一、什麼是組策略
(一)組策略有什麼用?
說到組策略,就不得不提注冊表。注冊表是Windows系統中保存系統、應用軟件配置的數據庫,隨著Windows功能的越來越豐富,注冊表裡的配置項目也越來越多。很多配置都是 可以自定義設置的,但這些配置發布在注冊表的各個角落,如果是手工配置,可想是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊,供管理人員直接使用,從而達到方便管理計算機的目的。
簡單點說,組策略就是修改注冊表中的配置。當然,組策略使用自己更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改注冊表方便、靈活,功能也更加強大。
(二)組策略的版本
大部分Windows 9X/NT用戶可能聽過“系統策略”的概念,而我們現在大部分聽到的則是“組策略”這個名字。其實組策略是系統策略的更高級擴展,它是由Windows 9X/NT的“系統策略”發展而來的,具有更多的管理模板和更靈活的設置對象及更多的功能,目前主要應用於Windows 2000/XP/2003系統。
早期系統策略的運行機制是通過策略管理模板,定義特定的.POL(通常是Config.pol)文件。當用戶登錄的時候,它會重寫注冊表中的設置值。當然,系統策略編輯器也支持對當前注冊表的修改,另外也支持連接網絡計算機並對其注冊表進行設置。而組策略及其工具,則是對當前注冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網絡功能是其最大的特色之處,其網絡功能自然是不可少的,因此組策略工具還可以打開網絡上的計算機進行配置,甚至可以打開某個Active Directory 對象(即站點、域或組織單位)並對它進行設置。這是以前“系統策略編輯器”工具無法做到的。
無論是系統策略還是組策略,它們的基本原理都是修改注冊表中相應的配置項目,從而達到配置計算機的目的,只是它們的一些運行機制發生了變化和擴展而已。
二、組策略中的管理模板
在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件,稱為“管理模板”,它們為組策略管理模板項目提供策略信息。
在Windows 9X系統中,默認的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統文件夾的inf文件夾中,包含了默認安裝下的4個模板文件,分別為:
1)System.adm:默認情況下安裝在“組策略”中,用於系統設置。
2)Inetres.adm:默認情況下安裝在“組策略”中;用於Internet Explorer策略設置。
3)Wmplayer.adm:用於Windows Media Player 設置。
4)Conf.adm:用於NetMeeting 設置。
在Windows 2000/XP/2003的組策略控制台中,可以多次添加“策略模板”,而在Windows 9X下,則只允許當前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制台中使用如下:
首先運行“組策略”程序,然後選擇“計算機配置”或者“用戶配置”下的“管理模板”,按下鼠標右鍵,在彈出的菜單中選擇“添加/刪除模板”,則彈出如圖1所示的對話框。
圖 1
然後單擊“添加”按鈕,在彈出的對話框中選擇相應的.adm文件。單擊“打開”按鈕,則在系統策略編輯器中打開選定的腳本文件,並等待用戶執行。
返回到“組策略”編輯器主界面後,依次打開目錄“本地計算機策略→用戶配置→管理模板”,再點擊相應的目錄樹,就會看到我們新添加的管理模板所產生的配置項目了(為了便於本文後面的實例大家能一起動手操作,建議添加除默認模板文件的其它模板文件)。
再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關閉”,以便將當前腳本關閉,然後再在“選項”菜單中選擇“模板”,則彈出如圖2所示的對話框。
圖 2
然後單擊“打開模板”按鈕,在彈出的對話框中選擇相應的.adm文件並單擊“打開”按鈕,則在編輯器中打開選定的腳本文件並等待用戶執行。