从Windows Vista sp1和Windows Server 2008开始，组策略(Group Policy)和先前的版本有了更加长足的进步。细心的管理员可能已经发现，最新版本的组策略分成了策略设置(Policy Settings)和策略首选项(Policy Preferences)两个部分。其中策略设置基本上继承了以前版本组策略的主要内容，而策略首选项则是全新的内容，为管理员提供了更多更细的设置。

组策略设置和首选项的不同之处就在于强制性。组策略设置是受管理的、强制实施的。而组策略首选项则是不受管理的、非强制性的。

对于很多系统设置来说，管理员既可以通过策略设置来实现，也可以通过策略首选项来实现，2者有相当一部分的重叠。那么什么情况下应该用策略首选项，什么情况下应该用策略设置呢？本文将为你解开这个谜团。

=========================================

（下文大多数情况下将“组策略的策略设置”简称为“策略”或“策略设置”，将“组策略的策略首选项”简称为“首选项”）

因为首选项和策略在某些管理区域相互重叠，有时候你可以通过多种方法来实现同一个特定的任务。比如，你可以通过策略来指定必须使用的登录脚本。在这些脚本中，你可以映射网络驱动器、配置打印机、创建快捷方式、复制文件和文件夹以及执行其他任务。使用首选项，你可以不需要通过登录脚本就完成相同的任务。那么，应该选择哪一种方法呢？嗯，真相是没有一个标准答案，确实是这样，这取决于你想怎么做。在下面的章节中，我将告诉你一些大致的指导意见。

当在同一个GPO中的策略和首选项发生冲突时，基于注册表的策略通常会获胜。对于不基于注册表的策略和首选项来说，最后写入的那个值获胜（这取决于策略与首选项的客户端扩展执行的顺序）判断策略设置是否是基于注册表的方法很简单，因为所有基于注册表的策略设置都定义在管理模板(Administrative Templates) 中。

设备安装

通过策略设置，你可以通过阻止用户安装驱动程序的方法来限制用户安装某些特定类型的硬件设备。你可以指定某个经过许可的设备可以被安装(根据设备的硬件ID)，也可以阻止特定设备的安装(还是根据设备的硬件ID)。这些策略设置仅对Windows Vista及更高版本有效，可在Computer Configuration\Policies\Administrative Templates\System\Device Installation Restrictions下找到。（注：中文版为“计算机配置\策略\管理模版\系统\设备安装限制”）

虽然这些限制措施能阻止新设备的安装，或阻止一个设备在拔下后并重新插入时的重新安装，但并不能阻止已存在设备的运行。

使用首选项，你可以禁用设备类(Device Classes)、某个设备、端口类(Port Classes)以及某个端口，但不能阻止驱动程序的载入。相关的首选项设置可以在Computer|User Configuration\Preferences\Control Panel Settings\Devices下找到。
（注：中文版为“计算机|用户配置\首选项\控制面板设置\设备”）

虽然用首选项可以禁用设备和端口，这并不会阻止设备驱动程序的安装。它也不会阻止具有相应权限的用户通过设备管理器(Device Manager)启用设备或端口。然而，因为组策略默认会以同样的时间间隔来刷新策略设置和首选项，首选项设置会在下一次刷新组策略的时候被重新应用。这样，除非你特别指定该首选项只应用一次且不再重新应用，该设置会每90-120分钟被应用一次。

如果你想完全锁定并阻止某个特定设备被安装和使用，可以将策略设置和首选项配合起来使用：用首选项来禁用已安装的设备，并通过策略设置阻止该设备驱动程序的重新载入。

最后要指出的是，这里提到的策略设置仅对Windows Vista或更高版本生效，而首选项则可以对安装了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的任何计算机生效。

文件和文件夹

通过策略可以为重要的文件和文件夹创建特定的访问控制列表(ACL)。然而，只有目标文件和文件夹存在情况下，ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\File System下找到。
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\文件系统”）

使用首选项，你可以管理文件和文件夹。对于文件，你可以通过从源计算机复制的方法来创建、更新、替换或删除一个文件或文件夹。对于文件夹，还可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。

文件和文件夹首选项可以应用于任何安装了组策略首选项客户端扩展的计算机上。对于文件，你可以在Computer|User Configuration\Prefernces\Windows Settings\Files下找到。对于文件夹，你可以在Computer|User Configuration\Prefernces\Windows Settings\Folders下找到。
（注：中文版对应的位置分别是“计算机|用户配置\首选项\Windows设置\文件”和“计算机|用户配置\首选项\Windows设置\文件夹”）

小技巧：组策略还提供了可用于.ini 配置文件和快捷方式的首选项。用于.ini文件的首选项仅限于修改.ini文件中特定分支的特定属性值。快捷方式首选项可用于创建文件、文件夹、URL以及在特定Shell对象(例如桌面)的快捷方式。

所以，最佳方案是同时使用文件和文件夹的策略和首选项。你可以用首选项来创建一个文件或文件夹，并通过策略对刚创建的文件或文件夹设置ACL。此外，对于文件和文件夹，应该选择“只应用一次而不再重新应用”。否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。

Internet Explorer

组策略为Internet Explorer提供了非常多的策略和首选项设置，多到连不少专家都常常为哪个设置能做什么而感到困惑。下面这些是需要被关注的关键：

Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer 策略主要用来控制Internet Explorer的行为表现。这些策略配置了浏览器的安全增强并帮助锁定Internet安全区域设置。
User Configuration\Policies\Windows Settings\Internet Explorer Maintenance 策略用来指定重要的URL，比如主页、搜索栏、联机支持页、收藏夹和链接。策略设置也被用于自定义浏览器界面，例如给IE增加自定义Logo、标题和按钮，建立默认程序、代理服务器和其他方法等。
User Configuration\Preferences\Control Panel Settings\Internet Settings下的首选项设置允许你配置控制面板中“Internet选项”工具中的任何选项。

因为策略是被管理的而首选项是不被管理的，当你想要强制设定某些Internet Explorer选项时，应该使用策略设置。尽管你也可以使用首选项来配置Internet Explorer，但是因为首选项是非强制性的，所以用户可以自行更改设置。

电源选项

选择非常容易——为Windows Vista或更高版本选择策略；为Windows XP选择首选项。

Vista或更高版本的策略设置位于
Computer|User Configuration\Policies\Administrative Templates\System\Power Management
（中文版：“计算机|用户配置\策略\管理模板\系统\电源管理”）

Windows XP的首选项设置位于
Computer|User Configuration\Preferences\Control Panel Settings\Power Options
（中文版：“计算机|用户配置\首选项\控制面板设置\电源选项”）

打印机

通过组策略，你可以将打印机部署到任何支持组策略的计算机上，这是通过建立一个到现存的共享打印机上的连接来实现的。

对于Windows Vista或更高版本的计算机，可以通过位于User Configuration\Policies\Windows Settings\Deployed Printers的策略设置来部署打印机；对于更早版本的Windows计算机，可以通过在登录/启动脚本中使用PushPrinterConnection.exe来部署打印机连接。

你可以通过首选项来映射和配置打印机，这些首选项包括配置本地打印机以及映射网络打印机，包括共享网络打印机或TCP/IP网络打印机。这些首选项可以应用在任何安装了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的计算机上。

因为打印机首选项的设置要远比策略设置丰富的多，你可能会更倾向于使用首选项。不过，如果你已经通过策略设置部署了打印机，也没必要切换到首选项并重新部署。

注册表项与值

通过策略设置，可以为注册表项设置特定的访问控制列表(ACL)。然而，只有注册表项存在的情况下，ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\Registry下找到。
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\注册表”）

使用首选项，你可以创建、更新、替换或删除一个注册表项。相关的首选项的位置在Computer|User Configuration\Prefernces\Windows Settings\Registry。（注：中文版的位置是“计算机配置\首选项\Windows设置\注册表”）

尽管用首选项可以修改几乎任何注册表项，但是这种方法却很少被广泛使用。为什么呢？因为这相当于直接修改注册表，而直接修改注册表是一个危险的操作。你可能破坏了注册表导致系统的崩溃。所以我建议你只有在极少数必须的情况下才使用首选项来修改注册表项。你应该通过策略设置中的管理模板来修改注册表。组策略提供了很多管理模版，你还可以到微软网站为其他应用程序（比如MS Office）下载并安装额外的管理模板，来给其他应用程序管理注册表。如果某个特定的应用程序没有相应的管理模板，你还可以创建自定义的管理模板。

此外，你可能希望对注册表项的首选项“只应用一次且不再重新应用”。否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。

开始菜单

说起对开始菜单的控制，策略配置和首选项有很多重叠之处。但是做法很不一样。

通过策略设置，你可以控制和限制「开始」菜单选项和不同的开始菜单行为。这些控制位于User Configuration\Policies\Adminsitrative Templates\Start Menu And Taskbar下。例如，你可以指定是否要在用户注销时清除最近打开的文档历史，或是否在“开始”菜单上禁用拖放操作。还可以锁定任务栏，移除系统通知区域的图标以及关闭所有气球通知。
（注：中文版的位置是“用户配置\策略\管理模板\「开始」菜单和任务栏”）

首选项位于User Configuration\Preferences\Control Panel Settings\Start Menu。你可以如同通过控制面板中的任务栏和「开始」菜单属性对话框一样来进行配置。不过没有关于任务栏的首选项。
（注：中文版的位置是“用户配置\首选项\控制面板设置\「开始」菜单”）

系统服务

对于系统服务，选择很容易。你可以通过策略设置来
* 配置服务的启动模式
* 指定服务的访问许可（谁可以开始、停止和暂停服务）

策略设置位于Computer Configuration\Policies\Windows settings\Security Settings\System Services
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\系统服务”）

首选项则用于
* 配置服务启动模式
* 配置服务操作（例如启动服务，停止服务，停止并重启服务）
* 设定用于启动服务的帐号和密码
* 设定当服务失败时计算机的恢复反应。

服务的首选项位于Computer Configuration\Preferences\Control Panel Settings\Services
（注：中文版的位置是“计算机配置\首选项\控制面板设置\服务”）

因为策略是受管理的，而首选项是不受管理的，当你想强制定义启动模式和访问许可的时候，可以用策略设置。尽管你可以用首选项来配置服务，但是因为首选项是非强制的，用户可以自行更改设置。这就是说，如果你应用了首选项并通过常规的组策略刷新机制来自动刷新，某些用户更改将会被你的首选项设置所覆盖。

用户和组

对于用户和组来说，选择首选项还是策略很容易。如果你想限制某个AD组或本地组的成员，你就应该用策略设置。相关策略设置的位置是Computer Configuration\Policies\Windows settings\Security Settings\Restricted Groups
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\受限制的组”）

通过首选项，你可以创建、替换、更新或删除本地用户或本地组。

对于本地用户，还可以

* 重命名用户帐号
* 设置用户密码
* 设置用户帐号的状态标志（比如下次登录时必须修改密码标志，帐号禁用标志等）

对于本地组，首选项还可以

* 重命名组
* 添加或删除当前用户
* 删除成员用户或成员组

本地用户和组的首选项位于Computer|User Configuration\Preferences\Control Panel Settings\Local Users And Groups
（注：中文版的位置是“计算机|用户配置\首选项\控制面板设置\本地用户和组”）

在组策略的首选项和策略设置之间进行选择相关推荐

使用组策略中的首选项更改域中计算机注册表
使用首选项更改注册表使用组策略的首选项可以更改计算机的注册表键值,通过更改可以控制计算机的行为.以下示例就通过组策略的首选项配置域中计算机启用远程桌面,且更改远程桌面使用的端口.默认远程桌面的远程桌 ...
Arcsight ESM入门系列（二）ESM首选项
小节概述本章介绍Arcsight ESM首选项配置. 进入首选项用户通过 "编辑 > 首选项" 菜单命令, 进入 "首选项" 对话框.通过首选项用户可 ...
如何在“首选项”摘要中显示Android首选项的当前值？
这必须经常出现. 当用户在Android应用程序中编辑首选项时,我希望他们能够在Preference摘要中查看首选项的当前设置值. 示例:如果我有"丢弃旧邮件"的"首选项 ...
linux更换浏览器,更改浏览器Firefox首选项值的方法
Firefox是一个现代的Web浏览器,具有广泛的功能列表和相当多的自定义选项,支持Linux.Windows.MacOS平台,用户可以通过其"选项"窗口自定义浏览器的工作方式,但 ...
详解Android首选项框架ListPreference
探索首选项框架在深入探讨Android的首选项框架之前,首先构想一个需要使用首选项的场景,然后分析如何实现这一场景.假设你正在编写一个应用程序,它提供了一个搜索飞机航班的工具.而且,假设该应用程序的 ...
Ps 首选项设置建议
Windows Ps菜单:编辑/首选项 macOS Ps菜单:Photoshop/首选项快捷键:Ctrl/Cmd + K 对 Ps 的首选项 Preferences进行设置,可以提高修图与设计效率. ...
Eclipse运行时概述1（运行时插件模型，首选项）
1 运行时概述 Eclipse 运行时定义插件(org.eclipse.osgi和org.eclipse.core.runtime),其它所有插件都依赖于它们.运行时负责定义插件的结构以及它 ...
计算机首选项快捷键,Photoshop 首选项文件功能、名称、位置
名称和说明文件名路径常规设置首选项 - 包含在"Camera Raw 首选项"对话框中设置的所有设置. * Adobe Photoshop [版本] Prefs.psp 用户 ...
win2k8 组策略首选项
今天测试了一下win2k8 组策略首选项的功能,发现其能给我们带来很多好处,默认情况首选项的功能适用于win7以上,但xp/2000等一样也可以用,只不过要安装两个补丁,补丁在附件 .cmd脚本为简 ...

在组策略的首选项和策略设置之间进行选择