使用組策略首選項進行擴展控制
在 Windows Server 2008 和 Windows Vista 引入的諸多新技術中,最引人注目的當屬“組策略***項”(GPP),它現在可以極大地擴展管理員對組策略的操作。在組策略對象 (GPO) 中,組策略***項在 22 個不同區域提供了 3,000 余種設置,另外還包括設置驅動器和打印機映射及控制本地組成員等。最重要的是,您無需安裝任何新基礎結構,因為該技術完全適用于現有的 Active Directory 基礎結構和組策略環境。您只需安裝管理工具和客戶端 DLL 即可開始工作。在本文中,我將對組策略***項進行深入研究,以展示其實用性以及部署和管理的簡易性。
GPP 兼容性在用來管理 GPP 的 Active Directory 環境中,必須至少包含一個 Windows Server 2008 服務器或 Windows Vista 桌面,因為只有它們才支持新的組策略管理控制臺 (GPMC)。要支持和管理 GPP 設置必須借助 GPMC,而且 GPMC 還可以啟動新的組策略管理編輯器 (GPME),在編輯器中將顯示可以進行管理的 GPP。但是,在應用與 GPP 相關聯的設置時情況則大不一樣;這時也支持 Windows Server 2008 和 Windows Vista 之前的操作系統。特別需要指出的是,GPP 可支持 Windows Server 2003 SP1 和 Windows XP Professional SP2 以及此后的所有操作系統。圖 1 匯總了可以管理 GPP 以及可以應用 GPP 的操作系統。
| 表 1 操作系統支持 |
| 操作系統 | 可以應用組策略***項 | 可通過 GPME 管理組策略***項 |
| Windows 2000 | 不支持 | 不支持 |
| Windows XP(x86 和 x64) | 受到 SP2 和 CSE 安裝程序的支持 | 不支持 |
| Windows Vista(x86 和 x64) | 受到 SP1 和 CSE 安裝程序的支持 | 受到 SP1 和安裝的 RSAT 的支持 |
| Windows Server 2003(x86 和 x64) | 受到 SP1 和 CSE 安裝程序的支持 | 不支持 |
| Windows Server 2008(x86 和 x64) | 集成 | 集成 |
策略和***項術語“策略”和“***項”對于掌握新的組策略功能至關重要。策略和***項的定義均基于組策略的某些關鍵管理區域,包括強制性、靈活性、注冊表行為、導向和用戶界面等。這并不是一份詳細的清單,但這些都是可能對管理員而言非常重要的區域。讓我們來看一下***項在這些區域中具有的主要優點。圖 2 詳細介紹了策略與***項之間的差異。
| 表 2 組策略***項和策略* |
| 管理區域 | 組策略***項 | 組策略設置 |
| 強制性 | ***項是非強制性的。用戶界面不會被禁用。***項只能刷新或應用一次。 | 設置是強制性的。用戶界面被禁用。設置被刷新。 |
| 靈活性 | 輕松地為注冊表設置和文件等創建***項條目。從本地或遠程計算機導入單個注冊表設置或整個注冊表分支。 | 添加策略設置需要應用程序的支持并需要創建管理模板。無法創建策略設置來管理文件和文件夾等。 |
| 本地策略 | 在本地組策略中不可用。 | 在本地組策略中可用。 |
| 識別 | 支持非可識別組策略的應用程序。 | 需要可識別組策略的應用程序。 |
| 注冊表位置和行為 | 原始設置被覆蓋。刪除***項條目不會恢復原始設置。 | 原始設置不會被改動。存儲在注冊表策略分支中。刪除策略設置將恢復原始設置。 |
| 導向與篩選 | 導向很精細,每種類型的導向條目都有一個用戶界面。支持在單個***項條目級別進行導向。 | 基于 Windows Management Instrumentation (WMI) 進行篩選,并且需要編寫 WMI 查詢。支持 GPO 級別的篩選。 |
| 用戶界面 | 為大多數設置的配置操作都提供了一個熟悉且易于使用的界面。 | 為大多數策略設置都提供了一個替代用戶界面。 |
強制性 GPP 是非強制性的;因此可進行初始配置,但最終用戶仍處于可控狀態。靈活性 利用 GPP 可以輕松地向所管理的 GPO 中添加任何注冊表值、文件或文件夾。此外,由于 GPP 是基于 XML 構建的,因此可將其高效率地復制并粘貼到其它 GPO 中。注冊表行為 所有注冊表條目都能夠加以控制,即使目標計算機或用戶不再位于配置注冊表值的 GPO 管理范圍內。當 GPO 不再對目標對象產生影響后,可將注冊表值刪除,也可將其保持原位。導向 每個 GPP 設置都為控制操作提供了超過 25 種不同的導向篩選器(無論該設置是否會對目標對象產生影響)。篩選器的示例有很多,例如 IP 地址范圍、安全組成員以及注冊表值匹配等。用戶界面 GPP 的用戶界面與 GPO 中的其它設置相比極為簡潔易用。在大多數情況下,GPO 中的“實際配置界面”是完全相同的,這可以讓用戶在配置設置時感到簡單而熟悉。
GPP 結構和設置當 GPO 在 GPME 中打開時,策略和***項的區分界限非常明顯(如圖 3 所示),這就使得用戶可以輕松地了解到新 GPP 領域中都引入了哪些設置。對此需要特別加以注意,因為***項與策略具有不同的行為。當展開“Computer Configuration”(計算機配置)圖 4)或“User Configuration”(用戶配置)(圖 5)下的“Preferences”(***項)節點時,會發現許多設置被劃分為兩類,即“Control Panel Settings”(控制面板設置)和“Windows Settings”(Windows 設置)。
.gif)
圖 3 GPME 將策略與***項分隔開
.gif)
圖 4 計算機配置***項
.gif)
圖 5 用戶配置***項
高級配置
與 GPO 中的其它設置相比,利用每個***項的“Common”(普通)選項卡中的選項,您可以更精細地控制 GPP。“Common”(普通)選項卡包括五個用于不同設置的復選框、一個用于配置導向的選項以及一個用于描述 GPO ***項以便進行記錄和故障排除的文本框。
出現錯誤時停止處理此擴展中的項目組策略處理的默認行為是處理所有設置,即使有多個設置具有相同的“客戶端擴展”(CSE) 且其中某個設置失敗時也是如此。 如果希望使某個 CSE 中的設置過程在該 CSE 內的任何一個設置失敗時停止,則啟用此選項。此設置僅具有當前 GPO 的范圍。
在已登錄用戶的安全上下文中運行(用戶策略選項)在應用組策略設置(策略和***項之類的設置)時,它們將使用本地系統帳戶來實施。很明顯,由于本地系統帳戶只能訪問系統環境變量和本地資源,因此用戶上下文不可用。為了能夠訪問用戶環境變量和網絡資源,可啟用此選項以使用登錄用戶的帳戶來處理組策略***項。
當此項目不再適用時將其刪除 從用戶或計算機中刪除 GPO 時并不會從注冊表中刪除 GPP 設置,當用戶或計算機脫離開 GPO 管理范圍時也不會刪除它們。要在 GPO 不再適用于用戶或計算機對象時將***項設置刪除,可啟用此選項(但應注意此選項并不適用于某些擴展,如用于 Internet Explorer 的擴展)。
只應用一次而不再重新應用組策略有默認的刷新間隔,大約每 90 分鐘刷新一次。執行此刷新是為了使新設置能夠被應用、舊設置能夠被重新應用,而無需計算機或用戶重新啟動或重新登錄。如果當前正在配置的 GPP 設置僅對計算機應用一次且永不更新,則可啟用此設置。此機制在建立 GPP 能夠產生影響的初始配置數組時極為有用,同時它還允許用戶在登錄后通過更改設置來創建自定義的環境,而不會將原有設置覆蓋。
如果這些設置位于“User Configuration”(用戶配置)下,GPP 會在用戶登錄的每臺計算機上應用一次這些設置。如果該設置位于“Computer Configuration”(計算機配置)下,GPP 會在每臺計算機上都應用一次。但要注意,這是這些設置的一次性應用。要更新或重新應用這些設置,必須先取消選中此選項。
導向編輯器 默認情況下,位于 GPO 管理范圍內的所有用戶和計算機都將收到 GPO 中的這些設置。要將這些設置僅應用到默認用戶和計算機的某個子集,可使用導向來實現。有超過 25 種不同的導向項目可供使用;它們既可單獨使用也可與其他項目結合使用。圖 6 顯示了項目級別導向選項的完整列表。
.gif)
圖 6 項目級別導向被用來動態控制用戶和計算機對象的 GPP 設置
說明“Description”(說明)文本框用于記錄各個 GPP 設置的設置、選項和導向項目。這是在 GPME 中選定特定***項設置時將會看到的文本,而無需對 GPP 設置本身進行編輯,如圖 7 所示。
管理 GPP
GPP 的管理方式與其他 GPO 設置相同。唯一的不同之處如前面所述,即它們必須通過運行 Windows Server 2008 或 Windows Vista SP1 的計算機進行管理。
.gif)
圖 8 當您為“驅動器映射”創建新的策略設置時,“新驅動器屬性”對話框會打開
假設您要在 GPO 的“User Configuration”(用戶配置)部分配置某個驅動器映射。其***項設置位于“User Configuration”(用戶配置)|“Preferences”(***項)|“Windows Settings”(Windows 設置)|“Drive Maps”(驅動器映射)下。通過右鍵單擊“Drive Maps”(驅動器映射)設置,可選擇“New—Mapped Drive”(新映射的驅動器)來創建新策略,如圖 8 所示。在此處輸入用于映射驅動器的信息,如位置、本地驅動器標簽以及驅動器盤符等。
此時,您可以選擇將該驅動器映射應用到 GPO 范圍內的每個用戶,也可以通過配置項目級別的導向來限制接收該設置的用戶。您應根據安全組成員身份來建立用于控制可接收驅動器映射的用戶的項目級別導向,并通過運行快速檢查來查看他們在其計算機上是否具有某個特定的程序 (.exe) 文件。之所以執行第二項檢查,是因為當前您映射的共享文件夾包含僅在使用該程序文件進行訪問時才有用的文件。
要建立這些項目級別導向設置,請單擊“New Drive Properties”(新驅動器屬性)對話框中的“Common”(普通)選項卡。然后單擊“Item-level targeting”(項目級別導向)旁的復選項,再單擊“Targeting”(導向)按鈕。這將打開“Item-level targeting”(項目級別導向)對話框。單擊“Item Options”(項目選項)下拉列表,然后單擊“Security Group”(安全組)。接下來單擊“Browse”(瀏覽),即可配置相應的組和示例中的 HR 用戶(請參閱圖 9)。
現在需要配置到 .exe 文件的路徑。從“Match type”(匹配類型)下拉列表中選擇“File Match”(文件匹配)來添加匹配條件。然后鍵入該文件的路徑,在本例中為 C:\Program Files\ACME\HRBenefits.exe。(注意:“Drive Maps”(驅動器映射)和“Printers”(打印機)都按照前臺 GPO 策略進行刷新。有關前臺和后臺策略刷新的詳細信息,請參閱 GPP 文章組策略處理。)
此后,每當用戶在注銷后再次登錄時,映射的驅動器都會顯示出來,但前提是該用戶是 HR 安全組的成員并且他的計算機上有 HRBenefits.exe 文件。如果不滿足這些條件,驅動器盤符將不會顯示。
.gif)
圖 9 項目級別導向選項可加以合并
組策略***項前來解圍
這里是我利用 GPP 解決的一些問題的簡要清單:
-
修復每個桌面上的本地管理員組的成員以包括域管理員和本地管理員帳戶,但并不刪除現有組成員。
-
確保桌面的當前用戶在本地管理員組中沒有自己的用戶帳戶。
-
控制每臺桌面計算機的電源選項以盡可能節省電力。
-
更新所有運行某項特定服務的服務器上的服務配置區域,使服務啟動模式始終為“自動”。
-
動態映射打印機,以便當便攜式計算機用戶訪問“分支機構 1”時可獲得正確的打印機。同時,當其訪問“分支機構 2”時,也可獲得該位置的正確打印機。
總結
利用組策略***項可以輕松地進行管理和部署。由于此技術與 Windows Server 2003 SP1 和 Windows XP SP2 都兼容,因此幾乎所有公司都可以從它們所引入的新設置和新功能中受益。這將減少實施成本并使管理員能夠更有效地控制他們需要用來開展其工作的桌面。
通過將良好的組策略部署設計與項目級別導向相結合,可賦予管理員創建動態桌面和服務器配置的能力。在提供的超過 25 種的項目級別導向條件中,幾乎每種設置都被控制用于最適合的情況。有關組策略的詳細信息,請參閱組策略資源工具包,也可訪問網站Windows Server 組策略。
Derek Melber是獨立的顧問、培訓師及作家。Derek 負責推廣 Microsoft 技術,主要是 Active Directory、組策略、安全性以及桌面管理。Derek 定期編著在線及印刷出版物,他已編寫了 10 多本技術書籍,其中包括 Microsoft 于 2008 年出版的《The Microsoft Windows Group Policy Resource Kit》(Microsoft Windows 組策略資源工具包)
您可以通過 derekm@braincore.net 與 Derek 聯系。
文章來源:TechNet中文網
【編輯推薦】
