。例如,如果“启用”强制将某项功能的状态设置为关闭,则“禁用”会强制将该功能的状态设置为打开。
未配置:不强制实施该策略。大多数的设置的默认值都是“未配置”。
2007 Office system 的管理模板文件
以下管理模板文件可用于 2007 Office system:
office12.adm:共享 Office 组件
access12.adm:Microsoft Office Access 2007
cpao12.adm:Microsoft Office Outlook 2007 的日历打印助理
excel12.adm:Microsoft Office Excel 2007
groove12.adm:Microsoft Office Groove 2007
ic12.adm:Microsoft Office InterConnect 2007
inf12.adm:Microsoft Office InfoPath 2007
onent12.adm:Microsoft Office OneNote 2007
outlk12.adm:Microsoft Office Outlook 2007
ppt12.adm:Microsoft Office PowerPoint 2007
proj12.adm:Microsoft Office Project 2007
pub12.adm:Microsoft Office Publisher 2007
spd12.adm:Microsoft Office SharePoint Designer 2007
visio12.adm:Microsoft Office Visio 2007
word12.adm:Microsoft Office Word 2007
管理员可以为诸如以下任务使用 2007 Office system策略设置:
管理 2007 Office system应用程序的安全设置
防止从 2007 Office system应用程序连接到 Internet
隐藏或禁用可能会使用户产生混淆或不必要地使用户执行工作的 2007 Office system用户界面设置
创建用户计算机的管理严密或较宽松的标准配置
为 2007 Office system应用程序设置默认“保存文件”选项以准备从较早版本的 Office 中迁移
例如,管理员可以使用组策略来禁用、启用或配置用于控制 Office 用户界面的大多数设置,比如:
菜单命令
快捷键
“选项”对话框设置
可用于 2007 Office system的大量组策略设置都提供了高度的灵活性。管理员可以创建限制严格或管理宽松的配置,具体情况取决于特定业务要求和其组织的安全问题。
若要下载 2007 Office system管理模板文件,请参阅 Microsoft 下载中心的 2007 Office system 管理模板 (ADM)。
您也可以从 Microsoft 下载中心下载 2007 Microsoft Office system Open XML 格式转换器管理模板 (ADM) 文件。管理员可以使用此模板来修改 Microsoft Office Word、Excel 和 PowerPoint 2007 Open XML 格式转换器的默认行为。
管理员可以修改 Microsoft Office 2003 和 Microsoft Office XP 管理模板文件,以便将默认的“文件另存为”选项设置为包括打开 XML 格式的 2007 Office system 程序。有关详细信息,请参阅 Microsoft Support 知识库 (KB) 网站上的 KB 文章 932127:如何修改 Office 2003 和 Office XP 的现有 Office 策略文件(ADM 文件),以将“另存为”默认文件格式设置为包括 2007 Microsoft Office 程序新的 OpenXML 文件格式。
有关管理模板的详细信息,请参阅管理模板扩展技术参考(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x804)。
Windows Vista 和 Windows Server 2008 为管理模板文件引入了新的基于 XML 的格式,如下一节中所述。
管理模板文件:Windows Vista 和 Windows Server 2008 中的更改
Windows NT 4.0 中第一次发布的管理模板文件使用称为 .adm 文件的唯一文件格式。在 Windows Vista 和 Windows Server 2008 操作系统中,这些文件被 ADMX 文件所取代,后者使用基于 XML 的文件格式来显示基于注册表的策略设置。利用这些新的管理模板文件,可以在 Windows Vista 和 Windows Server 2008 中更轻松地管理基于注册表的策略设置。包含在 Office 2007 ADM 和 ADMX 文件中的策略设置是相同的。
新的 ADMX 和 ADML 文件取代了早期的 .adm 文件,并分为中性语言 (ADMX) 资源文件和特定语言的 (ADML) 资源文件。这些新的文件类型允许组策略工具依据管理员配置的语言来调整用户界面。
组策略对象编辑器和组策略管理控制台仍然能够识别当前环境中可能存在的早期 .adm 文件。组策略对象编辑器和组策略管理控制台使用 GPO 中的自定义 .adm 文件(或操作系统中未默认提供的 .adm 文件)。这些工具无法识别操作系统中默认包括的早期 .adm 文件,比如 System.adm 和 Inetres.adm。
管理员可以从运行 Windows Vista 的工作站中管理影响 Windows Vista 和早期操作系统的组策略设置。只有 Windows Vista 操作系统才支持 ADMX 文件。将 ADMX 文件复制到早期操作系统将没有效果。
| 注意 |
|---|
| 管理员可以使用 ADMX Migrator 工具将 ADM 文件转换为 ADMX 格式。ADMX Migrator 提供了一个带图形用户界面的 ADMX 编辑器,用于创建和编辑管理模板。有关详细信息,请参阅 ADMX Migrator(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x804)。 |
Windows Vista 中的 ADMX 和 ADML 文件存储
中央存储 是在 Active Directory 域控制器的 Sysvol 文件夹上创建的一个文件夹。此文件夹为域的 ADMX 和 ADML 文件提供了单一、集中的存储位置。管理员可以在运行 Windows Server 2003 R2、Windows Server 2003 SP1 或 Windows 2000 Server 的域控制器上创建中央存储。无需 Windows Server 2008 也可以创建中央存储。
有关在 Vista 中管理 ADMX 文件的详细信息,请参阅 Microsoft TechNet 网站上的管理组策略 ADMX 文件逐步指南(该链接可能指向英文页面)、有关使用 ADMX 文件编辑组策略对象的要求(该链接可能指向英文页面),以及方案 2:使用 ADMX 文件编辑基于域的 GPO(该链接可能指向英文页面)。
用户首选项和真实策略
管理员可以完全管理的组策略设置称为真实策略。用户配置的设置或反映操作系统在安装时的默认状态的设置称为首选项。真实策略和首选项都包含在用户的计算机上修改注册表的信息。真实策略和首选项之间有一些重要的区别。真实策略设置优先于首选项设置。
真实策略的注册表值存储在组策略的已批准注册表项下。用户无法更改或禁用这些设置:
对于计算机策略设置:
HKEY_LOCAL_MACHINE\Software\Policies(首选位置)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
对于用户策略设置:
HKEY_CURRENT_USER\Software\Policies(首选位置)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
首选项由用户设置或操作系统在安装时设置。存储首选项的注册表值位于上表中所示的已批准组策略注册表项的外部。用户可以更改其首选项。
管理员可以编写在已批准组策略注册表树外部设置注册表值的 .adm 文件。在这种情况下,此方法只能确保注册表项或值是采用特定方式设置的。通过此方法,管理员将配置首选项设置(而不是真实策略设置)并用这些设置标记注册表。这意味着设置将保留在注册表中,即使禁用或删除了首选项设置。
如果使用 GPO 通过此方式配置首选项设置,则您创建的 GPO 不会 具有访问控制列表 (ACL) 限制。因此,用户将能够在注册表中更改这些值。当 GPO 超出范围(如果取消链接、禁用或删除了 GPO)时,将不会从注册表中移除这些值。
相反,真实注册表策略设置却具有 ACL 限制以防止用户更改这些设置。当设置策略值的 GPO 超出范围时,将会移除这些值。因此,真实策略被认为是可完全管理的策略设置。默认情况下,组策略对象编辑器只显示可完全管理的策略设置。
若要在组策略对象编辑器中查看首选项,请依次单击“管理模板”节点、“查看”、“筛选”,然后清除“只显示能完全管理的策略设置”。
真实策略设置优先于首选项;但是,真实策略不会覆盖或修改首选项使用的注册表项。如果部署了与首选项设置冲突的策略设置,策略设置将优先于首选项。如果策略和首选项均存在,则在移除或禁用了策略的情况下将可成功还原首选项。首选项设置将保留在注册表中,直至相反的策略设置反转了这些设置,或通过编辑注册表反转了这些设置为止。
下表总结了策略设置和首选项的影响。
| 组策略存在 | 首选项存在 | 产生的行为 |
|---|---|---|
否 |
否 |
默认 |
否 |
是 |
首选项设置配置行为。 |
是 |
否 |
策略设置配置行为。 |
是 |
是 |
策略设置配置行为。忽略首选项设置。 |
对于 2007 Office system,所有特定于用户的策略设置都存储在 HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0 子项中。特定于计算机的策略存储在 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0 子项中。默认情况下,这两个策略子项都已锁定,以防止用户对其进行修改。
组策略管理工具
管理员使用以下工具来管理组策略:组策略管理控制台 (GPMC) 和组策略对象编辑器 Microsoft 管理控制台 (MMC) 管理单元。管理员使用组策略管理控制台来管理大多数组策略管理任务。组策略对象编辑器用于配置组策略对象中的策略设置。
组策略管理控制台
GPMC 提供了单一工具来管理组策略的核心操作(比如范围指定、委派、筛选和处理 GPO 的继承),从而简化了组策略的管理。GPMC 还可用于备份(导出)、还原、导入和复制 GPO。管理员可以使用 GPMC 来预测 GPO 将如何影响网络,并确定 GPO 如何更改了有关计算机或用户的设置。GPMC 是用于在域环境中管理大多数组策略任务的首选工具。
GPMC 提供了企业中的 GPO、站点、域和 OU 的视图,并可用于管理 Windows Server 2003 或 Windows 2000 域。管理员使用 GPMC 来执行所有组策略管理任务(除了配置组策略对象中的个别策略设置外)。这是通过组策略对象编辑器来完成的。GPMC 调用组策略对象编辑器,并且您可以从 GPMC 中使用此工具。
管理员使用 GPMC 来创建没有初始设置的 GPO。管理员还可以创建 GPO 并同时将 GPO 链接到 Active Directory 容器。为了配置某个 GPO 内的个别设置,管理员将从 GPMC 内编辑该 GPO。组策略对象编辑器显示时该 GPO 已加载。
管理员可以使用 GPMC 将 GPO 链接到 Active Directory 中的站点、域或 OU。管理员必须链接 GPO 才能将设置应用于 Active Directory 容器中的用户和计算机。
GPMC 包括 Windows 提供的以下“策略的结果集”(RSoP) 功能:
组策略建模。模拟在管理员指定的环境下应用策略设置的情况。管理员可以使用组策略建模来模拟将应用于现有配置的 RSoP 数据,也可以分析对其目录环境进行模拟和假设更改后所产生的效果。组策略建模需要您至少有一台运行 Windows Server 2003 的域控制器,因为此模拟是由运行于域控制器(运行 Windows Server 2003)上的服务执行的。有关详细信息,请参阅 Microsoft TechNet 网站上的组策略建模(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x804)。
组策略结果。表示应用于计算机和用户的实际策略数据。这些数据是通过查询目标计算机和检索应用于该计算机的 RSoP 数据而得到的。组策略结果功能由客户端操作系统提供,并要求安装 Windows XP、Windows Server 2003 或更高版本的操作系统。有关详细信息,请参阅 Microsoft TechNet 网站上的组策略结果(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x804)。
GPMC 最初是以 Microsoft Windows Server 2003 和 Windows XP 的单独下载组件的形式提供的。若要下载 GPMC,请参阅 Microsoft 下载中心网站上的下载组策略管理控制台 (GPMC)(https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x804)。
在 Windows Vista 和 Windows Server 2008 中,GPMC 直接集成在操作系统中,并且与组策略对象编辑器一起是用于管理组策略任务的标准工具。
有关 GPMC 的详细信息,请参阅 Microsoft TechNet 网站上的使用组策略管理控制台逐步指南(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x804)。
组策略对象编辑器
组策略对象编辑器是一个 MMC 管理单元,用于配置组策略对象中的策略设置。组策略对象编辑器包含在 gpedit.dll 中,并随 Windows 2000、Windows XP、Windows Server 2003 和 Windows Vista 及 Windows Server 2008 操作系统一起安装。
在运行 Windows 2000、安装有 Windows Server 2003 管理工具包的 Windows XP 以及 Windows Server 2003 的计算机上,您可以从“Active Directory 用户和计算机”以及“Active Directory 站点和服务”管理单元中访问组策略对象编辑器。
若要为不是域成员的本地计算机配置组策略设置,请使用组策略对象编辑器来管理本地 GPO(或运行 Windows Vista 或 Windows Server 2008 的计算机上的多个 GPO)。若要在域环境中配置组策略设置,GPMC(调用组策略对象编辑器)是处理组策略管理任务的首选工具。
组策略对象编辑器为管理员提供了一个分层树结构,用于配置 GPO 中的组策略设置。然后,可以将这些 GPO 链接到包含计算机或用户对象的站点、域和 OU。
组策略对象编辑器由两个主要节点组成:“用户配置”(包含在登录和定期后台刷新时应用于用户的设置)以及“计算机配置”(包含在启动和定期后台刷新时应用于计算机的设置)。这些主要节点又进一步划分为文件夹,其中包含可设置的不同类型的策略设置。这些文件夹包括:
软件设置:其中包含软件安装设置
Windows 设置:其中包含安全设置和脚本策略设置
管理模板:其中包含基于注册表的策略设置
有关组策略对象编辑器的详细信息,请参阅 Microsoft TechNet Windows Server 2003 网站上的组策略(GPMC 之前)(https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x804)。
Office 自定义工具和组策略
管理员可以使用两个工具来自定义 2007 Office system应用程序的用户配置:Office 自定义工具 (OCT) 和组策略。尽管这两个工具都配置用户设置,但它们有重要的区别。
Office 自定义工具用于创建安装程序自定义文件(MSP 文件)。管理员可以使用 OCT 对功能进行自定义并配置用户设置。用户可以在安装后修改大多数设置。这是因为 OCT 配置注册表可公开访问的部分(比如 HKEY_CURRENT_USER/Software/Microsoft/Office/12.0)中的设置。未集中管理桌面配置的组织中通常使用此工具。有关详细信息,请参阅 2007 Office system 中的 Office 自定义工具。
组策略用于配置管理模板中包含的 2007 Office system策略设置,操作系统将强制实施这些策略设置。在 Active Directory 环境中,管理员可以将策略设置应用于组策略对象链接到的站点、域或组织单位中的用户和计算机组。真实策略设置将写入策略的已批准注册表项,并且这些设置具有可防止非管理员用户更改设置的 ACL 限制。管理员可以使用组策略来创建管理严密的桌面配置。管理员还可以创建管理宽松的配置来满足其组织的业务和安全性要求。