組策略首選項
組策略首選項是將首選項設置傳遞到運行 Microsoft Windows 桌面和服務器操作系統的加入域的計算機的組策略客戶端擴展的集合。 首選項設置是部署到台式機和服務器的管理配置選擇。 首選項設置不同於策略設置,因為用戶可以選擇要更改管理配置。 策略設置以管理方式強制實施限制用戶選擇的設置。
組策略首選項將分發給使用組策略的加入域的計算機。 組策略的靈活性使其能夠將不透明的配置數據傳遞到運行 Windows 的加入域的計算機。 不透明的數據將被傳遞到哪個點不透明的數據才會變為相關因為客戶端擴展理解數據組策略客戶端擴展。
本文檔介紹的組策略驅動器映射和打印機客戶端擴展插件如何處理其配置數據。 了解這一點,管理員可以更有效設計和部署組策略驅動器映射和打印機在其環境中的項。 和本技術參考中提供的信息使 IT 專業人員進行故障排除組策略驅動器映射和打印機的處理。
組策略是使您能夠保護計算機和用戶設置的 Windows Server 內包含的管理技術。 保護這些設置可確保用戶一個常見的計算環境並且通過限制對操作系統產生負面影響的無意或有意配置降低總擁有成本。
組策略對象 (GPO) 是兩個組件、 組策略容器和組策略模板組成一個邏輯對象。 Windows 將兩個對象存儲在域中的域控制器上。 組策略容器對象存儲在 Active Directory 的域分區中。 組策略模板的域中的每個域控制器是系統卷 (SYSVOL) 上存儲文件和文件夾的集合。 Windows 將復制到域中的所有域控制器的容器和模板。 Active Directory 復制復制組策略容器時文件復制服務 (FRS) 或分布式文件系統復制 (DFSR) 服務將在 SYSVOL 上的數據復制。
組策略容器和模板組合在一起 ;使被稱為組策略對象的邏輯對象。 每個組策略對象包含的配置的兩個類: 用戶和計算機。 計算機配置設置會影響作為整體,而不考慮在用戶登錄計算機。 用戶配置設置會影響當前登錄的用戶,並與每個用戶可能會有所不同。 計算機設置的一些示例包括電源管理、 用戶權限和防火牆設置。 用戶設置的示例包括 Internet Explorer、 顯示設置,以及文件夾重定向。
組策略對象和它們的設置應用於計算機和用戶鏈接到的。 您可以將 Gpo 鏈接到 Active Directory 站點、 域、 組織單位或嵌套的組織單位。 組策略對象分開鏈接到的容器。 這種分離使您能夠將單個 GPO 鏈接到多個容器。 將 Gpo 鏈接到許多容器使單個 GPO 將應用於用戶或多個容器中的計算機。 這將定義該 GPO 的作用域。 計算機配置適用於容器或嵌套的容器內的計算機。 用戶配置適用於以相同的方式的用戶。
策略設置在用戶登錄期間應用到在計算機啟動時的計算機和用戶。 Windows Server 2012 和 Windows 8 包括組策略服務。 在計算機啟動過程組策略服務 Active Directory 中查詢有關的作用域內 (鏈接) 的計算機對象的 Gpo 的列表。 再次重申,這包括:
-
計算機所在的站點
-
計算機在其中域
-
向其計算機是直接成員和上面父 OU 的任何其他組織單位的父組織單位。
組策略服務決定哪些 Gpo 將應用到計算機 (有很多方面與文件管理器的 Gpo 應用,這超出了本簡介的范圍是) 並將應用這些策略設置。 客戶端擴展 (Cse) 負責應用 Gpo 中包含的策略設置。 組策略客戶端擴展是從組策略服務負責從 GPO 中設置數據並將其應用到計算機或用戶讀取特定策略的單獨組件。 例如,組策略注冊表客戶端擴展從每個 GPO 中讀取注冊表策略設置數據並應用那些信息組織到注冊表。 安全 CSE 讀取並應用安全策略設置。 文件夾重定向 CSE 讀取並應用文件夾重定向策略設置。
組策略處理重復的計算機上的用戶登錄時。 組策略服務決定將應用於用戶的 Gpo 並應用用戶策略設置。
很重要扎實理解如何創建、 修改和將組策略對象鏈接到 Active Directory 中的容器。 組策略首選項作為組策略中使用的相同概念。 事實上,您管理組策略首選項相同的方式組策略的管理。 這是一項檢查組策略 ;它還沒有完成。 如果您不熟悉如何管理組策略或您需要一個全面的刷新器,您可以閱讀 Windows 組策略資源工具包。Windows Server 2008 和 Windows Vista (Microsoft Press 2008)。
組策略客戶端擴展是一個獨立的組件,它負責處理組策略基礎結構通過其傳遞的特定策略設置。 每個組策略客戶端擴展插件將數據保存在其中的格式可以是唯一的每個擴展插件。 並且,組策略基礎結構不知道這種格式,也不關心。 組策略的目的是將設置傳遞到其中的每個客戶端擴展應用來自多個組策略對象的策略設置的一部分的計算機。
為了幫助您了解組策略基礎結構和組策略之間的關系客戶端擴展-請考慮郵政承運人。 郵政承運人從各種來源收集信息並為您提供該信息。 郵政承運人並不知道哪些自身提供的信息。 信息可能是一個字母、 一張 DVD 或 CD 中包含照片。 郵政承運人只知道它們是將信息傳遞給一個特定的地址。
在這個比喻中,組策略服務是郵政承運人 — 它提供的信息不出任何知識的信息。 郵政承運人通過其傳遞的信息代表不同的策略設置。 組策略客戶端擴展表示接收信息的人員。 地址可以具有多個收件人。 每個收件人在預期的格式中接收他們自己的郵件。 組策略客戶端擴展讀取其各自的策略設置信息並執行基於操作的信息包含在策略設置中。
組策略應用程序是決定哪些 Windows 應用於用戶或計算機的組策略對象並將這些設置的過程。 了解組策略處理是關鍵規划和部署組策略設置。 誤解組策略處理是不需要和無法解釋的策略設置的最常見原因。
理解組策略處理的關鍵是作用域。 作用域是只應該應用到用戶或計算機根據其對象的位置在 Active Directory 中的所有組策略對象的集合。 創建作用域由鏈接與 Active Directory 中的特定位置的組策略對象。
理解組策略處理的關鍵是作用域。 作用域是只應該應用到用戶或計算機根據其對象的位置在 Active Directory 中的所有組策略對象的集合。 創建作用域由鏈接與 Active Directory 中的特定位置的組策略對象。
組策略提供了可以更改組策略對象的作用域的選項。 更改組策略對象的作用域會影響應用哪些策略設置,而那些不這樣做。 更改組策略使用的作用域處理順序,篩選,和鏈接選項。
組策略處理必須標識作用域到它應用策略設置。 作用域是只需為用戶或計算機對象駐留在 Active Directory 層次結構中的狀態。 若要發現的作用域的用戶或計算機對象的最簡單方法是查找相應的用戶或計算機的 Active Directory 中的可分辨的名稱。 對象的可分辨的名稱的目錄中提供的對象標識和在該目錄中的對象位置。 請考慮以下的可分辨的名稱。
CN=Kim Akers,OU=Human Resources, DC=corp,DC=contoso,DC=com
從這一點,組策略服務確定用戶對象、 包含該用戶對象的組織單位和用戶對象所在的域的名稱。
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
鏈接
了解組策略作用域需要知道從何處鏈接使它們適用於用戶或計算機的組策略對象。 若要啟用了組策略對象以將應用於用戶或計算機,您將其與關聯 Active Directory 中的特定位置。 將組策略對象與 Active Directory 中的對象相關聯稱為鏈接。
Active Directory 具有控制可以將鏈接組策略對象的規則。 您可以將組策略對象鏈接到 active Directory 對象包括:
-
站點對象
-
域對象
-
組織單位對象
對這些 Active Directory 對象的鏈接組策略對象是在部署組策略中具有戰略意義的。 這些是容器對象。 容器對象作為名稱所暗示的意味着它們可以包含其他對象中它們 — 它們表示的對象的目錄中的層次結構分組。 站點對象可以包含多個域中的計算機對象。 域對象可以包含多個組織單位、 計算機和用戶對象。 組織單位對象可以包含其他組織單位對象、 計算機和用戶。 讓我們再次看一下的可分辨名稱。
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
仔細觀察的可分辨名稱將顯示無法可能將組策略設置應用於用戶的每個容器對象。 CN = Jeff Low 是用戶對象名稱。 不能直接與用戶對象鏈接組策略。 但是,該名稱的剩余部分將顯示對象的位置。 從左到右,可以發現的工作是支持的每個容器對象適用於用戶的組策略。
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com DC=corp,DC=contoso,DC=com
這兩個位置表示組策略的作用域。 組策略服務從這些位置的目錄中的每個收集鏈接的組策略對象。 這表示用戶或計算機的作用域的組策略。
請注意 Windows 會收集的組策略對象列表的順序。 它開頭接近用戶的 OU,並釋放該目錄遍歷到離用戶,這就是通常的域對象最遠的對象。 通過將鏈接,必須在與用戶或計算機范圍內的組策略對象的列表。 但是,在列表中的不是每個 GPO 應適用於用戶或計算機。
安全篩選
組策略作用域是由於在 Active Directory 中的其對象的位置可能適用於用戶或計算機的所有組策略對象的列表。 安全篩選確定相應的用戶或計算機是否具有適當的權限要應用的組策略對象。 用戶或計算機必須具有讀取和應用組策略針對組策略服務要考慮的組策略對象應用到該用戶的權限。
組策略服務循環訪問確定如果用戶或計算機具有到 GPO 的適當權限的組策略對象的完整列表。 如果用戶或計算機具有的權限來應用 GPO,則組策略服務將移動的 GPO 到 Gpo 的篩選后列表。 它將繼續篩選直至到達列表末尾基於權限的每個組策略對象。 篩選的組策略對象列表包含的用戶或計算機的作用域內的所有 Gpo 和適用於用戶或基於權限的計算機。
WMI 篩選
WMI 篩選是確定應用於用戶或計算機的組策略對象的作用域的最后階段。
Windows Management Instrumentation (WMI) 是基於 Web 的企業管理 (WBEM) 的 Microsoft 實現。 WMI 使用通用信息模型 (CIM) 行業標准來表示系統、應用程序、網絡、設備和其他托管組件。
組策略提供了多個篩選器以控制所適用的組策略對象的范圍。 可以使用 WMI 來創建查詢以便詢問特定功能的計算機、 操作系統和其他托管的組件。 在查詢的窗體,您將創建類似邏輯表達式-其中結果將等於 true 或 false 的條件。 關聯,或將這些條件鏈接到組策略對象。 如果條件計算結果為 true,組策略對象將仍適用於用戶並保留在篩選后列表。 如果條件計算結果為 false,組策略服務從篩選列表中刪除的組策略對象。
WMI 篩選完成后,組策略服務具有的列表來篩選組策略對象。 此最終列表代表用戶或計算機中所有適用的組策略對象。 在內部,安全和 WMI 篩選在一個周期中發生。
處理順序
組策略具有特定的順序應用組策略對象。 因為組策略使用應用程序的順序來解決沖突的策略設置不同組策略對象鏈接到不同位置中在 Active Directory,了解應用組策略對象的順序很重要。
本地、 站點、 域和 OU
組策略服務適用本地組策略第一次,則組策略對象從站點中后, 跟組策略對象從域和組策略的組織單位中的對象。 如果要接收組策略設置,則組策略服務的目標的用戶或計算機應用組策略對象從最遠的 Ou 中從用戶到最接近的沿襲的沿襲到該用戶。 請考慮篩選適用的組策略對象的列表。
DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
請注意組策略對象的順序已更改的第一個列表。 這一重新排序的組策略過程中發生的安全和 WMI 篩選器處理。 組策略服務生成通過查找用戶或計算機對象和它就會引導至目錄樹中然后收集所有鏈接的 Gpo 的 Gpo 的第一個列表。 從這些應用,因為作為組策略服務將新發現的鏈接位置添加到列表底部的順序向后列出了這些 Gpo。 本部分說明為什么域位置在列表的底部。
但是,當篩選用於安全和 WMI 篩選器列表,則組策略服務從列表中,這是最接近的沿襲對用戶或計算機對象的 OU 頂部開始。 該服務通過將放置到篩選后列表通過篩選器的 Gpo 中創建一個新的列表 (篩選列表)。 該服務反轉的原始列表中,使列表頂部的域位置的順序。 最接近用戶的位置為列表的底部,組策略的順序將 Gpo 應用於用戶和計算機。
沖突解決
每個組策略對象包含相同數量的潛在的策略設置。 因此,很可能能夠在多個組策略對象中定義的相同的策略設置。 沖突發生時的相同的策略設置配置多個組策略對象中。 如相同的空間在路上競爭的兩部汽車 — 一次為准和其他丟失。 組策略通過使用一種稱為最后一個寫入者勝出方法來處理沖突。 最后一個寫入者勝出通過聲明作為組策略將上一次寫入的設置的主導設置解決沖突。 因此,包含上次應用的沖突策略設置的組策略對象是勝過所有其他設置的設置。
本文檔的處理順序節介紹了在本地、 站點、 域和組織單位的順序應用組策略對象。 基於此處理層次結構:
-
組策略對象鏈接到 Active Directory 站點中的策略設置來解決策略設置的本地組策略對象和組策略對象鏈接到 Active Directory 站點之間的沖突。
-
在 Gpo 鏈接到域中的策略設置來解決組策略對象鏈接到 Active Directory 站點和 Gpo 鏈接到 Active Directory 域之間的策略設置沖突。
-
在 Gpo 鏈接到組織單位中的策略設置來解決之間鏈接到 Active Directory 域的組策略對象和 Gpo 鏈接到組織單位的策略設置沖突。
-
在 Gpo 鏈接到子組織單位中的策略設置來解決之間鏈接到子組織單位的組策略對象和 Gpo 鏈接到父組織單位的策略設置沖突。
在同一位置鏈接的 Gpo 之間的沖突解決方法
組策略使您能夠鏈接多個組策略對象在每個站點、 域和組織單位的目錄中的位置。 到目前為止,沖突解決方法只能標識之間存在沖突的策略設置在 Active Directory 中的兩個不同位置鏈接的分辨率。 在同一位置鏈接對象中組策略沖突的策略設置如何呢?
組策略將繼續使用上一次寫入者勝出方法來解決組策略對象鏈接為 Active Directory 中的同一位置之間的策略設置沖突。 了解組策略管理控制台 (GPMC) 鏈接到 Active Directory 中的位置的組策略對象如何解釋在 Active Directory 中的相同位置的組策略對象鏈接的處理順序。
GPLink 特性
支持鏈接、 Active Directory 站點、 域和組織單位的組策略的位置這樣做,因為每個對象具有 GPLink 屬性。 GPLink 特性是接受字符串數據類型的值的單值屬性。 盡管 Active Directory 架構強制 GPLink 特性的單值性質,組策略將使用該屬性作為一個多值屬性。 GPMC 將使用以下格式的 GPLink 屬性值。
[distinguishedNameOfGroupPolicyContainer;linkOPtions][…][…]
DistingushedNameOfGroupPolicyContainer 令牌表示組策略容器的可分辨的的名稱。 組策略對象是信息的單個邏輯對象的兩部分組成。 存儲在文件系統上信息的組件是組策略模板。 剩余的組件中,組策略容器是存在於 Active Directory 的域分區中的 Active Directory 對象中的對象。 作為上述,目錄對象的可分辨的名稱提供了對象的名稱和在目錄中的位置。
LinkOptions 令牌是一個整數值,定義與組策略對象相關聯的鏈接選項。 目前,您可以啟用或禁用鏈接的組策略對象。 此外,您可強制執行配置該鏈接。 LinkOptions 值是一個位值配置其中組合值而異。
Enabled0x0 Disabled 0x1 Enforced0x2
禁用組策略對象的鏈接可防止組策略服務的目標的用戶或計算機的作用域內的 Gpo 列表中包括該 GPO。 DistinguishedNameOfGroupPolicyContainer linkOptions 標記括在方括號 ([]) 和是由分號 (;) 分隔。 這表示單獨鏈接的組策略對象。 將另一個組策略對象鏈接到的位置插入一個新的 distingushedNameOfGroupPolicyContainer 和現有的組合 ; 之前的 linkOptions 組合它不到末尾添加新的組合。 鏈接的模式繼續值 ; 開頭插入新鏈接的 Gpo通過將現有的值移到右側。
組策略服務讀取此長字符串作為從左到右的值的列表。 在值中的第一個 GPO 鏈接項是第一個要應用在此位置。 在值中的下一項之后應用。 過程持續進行的值中的最后一個 GPO 適用。
本質上是組策略將分配的每個 GPO 優先順序 (基於它讀取列表的順序從左到右。 因此,在值中的第一個 GPO 的已鏈接組策略對象列表中具有最低的優先級。 在值下一步的 GPO 具有優先權要高於以前 GPO 因為它在以前的 GPO ; 后應用其策略設置贏得之間兩個 Gpo 的任何策略設置沖突。 遵循每個 GPO 具有優先權要高於在它之前在鏈接順序中的組策略對象。 在值中的最后一個 GPO 具有最高優先級因為它是組策略服務將應用的最后一個組策略對象。
理解這一點的最好辦法是將一長串視為的 Gpo 列表。 采取的第一個 GPO (左側大多數 GPO) 的值並將其置於列表。 采取的下一步鏈接 GPO 列出並放置在 (否則會導致所有其他人可以向下移動列表中由一個) 的列表頂部。 繼續此過程直到最后一個 GPO 是在列表頂部。 此最終的 GPO 鏈接的項列表是優先順序,這意味着列表從底部到頂部處理。
當在優先順序列表中進行查看,很容易地發現在列表中較高的 Gpo 具有更多的優先級高於 Gpo 列表中較低的層。 因此,在列表中較低的 Gpo 會丟失策略設置沖突並在列表中較高的 Gpo 贏得策略設置沖突。
鏈接選項
如前面所述的選項作為鏈接組策略啟用、 禁用,並且強制執行。 啟用和禁用選項是直觀的了解。 何時啟用的鏈接被視為在目標的用戶或計算機的作用域的組策略。 一個已禁用鏈接行為就像從未鏈接組策略對象。
強制
已強制執行鏈接選項是所有規則的例外。 已強制執行選項可確保從鏈接的 GPO 設置始終優先遵循而不考慮任何其他組策略對象,該對象包含與這些鏈接的 GPO 可能會發生沖突的策略設置的沖突。 GPMC 直觀地通過將一把鎖添加到現有的鏈接的策略圖標表示已強制實施的組策略鏈接。 始終應用從強制鏈接的組策略設置后,即使的組織單位有啟用阻塞策略繼承
阻塞策略繼承
有關組策略處理順序的最后一項是阻塞策略繼承,或只稱為組策略管理控制台中阻止繼承。 每個域和組織單位中 Active Directory 對象包含GPOptions屬性。 此設置可阻止組策略設置更高版本鏈接應用到用戶和通常是在容器中的處理順序較低級別中的計算機的處理順序。
例如,鏈接到域的策略設置適用於計算機和整個域,而不考慮其父組織單位內的用戶。 但是,您可以使用 GPMC 來阻止繼承在域或組織單位以防止正常的組策略設置應用到用戶和該容器中的計算機上。 阻止策略繼承在域上的會阻止來自 Gpo 將應用於域從鏈接到 Active Directory 站點的組策略設置。 阻塞策略繼承的組織單位可以防止正常 Gpo 將應用於組織單位從鏈接到站點和域組策略設置。
阻塞策略繼承不會阻止從強制鏈接的組策略對象的組策略設置將應用於用戶和計算機。 從已強制實施的鏈接的組策略設置應用與在域和組織單位對象上的阻止策略繼承狀態無關。
組策略首選項擴展了組策略。 首選項不是組策略設置。 Windows 將這兩個設置存儲在注冊表中 ;然而,策略設置具有如下優點首選項 — — 它們通常重寫首選項。
您可以配置 Windows 中使用的用戶界面。 用戶界面將您提供了選擇 ;選擇您喜歡; 的選項單擊確定或者關閉該對話框。 Windows 然后將您的選擇保存到注冊表以便它可以更高版本回想一下這些設置。 由用戶可配置的設置被稱為首選項 (請注意小寫"p")。 映射的共享的文件夾或選擇默認的主頁是舉例說明如何首選項。 當設置主頁上使用 Internet Explorer 中,你可以關閉 web 瀏覽器並且再次打開它和它將記住您的主頁。 從首選項策略設置不同,因為會對用戶或計算機強制執行策略設置。 策略可防止用戶更改其設置。 通常情況下,用戶配置首選項。
組策略首選項使您能夠在不限制用戶從選擇不同的配置部署到計算機和用戶的所需的配置。 請務必記住雖然用戶可以更改配置,組策略首選項是組策略客戶端擴展。 使用組策略; 刷新組策略首選項因此,組策略將覆蓋具有在組策略首選項中配置的值由用戶更改任何首選項設置。 替換已配置的用戶首選項與其中一個使用組策略首選項配置設置是無法與組策略相同。 True 的組策略設置強制執行設置和禁止用戶更改的設置。 用戶可以輕松地更改直到下次刷新組策略 (它返回首選項設置回在組策略首選項中配置的值) 由組策略首選項啟用的首選項值。
組策略首選項是組策略客戶端擴展。 還有 20 組合起來便構成組策略首選項的擴展。 這些擴展插件包括
| 客戶端擴展 |
說明 |
| 組策略環境 |
創建、 修改或刪除環境變量。 |
| 組策略的本地用戶和組 |
創建、修改或刪除本地用戶和組。 |
| 組策略設備設置 |
啟用或禁用硬件設備或設備類。 |
| 組策略的網絡選項 |
創建、 修改或刪除虛擬專用網絡 (VPN) 或撥號網絡 (DUN) 連接。 |
| 組策略驅動器映射 |
創建、 修改或刪除映射的驅動器和配置所有驅動器的可見性。 |
| 組策略文件夾 |
創建、 修改或刪除文件夾。 |
| 組策略的網絡共享 |
創建、 修改或刪除網絡共享 |
| 組策略文件 |
復制、 修改的屬性,以及替換或刪除文件。 |
| 組策略的數據源 |
創建、修改或刪除開放式數據庫連接 (ODBC) 數據源名稱。 |
| 組策略 INI 文件 |
添加、 替換或刪除的節或配置設置 (.ini) 或安裝信息 (.inf) 文件中的屬性。 |
| 組策略文件夾選項 |
創建、 修改或刪除文件夾。 |
| 組策略計划任務 |
創建、修改或刪除計划的或即時的任務。 |
| 組策略注冊表 |
復制注冊表設置並將其應用於其他計算機。 創建、 替換或刪除注冊表設置。 |
| 組策略打印機 |
創建、修改或刪除 TCP/IP、共享的和本地的打印機連接。 |
| 組策略快捷方式 |
創建、 修改或刪除快捷方式。 |
| 組策略的 Internet 設置 |
修改用戶可配置的 Internet 設置 |
| 組策略開始菜單設置 |
修改啟動菜單選項。(不適用於 Windows 8 和 Windows Server 2012) |
| 組策略區域選項 |
修改區域選項。 |
| 組策略電源選項 |
修改電源選項,創建、修改或刪除電源方案。 |
| 組策略應用程序 |
為應用程序配置設置。 |
組策略首選項的大多數項共享的常見的配置,使您能夠控制組策略首選項處理的每個已配置的首選項的作用域。
如果錯誤發生在該項上,停止處理此擴展插件中的項
每個首選項擴展插件可以包含一個或多個首選項。 默認情況下,失敗的首項不會阻止同一擴展中的其他首選項處理。
如果在該項上出錯時停止處理此擴展插件中的項選項時,失敗的首選項會擴展插件內的剩余首選項阻止從處理。 此更改行為限於主持的組策略對象 (GPO) 和客戶端擴展。 它不會擴展到其他 Gpo。
請務必了解組策略首選項擴展處理來自列表的頂部的首項和工作到底部按照自己的方式。 首選項擴展只停止處理遵循失敗的首選項首選項 (這些項的下面失敗顯示首項在列表中的顯示)。
登錄的用戶的安全上下文 (用戶策略選項) 中運行
有兩個組策略應用應用用戶首選項的安全上下文: 系統帳戶和登錄的用戶。
默認情況下,組策略處理使用系統帳戶的安全上下文的用戶首選項項目。 在此安全上下文中,該首選項擴展將被限制為環境變量和系統資源僅供該計算機。
如果登錄的用戶的安全上下文中運行選擇選項,將更改在其下處理首選項的安全上下文。 該首選項擴展處理的安全上下文中的登錄的用戶的首選項。 這允許訪問資源作為用戶而不是計算機首選項擴展。 當使用的驅動器映射或其他計算機可能不具有對資源的權限的首選項或使用環境變量時非常重要。 許多環境變量的值不同之外登錄的用戶的安全上下文中計算時。
組策略首選項擴展需要在用戶的安全上下文如驅動器映射和打印機中處理自動切換到該用戶的上下文並不需要您來調整此設置。
當不再應用時刪除該項目
組策略將策略設置和首選項應用於用戶和計算機中。 向 Active Directory 站點、 域或組織單位中決定哪些用戶和計算機接收這些項目通過將一個或多個組策略對象 (Gpo) 鏈接。 這些容器中的用戶和計算機對象接收策略設置和首選項在鏈接的 Gpo 中定義,因為它們是在 GPO 的作用域內。
與策略設置不同的組策略服務不會刪除首選項設置,主持的 GPO 時不在用戶或計算機范圍。
如果不再應用時刪除該項目選項時,將更改此行為。 選擇此選項后,該首選項擴展決定應不將首選項應用於目標的用戶或計算機 (超出范圍)。 如果該首選項擴展確定首選項超出作用域是,它將刪除與首選項關聯的設置。
選擇此設置更改首選項操作保存到 '替換。 在組策略應用期間首選項擴展重新創建 (刪除並創建) 首選項的結果。 該首選項超出作用域的用戶或計算機時,該首選項的結果是刪除,但不是會創建。 可以使首選項超出作用域通過使用項目級目標或更高級別的如 WMI 和安全組篩選器的組策略篩選器。
不再應用時刪除該項目選項不可用時將首選項操作設置為刪除。
應用后並不會重新應用
首選項應用組策略刷新時。
默認情況下,每次組策略刷新的時都重寫首選項的結果。 這可確保首項結果是與你在組策略對象中的配置保持一致。
如果應用后並不會重新應用選項時,它更改此行為,因此該首選項擴展將首選項的結果應用於用戶或計算機僅一次。 當您不希望重新應用將首選項的結果時此選項很有用。
組策略提供篩選器以控制哪些策略設置和首選項應用於用戶和計算機。 首選項提供篩選稱為目標添加的的層。 項目級目標允許您控制是否將首選項應用於的用戶或計算機組。
使用項目級目標來更改單個首選項項目的范圍,以便它們僅應用於所選的用戶或計算機。 可以在單個組策略對象 (GPO),包括多個首選項 — 每個自定義的所選的用戶或計算機,並且若要設置僅適用於相關用戶或計算機的每個目標。
每個目標項會導致值為 true 或 false。 您可以將多個目標項應用於一個首選項並選擇邏輯運算 (和或 OR) 通過相組合與前一次每個目標項。 如果所有目標項將首選項的組合的結果為 false,不到用戶或計算機應用該首選項中的設置。 使用目標集合,還可以創建帶括號的表達式。
電池存在
電池存在目標項目才允許首選項僅當一個或多個電池時在處理計算機中存在要應用於計算機或用戶。 如果選擇不是,這樣只有處理計算機沒有一個或多個電池存在才能應用該首選項。
如果不間斷電源 (UPS) 連接到在處理計算機,電池存在目標項目可能會檢測到 UPS 並將其標識為電池。
計算機名稱
計算機名稱目標項允許將首選項僅當計算機的名稱匹配目標項中指定的計算機名稱時要應用於計算機或用戶。 如果選擇不是,它允許計算機的名稱與目標項中指定的計算機名稱不匹配時才應用該首選項。
CPU 速度
CPU 速度目標項允許將首選項應用於計算機或用戶只有在處理計算機的 CPU 速度大於或等於目標項中指定的值。 如果選擇不是,這樣只有處理計算機的 CPU 速度小於或等於目標項中指定的值才能應用該首選項。
日期匹配
日期匹配目標項允許將首選項僅當一天或日期匹配目標項中指定要應用於計算機或用戶。 如果選擇不是,它允許僅當一天或日期不匹配目標項中指定要應用該首選項。
撥號連接
撥號連接目標項允許將首選項應用於用戶僅當連接目標項中指定的類型的網絡連接。 如果選擇不是,它允許僅當連接目標項中指定的類型的網絡連接沒有要應用該首選項。
撥號連接目標項檢測是否存在的類型的網絡連接,無論用戶是否登錄通過該類型的連接。
磁盤空間
磁盤空間目標項允許將首選項應用於計算機或用戶只有在處理計算機的可用磁盤空間是大於或等於目標項中指定的數量。 如果選擇不是,這樣只有處理計算機的可用磁盤空間小於或等於目標項中所指定的量才能應用該首選項。
域
域目標項允許將首選項只有在用戶登錄到或者計算機是域或在目標項中指定的工作組的成員才能應用於計算機或用戶。 如果選擇不是,這樣只有用戶沒有登錄到或者計算機不是域或在目標項中指定的工作組的成員才能應用該首選項。
環境變量
環境變量目標項允許將首選項應用於計算機或用戶僅當在環境變量與目標項中指定的值相等。 如果選擇不是,它允許僅當在環境變量與目標項中指定的值是否不相等或環境變量不存在要應用該首選項。
如果要使用一組復雜的目標項來限制多個首選項的作用域,可使用環境變量簡化配置。 例如,創建一個環境變量首選項,此首選項將生成值為 1 的新環境變量,然后對此首選項應用目標項。 若要對其他首選項應用相同的目標,對這些首選項添加一個環境變量目標項,然后對它進行配置,要求使用環境變量首選項創建的變量的值為 1。
文件匹配
文件匹配目標項允許將首選項僅當目標項中指定的文件夾的文件存在,或在目標項目中僅當文件已存在並且是在范圍內的版本指定要應用於計算機或用戶。 如果選擇不是,它允許僅當目標項中指定的文件夾的文件不存在,或只有文件的版本不是目標項中指定的范圍之內要應用該首選項。
IP 地址匹配
IP 地址范圍目標項目允許將首選項應用於計算機或用戶僅當在處理計算機的 IP 地址是目標項中指定的范圍之內。 如果選擇不是,這樣只有處理計算機的 IP 地址不是目標項中指定的范圍之內要應用該首選項。
Language
語言目標項才允許首選項應用於計算機或用戶僅當目標項中指定的區域設置上已安裝在處理計算機。 其他選項允許您限制用戶或計算機的區域設置的目標。 如果選擇不是,這樣只有處理計算機的區域設置與目標項中指定的區域設置不匹配才能應用該首選項。
區域設置由一種語言的以及在某些情況下,在其中講述語言或字母表使用一個地理區域組成。 例如,法語 (加拿大) 是由語言法語和加拿大的地理區域組成的區域設置。
LDAP 查詢
LDAP 查詢目標項允許將首選項應用於計算機或用戶僅當 LDAP 查詢返回目標項中指定的屬性的值。 如果選擇不是,這樣只有 LDAP 查詢不返回目標項中指定的屬性的值才能應用該首選項。
MAC 地址范圍
MAC 地址范圍目標項目允許將首選項僅當目標項中指定的范圍之內的任何處理計算機的 MAC 地址是要應用於計算機或用戶。 如果選擇不是,這樣只有處理計算機的 MAC 地址的任何不是目標項中指定的范圍之內才能應用該首選項。
范圍開始點和結束點都包含在內。 可以通過在兩個框中鍵入相同的值來指定一個地址。
MSI 查詢
MSI 查詢目標項允許將首選項應用於計算機或用戶只有 MSI 的某些方面在處理計算機上安裝產品、 更新或組件與目標項中指定的條件相匹配。 如果選擇不是,這樣如果安裝的 MSI 產品、 更新或組件在處理計算機的某些方面不匹配指定的目標中的指定的標准項才能應用該首選項。
操作系統
操作系統目標項允許將首選項只有在處理計算機的操作系統的產品名稱、 版本、 edition 或計算機角色與匹配目標項中所指定要應用於計算機或用戶。 如果選擇不是,它允許操作系統的產品名稱、 版本、 edition 或計算機角色與目標項中指定的那些都不匹配時才應用該首選項。
組織單位
組織單位目標項才允許將首選項應用於計算機或用戶僅當用戶或計算機是目標項中指定的組織單位 (OU) 的成員。 如果選擇不是,它允許僅當用戶或計算機不是要應用該首選項在目標項中指定的 OU 的成員。
PCMCIA 存在
才能通過 PCMCIA 存在目標項目才允許首選項應用於計算機或用戶在處理計算機具有至少一個 PCMCIA 插槽時才存在。 如果選擇不是,這樣只有處理計算機沒有任何 PCMCIA 插槽才能應用該首選項。
PCMCIA 插槽被視為已安裝驅動程序插槽和插槽正常時存在。
便攜式計算機
便攜式計算機目標項才允許將首選項應用於計算機或用戶僅當在處理計算機標識為在處理計算機當前的硬件配置文件中的便攜式計算機或在處理計算機標識為便攜式計算機的插接狀態與目標項中指定。 當選擇時不是時,它允許僅當在處理計算機未標識為在處理計算機當前的硬件配置文件中的便攜式計算機或在處理計算機的插接狀態與目標項中指定的插接狀態要應用該首選項。
處理模式
處理模式目標項才允許將首選項應用於計算機或用戶僅當組策略處理模式下或在處理計算機的條件匹配時至少其中一個目標項中指定。 如果選擇不是,它允許僅當組策略處理模式下或在處理計算機的條件不匹配目標項中指定的任何要應用該首選項。
RAM
RAM 目標項目允許將首選項應用於計算機或用戶只有處理計算機中物理內存的總量是大於或等於目標項中指定的數量。 如果選擇不是,這樣只有處理計算機中物理內存的總量小於目標項中所指定的量才能應用該首選項。 提供單位為兆字節 (MB) 的物理內存的總量。 1 千兆字節 (GB) 的物理內存應該輸入 1024年。 4 千兆字節的物理內存應該輸入 4096。
注冊表匹配
注冊表匹配目標項允許將首選項應用於計算機或用戶僅當存在的注冊表項或在目標項中指定的值,如果注冊表值包含在該目標項目中指定的數據或注冊表值中的版本號是目標項中指定的范圍之內。 如果目標項才允許首選項並且目標項中選擇 Get 值數據,目標項將指定的注冊表值的值數據保存到目標項中指定的環境變量中。 如果選擇不是,它允許的注冊表項或在目標項中指定的值不存在,如果注冊表值不包含該目標項目中指定的數據或注冊表值中的版本號不是目標項中指定的范圍之內的情況下只有才能應用該首選項。
安全組
安全組目標項允許將首選項應用於計算機或用戶僅當過程計算機或用戶是指定在目標項目中並可以選擇僅當指定的組是過程計算機或用戶的主要組的組的成員。 如果選擇不是,這樣只有處理計算機或用戶不是指定在目標項目中並可以選擇僅當指定的組不是過程計算機或用戶的主要組的組的成員才能應用該首選項。
安全組
-
域組
-
本地域
-
全局組
-
通用組
-
-
本地組
-
本地組 (包括內置組)
-
熟知
-
站點
站點目標項目允許將首選項應用於計算機或用戶只有在處理計算機處於目標項中指定的 Active Directory 中的站點。 如果選擇不是,這樣只有處理計算機不在目標項中指定的 Active Directory 中的站點才能應用該首選項。
目標集合
應用於首選項的目標項被視為一種邏輯表達式。 目標集合中,可以創建在表達式中的括號分組。 您可以嵌套在另一個用於創建更復雜的邏輯表達式中的一個目標集合。
目標集合允許將首選項應用於計算機或用戶僅當指定的目標項集合生成值為 true。 如果選擇不是,它允許指定的目標項集合生成值為 false 的情況下只有才能應用該首選項。
終端會話
終端會話目標項才允許將首選項應用於用戶僅當處理用戶登錄到終端服務會話目標項中指定的設置。 如果選擇不是,它允許用戶未登錄到終端服務會話或用戶登錄到終端服務會話不在目標項目中指定的設置的情況下,才會應用該首選項。
時間范圍
時間范圍目標項目允許將首選項僅當目標項中指定的時間范圍之內的最終用戶計算機上的當前時間為要應用於計算機或用戶。 如果選擇不是,它允許最終用戶計算機上的當前時間不是目標項中指定的范圍之內的情況下只有才能應用該首選項。
用戶
用戶目標項允許將首選項應用於用戶僅當在處理用戶是目標項中指定的用戶。 如果選擇不是,這樣只有在處理用戶不是目標項中指定的用戶才能應用該首選項。
WMI 查詢
WMI 查詢目標項允許將首選項應用於計算機或用戶僅當在處理計算機評估 WMI 查詢為 true。 如果選擇不是,這樣只有在處理計算機評估 WMI 查詢為 false 才能應用該首選項。
更低版本,本文檔介紹了組策略處理。 組策略首選項客戶端擴展遵守這些相同的規則。 因此,鏈接層次結構、 安全和 WMI 篩選可以更改組策略對象配置了組策略首選項的作用域。 通過更改作用域,用戶和計算機可能或可能不會收到設置或首選項配置這些組策略對象中。
但是,組策略首選項客戶端擴展具有其自己的內部處理。 您可以配置要在單個的組策略對象內處理的單個組策略首選項擴展的一個或多個首選項。 例如,您可以配置單個 GPO 以包含在單個 GPO 的 10 個驅動器映射首選項項目。
在組策略處理過程的組策略基礎結構進行循環的組策略擴展的列表。 當它移到每個擴展插件時,它會共享擴展,以處理自己的組策略相關的部分的相關信息。 通過擴展共享的信息的關鍵組件包括包含更改的組策略對象的列表不再出現在與用戶或計算機的作用域中的組策略對象的列表。 此外,組策略基礎結構提供特定於此實例的組策略處理如如果網絡連接被視為慢速鏈接的信息。
組策略首選項擴展使用已更改和超出范圍組策略對象有關的信息來處理其策略設置。 組策略首選項客戶端擴展處理從列表的頂部到列表底部的順序的首選項。
處理每個首選項的結果根據在該首選項中配置的操作會有所不同。 此外,項目級別導向可以防止首選項應用於用戶或計算機。 組策略首選項客戶端擴展應用列表中的每個項直到到達列表中,或由於常見的配置設置如退出停止處理項目在此擴展中的出錯時對此項或應用一次並不會重新應用。 一旦的首選項擴展將應用在列表中的所有首選項,但它會將控制權返回給組策略服務。