Изменения в групповой политике после установки пакета обновления 2 (SP2) для Windows XP

Переводы статьи Переводы статьи
Код статьи: 873449 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Введение

В пакете обновления 2 (SP2) для Microsoft Windows XP в поведение административного шаблона групповой политики были внесены некоторые изменения. Эти изменения также будут поддерживаться во всех последующих пакетах обновления Windows.

В данной статье рассматриваются изменения в административном шаблоне групповой политики и влияние этих изменений на общую функциональность групповой политики.

Дополнительная информация

Условный элемент IF VERSION / END IF

Аннотация

В зависимости от версии редактора объектов групповой политики (Gpedit.msc) для управления отображением некоторых функций и параметров можно использовать условный элемент IF VERSION / END IF. Номер версии необходимо учитывать, поскольку более поздние версии операционной системы Windows могут включать функции или параметры, которые могут некорректно интерпретироваться более ранними версиями редактора объектов групповой политики. Также может отличаться поведение разных версий редактора объектов групповой политики. Условный элемент IF VERSION / END IF позволяет более ранним версиям редактора объектов групповой политики разбирать или игнорировать некоторые части административных шаблонов.

В приведенной ниже таблице перечислены номера версий редактора объектов групповой политики:
Свернуть эту таблицуРазвернуть эту таблицу
ВерсияОперационная система
Версия 3Windows 2000
Версия 4Windows XP с пакетом обновления 1 (SP1) и Windows Server 2003
Версия 5Windows XP с пакетом обновления 2 (SP2)
Редактор объектов групповой политики версии 5 можно использовать в Windows XP с пакетом обновления 2 (SP2) для того, чтобы предотвратить отображение некоторых параметров и изолировать версию редактора объектов групповой политики для Windows XP с пакетом обновления 2 (SP2) от более ранних версий. В результате при просмотре параметров групповой политики с клиентского компьютера, на котором редактор объектов групповой политики не может интерпретировать данную версию, параметры для версии 5 или более поздних версий отображаться не будут. В частности, с помощью редактора объектов групповой политики версии 5 или более поздних версий невозможно просмотреть параметры на клиентах Windows 2000. Ниже перечислены некоторые из этих параметров:
  • DCOM: Определить исключения проверки безопасности при активации
  • Автономные файлы: Административно назначенные автономные файлы (политика компьютера)
  • Автономные файлы: Запретить автономный доступ к этим файлам и папкам (политика компьютера)
  • Автономные файлы: Административно назначенные автономные файлы (политика пользователя)
  • Автономные файлы: Запретить автономный доступ к этим файлам и папкам (политика пользователя)
  • Брандмауэр Windows: Определить программные исключения (политика компьютера)
  • Брандмауэр Windows: Определить исключения для портов (политика компьютера)

Известные проблемы

С помощью условного элемента IF VERSION / END IF можно попытаться частично исключить описания для некоторых политик. Редактор объектов групповой политики более ранней версии не сможет прочесть строки, содержащие такие описания. Однако редактор объектов групповой политики более ранней версии попытается «прочесть» сведения, предоставленные условным элементом IF VERSION / END IF, прежде чем редактор объектов групповой политики определит необходимость отображения данных сведений в редакторе объектов групповой политики.

Конструкция LISTBOX

Административные шаблоны групповой политики (файлы типа ADM) содержат несколько параметров, которые можно использовать, чтобы определить, как определенный параметр будет записан в групповой политике клиента. Одним из таких параметров (или конструкций) является конструкция LISTBOX. Конструкция LISTBOX позволяет администратору вводить в редакторе объектов групповой политики данные, содержащие несколько значений. При использовании данной конструкции определяемый параметр записывается как параметр реестра с типом REG_MULTI. В результате для одного параметра реестра можно сохранять несколько значений.

Примером использования данной конструкции является параметр политики «Запускать указанные программы при входе в систему», который можно найти с помощью следующего пути:
Конфигурация пользователя\Административные шаблоны\Система\Вход в систему\«Запускать указанные программы при входе в систему»
Примечание. Администратор может указать запуск нескольких программ, и они будут записаны в один параметр реестра.

Ключевое слово ADDITIVE

Аннотация

Ключевое слово ADDITIVE используется с конструкцией LISTBOX. При указании ключевого слова ADDITIVE для конструкции LISTBOX поведение программы данного параметра отличается от поведения групповой политики по умолчанию.

Как правило, для разрешения конфликтов значений групповая политика использует алгоритм «преимущество имеет запись, сделанная последней». Например, если к пользователю применено несколько объектов групповой политики (GPO) и все GPO имеют различные определения для параметра «Запускать указанные программы при входе в систему», групповая политика пользователя будет содержать параметр из GPO, который был применен последним. Как правило, это GPO с самым высоким приоритетом, который применяется к пользователю в объекте домена, объекте узла или подразделении, которые являются ближайшими к пользователю в иерархии службы каталогов Active Directory.

Ключевое слово ADDITIVE не использует алгоритм «преимущество имеет запись, сделанная последней». Вместо этого конечные политики обрабатываются групповой политикой кумулятивно. Следовательно, параметры нескольких GPO применяются к действующей политике в объединенном формате.

До появления пакета обновления 2 (SP2) для Windows XP ключевое слово ADDITIVE использовалось редко, однако в настоящее время его применяют многие групповые политики (например, параметр Определить исключения для портов брандмауэра Windows).

Известные проблемы

При использовании ключевого слова ADDITIVE возможно возникновение следующих проблем:
  • При отключении параметра LISTBOX ADDITIVE на самом нижнем уровне иерархии групповой политики параметр кумулятивной политики из более высокого уровня иерархии не должен иметь приоритет, и действующая политика должна отключаться. Вместо этого пользователь продолжает получать наследованные параметры.

    Примечание. Данное поведение наблюдается, если администратор определяет параметры политики в редакторе объектов групповой политики.
  • При редактировании GPO в Windows 2000 не отображаются параметры, использующие LISTBOX ADDITIVE. Данное поведение возникает, потому что все экземпляры параметра LISTBOX ADDITIVE предоставляются условным элементом IF VERSION >= 5 / END IF. Это поведение не является отклонением от нормы.

    Из-за изменений в архитектуре исправление поведения параметров LISTBOX ADDITIVE в Windows 2000 является нецелесообразным, поэтому возможность изменения этих параметров на клиентском компьютере под управлением Windows 2000 отсутствует.

    Предупреждение. Не пытайтесь изменить условный оператор IF VERSION / END IF с целью сделать эти параметры редактируемыми. В результате вы сможете просматривать и изменять параметры, однако поведение результирующей политики будет зависеть от операционной системы и версии последнего клиента, редактировавшего политику. Поскольку контроль над версией операционной системы невозможен, результаты политики будут непредсказуемыми.

Дополнительные параметры реестра

При использовании средств Group Policy Results и Group Policy Modeling в консоли управления групповыми политиками (GPMC) генерируется файл отчета в формате HTML. В данном отчете перечислены параметры, измененные для определенного пользователя. Из-за способа, который используется GPMC для интерпретации файлов административных шаблонов (с расширением ADM), некоторые новые параметры групповой политики, предоставленные пакетом обновления 2 (SP2 ) для Windows XP, записываются в отчете GPMC в категории Дополнительные параметры реестра, а не в категории Конфигурация пользователя или Конфигурация компьютера. Данное поведение возникает, потому что GPMC не распознает записи в файле типа ADM, предоставленные конструкцией "#if version >= 5" / "#endif". К таким записям могут относиться параметры брандмауэра Windows и параметры политики обозревателя Internet Explorer, которые используют функцию LISTBOX ADDITIVE.

Примером использования конструкции LISTBOX является параметр групповой политики Брандмауэр Windows: Определить исключения для портов в узлах «Профиль домена» и «Стандартный профиль». Местоположение параметра групповой политики: Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows.

Кроме того, GPMC не отображает выводимые имена для этих параметров групповой политики. GPMC не отображает следующие сведения:
  • Имя раздела реестра
  • Состояние параметра (включен или отключен параметр)
  • Конечный GPO. Конечным является GPO, который будет применен к параметру групповой политики на основе правил приоритета и наследования.

Свойства

Код статьи: 873449 - Последний отзыв: 3 декабря 2007 г. - Revision: 1.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Операционная система Microsoft Windows 2000 Professional
Ключевые слова: 
kbhowto kbinfo KB873449

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com