组策略首选项
组策略首选项
组策略首选项是将首选项设置传递到运行 Microsoft Windows 桌面和服务器操作系统的加入域的计算机的组策略客户端扩展的集合。 首选项设置是部署到台式机和服务器的管理配置选择。 首选项设置不同于策略设置,因为用户可以选择要更改管理配置。 策略设置以管理方式强制实施限制用户选择的设置。
组策略首选项将分发给使用组策略的加入域的计算机。 组策略的灵活性使其能够将不透明的配置数据传递到运行 Windows 的加入域的计算机。 不透明的数据将被传递到哪个点不透明的数据才会变为相关因为客户端扩展理解数据组策略客户端扩展。
本文档介绍的组策略驱动器映射和打印机客户端扩展插件如何处理其配置数据。 了解这一点,管理员可以更有效设计和部署组策略驱动器映射和打印机在其环境中的项。 和本技术参考中提供的信息使 IT 专业人员进行故障排除组策略驱动器映射和打印机的处理。
组策略是使您能够保护计算机和用户设置的 Windows Server 内包含的管理技术。 保护这些设置可确保用户一个常见的计算环境并且通过限制对操作系统产生负面影响的无意或有意配置降低总拥有成本。
组策略对象 (GPO) 是两个组件、 组策略容器和组策略模板组成一个逻辑对象。 Windows 将两个对象存储在域中的域控制器上。 组策略容器对象存储在 Active Directory 的域分区中。 组策略模板的域中的每个域控制器是系统卷 (SYSVOL) 上存储文件和文件夹的集合。 Windows 将复制到域中的所有域控制器的容器和模板。 Active Directory 复制复制组策略容器时文件复制服务 (FRS) 或分布式文件系统复制 (DFSR) 服务将在 SYSVOL 上的数据复制。
组策略容器和模板组合在一起 ;使被称为组策略对象的逻辑对象。 每个组策略对象包含的配置的两个类: 用户和计算机。 计算机配置设置会影响作为整体,而不考虑在用户登录计算机。 用户配置设置会影响当前登录的用户,并与每个用户可能会有所不同。 计算机设置的一些示例包括电源管理、 用户权限和防火墙设置。 用户设置的示例包括 Internet Explorer、 显示设置,以及文件夹重定向。
组策略对象和它们的设置应用于计算机和用户链接到的。 您可以将 Gpo 链接到 Active Directory 站点、 域、 组织单位或嵌套的组织单位。 组策略对象分开链接到的容器。 这种分离使您能够将单个 GPO 链接到多个容器。 将 Gpo 链接到许多容器使单个 GPO 将应用于用户或多个容器中的计算机。 这将定义该 GPO 的作用域。 计算机配置适用于容器或嵌套的容器内的计算机。 用户配置适用于以相同的方式的用户。
策略设置在用户登录期间应用到在计算机启动时的计算机和用户。 Windows Server 2012 和 Windows 8 包括组策略服务。 在计算机启动过程组策略服务 Active Directory 中查询有关的作用域内 (链接) 的计算机对象的 Gpo 的列表。 再次重申,这包括:
-
计算机所在的站点
-
计算机在其中域
-
向其计算机是直接成员和上面父 OU 的任何其他组织单位的父组织单位。
组策略服务决定哪些 Gpo 将应用到计算机 (有很多方面与文件管理器的 Gpo 应用,这超出了本简介的范围是) 并将应用这些策略设置。 客户端扩展 (Cse) 负责应用 Gpo 中包含的策略设置。 组策略客户端扩展是从组策略服务负责从 GPO 中设置数据并将其应用到计算机或用户读取特定策略的单独组件。 例如,组策略注册表客户端扩展从每个 GPO 中读取注册表策略设置数据并应用那些信息组织到注册表。 安全 CSE 读取并应用安全策略设置。 文件夹重定向 CSE 读取并应用文件夹重定向策略设置。
组策略处理重复的计算机上的用户登录时。 组策略服务决定将应用于用户的 Gpo 并应用用户策略设置。
很重要扎实理解如何创建、 修改和将组策略对象链接到 Active Directory 中的容器。 组策略首选项作为组策略中使用的相同概念。 事实上,您管理组策略首选项相同的方式组策略的管理。 这是一项检查组策略 ;它还没有完成。 如果您不熟悉如何管理组策略或您需要一个全面的刷新器,您可以阅读 Windows 组策略资源工具包。Windows Server 2008 和 Windows Vista (Microsoft Press 2008)。
组策略客户端扩展是一个独立的组件,它负责处理组策略基础结构通过其传递的特定策略设置。 每个组策略客户端扩展插件将数据保存在其中的格式可以是唯一的每个扩展插件。 并且,组策略基础结构不知道这种格式,也不关心。 组策略的目的是将设置传递到其中的每个客户端扩展应用来自多个组策略对象的策略设置的一部分的计算机。
为了帮助您了解组策略基础结构和组策略之间的关系客户端扩展-请考虑邮政承运人。 邮政承运人从各种来源收集信息并为您提供该信息。 邮政承运人并不知道哪些自身提供的信息。 信息可能是一个字母、 一张 DVD 或 CD 中包含照片。 邮政承运人只知道它们是将信息传递给一个特定的地址。
在这个比喻中,组策略服务是邮政承运人 — 它提供的信息不出任何知识的信息。 邮政承运人通过其传递的信息代表不同的策略设置。 组策略客户端扩展表示接收信息的人员。 地址可以具有多个收件人。 每个收件人在预期的格式中接收他们自己的邮件。 组策略客户端扩展读取其各自的策略设置信息并执行基于操作的信息包含在策略设置中。
组策略应用程序是决定哪些 Windows 应用于用户或计算机的组策略对象并将这些设置的过程。 了解组策略处理是关键规划和部署组策略设置。 误解组策略处理是不需要和无法解释的策略设置的最常见原因。
理解组策略处理的关键是作用域。 作用域是只应该应用到用户或计算机根据其对象的位置在 Active Directory 中的所有组策略对象的集合。 创建作用域由链接与 Active Directory 中的特定位置的组策略对象。
理解组策略处理的关键是作用域。 作用域是只应该应用到用户或计算机根据其对象的位置在 Active Directory 中的所有组策略对象的集合。 创建作用域由链接与 Active Directory 中的特定位置的组策略对象。
组策略提供了可以更改组策略对象的作用域的选项。 更改组策略对象的作用域会影响应用哪些策略设置,而那些不这样做。 更改组策略使用的作用域处理顺序,筛选,和链接选项。
组策略处理必须标识作用域到它应用策略设置。 作用域是只需为用户或计算机对象驻留在 Active Directory 层次结构中的状态。 若要发现的作用域的用户或计算机对象的最简单方法是查找相应的用户或计算机的 Active Directory 中的可分辨的名称。 对象的可分辨的名称的目录中提供的对象标识和在该目录中的对象位置。 请考虑以下的可分辨的名称。
CN=Kim Akers,OU=Human Resources, DC=corp,DC=contoso,DC=com
从这一点,组策略服务确定用户对象、 包含该用户对象的组织单位和用户对象所在的域的名称。
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
链接
了解组策略作用域需要知道从何处链接使它们适用于用户或计算机的组策略对象。 若要启用了组策略对象以将应用于用户或计算机,您将其与关联 Active Directory 中的特定位置。 将组策略对象与 Active Directory 中的对象相关联称为链接。
Active Directory 具有控制可以将链接组策略对象的规则。 您可以将组策略对象链接到 active Directory 对象包括:
-
站点对象
-
域对象
-
组织单位对象
对这些 Active Directory 对象的链接组策略对象是在部署组策略中具有战略意义的。 这些是容器对象。 容器对象作为名称所暗示的意味着它们可以包含其他对象中它们 — 它们表示的对象的目录中的层次结构分组。 站点对象可以包含多个域中的计算机对象。 域对象可以包含多个组织单位、 计算机和用户对象。 组织单位对象可以包含其他组织单位对象、 计算机和用户。 让我们再次看一下的可分辨名称。
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
仔细观察的可分辨名称将显示无法可能将组策略设置应用于用户的每个容器对象。 CN = Jeff Low 是用户对象名称。 不能直接与用户对象链接组策略。 但是,该名称的剩余部分将显示对象的位置。 从左到右,可以发现的工作是支持的每个容器对象适用于用户的组策略。
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com DC=corp,DC=contoso,DC=com
这两个位置表示组策略的作用域。 组策略服务从这些位置的目录中的每个收集链接的组策略对象。 这表示用户或计算机的作用域的组策略。
请注意 Windows 会收集的组策略对象列表的顺序。 它开头接近用户的 OU,并释放该目录遍历到离用户,这就是通常的域对象最远的对象。 通过将链接,必须在与用户或计算机范围内的组策略对象的列表。 但是,在列表中的不是每个 GPO 应适用于用户或计算机。
安全筛选
组策略作用域是由于在 Active Directory 中的其对象的位置可能适用于用户或计算机的所有组策略对象的列表。 安全筛选确定相应的用户或计算机是否具有适当的权限要应用的组策略对象。 用户或计算机必须具有读取和应用组策略针对组策略服务要考虑的组策略对象应用到该用户的权限。
组策略服务循环访问确定如果用户或计算机具有到 GPO 的适当权限的组策略对象的完整列表。 如果用户或计算机具有的权限来应用 GPO,则组策略服务将移动的 GPO 到 Gpo 的筛选后列表。 它将继续筛选直至到达列表末尾基于权限的每个组策略对象。 筛选的组策略对象列表包含的用户或计算机的作用域内的所有 Gpo 和适用于用户或基于权限的计算机。
WMI 筛选
WMI 筛选是确定应用于用户或计算机的组策略对象的作用域的最后阶段。
Windows Management Instrumentation (WMI) 是基于 Web 的企业管理 (WBEM) 的 Microsoft 实现。 WMI 使用通用信息模型 (CIM) 行业标准来表示系统、应用程序、网络、设备和其他托管组件。
组策略提供了多个筛选器以控制所适用的组策略对象的范围。 可以使用 WMI 来创建查询以便询问特定功能的计算机、 操作系统和其他托管的组件。 在查询的窗体,您将创建类似逻辑表达式-其中结果将等于 true 或 false 的条件。 关联,或将这些条件链接到组策略对象。 如果条件计算结果为 true,组策略对象将仍适用于用户并保留在筛选后列表。 如果条件计算结果为 false,组策略服务从筛选列表中删除的组策略对象。
WMI 筛选完成后,组策略服务具有的列表来筛选组策略对象。 此最终列表代表用户或计算机中所有适用的组策略对象。 在内部,安全和 WMI 筛选在一个周期中发生。
处理顺序
组策略具有特定的顺序应用组策略对象。 因为组策略使用应用程序的顺序来解决冲突的策略设置不同组策略对象链接到不同位置中在 Active Directory,了解应用组策略对象的顺序很重要。
本地、 站点、 域和 OU
组策略服务适用本地组策略第一次,则组策略对象从站点中后, 跟组策略对象从域和组策略的组织单位中的对象。 如果要接收组策略设置,则组策略服务的目标的用户或计算机应用组策略对象从最远的 Ou 中从用户到最接近的沿袭的沿袭到该用户。 请考虑筛选适用的组策略对象的列表。
DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
请注意组策略对象的顺序已更改的第一个列表。 这一重新排序的组策略过程中发生的安全和 WMI 筛选器处理。 组策略服务生成通过查找用户或计算机对象和它就会引导至目录树中然后收集所有链接的 Gpo 的 Gpo 的第一个列表。 从这些应用,因为作为组策略服务将新发现的链接位置添加到列表底部的顺序向后列出了这些 Gpo。 本部分说明为什么域位置在列表的底部。
但是,当筛选用于安全和 WMI 筛选器列表,则组策略服务从列表中,这是最接近的沿袭对用户或计算机对象的 OU 顶部开始。 该服务通过将放置到筛选后列表通过筛选器的 Gpo 中创建一个新的列表 (筛选列表)。 该服务反转的原始列表中,使列表顶部的域位置的顺序。 最接近用户的位置为列表的底部,组策略的顺序将 Gpo 应用于用户和计算机。
冲突解决
每个组策略对象包含相同数量的潜在的策略设置。 因此,很可能能够在多个组策略对象中定义的相同的策略设置。 冲突发生时的相同的策略设置配置多个组策略对象中。 如相同的空间在路上竞争的两部汽车 — 一次为准和其他丢失。 组策略通过使用一种称为最后一个写入者胜出方法来处理冲突。 最后一个写入者胜出通过声明作为组策略将上一次写入的设置的主导设置解决冲突。 因此,包含上次应用的冲突策略设置的组策略对象是胜过所有其他设置的设置。
本文档的处理顺序节介绍了在本地、 站点、 域和组织单位的顺序应用组策略对象。 基于此处理层次结构:
-
组策略对象链接到 Active Directory 站点中的策略设置来解决策略设置的本地组策略对象和组策略对象链接到 Active Directory 站点之间的冲突。
-
在 Gpo 链接到域中的策略设置来解决组策略对象链接到 Active Directory 站点和 Gpo 链接到 Active Directory 域之间的策略设置冲突。
-
在 Gpo 链接到组织单位中的策略设置来解决之间链接到 Active Directory 域的组策略对象和 Gpo 链接到组织单位的策略设置冲突。
-
在 Gpo 链接到子组织单位中的策略设置来解决之间链接到子组织单位的组策略对象和 Gpo 链接到父组织单位的策略设置冲突。
在同一位置链接的 Gpo 之间的冲突解决方法
组策略使您能够链接多个组策略对象在每个站点、 域和组织单位的目录中的位置。 到目前为止,冲突解决方法只能标识之间存在冲突的策略设置在 Active Directory 中的两个不同位置链接的分辨率。 在同一位置链接对象中组策略冲突的策略设置如何呢?
组策略将继续使用上一次写入者胜出方法来解决组策略对象链接为 Active Directory 中的同一位置之间的策略设置冲突。 了解组策略管理控制台 (GPMC) 链接到 Active Directory 中的位置的组策略对象如何解释在 Active Directory 中的相同位置的组策略对象链接的处理顺序。
GPLink 特性
支持链接、 Active Directory 站点、 域和组织单位的组策略的位置这样做,因为每个对象具有 GPLink 属性。 GPLink 特性是接受字符串数据类型的值的单值属性。 尽管 Active Directory 架构强制 GPLink 特性的单值性质,组策略将使用该属性作为一个多值属性。 GPMC 将使用以下格式的 GPLink 属性值。
[distinguishedNameOfGroupPolicyContainer;linkOPtions][…][…]
DistingushedNameOfGroupPolicyContainer 令牌表示组策略容器的可分辨的的名称。 组策略对象是信息的单个逻辑对象的两部分组成。 存储在文件系统上信息的组件是组策略模板。 剩余的组件中,组策略容器是存在于 Active Directory 的域分区中的 Active Directory 对象中的对象。 作为上述,目录对象的可分辨的名称提供了对象的名称和在目录中的位置。
LinkOptions 令牌是一个整数值,定义与组策略对象相关联的链接选项。 目前,您可以启用或禁用链接的组策略对象。 此外,您可强制执行配置该链接。 LinkOptions 值是一个位值配置其中组合值而异。
Enabled0x0 Disabled 0x1 Enforced0x2
禁用组策略对象的链接可防止组策略服务的目标的用户或计算机的作用域内的 Gpo 列表中包括该 GPO。 DistinguishedNameOfGroupPolicyContainer linkOptions 标记括在方括号 ([]) 和是由分号 (;) 分隔。 这表示单独链接的组策略对象。 将另一个组策略对象链接到的位置插入一个新的 distingushedNameOfGroupPolicyContainer 和现有的组合 ; 之前的 linkOptions 组合它不到末尾添加新的组合。 链接的模式继续值 ; 开头插入新链接的 Gpo通过将现有的值移到右侧。
组策略服务读取此长字符串作为从左到右的值的列表。 在值中的第一个 GPO 链接项是第一个要应用在此位置。 在值中的下一项之后应用。 过程持续进行的值中的最后一个 GPO 适用。
本质上是组策略将分配的每个 GPO 优先顺序 (基于它读取列表的顺序从左到右。 因此,在值中的第一个 GPO 的已链接组策略对象列表中具有最低的优先级。 在值下一步的 GPO 具有优先权要高于以前 GPO 因为它在以前的 GPO ; 后应用其策略设置赢得之间两个 Gpo 的任何策略设置冲突。 遵循每个 GPO 具有优先权要高于在它之前在链接顺序中的组策略对象。 在值中的最后一个 GPO 具有最高优先级因为它是组策略服务将应用的最后一个组策略对象。
理解这一点的最好办法是将一长串视为的 Gpo 列表。 采取的第一个 GPO (左侧大多数 GPO) 的值并将其置于列表。 采取的下一步链接 GPO 列出并放置在 (否则会导致所有其他人可以向下移动列表中由一个) 的列表顶部。 继续此过程直到最后一个 GPO 是在列表顶部。 此最终的 GPO 链接的项列表是优先顺序,这意味着列表从底部到顶部处理。
当在优先顺序列表中进行查看,很容易地发现在列表中较高的 Gpo 具有更多的优先级高于 Gpo 列表中较低的层。 因此,在列表中较低的 Gpo 会丢失策略设置冲突并在列表中较高的 Gpo 赢得策略设置冲突。
链接选项
如前面所述的选项作为链接组策略启用、 禁用,并且强制执行。 启用和禁用选项是直观的了解。 何时启用的链接被视为在目标的用户或计算机的作用域的组策略。 一个已禁用链接行为就像从未链接组策略对象。
强制
已强制执行链接选项是所有规则的例外。 已强制执行选项可确保从链接的 GPO 设置始终优先遵循而不考虑任何其他组策略对象,该对象包含与这些链接的 GPO 可能会发生冲突的策略设置的冲突。 GPMC 直观地通过将一把锁添加到现有的链接的策略图标表示已强制实施的组策略链接。 始终应用从强制链接的组策略设置后,即使的组织单位有启用阻塞策略继承
阻塞策略继承
有关组策略处理顺序的最后一项是阻塞策略继承,或只称为组策略管理控制台中阻止继承。 每个域和组织单位中 Active Directory 对象包含GPOptions属性。 此设置可阻止组策略设置更高版本链接应用到用户和通常是在容器中的处理顺序较低级别中的计算机的处理顺序。
例如,链接到域的策略设置适用于计算机和整个域,而不考虑其父组织单位内的用户。 但是,您可以使用 GPMC 来阻止继承在域或组织单位以防止正常的组策略设置应用到用户和该容器中的计算机上。 阻止策略继承在域上的会阻止来自 Gpo 将应用于域从链接到 Active Directory 站点的组策略设置。 阻塞策略继承的组织单位可以防止正常 Gpo 将应用于组织单位从链接到站点和域组策略设置。
阻塞策略继承不会阻止从强制链接的组策略对象的组策略设置将应用于用户和计算机。 从已强制实施的链接的组策略设置应用与在域和组织单位对象上的阻止策略继承状态无关。
组策略首选项扩展了组策略。 首选项不是组策略设置。 Windows 将这两个设置存储在注册表中 ;然而,策略设置具有如下优点首选项 — — 它们通常重写首选项。
您可以配置 Windows 中使用的用户界面。 用户界面将您提供了选择 ;选择您喜欢; 的选项单击确定或者关闭该对话框。 Windows 然后将您的选择保存到注册表以便它可以更高版本回想一下这些设置。 由用户可配置的设置被称为首选项 (请注意小写"p")。 映射的共享的文件夹或选择默认的主页是举例说明如何首选项。 当设置主页上使用 Internet Explorer 中,你可以关闭 web 浏览器并且再次打开它和它将记住您的主页。 从首选项策略设置不同,因为会对用户或计算机强制执行策略设置。 策略可防止用户更改其设置。 通常情况下,用户配置首选项。
组策略首选项使您能够在不限制用户从选择不同的配置部署到计算机和用户的所需的配置。 请务必记住虽然用户可以更改配置,组策略首选项是组策略客户端扩展。 使用组策略; 刷新组策略首选项因此,组策略将覆盖具有在组策略首选项中配置的值由用户更改任何首选项设置。 替换已配置的用户首选项与其中一个使用组策略首选项配置设置是无法与组策略相同。 True 的组策略设置强制执行设置和禁止用户更改的设置。 用户可以轻松地更改直到下次刷新组策略 (它返回首选项设置回在组策略首选项中配置的值) 由组策略首选项启用的首选项值。
组策略首选项是组策略客户端扩展。 还有 20 组合起来便构成组策略首选项的扩展。 这些扩展插件包括
客户端扩展 |
说明 |
组策略环境 |
创建、 修改或删除环境变量。 |
组策略的本地用户和组 |
创建、修改或删除本地用户和组。 |
组策略设备设置 |
启用或禁用硬件设备或设备类。 |
组策略的网络选项 |
创建、 修改或删除虚拟专用网络 (VPN) 或拨号网络 (DUN) 连接。 |
组策略驱动器映射 |
创建、 修改或删除映射的驱动器和配置所有驱动器的可见性。 |
组策略文件夹 |
创建、 修改或删除文件夹。 |
组策略的网络共享 |
创建、 修改或删除网络共享 |
组策略文件 |
复制、 修改的属性,以及替换或删除文件。 |
组策略的数据源 |
创建、修改或删除开放式数据库连接 (ODBC) 数据源名称。 |
组策略 INI 文件 |
添加、 替换或删除的节或配置设置 (.ini) 或安装信息 (.inf) 文件中的属性。 |
组策略文件夹选项 |
创建、 修改或删除文件夹。 |
组策略计划任务 |
创建、修改或删除计划的或即时的任务。 |
组策略注册表 |
复制注册表设置并将其应用于其他计算机。 创建、 替换或删除注册表设置。 |
组策略打印机 |
创建、修改或删除 TCP/IP、共享的和本地的打印机连接。 |
组策略快捷方式 |
创建、 修改或删除快捷方式。 |
组策略的 Internet 设置 |
修改用户可配置的 Internet 设置 |
组策略开始菜单设置 |
修改启动菜单选项。(不适用于 Windows 8 和 Windows Server 2012) |
组策略区域选项 |
修改区域选项。 |
组策略电源选项 |
修改电源选项,创建、修改或删除电源方案。 |
组策略应用程序 |
为应用程序配置设置。 |
组策略首选项的大多数项共享的常见的配置,使您能够控制组策略首选项处理的每个已配置的首选项的作用域。
如果错误发生在该项上,停止处理此扩展插件中的项
每个首选项扩展插件可以包含一个或多个首选项。 默认情况下,失败的首项不会阻止同一扩展中的其他首选项处理。
如果在该项上出错时停止处理此扩展插件中的项选项时,失败的首选项会扩展插件内的剩余首选项阻止从处理。 此更改行为限于主持的组策略对象 (GPO) 和客户端扩展。 它不会扩展到其他 Gpo。
请务必了解组策略首选项扩展处理来自列表的顶部的首项和工作到底部按照自己的方式。 首选项扩展只停止处理遵循失败的首选项首选项 (这些项的下面失败显示首项在列表中的显示)。
登录的用户的安全上下文 (用户策略选项) 中运行
有两个组策略应用应用用户首选项的安全上下文: 系统帐户和登录的用户。
默认情况下,组策略处理使用系统帐户的安全上下文的用户首选项项目。 在此安全上下文中,该首选项扩展将被限制为环境变量和系统资源仅供该计算机。
如果登录的用户的安全上下文中运行选择选项,将更改在其下处理首选项的安全上下文。 该首选项扩展处理的安全上下文中的登录的用户的首选项。 这允许访问资源作为用户而不是计算机首选项扩展。 当使用的驱动器映射或其他计算机可能不具有对资源的权限的首选项或使用环境变量时非常重要。 许多环境变量的值不同之外登录的用户的安全上下文中计算时。
组策略首选项扩展需要在用户的安全上下文如驱动器映射和打印机中处理自动切换到该用户的上下文并不需要您来调整此设置。
当不再应用时删除该项目
组策略将策略设置和首选项应用于用户和计算机中。 向 Active Directory 站点、 域或组织单位中决定哪些用户和计算机接收这些项目通过将一个或多个组策略对象 (Gpo) 链接。 这些容器中的用户和计算机对象接收策略设置和首选项在链接的 Gpo 中定义,因为它们是在 GPO 的作用域内。
与策略设置不同的组策略服务不会删除首选项设置,主持的 GPO 时不在用户或计算机范围。
如果不再应用时删除该项目选项时,将更改此行为。 选择此选项后,该首选项扩展决定应不将首选项应用于目标的用户或计算机 (超出范围)。 如果该首选项扩展确定首选项超出作用域是,它将删除与首选项关联的设置。
选择此设置更改首选项操作保存到 '替换。 在组策略应用期间首选项扩展重新创建 (删除并创建) 首选项的结果。 该首选项超出作用域的用户或计算机时,该首选项的结果是删除,但不是会创建。 可以使首选项超出作用域通过使用项目级目标或更高级别的如 WMI 和安全组筛选器的组策略筛选器。
不再应用时删除该项目选项不可用时将首选项操作设置为删除。
应用后并不会重新应用
首选项应用组策略刷新时。
默认情况下,每次组策略刷新的时都重写首选项的结果。 这可确保首项结果是与你在组策略对象中的配置保持一致。
如果应用后并不会重新应用选项时,它更改此行为,因此该首选项扩展将首选项的结果应用于用户或计算机仅一次。 当您不希望重新应用将首选项的结果时此选项很有用。
组策略提供筛选器以控制哪些策略设置和首选项应用于用户和计算机。 首选项提供筛选称为目标添加的的层。 项目级目标允许您控制是否将首选项应用于的用户或计算机组。
使用项目级目标来更改单个首选项项目的范围,以便它们仅应用于所选的用户或计算机。 可以在单个组策略对象 (GPO),包括多个首选项 — 每个自定义的所选的用户或计算机,并且若要设置仅适用于相关用户或计算机的每个目标。
每个目标项会导致值为 true 或 false。 您可以将多个目标项应用于一个首选项并选择逻辑运算 (和或 OR) 通过相组合与前一次每个目标项。 如果所有目标项将首选项的组合的结果为 false,不到用户或计算机应用该首选项中的设置。 使用目标集合,还可以创建带括号的表达式。
电池存在
电池存在目标项目才允许首选项仅当一个或多个电池时在处理计算机中存在要应用于计算机或用户。 如果选择不是,这样只有处理计算机没有一个或多个电池存在才能应用该首选项。
如果不间断电源 (UPS) 连接到在处理计算机,电池存在目标项目可能会检测到 UPS 并将其标识为电池。
计算机名称
计算机名称目标项允许将首选项仅当计算机的名称匹配目标项中指定的计算机名称时要应用于计算机或用户。 如果选择不是,它允许计算机的名称与目标项中指定的计算机名称不匹配时才应用该首选项。
CPU 速度
CPU 速度目标项允许将首选项应用于计算机或用户只有在处理计算机的 CPU 速度大于或等于目标项中指定的值。 如果选择不是,这样只有处理计算机的 CPU 速度小于或等于目标项中指定的值才能应用该首选项。
日期匹配
日期匹配目标项允许将首选项仅当一天或日期匹配目标项中指定要应用于计算机或用户。 如果选择不是,它允许仅当一天或日期不匹配目标项中指定要应用该首选项。
拨号连接
拨号连接目标项允许将首选项应用于用户仅当连接目标项中指定的类型的网络连接。 如果选择不是,它允许仅当连接目标项中指定的类型的网络连接没有要应用该首选项。
拨号连接目标项检测是否存在的类型的网络连接,无论用户是否登录通过该类型的连接。
磁盘空间
磁盘空间目标项允许将首选项应用于计算机或用户只有在处理计算机的可用磁盘空间是大于或等于目标项中指定的数量。 如果选择不是,这样只有处理计算机的可用磁盘空间小于或等于目标项中所指定的量才能应用该首选项。
域
域目标项允许将首选项只有在用户登录到或者计算机是域或在目标项中指定的工作组的成员才能应用于计算机或用户。 如果选择不是,这样只有用户没有登录到或者计算机不是域或在目标项中指定的工作组的成员才能应用该首选项。
环境变量
环境变量目标项允许将首选项应用于计算机或用户仅当在环境变量与目标项中指定的值相等。 如果选择不是,它允许仅当在环境变量与目标项中指定的值是否不相等或环境变量不存在要应用该首选项。
如果要使用一组复杂的目标项来限制多个首选项的作用域,可使用环境变量简化配置。 例如,创建一个环境变量首选项,此首选项将生成值为 1 的新环境变量,然后对此首选项应用目标项。 若要对其他首选项应用相同的目标,对这些首选项添加一个环境变量目标项,然后对它进行配置,要求使用环境变量首选项创建的变量的值为 1。
文件匹配
文件匹配目标项允许将首选项仅当目标项中指定的文件夹的文件存在,或在目标项目中仅当文件已存在并且是在范围内的版本指定要应用于计算机或用户。 如果选择不是,它允许仅当目标项中指定的文件夹的文件不存在,或只有文件的版本不是目标项中指定的范围之内要应用该首选项。
IP 地址匹配
IP 地址范围目标项目允许将首选项应用于计算机或用户仅当在处理计算机的 IP 地址是目标项中指定的范围之内。 如果选择不是,这样只有处理计算机的 IP 地址不是目标项中指定的范围之内要应用该首选项。
Language
语言目标项才允许首选项应用于计算机或用户仅当目标项中指定的区域设置上已安装在处理计算机。 其他选项允许您限制用户或计算机的区域设置的目标。 如果选择不是,这样只有处理计算机的区域设置与目标项中指定的区域设置不匹配才能应用该首选项。
区域设置由一种语言的以及在某些情况下,在其中讲述语言或字母表使用一个地理区域组成。 例如,法语 (加拿大) 是由语言法语和加拿大的地理区域组成的区域设置。
LDAP 查询
LDAP 查询目标项允许将首选项应用于计算机或用户仅当 LDAP 查询返回目标项中指定的属性的值。 如果选择不是,这样只有 LDAP 查询不返回目标项中指定的属性的值才能应用该首选项。
MAC 地址范围
MAC 地址范围目标项目允许将首选项仅当目标项中指定的范围之内的任何处理计算机的 MAC 地址是要应用于计算机或用户。 如果选择不是,这样只有处理计算机的 MAC 地址的任何不是目标项中指定的范围之内才能应用该首选项。
范围开始点和结束点都包含在内。 可以通过在两个框中键入相同的值来指定一个地址。
MSI 查询
MSI 查询目标项允许将首选项应用于计算机或用户只有 MSI 的某些方面在处理计算机上安装产品、 更新或组件与目标项中指定的条件相匹配。 如果选择不是,这样如果安装的 MSI 产品、 更新或组件在处理计算机的某些方面不匹配指定的目标中的指定的标准项才能应用该首选项。
操作系统
操作系统目标项允许将首选项只有在处理计算机的操作系统的产品名称、 版本、 edition 或计算机角色与匹配目标项中所指定要应用于计算机或用户。 如果选择不是,它允许操作系统的产品名称、 版本、 edition 或计算机角色与目标项中指定的那些都不匹配时才应用该首选项。
组织单位
组织单位目标项才允许将首选项应用于计算机或用户仅当用户或计算机是目标项中指定的组织单位 (OU) 的成员。 如果选择不是,它允许仅当用户或计算机不是要应用该首选项在目标项中指定的 OU 的成员。
PCMCIA 存在
才能通过 PCMCIA 存在目标项目才允许首选项应用于计算机或用户在处理计算机具有至少一个 PCMCIA 插槽时才存在。 如果选择不是,这样只有处理计算机没有任何 PCMCIA 插槽才能应用该首选项。
PCMCIA 插槽被视为已安装驱动程序插槽和插槽正常时存在。
便携式计算机
便携式计算机目标项才允许将首选项应用于计算机或用户仅当在处理计算机标识为在处理计算机当前的硬件配置文件中的便携式计算机或在处理计算机标识为便携式计算机的插接状态与目标项中指定。 当选择时不是时,它允许仅当在处理计算机未标识为在处理计算机当前的硬件配置文件中的便携式计算机或在处理计算机的插接状态与目标项中指定的插接状态要应用该首选项。
处理模式
处理模式目标项才允许将首选项应用于计算机或用户仅当组策略处理模式下或在处理计算机的条件匹配时至少其中一个目标项中指定。 如果选择不是,它允许仅当组策略处理模式下或在处理计算机的条件不匹配目标项中指定的任何要应用该首选项。
RAM
RAM 目标项目允许将首选项应用于计算机或用户只有处理计算机中物理内存的总量是大于或等于目标项中指定的数量。 如果选择不是,这样只有处理计算机中物理内存的总量小于目标项中所指定的量才能应用该首选项。 提供单位为兆字节 (MB) 的物理内存的总量。 1 千兆字节 (GB) 的物理内存应该输入 1024年。 4 千兆字节的物理内存应该输入 4096。
注册表匹配
注册表匹配目标项允许将首选项应用于计算机或用户仅当存在的注册表项或在目标项中指定的值,如果注册表值包含在该目标项目中指定的数据或注册表值中的版本号是目标项中指定的范围之内。 如果目标项才允许首选项并且目标项中选择 Get 值数据,目标项将指定的注册表值的值数据保存到目标项中指定的环境变量中。 如果选择不是,它允许的注册表项或在目标项中指定的值不存在,如果注册表值不包含该目标项目中指定的数据或注册表值中的版本号不是目标项中指定的范围之内的情况下只有才能应用该首选项。
安全组
安全组目标项允许将首选项应用于计算机或用户仅当过程计算机或用户是指定在目标项目中并可以选择仅当指定的组是过程计算机或用户的主要组的组的成员。 如果选择不是,这样只有处理计算机或用户不是指定在目标项目中并可以选择仅当指定的组不是过程计算机或用户的主要组的组的成员才能应用该首选项。
安全组
-
域组
-
本地域
-
全局组
-
通用组
-
-
本地组
-
本地组 (包括内置组)
-
熟知
-
站点
站点目标项目允许将首选项应用于计算机或用户只有在处理计算机处于目标项中指定的 Active Directory 中的站点。 如果选择不是,这样只有处理计算机不在目标项中指定的 Active Directory 中的站点才能应用该首选项。
目标集合
应用于首选项的目标项被视为一种逻辑表达式。 目标集合中,可以创建在表达式中的括号分组。 您可以嵌套在另一个用于创建更复杂的逻辑表达式中的一个目标集合。
目标集合允许将首选项应用于计算机或用户仅当指定的目标项集合生成值为 true。 如果选择不是,它允许指定的目标项集合生成值为 false 的情况下只有才能应用该首选项。
终端会话
终端会话目标项才允许将首选项应用于用户仅当处理用户登录到终端服务会话目标项中指定的设置。 如果选择不是,它允许用户未登录到终端服务会话或用户登录到终端服务会话不在目标项目中指定的设置的情况下,才会应用该首选项。
时间范围
时间范围目标项目允许将首选项仅当目标项中指定的时间范围之内的最终用户计算机上的当前时间为要应用于计算机或用户。 如果选择不是,它允许最终用户计算机上的当前时间不是目标项中指定的范围之内的情况下只有才能应用该首选项。
用户
用户目标项允许将首选项应用于用户仅当在处理用户是目标项中指定的用户。 如果选择不是,这样只有在处理用户不是目标项中指定的用户才能应用该首选项。
WMI 查询
WMI 查询目标项允许将首选项应用于计算机或用户仅当在处理计算机评估 WMI 查询为 true。 如果选择不是,这样只有在处理计算机评估 WMI 查询为 false 才能应用该首选项。
更低版本,本文档介绍了组策略处理。 组策略首选项客户端扩展遵守这些相同的规则。 因此,链接层次结构、 安全和 WMI 筛选可以更改组策略对象配置了组策略首选项的作用域。 通过更改作用域,用户和计算机可能或可能不会收到设置或首选项配置这些组策略对象中。
但是,组策略首选项客户端扩展具有其自己的内部处理。 您可以配置要在单个的组策略对象内处理的单个组策略首选项扩展的一个或多个首选项。 例如,您可以配置单个 GPO 以包含在单个 GPO 的 10 个驱动器映射首选项项目。
在组策略处理过程的组策略基础结构进行循环的组策略扩展的列表。 当它移到每个扩展插件时,它会共享扩展,以处理自己的组策略相关的部分的相关信息。 通过扩展共享的信息的关键组件包括包含更改的组策略对象的列表不再出现在与用户或计算机的作用域中的组策略对象的列表。 此外,组策略基础结构提供特定于此实例的组策略处理如如果网络连接被视为慢速链接的信息。
组策略首选项扩展使用已更改和超出范围组策略对象有关的信息来处理其策略设置。 组策略首选项客户端扩展处理从列表的顶部到列表底部的顺序的首选项。
处理每个首选项的结果根据在该首选项中配置的操作会有所不同。 此外,项目级别导向可以防止首选项应用于用户或计算机。 组策略首选项客户端扩展应用列表中的每个项直到到达列表中,或由于常见的配置设置如退出停止处理项目在此扩展中的出错时对此项或应用一次并不会重新应用。 一旦的首选项扩展将应用在列表中的所有首选项,但它会将控制权返回给组策略服务。