在组策略的首选项和策略设置之间进行选择计算机等级考试

文章作者 100test 发表时间 2010:01:01 12:11:37
来源 100Test.Com百考试题网

　　从Windows Vista sp1和Windows Server 2008开始，组策略(Group Policy)和先前的版本有了更加长足的进步。细心的管理员可能已经发现，最新版本的组策略分成了策略设置(Policy Settings)和策略首选项(Policy Preferences)两个部分。其中策略设置基本上继承了以前版本组策略的主要内容，而策略首选项则是全新的内容，为管理员提供了更多更细的设置。
　　组策略设置和首选项的不同之处就在于强制性。组策略设置是受管理的、强制实施的。而组策略首选项则是不受管理的、非强制性的。
　　对于很多系统设置来说，管理员既可以通过策略设置来实现，也可以通过策略首选项来实现，2者有相当一部分的重叠。那么什么情况下应该用策略首选项，什么情况下应该用策略设置呢？本文将为你解开这个谜团。
　　=========================================
　　（下文大多数情况下将“组策略的策略设置”简称为“策略”或“策略设置”，将“组策略的策略首选项”简称为“首选项”）
　　因为首选项和策略在某些管理区域相互重叠，有时候你可以通过多种方法来实现同一个特定的任务。比如，你可以通过策略来指定必须使用的登录脚本。在这些脚本中，你可以映射网络驱动器、配置打印机、创建快捷方式、复制文件和文件夹以及执行其他任务。使用首选项，你可以不需要通过登录脚本就完成相同的任务。那么，应该选择哪一种方法呢？嗯，真相是没有一个标准答案，确实是这样，这取决于你想怎么做。在下面的章节中，我将告诉你一些大致的指导意见。
　　当在同一个GPO中的策略和首选项发生冲突时，基于注册表的策略通常会获胜。对于不基于注册表的策略和首选项来说，最后写入的那个值获胜（这取决于策略与首选项的客户端扩展执行的顺序）判断策略设置是否是基于注册表的方法很简单，因为所有基于注册表的策略设置都定义在管理模板(Administrative Templates) 中。
　　设备安装
　　通过策略设置，你可以通过阻止用户安装驱动程序的方法来限制用户安装某些特定类型的硬件设备。你可以指定某个经过许可的设备可以被安装(根据设备的硬件ID)，也可以阻止特定设备的安装(还是根据设备的硬件ID)。这些策略设置仅对 Windows Vista及更高版本有效，可在Computer Configuration\Policies\Administrative Templates\System\Device Installation Restrictions下找到。（注：中文版为“计算机配置\策略\管理模版\系统\设备安装限制”）
　　虽然这些限制措施能阻止新设备的安装，或阻止一个设备在拔下后并重新插入时的重新安装，但并不能阻止已存在设备的运行。
　　使用首选项，你可以禁用设备类(Device Classes)、某个设备、端口类(Port Classes)以及某个端口，但不能阻止驱动程序的载入。相关的首选项设置可以在Computer|User Configuration\Preferences\Control Panel Settings\Devices下找到。
　　（注：中文版为“计算机|用户配置\首选项\控制面板设置\设备”）
　　虽然用首选项可以禁用设备和端口，这并不会阻止设备驱动程序的安装。它也不会阻止具有相应权限的用户通过设备管理器(Device Manager)启用设备或端口。然而，因为组策略默认会以同样的时间间隔来刷新策略设置和首选项，首选项设置会在下一次刷新组策略的时候被重新应用。这样，除非你特别指定该首选项只应用一次且不再重新应用，该设置会每90-120分钟被应用一次。
　　如果你想完全锁定并阻止某个特定设备被安装和使用，可以将策略设置和首选项配合起来使用：用首选项来禁用已安装的设备，并通过策略设置阻止该设备驱动程序的重新载入。
　　最后要指出的是，这里提到的策略设置仅对Windows Vista或更高版本生效，而首选项则可以对安装了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的任何计算机生效。
　　文件和文件夹
　　通过策略可以为重要的文件和文件夹创建特定的访问控制列表(ACL)。然而，只有目标文件和文件夹存在情况下，ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\File System下找到。
　　（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\文件系统”）
　　使用首选项，你可以管理文件和文件夹。对于文件，你可以通过从源计算机复制的方法来创建、更新、替换或删除一个文件或文件夹。对于文件夹，还可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。
　　文件和文件夹首选项可以应用于任何安装了组策略首选项客户端扩展的计算机上。对于文件，你可以在Computer|User Configuration\Prefernces\Windows Settings\Files下找到。对于文件夹，你可以在Computer|User Configuration\Prefernces\Windows Settings\Folders下找到。
　　（注：中文版对应的位置分别是“计算机|用户配置\首选项\Windows设置\文件”和“计算机|用户配置\首选项\Windows设置\文件夹”）
　　小技巧：组策略还提供了可用于.ini 配置文件和快捷方式的首选项。用于.ini文件的首选项仅限于修改.ini文件中特定分支的特定属性值。快捷方式首选项可用于创建文件、文件夹、URL以及在特定Shell对象(例如桌面)的快捷方式。
　　所以，最佳方案是同时使用文件和文件夹的策略和首选项。你可以用首选项来创建一个文件或文件夹，并通过策略对刚创建的文件或文件夹设置ACL。此外，对于文件和文件夹，应该选择“只应用一次而不再重新应用”。否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。
　　Internet Explorer
　　组策略为Internet Explorer提供了非常多的策略和首选项设置，多到连不少专家都常常为哪个设置能做什么而感到困惑。下面这些是需要被关注的关键：