作者: 杨作山
管理模板是Windows 2000/XP/Server 2003组策略的一个重要组件,它们均为Unicode格式的文本文件,扩展名.adm,组策略对象编辑器用户界面的管理模板部分即由它们创建。
图1组策略对象编辑器界面的管理模板部分在安装管理模板(.adm)文件后被创建
通过对象编辑器的两个管理模板部分,可实现对组策略对象(GPO)指定计算机注册表的机器(HKLM)和用户(HKLM)部分的修改,而你只需将你的组策略对象同适当的地址、域或组织单位连接起来,但管理模板(.adm文件)并不会自己修改目标计算机的注册表,它们只是在对象编辑器里创建GUI,从而使你可为组策略对象指定的计算机配置注册表。
目前,通过管理模板可对1300多种不同的注册表设置进行修改,其功能之强大可见一斑,这些设置包括从配置网络设置到禁闭用户桌面以及配置组策略的工作方式等。你可以通过对象编辑器安装管理模板,Windows缺省安装了一些模板,也可以为某些Microsoft应用程序下载其他模板,甚至可以创建自己的模板。
一、管理模板的分类
1.标准模板
标准管理模板放在计算机的%windir%\inf文件夹下,操作系统版本不同,缺省安装的管理模板也不一样。表1列出了不同操作系统缺省安装的模板。
表1缺省管理模板
模板
操作系统版本
注释
Conf.adm
2000/XP/2003
显示配置Microsoft NetMeeting的策略设置
Inetres.adm
2000/XP/2003
显示配置Microsoft Internet Explorer的策略设置
System.adm
2000/XP/2003
显示配置核心OS GUI特征的策略设置
Wmplayer.adm
XP/2003
显示配置Windows Media Player的策略设置
Wuau.adm
2000SP3/XPSP1/2003
显示配置自动更新的策略设置
除上述这些操作系统缺省安装的模板,%windir%\inf文件夹下还有一些模板是在你需要的时候安装使用的。
表2其他标准管理模板
模板
注释
Common.adm
显示同Windows 9x/NT相同的策略设置(使用系统策略编辑器poledit.exe)
Inetcorp.adm
显示配置拨号上网、语言和Internet Explorer临时文件的策略设置
Inetset.adm
显示配置Internet Explorer的其他策略设置
Windows.adm
显示Windows 9x特有的策略设置(使用系统策略编辑器poledit.exe)
2.其他模板
首先来看一下Microsoft Office 2003的模板(表3),这些模板在Office 2003资源工具包中可以得到,通过这些模板可对Office应用程序在受管理环境即组策略环境中进行更多的控制。
表3 Office 2003管理模板
模板
注释
Aer_1033.adm
显示配置应用程序出错报告的策略设置
Access11.adm
显示配置Microsoft Access 2003的策略设置
Dw20.adm
配置应用程序出错报告的一个较早期模板,在Office 2003中被Aer_1033.adm取代
Excel11.adm
显示配置Microsoft Excel 2003的策略设置
Fp11.adm
显示配置Microsoft FrontPage 2003的策略设置
Gal11.adm
显示配置Microsoft Clip Organizer的策略设置
Inf11.adm
显示配置Microsoft InfoPath 2003的策略设置
Instlr11.adm
显示配置Microsoft Windows Installer的策略设置
Office11.adm
显示所有Office 2003组件相同的策略设置
Onent11.adm
显示配置Microsoft OneNote 2003的策略设置
Outlk11.adm
显示配置Microsoft Outlook 2003的策略设置
Ppt11.adm
显示配置Microsoft PowerPoint 2003的策略设置
Pub11.adm
显示配置Microsoft Publisher 2003的策略设置
Word11.adm
显示配置Microsoft Word 2003的策略设置
在Microsoft下载中心还可以找到Office 2003 Service Pack 1的一些最新模板,Office的早期版本也有自己的模板。
另外,还有一些模板,如Windows Server 2003资源工具包中的Inetesc.adm,它显示Windows Server 2003中Internet Explorer增强安全配置的策略设置,你可以从Microsoft下载中心得到最新的组策略管理模板文件。
二、管理模板应用实战
1.添加模板
通过添加一个新模板,你可以对一些操作系统或应用程序特性在一个受管理的Windows环境中进行更多的控制,这个环境就是应用组策略管理用户和计算机的环境。例如,我们希望对Internet Explorer的增强安全配置在Windows Server 2003计算机上的行为特性进行控制,当你使用Internet Explorer浏览一个没有添加进受信任地址区的网页时,就会弹出一个提示框,这让人感到很厌烦。为了控制这一特性,我们需要Inetesc.adm模板,它可以作为Windows Server 2003资源工具包的一部分从Microsoft下载中心下载。
首先下载工具并将其安装到一个目录,然后将Inetesc.adm模板复制到标准模板安装的缺省文件夹%windir\inf下面或你创建的存放非标准和定制模板的其他文件夹下面。通过组策略对象编辑器打开组策略对象,右键单击计算机配置或用户配置下的管理模板部分,选择“添加/删除模板”,此时就会显示已经安装模板的列表(图2)。
图2已安装的缺省模板
点击“添加”按钮,并浏览Inetesc.adm模板存放的文件夹(图3)。
图3选择Inetesc.adm模板
点击“打开”,Inetesc.adm模板就被安装了(图4)。
图4 Inetesc.adm模板已被安装
点击“关闭”,你就可以看到添加到组策略对象编辑器中管理Windows Server 2003 Internet Explorer增强安全配置的新用户界面元素。
图5通过安装Inetesc.adm添加的Internet Explorer增强安全配置的新用户界面元素。
这里有一点要注意,我们是以组策略对象为基础添加管理模板的,也就是说,你可以为需要的组策略对象添加管理模板,使你可管理同每个组策略对象相关联的域、地址或组织单位中的用户和计算机。
还有一点需要注意,在一个组策略对象中安装一个管理模板,同时在你的域控制器的SYSVOL共享部分还会创建该模板的一个备份,如果安装了太多的模板,这就会产生问题,因为它们会极大地增加SYSVOL的大小,如果你是在一个域分布在许多地址的企业中,而这些地址之间以低速率的WAN连接,这将会产生复制问题,并消耗掉WAN的带宽。
解决之道:减少必须在SYSVOL共享部分复制的文件和数据的数量。由于管理模板(.adm文件)占用了策略的绝大部分空间,删除管理模板将会极大的减少SYSVOL的大小。例如,对缺省管理模板,每个策略占用870KB的磁盘空间,如果有1300个策略,就能将SYSVOL的大小从1100MB减小到35MB或每个策略27KB。
2.删除模板
你还可以删除模板,但它只是删除对象编辑器中相应的GUI特性。例如,如果你不打算在你的企业中再使用Windows Media Player,你就可以删除Wmplayer.adm标准模板,只要右键单击组策略对象中的管理模板,选择“添加/删除模板”→选择Wmplayer.adm→点击“删除”→点击“关闭”,图6即为操作结果。
图6删除Wmplayer.adm模板后的组策略对象
比较图5和图6可以发现,图5中计算机配置下管理模板的Windows Media Player节点仍然存在,而图6中已不见了。
需要注意的是,删除安装的管理模板并不会改变或删除最后一次处理组策略时组策略对象所使用的任何注册表设置,因此,在删除一个模板前,首先要保证对策略设置进行修改,并在组策略刷新后再进行。
3.定制模板
你还可以定制管理模板以满足特殊需要,如控制应用程序如Office的一些不受Microsoft缺省模板管理的特性。在开始前,首先要注意以下问题:
不要修改标准模板或你从Microsoft下载的其他模板,如果需要,可将它们复制,并对副本进行修改。
要了解创建管理模板的语法,并严格遵守该语法,因为管理模板会修改目标计算机的注册表。
创建定制管理模板(在基于Windows 2000的域中)的过程如下:
A.创建导入定制管理模板的组策略对象:
点击“开始”,指向“程序”→“管理工具”,点击“活动目录用户和计算机”,在控制树中,右键单击你要创建组策略设置的域或组织单位,选择“属性”,点击“组策略”标签,再点击“新建”,然后输入该组策略设置的名称(如“定制注册表策略”),输入回车后点击“关闭”。
B.创建管理模板:
打开记事本或其他文本编辑器,输入管理模板的信息,将文件保存在Windows_folder\Inf文件夹下,并将其扩展名改为.adm,退出文本编辑器。关于创建管理模板的语法请参考有关资料。
C.导入管理模板:
点击“开始”,指向“程序”→“管理工具”,点击“活动目录用户和计算机”,右键单击你要配置的域或组织单位,选择“属性”,点击“组策略”标签,点击你要编辑的组策略设置,点击“编辑”,右键单击“计算机配置”或“用户配置”下的“管理模板”,选择“添加/删除模板”,点击“添加”,选择你要添加的模板,点击“打开”,最后点击“关闭”。
以下是一个创建定制管理模板的例子:
第1步,打开记事本;
第2步,输入以下代码:
CLASS USER ;修改注册表的HKEY_CURRENT_USER部分
;以下命令在用户配置下创建一个名为“桌面设置”的节点
CATEGORY !!categoryname
;以下命令指定要修改的注册表键
KEYNAME "SOFTWARE\Policies\System"
;以下命令使用变量”policyname”指定策略的名称
POLICY !!policyname
;以下命令指定“解释”标签上的文本
EXPLAIN !!explaintext
;以下命令创建一个包含列表框的PART
PART !!labeltext DROPDOWNLIST REQUIRED
;以下声明指定要修改的注册表值
VALUENAME "NoDriveTypeAutoRun"
;以下声明构成下拉列表框
ITEMLIST
NAME !!no_cd VALUE NUMERIC 181 DEFAULT
NAME !!no_drives VALUE NUMERIC 255
END ITEMLIST
END PART
END POLICY
END CATEGORY
;以下字符串分别分配给前面指定的变量名
[strings]
categoryname="Desktop Settings"
policyname="Disable the autoplay feature"
explaintext="This policy disables the autoplay feature on the selected drive(s)"
labeltext="Disable autoplay on"
no_cd="CD-ROM drives"
no_drives="All drives"
第3步,打开“文件”菜单,点击“保存为”;
第4步,在“保存类型”框中,选择“所有文件”;
第5步,在“文件名”框中输入windows_folder\inf\example.adm,点击“保存”;
第6步,退出记事本;
第7步,点击“开始”,指向“程序”→“管理工具”,点击“活动目录用户和计算机;
第8步,右键单击域,点击“属性”;
第9步,点击“组策略”标签,点击“新建”,在“新组策略对象”框中输入“test policy”,按回车;
第10步,点击“编辑”,右键单击“用户配置”下的“管理模板”,点击“添加/删除模板”;
第11步,点击“添加”,选择Example.adm,点击“打开”;
第12步,在“Example”出现在“当前策略模板”列表框中后,点击“关闭”;
第13步,打开“用户配置”下的“管理模板”,点击新的“桌面设置”节点;
第14步,在右方格内,双击“取消自动播放特性”策略;
注:如果新策略设置没有出现在右方格内,右键单击新的“桌面设置”节点,指向“查看”,清除“只显示策略”菜单项旁的复选标记。
第15步,点击“激活”,并确保策略设置包含你在例子代码中指定的特性。
