组策略首选项是组策略客户端扩展的集合,这些扩展将首选项设置传递给运行Microsoft Windows桌面和服务器操作系统的加入域的计算机。首选项设置是部署到台式机和服务器的管理配置选择。首选项设置与策略设置不同,因为用户可以选择更改管理配置。策略设置以管理方式强制执行设置,从而限制了用户的选择。
使用组策略将组策略首选项分发到加入域的计算机。组策略的灵活性使它能够将不透明的配置数据传递给运行Windows的加入域的计算机。然后,将不透明数据传输到组策略客户端扩展,由于客户端扩展可以理解该数据,因此不透明数据变得很重要。
本文档介绍了组策略驱动器映射和打印机客户端扩展如何处理其配置数据。有了这些知识,管理员可以在他们的环境中更有效地设计和部署组策略驱动器映射和打印机项目。并且,本技术参考中提供的信息使IT专业人员能够对组策略驱动器映射和打印机处理进行故障排除。
前提基础
组策略
组策略是Windows Server中包含的一种管理技术,使您能够保护计算机和用户设置的安全。确保这些设置的安全性可以通过限制对操作系统产生不利影响的意外或故意配置来确保为用户提供通用的计算环境,并降低总拥有成本。
组策略对象(GPO)是由两个组件组成的逻辑对象,一个组策略容器和一个组策略模板。Windows将这两个对象都存储在域中的域控制器上。组策略容器对象存储在Active Directory的域分区中。组策略模板是存储在域中每个域控制器的系统卷(SYSVOL)上的文件和文件夹的集合。Windows将容器和模板复制到域中的所有域控制器。Active Directory复制复制组策略容器,而文件复制服务(FRS)或分布式文件系统复制(DFSR)服务复制SYSVOL上的数据。
组策略容器和模板一起;将逻辑对象称为组策略对象。每个组策略对象都包含两类配置:用户和计算机。计算机配置设置会影响整个计算机,无论已登录的用户如何。用户配置设置会影响当前登录的用户,并且可能因每个用户而异。计算机设置的一些示例包括电源管理,用户权限和防火墙设置。用户设置的示例包括Internet Explorer,显示设置和文件夹重定向。
组策略对象及其设置适用于与其链接的计算机和用户。您可以将GPO链接到Active Directory站点,域,组织单位或嵌套的组织单位。组策略对象与其链接到的容器分开。这种分离使您可以将单个GPO链接到多个容器。将GPO链接到许多容器可使单个GPO应用于多个容器中的用户或计算机。这定义了GPO的范围。计算机配置适用于容器或嵌套容器中的计算机。用户配置以相同的方式应用于用户。
策略设置适用于计算机启动时的计算机以及用户登录期间的用户。Windows Server 2012和Windows 8包括组策略服务。在计算机启动期间,组策略服务向Active Directory查询计算机对象范围(链接)内的GPO列表。同样,这包括:
- 计算机所在的站点
- 计算机所属的域
- 计算机是其直接成员的上级组织单位,以及上级OU上方的任何其他组织单位。
组策略服务确定将哪些GPO应用于计算机(有多种方法可以应用GPO,这不在本介绍的范围之内),然后应用这些策略设置。客户端扩展(CSE)负责应用GPO中包含的策略设置。组策略客户端扩展是组策略服务的独立组件,负责从GPO读取特定策略设置数据并将其应用于计算机或用户。例如,组策略注册表客户端扩展从每个GPO读取注册表策略设置数据,然后将该信息应用到注册表中。安全CSE读取并应用安全策略设置。文件夹重定向CSE读取并应用文件夹重定向策略设置。
当用户登录计算机时,将重复执行组策略处理。组策略服务确定适用于用户的GPO,然后应用用户策略设置。
重要的是,您必须对如何创建,修改组策略对象并将其链接到Active Directory中的容器有深刻的了解。组策略首选项使用与组策略相同的概念。实际上,您以与管理组策略相同的方式来管理组策略首选项。这是对组策略的审查;还不完整 如果您不熟悉如何管理组策略,或者需要彻底的复习,则可以阅读Windows组策略资源工具包:Windows Server 2008和Windows Vista(Microsoft Press 2008)。
客户端扩展
组策略客户端扩展是一个独立的组件,负责处理由组策略基础结构提供的特定策略设置。每个组策略客户端扩展保存数据的格式对于每个扩展可以是唯一的。而且,组策略基础结构不知道这种格式,也不在乎。组策略的目的是将设置传递到计算机,在此计算机上,每个客户端扩展都将从多个组策略对象中应用其策略设置的一部分。
为了帮助理解组策略基础结构和组策略客户端扩展之间的关系,请考虑使用邮递员。邮政承运人从各种来源收集信息并将其传递给您。邮政承运人不知道他们正在传递什么信息。信息可以是信件,DVD或带有照片的CD。邮政承运人只知道他们要将信息传递到特定地址。
以此类推,组策略服务是邮政运营商,它在没有任何信息的情况下传递信息。邮政运营商提供的信息代表不同的策略设置。组策略客户端扩展代表接收信息的人。地址可以有许多收件人。每个收件人都会以预期的格式接收自己的邮件。组策略客户端扩展读取其各自的策略设置信息,并根据策略设置中包含的信息执行操作。
组策略处理
组策略应用程序是确定Windows将哪些组策略对象应用于用户或计算机,然后应用这些设置的过程。了解组策略处理是规划和部署组策略设置的关键。对组策略处理的误解是不需要的和无法解释的策略设置的最常见原因。
理解组策略处理的关键是范围。范围仅仅是所有组策略对象的集合,这些对象应基于它们在Active Directory中的位置应用于用户或计算机。您可以通过将组策略对象链接到Active Directory中的特定位置来创建作用域。
理解组策略处理的关键是范围。范围仅仅是所有组策略对象的集合,这些对象应基于它们在Active Directory中的位置应用于用户或计算机。您可以通过将组策略对象链接到Active Directory中的特定位置来创建作用域。
组策略提供了可以更改组策略对象范围的选项。更改组策略对象的范围会影响哪些策略设置适用,哪些不适用。您可以使用处理顺序,过滤和链接选项来更改组策略的范围。
范围
组策略处理必须标识其将策略设置应用到的范围。作用域仅表示用户或计算机对象在Active Directory层次结构中的位置。发现用户或计算机对象范围的最简单方法是在Active Directory中查找相应用户或计算机的专有名称。目录中对象的可分辨名称提供了该目录中的对象标识和对象位置。考虑以下专有名称。
复制
CN=Kim Akers,OU=Human Resources, DC=corp,DC=contoso,DC=com
由此,组策略服务将确定用户对象的名称,包含该用户对象的组织单位以及该用户对象所在的域。
复制
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
连结中
了解组策略作用域要求知道链接组策略对象的位置,以便将它们应用于用户或计算机。若要使组策略对象可以应用于用户或计算机,请将其与Active Directory中的特定位置相关联。将组策略对象与Active Directory中的对象相关联称为链接。
Active Directory具有规则,这些规则控制可以在何处链接组策略对象。可以将组策略对象链接到的Active Directory对象包括:
- 网站对象
- 域对象
- 组织单位对象
将组策略对象链接到这些Active Directory对象是部署组策略的战略。这些是容器对象。顾名思义,容器对象意味着它们可以在其中包含其他对象-它们代表目录中对象的分层分组。站点对象可以包含来自多个域的计算机对象。域对象可以包含多个组织单位,计算机和用户对象。组织单位对象可以包含其他组织单位对象,计算机和用户。让我们再次看看专有名称。
复制
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
对专有名称的仔细检查会发现每个容器对象都可能将组策略设置应用于用户。CN = Jeff Low是用户对象名称。您不能将组策略直接链接到用户对象。但是,名称的其余部分显示对象的位置。从左到右,您可以发现每个能够将组策略应用于用户的容器对象。
复制
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=RandD,DC=corp,DC=contoso,DC=com
DC=corp,DC=contoso,DC=com
这些位置均代表组策略的范围。组策略服务从目录中的每个位置收集链接的组策略对象。这代表了用户或计算机的组策略范围。
注意Windows收集组策略对象列表的顺序吗?它从最靠近用户的OU开始,然后遍历目录到离用户最远的对象(通常是域对象)。通过链接,您可以获得用户或计算机范围内的组策略对象列表。但是,并非列表中的每个GPO都应适用于用户或计算机。
安全过滤
组策略范围是由于用户对象或计算机在Active Directory中的位置而可能适用于用户或计算机的所有组策略对象的列表。安全筛选确定相应的用户或计算机是否具有适当的权限来应用组策略对象。用户或计算机必须具有组策略服务的读取和应用组策略权限,才能考虑适用于该用户的组策略对象。
组策略服务遍历组策略对象的整个列表,以确定用户或计算机是否具有对GPO的适当权限。如果用户或计算机具有应用GPO的权限,则组策略服务会将该GPO移至已过滤的GPO列表中。它继续根据权限过滤每个组策略对象,直到到达列表的末尾。组策略对象的筛选列表包含用户或计算机范围内的所有GPO,并且根据权限适用于用户或计算机。
WMI筛选
WMI筛选是确定适用于用户或计算机的组策略对象范围的最后阶段。
Windows Management Instrumentation(WMI)是Microsoft基于Web的企业管理(WBEM)的实现。WMI使用通用信息模型(CIM)行业标准来表示系统,应用程序,网络,设备和其他托管组件。
组策略提供了更多过滤器,以控制适用的组策略对象的范围。使用WMI,您可以创建查询来询问计算机,操作系统和其他受管组件的特定功能。以查询的形式,您创建行为类似于逻辑表达式的条件-结果等于true或false。您将这些条件关联或链接到组策略对象。如果条件评估为真,则组策略对象仍然适用于用户,并保留在过滤列表中。如果条件评估为false,则组策略服务将从过滤列表中删除组策略对象。
WMI筛选完成后,组策略服务将具有筛选器组策略对象列表。此最终列表代表用户或计算机的所有适用的组策略对象。在内部,安全性和WMI筛选在一个周期内发生。
加工订单
组策略具有应用组策略对象的特定顺序。了解组策略对象的应用顺序很重要,因为组策略使用应用程序的顺序来解决链接到Active Directory中不同位置的不同组策略对象之间的冲突策略设置。
本地,站点,域和OU
组策略服务首先应用本地组策略,然后应用站点中的组策略对象,然后应用域中的组策略对象和组织单位中的组策略对象。如果目标用户或计算机要接收组策略设置,则组策略服务将应用组策略对象从用户沿袭最远的OU到用户沿袭最近的OU。考虑适用的组策略对象的筛选列表。
复制
DC=corp,DC=contoso,DC=com
OU=RandD,DC=corp,DC=contoso,DC=com
OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
请注意,组策略对象的顺序已从第一个列表更改。组策略的这种重新排序在安全性和WMI筛选器处理期间发生。组策略服务通过找到用户或计算机对象,然后在其沿着目录树移动时收集所有链接的GPO,来构建第一个GPO列表。由于组策略服务将新发现的链接位置添加到列表的底部,因此GPO从其应用顺序向后列出。这解释了为什么域位置在列表的底部。
但是,在为安全和WMI筛选器筛选列表时,组策略服务从列表的顶部开始,这是沿袭最接近用户或计算机对象的OU。该服务通过将通过筛选器的GPO放置到筛选列表中来构建新列表(筛选列表)。该服务会反转原始列表的顺序,从而使域位置位于列表的顶部。最接近用户的位置在列表的底部-组策略的顺序将GPO应用于用户和计算机。
解决冲突
每个组策略对象都包含相同数量的潜在策略设置。因此,可以在多个组策略对象中定义相同的策略设置。在多个组策略对象中配置相同的策略设置时,会发生冲突。就像两辆汽车在道路上争夺同一个空间一样,一个赢了,另一个输了。组策略使用称为“最后写入者获胜”的方法来处理冲突。Last-writer-wins通过将当前设置声明为组策略最后写入的设置来解决冲突。因此,包含最后应用的冲突策略设置的组策略对象是赢得所有其他设置的设置。
本文档的“处理顺序”部分描述了组策略对象以本地,站点,域和组织单位顺序应用。基于此处理层次结构:
- 链接到Active Directory站点的组策略对象中的策略设置解决了本地组策略对象和链接到Active Directory站点的组策略对象之间的策略设置冲突。
- 链接到域的GPO中的策略设置解决了链接到Active Directory站点的组策略对象和链接到Active Directory域的GPO之间的策略设置冲突。
- 链接到组织单位的GPO中的策略设置解决了链接到Active Directory域的组策略对象和链接到组织单位的GPO之间的策略设置冲突。
- 链接到子组织单位的GPO中的策略设置解决了链接到子组织单位的组策略对象和链接到父组织单位的GPO之间的策略设置冲突。
解决同一位置链接的GPO之间的冲突
使用组策略,您可以在目录中的每个站点,域和组织单位位置链接多个组策略对象。到目前为止,冲突解决方案仅确定了在Active Directory中两个不同位置链接的冲突策略设置之间的解决方案。在相同位置链接的组策略对象中的冲突策略设置如何处理?
组策略继续使用last-writer-wins方法来解决在Active Directory中链接为相同位置的组策略对象之间的策略设置冲突。了解组策略管理控制台(GPMC)如何将组策略对象链接到Active Directory中的位置说明了组策略对象链接在Active Directory中相同位置的处理顺序。
GPLink属性
支持组策略链接的位置,Active Directory站点,域和组织单位之所以这样做,是因为每个这些对象都有一个GPLink属性。GPLink属性是一个单值属性,它接受字符串数据类型的值。Active Directory架构强制执行GPLink属性的单值性质,而组策略则将该属性用作多值属性。GPMC使用以下格式写入GPLink属性的值。
复制
[distinguishedNameOfGroupPolicyContainer;linkOPtions][…][…]
distingushedNameOfGroupPolicyContainer令牌表示组策略容器的可分辨名称。组策略对象是由两个信息组成部分组成的单个逻辑对象。存储在文件系统上的信息的组成部分是组策略模板。其余组件,即组策略容器,是Active Directory对象中的一个对象,位于Active Directory的域分区中。如前所述,目录对象的可分辨名称提供了对象的名称和在目录中的位置。
linkOptions令牌是一个整数值,用于定义与组策略对象关联的链接选项。当前,您可以启用或禁用组策略对象的链接。另外,您可以将链接配置为强制执行。linkOptions值是一个位值,其中组合值会更改配置。
复制
Enabled0x0
Disabled 0x1
Enforced0x2
禁用组策略对象的链接可以防止组策略服务将该GPO包括在目标用户或计算机范围内的GPO列表中。distinguishedNameOfGroupPolicyContainer和linkOptions令牌括在方括号([])中,并用分号(;)分隔。这表示单个链接的组策略对象。将另一个组策略对象链接到该位置会在现有组合之前插入一个新的distingushedNameOfGroupPolicyContainer和linkOptions组合。它不会在末尾添加新的组合。链接模式继续在值的开头插入新链接的GPO。通过将现有值向右移动。
组策略服务从左到右读取该长字符串作为值列表。值中的第一个GPO链接条目是第一个在此位置应用的条目。值中的下一个条目随后适用。该过程继续进行,直到应用该值中的最后一个GPO。
组策略固有地根据其读取列表的顺序从左到右分配每个GPO优先级。因此,该值中的第一个GPO在链接的组策略对象列表中具有最低的优先级。该值中的下一个GPO的优先级高于上一个GPO,因为它在前一个GPO之后应用其策略设置。通过赢得两个GPO之间的任何政策设置冲突。按照链接顺序,后面的每个GPO的优先级都比之前的组策略对象高。该值中的最后一个GPO具有最高优先级,因为它是组策略服务所应用的最后一个组策略对象。
理解这一点的最佳方法是将长字符串视为GPO列表。取值中的第一个GPO(最左侧的GPO)并将其放在列表中。将GPO列出的下一个链接放在列表的顶部(使所有其他链接在列表中向下移动一个)。继续此过程,直到最后一个GPO在列表顶部。最终的GPO链接条目列表按优先顺序排列,这意味着该列表是从下到上处理的。
以优先顺序在列表中查看时,很容易发现列表中较高的GPO比列表中较低的GPO具有更高的优先级。结果,列表中较低的GPO失去策略设置冲突,列表中较高的GPO赢得策略设置冲突。
链接选项
如前所述,组策略链接为启用,禁用和强制选项。启用和禁用的选项易于理解。在目标用户或计算机的组策略范围内考虑启用的链接时。禁用的链接的行为就像从未链接过组策略对象一样。
强制执行
强制链接选项是所有规则的例外。强制选项可确保来自链接的GPO的设置始终赢得冲突,而不管包含可能与链接的GPO的策略设置冲突的任何其他组策略对象。通过将挂锁添加到现有的链接策略图标中,GPMC直观地表示强制的组策略链接。即使组织单位已启用阻止策略继承,也始终应用来自强制链接的组策略设置
阻止策略继承
关于组策略处理顺序的最后一项是“阻止策略继承”,或者在组策略管理控制台中简称为“阻止继承”。Active Directory对象中的每个域和组织单位都包含一个GPOptions属性。使用此设置,您可以阻止以较高处理顺序链接的组策略设置应用于通常位于较低处理顺序容器中的用户和计算机。
例如,链接到域的策略设置适用于整个域中的计算机和用户,而不管其父组织单位如何。但是,您可以使用GPMC阻止域或组织单位上的继承,以防止将常规组策略设置应用于该容器中的用户和计算机。在域上阻止策略继承会阻止链接到Active Directory站点的GPO的组策略设置应用于域。在组织单位上阻止策略继承会阻止链接到站点和域的GPO的常规组策略设置应用于组织单位。
阻止策略继承不会阻止组策略设置强制执行的链接组策略对象应用于用户和计算机。无论域和组织单位对象上的阻止策略继承状态如何,都将应用来自强制链接的组策略设置。
组策略首选项
组策略首选项扩展了组策略。首选项不是组策略设置。Windows将这两个设置都存储在注册表中。然而; 策略设置比首选项有一个优势-它们通常会覆盖首选项。
您可以使用用户界面配置Windows。用户界面为您提供选择;您选择自己喜欢的选项;然后单击“确定”或关闭对话框。然后,Windows将您的选择保存到注册表中,以便稍后可以调用这些设置。用户可配置的设置称为首选项(注意小写的“ p”)。映射共享文件夹或选择默认主页是首选项的示例。使用Internet Explorer设置主页时,可以关闭Web浏览器并再次打开它,它会记住您的主页。策略设置与首选项不同,因为策略设置是在用户或计算机上强制执行的。策略阻止用户更改其设置。通常,用户配置首选项。
使用组策略首选项,可以将所需的配置部署到计算机和用户,而不会限制用户选择其他配置。重要的是要记住,尽管用户可以更改配置,但组策略首选项是组策略客户端扩展。组策略首选项随组策略刷新;因此,组策略将使用组策略首选项中配置的值覆盖用户更改的所有首选项设置。用使用组策略首选项配置的配置替换用户配置的首选项设置与组策略不同。真实的组策略设置会强制执行该设置,并限制用户更改设置。
客户端扩展
组策略首选项是组策略客户端扩展。有20个扩展组成组策略首选项。这些扩展包括
| 客户端扩展 |
描述 |
| 组策略环境 |
创建,修改或删除环境变量。 |
| 组策略本地用户和组 |
创建,修改或删除本地用户和组。 |
| 组策略设备设置 |
启用或禁用硬件设备或设备类别。 |
| 组策略网络选项 |
创建,修改或删除虚拟专用网络(VPN)或拨号网络(DUN)连接。 |
| 组策略驱动器映射 |
创建,修改或删除映射的驱动器,并配置所有驱动器的可见性。 |
| 组策略文件夹 |
创建,修改或删除文件夹。 |
| 组策略网络共享 |
创建,修改或删除网络共享 |
| 组策略文件 |
复制,修改文件的属性,替换或删除文件。 |
| 组策略数据源 |
创建,修改或删除Open Database Connectivity(ODBC)数据源名称。 |
| 组策略INI文件 |
添加,替换或删除配置设置(.ini)或设置信息(.inf)文件中的节或属性。 |
| 组策略文件夹选项 |
创建,修改或删除文件夹。 |
| 组策略计划任务 |
创建,修改或删除计划任务或即时任务。 |
| 组策略注册表 |
复制注册表设置并将其应用于其他计算机。创建,替换或删除注册表设置。 |
| 组策略打印机 |
创建,修改或删除TCP / IP,共享和本地打印机连接。 |
| 组策略快捷方式 |
创建,修改或删除快捷方式。 |
| 组策略Internet设置 |
修改用户可配置的Internet设置 |
| 组策略开始菜单设置 |
修改开始菜单选项。(不适用于Windows 8和Windows Server 2012) |
| 组策略区域选项 |
修改区域选项。 |
| 组策略电源选项 |
修改电源选项并创建,修改或删除电源使用方案。 |
| 组策略应用 |
配置应用程序的设置。 |
常用配置
大多数组策略首选项共享一个公共配置,使您可以控制每个配置的首选项的组策略首处理范围。
如果此扩展程序中发生错误,请停止处理此扩展程序中的项目
每个首选项扩展可以包含一个或多个首选项。默认情况下,失败的首选项不会阻止处理同一扩展中的其他首选项。
如果选中了“如果此项目发生错误则停止处理此扩展中的项目”选项,那么失败的首选项将阻止扩展中剩余的首选项被处理。这种行为上的变化仅限于托管组策略对象(GPO)和客户端扩展。它不会扩展到其他GPO。
重要的是要了解组策略首选项扩展从列表的顶部开始处理首选项,然后一直处理到底部。首选项扩展仅停止处理失败的首选项之后的首选项(出现在列表中的失败首选项下方的项目)。
在登录用户的安全上下文中运行(用户策略选项)
组策略在两种安全上下文中应用用户首选项:SYSTEM帐户和登录的用户。
默认情况下,组策略使用SYSTEM帐户的安全上下文处理用户首选项。在此安全性上下文中,首选项扩展限于仅对计算机可用的环境变量和系统资源。
如果选择了“运行登录用户的安全上下文”选项,它将更改在其中处理首选项的安全上下文。首选项扩展在已登录用户的安全上下文中处理首选项。这允许首选项扩展以用户而不是计算机的身份访问资源。当使用驱动器映射或其他首选项(其中计算机可能无权访问资源)或使用环境变量时,这可能很重要。在非登录用户的安全上下文中评估时,许多环境变量的值都不同。
需要在用户的安全上下文中处理的组策略首选项扩展(例如“驱动器映射”和“打印机”)会自动切换到用户的上下文,不需要您调整此设置。
不再使用该项目时将其删除
组策略将策略设置和首选项应用于用户和计算机。您可以通过将一个或多个组策略对象(GPO)链接到Active Directory站点,域或组织单位来确定哪些用户和计算机接收这些项目。这些容器中的用户和计算机对象将接收在链接的GPO中定义的策略设置和首选项,因为它们在GPO范围内。
与策略设置不同,当宿主GPO超出用户或计算机的范围时,组策略服务不会删除首选项设置。
如果选择了“ 不再应用时删除此项目”选项,它将更改此行为。选择此选项后,首选项扩展决定首选项是否不适用于目标用户或计算机(超出范围)。如果首选项扩展名确定该首选项超出范围,则它将删除与该首选项相关联的设置。
选择此设置会将首选项的操作更改为Replace。在组策略应用程序期间,首选项扩展会重新创建(删除并创建)首选项的结果。当首选项超出用户或计算机的范围时,首选项的结果将被删除,但不会创建。通过使用项目级别的定位或更高级别的组策略过滤器(例如WMI和安全组过滤器),首选项项目可能会超出范围。
当您将首选项操作设置为“ 删除”时, “ 删除不再应用此项目”选项不可用。
申请一次,不重新申请
组策略刷新时,优先项适用。
默认情况下,每次刷新组策略时,都会重写首选项的结果。这样可以确保首选项的结果与您在组策略对象中配置的结果一致。
如果选择了一次应用且不重新应用选项,它将更改此行为,因此首选项扩展名仅将一次应用首选项的结果应用于用户或计算机。当您不希望重新应用首选项的结果时,此选项很有用。
物品级定位
组策略提供了用于控制哪些策略设置和首选项应用于用户和计算机的筛选器。首选项提供了额外的过滤层,称为定位。项目级定位使您可以控制首选项是否适用于一组用户或计算机。
使用项目级定位可以更改单个首选项的范围,因此它们仅适用于选定的用户或计算机。在单个组策略对象(GPO)中,您可以包括多个首选项-每个首选项都是为选定的用户或计算机定制的,并且每个目标都旨在仅将设置应用于相关的用户或计算机。
每个定位项目的结果均为true或false。您可以将多个定位项应用于一个首选项,然后选择将每个定位项与前一个定位项组合在一起的逻辑运算(AND或OR)。如果首选项的所有目标项的组合结果为false,则首选项中的设置不会应用于用户或计算机。使用定位集合,您还可以创建括号表达式。
电池存在
电池存在目标项目仅在处理计算机中存在一个或多个电池的情况下,才允许将偏好项应用于计算机或用户。如果选择“不是”,则仅当处理计算机没有一个或多个电池时,才允许应用首选项。
如果将不间断电源(UPS)连接到处理计算机,则“电池存在”定位项目可能会检测到UPS,并将其识别为电池。
电脑名称
仅当计算机名称与定向项目中指定的计算机名称匹配时,计算机名称定向项目才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当计算机名称与定位项中指定的计算机名称不匹配时,才允许应用首选项。
CPU速度
CPU速度定位项目仅在处理计算机的CPU速度大于或等于定位项目中指定的值时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机的CPU速度小于或等于目标项目中指定的值时,才允许应用首选项。
日期匹配
日期匹配目标项目仅当日期或日期与目标项目中指定的日期或日期匹配时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当日期或日期与定位项中指定的日期或日期不匹配时,才允许应用首选项。
计算机)拨号连接
拨号连接目标项目仅在连接了目标项目中指定类型的网络连接后,才允许将首选项应用于用户。如果选择“不是”,则仅当未连接目标项目中指定类型的网络连接时,才允许应用首选项。
拨号连接定位项目检测是否存在网络连接类型,而不是用户是否通过该类型的连接登录。
磁盘空间
磁盘空间目标项目仅在处理计算机的可用磁盘空间大于或等于目标项目中指定的数量时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机的可用磁盘空间小于或等于目标项目中指定的数量时,才允许应用首选项。
域
域定位项目仅在用户登录到计算机或该计算机是定位项目中指定的域或工作组的成员时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当用户未登录或计算机不是目标项目中指定的域或工作组的成员时,才允许应用首选项。
环境变量
仅当在目标项目中指定的环境变量和值相等时,“环境变量”目标项目才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当目标变量中指定的环境变量和值不相等或环境变量不存在时,才允许应用首选项。
如果要使用一组复杂的定位项目来限制多个首选项的范围,则可以使用环境变量来简化配置。例如,创建一个“环境变量”首选项以生成一个值为1的新环境变量,然后将定位项应用到该变量。要将相同的定位应用于其他首选项,请将“环境变量”定位项添加到这些首选项,并将其配置为要求使用“环境变量”首选项创建的变量的值为1。
文件匹配
文件匹配目标项目仅在目标项目中指定的文件或文件夹存在时,或仅在文件存在且其版本在目标项目中指定的范围内时,才可以将首选项应用于计算机或用户。如果选择“不是”,则仅当在目标项目中指定的文件或文件夹不存在时,或者仅在文件版本不在目标项目中指定的范围内时,才允许应用首选项。
IP地址匹配
IP地址范围目标项目仅在处理计算机的IP地址在目标项目中指定的范围内时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机的IP地址不在目标项目中指定的范围内时,才允许应用首选项。
语言
语言定位项目仅当在处理计算机上安装了定位项目中指定的语言环境时,才允许将首选项应用于计算机或用户。其他选项使您可以将定位限制为用户或计算机的区域设置。如果选择“不是”,则仅当处理计算机的语言环境与定位项中指定的语言环境不匹配时,才允许应用首选项。
语言环境由一种语言组成,在某些情况下,由说该语言或使用字母的地理区域组成。例如,法语(加拿大)是由法语和加拿大地理区域组成的语言环境。
LDAP查询
LDAP查询目标项目仅在LDAP查询返回目标项目中指定的属性的值时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当LDAP查询未返回定位项中指定的属性的值时,才允许应用首选项。
MAC地址范围
MAC地址范围目标项仅在任何处理计算机的MAC地址在目标项中指定的范围内时,才允许将优先项应用于计算机或用户。如果选择“不是”,则仅当处理计算机的MAC地址均不在目标项目中指定的范围内时,才允许应用首选项。
范围起点和终点包括端点。您可以通过在两个框中键入相同的值来指定一个地址。
MSI查询
仅当MSI安装的产品,更新或处理计算机上的组件的某些方面与目标项目中的指定条件匹配时,MSI查询目标项目才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机上MSI安装的产品,更新或组件的某些方面与定位项目中指定的指定条件不匹配时,才允许应用首选项。
操作系统
仅当处理计算机的操作系统的产品名称,发行版,版本或计算机角色与目标项目中指定的产品名称,版本或计算机角色匹配时,操作系统目标项目才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当操作系统的产品名称,发行版,版本或计算机角色与定位项目中指定的产品名称,发行版,计算机角色不匹配时,才允许应用首选项。
组织单位
仅当用户或计算机是定位项目中指定的组织单位(OU)的成员时,组织单位定位项目才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当用户或计算机不是目标项目中指定的OU的成员时,才允许应用首选项。
PCMCIA存在
PCMCIA当前目标项目仅在处理计算机至少存在一个PCMCIA插槽的情况下才允许将优先项应用于计算机或用户。如果选择“不是”,则仅当处理计算机没有任何PCMCIA插槽时,才允许应用首选项。
当安装了该插槽的驱动程序并且该插槽正常工作时,便认为存在PCMCIA插槽。
便携式计算机
仅当处理计算机在处理计算机上的当前硬件配置文件中被标识为便携式计算机,或者处理计算机被标识为具有对接的便携式计算机时,便携式计算机目标项目才允许将优先项应用于计算机或用户定位项中指定的状态。如果选择“不是”,则仅当在处理计算机上的当前硬件配置文件中未将处理计算机标识为便携式计算机,或者处理计算机的对接状态不同于指定的对接状态时,才允许应用首选项在定位项中。
处理方式
仅当处理计算机上的组策略处理模式或条件至少与目标项目中指定的条件之一匹配时,处理模式目标项才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机上的组策略处理模式或条件与定位项中指定的任何条件都不匹配时,才允许应用首选项。
内存
RAM定位项目仅在处理计算机中的物理内存总量大于或等于定位项目中指定的数量时,才允许将优先项应用于计算机或用户。如果选择“不是”,则仅当处理计算机中的物理内存总量小于目标项目中指定的数量时,才允许应用首选项。提供物理内存总量(以兆字节(MB)为单位)。输入1 GB的物理内存为1024。输入4 GB的物理内存为4096。
注册表匹配
注册表匹配目标项目只有在目标项目中指定的注册表项或值存在,注册表值包含目标项目中指定的数据,或版本号在计算机中时,才可以将首选项应用于计算机或用户。注册表值在定位项中指定的范围内。如果目标项目允许使用首选项,并且在目标项目中选择了“获取值数据”,则目标项目会将指定注册表值的值数据保存到目标项目中指定的环境变量中。如果选择“不是”,则仅当定位项中指定的注册表项或值不存在,注册表值不包含定位项中指定的数据时,才允许应用首选项。
安全组
仅当处理计算机或用户是目标项目中指定的组的成员时,安全组定位项才允许将优先项应用于计算机或用户,并且仅当指定组是处理计算机的主要组时,才可以将首选项应用于计算机或用户。用户。如果选择“不是”,则仅当处理计算机或用户不是目标项目中指定的组的成员时,才允许应用首选项,并且仅当指定的组不是处理计算机的主要组或用户。
安全组
- 域组
- 本地域
- 全球团体
- 通用团体
- 当地团体
- 本地组(包括内置组)
- 知名
现场
网站定位项仅当处理计算机位于定位项中指定的Active Directory中的站点中时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机不在目标项目中指定的Active Directory中的站点中时,才允许应用首选项。
定位集合
应用于偏好项的目标项将被评估为逻辑表达式。定位集合允许您在该表达式内创建括号分组。您可以将一个定位集合嵌套在另一个定位集合中,以创建更复杂的逻辑表达式。
仅当指定的定向项目的集合的结果为true时,定向集合才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当指定的定向项目的集合导致值为false时,才允许应用首选项。
终端会议
终端会话目标项目仅在处理用户使用目标项目中指定的设置登录到终端服务会话时,才允许将首选项应用于用户。如果选择“不是”,则仅当用户未登录到终端服务会话或用户在没有目标项目中指定的设置的情况下登录到终端服务会话时,才允许应用首选项。
时间范围
时间范围目标项仅在最终用户计算机上的当前时间在目标项中指定的时间范围内时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当最终用户计算机上的当前时间不在目标项目中指定的范围内时,才允许应用首选项。
用户
仅当处理用户是目标项目中指定的用户时,用户目标项目才允许将首选项应用于用户。如果选择“不是”,则仅当处理用户不是目标项目中指定的用户时,才允许应用首选项。
WMI查询
WMI查询目标项仅在处理计算机将WMI查询评估为true时,才允许将首选项应用于计算机或用户。如果选择“不是”,则仅当处理计算机将WMI查询评估为false时,才允许应用首选项。
处理中
之前,该文档介绍了组策略处理。组策略首选项客户端扩展遵循这些相同的规则。因此,链接的层次结构,安全性和WMI筛选可以更改使用组策略首选项配置的组策略对象的范围。通过更改范围,用户和计算机可能会或可能不会收到在这些组策略对象中配置的设置或首选项。
但是,组策略首选项客户端扩展具有其自身的内部处理。您可以为单个组策略首选项扩展配置一个或多个首选项,以在单个组策略对象中处理。例如,您可以将一个GPO配置为在一个GPO中包含10个“驱动器映射首选项”项。
在组策略处理期间,组策略基础结构在组策略扩展列表中循环。在移至每个扩展时,它共享与该扩展相关的信息以处理其组策略部分。与扩展共享的信息的重要组成部分包括:包含更改的组策略对象列表,不再受用户或计算机限制的组策略对象列表。此外,组策略基础结构还提供了特定于该组策略处理实例的信息,例如是否将网络连接视为慢速链接。
组策略首选项扩展使用有关已更改和范围外的组策略对象的信息来处理其策略设置。组策略首选项客户端扩展按从列表顶部到列表底部的顺序处理首选项。
根据首选项中配置的操作,处理每个首选项的结果会有所不同。同样,项目级别的定位可能会阻止将首选项应用于用户或计算机。组策略首选项客户端扩展将应用列表中的每个项目,直到到达列表的末尾;或者由于通用配置设置(例如,如果此扩展项上发生错误则停止处理此扩展中的项目)或“一次应用并执行”而退出不要重新申请。一旦首选项扩展应用了列表中的所有首选项,它就会将控制权返回给组策略服务。
