采用系统策略来定制局域网 阿微 2001年 26期 #1一、什么叫系统策略   系统策略是NT4中引入的一个名词。通过系统策略,你能定制网络客房的桌面、外壳、网络设置等。系统策略有两种:本机策略和远程策略。本机策略是指通过系统策略编辑器修改本地计算机的注册表所得到的策略规则。远程策略是指通过对远程客户计算机中注册表的操作来定制或控制客户端的用户界面/系统规则。当用户选择登录网络时,从NT服务器上自动下载策略文件并导入注册表,从而达到控制远程用户的目的。由于是针对注册表的操作,因而系统策略的运用环境受到一定的限定。目前,只有WIN95/98以及NT Workstation和NT SERVER 4.0版本的操作系统支持系统策略,而且WIN95与WIN98之间略有不同。而在WIN2000中,微软引入了“组策略”以代替“系统策略”   系统策略针对“用户“与“计算机“进行操作,如图1。其中,对用户的定制对应远程计算机注册表中的HKEY_CURRENT_USER分支。对计算机的设定则对应远程计算机注册表中KEY_LOCAL_MACHINE分支。   #1二、系统策略的建立   在NT主域控制器计算机中,使用开始菜单→管理工具→系统策略编辑器,可以创建系统策略。由于注册表组成不同,系统策略相应分为两类:基于NT用户和基于WIN95/98用户。在定制系统策略时,应注意二者之间的区别。考虑到实际应用中,客户计算机一般以WIN98作为平台,因此,我们主要讲解如何对WIN95/98用户来设定系统策略。   首先需要选择系统策略模板。为了方便管理者定制适应不同环境的系统策略,NT4为用户创建了一些模板文件:ADM文件。对于普通用户来说,可以直接使用这些模板。其中,NT提供了以下三个模板文件:   common.adm 适合于NT及WIN用户   WINNT.adm适合于NT WS及NT SERVER4 用户   windows.adm适合于WIN95用户   以上文件位于winnt\inf目录中   大家也许注意到了,列表中没有针对WIN98/ME用户的模板。这是因为WIN98/ME是微软在NT之后推出的,因而,NT自带的模板中是不支持WIN98的。下面我们来看针对WIN95客户机的操作步骤:   1.在NT主域控制器中运行系统策略编辑器,出现系统策略界面。   2.选择合适模板:选项→策略模板→添加windows.adm(注意,此文件位于winnt\inf目录下),并删除默认的winnt.adm模板。   3.创建策略:文件→新建策略。出现如^26041101a^1的界面后,可以分别以计算机或以用户为单位设计策略。(如^26041101b^2与^26041101c^3)   4.设计好策略后,将此策略保存为文件。根据客户机操作系统不同,文件名也有所区别:   1)NT客户,策略文件名为:NTCONFIG.POL   2)WIN客户,策略文件名应为:CONFIG.POL   3)注意:策略文件必须存放在NT主域控制器中的NETLOGON共享目录中(对应目录为:winnt\system32\repl\import\scripts)   通过以上四步操作,就可以利用系统策略实现远程管理。如果客户机采用WIN98系统,则采用的方法和上面有所不同,这是因为WIN95与WIN98之间注册表的结构不尽相同而导致的。下面我们讲解如何在WIN98下实现系统策略:   1.由于WIN98注册表格式是NT所未知的。因而,要使得WIN98客户能使用系统策略,必须在WIN98环境下设置。在完整版的WIN95光盘上有这样的一个目录:POLEDIT。我们可以使用此目录下的系统策略编辑器及所含的模板来对WIN98进行操作。   2.将POLEDIT目录拷入WIN98客户机。运行POLEDIT.EXE程序,选择ADMIN模板。即可分别针对计算机与用户进行系统策略的设定。如图2与图3。   3.可分别针对用户(用户名),计算机(计算机名)进行设定策略。将所设定策略保存为CONFIG.POL文件。   4.在NT主域控制器上对NETLOGON共享权限设为可写,将CONFIG.POL拷贝到此共享中,然后取消可写权限。   5.在WIN98客户机网络属性中设置“登录到域”。   6.重新启动后,出现登录界面时,选择登录到域即可应用系统策略(注:可通过本机策略中默认计算机属性中的登录项中强制性要求必须登录到域,可避免用户点击”取消”而进入WIN98)。(^26041101d^)