在windows 系統(tǒng)中組策略的功能強(qiáng)大，這是系統(tǒng)管理員眾所周知的事情。而本文將幫助您對(duì)WindowsVista中提供的新功能和更新功能進(jìn)行排序，并提供一些最佳操作來(lái)幫助您部署組策略。

隨著Windows(R)Vista(TM)的引入，現(xiàn)在可以使用組策略集中管理比Microsoft(R)WindowsServer(TM)2003中所能夠處理的更多功能和組件行為。組策略設(shè)置的數(shù)量已從WindowsServer2003ServicePack1中的大約1,800個(gè)增加到WindowsVista和WindowsServer?2008中的大約2,500個(gè)。這樣便提供了700多個(gè)新策略來(lái)幫助您管理桌面、安全和運(yùn)行網(wǎng)絡(luò)的所有其他方面。

組策略簡(jiǎn)介

由于使用組策略可以集中進(jìn)行桌面管理，因此能夠提高工作效率。集中管理桌面可以降低總擁有成本(TCO)。在衡量分布式計(jì)算機(jī)環(huán)境中的TCO時(shí)，最終用戶工作效率低下是主要成本之一。以下各項(xiàng)會(huì)造成最終用戶工作效率低下：

用戶錯(cuò)誤：例如，修改系統(tǒng)文件造成計(jì)算機(jī)無(wú)法操作。

復(fù)雜性：桌面上不重要的應(yīng)用程序和功能讓一些用戶感到困惑或者需要其他培訓(xùn)。

未經(jīng)批準(zhǔn)的應(yīng)用程序：通過電子郵件傳遞的應(yīng)用程序、下載的應(yīng)用程序或從可移動(dòng)介質(zhì)傳輸?shù)膽?yīng)用程序都可能會(huì)威脅公司網(wǎng)絡(luò)。

組策略有助于提高工作效率，這是因?yàn)榭梢允褂媒M策略為用戶和計(jì)算機(jī)定義策略設(shè)置和允許的操作。組合這些策略設(shè)置可以創(chuàng)建特定于用戶工作職責(zé)和體驗(yàn)級(jí)別的桌面。

組策略不但應(yīng)用于用戶和客戶端計(jì)算機(jī)，而且應(yīng)用于成員服務(wù)器、域控制器和管理范圍內(nèi)的任何其他MicrosoftWindows計(jì)算機(jī)。默認(rèn)情況下，應(yīng)用于域的組策略（即在域級(jí)別應(yīng)用，也就是ActiveDirectory用戶和計(jì)算機(jī)根目錄的上一級(jí)別）會(huì)影響域中的所有計(jì)算機(jī)和用戶。

ActiveDirectory用戶和計(jì)算機(jī)還提供了內(nèi)置的域控制器組織單位。如果在該組織單位中保存了域控制器帳戶，則可以使用組策略對(duì)象默認(rèn)域控制器策略從其他計(jì)算機(jī)單獨(dú)管理域控制器。組策略在WindowsServer2003和WindowsXP建立的基礎(chǔ)上進(jìn)行了擴(kuò)展和改進(jìn)，涵蓋了更多的策略設(shè)置和擴(kuò)展、更好的網(wǎng)絡(luò)感知和可靠性以及更便捷的管理。

定義組策略

可以使用組策略通過創(chuàng)建組策略設(shè)置為用戶和計(jì)算機(jī)組定義特定的配置。這些設(shè)置通過組策略對(duì)象編輯器（以前稱為GPedit）指定并包含在組策略對(duì)象(GPO)中，該對(duì)象進(jìn)而鏈接到ActiveDirectory容器，如站點(diǎn)、域或組織單位。這樣，組策略設(shè)置將應(yīng)用于這些ActiveDirectory容器中的用戶和計(jì)算機(jī)?？梢耘渲靡淮斡脩舻墓ぷ鳝h(huán)境，并依靠系統(tǒng)強(qiáng)制執(zhí)行定義的策略。

此方法可使組策略將策略設(shè)置應(yīng)用于這些ActiveDirectory容器中的用戶和計(jì)算機(jī)?？梢耘渲靡淮斡脩舻墓ぷ鳝h(huán)境，并依靠WindowsVista強(qiáng)制執(zhí)行定義的策略設(shè)置。

組策略功能

可以創(chuàng)建確定Windows行為和保護(hù)用戶和計(jì)算機(jī)安全的特定策略設(shè)置。以下各節(jié)描述了組策略的關(guān)鍵功能。

1.基于注冊(cè)表的策略設(shè)置

實(shí)現(xiàn)基于注冊(cè)表的策略設(shè)置是Windows中最常見的策略設(shè)置形式?？梢允褂媒M策略對(duì)象編輯器為應(yīng)用程序和Windows定義基于注冊(cè)表的策略設(shè)置。例如，在WindowsVista中，可以為所有受影響的用戶啟用一個(gè)將“運(yùn)行”命令添加到“開始”菜單的策略設(shè)置。

2.安全設(shè)置

組策略提供了一些選項(xiàng)，可以通過這些選項(xiàng)為GPO范圍內(nèi)的計(jì)算機(jī)和用戶設(shè)置安全選項(xiàng)?？梢詾楸镜赜?jì)算機(jī)、域和網(wǎng)絡(luò)指定安全設(shè)置。為提供附加保護(hù)，可以應(yīng)用軟件限制策略，防止用戶基于路徑、URL區(qū)域、哈?；虬l(fā)行者條件運(yùn)行文件?？梢酝ㄟ^為特定軟件創(chuàng)建規(guī)則來(lái)指定此默認(rèn)安全級(jí)別的例外。

3.軟件限制策略設(shè)置

為抵御運(yùn)行WindowsXP和WindowsServer2003的計(jì)算機(jī)上的病毒、有害應(yīng)用程序以及對(duì)計(jì)算機(jī)的攻擊，組策略提供了新的軟件限制策略設(shè)置?，F(xiàn)在可以使用策略設(shè)置標(biāo)識(shí)在域中運(yùn)行的軟件，并控制其執(zhí)行能力。

4.軟件分發(fā)

可以使用組策略集中管理應(yīng)用程序的安裝、更新和刪除。由于各組織可以部署和管理自定義桌面配置，因此可以花費(fèi)更少的金錢逐個(gè)支持用戶。軟件可以分配給用戶或計(jì)算機(jī)（強(qiáng)制軟件分發(fā)）或發(fā)布給用戶（允許用戶通過“控制面板”中的“添加或刪除程序”有選擇地安裝軟件）。用戶獲得了執(zhí)行工作所需的靈活性，不需要花時(shí)間自己配置系統(tǒng)。

可以使用組策略部署批準(zhǔn)的程序包。例如，在用戶無(wú)權(quán)安裝應(yīng)用程序的高托管桌面環(huán)境中，WindowsInstaller服務(wù)將代表用戶執(zhí)行安裝。此外，對(duì)于高托管工作站，WindowsInstaller集成通過組策略實(shí)現(xiàn)的軟件限制策略設(shè)置，將新安裝限制在一個(gè)可接受軟件列表中。

5.計(jì)算機(jī)和用戶腳本

可以使用腳本在計(jì)算機(jī)啟動(dòng)和關(guān)閉以及用戶登錄和注銷時(shí)自動(dòng)執(zhí)行任務(wù)。Windows腳本宿主支持的任何語(yǔ)言，包括VBScript、JavaScript、PERL和MS-DOS?樣式的批處理文件（.bat和.cmd）。

6.文件夾重定向

使用文件夾重定向可以將重要的用戶文件夾（如“文檔”文件夾和“用戶”文件夾）重定向到基于服務(wù)器的位置。文件夾重定向提供了對(duì)這些文件夾的集中管理，使您能夠代表用戶方便地備份和還原這些文件夾。

7.InternetExplorer維護(hù)

可以在支持組策略的計(jì)算機(jī)上管理和自定義MicrosoftInternetExplorer的配置。組策略對(duì)象編輯器包括InternetExplorer“維護(hù)”節(jié)點(diǎn)，使用該節(jié)點(diǎn)可以在運(yùn)行Windows2000和更高版本的計(jì)算機(jī)上編輯InternetExplorer安全區(qū)域、隱私設(shè)置和其他參數(shù)。

WindowsVista組策略中的新增功能

在WindowsVista中，組策略增強(qiáng)功能顯著改進(jìn)了組策略實(shí)現(xiàn)的計(jì)劃、分段、部署、管理、疑難解答和報(bào)告的能力。本節(jié)描述組策略中一些關(guān)鍵的新功能。

1.組策略管理控制臺(tái)集成

組策略管理控制臺(tái)(GPMC)是一種可編腳本的Microsoft管理控制臺(tái)(MMC)管理單元，為在企業(yè)中管理組策略提供單一的管理工具。最初，GPMC作為MicrosoftWindows?XP和WindowsServer2003的單獨(dú)下載組件提供?，F(xiàn)在，它直接集成到操作系統(tǒng)中，與組策略對(duì)象編輯器一起作為管理組策略的標(biāo)準(zhǔn)工具。

2.部署電源管理設(shè)置

所有電源管理設(shè)置都已啟用組策略，從而提供了潛在的巨大成本節(jié)約。通過組策略控制電源設(shè)置可讓組織節(jié)省大量資金。可以通過單個(gè)組策略設(shè)置修改特定的電源設(shè)置，或者構(gòu)建可使用組策略部署的自定義電源計(jì)劃。

3.限制設(shè)備訪問

可以集中限制在組織的計(jì)算機(jī)上安裝設(shè)備。現(xiàn)在，能夠創(chuàng)建策略設(shè)置以控制對(duì)設(shè)備（如USB設(shè)備、CD-RW驅(qū)動(dòng)器、DVD-RW驅(qū)動(dòng)器以及其他可移動(dòng)介質(zhì)）的訪問。

4.安全設(shè)置的改進(jìn)

Windows防火墻和IPsec組策略設(shè)置合并到了帶高級(jí)安全擴(kuò)展的Windows防火墻中，從而無(wú)需創(chuàng)建和維護(hù)重復(fù)的功能即可同時(shí)利用這兩種技術(shù)的優(yōu)勢(shì)。這些組合的Windows防火墻和IPsec策略設(shè)置所支持的某些方案是通過Internet傳輸?shù)姆?wù)器與服務(wù)器之間的安全通信，從而可根據(jù)信任關(guān)系或計(jì)算機(jī)的運(yùn)行狀況限制對(duì)域資源的訪問權(quán)限，并且會(huì)保護(hù)與特定服務(wù)器的數(shù)據(jù)通信，以滿足數(shù)據(jù)隱私和安全的法規(guī)要求。

5.擴(kuò)展的InternetExplorer設(shè)置管理

可以打開并編輯InternetExplorer組策略設(shè)置，而不會(huì)根據(jù)管理工作站的配置意外更改策略設(shè)置狀態(tài)。此更改取代了以前的行為，在以前的行為中，一些InternetExplorer策略設(shè)置會(huì)根據(jù)用于查看設(shè)置的管理工作站上啟用的策略設(shè)置發(fā)生更改。

6.根據(jù)位置分配打印機(jī)

能夠根據(jù)組織中的位置或地理位置分配打印機(jī)是WindowsVista中的一個(gè)新功能。當(dāng)移動(dòng)用戶移動(dòng)到不同位置時(shí)，組策略可以針對(duì)新的位置更新他們的打印機(jī)?；氐狡渲饕恢玫囊苿?dòng)用戶可以看到其打印機(jī)仍為慣用的默認(rèn)打印機(jī)。

7.為用戶委派打印機(jī)驅(qū)動(dòng)程序安裝

管理員現(xiàn)在可以使用組策略為用戶委派安裝打印機(jī)驅(qū)動(dòng)程序的能力。該功能通過限制管理憑據(jù)的分發(fā)來(lái)維護(hù)安全性。

新的或擴(kuò)展的組策略設(shè)置摘要

若要查看新的或擴(kuò)展的組策略設(shè)置類別摘要表，請(qǐng)參閱http://go.microsoft.com/fwlink/?LinkId=54020（可能為英文網(wǎng)頁(yè)）。

組策略工具的范圍組策略對(duì)象編輯器是Microsoft管理控制臺(tái)(MMC)的一個(gè)管理單元，用于配置和修改單個(gè)組策略對(duì)象(GPO)中的組策略設(shè)置。

每個(gè)WindowsVista操作系統(tǒng)都有一個(gè)或多個(gè)本地組策略對(duì)象(LGPO)。策略設(shè)置通過組策略對(duì)象編輯器或通過腳本手動(dòng)應(yīng)用于LGPO。LGPO包含的策略設(shè)置比基于域的GPO少，特別是安全設(shè)置下的策略設(shè)置更少。在配置為獨(dú)立客戶端計(jì)算機(jī)時(shí)，LGPO不支持文件夾重定向、遠(yuǎn)程安裝服務(wù)或組策略軟件安裝，但可以使用它們?cè)诖祟愑?jì)算機(jī)上提供安全操作環(huán)境。

管理員還需要能夠快速修改整個(gè)網(wǎng)絡(luò)環(huán)境中的多個(gè)用戶和計(jì)算機(jī)的組策略設(shè)置。組策略對(duì)象編輯器提供了一個(gè)用于配置GPO中組策略設(shè)置的分層樹結(jié)構(gòu)。GPO然后可以鏈接到包含計(jì)算機(jī)或用戶對(duì)象的站點(diǎn)、域和組織單位(OU)。請(qǐng)參見圖1。

組策略對(duì)象編輯器由兩個(gè)主要部分構(gòu)成：用戶配置和計(jì)算機(jī)配置，用戶配置保存應(yīng)用于用戶的設(shè)置（在登錄和定期進(jìn)行后臺(tái)刷新時(shí)），計(jì)算機(jī)配置保存應(yīng)用于計(jì)算機(jī)的設(shè)置（在啟動(dòng)和定期進(jìn)行后臺(tái)刷新時(shí)）。這兩部分又進(jìn)一步分為可以設(shè)置的不同策略類型，如管理模板、安全或文件夾重定向。

為了高效地工作，您需要即時(shí)訪問各個(gè)策略設(shè)置的功能和用途信息。對(duì)于管理模板策略設(shè)置，組策略對(duì)象編輯器直接在控制臺(tái)的Web視圖中提供了有關(guān)每個(gè)策略設(shè)置的信息。此信息稱為說明文字。說明文字顯示操作系統(tǒng)要求，定義策略設(shè)置，并且包含有關(guān)啟用、禁用或不配置策略設(shè)置的效果的所有特定詳細(xì)信息。

組策略管理控制臺(tái)(GPMC)

組策略管理控制臺(tái)(GPMC)是一個(gè)用于組策略管理的綜合管理工具。GPMC隨WindowsVista操作系統(tǒng)一起提供。

GPMC將ActiveDirectory管理工具的屬性頁(yè)上的現(xiàn)有組策略功能集成到了一個(gè)專門用于執(zhí)行組策略管理任務(wù)的單獨(dú)統(tǒng)一的控制臺(tái)。GPMC還通過一些新功能擴(kuò)展了管理能力。盡管仍然是使用ActiveDirectory管理工具來(lái)管理ActiveDirectory，但GPMC將這些工具的組策略管理功能替換為自己的管理功能。請(qǐng)參見圖2。

注意

組策略管理控制臺(tái)(GPMC)工具在兩個(gè)版本中提供。

1.GPMC（1.0版）自2003年以來(lái)已提供下載，旨在用于配置WindowsServer2003環(huán)境和WindowsXP中的組策略。

2.GPMC（2.0版）內(nèi)置在WindowsVista中，旨在用于配置所有Windows環(huán)境中的組策略。

請(qǐng)不要在WindowsVista中下載或使用舊版GPMC（1.0版），這是因?yàn)樵摪姹九cWindowsVista不兼容。

在混合環(huán)境中管理桌面

Vista上的組策略管理

MicrosoftWindowsVista引入了一種用來(lái)定義基于注冊(cè)表策略設(shè)置的新格式?；谧?cè)表的策略設(shè)置（位于組策略對(duì)象編輯器中的管理模板類別下）是使用基于標(biāo)準(zhǔn)的XML文件格式（也稱為ADMX文件）定義的。這些新文件替換了使用自己的標(biāo)記語(yǔ)言的ADM文件。ADMX文件的關(guān)鍵好處之一是支持多語(yǔ)言環(huán)境，這是使用ADM文件不容易實(shí)現(xiàn)的。組策略工具（組策略對(duì)象編輯器和組策略管理控制臺(tái)）除增加了讀取新的ADMX文件的功能外，其他大部分內(nèi)容都沒有更改。在大部分情況下，在進(jìn)行日常組策略管理任務(wù)時(shí)不會(huì)注意到ADMX文件的存在。

有些情況下需要了解ADMX文件的結(jié)構(gòu)方式以及它們的存儲(chǔ)位置。WindowsVista或WindowsServer2008中包含的組策略工具可以識(shí)別ADMX和ADM文件。WindowsServer2003以及較早版本的Windows中包含的組策略工具只能識(shí)別ADM文件。

與ADM文件不同，ADMX文件不存儲(chǔ)在各個(gè)GPO中。對(duì)于基于域的企業(yè)，還可以為ADMX文件創(chuàng)建能夠由有權(quán)創(chuàng)建或編輯GPO的任何人訪問的中央存儲(chǔ)位置。組策略工具將繼續(xù)識(shí)別與現(xiàn)有GPO關(guān)聯(lián)的自定義ADM文件，但將忽略被ADMX文件取代的任何ADM文件：System.adm、Inetres.adm、Conf.adm、Wmplayer.adm和Wuau.adm。

組策略對(duì)象編輯器基于本地或可選ADMX中央存儲(chǔ)中存儲(chǔ)的ADMX文件自動(dòng)讀取和顯示管理模板策略設(shè)置。組策略對(duì)象編輯器將自動(dòng)顯示GPO中存儲(chǔ)的自定義ADM文件中定義的管理模板策略設(shè)置。仍可以使用添加/刪除模板菜單選項(xiàng)添加或刪除GPO的自定義ADM文件。當(dāng)前位于由WindowsServer2003、WindowsXP和Windows2000提交的ADM文件中的所有組策略設(shè)置也可用于WindowsVista和WindowsServer2008ADMX文件。

ADMX文件在混合桌面環(huán)境中的實(shí)現(xiàn)

如果您是某個(gè)組織的管理員，該組織的環(huán)境是一個(gè)運(yùn)行WindowsVista、WindowsXP和Windows2000的混合桌面環(huán)境，則需要清楚新的組策略設(shè)置。WindowsVista組策略設(shè)置僅可以與WindowsVista一起使用，在較早版本的Windows中將被忽略。

WindowsVista或WindowsServer2008的新策略設(shè)置只能從運(yùn)行組策略對(duì)象編輯器或組策略管理控制臺(tái)的WindowsVista或WindowsServer2008管理計(jì)算機(jī)上進(jìn)行管理。此類策略設(shè)置僅在ADMX文件中定義，不在這些工具的WindowsServer2003、WindowsXP或Windows2000版本中公開。管理員需要使用WindowsVista或WindowsServer2008管理計(jì)算機(jī)上的組策略對(duì)象編輯器配置基于WindowsVista的新組策略設(shè)置。

WindowsServer2003、WindowsXP或Windows2000計(jì)算機(jī)上的組策略對(duì)象編輯器將無(wú)法正確顯示可能在GPO中啟用或禁用的新WindowsVista管理模板策略設(shè)置。而是會(huì)將與這些策略設(shè)置關(guān)聯(lián)的注冊(cè)表值顯示在組策略對(duì)象編輯器中的“特別的注冊(cè)表設(shè)置”下。

組策略對(duì)象編輯器和組策略管理控制臺(tái)的WindowsVista版本可用于管理支持組策略的所有操作系統(tǒng)（WindowsVista、WindowsServer2008、WindowsServer2003、WindowsXP和Windows2000）。

當(dāng)前存在于WindowsServer2003、WindowsXP和Windows2000的ADM文件中的管理模板策略設(shè)置可以從支持組策略的所有操作系統(tǒng)（WindowsVista、WindowsServer2003、WindowsXP和Windows2000）中進(jìn)行配置。

組策略對(duì)象編輯器和組策略管理控制臺(tái)的WindowsVista版本支持與WindowsServer2003和WindowsXP上這些工具版本進(jìn)行互操作。例如，存儲(chǔ)在GPO中的自定義ADM文件將由WindowsVista、WindowsServer2008、WindowsServer2003和WindowsXP上的組策略對(duì)象編輯器和組策略管理控制臺(tái)使用。請(qǐng)參見表1。

組策略對(duì)象編輯器的WindowsVista版本支持與WindowsServer2000上的組策略對(duì)象編輯器版本進(jìn)行互操作。例如，存儲(chǔ)在GPO中的自定義ADM文件將由WindowsVista、WindowsServer2008和Windows2000上的組策略對(duì)象編輯器使用（GPMC不在Windows2000上運(yùn)行）。

在早期版本的操作系統(tǒng)中，在創(chuàng)建組策略對(duì)象(GPO)時(shí)，所有默認(rèn)的管理模板文件(ADMfiles)都存儲(chǔ)在GPO中。存儲(chǔ)成本大約是每個(gè)GPO4MB。在導(dǎo)致更改所有GPO的事件（例如，在從Windows2000域升級(jí)到WindowsServer2003域的過程中修改GPO上的權(quán)限）中，復(fù)制通信量將達(dá)到峰值。這種情況導(dǎo)致GPO之間的所有ADM文件立即進(jìn)行復(fù)制，這會(huì)影響網(wǎng)絡(luò)帶寬可用性和性能。

在WindowsVista和WindowsServer2008中，此過程已替換為SYSVOL上的中央存儲(chǔ)（包含新的ADMX文件）。與早期版本的Windows不同，使用WindowsVista創(chuàng)建的GPO不是每個(gè)都包含ADMX文件。此更改意味著通過更有效的DFS復(fù)制服務(wù)提供更少的數(shù)據(jù)復(fù)制。

只要所有組策略管理員都使用WindowsVista客戶端，新的GPO就不會(huì)在GPO中包含ADM或ADMX文件。此更改的結(jié)果是每個(gè)GPO將節(jié)省大約4MB。在企業(yè)更新為使用新的DFS服務(wù)后，將使用僅復(fù)制GPO中的差異的DFS復(fù)制服務(wù)來(lái)復(fù)制GPO中包含的信息。在組策略管理員更改GPO后，這兩個(gè)更改將大大減少所需的存儲(chǔ)量和網(wǎng)絡(luò)帶寬。

表1WindowsVistaGPMC和下載GPMC的行為

行為WindowsVistaGPMC下載GPMC

可以管理WindowsServer2003、WindowsXP和Windows2000是可以管理WindowsVista和WindowsServer2008否多語(yǔ)言支持否可以讀取自定義ADM文件是文件的默認(rèn)位置GPO可以使用中央存儲(chǔ)否在GPO中避免重復(fù)文件（SYSVOL過多）否添加GPO特定文件的選項(xiàng)（添加/刪除模板）

僅ADM文件

僅ADM文件文件比較時(shí)間戳

最佳操作WindowsVista向Windows環(huán)境引入了800多個(gè)新的組策略設(shè)置。本節(jié)介紹將組策略設(shè)置從WindowsXP應(yīng)用到WindowsVista所需的信息，解釋基本管理概念并描述在管理安全策略時(shí)使用的最佳操作。

1.將組策略管理員的工作站升級(jí)到WindowsVista?，F(xiàn)在，將從運(yùn)行WindowsVista的計(jì)算機(jī)上執(zhí)行所有組策略管理。

2.（可選）在SYSVOL上為每個(gè)ActiveDirectory主域控制器(PDC)創(chuàng)建一個(gè)中央存儲(chǔ)，其中組策略由運(yùn)行WindowsVista的管理員管理。使用組策略管理員的WindowsVista工作站中的ADMX/ADML文件填充每個(gè)PDC上的中央存儲(chǔ)。請(qǐng)參閱“管理組策略ADMX文件循序漸進(jìn)指南”，網(wǎng)址為：http://go.microsoft.com/fwlink/?LinkId=75124（可能為英文網(wǎng)頁(yè)）。

3.創(chuàng)建新的GPO（或更新現(xiàn)有的GPO），以包括希望使用的新WindowsVista組策略設(shè)置。

注意您可能希望將這些GPO鏈接到將包含新加入WindowsVista域的工作站的OU。

注意在少數(shù)情況下，可能需要擴(kuò)展AD架構(gòu)以適應(yīng)新設(shè)置。

4.按部署項(xiàng)目部署WindowsVista工作站。

注意根據(jù)需要，新的或更新的GPO將應(yīng)用于WindowsVista工作站。

創(chuàng)建中央存儲(chǔ)

中央存儲(chǔ)是在每個(gè)域的域控制器上的SYSVOL目錄中創(chuàng)建的文件夾結(jié)構(gòu)。只需要在單個(gè)域控制器上為組織中的每個(gè)域創(chuàng)建一次中央存儲(chǔ)。然后，文件復(fù)制服務(wù)會(huì)將中央存儲(chǔ)復(fù)制到所有域控制器。建議在充當(dāng)主域控制器模擬器FSMO角色的域控制器上創(chuàng)建中央存儲(chǔ)，這是因?yàn)榻M策略管理控制臺(tái)和組策略對(duì)象編輯器在默認(rèn)情況下連接到主域控制器。

中央存儲(chǔ)由根級(jí)別文件夾（包含所有ADMX中性語(yǔ)言文件）和子文件夾（包含ADMX特定語(yǔ)言資源文件）構(gòu)成。

注意

在沒有中央存儲(chǔ)時(shí)，組策略對(duì)象編輯器將讀取WindowsVista管理計(jì)算機(jī)上由本地GPO使用的ADMX文件的本地版本。若要執(zhí)行此過程，您必須是ActiveDirectory中DomainAdministrators組的成員。

創(chuàng)建中央存儲(chǔ)

1.在域控制器上為中央存儲(chǔ)創(chuàng)建根文件夾%systemroot%\sysvol\domain\policies\PolicyDefinitions。

2.在%systemroot%\sysvol\domain\policies\PolicyDefinitions中為組策略管理員將使用的每種語(yǔ)言創(chuàng)建一個(gè)子文件夾。每個(gè)子文件夾都按照適當(dāng)?shù)腎SO樣式語(yǔ)言/區(qū)域性名稱命名。有關(guān)ISO樣式語(yǔ)言/區(qū)域性名稱的列表，請(qǐng)參閱區(qū)域設(shè)置標(biāo)識(shí)符（可能為英文網(wǎng)頁(yè)）。例如，若要為美式英語(yǔ)創(chuàng)建子文件夾，請(qǐng)創(chuàng)建子文件夾：%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US。

使用ADMX文件填充中央存儲(chǔ)

在WindowsVista中沒有用于填充中央存儲(chǔ)的用戶界面。以下過程介紹了如何從域控制器使用命令行語(yǔ)法填充中央存儲(chǔ)。

填充中央存儲(chǔ)的步驟

1.打開命令窗口：?jiǎn)螕?ldquo;開始”，再單擊“運(yùn)行”并鍵入cmd，然后按Enter。

2.若要使用復(fù)制命令將所有ADMX中性語(yǔ)言文件(.admx)從WindowsVista管理工作站復(fù)制到域控制器上的中央存儲(chǔ)，請(qǐng)鍵入：

copy%systemroot%\PolicyDefinitions\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\

3.若要使用復(fù)制命令將所有ADMX特定語(yǔ)言資源文件(.adml)從WindowsVista管理工作站復(fù)制到域控制器上的中央存儲(chǔ)，請(qǐng)鍵入：

copy%systemroot%\PolicyDefinitions\[MUIculture]\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[MUIculture]\

例如，若要復(fù)制所有美式英語(yǔ).adml文件，請(qǐng)鍵入以下內(nèi)容：

copy%systemroot%\PolicyDefinitions\EN-US\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\

下載新架構(gòu)

WindowsVista支持可以通過組策略設(shè)置配置的增強(qiáng)，這些設(shè)置由運(yùn)行WindowsServer2008的域控制器所支持。若要讓運(yùn)行WindowsServer2003或WindowsServer2003R2的域控制器構(gòu)成的ActiveDirectory服務(wù)環(huán)境支持這些增強(qiáng)，必須擴(kuò)展ActiveDirectory架構(gòu)。有關(guān)為支持WindowsVista無(wú)線和有線組策略增強(qiáng)所需的ActiveDirectory架構(gòu)擴(kuò)展的信息，請(qǐng)參閱http://go.microsoft.com/fwlink/?LinkId=70195（可能為英文網(wǎng)頁(yè)）。

注意

僅當(dāng)需要無(wú)線和有線組策略增強(qiáng)或者需要BitLocker組策略增強(qiáng)時(shí)才需要擴(kuò)展架構(gòu)。

對(duì)于BitLocker架構(gòu)更改，請(qǐng)參考BitLockerActiveDirectory部署工具包中的ActiveDirectoryforBitLockerandTPM備份安裝指南。

其他最佳操作

在開始使用WindowsVista組策略設(shè)置之前，請(qǐng)確保閱讀這些指南和WindowsVista文檔，因?yàn)檫@些指南和文檔可以為您進(jìn)行組策略設(shè)置打下堅(jiān)實(shí)的基礎(chǔ)。

使用GPMC備份和還原基于域的組策略對(duì)象（可能為英文網(wǎng)頁(yè)）

使用WindowsVistaGPMC（2.0版）保存的備份與下載的GPMC版本（1.0版）不兼容。另外，下載的GMPC版本不備份組策略對(duì)象中包含的所有WindowsVista組策略設(shè)置。要獲得最佳效果，請(qǐng)使用WindowsVistaGPMC（2.0版）備份和還原所有組策略對(duì)象。

針對(duì)IT專業(yè)人員的WindowsVista循序漸進(jìn)指南（可能為英文網(wǎng)頁(yè)）

這些循序漸進(jìn)指南將幫助IT專業(yè)人員部署或遷移到WindowsVista。這些指南還提供了有關(guān)如何使用設(shè)備管理和安裝(DMI)來(lái)控制設(shè)備安裝以及如何管理ADMX文件的循序漸進(jìn)信息。

WindowsVista組策略設(shè)置TechNet虛擬實(shí)驗(yàn)室（可能為英文網(wǎng)頁(yè)）

這些實(shí)驗(yàn)室主要供負(fù)責(zé)管理ActiveDirectory域中的WindowsVista工作站的IT專業(yè)人員參考。這些實(shí)驗(yàn)室將探索新的和擴(kuò)展的組策略設(shè)置。

有關(guān)WindowsVista組策略設(shè)置的示例，請(qǐng)參閱（可能為英文網(wǎng)頁(yè)）。

若要通過“Crimson”事件管理和日志記錄獲得WindowsVista組策略事件日志示例項(xiàng)，請(qǐng)參閱（可能為英文網(wǎng)頁(yè)）。

欲知更多有關(guān)WindowsVista部署組策略的知識(shí)，請(qǐng)點(diǎn)擊WindowsVista組策略詳解

【編輯推薦】

1. 組策略命令詳解
2. 組策略如何限制域用戶的權(quán)限？
3. 組策略與注冊(cè)表之間的區(qū)別和聯(lián)系
4. 組策略變成打開方式故障解決實(shí)例
5. 組策略如何隱藏和禁用以及遠(yuǎn)程編輯？