Win 2000/XP/2003的管理模板及应用实战

　　管理是 2000/XP/ 2003的一个重要组件，它们均为格式的，.adm，组策略对象编辑器的管理模板部分即由它们创建。

图1　组策略对象界面的管理模板部分管理模板(.adm)文件后被创建

　　通过对象编辑器的两个管理模板部分，可实现对组策略对象()指定计算机注册表的机器(HKLM)和用户(HKLM)部分的修改，而你只需将你的组策略对象同适当的地址、域或组织连接起来，但管理模板(.adm文件)并不会自己修改目标计算机的注册表，它们只是在对象编辑器里创建，从而使你可为组策略对象指定的计算机注册表。

　　目前，通过管理模板可对1300多种不同的注册表设置进行修改，其功能之强大可见一斑，这些设置包括从配置到禁闭用户桌面以及配置组策略的工作方式等。你可以通过对象编辑器安装管理模板，Windows缺省安装了一些模板，也可以为某些应用程序下载其他模板，甚至可以创建自己的模板。

　　一、管理模板的分类

　　1.标准模板

　　标准管理模板放在计算机的%windir%\文件夹下，操作系统版本不同，缺省安装的管理模板也不一样。表1列出了不同操作系统缺省安装的模板。

　　表1　缺省管理模板

　　除上述这些操作系统缺省安装的模板，%windir%\夹下还有一些模板是在你需要的时候安装使用的。

　　表2　其他标准管理模板

　　2.其他模板

　　首先来看一下Microsoft 的模板(表3)，这些模板在3资源工具包中可以得到，通过这些模板可对应用程序在受管理环境即组策略环境中进行更多的控制。

　　表3　 2003管理模板

　　在Microsoft还可以找到Office 2003 1的一些最新模板，Office的早期版本也有自己的模板。

　　另外，还有一些模板，如资源工具包中的Inetesc.adm，它显示 2003中Internet Explorer增强安全配置的策略设置，你可以从Microsoft下载中心得到最新的组策略管理模板文件。 　　二、管理模板应用实战

　　1.添加模板

　　通过添加一个新模板，你可以对一些操作系统或应用程序特性在一个受管理的Windows环境中进行更多的控制，这个环境就是应用组策略管理用户和计算机的环境。例如，我们希望对Internet Explorer的增强安全配置在Windows Server 2003计算机上的行为特性进行控制，当你使用Internet Explorer浏览一个没有添加进受信任地址区的网页时，就会弹出一个提示框，这让人感到很厌烦。为了控制这一特性，我们需要Inetesc.adm模板，它可以作为Windows Server 2003资源工具包的一部分从Microsoft下载中心下载。

　　首先下载工具并将其安装到一个目录，然后将Inetesc.adm模板复制到标准模板安装的缺省文件夹%windir\inf下面或你创建的存放非标准和定制模板的其他文件夹下面。通过组策略对象编辑器打开组策略对象，右键单击计算机配置或用户配置下的管理模板部分，选择“添加/删除模板”，此时就会显示已经安装模板的列表(图2)。

图2　已安装的缺省模板

　　点击“添加”按钮，并浏览Inetesc.adm模板存放的文件夹(图3)。

图3　选择Inetesc.adm模板

　　点击“打开”，Inetesc.adm模板就被安装了(图4)。

图4　 Inetesc.adm模板已被安装

　　点击“关闭”，你就可以看到添加到组策略对象编辑器中管理Windows Server 2003 Internet Explorer增强安全配置的新用户界面元素。

图5　通过安装Inetesc.adm添加的Internet Explorer增强安全配置的新用户界面元素。

　　这里有一点要注意，我们是以组策略对象为基础添加管理模板的，也就是说，你可以为需要的组策略对象添加管理模板，使你可管理同每个组策略对象相关联的域、地址或组织单位中的用户和计算机。

　　还有一点需要注意，在一个组策略对象中安装一个管理模板，同时在你的域控制器的SYSVOL共享部分还会创建该模板的一个备份，如果安装了太多的模板，这就会产生问题，因为它们会极大地增加SYSVOL的大小，如果你是在一个域分布在许多地址的企业中，而这些地址之间以低速率的WAN连接，这将会产生复制问题，并消耗掉WAN的带宽。

　　解决之道:减少必须在SYSVOL共享部分复制的文件和数据的数量。由于管理模板(.adm文件)占用了策略的绝大部分空间，删除管理模板将会极大的减少SYSVOL的大小。例如，对缺省管理模板，每个策略占用870KB的磁盘空间，如果有1300个策略，就能将SYSVOL的大小从1100MB减小到35MB或每个策略27KB。 　　2.删除模板

　　你还可以删除模板，但它只是删除对象编辑器中相应的GUI特性。例如，如果你不打算在你的企业中再使用Windows Media Player，你就可以删除Wmplayer.adm标准模板，只要右键单击组策略对象中的管理模板，选择“添加/删除模板”→选择Wmplayer.adm→点击“删除”→点击“关闭”，图6即为操作结果。

图6　删除Wmplayer.adm模板后的组策略对象

　　比较图5和图6可以发现，图5中计算机配置下管理模板的Windows Media Player节点仍然存在，而图6中已不见了。

　　需要注意的是，删除安装的管理模板并不会改变或删除最后一次处理组策略时组策略对象所使用的任何注册表设置，因此，在删除一个模板前，首先要保证对策略设置进行修改，并在组策略刷新后再进行。

　　3.定制模板

　　你还可以定制管理模板以满足特殊需要，如控制应用程序如Office的一些不受Microsoft缺省模板管理的特性。在开始前，首先要注意以下问题:

　　不要修改标准模板或你从Microsoft下载的其他模板，如果需要，可将它们复制，并对副本进行修改。

　　要了解创建管理模板的语法，并严格遵守该语法，因为管理模板会修改目标计算机的注册表。

　　创建定制管理模板(在基于Windows 2000的域中)的过程如下:

　　A.创建导入定制管理模板的组策略对象:

　　点击“开始”，指向“程序”→“管理工具”，点击“活动目录用户和计算机”，在控制树中，右键单击你要创建组策略设置的域或组织单位，选择“属性”，点击“组策略”标签，再点击“新建”，然后输入该组策略设置的名称(如“定制注册表策略”)，输入回车后点击“关闭”。

　　B.创建管理模板:

　　打开记事本或其他文本编辑器，输入管理模板的信息，将文件保存在Windows_folder\Inf文件夹下，并将其扩展名改为.adm，退出文本编辑器。关于创建管理模板的语法请参考有关资料。

　　C.导入管理模板:

　　点击“开始”，指向“程序”→“管理工具”，点击“活动目录用户和计算机”，右键单击你要配置的域或组织单位，选择“属性”，点击“组策略”标签，点击你要编辑的组策略设置，点击“编辑”，右键单击“计算机配置”或“用户配置”下的“管理模板”，选择“添加/删除模板”，点击“添加”，选择你要添加的模板，点击“打开”，最后点击“关闭”。

　　以下是一个创建定制管理模板的例子:

　　第1步，打开记事本;

　　第2步，输入以下代码:

　　CLASS USER ;修改注册表的HKEY_CURRENT_USER部分

　　;以下命令在用户配置下创建一个名为“桌面设置”的节点
　　　　CATEGORY !!categoryname

　　;以下命令指定要修改的注册表键
　　　　KEYNAME "SOFTWARE\Policies\System"

　　;以下命令使用变量”policyname”指定策略的名称
　　　　POLICY !!policyname

　　;以下命令指定“解释”标签上的文本
　　　　EXPLAIN !!explaintext

　　;以下命令创建一个包含列表框的PART
　　　　PART !!labeltext DROPDOWNLIST REQUIRED

　　;以下声明指定要修改的注册表值
　　　　VALUENAME "NoDriveTypeAutoRun"

　　;以下声明构成下拉列表框

　　　　ITEMLIST

　　　　　NAME !!no_cd VALUE NUMERIC 181 DEFAULT

　　　　　NAME !!no_drives VALUE NUMERIC 255

　　　　END ITEMLIST

　　　END PART

　　END POLICY

　END CATEGORY

　　;以下字符串分别分配给前面指定的变量名

　　[strings]
　　categoryname="Desktop Settings"
　　policyname="Disable the autoplay feature"
　　explaintext="This policy disables the autoplay feature on the selected drive(s)"
　　labeltext="Disable autoplay on"
　　no_cd="CD-ROM drives"
　　no_drives="All drives"

　　第3步，打开“文件”菜单，点击“保存为”;

　　第4步，在“保存类型”框中，选择“所有文件”;

　　第5步，在“文件名”框中输入windows_folder\inf\example.adm，点击“保存”;

　　第6步，退出记事本;

　　第7步，点击“开始”，指向“程序”→“管理工具”，点击“活动目录用户和计算机;

　　第8步，右键单击域，点击“属性”;

　　第9步，点击“组策略”标签，点击“新建”，在“新组策略对象”框中输入“test policy”，按回车;

　　第10步，点击“编辑”，右键单击“用户配置”下的“管理模板”，点击“添加/删除模板”;

　　第11步，点击“添加”，选择Example.adm，点击“打开”;

　　第12步，在“Example”出现在“当前策略模板”列表框中后，点击“关闭”;

　　第13步，打开“用户配置”下的“管理模板”，点击新的“桌面设置”节点;

　　第14步，在右方格内，双击“取消自动播放特性”策略;

　　注:如果新策略设置没有出现在右方格内，右键单击新的“桌面设置”节点，指向“查看”，清除“只显示策略”菜单项旁的复选标记。

　　第15步，点击“激活”，并确保策略设置包含你在例子代码中指定的特性。

• · IE 7.0 Beta 1其实有两个版本
• · Windows系统消息大全使用详细介绍
• · 绝对隐私：华为公司员工待遇全面揭秘
• · Vista搜索功能藏隐患 用户隐私受到威胁
• · 揭秘接吻的N个坏处
• · Gmail摘“测试版”帽子 向全球开放
• · 原来微软跟Google是亲戚？
• · Blog一个快成为SEO作弊的代名词
• · Google把泰国军方搞得叫苦不迭
• · Windows Media PLayer10又有更新了
• · 用永中Office的邮件合并功能批量打印证书
• · 一夫当关万夫莫开！记反黑利器：反间谍专家
• · 伪造游戏外挂传播木马 虚假网站害苦网民
• · 永中Office制作座位卡方法及成品下载
• · 利用Outlook组织民主投票
• · 八月十五日 早间新软快报
• · 八月十六日 早间新软快报
• · 八月十七日 早间新软快报　
• · 八月十八日 早间新软快报　
• · 八月二十二日 早间新软快报
• · 八月二十三日 早间新软快报
• · 八月二十四日 早间新软快报
• · 八月二十五日 软件快报 微软 VS Google
• · 如何卸载网际快车的右键菜单？
• · 减少eMule（电骡）所占用的系统资源
• · 新浪发布Blog2.0公测版
• · 瑞星10.21病毒预警：窃取大量帐号的木马
• · 瑞星10.24病毒预警：当心两种后门程序
• · 使用Word 2003缩略图功能快速浏览长文档
• · Word安全与加密插件：敏感信息加密器
• · Word功能设置优化插件：Word优化助手
• · PageMaker使用中的常见问题及解决办法
• · PageMaker颜色管理系统(CMS)的设置
• · 初识PDF（Portable Document Format）文件
• · Sun的办公软件StarOffice8延至九月发布
• · Windows系统窗口消失之谜及解决方法
• · 免费但功能强大的文件加密利器 AxCrypt
• · 计算机硬盘加密的几种方法