用户和计算机

Microsoft 管理控制台

可以使用 Microsoft 管理控制台 (MMC) 创建、保存和打开用于管理硬件、软件和 Windows系统组件的工具（称为 MMC 控制台）。MMC 是 Windows 2000 操作系统的一个特性，也可以在 Windows NT、Windows 95和 Windows 98 操作系统中运行 MMC。此外，MMC 还是几个软件应用程序的特性，这些应用程序设计在 Windows 中运行。

MMC 本身不执行管理功能，但却作为宿主接纳执行该功能的工具。可添加到控制台的主要工具称为插件。可添加的其他项目包括 ActiveX 控制、链接到网页、文件夹、控制台任务板和任务。

使用 MMC 有两种方法：在用户模式下使用已现有的 MMC 控制台管理系统，或在作者模式下创建新控制台和修改已现有的 MMC 控制台。

MMC 控制台

新 MMC 控制台由分为两个窗格的窗口的组成。左侧窗格称为控制台目录树，右侧窗格则称为详细资料窗格。控制台目录树显示给定控制台中可用的项目。详细资料窗格则包含有关这些项目功能的信息。当单击控制台目录树中不同项目时，详细资料窗格中的信息将相应改变。详细资料窗格可以显示很多类型的信息，包括网页、图形、图表、表格和列。

每个控制台都拥有其自身的菜单和工具栏，它们与主 MMC 窗口的菜单和工具栏是分开的，其作用是帮助用户执行任务。

所使用的操作系统可能已经预先配置和保存了控制板或程序菜单管理工具文件夹中可用的控制台文件。

组策略和 MMC

在 Windows 2000 中，管理员可使用组策略限制或允许访问特定的插件，或者限制用户或组使用 MMC 中作者模式的能力。要想为特定计算机的用户设置策略，则必须是该计算机的管理员或拥有同等权利。要想设置域中组织单位的策略，则必须是该域的管理员或拥有同等权利。使用该版本的 MMC 只能创建用户策略，而无法创建计算机策略。

MMC 窗口

MMC 控制台的组件包含在 MMC 窗口中。该窗口拥有几个菜单和工具栏，用于提供命令打开、创建和保存 MMC 控制台。MMC 窗口中的菜单和工具栏分别称为主菜单栏和主工具栏。此外，在窗口底部还有一个状态栏。

当打开一个新 MMC 控制台时，将在 MMC 窗口的工作区中出现一个控制台窗口。可在该控制台窗口中集合和配置新控制台，而后使用控制台中的工具进行工作。将项目添加到控制台后，可以隐藏主菜单栏、主工具栏和状态栏以便防止用户对控制台进行部必要的更改。

插件

插件是 MMC 控制台的基本组件。插件总是驻留在控制台中；它们自身不运行。

当在运行 Windows 的计算机上安装与插件相关联的组件时，插件对于所有在该计算机上创建控制台的用户都是可用的（除非受到用户策略的限制）。

将插件添加到控制台

可以将单个或多个控制台以及项目添加到控制台中。此外，可将插件的多个范例添加到同一控制台以管理不同的计算机。一般说来，只能添加安装在正在控制台的计算机上的插件。然而，在 Windows 2000 中，如果计算机是域的一部分，则可以使用 MMC 下载任何非本地安装却在活动目录目录服务中有效的插件。

独立和扩展名插件

MMC 支持两种类型的插件：独立插件和扩展名插件。独立插件也经常称为插件，可以在无须首先添加另一项目的情况下将其添加到控制台目录树中。扩展名插件也经常称为扩展名，总是添加到已存在于控制台目录树的独立或扩展名插件中；这样做后，扩展名将在由插件控制的对象上进行操作，诸如计算机、打印机、调制解调器或其他设备。

控制台任务板和任务

任务板是可以在其中添加内容的 HTML 页面，添加内容包括控制台详细资料窗格中的列表以及给定控制台内外函数的快捷方式。可以使用快捷方式运行诸如启动向导、打开属性页、执行菜单命令、运行命令行和打开网页等任务。可以对任务板进行配置以便它能包含给定用户需要的所有任务。此外，可以在控制台中创建多个任务板以便可通过功能或用户将任务分组。

任务板使初学用户可以更容易地执行作业。例如，可将应用任务添加到任务板当中而后隐藏控制台目录树，以便用户可以在熟悉控制台目录树中特殊功能的位置之前开始使用工具。

也可以使用任务板使复杂任务变得容易。例如，如果用户必须频繁执行涉及多个插件和其他工具的任务，则可以将任务放在打开或运行必要对话框、属性页、命令行和脚本的单一位置上。

控制台目录树和控制台根节点

控制台目录树在 MMC 控制台的左侧窗格中是一个分层结构。它显示控制台中的可用项目。这些项目可包括文件夹、插件、控制、网页、任务板以及其他工具。

在新控制台中，控制台目录树中的唯一项目是一个标记为控制台根节点的文件夹。可通过将项目添加到控制台创建控制台的管理功能。

无须在控制台根节点中固定控制台窗口；可以在控制台目录树中的任何项目上固定控制台窗口。这样做将隐藏根以上控制台目录树中的项目，并使窗口主要显示新控制台根节点和所有其下面的管理工具上。

控制台目录树中的容器

容器是指控制台目录树中可在其中添加对象的任何项目。单击加号展开容器查看其内容，单击减号则缩回容器。最明显的容器便是文件夹，可用来在控制台目录树中将相关项目分组。然而，亦可使用 MMC 将对象添加到除文件夹之外的项目中，其后也将变为容器。

控制台根节点是一个容器，其唯一的功能便是包含控制台目录树。插件中的第一个项目通常是文件夹或另一个容器。

另一类可包含其他项目的项目是可视项目。当单击可视项目时，将显示详细资料窗格而不是其他项目中的列表、文本或图形信息。网页是可视项目，因为它需要只能在详细资料窗格中打开的浏览器。不应将项目添加到可视项目中，这是因为如果用户隐藏了控制台目录树，他们可能会不知道可视项目包含有其他项目。相反，如果拥有一个可视项目集合，则可将文件夹添加到控制台目录树中，并将文件夹中的可视项目分组。这样做将允许用户在控制台目录树隐藏时从所有项目中进行选择。

一种不能包含其他项目的项目类型是页。当单击页时，将列出详细资料窗格中的项目。这些项目通常是单独包含在控制台目录树中的项目。然而，当项目成百上千时，插件将使用页而不是容器。

添加新功能到控制台

可能会发现由“添加/删除”插件命令提供的插件都不能提供需要的功能。可以尝试以下解决方案：

检查网络中是否存在由 Microsoft 或其他厂商发送的其他插件或扩展。

创建自身的扩展以增加现存插件的功能，或创建新的独立插件以便提供全新功能。

控制台访问选项

当建造定制控制台时，可指定给控制台两种常规访问选项中的一种：作者模式或用户模式。用户模式又依次有三个级别，因此对于控制台的默认访问有四个选项：

作者模式

用户模式-全面访问

用户模式-限制性访问，多窗口

用户模式-限制性访问，单窗口

您可配置这些选项。可以将作者模式指定给控制台以授予对 MMC 功能的全面访问，包括添加或删除插件、创建新窗口、创建控制台任务板和任务以及查看控制台目录树所有的权利。

通过选择用户模式选项之一，将清除用户不需要的作者特性。例如，如果将用户模式-全面访问选项指定给控制台，则将提供所有 window 管理命令及对控制台目录树的全面访问，而与此同时会禁止用户添加或删除插件以及更改控制台属性。

如果任何下列情况适用，将忽略控制台的默认模式而以作者模式打开控制台：

当控制台打开时，MMC 已经以作者模式运行。

使用快捷方式菜单命令打开控制台，这将以作者模式打开控制台。

在命令提示符下使用“/a”选项打开控制台。

选择了用户选项卡作者模式复选框中的“一直打开控制台文件”。

MMC的作者模式功能对于不需要创建或更改 MMC 控制台的用户是不必要的。通过禁止“/a ”或快捷方式菜单选项，系统管理员可配置用户配置文件设置以防止用户以作者模式打开 MMC。此外，在 Windows 2000 中，管理员还可使用组策略设置防止用户以作者模式打开 MMC。

组策略

组策略概述

组策略定义了系统管理员需管理的用户桌面环境的各类组件；例如，用户可用的程序、出现在用户桌面的程序和启动菜单选项。要为一组特殊用户创建特定的桌面配置，请使用组策略插件。指定的组策略设置包含在组策略对象中，它又依次与选择的活动目录对象 - 站点、域或组织单位相关联。

组策略包括影响用户的用户配置设置和影响计算机的计算机配置。

要使用组策略和其扩展名，可以：

通过管理模板管理基于注册表的策略。组策略创建包含注册表设置的文件，注册表设置将写入注册表数据库的用户或本地机器部分。对于登录到给定工作站或服务器的用户为特定的用户配置文件设置将写入HKEY_CURRENT_USER (HKCU)下的注册表，而对于计算机特定的设置将写入 HKEY_LOCAL_MACHINE (HKLM) 下的注册表。

指定脚本（诸如计算机启动和关闭、登录和注销）。

将文件夹从本地计算机的文档和设置文件夹重定向到网络位置上。

管理应用程序（指定、发布、更新或修复）。要完成这项工作，请使用软件安装扩展名。

指定安全选项。

　

用户和计算机策略

当用户登录时将获得用户策略（设置位于组策略中用户配置节点下）。计算机策略设置位于计算机配置下，是在机器启动时获得的。

用户和计算机是接收策略的活动目录对象的唯一类型。特别需指出的是，没有应用于安全组的策略。相反，由于性能原因，安全组用于筛选策略，该过程是通过可设置为允许、拒绝或未设置的应用组策略 ACE（访问控制项）完成的。

应用顺序

按以下顺序应用策略：

NT 4样式的策略 (NTConfig.pol)

独特的本地组策略对象

站点组策略对象，按管理指定顺序

域组策略对象，按管理指定顺序

OU 组策略对象，从最大到最小的 OU（从父到子OU），在每个 OU 级别上按管理指定顺序

默认情况下，当策略不一致时稍后应用的策略将覆盖以前应用的策略。然而，如果设置不一致，则之前和稍后的策略都将对有效策略作出贡献。

策略可由安全组成员身份进行筛选

组策略对象中的安全组 ACE 可设置为未配置（非首选）、允许或拒绝。拒绝优先于允许。

封堵策略继承

可在站点、域或组织单位级别封堵将从高级别站点、域或组织单位继承的策略。

从上方实施策略

可在组策略对象级别实施子 Ous 中策略将覆盖的策略。

注释

不能封堵实施策略。

用户配置

组策略中的用户配置节点允许管理员设置应用于用户的策略，它适用于用户登录到任一台计算机。

用户配置通常包含软件设置、Windows 设置和管理模板的子节点，由于组策略具有可添加到其中和从中删除的插件扩展名，所看到的子节点的准确设置可能不相同。

计算机配置

组策略中的计算机配置节点允许管理员设置应用于计算机的策略，它适用于所有登录者。

计算机配置通常包含软件设置、Windows 设置和管理模板的子节点，但由于组策略具有可添加到其中和从中删除的插件扩展名，所看到的子节点的准确设置可能不相同。

安全设置

组策略中存在两个安全设置节点。

计算机的安全设置

\Computer Configuration\Windows Settings\Security Settings 是应用于所有登录到计算机的用户的安全设置。它有两个节点：活动目录中的 IP 安全策略和公用密钥策略。

用户的安全设置

\User Configuration\Windows Settings\Security Settings 是应用于用户的安全设置而不论其登录到哪台计算机。它具有公用密钥策略子节点。

管理模板

组策略管理模板节点包含所有基于注册表的策略信息。用户配置保存在 HKEY_CURRENT_USER (HKCU) 中，而计算机配置则保存在 HKEY_LOCAL_MACHINE (HKLM) 中。软件策略设置包括程序和 Windows 2000 操作系统及其组件的组策略。

可以通过使用 .adm 文件或组策略扩展名来增加管理模板节点下的名称空间。当第一次使用管理模板节点时，将自动安装 .adm 文件。

如果计划创建管理模板节点的条目，则应使用 \CompanyName\Product\Version（或 \CompanyName\Product&Version）命名约定普及名称空间，该约定在注册表中同样使用。例如，Windows 2000的操作系统设置将在 \Microsoft\Windows 2000 中。

使用 .adm 文件普及管理模板节点下显示的用户界面。为此目的，随同 Windows 2000 带有几个 .adm 文件。

Registry.pol 文件

组策略的管理模板扩展名将信息保存在 Registry.pol 文件中。这些文件包含定制的注册表设置，该设置指定应用于注册表的机器或用户部分。Registry.pol文件之一包含应用于 HKEY_LOCAL_MACHINE 注册表密钥的注册表设置；它存储在 GPT\Machine 文件夹中。另一个 Registry.pol则包含对于 HKEY_CURRENT_USER密钥特定的注册表设置；它存储在 GPT\User子目录中。

软件设置

组策略中存在两个软件设置节点。

计算机的软件设置

\Computer Configuration\Software Settings\ 是应用于所有登录到计算机的用户的软件设置。存在一个软件安装子节点，当然也可能有独立软件厂商放置的其他子节点。

用户的软件设置

\User Configuration\Software Settings 是应用于用户的软件设置而不论其登录到哪台计算机。存在一个软件安装子节点，当然也可能有独立软件厂商放置的其他子节点。

Windows 设置

组策略中存在两个 Windows 设置节点。

计算机的 Windows 设置

\Computer Configuration\Windows Settings\ 应用于所有登录到计算机的用户的 windows 设置。存在两个子节点：安全设置和脚本。

用户的 Windows 设置

\User Configuration\Windows 设置是应用于用户的 windows 设置而不论其登录到哪台计算机。存在三个子节点：文件夹重定向、安全设置和脚本。

软件安装

软件安装帮助指定如何在组织中安装和维护应用程序。管理组策略对象中与特定活动目录容器相关联的应用程序，它可以是站点、域或组织单位（组织单位）。可以两种模式之一进行管理：指定和发布。

当希望所选组策略对象中的每个人的计算机上都拥有应用程序时，可指定应用程序。例如，假设希望市场部的每个人都拥有 Microsoft Excel。组策略对象的存在将可以管理市场中的每个用户。当指定市场组策略对象中的 Microsoft Excel 时，将在每个市场用户的计算机上广告 Microsoft Excel。当广告指定的应用程序时，只是看起来已在计算机上安装了该应用程序。在这种情况下，应用程序广告只安装足够有关 Microsoft Excel 的信息以便使 Microsoft Excel快捷方式出现在开始菜单中，必要的文件关联 (.xls) 将出现在注册表中。

当市场组策略对象管理的用户登录到运行 Windows 2000 的计算机时，Microsoft Excel 将出现在开始菜单中。当用户第一次从开始菜单选择 Microsoft Excel 时，将安装 Microsoft Excel。用户也可通过单击与应用程序（使用文件扩展名或基于 COM 的激活）相关联的文档安装广告的应用程序。如果尚未激活开始菜单快捷方式中 Microsoft Excel 的用户单击 Microsoft Excel 电子表格将其打开，则将安装 Microsoft Excel 并打开电子表格。

用户不能删除指定的应用程序。如果用户尝试这样做，则将在用户下次登录到运行 Windows 2000 的计算机时再次广告指定的应用程序。

如果希望组策略对象管理的人员能够使用应用程序，则可将其发布，当然这些人员本身也希望使用该应用程序。拥有发布应用程序后，完全取决于个人是否愿意安装发布的应用程序。

例如，如果将 Microsoft Image Composer 发布给市场组策略对象而某市场用户希望安装该应用程序，则用户可使用添加/删除程序，并单击“发布应用程序列表”进行安装。如果用户不使用“添加/删除程序”安装 Image Composer，并且如果图象文档的文件扩展名 .jpg 与 Image Composer 相关联，则可在用户首次打开 .jpg 文档时为用户安装 Image Composer。

文件夹重定向

使用组策略的文件夹重定向扩展名将 Windows 2000 特定文件夹重定向在网络位置上。默认情况下，特定文件夹位于 %SystemRoot%\Documents 和设置文件夹中的本地计算机上，此处 %SystemRoot% 是 Windows 2000 的根目录。这些文件夹包括 My Documents、Start Menu 和 Desktop.

可从 User Configuration\Windows Settings\Folder Redirection 的适当子节点将以下特定文件夹重定向。

应用程序数据

桌面

我的文档

我的文档\我的图片

启动菜单

启动菜单\程序

启动菜单\程序\启动

　

　

注释

可独立重定向“我的文档”和“我的文档\我的图片”。

不能从启动菜单重定向 \启动菜单\程序和 \启动菜单\程序\启动