安装 Windows XP Service Pack 2 后组策略行为的更改

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

本文已归档。它按“原样”提供,并且不再更新。
简介
组策略管理模板的行为在 Microsoft Windows XP Service Pack 2 (SP2) 中进行了几种形式的更改。这些更改也会在所有将来的 Windows Service Pack 中采用。

本文说明组策略管理模板的更改,以及这些更改将如何影响组策略的总体功能。
更多信息

IF VERSION/END IF 条件元素

概要

可以基于组策略对象编辑器 (Gpedit.msc) 的版本,通过使用 IF VERSION/END IF 条件元素控制某些功能或设置的显示。版本很重要,因为较新版本的 Windows 操作系统可能具有早期版本的组策略对象编辑器无法正确解释的功能或设置。同样,不同版本的组策略对象编辑器的行为也可能有变化。IF VERSION/END IF 条件元素可使早期版本的组策略对象编辑器分析或忽略管理模板的某些部分。

下表列出了组策略对象编辑器的版本号:
版本操作系统
版本 3Windows 2000
版本 4Windows XP Service Pack 1 (SP1) 和 Windows Server 2003
版本 5Windows XP SP2
可在 Windows XP SP2 中使用组策略对象编辑器版本 5,以阻止某些设置的显示,并将 Windows XP SP2 版本的组策略对象编辑器与早期版本区分开来。因此,当从客户机上查看组策略设置时,如果该客户机的组策略对象编辑器无法解释版本 5 或更高版本,则这些版本的任何设置都不会显示出来。特别是,Windows 2000 客户机无法查看组策略对象编辑器版本 5 或更高版本的设置。这些设置包括但不限于:
  • DCOM:定义激活安全检查例外
  • 脱机文件:系统管理指派的脱机文件(计算机策略)
  • 脱机文件:对这些文件和文件夹禁止“允许脱机使用”(计算机策略)
  • 脱机文件:系统管理指派的脱机文件(用户策略)
  • 脱机文件:对这些文件和文件夹禁止“允许脱机使用”(用户策略)
  • Windows 防火墙:定义程序例外(计算机策略)
  • Windows 防火墙:定义端口例外(计算机策略)

问题

您可能会尝试使用 IF VERSION/END IF 条件元素排除若干策略的某些解释信息。包含此信息的字符串比早期版本的组策略对象编辑器能够读取的字符串要多。然而,在组策略对象编辑器确定是否在组策略对象编辑器中显示该信息之前,早期版本的组策略对象编辑器仍然尝试“读取”IF VERSION/END IF 条件元素包含的信息。

LISTBOX 构造

组策略管理模板(.adm 文件)包括若干设置,可用于定义最终将设置写入客户机组策略中的方式。这些定义或构造之一就是 LISTBOX 构造。LISTBOX 构造允许管理员在包含多个值的组策略对象编辑器中输入数据。如果使用此构造,则已定义的设置将作为 REG_MULTI 注册表值类型写入。因此,可将多个值存储在一个注册表值设置中。

有关此构造的示例,请参阅位于以下路径中的“在用户登录时运行这些程序”策略设置:
“用户配置\管理模板\系统\登录\在用户登录时运行这些程序”
注意:管理员可以定义要运行的多个程序,它们都将写入一个注册表值中。

ADDITIVE 关键字

概要

请将 ADDITIVE 关键字与 LISTBOX 构造一起使用。为 LISTBOX 构造指定 ADDITIVE 关键字时,与该设置有关的程序默认组策略行为将会更改。

组策略通常以“最后编写器入选”的方法处理值的定义冲突。例如,如果对某个用户应用了多个组策略对象 (GPO),而且每个 GPO 对“在用户登录时运行这些程序”设置的定义都不相同,则该用户的有效组策略将包含最后应用的 GPO 中的值。通常情况下,在 Active Directory 层次结构中最接近该用户的域对象、站点对象或组织单位内,对该用户应用的 GPO 具有最高优先权。

ADDITIVE 关键字实际上调用的是与“最后编写器入选”方法不同的行为。相反,ADDITIVE 关键字导致组策略以累积的方式处理目标策略。因此,多个 GPO 中的值将以合并的格式应用到有效策略设置中。

在 Windows XP SP2 之前,ADDITIVE 关键字很少用到。然而,现在有更多的组策略使用此关键字。例如,Windows 防火墙的定义端口例外设置就使用这种新行为。

问题

下面是已确定与 ADDITIVE 关键字行为相关的问题:
  • 在组策略层次结构的最底层禁用 LISTBOX ADDITIVE 设置后,预期行为将是:对于层次结构上层中的累积策略设置失去优先权,对于有效设置将被禁用。这种行为并未发生。相反,用户仍会得到继承的设置。

    注意:此问题实际上会在管理员在组策略对象编辑器中定义策略设置时出现。
  • 在 Windows 2000 中修改 GPO 时,使用 LISTBOX ADDITIVE 的设置将不可见。出现这种行为的原因是 LISTBOX ADDITIVE 设置的所有实例都包含在 IF VERSION >= 5/END IF 条件元素中。这种行为是有意为之。

    在 Windows 2000 中通过更改结构来纠正 LISTBOX ADDITIVE 设置行为是不切实际的。因此,我们决定防止在基于 Windows 2000 的客户机上修改这些设置。

    警告:不要尝试修改 IF VERSION/END IF 条件语句以使这些设置变得可编辑。您将能够查看和修改这些设置,但结果策略的预期行为将取决于最后修改该策略的客户机操作系统版本。因为无法控制或监视操作系统版本,所以策略结果将不可预测。

其他注册表设置

在组策略管理控制台 (GPMC) 中使用组策略结果和组策略建模时,将生成 HTML 格式的报告。此报告说明对特定目标所配置的策略设置。由于 GPMC 解释管理模板 (.adm) 文件的方式,因此随 Windows XP SP2 提供的某些新组策略设置会显示在 GPMC 报告中的“特别的注册表设置”类别下,而不是“用户配置”类别或“计算机配置”类别下。发生这种行为的原因是 GPMC 无法识别 .adm 文件中包含在 "#if version >= 5" / "#endif" 构造内的条目。这些条目可能包括使用 LISTBOX ADDITIVE 功能的 Windows 防火墙和 Microsoft Internet Explorer 策略设置。

使用 LISTBOX 构造的一个示例是同时位于“域配置文件”和“标准配置文件”节点下的“Windows 防火墙:定义端口例外”组策略设置。此组策略设置位于“计算机配置\管理模板\网络\网络连接\Windows 防火墙”中。

此外,GPMC 不显示这些组策略设置的显示名称。但 GPMC 却显示以下信息:
  • 注册表项的名称
  • 设置的状态,已启用或已禁用
  • 入选 GPO,入选 GPO 是指基于优先权和继承规则实际应用组策略设置的 GPO
属性

文章 ID:873449 - 上次审阅时间:01/16/2015 08:59:17 - 修订版本: 1.2

  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • kbnosurvey kbarchive kbhowto kbinfo KB873449
反馈