在域環(huán)境中,并不總是可以使用組策略 (GPO) 來管理某些 windows 或應(yīng)用程序的設(shè)置。事實(shí)上,您只能通過系統(tǒng)注冊(cè)表應(yīng)用某些設(shè)置。在 Active Directory 域中,您可以通過 GPO 集中管理域計(jì)算機(jī)上的注冊(cè)表項(xiàng)。在本文中,我們將向您展示如何使用組策略跨域管理、添加、修改、導(dǎo)入和刪除注冊(cè)表項(xiàng)。
[ez-toc]Windows Server 2008 引入了一個(gè)特殊的組策略擴(kuò)展(組策略首選項(xiàng) — GPP)。它允許您通過組策略管理注冊(cè)表項(xiàng)和參數(shù)。 GPP 允許您在加入域的計(jì)算機(jī)上添加、刪除或修改注冊(cè)表參數(shù)、值和密鑰。讓我們回顧一下這些可能性。
以前,要管理域計(jì)算機(jī)上的注冊(cè)表設(shè)置,域管理員必須創(chuàng)建自己的管理 GPO 模板 (.adm/.admx) 或 .bat 登錄腳本。此外,經(jīng)常使用保存的 *.reg 文件,必須使用 reg import 或 Regedit.exe /s import.reg 命令將其導(dǎo)入到用戶的計(jì)算機(jī)中。
如何通過 GPO 添加/設(shè)置注冊(cè)表項(xiàng)?
假設(shè)我們需要禁用特定 OU 中的域計(jì)算機(jī)上的自動(dòng)驅(qū)動(dòng)程序更新。我們必須修改注冊(cè)表項(xiàng)HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching中的SearchOrderConfig參數(shù)。
注冊(cè)表設(shè)置可在計(jì)算機(jī)和用戶配置 GPO 部分中找到。請(qǐng)注意,根據(jù)注冊(cè)表配置單元 (HKEY_LOCAL_MACHINE / HKEY_CURRENT_USER),您必須分別通過計(jì)算機(jī)或用戶配置 GPP 應(yīng)用設(shè)置。
可以通過三個(gè)選項(xiàng)來選擇目標(biāo) PC 上的注冊(cè)表項(xiàng):
注冊(cè)表向?qū)?— 允許您使用本地遠(yuǎn)程計(jì)算機(jī)作為內(nèi)置 GPP 注冊(cè)表瀏覽器的參考;
集合項(xiàng)目 — 在文件夾中創(chuàng)建和組織注冊(cè)表項(xiàng)目。如果您需要添加一組注冊(cè)表項(xiàng),則很有用;
注冊(cè)表項(xiàng) — 允許您手動(dòng)更改單個(gè)注冊(cè)表項(xiàng)、參數(shù)名稱或值。
讓我們嘗試使用GPO注冊(cè)表向?qū)碓O(shè)置注冊(cè)表參數(shù)值:
打開組策略管理控制臺(tái)(gpmc.msc);
創(chuàng)建新的(或編輯現(xiàn)有的)GPO,并將其鏈接到適當(dāng)?shù)?Active Directory OU。之后,切換到GPO編輯模式;
展開以下 GPO 部分:計(jì)算機(jī)(或用戶)配置 > 首選項(xiàng) > Windows 設(shè)置 > 注冊(cè)表。在上下文菜單中選擇:新建 > 注冊(cè)表向?qū)В?/p>
注冊(cè)表向?qū)г试S您瀏覽本地計(jì)算機(jī)上的注冊(cè)表。您可以連接到遠(yuǎn)程計(jì)算機(jī)上的注冊(cè)表,并選擇現(xiàn)有的注冊(cè)表項(xiàng)和參數(shù);
指定要連接的遠(yuǎn)程計(jì)算機(jī)名稱(或 IP 地址)。使用注冊(cè)表瀏覽器樹查找并選擇現(xiàn)有的注冊(cè)表項(xiàng)/參數(shù);
在此示例中,我們只想向 GPP 添加一項(xiàng)注冊(cè)表項(xiàng) — 名為 SearchOrderConfig 的 REG_Dword 參數(shù);
該參數(shù)以及完整的注冊(cè)表路徑和值將被導(dǎo)入到 GPO 編輯器控制臺(tái)中。您可以更改其值和所需的操作。要設(shè)置特定的注冊(cè)表參數(shù)值,請(qǐng)使用“更新”選項(xiàng)(如下所示);
這樣就完成了注冊(cè)表策略的設(shè)置。下次在計(jì)算機(jī)上更新組策略時(shí)(或運(yùn)行 gpupdate 命令后),指定的注冊(cè)表設(shè)置將應(yīng)用于 OU 中的所有計(jì)算機(jī)。
您還可以手動(dòng)鍵入完整的注冊(cè)表項(xiàng)路徑和參數(shù)名稱:
選擇新建 > 注冊(cè)表項(xiàng);
在以下字段(Hive、Key path、Value type、Value data)中,您必須指定注冊(cè)表配置單元(HKLM、HKCU 等);注冊(cè)表項(xiàng);參數(shù)名稱、類型和值;
重要的。您可以使用以下 Hive 名稱:HKEY_CLASSES_ROOT (HKEY_LOCAL_MACHINESoftwareClasses)、HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINESystemCurrentControlSetHardware ProfilesCurrent)、HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER (HKEY_USERS.Default 將使用如果您設(shè)置 HKCU 注冊(cè)表項(xiàng)使用計(jì)算機(jī)配置策略); HKEY_USERS — 影響單個(gè)用戶配置文件。
默認(rèn)情況下,將策略選項(xiàng)設(shè)置為更新模式。
對(duì)注冊(cè)表項(xiàng)的操作有4種類型:
創(chuàng)建 — 創(chuàng)建注冊(cè)表參數(shù)。如果參數(shù)已經(jīng)存在,則值不變;
更新(默認(rèn))— 如果參數(shù)已存在,則其值將使用 GPP 中指定的值進(jìn)行更新。如果沒有,將創(chuàng)建具有指定值的參數(shù);
替換 — 如果注冊(cè)表項(xiàng)已存在,則刪除并重新創(chuàng)建注冊(cè)表項(xiàng)(很少使用)。如果注冊(cè)表項(xiàng)或值不存在,將創(chuàng)建一個(gè)新的注冊(cè)表項(xiàng)。如果目標(biāo)項(xiàng)是注冊(cè)表項(xiàng),則此選項(xiàng)將刪除所有參數(shù)和子項(xiàng),只留下默認(rèn)值名稱,沒有數(shù)據(jù)。如果目標(biāo)項(xiàng)是注冊(cè)表值,則替換操作將覆蓋任何現(xiàn)有設(shè)置;
刪除 — 刪除注冊(cè)表項(xiàng)及其所有值和子項(xiàng)。
常用選項(xiàng)卡上有許多有用的選項(xiàng):
在登錄用戶的安全上下文中運(yùn)行 – 注冊(cè)表參數(shù)是在當(dāng)前用戶的上下文中創(chuàng)建的。如果選中此選項(xiàng),將使用當(dāng)前用戶權(quán)限創(chuàng)建參數(shù)。如果用戶沒有本地管理員權(quán)限,則該策略將僅應(yīng)用于 HKEY_CURRENT_USER 配置單元。但不是HKEY_LOCAL_MACHINE;
當(dāng)不再應(yīng)用此項(xiàng)目時(shí)將其刪除 – 如果取消 GPO 與 AD 容器的鏈接,更改的注冊(cè)表設(shè)置將返回到其初始狀態(tài);
申請(qǐng)一次,不再重復(fù)申請(qǐng) – 每臺(tái)計(jì)算機(jī)僅應(yīng)用一次策略;
項(xiàng)目級(jí)定位 — 可用于根據(jù)計(jì)算機(jī)設(shè)置和/或精細(xì)級(jí)別的 AD 組成員身份通過 GPP 定位注冊(cè)表設(shè)置。
GPMC 控制臺(tái)中包含策略設(shè)置的最終報(bào)告如下所示:
在Windows XP 和Windows Server 2003 中,GPP 部分不存在。要將其添加到操作系統(tǒng),您必須安裝 KB943729 更新(組策略的客戶端擴(kuò)展)。
如何使用組策略首選項(xiàng)刪除注冊(cè)表項(xiàng)?
您還可以使用 GP 首選項(xiàng)刪除域中計(jì)算機(jī)上的特定項(xiàng)或注冊(cè)表項(xiàng)。
例如,您要?jiǎng)h除注冊(cè)表項(xiàng) HKEY_CURRENT_USER 中的某個(gè)參數(shù)。
在“用戶配置”>“首選項(xiàng)”>“Windows 設(shè)置”>“注冊(cè)表”部分中創(chuàng)建一個(gè)新的注冊(cè)表 GPP 條目;
使用注冊(cè)表瀏覽器選擇參數(shù)或鍵;
展開 GPO 控制臺(tái)中的注冊(cè)表項(xiàng)。打開參數(shù)屬性,將Action改為Delete;
保存更改;
現(xiàn)在,在更新客戶端上的組策略設(shè)置后,指定的參數(shù)將從用戶的注冊(cè)表配置單元中刪除。
如果使用“注冊(cè)表瀏覽”查看遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表時(shí)收到“未找到網(wǎng)絡(luò)路徑”錯(cuò)誤,請(qǐng)檢查是否可以通過網(wǎng)絡(luò)訪問指定的計(jì)算機(jī)。另外,檢查遠(yuǎn)程注冊(cè)表服務(wù)是否正在運(yùn)行(該服務(wù)默認(rèn)處于禁用狀態(tài))。如果沒有,請(qǐng)使用服務(wù)控制臺(tái) (services.msc) 啟動(dòng)該服務(wù)。
或者您可以使用以下 PowerShell 命令遠(yuǎn)程檢查服務(wù)狀態(tài)并啟用它:
$remoteservice=get-service RemoteRegistry -ComputerName PC2212ba $remoteservice| Set-Service -StartupType Manual $remoteservice| start-service
如何使用 GPO 在域計(jì)算機(jī)上部署 Reg 文件?
讓我們考慮另一種場(chǎng)景,當(dāng)您需要將包含大量注冊(cè)表設(shè)置的 reg 文件部署到域中的所有計(jì)算機(jī)時(shí),可以使用該場(chǎng)景。您可以通過 GPO 啟動(dòng)腳本導(dǎo)入包含設(shè)置的 reg 文件,而不是在 GPP 編輯器中手動(dòng)創(chuàng)建單獨(dú)的注冊(cè)表設(shè)置。
將參考計(jì)算機(jī)上的注冊(cè)表項(xiàng)內(nèi)容導(dǎo)出到 reg 文件。為此,請(qǐng)啟動(dòng)注冊(cè)表編輯器 (regedit.exe),右鍵單擊注冊(cè)表項(xiàng),然后選擇導(dǎo)出。指定要保存注冊(cè)表項(xiàng)內(nèi)容的文件名;
您可以使用任何文本編輯器打開此 reg 文件并手動(dòng)編輯它。刪除空注冊(cè)表項(xiàng),編輯參數(shù)值(如有必要),并添加新項(xiàng)或參數(shù);
啟動(dòng)組策略管理控制臺(tái),創(chuàng)建一個(gè)新的 GPO 并將其鏈接到具有計(jì)算機(jī)的 OU(如果要應(yīng)用 HKLM 注冊(cè)表配置單元中的參數(shù));
轉(zhuǎn)到以下 GPO 部分:計(jì)算機(jī)配置 > Windows 設(shè)置 > 腳本 > 登錄;
單擊添加按鈕添加新的啟動(dòng)腳本。
在下一個(gè)窗口中,單擊“瀏覽”按鈕并將 reg 文件復(fù)制到此目錄 (domAIn-nameSysvoldomain-namePolicies…);
指定登錄腳本的以下參數(shù):
Script Name: regedit.exe Script Parameters: /s your_reg_file.reg
保存對(duì)策略的更改;
重新啟動(dòng)后,您的 reg 文件中的注冊(cè)表設(shè)置將應(yīng)用于指定 OU 中的所有計(jì)算機(jī)。
通過組策略分配注冊(cè)表項(xiàng)權(quán)限
此外,您還可以使用 Windows 組策略向注冊(cè)表項(xiàng)分配權(quán)限 (ACL)。當(dāng)您授予用戶對(duì)受系統(tǒng)保護(hù)的注冊(cè)表項(xiàng)的權(quán)限或想要阻止非管理員用戶更改某些注冊(cè)表項(xiàng)時(shí),此功能可能很有用。
創(chuàng)建新的 GPO 或編輯現(xiàn)有的 GPO;
展開以下組策略部分:計(jì)算機(jī)配置 > Windows 設(shè)置 > 安全設(shè)置 > 注冊(cè)表;
在右側(cè)窗格中右鍵單擊并選擇添加密鑰;
使用內(nèi)置注冊(cè)表瀏覽器選擇要為其分配 ACL 的本地注冊(cè)表項(xiàng)。如果要為當(dāng)前計(jì)算機(jī)上缺少的注冊(cè)表項(xiàng)設(shè)置權(quán)限,則需要安裝 GPMC 管理單元并從具有該注冊(cè)表項(xiàng)的計(jì)算機(jī)上編輯 GPO;
將打開 的數(shù)據(jù)庫(kù)安全性對(duì)話框。您可以在此處更改此注冊(cè)表項(xiàng)的 ACL。在我們的示例中,我們向 caWKSPowerUsers Active Directory 組的 Chrome 注冊(cè)表項(xiàng)授予了完全控制(讀取 + 寫入 + 更改)權(quán)限。默認(rèn)情況下,此 ACL 不會(huì)繼承到嵌套子項(xiàng)。如果要啟用權(quán)限繼承,請(qǐng)點(diǎn)擊高級(jí) > 啟用繼承按鈕;
單擊“確定”保存更改。您將看到“模板安全策略設(shè)置”對(duì)話框窗口。在這里,您可以強(qiáng)制將 ACL 應(yīng)用于目標(biāo)項(xiàng)的所有子項(xiàng)(將可繼承權(quán)限傳播到所有子項(xiàng)),或強(qiáng)制新 ACL 僅應(yīng)用于從目標(biāo)項(xiàng)繼承的子項(xiàng)(用可繼承權(quán)限替換所有子項(xiàng)上的現(xiàn)有權(quán)限)。或者,您可以啟用“不允許替換此密鑰的權(quán)限”選項(xiàng)以防止編輯此注冊(cè)表項(xiàng)上的 ACL;
關(guān)閉 GPO 編輯器窗口。下次重新啟動(dòng)目標(biāo)客戶端計(jì)算機(jī)時(shí)將應(yīng)用注冊(cè)表權(quán)限。
