GPO 经验法则:禁用 vs 启用 vs 未配置

GPO 经验法则:禁用 vs 启用 vs 未配置

是否有任何文档可以解释它们之间的区别:

  • 策略未配置
  • 政策已禁用
  • 策略已启用,设置已启用
  • 策略已启用,设置已禁用
  • 策略已启用,设置提示

我知道“已禁用”和“已启用”会强制执行该策略,据我理解,这意味着用户无法在本地更改该策略。

我发现了一些博客文章这表明“策略已禁用”相当于“未配置,但已强制执行”。这意味着策略的默认未配置行为现在已强制执行,因此用户无法在本地更改它。

但是,我找不到任何文件来支持这一点。有人能帮我解决困惑吗?

答案1

Software\Policies组策略管理模板策略除了设置注册表值(通常在HKEY_CURRENT_USER和下HKEY_LOCAL_MACHINE,以及其他几个位置,或第三方 ADM(X) 文件可能想要设置它们的任何位置)之外不执行任何其他操作。

就我个人而言,我认为将管理模板策略视为注册表操作似乎更为直观。在组策略处理期间,每个包含管理模板的 GPO 都会“覆盖”在注册表上,并且该 GPO 中指定的任何值都会覆盖先前加载到注册表中的值(因为这些值默认位于注册表中,或者因为它们是由某个人或其他 GPO 放置在那里的)。

我认为同样重要的是要记住,程序如何对注册表中的值作出反应是该程序行为的一部分,而不是管理模板策略功能的一部分。策略将内容放入注册表(或删除它们)。相关程序如何对这些值存在并设置为特定值(或不存在)作出反应是程序行为的一部分,并且因程序而异。

管理模板策略可以在注册表中设置单个值,也可以编写为操作多个值。这取决于 ADM(X) 文件的编写方式。

编写 ADM(X) 超出了这个问题的范围,但是这是你应该知道的事情如果您真的想深入了解组策略。随着组策略首选项注册表首选项扩展的出现,制作自定义 ADM(X) 文件的重要性已远不如过去,但如果您想为其他系统管理员提供一个干净的用户界面,这仍然很好。

考虑到所有这些,以下是给定管理模板策略的各种“状态”的含义:

  • 策略未配置 - 未指定任何值。注册表中已有的任何值均不会被操纵。

  • 策略已禁用- 现有策略创建的任何值都将被删除。

  • 策略已启用 - 将发生注册表操作(添加、更改或删除值)。通常,这表现为将值放入注册表或更改现有值,但启用的策略也可能会删除值。

某些 Internet Explorer 管理模板策略包含三态列表框,其中有“已启用”、“已禁用”和“提示”选项。我怀疑这些就是您指的以下项目。

  • 策略已启用,设置已启用
  • 策略已启用,设置已禁用
  • 策略已启用,设置提示

在这三种情况下,“策略已启用”意味着您正在将一个值放入注册表中。Internet Explorer 使用该值来确定是否应启用、禁用正在操作的设置,或者是否应提示用户。这不是管理模板策略行为——而是 Internet Explorer 如何解释由管理模板策略放入注册表中的值来决定此行为。

无论选择哪一个,从管理模板的角度来看,该策略都已启用,因此您只需操作注册表的值。

相关内容