在組策略的首選項和策略設(shè)置之間進行選擇

從Windows Vista sp1和Windows Server 2008開始，組策略(Group Policy)和先前的版本有了更加長足的進步。細心的管理員可能已經(jīng)發(fā)現(xiàn)，最新版本的組策略分成了策略設(shè)置(Policy Settings)和策略首選項(Policy Preferences)兩個部分。其中策略設(shè)置基本上繼承了以前版本組策略的主要內(nèi)容，而策略首選項則是全新的內(nèi)容，為管理員提供了更多更細的設(shè)置。
    組策略設(shè)置和首選項的不同之處就在于強制性。組策略設(shè)置是受管理的、強制實施的。而組策略首選項則是不受管理的、非強制性的。
    對于很多系統(tǒng)設(shè)置來說，管理員既可以通過策略設(shè)置來實現(xiàn)，也可以通過策略首選項來實現(xiàn)，2者有相當一部分的重疊。那么什么情況下應(yīng)該用策略首選項，什么情況下應(yīng)該用策略設(shè)置呢？本文將為你解開這個謎團。
    =========================================
    （下文大多數(shù)情況下將“組策略的策略設(shè)置”簡稱為“策略”或“策略設(shè)置”，將“組策略的策略首選項”簡稱為“首選項”）
    因為首選項和策略在某些管理區(qū)域相互重疊，有時候你可以通過多種方法來實現(xiàn)同一個特定的任務(wù)。比如，你可以通過策略來指定必須使用的登錄腳本。在這些腳本中，你可以映射網(wǎng)絡(luò)驅(qū)動器、配置打印機、創(chuàng)建快捷方式、復(fù)制文件和文件夾以及執(zhí)行其他任務(wù)。使用首選項，你可以不需要通過登錄腳本就完成相同的任務(wù)。那么，應(yīng)該選擇哪一種方法呢？嗯，真相是沒有一個標準答案，確實是這樣，這取決于你想怎么做。在下面的章節(jié)中，我將告訴你一些大致的指導(dǎo)意見。
    當在同一個GPO中的策略和首選項發(fā)生沖突時，基于注冊表的策略通常會獲勝。對于不基于注冊表的策略和首選項來說，最后寫入的那個值獲勝（這取決于策略與首選項的客戶端擴展執(zhí)行的順序）判斷策略設(shè)置是否是基于注冊表的方法很簡單，因為所有基于注冊表的策略設(shè)置都定義在管理模板(Administrative Templates) 中。
    設(shè)備安裝
    通過策略設(shè)置，你可以通過阻止用戶安裝驅(qū)動程序的方法來限制用戶安裝某些特定類型的硬件設(shè)備。你可以指定某個經(jīng)過許可的設(shè)備可以被安裝(根據(jù)設(shè)備的硬件ID)，也可以阻止特定設(shè)備的安裝(還是根據(jù)設(shè)備的硬件ID)。這些策略設(shè)置僅對 Windows Vista及更高版本有效，可在Computer Configuration\Policies\Administrative Templates\System\Device Installation Restrictions下找到。（注：中文版為“計算機配置\策略\管理模版\系統(tǒng)\設(shè)備安裝限制”）
    雖然這些限制措施能阻止新設(shè)備的安裝，或阻止一個設(shè)備在拔下后并重新插入時的重新安裝，但并不能阻止已存在設(shè)備的運行。
    使用首選項，你可以禁用設(shè)備類(Device Classes)、某個設(shè)備、端口類(Port Classes)以及某個端口，但不能阻止驅(qū)動程序的載入。相關(guān)的首選項設(shè)置可以在Computer|User Configuration\Preferences\Control Panel Settings\Devices下找到。
    （注：中文版為“計算機|用戶配置\首選項\控制面板設(shè)置\設(shè)備”）
    雖然用首選項可以禁用設(shè)備和端口，這并不會阻止設(shè)備驅(qū)動程序的安裝。它也不會阻止具有相應(yīng)權(quán)限的用戶通過設(shè)備管理器(Device Manager)啟用設(shè)備或端口。然而，因為組策略默認會以同樣的時間間隔來刷新策略設(shè)置和首選項，首選項設(shè)置會在下一次刷新組策略的時候被重新應(yīng)用。這樣，除非你特別指定該首選項只應(yīng)用一次且不再重新應(yīng)用，該設(shè)置會每90-120分鐘被應(yīng)用一次。
    如果你想完全鎖定并阻止某個特定設(shè)備被安裝和使用，可以將策略設(shè)置和首選項配合起來使用：用首選項來禁用已安裝的設(shè)備，并通過策略設(shè)置阻止該設(shè)備驅(qū)動程序的重新載入。
    最后要指出的是，這里提到的策略設(shè)置僅對Windows Vista或更高版本生效，而首選項則可以對安裝了組策略首選項客戶端擴展(Client-side Extension for Group Policy Preferences)的任何計算機生效。
    文件和文件夾
    通過策略可以為重要的文件和文件夾創(chuàng)建特定的訪問控制列表(ACL)。然而，只有目標文件和文件夾存在情況下，ACL才能被應(yīng)用。這種策略設(shè)置可以應(yīng)用于任何支持組策略的計算機上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\File System下找到。
    （注：中文版的位置是“計算機配置\策略\Windows設(shè)置\安全設(shè)置\文件系統(tǒng)”）
    使用首選項，你可以管理文件和文件夾。對于文件，你可以通過從源計算機復(fù)制的方法來創(chuàng)建、更新、替換或刪除一個文件或文件夾。對于文件夾，還可以指定在創(chuàng)建、更新、替換或刪除操作時，是否刪除文件夾中現(xiàn)存的文件和子文件夾。
    文件和文件夾首選項可以應(yīng)用于任何安裝了組策略首選項客戶端擴展的計算機上。對于文件，你可以在Computer|User Configuration\Prefernces\Windows Settings\Files下找到。對于文件夾，你可以在Computer|User Configuration\Prefernces\Windows Settings\Folders下找到。
    （注：中文版對應(yīng)的位置分別是“計算機|用戶配置\首選項\Windows設(shè)置\文件”和“計算機|用戶配置\首選項\Windows設(shè)置\文件夾”）
    小技巧：組策略還提供了可用于.ini 配置文件和快捷方式的首選項。用于.ini文件的首選項僅限于修改.ini文件中特定分支的特定屬性值。快捷方式首選項可用于創(chuàng)建文件、文件夾、URL以及在特定Shell對象(例如桌面)的快捷方式。
    所以，方案是同時使用文件和文件夾的策略和首選項。你可以用首選項來創(chuàng)建一個文件或文件夾，并通過策略對剛創(chuàng)建的文件或文件夾設(shè)置ACL。此外，對于文件和文件夾，應(yīng)該選擇“只應(yīng)用一次而不再重新應(yīng)用”。否則，創(chuàng)建、更新、替換或者刪除的操作會在下一次組策略刷新時被重新應(yīng)用。
    Internet Explorer
    組策略為Internet Explorer提供了非常多的策略和首選項設(shè)置，多到連不少專家都常常為哪個設(shè)置能做什么而感到困惑。下面這些是需要被關(guān)注的關(guān)鍵：
    •Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer 策略主要用來控制Internet Explorer的行為表現(xiàn)。這些策略配置了瀏覽器的安全增強并幫助鎖定Internet安全區(qū)域設(shè)置。
    •User Configuration\Policies\Windows Settings\Internet Explorer Maintenance 策略用來指定重要的URL，比如主頁、搜索欄、聯(lián)機支持頁、收藏夾和鏈接。策略設(shè)置也被用于自定義瀏覽器界面，例如給IE增加自定義Logo、標題和按鈕，建立默認程序、代理服務(wù)器和其他方法等。
    •User Configuration\Preferences\Control Panel Settings\Internet Settings下的首選項設(shè)置允許你配置控制面板中“Internet選項”工具中的任何選項。
    因為策略是被管理的而首選項是不被管理的，當你想要強制設(shè)定某些Internet Explorer選項時，應(yīng)該使用策略設(shè)置。盡管你也可以使用首選項來配置Internet Explorer，但是因為首選項是非強制性的，所以用戶可以自行更改設(shè)置。
    電源選項
    選擇非常容易——為Windows Vista或更高版本選擇策略；為Windows XP選擇首選項。
    Vista或更高版本的策略設(shè)置位于
    Computer|User Configuration\Policies\Administrative Templates\System\Power Management
    （中文版：“計算機|用戶配置\策略\管理模板\系統(tǒng)\電源管理”）
    Windows XP的首選項設(shè)置位于
    Computer|User Configuration\Preferences\Control Panel Settings\Power Options
    （中文版：“計算機|用戶配置\首選項\控制面板設(shè)置\電源選項”）