俞木發(fā)

自己動手 查看策略文件查找生效策略

在默認(rèn)情況下，當(dāng)我們運行組策略編輯器，在其中設(shè)置某個策略后，對應(yīng)地就會在“C：＼Windows＼System32＼GroupPolicy”下的Machine（對應(yīng)計算機(jī)配置）和User（對應(yīng)用戶配置）文件夾中生成策略文件。如果在電腦中修改了某些策略，現(xiàn)在需要取消，那么我們就可以通過查看其中的策略配置文件并結(jié)合策略表現(xiàn)來進(jìn)行排查。比如近日一個朋友的電腦，其孩子學(xué)習(xí)組策略設(shè)置，他在使用電腦時發(fā)現(xiàn)無法在任務(wù)欄上添加工具欄了，菜單中的選項變?yōu)榛疑豢捎茫▓D1）。

結(jié)合上述提示可知道，朋友的電腦可能是在組策略中設(shè)置了一條限制添加任務(wù)欄的策略。那么具體策略設(shè)置在哪里呢？使用記事本程序打開“C：＼Windows＼Svstem32＼GroupPolicy＼User＼comment.cmtx”，其中的ns0、ns1……就分別表示在組策略編輯中更改的項目名稱。從圖1可以知道這個策略是針對任務(wù)欄生效，因為任務(wù)欄位于桌面，所以可以初步判斷出策略的項目應(yīng)該是和comment.cmtx文件中的“Microsoft.Policies.WindOwsDesktop”代碼相關(guān)。這段代碼在組策略編輯器中對應(yīng)的位置是“用戶配置（對應(yīng)C：＼Windows＼System32＼GroupPolicy＼User文件夾）→管理模板（對應(yīng)comment.cmtx中的admTemplate）→桌面（對應(yīng)代碼中的WindowsDesktop）”（圖2）。

打開組策略編輯窗口，按提示展開上述項目，可以看到右側(cè)窗格中的“禁止添加、拖、放和關(guān)閉任務(wù)欄的工具欄”策略被設(shè)置為“已啟用”，按提示將其設(shè)置為“未配置”，故障就消除了（圖3）。

當(dāng)然，我們這里只是結(jié)合故障現(xiàn)象和comment.cmtx中更改的項目進(jìn)行判斷，如果無法據(jù)此作出精確的判斷，那么還可以根據(jù)注冊表鍵值的變化來進(jìn)行排查。因為大部分策略生效后都會更改注冊表中的鍵值，而這些鍵值的變化保存在“C：＼Windows＼System32＼GroupPolicy＼User＼Registry.pol”文件中。所以如果無法通過上述方法找出具體的設(shè)置項目，可以用記事本打開上述文件，然后根據(jù)其中的鍵值提示，手動更改相應(yīng)的鍵值來解除策略限制。

打開Registry.pol文件后我們可以看到很多鍵值設(shè)置，結(jié)合上述策略限制現(xiàn)象進(jìn)行判斷，文件中的“[Software＼Policies＼Microsoft＼Windows＼Explorer;MultiTasking Alt Tab Filter;<！--？-->;<！--？-->;]”這段代碼最有可能就是策略更改的鍵值（因為桌面組件策略值更改都是在[Explorer]鍵值下生效的）（圖4）。

現(xiàn)在復(fù)制上述的鍵值到新建的記事本文檔中，使用“查找替換”將其中的半角空格刪除，然后將鍵值復(fù)制后粘貼到注冊表編輯器的地址欄，回車后可以看到右側(cè)窗格中MultiTaskingAltTabFilter的值是“1”（一般策略中生效值為“1”，未配置的值則為“0”），按提示將其更改為0，即可順利地解除限制（圖5）。

用活secedit命令 快速比對找出生效策略

上述方法雖然方便，但并非所有策略的設(shè)置和修改都會在注冊表中發(fā)生變化。比如軟件限制策略的設(shè)置，在注冊表中就無法找到（自然在上述的Registry.pol和comment.cmtx中也無法找到）。如果無法通過上述方法找出變化的策略設(shè)置，我們還可以通過導(dǎo)出策略文件進(jìn)行比較的方法來查找。

在任意一臺沒有策略限制的正常電腦上啟動命令提示符窗口，輸入“secedit/export/cfg d：＼sec.inf”并回車，將其策略文件導(dǎo)出保存。接著在策略限制的電腦上也輸入“secedit/export/cfg d：＼sec1.inf”并回車導(dǎo)出（圖6）。

啟動Excel，將上述兩個文件使用記事本程序打開，并將其內(nèi)容分別復(fù)制到Excel工作表的A列和B列。選中A、B列，依次點擊“開始一條件格式一重復(fù)值”，將重復(fù)值顯示設(shè)置為“淺紅色填充深紅色文本”，這樣兩臺電腦中不同策略的設(shè)置值就可以很清晰地比較出來（圖7）。

對A、B列數(shù)據(jù)進(jìn)行排序，同時添加篩選功能（根據(jù)無填充顏色篩選單元格），這樣兩臺電腦中不一樣的策略設(shè)置就全部排列出來。最后按照上面介紹的方法，依次在組策略編輯器中找到對應(yīng)的設(shè)置項，或者根據(jù)注冊表鍵值進(jìn)行修改和恢復(fù)即可（圖8）。