Windows 7和Windows Server 2008 R2的組策略中的新增功能
我幾乎每天都收到電子郵件,詢問我“新版本 Windows 中的組策略將新增什么功能?”通過這個問題,我可以感覺到人們迫切希望了解新增功能和更改對 IT 專業人員有什么意義。
我知道變化有時會給人造成壓力,但是我可以信心十足地說這些新增功能都非常不錯:Windows 7 和 Windows Server 2008 R2 中包括一些功能強大、簡潔的組策略更改,但是這些更改并不是根本性的更改,或者說與以前沒有太大區別。IT 專業人員不需要經歷令人頭痛的高難度學習歷程,就可以從一些更新、新增功能和用戶界面調整等內容中獲益。
組策略更改可分為兩大類。第一類是組策略團隊提供的項目:核心功能,包括組策略引擎和組策略編輯系統(組策略管理控制臺,簡稱 GPMC;和組策略管理編輯器,簡稱 GPME)中的新增和更新功能。第二類是其他團隊提供的、用于管理他們使用組策略的組件的項目:更新的策略設置和 GPME 中的功能控件,我們都使用這些控件來管理目標計算機上的新增和更新的功能。在本文中,我對這兩種更改都做了介紹。
更新的組策略核心功能
對于 Windows 7 和 Windows Server 2008 R2,組策略團隊研究了大量功能和更新。以下內容對 Windows 最新更新中提供的內容進行了非科學分類:一個大型修補程序、一個大型更新、一個大型新增功能、一個大型用戶界面更改和一個大型附帶補充。
大型修補程序:更新的篩選器
更新后的 GPMC 中的更新篩選器(適用于 Windows 7 和 Windows Server 2008 R2)這項更改很受歡迎。這些修補程序解決了自 Windows Vista 發布以來一直懸而未決的一個錯誤。在圖 1 中,您可以看到我最喜愛的功能之一,此功能包含在遠程服務器管理工具 (RSAT) 中,自從更新 GPMC 后就一直可用:“篩選器選項”對話框。
.gif)
圖 1“篩選器選項”對話框。(單擊圖像可查看大圖)
RSAT 的任務很簡單:允許您使用 Vista(或更高版本)計算機控制網絡的各個方面,從您使用的計算機到提供執行此操作所需的工具,包括更新的 GPMC。這個更新的 GPMC 提供了一些簡潔的功能;其中之一就是使用篩選器定義條件,這些條件用于僅查找您所需的“管理模板組策略”設置。但問題在于,當使用 Vista 及其相應的 RSAT 時,這些篩選器就不能運行,出現一個令管理員頭疼的錯誤。
我來稍微詳細地解釋一下這個錯誤。圖 1 顯示了“篩選器”對話框中的“啟用需求篩選器”部分。該部分的目標很簡單:就是幫助您了解哪些管理模板策略設置對特定操作系統有效。
“啟用條件篩選器”中的一種模式是“包括與所有選定平臺匹配的設置”。另一種模式是“包括與任何選定平臺匹配的設置”。從表面看,這兩種模式非常相似。但是主要區別在于“所有”和“任何”。以下是當您選擇每種模式并指定一些條件后,每種模式應該執行的任務:
-
“包括與所有選定平臺匹配的設置”應該顯示僅在指定類型的計算機上才有效的策略設置。因此,如果您選擇 Windows XP Service Pack (SP) 2 和 Vista,顯示的結果應該是僅在 Windows XP SP2 和 Vista 上運行的策略設置。
-
“包括與任何選定平臺匹配的設置”應該顯示適用于任何選定操作系統的設置。因此,如果您選擇 Windows XP SP2 和 Vista 兩者,應該顯示適用于 Windows XP SP2 的所有設置以及適用于 Vista 的所有設置。
這兩種篩選器的作用名副其實。唯一的問題是,使用 Vista 和 Windows Server 2008 版本的 RSAT 時,兩者都不能正常運行。如果選擇了“包括與所有選定平臺匹配的設置”,結果中通常僅有一小部分是真正適用于目標計算機的有效設置,而如果您選擇“包括與任何選定平臺匹配的設置”,則不會顯示任何結果。
據我在組策略團隊中的朋友們所說,此修補程序應該屬于 Windows 7 的最終可下載版本的 RSAT 和 Windows Server 2008 R2 的系統自帶 RSAT 的一部分。
大型更新:將 Windows PowerShell 腳本部署到目標計算機
只要您的消息不閉塞,就應該了解 Windows PowerShell 正日益受到系統管理員的青睞。但是一個問題卻妨礙了一些管理員使用 PowerShell。至今還沒有找到一種簡單的方法,幫助管理員在他們最需要控制的領域利用 PowerShell 的新增功能:用戶和計算機腳本。
Windows 7 和 Windows Server 2008 R2 中的 RSAT 允許管理員將 PowerShell 腳本指定為登錄或注銷腳本(對于用戶)和啟動或關閉腳本(對于計算機)。圖 2 顯示 GPME 中的“開始屬性”對話框,管理員可以在其中指定 PowerShell 腳本的運行順序,還可以指定應該首先運行哪種腳本類型:PowerShell 腳本或非 PowerShell 腳本(這種腳本沒有顯示,位于“開始屬性”對話框中的“腳本”選項卡中)。
.gif)
圖 2 “開始屬性”對話框中的“Windows PowerShell 腳本”選項卡。(單擊圖像可查看大圖)
要使用此功能,您需要使用相應的 RSAT 工具(包含支持此新功能的更新的 GPMC),創建或編輯 Windows 7 或 Windows Server 2008 R2 計算機上的組策略對象 (GPO)。此外,運行 PowerShell 腳本的目標計算機必須是 Windows 7 或 Windows Server 2008 R2。更舊版本的計算機(即使加載了 PowerShell)是無效的目標計算機,不能運行 PowerShell 登錄、注銷、啟動或者關閉腳本。如果您需要將 PowerShell 腳本部署到非 Windows 7 計算機,可以借助某些第三方解決方案。
大型功能:使用 PowerShell Cmdlet 處理注冊表設置
許多系統管理員喜歡周圍的事物自動進行。這是件好事。實際上,您可以考慮在您的環境中利用組策略,實現客戶端計算機的大量自動化(這樣,您就不必忙忙碌碌執行大量操作)。要將管理工作提升一個級別,您可能希望 GPO 實現自動處理。
一些管理員已經利用現有組策略 GPMC 示例腳本自動執行主要組策略任務。
Windows 7 和 Windows Server 2008 R2 允許您使用 PowerShell 執行許多這樣的功能。過去在 GPMC 示例腳本中可以執行的操作現在使用 PowerShell 也可以實現:創建、鏈接、重命名、備份、復制和刪除 GPO 以及更多操作。
但是,可以使用可編寫腳本的方法配置 GPO 的內容是一個全新事物,并且現在只有將 PowerShell 用作腳本編寫方法時才可用。但先別高興得太早,我不得不提醒您并非組策略的所有 39 個區域都可以編寫腳本。事實上,只有兩個區域可以:注冊表策略和注冊表首選項。即便如此,這也是一個非常棒的開始。
在圖 3 中,您將看到我如何使用 Windows 7 中的內置 PowerShell,借助 cmdlet 導入模塊組策略先安裝特定組策略 cmdlet,然后使用新的組策略 cmdlet 創建新 GPO。
.gif)
圖 3 使用 Windows 7 中內置的組策略 cmdlet 創建新 GPO。(單擊圖像可查看大圖)
組策略團隊的博客中發布了一組關于 Windows PowerShell 集成的項目。您可以登錄組策略團隊博客大概了解一下所有這些項目。
大型用戶界面更改:更新的 ADM 和 ADMX 用戶界面
組策略最顯著的一個更改是 GPME 中的“管理模板”部分。
圖 4 中顯示了一個新的“無選項卡”界面,將您創建新策略設置或處理現有策略設置所需的全部內容都放在了一個一站式頁面中。
.gif)
圖 4 Windows 防火墻:“允許 ICMP 例外”對話框。(單擊圖像可查看大圖)
管理員現在可以將策略設置配置為“未配置”、“已啟用”或“已禁用”、評論策略設置、參閱“支持信息”、查看幫助(說明文字),以及處理選項中的任何可配置設置。
此更改的目標是使策略設置過程更直觀,將幫助集成到一起以及取消所有選項卡,這樣管理員就不必再來回切換選項卡。
大型附帶補充:內置 Starter GPO
Vista 版本的 GPMC 第一個提供了創建和使用 Starter GPO 的功能。Starter GPO 的設計理念是,某個管理員可以創建一個起點,而其他管理員使用該起點來創建他們的 GPO。在新的更新版本中并未對基本的體系結構和功能進行大的更改,但需要注意一個新的不同之處。
確切地說,當您使用 Windows 7 或 Windows Server 2008 R2 計算機創建 Starter GPO 的容器時,該容器使用一些內置 Starter GPO 自動進行填充。這些 Starter GPO 按照 Microsoft 最佳實踐并遵循 Windows Server 2008 安全指南。例如,其中一個內置 Starter GPO 是針對普通企業客戶端 (EC),而另一個稱為專用安全限制功能 (SSLF),使用的鎖定方法更勝一籌。
Windows 7 和 Windows Server 2008 R2 包括的 Starter GPO 同時適用于用戶和計算機端。Vista 和 Windows XP SP2 中也可以使用這些 Microsoft 創建的 Starter GPO(形式稍微有些舊)。
核心功能外的其他功能
現在,我們談論一下當使用 Windows 7 或 Windows Server 2008 R2 作為客戶端時,您可以控制的其他區域。我在這里談到的“客戶端”是指“接收組策略指令的計算機”(也可以是 Windows Server 2008 R2 計算機)。
此次補充規模很大,包括大約 300 個新的策略設置,其中大約 90 個僅針對 Internet Explorer 8(在 Vista 和 Windows XP 計算機中可用)。其他更改包括 BitLocker、BitLocker To Go 的新增設置管理和更新的設置管理,一個更新的任務欄、遠程桌面服務(以前稱為終端服務)、BranchCache、Windows 遠程管理 (WinRM) 以及其他控件堆。由于文章篇幅有限,我不能解釋所有新控件,但就一些我最喜愛的控件我將稍加解釋并提出個人見解。
針對電源選項更新的組策略首選項
IT 奇客喜歡組策略的主要原因之一就是控件數量,這樣他們就可以在桌面上一展所長。雖然組策略的主要任務是提供設置,然而,這些控件狂 IT 奇客有時卻很難向管理人員解釋清楚為什么組策略具有原始的“美元和理智”價值。但另一方面,組策略可以保證真正節約成本(如果使用正確):電源設置。
通過正確配置臺式計算機和便攜式計算機的電源設置,IT 管理員每年通常可以為公司節省數千美元。使用組策略可以簡化這種配置。
圖 5 顯示 Windows 7(和 Windows Server 2008 R2)GPMC 中可用的電源選項。
.gif)
圖 5 “新電源計劃(Windows Vista 及更高版本)屬性”對話框。(單擊圖像可查看大圖)
仔細觀察圖 5 中對話框的標題,您會發現說的是“新電源計劃(Vista 及更高版本)屬性”。也就是說,這些設置對 Vista 和 Windows 7 均有效。需要注意以下內容:Windows 7 和 Windows Server 2008 R2 客戶端計算機會立刻知道如何進行處理接收到的指令,而 Vista 則不然。Vista 只是忽略這些指令(即使在 Windows Vista 及更高版本中已明確指出此功能可用)。這就是為什么 Vista 的基本組策略首選項的客戶端擴展需要一個即將發布的更新的原因所在。一旦發布并應用這個更新后,Vista 計算機將可以接受這些最新可用的指令。
針對計劃任務更新的組策略首選項
與更新的電源計劃設置類似,剛剛提到的是 Windows 7 和 Windows Server 2008 R2 中的 GPMC 中的其他任務計劃功能。圖 6 顯示計劃任務的新選項:計劃任務(Windows Vista 及更高版本)和即時任務(Windows Vista 及更高版本)。
.gif)
圖 6 Windows 7 中的新 GPMC 任務計劃選項。(單擊圖像可查看大圖)
與電源計劃設置類似,Windows 7 計算機可以使用這些設置。Vista 計算機需要安裝一個更新才可以利用這些設置。
更新的軟件限制策略:AppLocker
AppLocker 的真實名稱是軟件限制策略版本 2 或 SRPv2。但是,在組策略界面(和文檔)中,你會發現這個新功能只稱為 AppLocker。
簡而言之,AppLocker 的目標就是幫助現代的 IT 組織決定應該在 Windows 7(及更高版本)計算機上運行哪些軟件以及不應該運行哪些軟件。原來的軟件限制策略 (SRP) 的作用已經無可挑剔,但 AppLocker 將軟件限制提升到了一個新的級別。AppLocker 的一個主要新功能是基于軟件發行者允許或限制軟件。要想利用此新功能,必須對您要允許或限制的軟件進行數字簽名(有關 AppLocker 的詳細信息,請參閱 Greg Shields 的“門門精通”專欄,“AppLocker:IT 行業的第一顆靈丹妙藥?”)。
接下來,您可以使用“創建可執行規則”對話框為不同的發行者設置規則。例如,您可以創建一條規則,指定只要 Adobe Reader 是 9.0 或更高版本就可以運行。您可以向上移動垂直滑塊,來指定目標系統上的所有版本、文件名和/或產品或發行者均有效。或者您還可以只選中“使用自定義值”復選框。
了解更多信息
您可以看到,Windows 7 和 Windows Server 2008 R2 中的組策略添加了很多增強功能。從 300 個新的策略設置,到兩個更新的組策略首選項以及 Windows PowerShell 集成 — 為您帶來了很多驚喜。要了解有關 Windows 7 和 Windows Server 2008 R2 中組策略的更多信息,您可以瀏覽組策略團隊博客,還可以查看位于 GPanswers.com 網站上的我的博客和培訓資源。
Jeremy Moskowitz 是組策略 MVP。他負責管理的 GPanswers.com 是一個關于組策略的社區論壇,其“組策略負責人課堂”每年培訓數百名管理員。Jeremy 還是 PolicyPak 軟件 (PolicyPak.com) 的創始人,該軟件利用創新加載項通過組策略控制第三方應用程序。
文章來源:TechNet中文網
【編輯推薦】
