安裝 Windows XP Service Pack 2 之後對群組原則使用方式所做的變更

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

本文已封存。本文係以「現狀」提供且不會再更新。
簡介
在 Microsoft Windows XP Service Pack 2 (SP2) 中,「群組原則」系統管理範本的使用方式已經做了多種變更, 在未來所有的 Windows Service Pack 中,也都將採用這些變更。

本文將告訴您,「群組原則」系統管理範本的變更內容,以及這些變更對於「群組原則」整體功能的影響。
其他相關資訊

IF VERSION/END IF 條件式元件

摘要

您可以根據「群組原則物件編輯器」(Gpedit.msc) 的版本,使用 IF VERSION/END IF 條件式元件來控制是否要顯示某些功能或設定。版本非常重要,因為新版 Windows 作業系統中的某些功能或設定,在舊版的「群組原則物件編輯器」中可能無法正確地解譯。同樣地,不同版本的「群組原則物件編輯器」,其操作方式也可能有所變更。IF VERSION/END IF 條件式元件讓舊版的「群組原則物件編輯器」能夠剖析或忽略系統管理範本的某些部份。

下列表格會列出「群組原則物件編輯器」的各種版本號碼:
版本作業系統
版本 3Windows 2000
版本 4Windows XP Service Pack 1 (SP1) 和 Windows Server 2003
版本 5Windows XP SP2
在 Windows XP SP2 中,您可以使用「群組原則物件編輯器」版本 5,不讓某些設定顯示出來,並且讓 Windows XP SP2 版的「群組原則物件編輯器」與舊版有所區別。 如此一來,當您在用戶端電腦上檢視「群組原則」設定,而用戶端電腦上的「群組原則物件編輯器」又無法解譯版本 5 或更新的版本時,這些版本中的設定就不會顯示出來。 好比說,Windows 2000 用戶端就不能使用版本 5 或更新版本的「群組原則物件編輯器」來檢視設定, 這些設定包括 (但不限於):
  • DCOM:定義啟用安全性檢查免除
  • 離線檔案:系統管理指派的離線檔案 (電腦原則)
  • 離線檔案:禁止將這些檔案及資料夾設定成可離線瀏覽 (電腦原則)
  • 離線檔案:系統管理指派的離線檔案 (使用者原則)
  • 離線檔案:禁止將這些檔案及資料夾設定成可離線瀏覽 (使用者原則)
  • Windows 防火牆:定義程式例外 (電腦原則)
  • Windows 防火牆:定義連接埠例外 (電腦原則)

問題

您可以嘗試使用 IF VERSION/END IF 條件式元件,來排除幾項原則的某些說明資訊。包含這些資訊的字串超過舊版「群組原則物件編輯器」所能讀取的長度, 但是,舊版的「群組原則物件編輯器」仍然會先嘗試「讀取」括在 IF VERSION/END IF 條件式元件中的資訊,然後再決定是否要將這些資訊顯示在「群組原則物件編輯器」中。

LISTBOX 建構

「群組原則」系統管理範本 (.adm 檔案) 中包含了幾項設定,您可以用來定義最後要如何將設定寫入用戶端的「群組原則」中。 其中一項定義 (或者建構) 就是 LISTBOX 建構。LISTBOX 建構可以讓系統管理員在「群組原則物件編輯器」中輸入包含多個值的資料。 如果使用這個建構,將會以 REG_MULTI 登錄值類型寫入已定義的設定, 因此,您就可以將多個值儲存在一個登錄值設定中。

如需這個建構的範例,請參閱位於下列路徑的「當使用者登入時執行這些程式」原則設定:
使用者設定\系統管理範本\系統\登入\[當使用者登入時執行這些程式]
注意 系統管理員可以定義多個要執行的程式,而且這些程式全部都會寫入同一個登錄值中。

ADDITIVE 關鍵字

摘要

ADDITIVE 關鍵字是與 LISTBOX 建構一起搭配使用。當您為 LISTBOX 建構指定 ADDITIVE 關鍵字時,套用該設定的程式將不會再依照預設的方式來使用「群組原則」。

一般而言,「群組原則」是依照「最後寫入者取得優先」(last writer wins) 的方式來處理數值定義的衝突。例如,如果使用者已經套用了多個「群組原則」物件 (GPO),而且每個 GPO 的「當使用者登入時執行這些程式」設定都各有不同的定義,則對該使用者來說,有效的「群組原則」將會包含最後所套用的 GPO 的值。一般而言,這個 GPO 具有最高的優先順序,可套用到 Active Directory 階層中最接近使用者的網域物件、站台物件或組織單位中的使用者。

ADDITIVE 關鍵字實際上叫用的方式,不同於「最後寫入者取得優先」的方式。ADDITIVE 關鍵字會使「群組原則」以累積的方式來處理鎖定目標的原則, 因此,會以合併的方式,將多個 GPO 的值套用到有效的原則設定。

在 Windows XP SP2 之前,很少使用 ADDITIVE 關鍵字, 但是,現在有更多的「群組原則」會使用這個關鍵字。例如,Windows 防火牆的 [定義連接埠例外] 設定就會採用這種新的方式。

問題

目前已知 ADDITIVE 關鍵字有下列問題:
  • 如果在「群組原則」階層的最低層級停用 LISTBOX ADDITIVE 設定,預期的情況應該是,階層中較高層級的累積原則設定不具有優先順序,而且會停用有效的設定, 但是這種情況並不會發生, 使用者仍然會取得繼承的設定。

    注意 當系統管理員在「群組原則物件編輯器」中定義原則設定時,便會發生這個問題。
  • 當您在 Windows 2000 中修改 GPO 時,看不到使用 LISTBOX ADDITIVE 的設定。發生這種情況的原因是,LISTBOX ADDITIVE 設定的所有執行個體都括在 IF VERSION >= 5/END IF 條件式元件中。這是刻意設計的作法。

    如果要在 Windows 2000 中更正 LISTBOX ADDITIVE 設定,變更架構並不是很實際的作法,因此,我們決定要避免在 Windows 2000 用戶端電腦上修改這些設定。

    警告 請不要嘗試修改 IF VERSION/END IF 條件式元件,將這些設定變成可編輯的狀態。 您可以檢視及修改設定,但是所產生的原則應該要根據最後一個用戶端的作業系統版本來修改原則。 由於作業系統的版本無法加以控制或監視,因此原則結果也無法預期。

其他的登錄設定

當您在「群組原則管理主控台」(GPMC) 中使用「群組原則結果」和「群組原則模式」時,會產生 HTML 格式的報表。 這份報表會說明針對特定目標所設定的原則設定。由於 GPMC 解譯系統管理範本 (.adm) 檔案的方式,Windows XP SP2 中所提供的某些新的「群組原則」設定會顯示在 GPMC 報表的 [額外的登錄設定] 類別之下,而不是顯示在 [使用者設定] 類別或 [電腦設定] 類別之下。發生這種情況的原因是,GPMC 無法辨識 .adm 檔案中括在 #if version >= 5/#endif 建構中的項目。這些項目可能包含使用 LISTBOX ADDITIVE 功能的 Windows 防火牆及 Microsoft Internet Explorer 原則設定。

使用 LISTBOX 建構的範例之一是 [Windows 防火牆: 定義連接埠例外] 群組原則設定 (在 [網域設定檔] 及 [標準設定檔] 節點中都可以找到這項設定)。 這個「群組原則」設定位於:電腦設定\系統管理範本\網路\網路連線\Windows 防火牆。

此外,GPMC 並不會列出這些「群組原則」設定的顯示名稱, 但是,GPMC 會顯示下列資訊:
  • 登錄機碼的名稱
  • 設定的狀態 (啟用或停用)
  • Winning GPO。Winning GPO 是指根據優先順序及繼承規則實際套用「群組原則」設定的 GPO。
內容

文章識別碼:873449 - 最後檢閱時間:01/16/2015 08:59:17 - 修訂: 1.2

  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • kbnosurvey kbarchive kbhowto kbinfo KB873449
意見反應