在Windows Server 2003 中创建“系统策略”设置
概要本文分步介绍了如何为 Windows Server 2003 域中的下层客户端计算机创建“系统策略”设置。在 Windows Server 2003 网络中,可以使用“组策略”设置来配置和控制基于 Windows Server 2003 的计算机、基于 Windows 2000 的计算机以及基于 Microsoft Windows XP Professional 的计算机。但是,要配置基于 Microsoft Windows NT 4.0 的客户端计算机、基于 Microsoft Windows Me 的客户端计算机和基于 Microsoft Windows 98 的客户端计算机,您必须使用“系统策略”设置。“系统策略”设置不同于 Windows Server 2003“组策略”设置,因为它们会用持久性的更改覆盖客户端计算机上的注册表设置。这种行为被称为“纹身”。返回页首
如何创建“系统策略”设置
要创建“系统策略”设置,请为要应用策略的客户端类型使用“系统策略编辑器”(Poledit.exe)。 ? 对于基于 Windows NT 的客户端,请使用随 Windows NT Server 4.0 或 Windows Server 2003 提供的“系统策略编辑器”程序。
注意:使用 Windows 2000 版的“系统策略编辑器”创建“系统策略”设置后,无法使用该程序的 Windows NT 4.0 版本来编辑这些设置。
对于基于 Windows Me 的客户端或基于 Windows 98 的客户端,请使用 Windows 98 或 Windows Me CD 中提供的“系统策略编辑器”版本。
对于 Windows NT 客户端
1. 启动“系统策略编辑器”。为此,请按照下列步骤操作: a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 poledit,然后单击“确定”。
2. 在“文件”菜单上,单击“新建策略”。重要说明:“系统策略编辑器”窗口中会显示“默认计算机”图标和“默认用户”图标。由于“系统策略”设置会对客户端计算机注册表做出持久性更改,所以您可能会在无意中禁止所有用户(包括管理员)访问客户端计算机。因此,Microsoft 建议您让“默认计算机系统策略”设置和“默认用户系统策略”设置保持不变,然后根据组成员身份或个别客户端计算机新建策略。
3. 在“编辑”菜单中,单击“添加组”。
4. 单击“浏览”,然后,移动到要应用此策略的安全组(例如,Domain Users)。
5. 单击“添加”,然后单击“确定”。
6. 要给“系统策略”设置添加其他组,请重复第 3 至第 5 步。
7. 在“系统策略编辑器”窗口中,双击您添加的组。
8. 展开包含要更改的环境设置的类别(例如,展开“外壳”)。
9. 在每一个类别中,执行以下步骤之一: 启用策略项。单击要启用的项的复选框,将其选中。例如,要启用“从‘开始’菜单中删除‘关机’命令”策略设置,请展开“外壳”,展开“限制”,然后单击“从‘开始’菜单中删除‘关机’命令”复选框,将其选中。
禁用策略项。单击要禁用的项的复选框,将其清除。例如,要禁用“从‘开始’菜单中删除‘关机’命令”策略设置,请展开“外壳”,展开“限制”,然后单击“从‘开始’菜单中删除‘关机’命令”复选框,将其清除。
将策略项保持在未配置的状态。如果该项的复选框处于清除或选中状态,请单击它,直到它的背景出现底纹。例如,要将“从‘开始’菜单中删除‘关机’命令”策略设置保持为未配置状态,请展开“外壳”,再展开“限制”,然后单击“从‘开始’菜单中删除‘关机’命令”复选框,直到它的背景出现底纹。
注意:此设置与 Windows 2000 组策略的“未配置”设置具有相同的效果。
10. 配置完策略设置后,单击“确定”。
注意:您可以为各个用户、组和计算机配置不同的策略。
11. 为要配置的用户、组或计算机配置完策略后,单击“文件”菜单上的“另存为”。
12. 在“文件”名称框中,键入以下“通用命名约定”(UNC) 路径和文件名,其中服务器名称 是域控制器的名称:\\服务器名称\netlogon\ntconfig.pol
13. 单击“保存”。
14. 退出“系统策略编辑器”。
对于 Windows 98 和 Windows Me 客户端
1. 在 Windows Me 或 Windows 98 客户端计算机上安装“系统策略编辑器”: a. 单击“开始”,指向“设置”,然后单击“控制面板”。
b. 双击“添加/删除程序”,然后单击“Windows 安装程序”选项卡。
c. 单击“从磁盘安装”,单击“浏览”,然后移动到 Windows 98 CD 上的以下文件夹处:Tools\Reskit\Netadmin\Poledit
d. 在左窗格中,单击“poledit.inf”,然后单击“确定”。
e. 在“从磁盘安装”对话框中单击“确定”。在“组件”列表中,单击以下复选框,将它们选中,然后单击“安装”。 ? 组策略
系统策略编辑器
f. 单击“确定”。
2. 启动“系统策略编辑器”。为此,请按照下列步骤操作: ? 单击“开始”,依次指向“程序”、“附件”、“系统工具”,然后单击“系统策略编辑器”。
3. 在“文件”菜单上,单击“新建策略”。
4. 执行本文“对于 Windows NT 客户端”部分中的第 3 至第 10 步,为 Windows Me 和 Windows 98 客户端创建“系统策略”设置。
5. 为所需的用户、组或计算机配置完策略后,单击“文件”菜单上的“另存为”。
6. 在“文件”名称框中,键入以下 UNC 路径和文件名,其中服务器名称 是域控制器的名称。\\服务器名称\netlogon\config.pol
7. 单击“保存”。
注意:Windows Me 或 Windows 98“系统策略”设置的文件名是 Config.pol 而不是 Ntconfig.pol(对于基于 Windows NT 4.0 的客户端计算机)。
8. 退出“系统策略编辑器”。
配置 Windows Me 和 Windows 98 客户端使用“系统策略”设置
对 Windows Me 和 Windows 98 客户端计算机进行以下配置更改: 1. 安装“组策略”设置。
注意:这些设置不同于 Windows 2000 使用的“组策略”设置。
2. 配置具有用户级访问控制的网络客户端。
3. 配置客户端计算机使用“配置文件”。
4. 启用负载平衡。
如何安装“组策略”设置
要使基于 Windows Me 的客户端计算机和基于 Windows 98 的客户端计算机可以识别 Windows 2000 和 Windows NT 4.0 安全组,请安装“组策略”功能。为此,请使用下列方法之一 ? 在一台基于 Windows Me 的计算机或基于 Windows 98 的计算机上: 1. 单击“开始”,指向“设置”,然后单击“控制面板”。
2. 双击“添加/删除程序”,然后单击“Windows 安装程序”选项卡。
3. 单击“从磁盘安装”,单击“浏览”,然后移动到 Windows 98 CD 上的以下文件夹处:Tools\Reskit\Netadmin\Poledit
4. 在左窗格中,单击“Poledit.inf”,然后单击“确定”。
5. 在“从磁盘安装”对话框中单击“确定”。
6. 在“组件”列表中,单击“组策略”复选框,将其选中,然后单击“安装”。
7. 单击“确定”。
在多台基于 Windows Me 的计算机或基于 Windows 98 的计算机上: 1. 将 Windows 98 CD 上 Tools\Reskit\Netadmin\Poledit 文件夹中的 Grouppol.dll 文件复制到每台客户端计算机上的 Windows\System 文件夹中。
注意:您可以将此文件放置在某个网络共享位置,然后,通过在登录过程中使用批处理文件,将它复制到客户端计算机。
2. 在每台客户端计算机上运行 Windows 98 CD 的 Tools\Reskit\Netadmin\Poledit 文件夹中的 Grouppol.reg 文件。
注意:要自动完成这些注册表更改,请将 Grouppol.reg 复制到某个网络共享位置,然后从登录批处理文件中使用“无提示”(/s) 开关运行 Regedit.exe 命令,例如:regedit.exe /s \\server_name\share_name\grouppol.reg
如何配置用户级访问控制
1. 单击“开始”,指向“设置”,单击“控制面板”,然后双击“网络”。
2. 单击“访问控制”选项卡。
3. 单击“用户级的访问控制”。
4. 如果“从以下位置获取用户和组的列表”框中未显示正确域,请键入要使用的域的名称。
5. 如果系统提示您选择身份验证器,请单击“选择键入的身份验证器类别”列表中的“Windows NT 域”,然后单击“确定”。
6. 单击“确定”。
7. 当系统提示您重新启动计算机时,单击“是”。
如何启用用户配置文件
启用用户配置文件时,会为每名用户配置单独的桌面和“开始”菜单项。这项配置会防止“系统策略”设置(它会更改特定用户或组更改的桌面或“开始”菜单)更改所有其他登录到计算机的用户的 Windows 环境。
注意:因为 Microsoft Windows 有多个版本,所以下列步骤可能与在您的计算机上执行的步骤有所不同。如果是这样,请参阅产品文档来完成这些步骤。 1. 单击“开始”,指向“设置”,单击“控制面板”,然后双击“密码”。
2. 单击“用户配置文件”选项卡。
3. 单击“用户可以自定义他们的首选项”。
4. 单击“在用户设置中包括桌面图标和‘网上邻居’内容”复选框,将其选中,再单击“在用户设置中包括‘开始’菜单和‘程序’组”复选框,将其选中,然后单击“确定”。
5. 如果提示您重新启动计算机,请单击“是”。
如何启用负载平衡客户端
在 Windows 2003 域中,所有域控制器都是对等的。但是,只有一个域控制器起着下层客户端的主域控制器 (PDC) 的操作主机的作用。因此,所有 Windows Me 和 Windows 98 客户端计算机都会尝试从起着 PDC 操作主机作用的 Windows 2003 域控制器中检索“系统策略”设置。
要使 Windows Me 和 W <
页:
[1]