明明白白组策略

??组策略是自Windows 9X/NT以来，操作系统自带的最强大的设置管理工作之一。时至今日，最新的Windows 2000/XP(Home版除外)/2003系统赋予组策略更新的功能和特性，通过它，可以让我们更容易管理计算机甚至是网络上的资源。

??对于大部分计算机用户来说，他们管理计算机的方法，基本上都是借助于一些第三方工具或者是自己手工修改注册表，其实组策略已经把这些功能集于一体了，既便是暂时没有的功能，我们也可以通过编辑策略脚本来实现。

??为此我们专门组织了本次专题，让大家轻松搞定组策略，高效管理计算机。

??什么是组策略
??1.组策略有什么用
??说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

??简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

??2.组策略的版本
??大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。

??早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是Config.pol)文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。

??无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

??组策略中的管理模板
??在Windows 2000/XP/2003目录中包含了几个.adm文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。

??在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为：

??1)System.adm：默认情况下安装在“组策略”中，用于系统设置。

??2)Inetres.adm：默认情况下安装在“组策略”中；用于Internet Explorer策略设置。

??3)Wmplayer.adm：用于Windows Media Player设置。

??4)Conf.adm：用于NetMeeting设置。

??在Windows 2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows 9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下：

??首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”，则弹出如图1所示的对话框。

??然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

??返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作，建议添加除默认模板文件的其他模板文件)。

??再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”，则弹出如图2所示的对话框。

??然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm文件并单击“打开”按钮，则在编辑器中打开选定的脚本文件并等待用户执行。

??运行组策略
??1.Windows 9X策略编辑器
??按操作系统的不同，策略编辑工具分为两种，一种为Windows 2000/XP/2003组策略管理控制台，它在系统安装时已经默认安装上了；另外一种就是Windows 9X的系统策略编辑器，它在系统安装时并不被安装，程序文件在Windows安装盘上的 ools eskit etadminpoledit目录下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。

??如果是Windows 9X系统通过下面的方法，则可以进行正规的安装过程。

??1)在控制面板中，双击“添加/删除程序”图标，单击“安装Windows”标签，然后单击“从磁盘安装”选项。

??2)在从磁盘安装对话框中，单击“浏览”按钮并指定Windows 9X安装光盘的tools eskit etadminpoledit目录。

??3)单击“确认”按钮，然后再次单击对话框中的“确认”按钮。

??4)在从磁盘安装对话框中，选择“系统策略编辑器”和“组策略”复选框，然后单击“安装”按钮。

??安装完成后，单击“运行”命令项，输入poledit，然后单击“确认”按钮(运行后的界面如图3所示)。

??管理员可以以两种不同的方式使用系统策略编辑器：注册表方式和策略文件方式。

??1)以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中，单击打开注册表编辑器，然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时，可以直接编辑本地或远程计算机的注册表。这样，所做的改变将立即反映出来。在做出修改之后，必须关机并重新启动计算机以使所做修改生效。

??2)以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中，单击新建或打开来打开一个策略文件。在使用策略文件方式时，可以创建和修改用于其他计算机的系统策略文件(POL)，在这种方式下，注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时，单击一个注册表选项，可以看到三种可能状态之一：选中、清除、变灰。每当选择一个选项时，将会循环显示下一个可能的状态，这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。

??如果一个设置值需要附加信息，那么缺省用户属性对话框的底部将出现一个编辑控制。通常，如果选中了一个策略，而又不想强制使用它，应当清除该复选框来取消该策略。

??2.Windows 2000/XP/2003组策略控制台
??如果是Windows 2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序(界面如图4所示)。

??使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：

??1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车，运行控制台程序)。

??2)在“文件”菜单上，单击“添加/删除管理单元”。

??3)在“独立”选项卡上，单击“添加”。

??4)在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

??5)在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

??6)单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。

??对于不包含域的计算机系统来说，在上面第5步的界面中，只有“计算机”标签，而没有其他标签项目。

??通过上面的方法，我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

??在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是：已启用、未配置、已禁用。