地 址:聯係地址聯係地址聯係地址
电 话:020-123456789
网址:www.6ql2.cn
邮 箱:[email protected]
在域環境中,关闭更新关闭更新並不總是自动自动可以使用組策略 (GPO) 來管理某些 Windows 或應用程序的設置。事實上 ,驱动墙裂您隻能通過係統注冊表應用某些設置。推荐在 Ac
在域環境中,关闭更新关闭更新並不總是自动自动可以使用組策略 (GPO) 來管理某些 Windows 或應用程序的設置事實上,您隻能通過係統注冊表應用某些設置在 Active Directory 域中 ,驱动墙裂您可以通過 GPO 集中管理域計算機上的推荐注冊表項。
在本文中,关闭更新关闭更新我們將向您展示如何使用組策略跨域管理 、自动自动添加 、驱动墙裂修改 、推荐導入和刪除注冊表項[ez-toc]Windows Server 2008 引入了一個特殊的关闭更新关闭更新組策略擴展(組策略首選項 — GPP)它允許您通過組策略管理注冊表項和參數。
GPP 允許您在加入域的自动自动計算機上添加、刪除或修改注冊表參數、驱动墙裂值和密鑰讓我們回顧一下這些可能性以前,要管理域計算機上的注冊表設置,域管理員必須創建自己的管理 GPO 模板 (.adm/.admx) 或 .bat 登錄腳本。
此外,經常使用保存的 *.reg 文件 ,必須使用 reg import 或 Regedit.exe /s import.reg 命令將其導入到用戶的計算機中如何通過 GPO 添加/設置注冊表項?假設我們需要禁用特定 OU 中的域計算機上的自動驅動程序更新。
我們必須修改注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching中的SearchOrderConfig參數 。
注冊表設置可在計算機和用戶配置 GPO 部分中找到請注意,根據注冊表配置單元 (HKEY_LOCAL_MACHINE / HKEY_CURRENT_USER),您必須分別通過計算機或用戶配置 GPP 應用設置。
可以通過三個選項來選擇目標 PC 上的注冊表項 :注冊表向導 — 允許您使用本地遠程計算機作為內置 GPP 注冊表瀏覽器的參考;集合項目 — 在文件夾中創建和組織注冊表項目如果您需要添加一組注冊表項,則很有用;。
注冊表項 — 允許您手動更改單個注冊表項、參數名稱或值讓我們嚐試使用GPO注冊表向導來設置注冊表參數值:打開組策略管理控製台(gpmc.msc);創建新的(或編輯現有的)GPO,並將其鏈接到適當的 Active Directory OU 。
之後,切換到GPO編輯模式;展開以下 GPO 部分:計算機(或用戶)配置 > 首選項 > Windows 設置 > 注冊表。在上下文菜單中選擇 :新建 > 注冊表向導;
注冊表向導允許您瀏覽本地計算機上的注冊表您可以連接到遠程計算機上的注冊表 ,並選擇現有的注冊表項和參數;指定要連接的遠程計算機名稱(或 IP 地址)使用注冊表瀏覽器樹查找並選擇現有的注冊表項/參數;
在此示例中,我們隻想向 GPP 添加一項注冊表項 — 名為 SearchOrderConfig 的 REG_DWORD 參數;
該參數以及完整的注冊表路徑和值將被導入到 GPO 編輯器控製台中 。您可以更改其值和所需的操作。要設置特定的注冊表參數值 ,請使用“更新”選項(如下所示);
這樣就完成了注冊表策略的設置下次在計算機上更新組策略時(或運行 gpupdate 命令後),指定的注冊表設置將應用於 OU 中的所有計算機您還可以手動鍵入完整的注冊表項路徑和參數名稱:選擇新建 > 注冊表項; 。
在以下字段(Hive 、Key path 、Value type、Value data)中,您必須指定注冊表配置單元(HKLM、HKCU 等);注冊表項;參數名稱 、類型和值;重要的您可以使用以下 Hive 名稱:HKEY_CLASSES_ROOT (。
HKEY_LOCAL_MACHINESoftwareClasses)、HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINESystemCurrentControlSetHardware ProfilesCurrent)、HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER (HKEY_USERS.Default 將使用如果您設置 HKCU 注冊表項使用計算機配置策略); HKEY_USERS — 影響單個用戶配置文件 。
默認情況下 ,將策略選項設置為更新模式對注冊表項的操作有4種類型 :創建 — 創建注冊表參數如果參數已經存在,則值不變;更新(默認)— 如果參數已存在 ,則其值將使用 GPP 中指定的值進行更新如果沒有 ,將創建具有指定值的參數;。
替換 — 如果注冊表項已存在 ,則刪除並重新創建注冊表項(很少使用)如果注冊表項或值不存在,將創建一個新的注冊表項如果目標項是注冊表項,則此選項將刪除所有參數和子項,隻留下默認值名稱,沒有數據如果目標項是注冊表值,則替換操作將覆蓋任何現有設置;。
刪除 — 刪除注冊表項及其所有值和子項。
常用選項卡上有許多有用的選項 :在登錄用戶的安全上下文中運行 – 注冊表參數是在當前用戶的上下文中創建的如果選中此選項 ,將使用當前用戶權限創建參數如果用戶沒有本地管理員權限,則該策略將僅應用於 HKEY_CURRENT_USER 配置單元。
但不是HKEY_LOCAL_MACHINE;當不再應用此項目時將其刪除 – 如果取消 GPO 與 AD 容器的鏈接,更改的注冊表設置將返回到其初始狀態;申請一次,不再重複申請 – 每台計算機僅應用一次策略;
項目級定位 — 可用於根據計算機設置和/或精細級別的 AD 組成員身份通過 GPP 定位注冊表設置。
GPMC 控製台中包含策略設置的最終報告如下所示:
在Windows XP 和Windows Server 2003 中 ,GPP 部分不存在要將其添加到操作係統 ,您必須安裝 KB943729 更新(組策略的客戶端擴展)如何使用組策略首選項刪除注冊表項 ?您還可以使用 GP 首選項刪除域中計算機上的特定項或注冊表項 。
例如,您要刪除注冊表項 HKEY_CURRENT_USER 中的某個參數在“用戶配置”>“首選項”>“Windows 設置”>“注冊表”部分中創建一個新的注冊表 GPP 條目;使用注冊表瀏覽器選擇參數或鍵;。
展開 GPO 控製台中的注冊表項。打開參數屬性 ,將Action改為Delete;
保存更改;現在 ,在更新客戶端上的組策略設置後 ,指定的參數將從用戶的注冊表配置單元中刪除如果使用“注冊表瀏覽”查看遠程計算機的注冊表時收到“未找到網絡路徑”錯誤 ,請檢查是否可以通過網絡訪問指定的計算機另外,檢查遠程注冊表服務是否正在運行(該服務默認處於禁用狀態)。
如果沒有 ,請使用服務控製台 (services.msc) 啟動該服務
或者您可以使用以下 PowerShell 命令遠程檢查服務狀態並啟用它:$remoteservice=get-service RemoteRegistry -ComputerName PC2212ba $remoteservice| Set-Service -StartupType Manual $remoteservice| start-service
如何使用 GPO 在域計算機上部署 Reg 文件 ?
讓我們考慮另一種場景 ,當您需要將包含大量注冊表設置的 reg 文件部署到域中的所有計算機時,可以使用該場景您可以通過 GPO 啟動腳本導入包含設置的 reg 文件,而不是在 GPP 編輯器中手動創建單獨的注冊表設置 。
將參考計算機上的注冊表項內容導出到 reg 文件。為此 ,請啟動注冊表編輯器 (regedit.exe) ,右鍵單擊注冊表項 ,然後選擇導出。指定要保存注冊表項內容的文件名;
您可以使用任何文本編輯器打開此 reg 文件並手動編輯它。刪除空注冊表項,編輯參數值(如有必要) ,並添加新項或參數;
啟動組策略管理控製台 ,創建一個新的 GPO 並將其鏈接到具有計算機的 OU(如果要應用 HKLM 注冊表配置單元中的參數);轉到以下 GPO 部分 :計算機配置 > Windows 設置 > 腳本 > 登錄;
單擊添加按鈕添加新的啟動腳本。在下一個窗口中,單擊“瀏覽”按鈕並將 reg 文件複製到此目錄 (\domain-nameSysvoldomain-namePolicies…);
指定登錄腳本的以下參數:Script Name: regedit.exe Script Parameters: /s your_reg_file.reg
保存對策略的更改;重新啟動後 ,您的 reg 文件中的注冊表設置將應用於指定 OU 中的所有計算機通過組策略分配注冊表項權限此外 ,您還可以使用 Windows 組策略向注冊表項分配權限 (ACL)當您授予用戶對受係統保護的注冊表項的權限或想要阻止非管理員用戶更改某些注冊表項時,此功能可能很有用。
創建新的 GPO 或編輯現有的 GPO;展開以下組策略部分:計算機配置 > Windows 設置 > 安全設置 > 注冊表;在右側窗格中右鍵單擊並選擇添加密鑰;使用內置注冊表瀏覽器選擇要為其分配 ACL 的本地注冊表項。
如果要為當前計算機上缺少的注冊表項設置權限,則需要安裝 GPMC 管理單元並從具有該注冊表項的計算機上編輯 GPO;
將打開 的數據庫安全性對話框您可以在此處更改此注冊表項的 ACL在我們的示例中,我們向 caWKSPowerUsers Active Directory 組的 Chrome 注冊表項授予了完全控製(讀取 + 寫入 + 更改)權限 。
默認情況下 ,此 ACL 不會繼承到嵌套子項如果要啟用權限繼承,請點擊高級 > 啟用繼承按鈕;
單擊“確定”保存更改您將看到“模板安全策略設置”對話框窗口在這裏 ,您可以強製將 ACL 應用於目標項的所有子項(將可繼承權限傳播到所有子項),或強製新 ACL 僅應用於從目標項繼承的子項(用可繼承權限替換所有子項上的現有權限) 。
或者 ,您可以啟用“不允許替換此密鑰的權限”選項以防止編輯此注冊表項上的 ACL;
關閉 GPO 編輯器窗口。下次重新啟動目標客戶端計算機時將應用注冊表權限。
免責聲明 :本站所有信息均搜集自互聯網 ,並不代表本站觀點 ,本站不對其真實合法性負責 。如有信息侵犯了您的權益 ,請告知 ,本站將立刻處理。聯係QQ:1640731186