组策略的首选项和策略设置之间的选择

从Windows Vista SP1和Windows Server 2008中,组策略(组策略)和以前的版本已经有了很大进步。小心管理员会发现组策略的最新版本是分为两个部分:政策环境和政策优惠。政策基本上继承了以前版本的设置组策略的主要内容,而政策选择新的内容,为管理者提供更详细的设置。







组策略设置和第一个选项之间的区别是强制性的。组策略设置是管理和强制执行的。组策略的第一个选择是非托管和非强制的。

对于许多系统设置,管理员可以通过策略设置或策略首选项实现,2者之间有相当多的重叠,那么应该使用策略偏好,以及策略何时设置这篇文章将揭开你的神秘面纱。

=========================================

(以下多数情况是集团政策、政策设置为短、政策、政策设置、集团政策偏好为短;首选);

因为偏好和政策重叠在一些管理领域,有时你可以用多种方法来实现相同的任务。例如,您可以指定登录脚本,您必须使用的政策。在这些脚本,你可以映射网络驱动器,配置打印机,创建快捷方式,复制文件和文件夹,和执行其他任务,第一个选项,你可以做同样的任务没有登录脚本。所以,我们应该选择什么样的方法事实上,没有标准的答案,这是真的,这取决于你想做什么。

当一个政策偏好冲突的GPO,基于注册表通常赢得政策。基于策略和偏好的注册表,最后写赢得值(取决于策略和客户偏好扩展执行顺序)判断策略设置是否是一个基于注册表的方法很简单,因为所有基于注册表的策略集在模板定义的管理(管理模板)。

设备安装

通过策略设置,您可以限制用户通过阻止安装驱动用户的方式安装硬件的特定类型。您可以指定一个授权的设备可以安装(根据设备的硬件ID),或它可以阻止特定设备的安装(或根据设备的硬件ID)。这些策略设置仅适用于Windows Vista和后来的版本是有效的,并可以被计算机配置政策管理模板系统设备安装限制下找到。(注:中文版是计算机配置策略管理系统设备安装限制)

虽然这些限制措施可以防止新设备的安装,或防止被拔出,重新插入后设备的安装,它不能阻止现有设备的操作。

使用第一个选项,您可以禁用设备类(设备类)、设备、端口类(端口类)和端口,但不能停止驱动程序的加载。相关的首选项可以在计算机用户配置首选项控制面板设置设备中找到。

(注:中文版本为计算机用户配置首选项控制面板设置)

虽然设备和端口可以禁用与偏好,这并不妨碍设备驱动程序安装。它不能阻止具有适当权限的用户启用设备或端口通过设备管理(设备管理器)。然而,因为组策略刷新在同一时间间隔的策略设置和偏好,偏好设置将在下一个刷新组策略之后,此设置将应用每隔90-120分钟除非你指定的第一选择是只有一次,不再重新申请应用。

如果您想完全锁定并阻止特定设备的安装和使用,您可以将策略设置和首选项与使用首选项相结合,以禁用已安装的设备,并防止设备驱动程序重新加载策略设置。

最后一点要指出的是,这里提到的策略设置只对Windows Vista或更高版本有效,并且可以应用于具有组策略首选项客户端扩展首选项的任何计算机。


文件和文件夹

策略可以为重要的文件和文件夹创建特定的访问控制列表(ACL)。但是,只有当目标文件和文件夹存在时,才能应用ACL。此策略设置可应用于支持组策略的任何计算机。






(注:中文版本的位置是计算机配置策略设置安全设置文件系统)

与第一个选项,您可以管理文件和文件夹,文件,您可以创建、更新、替换或删除一个文件或文件夹复制从源计算机,文件夹,您还可以指定是否删除文件夹中创建、更新、替换现有的文件和子文件夹,或删除操作。

文件和文件夹的偏好可以应用于任何安装的组策略首选的客户端扩展的计算机文件,你可以计算机用户配置优惠 Windows设置 files.for文件夹下找到它,你的计算机用户配置优惠 Windows设置文件夹下找到它。

(注:中文版的相应位置是计算机用户配置、偏好设置、文件、计算机用户配置、首选项、 Windows设置、文件夹等)。

提示:组策略还提供了优先选项。ini配置文件和快捷方式,优先选择是有限的。INI文件的修改在特定分支的特定属性值的INI文件。快捷选项可以用来创建文件、文件夹和快捷方式,URL,具体壳的物体,如作为台式机。

所以,最好的选择是在同一时间使用的文件和文件夹。您可以创建一个文件或文件夹的偏好和设置ACL以政策为新创建的文件或文件夹。此外,应选择文件和文件夹;只有一次,不再重新否则,的操作,创建、更新、替换或删除时,将重新申请下一组策略刷新。

Internet Explorer

组策略为Internet Explorer提供了许多策略和首选项。许多专家常常对设置能做些什么感到困惑,以下是需要注意的重点:

# 8226;计算机配置政策管理模板 Windows组件 Internet Explorer策略主要是用来控制Internet Explorer的行为。这些政策配置浏览器的安全性增强功能,帮助锁定Internet安全区域设置。

# 8226;用户配置政策系统设置 Internet Explorer维护策略用于指定的URL,如主页、搜索栏、联机支持页,收藏夹和链接。政策设置也用于自定义浏览器界面,如添加自定义Lo,标题和按钮来伊江,创建默认程序、代理服务器和其他方法。

# 8226、用户配置首选项控制面板设置网络设置的偏好设置允许您控制面板中的Internet选项配置,在任何工具选项。

由于策略被管理,第一个选项没有被管理,所以当您要强制某些Internet Explorer选项时,您应该使用策略设置。

电源选项

选择很容易mdash;mdash;选择Windows Vista或更高的政策;选择Windows XP的第一个选项。

策略设置的Vista或更高版本位于

计算机用户配置策略管理模板系统电源管理

(中文版本:计算机用户配置策略管理模板系统电源管理)

Windows XP的首选项位于

计算机用户配置首选项控制面板设置电源选项

(中文版本:计算机用户配置首选项控制面板设置电源选项)


打印机

通过组策略,可以将打印机部署到支持组策略的任何计算机中,这是通过将连接建立到现有的共享打印机来实现的。

对于Windows Vista或更高版本的电脑,可以设置用户配置政策系统设置部署战略部署打印机打印机;早期版本的Windows的计算机可以连接使用pushprinterconnection.exe登录/启动脚本配置打印机。

您可以通过首选项映射和配置打印机。这些首选项包括配置本地打印机和映射网络打印机,包括共享网络打印机或TCP/IP网络打印机。这些首选项可应用于具有组策略首选项中安装的客户端扩展(组策略首选项的客户端扩展)的任何计算机。

因为打印机的偏好设置比政策设置丰富得多,你可能会更容易使用的第一选择。但是,如果你要部署的打印机通过策略设置,不需要切换到偏好和重新部署。

注册表项和值

通过策略设置,可以为注册表项设置特定的访问控制列表(ACL)。但是,只有当注册表项存在时,才能应用ACL。此策略设置可应用于支持组策略的任何计算机。您可以在计算机配置 Windows设置安全设置注册表中找到它。






注意:中文版本的位置是计算机配置Windows设置安全设置注册表;

与第一个选项,您可以创建、更新、替换或删除注册表项,相关偏好的位置是在计算机用户配置优惠 Windows设置注册表。(注:中国版的位置是计算机配置首选项 Windows注册表设置;)

虽然几乎所有注册表项都可以用首选项进行修改,但这种方法很少被广泛使用。为什么因为这是直接修改注册表的等值,它修改注册表直接危险的手术。你可能会破坏注册表,导致系统崩溃。所以我建议你只使用第一个选择在极少数的情况下修改注册表键。你应该通过政策设置管理模板修改注册表,组策略提供了许多管理模板。您还可以在微软网站上下载和安装额外的管理模板到其他应用程序(如MS Office),以管理其他应用程序的注册表。如果某个应用程序没有相应的管理模板,也可以创建一个自定义管理模板。

此外,你可以选择注册表项的偏好;只有一次,不再重新申请;否则,该操作是创建、更新、替换或删除时,将重新申请下一组策略刷新。

打开菜单

谈到开始菜单的控制,策略配置和首选项之间有很多重叠,但是实践非常不同。

通过设置策略,可以控制和限制开始菜单选项和不同的开始菜单的行为。这些控件位于用户配置管理模板政策下开始菜单和任务栏。例如,您可以指定是否在用户注销清除最近打开的文档的历史,或是否在启动禁用拖和菜单上删除操作。你也可以锁定任务栏,消除系统通知区域的图标,并关闭所有的气球通知。

(注意:中文版本的位置是用户配置管理模板开始菜单和任务栏;

首选项在用户配置面板设置菜单中。您可以像控制面板中的任务栏和开始菜单属性对话框那样配置它。

(注意:中文版本的位置是用户配置控制面板设置开始菜单);


系统服务

对于系统服务,很容易选择。您可以通过策略设置它。

*配置服务启动模式

*指定服务的访问许可(谁可以启动、停止和暂停服务)

策略设置位于计算机配置 Windows设置安全设置系统服务

(注意:中文版本的位置是计算机配置Windows设置安全设置系统服务);

使用的首选项

*配置服务启动模式

*配置服务操作(例如启动服务、停止服务、停止和重新启动服务)

*设置用于启动服务的帐户和密码

*在服务失败时设置计算机的恢复响应。

服务的首选选项是在计算机配置首选项控制面板设置服务

(注:中文版本的位置是计算机配置首选项控制面板设置服务)

由于政策管理的第一选择是不成功的,你可以当你想力的启动模式的定义和访问许可使用策略设置。虽然你的喜好配置服务,用户可以更改设置自己的偏好,因为不是强制性的,也就是说,如果你申请的喜好和自动刷新定期通过组策略刷新机制,一些用户的更改将覆盖你的偏好设置。

用户和用户组

用户和组很容易选择首选项或策略。如果要限制某个广告组或本地组的成员,则应该设置一个策略。相关策略设置的位置是计算机配置 Windows设置安全设置受限组

(注意:中文版本的位置是计算机配置Windows设置安全设置受限组)

使用第一个选项,您可以创建、替换、更新或删除本地用户或本地组。

对于本地用户,也可以

*重命名用户帐户

*设置用户密码

*设置用户帐户的状态标志(例如下一个登录必须修改密码标志、帐户禁用标志等)

对于本地组,也可以使用首选项。

*重命名组

*添加或删除当前用户

*删除成员用户或成员组

本地用户和组的首选项位于计算机用户配置 控件面板设置本地用户和组中。






(注意:中文版本的位置是计算机用户配置首选项控制面板设置本地用户和组)