文/傲意工作室 出處：電腦報

　　一、什么是組策略

　　一）組策略有什么用?

　　說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫，隨著Windows功能的越來越豐富，注冊表里的配置項(xiàng)目也越來越多。很多配置都是 可以自定義設(shè)置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計算機(jī)的目的。

　　簡單點(diǎn)說，組策略就是修改注冊表中的配置。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強(qiáng)大。

　　二）組策略的版本

　　大部分Windows 9X/NT用戶可能聽過“系統(tǒng)策略”的概念，而我們現(xiàn)在大部分聽到的則是“組策略”這個名字。其實(shí)組策略是系統(tǒng)策略的更高級擴(kuò)展，它是由Windows 9X/NT的“系統(tǒng)策略”發(fā)展而來的，具有更多的管理模板和更靈活的設(shè)置對象及更多的功能，目前主要應(yīng)用于Windows 2000/XP/2003系統(tǒng)。

　　早期系統(tǒng)策略的運(yùn)行機(jī)制是通過策略管理模板，定義特定的.POL（通常是Config.pol）文件。當(dāng)用戶登錄的時候，它會重寫注冊表中的設(shè)置值。當(dāng)然，系統(tǒng)策略編輯器也支持對當(dāng)前注冊表的修改，另外也支持連接網(wǎng)絡(luò)計算機(jī)并對其注冊表進(jìn)行設(shè)置。而組策略及其工具，則是對當(dāng)前注冊表進(jìn)行直接修改。顯然，Windows 2000/XP/2003系統(tǒng)的網(wǎng)絡(luò)功能是其最大的特色之處，其網(wǎng)絡(luò)功能自然是不可少的，因此組策略工具還可以打開網(wǎng)絡(luò)上的計算機(jī)進(jìn)行配置，甚至可以打開某個Active Directory 對象（即站點(diǎn)、域或組織單位）并對它進(jìn)行設(shè)置。這是以前“系統(tǒng)策略編輯器”工具無法做到的。

　　無論是系統(tǒng)策略還是組策略，它們的基本原理都是修改注冊表中相應(yīng)的配置項(xiàng)目，從而達(dá)到配置計算機(jī)的目的，只是它們的一些運(yùn)行機(jī)制發(fā)生了變化和擴(kuò)展而已。

　　二、組策略中的管理模板

　　在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件，稱為“管理模板”，它們?yōu)榻M策略管理模板項(xiàng)目提供策略信息。

　　在Windows 9X系統(tǒng)中，默認(rèn)的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統(tǒng)文件夾的inf文件夾中，包含了默認(rèn)安裝下的4個模板文件，分別為：

　　1）System.adm：默認(rèn)情況下安裝在“組策略”中，用于系統(tǒng)設(shè)置。
　　2）Inetres.adm：默認(rèn)情況下安裝在“組策略”中；用于Internet Explorer策略設(shè)置。
　　3）Wmplayer.adm：用于Windows Media Player 設(shè)置。
　　4）Conf.adm：用于NetMeeting 設(shè)置。

　　在Windows 2000/XP/2003的組策略控制臺中，可以多次添加“策略模板”，而在Windows 9X下，則只允許當(dāng)前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制臺中使用如下：

　　首先運(yùn)行“組策略”程序，然后選擇“計算機(jī)配置”或者“用戶配置”下的“管理模板”，按下鼠標(biāo)右鍵，在彈出的菜單中選擇“添加/刪除模板”，則彈出如圖1所示的對話框。

　　圖 1

　　然后單擊“添加”按鈕，在彈出的對話框中選擇相應(yīng)的.adm文件。單擊“打開”按鈕，則在系統(tǒng)策略編輯器中打開選定的腳本文件，并等待用戶執(zhí)行。

　　返回到“組策略”編輯器主界面后，依次打開目錄“本地計算機(jī)策略→用戶配置→管理模板”，再點(diǎn)擊相應(yīng)的目錄樹，就會看到我們新添加的管理模板所產(chǎn)生的配置項(xiàng)目了（為了便于本文后面的實(shí)例大家能一起動手操作，建議添加除默認(rèn)模板文件的其它模板文件）。

　　再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關(guān)閉”，以便將當(dāng)前腳本關(guān)閉，然后再在“選項(xiàng)”菜單中選擇“模板”，則彈出如圖2所示的對話框。

　　圖 2

　　然后單擊“打開模板”按鈕，在彈出的對話框中選擇相應(yīng)的.adm文件并單擊“打開”按鈕，則在編輯器中打開選定的腳本文件并等待用戶執(zhí)行。

　　三、運(yùn)行組策略

　　（一）Windows 9X策略編輯器

　　按操作系統(tǒng)的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制臺，它在系統(tǒng)安裝時已經(jīng)默認(rèn)安裝上了；另外一種就是Windows 9X的系統(tǒng)策略編輯器，它在系統(tǒng)安裝時并不被安裝，程序文件在Windows安裝盤上的 ools eskit etadminpoledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。

　　如果是Windows 9X系統(tǒng)通過下面的方法，則可以進(jìn)行正規(guī)的安裝過程。

　　1．在控制面板中，雙擊“添加/刪除程序”圖標(biāo)，單擊“安裝Windows”標(biāo)簽，然后單擊“從磁盤安裝”選項(xiàng)。
　　2．在從磁盤安裝對話框中，單擊“瀏覽”按鈕并指定Windows 9X安裝光盤的tools eskit etadminpoledit目錄。
　　3．單擊“確認(rèn)”按鈕，然后再次單擊對話框中的“確認(rèn)”按鈕。
　　4．在從磁盤安裝對話框中，選擇“系統(tǒng)策略編輯器”和“組策略”復(fù)選框，然后單擊“安裝”按鈕。

　　安裝完成后，單擊“運(yùn)行”命令項(xiàng)，輸入poledit，然后單擊“確認(rèn)”按鈕。

　　管理員可以以兩種不同的方式使用系統(tǒng)策略編輯器：注冊表方式和策略文件方式。

　　1．以注冊表方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊打開注冊表編輯器，然后雙擊相應(yīng)的本地用戶或本地計算機(jī)圖標(biāo)。這取決于要編輯注冊表中的哪個部分。在使用注冊表方式時，可以直接編輯本地或遠(yuǎn)程計算機(jī)的注冊表。這樣，所做的改變將立即反映出來。在做出修改之后，必須關(guān)機(jī)并重新啟動計算機(jī)以使所做修改生效。

　　2．以策略文件方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊新建或打開來打開一個策略文件。在使用策略文件方式時，可以創(chuàng)建和修改用于其它計算機(jī)的系統(tǒng)策略文件（POL），在這種方式下，注冊表被間接地修改。這項(xiàng)改變將在用戶登錄時策略文件被下載后反映出來。當(dāng)以策略文件方式編輯設(shè)置值時，單擊一個注冊表選項(xiàng)，可以看到三種可能狀態(tài)之一：選中、清除、變灰。每當(dāng)選擇一個選項(xiàng)時，將會循環(huán)顯示下一個可能的狀態(tài)，這與選擇一個標(biāo)準(zhǔn)的復(fù)選框不同。標(biāo)準(zhǔn)的復(fù)選框只有選中或清除兩個選項(xiàng)。

　　如果一個設(shè)置值需要附加信息，那么缺省用戶屬性對話框的底部將出現(xiàn)一個編輯控制。通常，如果選中了一個策略，而又不想強(qiáng)制使用它，應(yīng)當(dāng)清除該復(fù)選框來取消該策略。

　　（二）Windows 2000/XP/2003組策略控制臺

　　如果是Windows 2000/XP/2003系統(tǒng)，那么系統(tǒng)默認(rèn)已經(jīng)安裝了組策略程序，在“開始”菜單中，單擊“運(yùn)行”命令項(xiàng)，輸入gpedit.msc并確定，即可運(yùn)行程序（界面如圖4所示）。