一、什么是組策略

（一）組策略有什么用?

說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應用軟件配置的數(shù)據(jù)庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是 可以自定義設置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。

簡單點說，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。

（二）組策略的版本

大部分Windows 9X/NT用戶可能聽過“系統(tǒng)策略”的概念，而我們現(xiàn)在大部分聽到的則是“組策略”這個名字。其實組策略是系統(tǒng)策略的更高級擴展，它是由Windows 9X/NT的“系統(tǒng)策略”發(fā)展而來的，具有更多的管理模板和更靈活的設置對象及更多的功能，目前主要應用于Windows 2000/XP/2003系統(tǒng)。

早期系統(tǒng)策略的運行機制是通過策略管理模板，定義特定的.POL（通常是Config.pol）文件。當用戶登錄的時候，它會重寫注冊表中的設置值。當然，系統(tǒng)策略編輯器也支持對當前注冊表的修改，另外也支持連接網(wǎng)絡計算機并對其注冊表進行設置。而組策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows 2000/XP/2003系統(tǒng)的網(wǎng)絡功能是其最大的特色之處，其網(wǎng)絡功能自然是不可少的，因此組策略工具還可以打開網(wǎng)絡上的計算機進行配置，甚至可以打開某個Active Directory 對象（即站點、域或組織單位）并對它進行設置。這是以前“系統(tǒng)策略編輯器”工具無法做到的。

無論是系統(tǒng)策略還是組策略，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發(fā)生了變化和擴展而已。

二、組策略中的管理模板

在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件，稱為“管理模板”，它們?yōu)榻M策略管理模板項目提供策略信息。

在Windows 9X系統(tǒng)中，默認的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統(tǒng)文件夾的inf文件夾中，包含了默認安裝下的4個模板文件，分別為：

1）System.adm：默認情況下安裝在“組策略”中，用于系統(tǒng)設置。

2）Inetres.adm：默認情況下安裝在“組策略”中；用于Internet Explorer策略設置。

3）Wmplayer.adm：用于Windows Media Player 設置。

4）Conf.adm：用于NetMeeting 設置。

在Windows 2000/XP/2003的組策略控制臺中，可以多次添加“策略模板”，而在Windows 9X下，則只允許當前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制臺中使用如下：

首先運行“組策略”程序，然后選擇“計算機配置”或者“用戶配置”下的“管理模板”，按下鼠標右鍵，在彈出的菜單中選擇“添加/刪除模板”，則彈出如圖1所示的對話框。

圖 1

然后單擊“添加”按鈕，在彈出的對話框中選擇相應的.adm文件。單擊“打開”按鈕，則在系統(tǒng)策略編輯器中打開選定的腳本文件，并等待用戶執(zhí)行。

返回到“組策略”編輯器主界面后，依次打開目錄“本地計算機策略→用戶配置→管理模板”，再點擊相應的目錄樹，就會看到我們新添加的管理模板所產(chǎn)生的配置項目了（為了便于本文后面的實例大家能一起動手操作，建議添加除默認模板文件的其它模板文件）。

再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關閉”，以便將當前腳本關閉，然后再在“選項”菜單中選擇“模板”，則彈出如圖2所示的對話框。

圖 2

然后單擊“打開模板”按鈕，在彈出的對話框中選擇相應的.adm文件并單擊“打開”按鈕，則在編輯器中打開選定的腳本文件并等待用戶執(zhí)行。

三、運行組策略

（一）Windows 9X策略編輯器

按操作系統(tǒng)的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制臺，它在系統(tǒng)安裝時已經(jīng)默認安裝上了；另外一種就是Windows 9X的系統(tǒng)策略編輯器，它在系統(tǒng)安裝時并不被安裝，程序文件在Windows安裝盤上的/tools/reskit/netadmin/poledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。

如果是Windows 9X系統(tǒng)通過下面的方法，則可以進行正規(guī)的安裝過程。

1．在控制面板中，雙擊“添加/刪除程序”圖標，單擊“安裝Windows”標簽，然后單擊“從磁盤安裝”選項。

2．在從磁盤安裝對話框中，單擊“瀏覽”按鈕并指定Windows 9X安裝光盤的tools/reskit/netadmin/poledit目錄。

3．單擊“確認”按鈕，然后再次單擊對話框中的“確認”按鈕。

4．在從磁盤安裝對話框中，選擇“系統(tǒng)策略編輯器”和“組策略”復選框，然后單擊“安裝”按鈕。

安裝完成后，單擊“運行”命令項，輸入poledit，然后單擊“確認”按鈕（運行后的界面如圖3所示）。

圖 3