是否有任何文档可以解释这些之间的区别:
我知道禁用和启用强制执行策略,据我所知,这意味着用户无法在本地更改策略。
我发现一些博客文章表明策略禁用相当于“未配置,但已强制执行”。这意味着现在强制执行策略的默认行为,未配置行为,因此用户无法在本地更改它。
但是,我找不到任何支持这一点的文档。任何人都可以帮助澄清困惑吗?
组策略管理模板策略除了设置注册表值(通常在Software\PoliciesinHKEY_CURRENT_USER和 下HKEY_LOCAL_MACHINE,以及其他几个位置或第三方 ADM(X) 文件可能想要设置它们的任何位置)之外,什么都不做。
就个人而言,我认为考虑诸如注册表操作之类的管理模板策略似乎更直观。在组策略处理期间,每个包含管理模板的 GPO 都“覆盖”在注册表上,并且该 GPO 中指定的任何值都会覆盖以前加载到那里的值(因为这些值默认在注册表中,或者因为它们是由某人放置在那里的)或其他 GPO)。
我认为同样重要的是要记住,程序如何对注册表中的值做出反应是该程序行为的一部分,而不是管理模板策略功能的一部分。该策略将事物放入注册表(或删除它们)。有问题的程序如何对存在的那些值做出反应并设置为特定值(或不存在)是程序行为的一部分,并且因程序而异。
管理模板策略可以在注册表中设置单个值,也可以编写它来操作多个值。这仅取决于 ADM(X) 文件的编写方式。
编写 ADM(X) 超出了本问题的范围,但如果您真的想深入了解组策略,则应该了解它。随着组策略首选项注册表首选项扩展的出现,制作自定义 ADM(X) 文件变得不像过去那么重要,但如果您想为其他系统管理员提供干净的用户界面,这仍然很好。
考虑到所有这些,以下是给定管理模板策略的各种“状态”的含义:
策略未配置 - 未指定值。注册表中已有的任何值都不会被操纵。
Policy Disabled - 删除现有策略创建的任何值。
启用策略 - 将发生注册表操作(添加、更改或删除值)。通常,这采用放入或更改注册表中现有值的形式,但启用的策略也可能删除值。
某些 Internet Explorer 管理模板策略包含带有“启用”、“禁用”和“提示”选项的三态列表框。我怀疑这些就是您所指的以下项目。
在所有这三种情况下,“启用策略”意味着您将一个值放入注册表中。Internet Explorer 使用该值来确定是否应启用、禁用正在操作的设置,或者是否应提示用户。这不是管理模板策略行为——它是 Internet Explorer 解释由确定此行为的管理模板策略放入注册表的值的方式。
无论选择哪个,从管理模板的角度来看,策略都已启用,因此您只是在操纵注册表的值。
| 归档时间: |
|
| 查看次数: |
18459 次 |
| 最近记录: |