组策略首选项通过允许管理员配置除标准策略选项以外的其他设置来增强组策略。 虽然首选项和策略设置都存储在 Windows 注册表中,但策略设置优先,并且可以在发生冲突时替代首选项。
Windows 允许你通过其用户界面配置设置,可在其中选择首选选项并确认你的选择。 这些选择作为首选项(带有小写 的“p”)存储在注册表中,这是用户可以根据需要更改的设置。 例如,映射网络驱动器或设置默认主页被视为首选项。 在您的网页浏览器中设置主页后,Windows 会记住您的选择以供未来使用。 相比之下,策略设置由管理员强制执行,并阻止用户更改这些设置。 虽然首选项通常由用户管理,但策略用于确保特定配置保持不变。
组策略首选项允许管理员将首选配置部署到计算机和用户,但不会阻止用户更改这些设置。 与强制实施的组策略设置不同,首选项通过客户端扩展应用,并在每次组策略更新时刷新。 如果用户修改组策略首选项管理的设置,则更改将仅持续到下一次组策略刷新,此时首选项将还原为管理员指定的值。 这不同于标准组策略,后者强制实施设置并完全阻止用户更改。
客户端扩展
组策略首选项由 20 个客户端扩展组成,这些扩展为管理员提供了广泛的配置选项。 这些扩展包括:
| 客户端扩展 | DESCRIPTION |
|---|---|
| 组策略应用程序 | 配置应用程序的设置。 |
| 组策略数据源 | 创建、修改或删除 Open Database Connectivity (ODBC) 数据源名称。 |
| 组策略设备设置 | 启用或禁用硬件设备或设备类。 |
| 组策略驱动器映射 | 创建、修改或删除映射的驱动器,并配置所有驱动器的可见性。 |
| 组策略环境 | 创建、修改或删除环境变量。 |
| 组策略文件 | 复制、修改、替换或删除文件的属性。 |
| 组策略文件夹选项 | 创建、修改或删除文件夹。 |
| 组策略文件夹 | 创建、修改或删除文件夹。 |
| 组策略 INI 文件 | 在配置设置 () 或 (.ini.inf) 文件中添加、替换或删除节或属性。 |
| 组策略 Internet 设置 | 修改用户可配置的 Internet 设置。 |
| 组策略本地用户和组 | 创建、修改或删除本地用户和组。 |
| 组策略网络选项 | 创建、修改或删除 VPN 或拨号网络(DUN)连接。 |
| 组策略网络共享 | 创建、修改或删除网络共享。 |
| 组策略电源选项 | 修改电源选项并创建、修改或删除电源方案。 |
| 组策略打印机 | 创建、修改或删除 TCP/IP、共享和本地打印机连接。 |
| 组策略区域选项 | 修改区域选项。 |
| 组策略注册表 | 复制注册表设置并将其应用于其他计算机。 创建、替换或删除注册表设置。 |
| 组策略计划任务 | 创建、修改或删除计划或即时任务。 |
| 组策略快捷方式 | 创建、修改或删除快捷方式。 |
| 组策略开始菜单设置 | 修改“开始”菜单选项。 (不适用于 Windows 8 和 Windows Server 2012) |
常见配置
大多数组策略首选项项都包含常见的配置选项,可用于控制处理每个首选项项的方式和时间。 每个客户端扩展可以有多个首选项项。 默认情况下,如果一个首选项项失败,则不会停止在同一扩展内处理其他项。
| 选项 | DESCRIPTION |
|---|---|
| 如果此项目发生错误,请停止处理此扩展中的项 | 选中后,如果此首选项项失败,则扩展不会处理当前组策略对象(GPO)中同一扩展中的任何后续首选项项。 此行为仅影响当前组策略对象 (GPO) 和扩展程序,而不会影响其他组策略对象和扩展程序。 首选项按从上到下的顺序处理,因此仅跳过失败项之后列出的项。 |
| 登录用户的安全上下文中运行 (用户策略选项) | 组策略可以使用 SYSTEM 帐户或登录用户帐户应用用户首选项项。 默认情况下,用户首选项项在 SYSTEM 帐户下进行处理,该帐户仅限制对系统级环境变量和资源的访问权限。 选择 登录用户的安全上下文选项中的“运行 ”会导致使用登录用户的权限和环境处理首选项项。 当首选项项需要访问用户特定的资源(如网络驱动器或用户环境变量)时,此功能非常有用,这些资源不适用于 SYSTEM 帐户。 某些首选项扩展(如驱动器映射和打印机)会自动使用用户的安全上下文,并且不需要手动设置此选项。 |
| 不再应用此项时将其删除 | 默认情况下,当组策略对象(GPO)不再应用于用户或计算机时,组策略首选项不会删除设置。 如果 不再应用此项,则选择“删除此项 ”会更改此行为:如果首选项项超出范围,则由于项目级目标或 GPO 更改,将删除以前由该项目应用的设置。 此选项会自动将操作设置为替换,因此首选项扩展模块会根据需要删除并重新创建项目。 如果该项不在范围内,则会删除其设置,且未重新应用。 如果设置为“删除”,则此选项不可用。 |
| 应用一次,不重新应用 | 默认情况下,每次刷新组策略时,都会重新应用首选项项,确保设置保持组策略对象中的配置。 选择 “应用一次”且不重新应用时,首选项项仅应用于用户或计算机一次。 首次应用设置后,组策略不会在后续刷新时重新应用或更新该设置。 如果希望首选项项仅设置一次值,并允许用户或计算机修改它,而不会被后续组策略更新覆盖,则此选项非常有用。 |
项目级定位
使用组策略可以筛选哪些策略设置和首选项项适用于用户和计算机。 首选项添加另一层称为定向筛选的过滤。 使用项目级目标,可以控制首选项项是否适用于某些用户或计算机。 可以使用它缩小单个首选项项的范围,因此它们仅适用于所选用户或计算机。 在单个 GPO 中,可以有多个首选项项-每个首选项项都针对特定用户或计算机。
每个定位项的评估结果为 true 或 false。 可以将多个目标项添加到首选项项,并选择是将它们与 AND 或 OR 逻辑组合在一起。 如果首选项项的组合结果为 false,则不会应用其设置。 还可以使用目标集合为更复杂的逻辑创建括号表达式。
| 条目 | DESCRIPTION |
|---|---|
| 电池存在 | 允许在处理计算机中存在一个或多个电池时应用首选项项目。 如果选择了“否”,则仅当不存在任何电池时适用。 可能会将连接的 UPS 检测为电池。 |
| 计算机名称 | 如果计算机的名称与指定的值匹配,则适用。 如果选择了“不匹配”,则仅在名称不匹配时适用。 |
| CPU 速度 | 如果 CPU 速度大于或等于指定的值,则适用。 如果选择了“非”选项,则仅在 CPU 速度小于或等于指定值时才适用。 |
| 日期匹配功能 | 如果日期或日期与指定的值匹配,则适用。 如果选择了“不是”,则仅在日期或时间不匹配时生效。 |
| 拨号连接 | 如果已连接指定类型的网络连接,则适用于用户。 如果选择了“不是”,则仅在不存在此类连接时适用。 检测连接类型,而不是登录方法。 |
| 磁盘空间 | 如果可用磁盘空间大于或等于指定的量,则适用。 如果选择 “未选择” ,则仅当可用磁盘空间小于或等于指定量时才适用。 |
| 域名 | 如果用户登录或计算机是指定域或工作组的成员,则适用。 如果选择了“未”,则仅当不是成员时适用。 |
| 环境变量 | 如果指定的环境变量和值相等,则适用。 如果选择 不等,仅当不相等或变量不存在时适用。 通过设置和引用变量,可实现复杂的定位功能。 |
| 文件匹配 | 如果指定文件或文件夹存在,或者文件版本在指定范围内,则适用。 如果选择 “未选择” ,则仅当不存在或版本不在范围之外时适用。 |
| IP 地址匹配 | 如果计算机的 IP 地址在指定范围内,则适用。 如果选择了“不”,则仅在不在范围内时适用。 |
| 语言 | 如果指定的区域设置已安装,则适用。 其他选项仅限于用户或计算机的区域设置。 如果选择了“不是”,则仅在区域设置不匹配时生效。 |
| LDAP 查询 | 如果轻型目录访问协议 (LDAP) 查询返回指定属性的值,则适用。 如果选择 非,则仅在没有返回值时才适用。 |
| MAC 地址范围 | 如果任何 MAC 地址位于指定范围内,则适用。 如果选择了“不是”,则仅在没有项目在范围内时生效。 范围终结点包含在内。 |
| MSI 查询 | 如果安装Microsoft软件安装程序(MSI)的产品、更新或组件的各个方面与指定的条件匹配,则适用。 如果选择了“不是”,则仅在它们不匹配时生效。 |
| 操作系统 | 如果 OS 产品名称、发布、版本或计算机角色与指定的值匹配,则适用。 如果选择了“不是”,则仅在它们不匹配时生效。 |
| 组织单位 | 如果用户或计算机是指定 OU 的成员,则适用。 如果选择了“未”,则仅当不是成员时适用。 |
| PCMCIA 演示 | 如果至少有一个 PCMCIA 槽存在且正常运行,则适用。 如果选择了“不是”,则仅在没有插槽存在时生效。 |
| 便携式计算机 | 如果计算机标识为可移植或匹配指定的停靠状态,则适用。 如果选择了“未选中”选项,则仅在不便携或停靠状态不同的情况下适用。 |
| 处理模式 | 如果组策略处理模式或条件与任何指定条件匹配,则适用。 如果选择了“不是”,则仅在没有匹配项时适用。 |
| 内存 | 如果总物理内存大于或等于指定的量(以 MB 为单位),则适用。 如果选择 不是,则仅在少于某个值时适用。 |
| 注册表匹配 | 如果指定的注册表项或值存在,包含指定的数据,或者版本在范围内,则适用。 可以将值数据保存到环境变量。 如果选择“不是”,则仅当不匹配时才适用。 |
| 安全组 | 如果计算机或用户是指定组的成员,或者(可选)是主组,则适用。 如果选择了“非”,则仅当不是成员或不是主组时适用。 支持: |
| 网站 | 如果处理计算机位于指定的 Active Directory (AD) 站点中,则适用。 如果选择了“不在”,则仅当计算机不在指定现场时适用。 |
| 目标集合 | 允许将目标项分组到括号表达式中,以实现复杂逻辑。 仅当集合的计算结果为 true 时,首选项项才适用。 如果选择 “未选择” ,则仅当集合的计算结果为 false 时适用。 集合可以嵌套。 |
| 终端会话 | 仅当用户在具有指定设置的终端服务会话中登录时,该条款才适用于这些用户。 如果选择了不,则仅当用户未登录此类会话或会话设置不匹配时适用。 |
| 时间范围 | 如果用户的计算机上的当前时间在指定范围内,则适用。 如果选择 “未选择” ,则仅当当前时间超出指定范围时适用。 |
| 用户 | 如果处理用户与指定用户匹配,则适用。 如果选择了“不是”,则仅在处理用户不匹配时生效。 |
| WMI 查询 | 如果处理计算机将指定的 Windows Management Instrumentation (WMI) 查询评估为 true,则适用。 如果选择 “未选择” ,则仅当 WMI 查询的计算结果为 false 时,才适用。 |