使用组策略首选项项目使用 GPMC

项目
04/02/2016

本主题介绍组策略首选项并说明一些常见的配置过程。它还包含指向有关如何使用 GPMC 的 Windows 设置和控制面板设置以及项目级别导向的首选项与主题的链接。

Windows Server 2008 中介绍的组策略首选项提供了二十多个组策略扩展，它们可用来扩展组策略对象中可配置首选项设置的范围。组策略让你无需学习脚本语言即可管理驱动器映射、注册表设置、本地用户和组、服务、文件和文件夹。

有关使用首选项的 Windows 设置、控制面板设置和项目级别导向的过程信息，请参阅：

概述

首选项允许您通过使用熟悉管理所有这些附加设置组策略管理控制台 (GPMC)。在大多数首选项中，用户界面会模仿相关的最终用户界面来配置这些设置，从而使配置操作更加直观。

在每个 GPO 中，使用每个首选项扩展都可以创建多个首选项。目标选项让你能够更加精确地控制 Windows 应用首选项设置的方式。通过使用项目级目标，可以配置每个 GPO 以适用于更多用户和计算机。

GPMC 让你可以在编辑任何基于域的 GPO 时配置首选项。 “首选项”节点显示在“计算机配置”和“用户配置”下。

与不同的策略设置，除非组策略管理员创建它们，而每个首选项都包含多个属性不存在首选项。您可以创建和修改多个首选项中每个 GPO，并且可以筛选每个首选项仅适用于特定计算机或用户。

首选项扩展	首选项的效果	首选项的作用域
应用程序	为特定版本的应用程序配置设置。	用户首选项应用到其
数据源	配置 ODBC 系统或其他用户数据源。	计算机或用户对其应用该首选项
设备	启用或禁用类或类型的硬件设备。	计算机或用户对其应用该首选项
驱动器映射	创建、配置或删除动态驱动器映射。	用户首选项应用到其
环境	创建、修改或删除永久性用户或系统环境变量。	计算机或用户对其应用该首选项
文件	将复制或替换文件并配置其属性，或删除文件。	计算机或用户对其应用该首选项
文件夹选项	修改在 Windows 资源管理器中的文件夹选项、将文件扩展名关联与特定程序，或将文件扩展名与特定类别的文件相关联。	计算机（仅适用于文件类型项）或用户（仅文件夹选项和打开项) 向其应用该首选项
文件夹	创建文件夹并配置其属性，或删除文件夹和其内容。	计算机或用户对其应用该首选项
INI 文件	创建或更改在.ini 文件中，一个属性/值对或删除部分或全部.ini 文件。	计算机或用户对其应用该首选项
Internet 设置	修改 Internet 设置。	计算机或用户对其应用该首选项
本地用户和组	创建、修改或删除（执行诸如设置密码之类的任务）的本地用户或本地安全组（执行任务，例如创建受限制的组和修改成员的列表）。	计算机或用户对其应用该首选项
网络选项	创建、修改或删除虚拟专用网络 (VPN) 或拨号网络 (DUN) 连接。	计算机或用户对其应用该首选项
网络共享	创建、修改或删除共享。可以配置基于访问的枚举。	首选项应用到其中的计算机
电源选项	配置电源管理选项，修改电源选项或创建、修改或删除电源方案。	计算机或用户对其应用该首选项
打印机	创建、修改或删除本地、共享，或 TCP/IP 打印机连接。	(本地或仅限 TCP/IP 打印机) 的计算机或用户对其应用该首选项
区域选项	配置如何大多数程序中设置数字、货币、日期和时间格式为最终用户。	用户首选项应用到其
注册表	创建、修改或删除 Windows 注册表中的设置。	计算机或用户对其应用该首选项
计划任务	创建、修改或删除控制面板中的计划的任务。	计算机或用户对其应用该首选项
服务	修改操作系统服务。	首选项应用到其中的计算机
快捷方式	创建、修改或删除文件系统对象（如文件、文件夹、驱动器、共享或计算机）、外壳对象（如打印机、桌面项或控制面板项）或 URL （如网页或 FTP 站点）的快捷方式。	计算机或用户对其应用该首选项
“开始”菜单	修改开始菜单的外观。	用户首选项应用到其

您可以将目标应用于每个首选项，将创建、修改或删除设置的限制为所选的用户和计算机。可以将以下目标项应用到首选项：

电池存在
集合
计算机名称
CPU 速度
拨号连接
磁盘空间
域
环境变量
文件匹配
IP 地址范围
Language
LDAP 查询
MAC 地址范围
MSI 查询
操作系统
组织单位
PCMCIA 存在
便携式计算机
处理模式
RAM
重复每个
注册表匹配
安全组
站点
终端会话
时间范围
用户
WMI 查询

配置常用选项

许多组策略首选项项目共享常用选项。每个首选项显示这些选项上常见选项卡。常用的选项都是一致的首选项扩展并允许您控制对特定的扩展，在处理用户配置设置、作用域和首选项和项目级别导向，它提供了在首选项项目级别的筛选的应用程序时使用该扩展插件的安全上下文的错误处理组策略筛选。

常用的选项包括：

如果错误发生在该项上，停止处理此扩展插件中的项
登录的用户的安全上下文（用户策略选项）中运行
当不再应用时删除该项目
应用后并不会重新应用
项目级目标

如果错误发生在该项上，停止处理此扩展插件中的项

每个首选项扩展插件可以包含一个或多个首选项。

默认情况下，失败的首项不会阻止同一扩展中的其他首选项处理。
如果在该项上出错时停止处理此扩展插件中的项选项时，失败的首选项会扩展插件内的剩余首选项阻止从处理。此更改行为限于主持的组策略对象 (GPO) 并不会扩展到其他 Gpo。

重要

首选项扩展开始处理从列表底部的首选项和工作到顶部按照自己的方式。首选项项目成功应用之前失败的首选项得到应用。该首选项扩展只停止处理遵循失败的首选项首选项的步骤。

登录的用户的安全上下文（用户策略选项）中运行

有两个组策略应用应用用户首选项的安全上下文：系统帐户和登录的用户。

默认情况下，组策略处理使用系统帐户的安全上下文的用户首选项。在此安全上下文中，该首选项扩展将被限制为环境变量和系统资源仅供该计算机。
如果登录的用户的安全上下文中运行选择选项，将更改在其下处理首选项的安全上下文。该首选项扩展处理的安全上下文中的登录的用户的首选项。这允许访问资源作为用户而不是计算机首选项扩展。当使用的驱动器映射或其他计算机可能不具有对资源的权限的首选项或使用环境变量时可以尤其重要。许多环境变量的值不同之外登录的用户的安全上下文中计算时。

当不再应用时删除该项目

组策略将策略设置和首选项应用于用户和计算机中。确定哪些用户和计算机接收这些项目通过将一个或多个组策略对象 (Gpo) 链接到 Active Directory 站点、域或组织单位。驻留在这些容器中的用户和计算机对象接收策略设置和首选项在链接的 Gpo 中定义，因为它们是在 GPO 的作用域内。

与策略设置不同的是默认情况下首选项时将不移除主持的 GPO 超出用户或计算机的作用域。
如果不再应用时删除该项目选项时，将更改此行为。选择此选项后，该首选项扩展确定应不将首选项应用于目标的用户或计算机 (超出范围)。如果首选扩展确定首选项超出作用域是，它将删除与首选项关联的设置。

重要

选择此选项将操作更改为替换。在组策略应用期间首选项扩展重新创建 (删除并创建) 首选项的结果。该首选项超出作用域的用户或计算机时，该首选项的结果是删除，但不是会创建。可以使首选项超出作用域通过使用项目级目标或更高级别的如 WMI 和安全组筛选器的组策略筛选器。

备注

不再应用时删除该项目选项不可用时首选项操作设置为删除。

应用后并不会重新应用

组策略刷新时应用首选项。

默认情况下，每次组策略刷新的时都重写首选项的结果。这样可以确保首选项的结果与管理员在组策略对象的指定保持一致。
如果应用后并不会重新应用选项时，它更改此行为，因此该首选项扩展将首选项的结果应用于用户或计算机仅一次。当您不希望重新应用将首选项的结果时此选项很有用。

项目级目标

组策略提供筛选器以控制哪些策略设置和首选项应用于用户和计算机。首选项提供的附加筛选层称为目标。项目级目标允许您控制是否将首选项应用于的用户或计算机组。有关详细信息，请参阅首选项项目级别导向。

启用和禁用首选项中的设置

除了启用和禁用组策略对象 (GPO) 内的首选项，可以单独启用和禁用带下划线的设置或前面标有圆圈在首选项中的设置。

下划线或圆圈的设置指示是否它当前是启用或禁用：

		启用带有绿色实线下划线或绿色圆圈的设置。该首选项扩展适用于用户或计算机的此设置的值。
		带有红色虚线的下划线或带斜杠红色圆圈的设置被禁用。该首选项扩展不适用于为用户或计算机的此设置的值。

首选项中的变量

首选项扩展支持 Windows 环境变量并生成大量的附加进程环境变量。可能会在配置参数值中使用任何变量。每个帮助文档都声明了特定字段中是否支持变量。

备注

通过使用Registry Matching目标项，可以定义在客户端运行时的变量并让这些控制行为使用环境变量目标项或首选项中的值作为项设置。

Windows 环境变量

Windows 环境是保存为名称/值对的变量的列表。若要查看变量的当前列表，键入设置在命令提示符下。每个进程，包括桌面，有一个对进程唯一的变量的列表。当一个进程启动另一个时，通常会将启动进程的环境的副本传递给被启动进程。通常情况下，%2%符号 (例如，%programfiles%) 之间括环境变量名称。 Windows 将应用程序请求的名称相关联的值时解析环境变量。

首选进程变量

首选扩展可实现这里列出了进程变量。

备注

变量不区分大小写。

%Appdatadir%	当前用户的应用程序数据目录。
%Binarycomputersid%	以十六进制格式的计算机 SID。
%Binaryusersid%	以十六进制格式的当前用户的 SID。
%Commonappdatadir%	"所有用户"应用程序数据目录。
%Commondesktopdir%	"所有用户"桌面目录。
%Commonfavoritesdir%	"所有用户"资源管理器收藏夹目录中。
%Commonprogramsdir%	"所有用户"程序目录中。
%Commonstartmenudir%	"所有用户"「开始」菜单目录。
%Commonstartupdir%	"所有用户"启动目录中。
%Computername%	计算机的 NetBIOS 名称。
%Currentprocessid%	主要的客户端进程的数字标识。
%Currentthreadid%	主要的客户端线程的数字标识。
%Datetime%	当前时间 (UTC)。
%Datetimeex%	当前时间 (UTC) 以毫秒为单位。
%Desktopdir%	当前用户的桌面目录。
%Domainname%	域名或工作组的计算机中。
%Favoritesdir%	当前用户的资源管理器收藏夹目录。
%Lasterror%	在配置过程中遇到的最后一个错误代码。
%Lasterrortext%	最后一个错误代码文本描述。
%Ldapcomputersid%	在 LDAP 中计算机的 SID 转义二进制格式。
%Ldapusersid%	在 LDAP 中当前用户的 SID 转义二进制格式。
%Localtime%	当前的本地时间。
%Localtimeex%	当前的本地时间以毫秒为单位。
%Logondomain%	当前用户的域。
%Logonserver%	当前用户进行身份验证的域控制器。
%Logonuser%	当前用户的用户名。
%Logonusersid%	当前用户的 SID。
%Macaddress%	第一个检测到的计算机上的 MAC 地址。
%Netplacesdir%	当前用户的网上邻居目录。
%Osversion%	操作系统：Windows Server® 2008 R2，Windows® 7，Windows Server 2008，Windows Vista®，Windows Server 2003， Windows XP 或未知。
%Programfilesdir%	Windows Program Files 目录中。
%Programsdir%	当前用户的程序目录。
%Recentdocumentsdir%	当前用户的最近的文档目录。
%Resultcode%	客户端的退出代码。
%Resulttext%	客户端的退出代码文本描述。
%Reversedcomputersid%	反向的字节排序十六进制格式中的计算机 SID。
%Reversedusersid%	反向的字节排序十六进制格式中的当前用户的 SID。
%Sendtodir%	当前用户的发送到目录。
%Startmenudir%	当前用户的「开始」菜单目录。
%Startupdir%	当前用户的启动目录。
%Systemdir%	Windows 系统目录中。
%SystemDrive%	从中运行操作系统的驱动器的名称。
%Tempdir%	由 Windows API 确定当前用户的 Temp 目录。
%的时间戳 %	要实现的配置的时间戳。
%Tracefile%	跟踪文件路径/名称。
%Windowsdir%	Windows 目录中。

首选项扩展提供，您可以从中选择要插入到文本框中的变量的列表。可以从任何文本框打开对话框中：

不禁用。
非只读。
不受限制的数字值。

若要输入变量

打开组策略管理控制台。右键单击包含您想要配置，，然后单击该首选项的组策略对象 (GPO)编辑。
将光标定位在所需的框中。
- 若要输入首选进程变量，请按F3，从列表中，选择一个变量，然后单击选择将变量插入在框中。
- 若要输入现有的 Windows 环境变量，请在框中键入该变量。
  
  备注
  
  您可以在应用到客户端计算机（以便而不是解析值的变量将出现在客户端计算机上的首选项设置中）之前阻止变量的分辨率。若要执行此操作的首选进程变量中，清除解析变量复选框。这会插入<>之间%%分隔符和变量的名称 (例如，%< ProgramFiles > %)。首选项扩展删除< >文本和保留未解析的变量中的字符。此外可以与 Windows 环境变量中使用此语法。