文件和文件夹
通过策略可以为重要的文件和文件夹创建特定的访问控制列表(ACL)。然而,只有目标文件和文件夹存在情况下,ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\File System下找到。
(注:中文版的位置是“计算机配置\策略\Windows设置\安全设置\文件系统”)
使用首选项,你可以管理文件和文件夹。对于文件,你可以通过从源计算机复制的方法来创建、更新、替换或删除一个文件或文件夹。对于文件夹,还可以指定在创建、更新、替换或删除操作时,是否删除文件夹中现存的文件和子文件夹。
文件和文件夹首选项可以应用于任何安装了组策略首选项客户端扩展的计算机上。对于文件,你可以在ComputerUser Configuration\Prefernces\Windows Settings\Files下找到。对于文件夹,你可以在ComputerUser Configuration\Prefernces\Windows Settings\Folders下找到。
(注:中文版对应的位置分别是“计算机用户配置\首选项\Windows设置\文件”和“计算机用户配置\首选项\Windows设置\文件夹”)
小技巧:组策略还提供了可用于.ini 配置文件和快捷方式的首选项。用于.ini文件的首选项仅限于修改.ini文件中特定分支的特定属性值。快捷方式首选项可用于创建文件、文件夹、URL以及在特定Shell对象(例如桌面)的快捷方式。
所以,最佳方案是同时使用文件和文件夹的策略和首选项。你可以用首选项来创建一个文件或文件夹,并通过策略对刚创建的文件或文件夹设置ACL。此外,对于文件和文件夹,应该选择“只应用一次而不再重新应用”。否则,创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。
Internet Explorer
组策略为Internet Explorer提供了非常多的策略和首选项设置,多到连不少专家都常常为哪个设置能做什么而感到困惑。下面这些是需要被关注的关键:
•Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer 策略主要用来控制Internet Explorer的行为表现。这些策略配置了浏览器的安全增强并帮助锁定Internet安全区域设置。
•User Configuration\Policies\Windows Settings\Internet Explorer Maintenance 策略用来指定重要的URL,比如主页、搜索栏、联机支持页、收藏夹和链接。策略设置也被用于自定义浏览器界面,例如给IE增加自定义Logo、标题和按钮,建立默认程序、代理服务器和其他方法等。
•User Configuration\Preferences\Control Panel Settings\Internet Settings下的首选项设置允许你配置控制面板中“Internet选项”工具中的任何选项。
因为策略是被管理的而首选项是不被管理的,当你想要强制设定某些Internet Explorer选项时,应该使用策略设置。尽管你也可以使用首选项来配置Internet Explorer,但是因为首选项是非强制性的,所以用户可以自行更改设置。
电源选项
选择非常容易——为Windows Vista或更高版本选择策略;为Windows XP选择首选项。
Vista或更高版本的策略设置位于
ComputerUser Configuration\Policies\Administrative Templates\System\Power Management
(中文版:“计算机用户配置\策略\管理模板\系统\电源管理”)
Windows XP的首选项设置位于
ComputerUser Configuration\Preferences\Control Panel Settings\Power Options
(中文版:“计算机用户配置\首选项\控制面板设置\电源选项”)
打印机
通过组策略,你可以将打印机部署到任何支持组策略的计算机上,这是通过建立一个到现存的共享打印机上的连接来实现的。
对于Windows Vista或更高版本的计算机,可以通过位于User Configuration\Policies\Windows Settings\Deployed Printers的策略设置来部署打印机;对于更早版本的Windows计算机,可以通过在登录/启动脚本中使用PushPrinterConnection.exe来部署打印机连接。
你可以通过首选项来映射和配置打印机,这些首选项包括配置本地打印机以及映射网络打印机,包括共享网络打印机或TCP/IP网络打印机。这些首选项可以应用在任何安装了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的计算机上。
因为打印机首选项的设置要远比策略设置丰富的多,你可能会更倾向于使用首选项。不过,如果你已经通过策略设置部署了打印机,也没必要切换到首选项并重新部署。
注册表项与值
通过策略设置,可以为注册表项设置特定的访问控制列表(ACL)。然而,只有注册表项存在的情况下,ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\Registry下找到。
(注:中文版的位置是“计算机配置\策略\Windows设置\安全设置\注册表”)
使用首选项,你可以创建、更新、替换或删除一个注册表项。相关的首选项的位置在ComputerUser Configuration\Prefernces\Windows Settings\Registry。(注:中文版的位置是“计算机配置\首选项\Windows设置\注册表”)
尽管用首选项可以修改几乎任何注册表项,但是这种方法却很少被广泛使用。为什么呢?因为这相当于直接修改注册表,而直接修改注册表是一个危险的操作。你可能破坏了注册表导致系统的崩溃。所以我建议你只有在极少数必须的情况下才使用首选项来修改注册表项。你应该通过策略设置中的管理模板来修改注册表。组策略提供了很多管理模版,你还可以到微软网站为其他应用程序(比如MS Office)下载并安装额外的管理模板,来给其他应用程序管理注册表。如果某个特定的应用程序没有相应的管理模板,你还可以创建自定义的管理模板。
此外,你可能希望对注册表项的首选项“只应用一次且不再重新应用”。否则,创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。
开始菜单
说起对开始菜单的控制,策略配置和首选项有很多重叠之处。但是做法很不一样。
通过策略设置,你可以控制和限制「开始」菜单选项和不同的开始菜单行为。这些控制位于User Configuration\Policies\Adminsitrative Templates\Start Menu And Taskbar下。例如,你可以指定是否要在用户注销时清除最近打开的文档历史,或是否在“开始”菜单上禁用拖放操作。还可以锁定任务栏,移除系统通知区域的图标以及关闭所有气球通知。
(注:中文版的位置是“用户配置\策略\管理模板\「开始」菜单和任务栏”)
首选项位于User Configuration\Preferences\Control Panel Settings\Start Menu。你可以如同通过控制面板中的任务栏和「开始」菜单属性对话框一样来进行配置。不过没有关于任务栏的首选项。
(注:中文版的位置是“用户配置\首选项\控制面板设置\「开始」菜单”)
系统服务
对于系统服务,选择很容易。你可以通过策略设置来
* 配置服务的启动模式
* 指定服务的访问许可(谁可以开始、停止和暂停服务)
策略设置位于Computer Configuration\Policies\Windows settings\Security Settings\System Services
(注:中文版的位置是“计算机配置\策略\Windows设置\安全设置\系统服务”)
首选项则用于
* 配置服务启动模式
* 配置服务操作(例如启动服务,停止服务,停止并重启服务)
* 设定用于启动服务的帐号和密码
* 设定当服务失败时计算机的恢复反应。
服务的首选项位于Computer Configuration\Preferences\Control Panel Settings\Services
(注:中文版的位置是“计算机配置\首选项\控制面板设置\服务”)
因为策略是受管理的,而首选项是不受管理的,当你想强制定义启动模式和访问许可的时候,可以用策略设置。尽管你可以用首选项来配置服务,但是因为首选项是非强制的,用户可以自行更改设置。这就是说,如果你应用了首选项并通过常规的组策略刷新机制来自动刷新,某些用户更改将会被你的首选项设置所覆盖。
用户和组
对于用户和组来说,选择首选项还是策略很容易。如果你想限制某个AD组或本地组的成员,你就应该用策略设置。相关策略设置的位置是Computer Configuration\Policies\Windows settings\Security Settings\Restricted Groups
(注:中文版的位置是“计算机配置\策略\Windows设置\安全设置\受限制的组”)
通过首选项,你可以创建、替换、更新或删除本地用户或本地组。
对于本地用户,还可以
* 重命名用户帐号
* 设置用户密码
* 设置用户帐号的状态标志 (比如下次登录时必须修改密码标志,帐号禁用标志等)
对于本地组,首选项还可以
* 重命名组
* 添加或删除当前用户
* 删除成员用户或成员组
本地用户和组的首选项位于ComputerUser Configuration\Preferences\Control Panel Settings\Local Users And Groups
(注:中文版的位置是“计算机用户配置\首选项\控制面板设置\本地用户和组”)
