繼上文WindowsVista如何部署組策略？之后，本文繼續介紹WindowsVista組策略的相關知識。

組策略常見方案（可能為英文網頁）

此程序包包含一系列組策略對象(GPO)，其中列舉了一些常見的桌面方案。它們包括輕托管、移動和kiosk方案及其他方案。

GPMC腳本

GPMC包括一組用于自動執行許多常見的GPO管理任務的編寫腳本界面。使用這些編寫腳本界面，可以管理組策略環境，其中包括生成GPO設置報告、創建和復制GPO以及查找未鏈接的GPO。WindowsVista未包含任何腳本。有關GPMC腳本的詳細信息，請參閱http://go.microsoft.com/fwlink/?linkid=31191（可能為英文網頁）

多語言問題

在WindowsVista中，管理模板設置分為可供所有組策略管理員使用的中性語言（.admx文件）和特定語言資源（.adml文件）。這些文件允許使用組策略工具根據管理員配置的語言調整他們的UI。將新語言添加到一組策略定義可以通過提供可用的特定語言資源文件來完成。

例如，組策略管理員可以從配置為英語的WindowsVista管理工作站創建組策略對象(GPO)。該管理員保存該GPO并將其鏈接到跨地理邊界部署的域。巴黎的同事使用GPMC瀏覽同一域并選擇使用英語創建的GPO。她可以用法語查看并編輯策略設置。創建此GPO的原始組策略管理員仍可以其本地語言英語查看所有設置，包括法語管理員進行的更改。

在遷移或升級到WindowsVista后的組策略更改

在遷移或升級到WindowsVista之后，將會重新應用組策略，就好像全新安裝的一樣。對于Windows域中的客戶端，應用組策略就好像計算機剛加入域或者用戶首次登錄一樣。在域中首次應用組策略時，每個擴展要么遷移其策略設置要么應用這些策略設置。在升級之后，組策略引擎將像全新安裝那樣處理策略設置，重新生成所有RSoP數據，并設置其緩存的所有值。下表提供了特定于每個組件的升級或遷移的詳細信息。

組策略引擎不遷移。RSoP

在升級之后，不需要遷移RSoP數據，這是因為在首次重新啟動過程中將重新應用所有策略設置。

本地GPO

遷移本地GPO。

遷移組MLGPO。

遷移用戶MLGPO。

注意當升級WindowsVista的不同SKU時，將遷移MLGPO數據。

遷移本地GPO。

遷移組MLGPO。

客戶端擴展

客戶端擴展保留注冊表中的注冊數據。擴展注冊表項位于

HKLM\Software\

Microsoft\WindowsNT\

CurrentVersion\Winlogon\

GPExtensions

注意每個客戶端擴展將升級自己的信息。

ADM模板

以前提供的ADM文件被替換為ADMX文件。

在升級過程中保留自定義ADM文件。

遷移Software\Policy注冊表項下的所有策略設置和值。

不遷移首選項設置。

在首次登錄后的第一次重新啟動時重新應用域中的所有策略設置。

自動遷移通過組策略安裝的所有應用程序。

自動遷移%windir%\system32\appmgmt下的所有文件。

遷移注冊表下的以下所有項和值：

HKLM|HKCUSoftware\Microsoft\Windows\CurrentVersion\GroupPolicy\Appmgmt

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Diagnostics下的值“appmgmtdebuglevel”

GPMC和GPEdit

刪除GPMC的以前版本。

在升級后保留腳本文件夾，包括使用GPMC的以前版本安裝的任何GPMC腳本。

將遷移以下GPMC配置數據：

當前直接存儲在控制臺文件(msc)中的信息（如上次連接的域或林）

工具中的注冊表項和首選項（備份文件夾位置、ADM文件選項等）

對于GPEdit，將遷移任何首先項，如默認GPO名稱。

不遷移。

注意

有關在遷移過程中移動的注冊表項列表，請參見附錄B。

驗證組策略設置-策略的結果集(RSoP)

所有組策略處理信息都被收集并存儲在本地計算機上的通用信息模型對象管理(CIMOM)數據庫中。然后，可以通過使用WindowsManagementInstrumentation的工具訪問此信息，如列表、內容和每個GPO的處理詳細記錄。

在記錄模式（組策略結果）中，策略的結果集(RSoP)將在目標計算機上查詢CIMOM數據庫，接收有關策略的信息，并將其顯示在GPMC中。在計劃模式（組策略建模）中，RSoP使用組策略目錄訪問服務(GPDAS)在域控制器上模擬策略的應用。GPDAS模擬GPO的應用，并將它們傳遞到域控制器上的虛擬客戶端擴展。在將信息傳回并顯示在GPMC中之前，此模擬的結果將存儲在域控制器上的本地CIMOM數據庫中。

使用GPMC的RSoP

在ActiveDirectory環境中，管理員使用GPMC來管理組策略。GPMC在網絡上為管理員提供了組策略環境的持久性視圖，包括所選林中的GPO、GPO鏈接、站點、域和組織單位(OU)。使用GPMC，管理員可以執行以前只能通過ActiveDirectory管理工具的“組策略”選項卡執行的任何管理任務。

還可以使用GPMC生成預測網絡上GPO累計效果或報告特定用戶或計算機上GPO累計效果的RSoP數據。此外，管理員還可以使用GPMC執行以前從來不可能執行的GPO操作，如備份和還原GPO，復制GPO，甚至將GPO遷移到其他林。還可以使用WMI腳本讀取或生成GPO設置的HTML或XML報告。

在使用GPMC時存在某些限制，這是因為它無法在RSoP中檢索多個本地組策略對象(MLGPO)，并且GPMC報告不顯示帶高級安全設置的Windows防火墻。

驗證當前生效的實際策略設置

策略的結果集(RSoP)管理單元是一個Microsoft管理控制臺(MMC)工具。管理員使用RSoP管理單元可以報告和計劃組策略對象的累計效果。盡管可以使用RSoP管理單元報告和計劃組策略的效果，但其許多功能已包含在組策略管理控制臺(GPMC)中，這為網絡管理員提供了更好的體驗。RSoP管理單元有一些限制，因為它不報告所有設置（例如，不報告許多新的WindowsVista設置），并且不能在RSoP中檢索遠程計算機。盡管可以繼續使用RSoP管理單元在WindowsVista中收集第三方組策略擴展的RSoP數據，但不建議使用該管理單元。

在確定策略是否應用于用戶或計算機時，建議使用GPMC報告這一工具。但是，GPMC不能與MLGPO一起使用。盡管無法將GPMC報告用于MLGPO，但可以在組策略操作日志中查看此信息。

WindowsVista設置的使用用戶帳戶控制(UAC)的主要目的是減少操作系統的暴露和攻擊面。UAC通過要求所有用戶在標準用戶模式下運行來實現這一點。該限制可以將用戶的更改權限降至最低，從而避免了由于用戶所做更改而造成計算機穩定性下降，還避免了無意中使網絡受到已感染到計算機但尚未被檢測出的惡意軟件所傳播的病毒的侵害。

通過UAC，您可以使用有限權限運行大多數應用程序、組件和進程，但對于特定的管理任務和應用程序功能可能需要“提升權限”。Windows通過對每個用戶使用兩個訪問令牌做到這一點：有限訪問令牌和提升的訪問令牌。訪問令牌用于標識用戶、用戶組和用戶的權限。系統使用訪問令牌控制對安全對象的訪問，并控制用戶在本地計算機上執行各種與系統相關的操作能力。

用于本地管理員的提升令牌包含并啟動所有管理權限。UAC要求本地管理員在嘗試執行僅系統任務或管理任務時使用其提升令牌。用于本地管理員的有限令牌包含所有管理權限；但這些權限是被禁用的。這允許Windows查看管理用戶和常規用戶，并提供了提升他們權限的選項。

默認情況下，登錄到WindowsVista的所有用戶都使用他們的完整令牌來處理組策略和登錄腳本。但是，他們使用有限的用戶令牌加載桌面和所有后續進程。對于權限和組而言，非管理有限令牌和提升令牌大部分是相同的。因此，使用非管理有限用戶令牌啟動的進程可以查看使用非管理提升令牌啟動的進程。Windows允許此情況是因為查看應用程序不需要任何提升權限即可查看由提升令牌啟動的進程。

Windows以同樣的方式處理本地登錄的管理員。組策略和登錄腳本進程使用提升用戶令牌，桌面和所有后續進程使用有限令牌。不過，在有限用戶令牌和提升用戶令牌之間存在著權限差異。因此，Windows將限制使用有限令牌啟動的進程與使用提升令牌啟動的進程共享信息的能力。

UAC可能阻止組策略登錄腳本正確工作。例如，域環境包含一個組策略對象，該對象包含映射網絡驅動器的登錄腳本。非管理用戶從WindowsVista計算機登錄到域。在WindowsVista加載桌面之后，非管理用戶啟動Windows資源管理器。此用戶將看到映射的驅動器。在同一環境中，管理用戶從WindowsVista計算機登錄到域。在WindowsVista加載桌面之后，管理用戶啟動Windows資源管理器。此用戶將看不到映射的驅動器。

當管理用戶登錄時，Windows將使用提升令牌處理登錄腳本。該腳本實際運行并映射驅動器。不過，Windows將阻止映射的網絡驅動器的視圖，因為在使用提升令牌映射驅動器時桌面使用的是有限令牌。

為解決此問題，管理用戶應在有限用戶令牌下映射網絡驅動器。此映射通過使用附錄A中所示的launchapp.wsf腳本完成，它是通過使用任務計劃程序計劃命令進行的。任務計劃程序在完整管理令牌下啟動腳本，從而允許Windows資源管理器、其他有限令牌進程和提升令牌進程查看映射的網絡驅動器。

配置launchapp.wsf推遲執行登錄腳本的步驟

1.將登錄腳本和launchapp.wsf腳本復制到網絡共享位置。

2.啟動組策略管理控制臺(GPMC)。在GPMC中，右鍵單擊要修改的GPO，然后單擊“編輯”。

3.在“用戶配置”節點中，展開“Windows設置”，然后單擊“腳本”。

4.右鍵單擊“登錄”，然后單擊“屬性”。

5.在“登錄屬性”對話框中，單擊“添加”。

6.在“腳本名稱”框中，鍵入launchapp.wsf

7.在“腳本參數”框中，鍵入logon.bat的完整路徑和名稱。

在WindowsVista中，組策略從Winlogon進程中移出，并作為單獨的服務運行。組策略客戶端負責應用由管理員通過組策略組件為計算機和用戶配置的設置。在服務管理單元中，啟動、停止、暫停和恢復組策略客戶端的選項不可用。這是因為，如果客戶端服務停止或被禁用，將無法應用設置，并且無法通過組策略管理應用程序和組件。如果客戶端服務停止或被禁用，則依賴于組策略組件的任何組件或應用程序將無法正常工作。

需要重新啟動或登錄的策略設置

本部分中基于注冊表的組策略設置在啟用時需要重新啟動或登錄。本部分中帶項目符號的條目包含組策略設置的名稱，后跟其功能。

登錄

不允許使用窗口動畫：此策略設置控制窗口動畫的顯示，如還原、最小化和最大化窗口時的動畫。

不允許桌面組合：此策略設置控制某些圖形的呈現方式，并有助于其他功能，包括Flip、Flip3D和任務欄縮略圖。

不允許調用Flip3D：此策略設置禁用3D窗口轉換程序。

指定默認顏色：此策略設置控制用戶不指定顏色時窗口框架的默認顏色。

不允許更改顏色：此策略設置控制更改窗口框架顏色的能力。

詳細與正常狀態消息：此策略設置指示系統顯示非常詳細的狀態消息。

設置要在登錄時間過期時執行的操作：此策略設置控制登錄用戶的登錄時間到期時要采取哪種操作。

設置要在登錄時間過期時執行的操作：此策略設置控制登錄用戶的登錄時間到期時要采取哪種操作。此操作包括鎖定工作站、斷開用戶連接或完全注銷用戶。

在用戶登錄期間報告登錄服務器何時不可用：此策略控制如果在登錄期間無法聯系登錄服務器，并且用戶已經使用以前存儲的帳戶信息登錄時是否應通知登錄的用戶。

自定義用戶界面：此策略設置指定備用用戶界面。

關閉TabletPC觸摸屏輸入：此策略設置關閉觸摸屏輸入，允許用戶使用手指與計算機交互。

關閉WindowsDefender：此策略設置關閉WindowsDefender實時保護，即不再計劃掃描。

關閉舊版的遠程關機界面：此策略設置控制舊版的遠程關機界面（命名管道）。需要管道遠程功能才能從遠程WindowsServer2003或WindowsXP系統關閉此系統。

WindowsVista在組合使用漫游用戶配置文件和文件夾重定向時可以提供許多優勢。將用戶數據重定向到中心網絡位置可以減少用戶配置文件的大小，使用戶數據隨時可用，并通過傳輸較少的數據提高用戶登錄和注銷性能。結合使用文件夾重定向和漫游用戶配置文件可讓用戶在WindowsVista和WindowsXP計算機之間共享漫游數據。

運行WindowsVista的計算機無法讀取從WindowsXP創建的漫游用戶配置文件。這對于具有漫游用戶配置文件但必須從WindowsVista和WindowsXP計算機漫游的用戶而言是一個問題。WindowsVista文件夾重定向解決了此問題。

使用文件夾重定向可以重定向隨WindowsVista用戶配置文件一起提供的所有常見文件夾。使用此功能可以將WindowsXP用戶配置文件中的文件夾與WindowsVista配置文件中的文件夾共享。例如，可以在WindowsVista和WindowsXP之間共享收藏夾?？梢詫indowsVista中的收藏夾重定向到WindowsXP同步漫游用戶配置文件中的收藏夾的同一位置。

使用以下白皮書中的方案3創建一個或多個文件夾重定向策略，以允許用戶與WindowsVista和WindowsXP共享漫游用戶數據。白皮書中的共享路徑是用戶的漫游用戶文件夾的共享路徑。

有關其他信息，請訪問http://go.microsoft.com/fwlink/?LinkId=73435（可能為英文網頁）。

網絡訪問保護和網絡位置感知

網絡訪問保護(NAP)是WindowsVista、WindowsServer2008（現在處于試用版測試階段）和WindowsXP的一個策略增強平臺，它通過強制符合系統健康要求（例如，確保客戶端具有最新的操作系統并安裝了防病毒更新）更好地保護網絡資產。使用NAP可以創建自定義健康策略，以便在允許訪問或通信之前驗證計算機健康情況，自動更新符合要求的計算機可以確保能夠繼續符合要求，并有選擇地將不符合要求的計算機限制到一個有限網絡，直到它們成為符合要求的計算機。

當客戶端計算機嘗試訪問網絡時，它必須提供其系統健康狀態。如果客戶端計算機無法證明其符合系統健康策略，則它對網絡的訪問將被限制到一個包含服務器資源的有限網段，以便能夠補救遵從性問題。在安裝更新之后，客戶端計算機將再次請求訪問網絡。如果符合要求，客戶端計算機將被授予無限制訪問。

請記住，NAP不是一個安全解決方案。它旨在防止具有不安全配置的計算機連接到網絡，而不是保護網絡不受具有有效憑據集的惡意用戶和滿足當前健康要求的計算機的攻擊。

在客戶端計算機一端，網絡位置感知(NLA)功能可以確保系統在建立到域控制器的連接時接收通知，并且組策略服務決定是否對該事件應用策略設置。不過，NLA無法識別從隔離環境（也就是NAP環境）到公司環境的轉換；因此，當計算機從隔離區出來時，NLA將不向組策略提供網絡通知。

由于在隔離之后NLA不提供有關成功網絡連接的通知，因此可以提供以下解決辦法。NAP組件在日志文件中記錄一個事件。管理員需要編寫一個檢測此事件的腳本，該腳本調用gpupdate以確保組策略在成功進行VPN連接時刷新。

通過利用NLA，WindowsVista可以更快地響應網絡更改，在組策略刷新之前不再有長達90分鐘的延遲。如果跳過以前的策略設置應用程序周期（或者失敗），則組策略將在到域控制器的網絡連接可用時進行重試。這是對以前版本的組策略的重要改進，因為消除了組策略對ICMP的依賴性。

使用組策略管理WindowsVista功能

WindowsVista有許多可以通過組策略管理的新功能，其中包括電源管理、設備安裝和使用以及安全設置。下面是幫助您配置這些功能的循序漸進指南列表。

WindowsVista打印管理循序漸進指南（可能為英文網頁）

通過組策略控制設備安裝和使用的循序漸進指南（可能為英文網頁）

管理組策略ADMX文件循序漸進指南（可能為英文網頁）

以下鏈接中引用的電子表格列出了隨WindowsVistaRC1交付的管理模板文件(admx/adml)中包括的計算機策略設置和用戶配置。此電子表格中包括的策略設置涵蓋WindowsVistaRC1、MicrosoftWindowsServer2003、WindowsXPProfessional和Windows2000。這些文件用于在使用組策略對象編輯器（也稱為GPEdit）編輯組策略對象(GPO)時公開策略設置。

http://go.microsoft.com/fwlink/?linkid=54020（可能為英文網頁）

解決組策略問題

若要解決組策略問題，您需要了解組策略及其支持技術（如Microsoft?ActiveDirectory?目錄服務和文件復制服務[FRS]）之間的交互，以及管理、部署和應用組策略對象本身的方式。了解這些內容之后，即可以使用特定的工具幫助您找到確定并解決問題的辦法。

WindowsVista中的組策略基礎結構發生了很大改變。組策略處理不再存在于Winlogon進程中，而是作為自己的服務承載。此外，組策略引擎不再依賴于userenv.dll中的跟蹤日志記錄。因此，不再有userenv日志文件。

較早版本的Windows中的許多組策略疑難解答都依賴于在組件userenv.dll內部啟用的日志記錄。這在%WINDIR%\Debug\Usermode文件夾中創建了名為userenv.log的日志文件。此日志文件包含支持數據的功能跟蹤說明。此外，配置文件加載和卸載功能共享此日志文件，使日志有時難以診斷。此日志文件與策略的結果集Microsoft管理控制臺(RSoPMMC)結合使用，是診斷和解決組策略問題的主要方式。

在WindowsVista中，組策略被視為其自己的具有新組策略服務的組件，該服務是一個在Svchost進程下運行的獨立服務，用于讀取和應用組策略。新服務包括事件報告的更改。以前顯示在應用程序日志中的組策略事件消息現在顯示在系統日志中。事件查看器列出了這些具有Microsoft-Windows-GroupPolicy事件源的新消息。組策略操作日志將取代以前的userenv日志記錄。操作事件日志提供特定于組策略處理的改進的事件消息。

本文對于windowsvista組策略的相關介紹希望能夠對讀者有所幫助，更多有關組策略的知識還有待于讀者去探索和學習。

【編輯推薦】

1. WindowsVista如何部署組策略？
2. 如何在組策略編輯器中添加管理模板？
3. 如何通過組策略設置群集用戶賬戶登錄權限？
4. 如何在組策略中設置“用戶權利指派”策略？
5. 如何在windows系統的域控制器中打開和使用組策略 ？