GPO经验法则:禁用vs启用与未configuration

是否有解释这些差异的文档:

  • 政策未configuration
  • 政策已禁用
  • 已启用策略,已启用设置
  • 策略已启用,设置已禁用
  • 策略已启用,设置提示

我知道“禁用”和“启用”强制执行策略,据我所知,这意味着用户不能在本地更改策略。

我发现了一些博客文章 ,指出政策禁用相当于“未configuration,但强制执行”。 这意味着策略的默认,未configuration的行为现在强制执行,所以用户不能在本地进行更改。

但是,我找不到任何支持这一点的文档。 任何人都可以帮助解决困惑?

组策略pipe理模板策略除了设置registry值(通常位于HKEY_CURRENT_USERHKEY_LOCAL_MACHINE Software\Policies以及其他位置或第三方ADM(X)文件可能要设置的任何位置他们)。

就个人而言,我认为考虑pipe理模板策略(如registry操作)似乎更直观。 在组策略处理期间,每个包含pipe理模板的GPO都被“覆盖”在registry中,并且该GPO中指定的任何值都会覆盖之前在其中加载的值(可能是因为这些值默认情况下是在registry中,或者是因为这些值是由一个人或另一个GPO)。

我认为同样重要的是要记住,程序如何对registry中的值做出反应是该程序行为的一部分,而不是pipe理模板策略function的一部分。 该政策将东西放入registry(或删除它们)。 有问题的程序如何对那些存在的价值做出反应,并将其设置为一个特定的值(或者不存在)是程序行为的一部分,因程序而异。

pipe理模板策略可以在registry中设置单个值,也可以编写它来操作多个值。 这只取决于ADM(X)文件的写入方式。

编写一个ADM(X)超出了这个问题的范围,但是如果你真的想深入了解组策略, 就应该知道这个问题。 随着组策略首选项registry首选项扩展的出现,定制ADM(X)文件变得不像以前那么重要,但如果要为其他系统pipe理员提供干净的用户界面,这仍然很不错。

考虑到这一切,以下是各种“州”对于给定的行政模板政策的含义:

  • 未configuration策略 – 未指定任何值。 已经在registry中的任何值都不会被操纵。

  • 禁用策略 – 将删除由策略创build的任何值。

  • 策略已启用 – 操作registry(添加,更改或删除值)将发生。 通常情况下,这采取的forms是放入或更改registry中的现有值,但启用的策略也可能会删除值。

某些Internet Explorerpipe理模板策略包含“启用”,“禁用”和“提示”选项的三态列表框。 我怀疑这些是你所指的与下面的项目。

  • 已启用策略,已启用设置
  • 策略已启用,设置已禁用
  • 策略已启用,设置提示

在所有这三种情况下,“启用策略”意味着您正在为registry添加一个值。 Internet Explorer使用该值来确定是否应该启用,禁用要操作的设置,或者是否应提示用户。 这不是pipe理模板策略行为 – 这是Internet Explorer通过pipe理模板策略解释放置在registry中的值,以确定此行为。

不pipeselect哪一个,从pipe理模板的angular度来看,策略是启用的,所以你只是操纵一个值的registry。