使用组策略管理浏览器设置
原文地址:https://technet.microsoft.com/zh-cn/library/gg699415.aspx
如果使用Active Directory 域服务 (AD DS) 来管理您的网络,可以使用组策略提供的一套全面的策略设置来管理 Windows ® Internet Explorer ® 9(将它部署到最终用户的计算机之后)。下列工具提供了不同的方式来管理策略和设
置。
- 管理模板。您可以使用管理模板策略设置来管理基于注册表的策略,用于数以百计的 IE 9 选项,包括安全选项。
- **组策略首选项。**您可以使用组策略首选项设置来配置用户可以在以后进行更改的选项。
- Internet Explorer维护。可以使用组策略中的Internet Explorer 维护 (IEM) 扩展来预设和管理域中的某些 Internet Explorer 9 设置(包括用户界面和连接设置)。
.gif) 重要说明 |
| 我们建议您尽可能使用组策略中的管理模板设置,因为这些设置始终将写入注册表中的安全策略部分。此外,我们建议您部署标准用户帐户而不是允许用户以管理员身份登录,防止用户对系统进行不好的更改或重写组策略设置。 |
通过遵循这些建议,用户不能通过Internet Explorer 9 用户界面或修改注册表更改管理的设置。大多数 IEM 的扩展设置和可以在Internet Explorer Administration Kit 9 (IEAK 9)中管理的浏览器设置提供在应用它们后可修改的首选
项。
如果不使用 AD DS 和组策略管理用户的计算机,您可以在部署后使用 IEAK Profile Manager 配置和更新某些浏览器设置和首选项。有关 IEAK Profile Manager 的更多信息,请参阅通过 IEAK 9 Profile Manager 管理浏览器设置。
组策略概述
大多数 IT 专业人员都熟悉组策略,这基于 AD DS 并使您可以管理计算机和用户设置。您可以在组策略对象 (GPO) 中配置组策略设置。要创建并编辑 GPO,请使用 组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到所选的 Active Directory 站点、域和组织单位 (OU),您将 GPO 中的策略设置应用到那些 Active Directory 容器中的计算机和用户。组策略对象包括基于注册表的管理模板策略设置、安全设置、软件部署、脚本、文件夹重定向、首选项和 IEM 设置。
通过使用组策略配置 Internet Explorer 9,您可以一次配置一个设置并在多台计算机上执行设置。相对于脚本之类的技术,组策略可以在低人为错误风险的情况下最有效地影响许多计算机。例如,您可以在 GPO 中配置 Internet Explorer 9 安全设置,组策略可以将这些设置应用于域中的每个计算机。未以管理员身份登录到计算机的用户不能更改这些设置,所以您可以放心让组策略强制您的标准配置。
组策略还为特定计算机和用户的组策略设置提供了灵活的方法。最简单的方法是将 GPO 链接到特定的 OU,仅对 OU 包含的计算机和用户应用其设置。接下来,组策略支持安全筛选。例如,您可以配置 GPO,以便它仅应用于本组织内的特定安全组。针对 GPO 最有能力的方式是使用 WMI 筛选。例如,您可以创建 WMI 筛选器仅将 GPO 应用于特定品牌和型号的计算机,或有手提电脑机箱的计算机。
组策略的复杂性可以根据您的要求缩放。即使很小的组织也可以从使用组策略管理他们的计算机受益。在这些情况下,只使用最基本的组策略功能也可以非常简单地实现。具有更复杂要求的较大组织可以使用组策略提供的高级功能。有关更多信息,请参阅 TechNet 上的组策略 TechCenter。组策略 TechCenter 为组策略提供最新的技术文档、视频和下载链接。
组策略管理工具
有几种工具可用于创建、管理、查看和解决 GPO 故障。以下各节描述了大部分这些工具,并提供详细信息的链接。其中包括:
- 组策略管理控制台 (GPMC)
- 组策略管理编辑器 (GPME)
- 高级组策略管理 (AGPM)
- Windows Powershell
- 事件查看器
组策略管理控制台
GPMC 跨组织的多个林提供组策略各个方面的统一管理。通过使用 GPMC,您可以管理网络上所有的 GPO、Windows Management Instrumentation (WMI) 和组策略相关权限。GPMC 是组策略的窗口,所有组策略管理工具可从 GPMC 界面进入。
GPMC 提供了基于 Microsoft 管理控制台 (MMC) 的用户界面和一组可脚本化接口来管理组策略。Windows Server 2008 和 Windows Server 2008 R2 GPMC 包含 32 位和 64 位版本的 GPMC。GPMC 提供的功能包括:
- 导入和导出 GPO。
- 复制和粘贴 GPO。
- 备份和还原 GPO。
- 搜索现有的 GPO。
- 报告功能,包括您可以保存和打印的 HTML 报告中的策略的结果集 (RSoP) 数据。
- 组策略建模,使您可以模拟 RSoP 数据规划组策略部署,然后在生产环境中实现。
- 组策略结果,使您可以获取用于查看 GPO 交互和解决组策略部署故障的 RSoP 数据。
- 迁移表,便于跨域和林导入和复制 GPO。迁移表是一个文件,可以将对用户、组、计算机和源 GPO 中通用命名约定 (UNC) 路径引用的引用映射到目标 GPO 中的新值。
- 可脚本化接口,支持 GPMC 中可用的所有操作。但是,不能使用脚本编辑 GPO 中的单个策略设置。
有关GPMC 的更多信息,请参阅 TechNet 上的文章组策略管理控制台。
组策略管理编辑器
当您打开一个 GPO 对其进行编辑时,GPMC 打开GPME 窗口。GPME 提供用户界面用于编辑个别GPO 中的设置。您可以通过使用GPME 来配置的设置类型的示例包括:
| 计算机策略 | 用户策略 |
|
|
高级组策略管理
作为 MDOP 的一部分,AGPM 是软件保障客户扩展组策略的附加许可证。它提供了一个强健的代理模型和更改控制,帮助组织优化组策略管理、减少普遍故障的风险,并在出现问题时快速恢复。
了解 AGPM 有三个重要的概念。
**离线编辑GPO。**首先,您可以在生产环境外部使用AGPM 编辑GPO。AGPM 在 AGPM 归档中存储GPO。只有在编辑、评审和批准部署GPO 之后AGPM 才能将GPO 投入生产。
**三个用户角色。**其次,您可以委托用户三个角色:
- **审阅者。**审阅者可以查看和比较 AGPM 归档中的 GPO,但不是能编辑或部署 GPO。
- **编辑者。**编辑者可以查看和比较 AGPM 归档中的 GPO。他们还可以检查归档外的 GPO、编辑 GPO、检查归档的 GPO 并请求 GPO 部署。
- **审批者。**审批者可以批准 AGPM 归档中的GPO 创建并将 GPO 部署到生产。(审批者创建或部署 GPO 时自动进行批准)。
您可以将这些角色的用户和组委托给域内所有受控的GPO(即域代理)。也可以在单独控制的GPO 中委托这些角
色。
**高级更改控制功能。**第三,AGPM 提供高级更改控制功能,可以帮助您管理GPO 的生命周期。对于具有使用常见版本控制工具(比如 Microsoft SharePoint ® Server 2010 中的版本控制功能)的管理员来说,许多 AGPM 更改控制概念都很熟悉。
要更改和部署 GPO:
- 从归档文件签出 GPO
- 根据需要脱机编辑 GPO。
- 将GPO 签入存档。
- 请求将 GPO 部署到生产。
AGPM 保留每个GPO 的更改历史记录。您可以快速将任何GPO 版本部署到生产,如有必要,您可以快速将GPO 回滚到早期版本。AGPM 也可以比较不同版本的GPO,显示添加、更改和删除设置。因此,可以在批准并将它们部署到生产环境之前轻松地查看更改。每个GPO 完整的历史记录不仅可以审核更改,还可以审核与该GPO 有关的一切活动。
有关 AGPM 的更多信息,请参阅高级组策略管理概述。
Windows PowerShell
Windows PowerShell 是一个命令行 shell 和脚本语言。使用 Windows PowerShell,您可以在一台计算机的本地或多台计算机上的远程自动化 Windows 和应用程序管理。为了帮助您自动化组策略管理,组策略为 Windows PowerShell 提供了 25 个以上的 "cmdlet"。每一个都是一种简单、单功能的命令行工具。您可以使用组策略 cmdlet 来执行基于域的 GPO 任务,比如:
- 创建、删除、备份和导入 GPO。
- 创建、更新和删除组策略链接。
- 设置组织单位 (OU) 和域的继承标记和权限。
- 配置基于注册表的策略设置和组策略首选项的注册表设置。
- 创建并编辑启动 GPO。
有关Windows PowerShell 的更多信息,请参阅 Windows PowerShell TechCenter。
事件查看器
组策略在系统日志中记录事件消息。您可以使用事件查看器来查看这些消息。事件源是 Microsoft-Windows-GroupPolicy。有关使用事件日志解决 组策略疑难问题的更多信息,请参阅使用事件日志解决组策略问题。