|
[VB] Windows组策略本地设置与审计的技巧
下面让我们来看一个例子,如何使用组策略首选项来管理AROBAT READER的程序行为。在这个例子中,我们想要阻止它用浏览器内嵌的方式来查看PDF文件,取而代之的,我们需要它在网页中被点击后仅弹出自己的AROBAT READER程序窗口中查看PDF。
这个过程的第一步包含一个小调查。为了能建立某个ACROBAT READER的禁用运行方式,你首先需要描述出如何表述它的语言。在这个例子中,AROBAT READER的语言就是注册表语言。通过简单的GOOGLE搜索,你可以很快锁定ADOBE的知识库,它会告诉你要关闭浏览器内嵌设置的确切注册表键值
这个注册表的路径(至少在目前我们安装的测试计算机上)是HKEY_CURRENT_USERSoftwareAdobeAcrobat Reader9.0Originals。而主键在默认情况不存在,在这里必须手动创建,命名为bBrowserIntegration,然后将REG_DWORD的键值分配为0,这样就可以关闭浏览器内嵌了。
了解这个注册表路径和键值是最难的部分。以这种方式来更改程序的运行方式只能用在那些按照标准撰写代码的软件上。这就是为什么有的时候在进行配置之前需要先做调查,因为有时需要的主键根本不存在,必须由你自己创建。
一旦你找到了需要的主键和键值,将它们的设置通过组策略首选项应用到你的整个网络中去就是很容易的事情了。首先,运行组策略管理控制台(GPMC)然后创建一个新策略。当创建好之后,用组策略管理编辑器(GPME)打开它,定位到计算配置 首选项 WINDOWS设置 注册表。然后右击注册表项目并选择新建 注册表项目来创建一个新的首选项。
这个新的注册表属性控制台看起来如图1所示。点击关键路径后面的省略号(…)按钮打开一个本地注册表的树形视图,你可以找到并输入正确的关键路径。你还可以直接把正确的路径输入到对话框中。
主键名称也需要你输入,在本例中为bBrowserIntegration,还有主键类型REG_DWORD和键值0。 另外,还需要在四个Action选项中进行选择。
正如我上一篇文章中所举的例子,公用标签(如图2)列出了五个选项。你可能会希望通过组策略首选项来移除某些不需要的选项。当某些针对用户或者计算机的策略不再需要的时候,配置该选项移除相应的注册表更新,可以轻而易举的将该策略禁用掉。
如果你的网络环境是比较常见的类型,那么很可能每个应用程序并不是安装在所有的计算机上的。尽管AROBAT READER可能安装在几乎每一个桌面端上,但是你仍然会希望你对程序的调整配置只对某些目标计算机有效。
这正是项目级别目标对注册表的更改非常重要的原因。通过项目级别目标,你可以限制你的设置只对那些已经安装了ACROBAT READER的计算机有效。这可以通过在目标编辑器(如图3)中创建一个文件匹配项目来实现。这里我们可以输入一个和目标程序匹配的文件名称。图3显示了ACRORD32.EXE文件如何被检查是否存在。如果它的确存在,那么该组策略首选项就会生效。
所有内容就是这些了。要使用组策略首选项来执行更大范围的注册表更改也是非常容易实现的,特别在和长期使用登陆脚本带来的恶梦般的体验对比。在这整个过程中,你唯一的挑战就是正确找到你需要完全控制你的程序行为所需要的注册表主键和相应的键值。 |
|