采用系统策略来定制局域网
?牐犗低巢呗允荖T4中引入的一个名词。通过系统策略,你能定制网络客房的桌面、外壳、网络设置等。系统策略有两种:本机策略和远程策略。本机策略是指通过系统策略编辑器修改本地计算机的注册表所得到的策略规则。远程策略是指通过对远程客户计算机中注册表的操作来定制或控制客户端的用户界面/系统规则。当用户选择登录网络时,从NT服务器上自动下载策略文件并导入注册表,从而达到控制远程用户的目的。由于是针对注册表的操作,因而系统策略的运用环境受到一定的限定。目前,只有WIN95/98以及NT Workstation和NT SERVER 4.0版本的操作系统支持系统策略,而且WIN95与WIN98之间略有不同。而在WIN2000中,微软引入了“组策略”以代替“系统策略”
?牐犗低巢呗哉攵浴坝没А坝搿凹扑慊敖胁僮鳎缤?1。其中,对用户的定制对应远程计算机注册表中的HKEY_CURRENT_USER分支。对计算机的设定则对应远程计算机注册表中KEY_LOCAL_MACHINE分支。
#1?牐牰⑾低巢呗缘慕?立
?牐犜贜T主域控制器计算机中,使用开始菜单→管理工具→系统策略编辑器,可以创建系统策略。由于注册表组成不同,系统策略相应分为两类:基于NT用户和基于WIN95/98用户。在定制系统策略时,应注意二者之间的区别。考虑到实际应用中,客户计算机一般以WIN98作为平台,因此,我们主要讲解如何对WIN95/98用户来设定系统策略。
?牐犑紫刃枰≡裣低巢呗阅0濉N朔奖愎芾碚叨ㄖ剖视Σ煌肪车南低巢呗裕琋T4为用户创建了一些模板文件:ADM文件。对于普通用户来说,可以直接使用这些模板。其中,NT提供了以下三个模板文件:
?牐燾ommon.adm ?熓屎嫌贜T及WIN用户
?牐燱INNT.adm?熓屎嫌贜T WS及NT SERVER4 用户
?牐爓indows.adm?熓屎嫌赪IN95用户
?牐犚陨衔募挥趙innt\inf目录中
?牐牬蠹乙残碜⒁獾搅耍斜碇忻挥姓攵訵IN98/ME用户的模板。这是因为WIN98/ME是微软在NT之后推出的,因而,NT自带的模板中是不支持WIN98的。下面我们来看针对WIN95客户机的操作步骤:
?牐?1.在NT主域控制器中运行系统策略编辑器,出现系统策略界面。
?牐?2.选择合适模板:选项→策略模板→添加windows.adm(注意,此文件位于winnt\inf目录下),并删除默认的winnt.adm模板。
?牐?3.创建策略:文件→新建策略。出现如^26041101a^1的界面后,可以分别以计算机或以用户为单位设计策略。(如^26041101b^2与^26041101c^3)
?牐?4.设计好策略后,将此策略保存为文件。根据客户机操作系统不同,文件名也有所区别:
?牐?1)NT客户,策略文件名为:NTCONFIG.POL
?牐?2)WIN客户,策略文件名应为:CONFIG.POL
?牐?3)注意:策略文件必须存放在NT主域控制器中的NETLOGON共享目录中(对应目录为:winnt\system32\repl\import\scripts)
?牐犕ü陨纤牟讲僮鳎涂梢岳孟低巢呗允迪衷冻坦芾怼H绻突Щ捎肳IN98系统,则采用的方法和上面有所不同,这是因为WIN95与WIN98之间注册表的结构不尽相同而导致的。下面我们讲解如何在WIN98下实现系统策略:
?牐?1.由于WIN98注册表格式是NT所未知的。因而,要使得WIN98客户能使用系统策略,必须在WIN98环境下设置。在完整版的WIN95光盘上有这样的一个目录:POLEDIT。我们可以使用此目录下的系统策略编辑器及所含的模板来对WIN98进行操作。
?牐?2.将POLEDIT目录拷入WIN98客户机。运行POLEDIT.EXE程序,选择ADMIN模板。即可分别针对计算机与用户进行系统策略的设定。如图2与图3。
?牐?3.可分别针对用户(用户名),计算机(计算机名)进行设定策略。将所设定策略保存为CONFIG.POL文件。
?牐?4.在NT主域控制器上对NETLOGON共享权限设为可写,将CONFIG.POL拷贝到此共享中,然后取消可写权限。
?牐?5.在WIN98客户机网络属性中设置“登录到域”。
?牐?6.重新启动后,出现登录界面时,选择登录到域即可应用系统策略(注:可通过本机策略中默认计算机属性中的登录项中强制性要求必须登录到域,可避免用户点击”取消”而进入WIN98)。(^26041101d^)