服务器 频道

Windows7和WS 2008R2组策略中新增功能

  我几乎每天都收到电子邮件,询问我“新版本 Windows 中的组策略将新增什么功能?”通过这个问题,我可以感觉到人们迫切希望了解新增功能和更改对 IT 专业人员有什么意义。

  我知道变化有时会给人造成压力,但是我可以信心十足地说这些新增功能都非常不错:Windows 7 和 Windows Server 2008 R2 中包括一些功能强大、简洁的组策略更改,但是这些更改并不是根本性的更改,或者说与以前没有太大区别。IT 专业人员不需要经历令人头痛的高难度学习历程,就可以从一些更新、新增功能和用户界面调整等内容中获益。

  组策略更改可分为两大类。第一类是组策略团队提供的项目:核心功能,包括组策略引擎和组策略编辑系统(组策略管理控制台,简称 GPMC;和组策略管理编辑器,简称 GPME)中的新增和更新功能。第二类是其他团队提供的、用于管理他们使用组策略的组件的项目:更新的策略设置和 GPME 中的功能控件,我们都使用这些控件来管理目标计算机上的新增和更新的功能。在本文中,我对这两种更改都做了介绍。

  更新的组策略核心功能

  对于 Windows 7 和 Windows Server 2008 R2,组策略团队研究了大量功能和更新。以下内容对 Windows 最新更新中提供的内容进行了非科学分类:一个大型修补程序、一个大型更新、一个大型新增功能、一个大型用户界面更改和一个大型附带补充。

  大型修补程序:更新的筛选器

  更新后的 GPMC 中的更新筛选器(适用于 Windows 7 和 Windows Server 2008 R2)这项更改很受欢迎。这些修补程序解决了自 Windows Vista 发布以来一直悬而未决的一个错误。在图 1 中,您可以看到我最喜爱的功能之一,此功能包含在远程服务器管理工具 (RSAT) 中,自从更新 GPMC 后就一直可用:“筛选器选项”对话框。

Windows7和WS 2008R2组策略中新增功能
图 1“筛选器选项”对话框。(单击图像可查看大图)

  RSAT 的任务很简单:允许您使用 Vista(或更高版本)计算机控制网络的各个方面,从您使用的计算机到提供执行此操作所需的工具,包括更新的 GPMC。这个更新的 GPMC 提供了一些简洁的功能;其中之一就是使用筛选器定义条件,这些条件用于仅查找您所需的“管理模板组策略”设置。但问题在于,当使用 Vista 及其相应的 RSAT 时,这些筛选器就不能运行,出现一个令管理员头疼的错误。

  我来稍微详细地解释一下这个错误。图 1 显示了“筛选器”对话框中的“启用需求筛选器”部分。该部分的目标很简单:就是帮助您了解哪些管理模板策略设置对特定操作系统有效。

  “启用条件筛选器”中的一种模式是“包括与所有选定平台匹配的设置”。另一种模式是“包括与任何选定平台匹配的设置”。从表面看,这两种模式非常相似。但是主要区别在于“所有”和“任何”。以下是当您选择每种模式并指定一些条件后,每种模式应该执行的任务:

  “包括与所有选定平台匹配的设置”应该显示仅在指定类型的计算机上才有效的策略设置。因此,如果您选择 Windows XP Service Pack (SP) 2 和 Vista,显示的结果应该是仅在 Windows XP SP2 和 Vista 上运行的策略设置。

  “包括与任何选定平台匹配的设置”应该显示适用于任何选定操作系统的设置。因此,如果您选择 Windows XP SP2 和 Vista 两者,应该显示适用于 Windows XP SP2 的所有设置以及适用于 Vista 的所有设置。

  这两种筛选器的作用名副其实。唯一的问题是,使用 Vista 和 Windows Server 2008 版本的 RSAT 时,两者都不能正常运行。如果选择了“包括与所有选定平台匹配的设置”,结果中通常仅有一小部分是真正适用于目标计算机的有效设置,而如果您选择“包括与任何选定平台匹配的设置”,则不会显示任何结果。

  据我在组策略团队中的朋友们所说,此修补程序应该属于 Windows 7 的最终可下载版本的 RSAT 和 Windows Server 2008 R2 的系统自带 RSAT 的一部分。

  大型更新:将 Windows PowerShell 脚本部署到目标计算机

  只要您的消息不闭塞,就应该了解 Windows PowerShell 正日益受到系统管理员的青睐。但是一个问题却妨碍了一些管理员使用 PowerShell。至今还没有找到一种简单的方法,帮助管理员在他们最需要控制的领域利用 PowerShell 的新增功能:用户和计算机脚本。

  Windows 7 和 Windows Server 2008 R2 中的 RSAT 允许管理员将 PowerShell 脚本指定为登录或注销脚本(对于用户)和启动或关闭脚本(对于计算机)。图 2 显示 GPME 中的“开始属性”对话框,管理员可以在其中指定 PowerShell 脚本的运行顺序,还可以指定应该首先运行哪种脚本类型:PowerShell 脚本或非 PowerShell 脚本(这种脚本没有显示,位于“开始属性”对话框中的“脚本”选项卡中)。

Windows7和WS 2008R2组策略中新增功能
图 2 “开始属性”对话框中的“Windows PowerShell 脚本”选项卡。(单击图像可查看大图)

  要使用此功能,您需要使用相应的 RSAT 工具(包含支持此新功能的更新的 GPMC),创建或编辑 Windows 7 或 Windows Server 2008 R2 计算机上的组策略对象 (GPO)。此外,运行 PowerShell 脚本的目标计算机必须是 Windows 7 或 Windows Server 2008 R2。更旧版本的计算机(即使加载了 PowerShell)是无效的目标计算机,不能运行 PowerShell 登录、注销、启动或者关闭脚本。如果您需要将 PowerShell 脚本部署到非 Windows 7 计算机,可以借助某些第三方解决方案。

  大型功能:使用 PowerShell Cmdlet 处理注册表设置

  许多系统管理员喜欢周围的事物自动进行。这是件好事。实际上,您可以考虑在您的环境中利用组策略,实现客户端计算机的大量自动化(这样,您就不必忙忙碌碌执行大量操作)。要将管理工作提升一个级别,您可能希望 GPO 实现自动处理。

  一些管理员已经利用现有组策略 GPMC 示例脚本自动执行主要组策略任务。

  Windows 7 和 Windows Server 2008 R2 允许您使用 PowerShell 执行许多这样的功能。过去在 GPMC 示例脚本中可以执行的操作现在使用 PowerShell 也可以实现:创建、链接、重命名、备份、复制和删除 GPO 以及更多操作。

  但是,可以使用可编写脚本的方法配置 GPO 的内容是一个全新事物,并且现在只有将 PowerShell 用作脚本编写方法时才可用。但先别高兴得太早,我不得不提醒您并非组策略的所有 39 个区域都可以编写脚本。事实上,只有两个区域可以:注册表策略和注册表首选项。即便如此,这也是一个非常棒的开始。

  在图 3 中,您将看到我如何使用 Windows 7 中的内置 PowerShell,借助 cmdlet 导入模块组策略先安装特定组策略 cmdlet,然后使用新的组策略 cmdlet 创建新 GPO。

Windows7和WS 2008R2组策略中新增功能
图 3 使用 Windows 7 中内置的组策略 cmdlet 创建新 GPO。(单击图像可查看大图)

  组策略团队的博客中发布了一组关于 Windows PowerShell 集成的项目。您可以登录组策略团队博客大概了解一下所有这些项目。

  大型用户界面更改:更新的 ADM 和 ADMX 用户界面

  组策略最显著的一个更改是 GPME 中的“管理模板”部分。

  图 4 中显示了一个新的“无选项卡”界面,将您创建新策略设置或处理现有策略设置所需的全部内容都放在了一个一站式页面中。

Windows7和WS 2008R2组策略中新增功能
图 4 Windows 防火墙:“允许 ICMP 例外”对话框。(单击图像可查看大图)

  管理员现在可以将策略设置配置为“未配置”、“已启用”或“已禁用”、评论策略设置、参阅“支持信息”、查看帮助(说明文字),以及处理选项中的任何可配置设置。

  此更改的目标是使策略设置过程更直观,将帮助集成到一起以及取消所有选项卡,这样管理员就不必再来回切换选项卡。

  大型附带补充:内置 Starter GPO

  Vista 版本的 GPMC 第一个提供了创建和使用 Starter GPO 的功能。Starter GPO 的设计理念是,某个管理员可以创建一个起点,而其他管理员使用该起点来创建他们的 GPO。在新的更新版本中并未对基本的体系结构和功能进行大的更改,但需要注意一个新的不同之处。

  确切地说,当您使用 Windows 7 或 Windows Server 2008 R2 计算机创建 Starter GPO 的容器时,该容器使用一些内置 Starter GPO 自动进行填充。这些 Starter GPO 按照 Microsoft 最佳实践并遵循 Windows Server 2008 安全指南。例如,其中一个内置 Starter GPO 是针对普通企业客户端 (EC),而另一个称为专用安全限制功能 (SSLF),使用的锁定方法更胜一筹。

  Windows 7 和 Windows Server 2008 R2 包括的 Starter GPO 同时适用于用户和计算机端。Vista 和 Windows XP SP2 中也可以使用这些 Microsoft 创建的 Starter GPO(形式稍微有些旧)。

  核心功能外的其他功能

  现在,我们谈论一下当使用 Windows 7 或 Windows Server 2008 R2 作为客户端时,您可以控制的其他区域。我在这里谈到的“客户端”是指“接收组策略指令的计算机”(也可以是 Windows Server 2008 R2 计算机)。

  此次补充规模很大,包括大约 300 个新的策略设置,其中大约 90 个仅针对 Internet Explorer 8(在 Vista 和 Windows XP 计算机中可用)。其他更改包括 BitLocker、BitLocker To Go 的新增设置管理和更新的设置管理,一个更新的任务栏、远程桌面服务(以前称为终端服务)、BranchCache、Windows 远程管理 (WinRM) 以及其他控件堆。由于文章篇幅有限,我不能解释所有新控件,但就一些我最喜爱的控件我将稍加解释并提出个人见解。

  针对电源选项更新的组策略首选项

  IT 奇客喜欢组策略的主要原因之一就是控件数量,这样他们就可以在桌面上一展所长。虽然组策略的主要任务是提供设置,然而,这些控件狂 IT 奇客有时却很难向管理人员解释清楚为什么组策略具有原始的“美元和理智”价值。但另一方面,组策略可以保证真正节约成本(如果使用正确):电源设置。

  通过正确配置台式计算机和便携式计算机的电源设置,IT 管理员每年通常可以为公司节省数千美元。使用组策略可以简化这种配置。

  图 5 显示 Windows 7(和 Windows Server 2008 R2)GPMC 中可用的电源选项。

Windows7和WS 2008R2组策略中新增功能
图 5 “新电源计划(Windows Vista 及更高版本)属性”对话框。(单击图像可查看大图)

  仔细观察图 5 中对话框的标题,您会发现说的是“新电源计划(Vista 及更高版本)属性”。也就是说,这些设置对 Vista 和 Windows 7 均有效。需要注意以下内容:Windows 7 和 Windows Server 2008 R2 客户端计算机会立刻知道如何进行处理接收到的指令,而 Vista 则不然。Vista 只是忽略这些指令(即使在 Windows Vista 及更高版本中已明确指出此功能可用)。这就是为什么 Vista 的基本组策略首选项的客户端扩展需要一个即将发布的更新的原因所在。一旦发布并应用这个更新后,Vista 计算机将可以接受这些最新可用的指令。

  针对计划任务更新的组策略首选项

  与更新的电源计划设置类似,刚刚提到的是 Windows 7 和 Windows Server 2008 R2 中的 GPMC 中的其他任务计划功能。图 6 显示计划任务的新选项:计划任务(Windows Vista 及更高版本)和即时任务(Windows Vista 及更高版本)。

Windows7和WS 2008R2组策略中新增功能
图 6 Windows 7 中的新 GPMC 任务计划选项。(单击图像可查看大图)

  与电源计划设置类似,Windows 7 计算机可以使用这些设置。Vista 计算机需要安装一个更新才可以利用这些设置。

  更新的软件限制策略:AppLocker

  AppLocker 的真实名称是软件限制策略版本 2 或 SRPv2。但是,在组策略界面(和文档)中,你会发现这个新功能只称为 AppLocker。

  简而言之,AppLocker 的目标就是帮助现代的 IT 组织决定应该在 Windows 7(及更高版本)计算机上运行哪些软件以及不应该运行哪些软件。原来的软件限制策略 (SRP) 的作用已经无可挑剔,但 AppLocker 将软件限制提升到了一个新的级别。AppLocker 的一个主要新功能是基于软件发行者允许或限制软件。要想利用此新功能,必须对您要允许或限制的软件进行数字签名(有关 AppLocker 的详细信息,请参阅 Greg Shields 的“门门精通”专栏,“AppLocker:IT 行业的第一颗灵丹妙药?”)。

  接下来,您可以使用“创建可执行规则”对话框为不同的发行者设置规则。例如,您可以创建一条规则,指定只要 Adobe Reader 是 9.0 或更高版本就可以运行。您可以向上移动垂直滑块,来指定目标系统上的所有版本、文件名和/或产品或发行者均有效。或者您还可以只选中“使用自定义值”复选框。

点击查看更多TechNet精彩文章

 

0
相关文章