在 Windows Server 2008 和 Windows Vista 引入的诸多新技术中,最引人注目的当属“组策略首选项”(GPP),它现在可以极大地扩展管理员对组策略的操作。在组策略对象 (GPO) 中,组策略首选项在 22 个不同区域提供了 3,000 余种设置,另外还包括设置驱动器和打印机映射及控制本地组成员等。最重要的是,您无需安装任何新基础结构,因为该技术完全适用于现有的 Active Directory 基础结构和组策略环境。您只需安装管理工具和客户端 DLL 即可开始工作。在本文中,我将对组策略首选项进行深入研究,以展示其实用性以及部署和管理的简易性。
GPP 兼容性
在用来管理 GPP 的 Active Directory 环境中,必须至少包含一个 Windows Server 2008 服务器或 Windows Vista 桌面,因为只有它们才支持新的组策略管理控制台 (GPMC)。要支持和管理 GPP 设置必须借助 GPMC,而且 GPMC 还可以启动新的组策略管理编辑器 (GPME),在编辑器中将显示可以进行管理的 GPP。
但是,在应用与 GPP 相关联的设置时情况则大不一样;这时也支持 Windows Server 2008 和 Windows Vista 之前的操作系统。特别需要指出的是,GPP 可支持 Windows Server 2003 SP1 和 Windows XP Professional SP2 以及此后的所有操作系统。图 1 汇总了可以管理 GPP 以及可以应用 GPP 的操作系统。
图 1 操作系统支持
操作系统 | 可以应用组策略首选项 | 可通过 GPME 管理组策略首选项 |
Windows 2000 | 不支持 | 不支持 |
Windows XP(x86 和 x64) | 受到 SP2 和 CSE 安装程序的支持 | 不支持 |
Windows Vista(x86 和 x64) | 受到 SP1 和 CSE 安装程序的支持 | 受到 SP1 和安装的 RSAT 的支持 |
Windows Server 2003(x86 和 x64) | 受到 SP1 和 CSE 安装程序的支持 | 不支持 |
Windows Server 2008(x86 和 x64) | 集成 | 集成 |
策略和首选项
术语“策略”和“首选项”对于掌握新的组策略功能至关重要。策略和首选项的定义均基于组策略的某些关键管理区域,包括强制性、灵活性、注册表行为、导向和用户界面等。这并不是一份详细的清单,但这些都是可能对管理员而言非常重要的区域。
让我们来看一下首选项在这些区域中具有的主要优点。图 2 详细介绍了策略与首选项之间的差异。
图 2 组策略首选项和策略*
管理区域 | 组策略首选项 | 组策略设置 |
强制性 | 首选项是非强制性的。用户界面不会被禁用。首选项只能刷新或应用一次。 | 设置是强制性的。用户界面被禁用。设置被刷新。 |
灵活性 | 轻松地为注册表设置和文件等创建首选项条目。从本地或远程计算机导入单个注册表设置或整个注册表分支。 | 添加策略设置需要应用程序的支持并需要创建管理模板。无法创建策略设置来管理文件和文件夹等。 |
本地策略 | 在本地组策略中不可用。 | 在本地组策略中可用。 |
识别 | 支持非可识别组策略的应用程序。 | 需要可识别组策略的应用程序。 |
注册表位置和行为 | 原始设置被覆盖。删除首选项条目不会恢复原始设置。 | 原始设置不会被改动。存储在注册表策略分支中。删除策略设置将恢复原始设置。 |
导向与筛选 | 导向很精细,每种类型的导向条目都有一个用户界面。支持在单个首选项条目级别进行导向。 | 基于 Windows Management Instrumentation (WMI) 进行筛选,并且需要编写 WMI 查询。支持 GPO 级别的筛选。 |
用户界面 | 为大多数设置的配置操作都提供了一个熟悉且易于使用的界面。 | 为大多数策略设置都提供了一个替代用户界面。 |
*经同意转自 Jerry Honeycutt 的“组策略首选项概述”
强制性 GPP 是非强制性的;因此可进行初始配置,但最终用户仍处于可控状态。
灵活性 利用 GPP 可以轻松地向所管理的 GPO 中添加任何注册表值、文件或文件夹。此外,由于 GPP 是基于 XML 构建的,因此可将其高效率地复制并粘贴到其它 GPO 中。
注册表行为 所有注册表条目都能够加以控制,即使目标计算机或用户不再位于配置注册表值的 GPO 管理范围内。当 GPO 不再对目标对象产生影响后,可将注册表值删除,也可将其保持原位。
导向 每个 GPP 设置都为控制操作提供了超过 25 种不同的导向筛选器(无论该设置是否会对目标对象产生影响)。筛选器的示例有很多,例如 IP 地址范围、安全组成员以及注册表值匹配等。
用户界面 GPP 的用户界面与 GPO 中的其它设置相比极为简洁易用。在大多数情况下,GPO 中的“实际配置界面”是完全相同的,这可以让用户在配置设置时感到简单而熟悉。
GPP 结构和设置
当 GPO 在 GPME 中打开时,策略和首选项的区分界限非常明显(如图 3 所示),这就使得用户可以轻松地了解到新 GPP 领域中都引入了哪些设置。对此需要特别加以注意,因为首选项与策略具有不同的行为。当展开“Computer Configuration”(计算机配置)图 4)或“User Configuration”(用户配置)(图 5)下的“Preferences”(首选项)节点时,会发现许多设置被划分为两类,即“Control Panel Settings”(控制面板设置)和“Windows Settings”(Windows 设置)。
图 3 GPME 将策略与首选项分隔开
图 4 计算机配置首选项
图 5 用户配置首选项
高级配置
与 GPO 中的其它设置相比,利用每个首选项的“Common”(普通)选项卡中的选项,您可以更精细地控制 GPP。“Common”(普通)选项卡包括五个用于不同设置的复选框、一个用于配置导向的选项以及一个用于描述 GPO 首选项以便进行记录和故障排除的文本框。
出现错误时停止处理此扩展中的项目组策略处理的默认行为是处理所有设置,即使有多个设置具有相同的“客户端扩展”(CSE) 且其中某个设置失败时也是如此。 如果希望使某个 CSE 中的设置过程在该 CSE 内的任何一个设置失败时停止,则启用此选项。此设置仅具有当前 GPO 的范围。
在已登录用户的安全上下文中运行(用户策略选项)在应用组策略设置(策略和首选项之类的设置)时,它们将使用本地系统帐户来实施。很明显,由于本地系统帐户只能访问系统环境变量和本地资源,因此用户上下文不可用。为了能够访问用户环境变量和网络资源,可启用此选项以使用登录用户的帐户来处理组策略首选项。
当此项目不再适用时将其删除 从用户或计算机中删除 GPO 时并不会从注册表中删除 GPP 设置,当用户或计算机脱离开 GPO 管理范围时也不会删除它们。要在 GPO 不再适用于用户或计算机对象时将首选项设置删除,可启用此选项(但应注意此选项并不适用于某些扩展,如用于 Internet Explorer 的扩展)。
只应用一次而不再重新应用组策略有默认的刷新间隔,大约每 90 分钟刷新一次。执行此刷新是为了使新设置能够被应用、旧设置能够被重新应用,而无需计算机或用户重新启动或重新登录。如果当前正在配置的 GPP 设置仅对计算机应用一次且永不更新,则可启用此设置。此机制在建立 GPP 能够产生影响的初始配置数组时极为有用,同时它还允许用户在登录后通过更改设置来创建自定义的环境,而不会将原有设置覆盖。
如果这些设置位于“User Configuration”(用户配置)下,GPP 会在用户登录的每台计算机上应用一次这些设置。如果该设置位于“Computer Configuration”(计算机配置)下,GPP 会在每台计算机上都应用一次。但要注意,这是这些设置的一次性应用。要更新或重新应用这些设置,必须先取消选中此选项。
导向编辑器 默认情况下,位于 GPO 管理范围内的所有用户和计算机都将收到 GPO 中的这些设置。要将这些设置仅应用到默认用户和计算机的某个子集,可使用导向来实现。有超过 25 种不同的导向项目可供使用;它们既可单独使用也可与其他项目结合使用。图 6 显示了项目级别导向选项的完整列表。
图 6 项目级别导向被用来动态控制用户和计算机对象的 GPP 设置
说明“Description”(说明)文本框用于记录各个 GPP 设置的设置、选项和导向项目。这是在 GPME 中选定特定首选项设置时将会看到的文本,而无需对 GPP 设置本身进行编辑,如图 7 所示。
管理 GPP
GPP 的管理方式与其他 GPO 设置相同。唯一的不同之处如前面所述,即它们必须通过运行 Windows Server 2008 或 Windows Vista SP1 的计算机进行管理。
图 8 当您为“驱动器映射”创建新的策略设置时,“新驱动器属性”对话框会打开
假设您要在 GPO 的“User Configuration”(用户配置)部分配置某个驱动器映射。其首选项设置位于“User Configuration”(用户配置)|“Preferences”(首选项)|“Windows Settings”(Windows 设置)|“Drive Maps”(驱动器映射)下。通过右键单击“Drive Maps”(驱动器映射)设置,可选择“New—Mapped Drive”(新映射的驱动器)来创建新策略,如图 8 所示。在此处输入用于映射驱动器的信息,如位置、本地驱动器标签以及驱动器盘符等。
此时,您可以选择将该驱动器映射应用到 GPO 范围内的每个用户,也可以通过配置项目级别的导向来限制接收该设置的用户。您应根据安全组成员身份来建立用于控制可接收驱动器映射的用户的项目级别导向,并通过运行快速检查来查看他们在其计算机上是否具有某个特定的程序 (.exe) 文件。之所以执行第二项检查,是因为当前您映射的共享文件夹包含仅在使用该程序文件进行访问时才有用的文件。
要建立这些项目级别导向设置,请单击“New Drive Properties”(新驱动器属性)对话框中的“Common”(普通)选项卡。然后单击“Item-level targeting”(项目级别导向)旁的复选项,再单击“Targeting”(导向)按钮。这将打开“Item-level targeting”(项目级别导向)对话框。单击“Item Options”(项目选项)下拉列表,然后单击“Security Group”(安全组)。接下来单击“Browse”(浏览),即可配置相应的组和示例中的 HR 用户(请参阅图 9)。
现在需要配置到 .exe 文件的路径。从“Match type”(匹配类型)下拉列表中选择“File Match”(文件匹配)来添加匹配条件。然后键入该文件的路径,在本例中为 C:\Program Files\ACME\HRBenefits.exe。(注意:“Drive Maps”(驱动器映射)和“Printers”(打印机)都按照前台 GPO 策略进行刷新。有关前台和后台策略刷新的详细信息,请参阅 GPP 文章组策略处理。)
此后,每当用户在注销后再次登录时,映射的驱动器都会显示出来,但前提是该用户是 HR 安全组的成员并且他的计算机上有 HRBenefits.exe 文件。如果不满足这些条件,驱动器盘符将不会显示。
图 9 项目级别导向选项可加以合并
组策略首选项前来解围
这里是我利用 GPP 解决的一些问题的简要清单:
修复每个桌面上的本地管理员组的成员以包括域管理员和本地管理员帐户,但并不删除现有组成员。
确保桌面的当前用户在本地管理员组中没有自己的用户帐户。
控制每台桌面计算机的电源选项以尽可能节省电力。
更新所有运行某项特定服务的服务器上的服务配置区域,使服务启动模式始终为“自动”。
动态映射打印机,以便当便携式计算机用户访问“分支机构 1”时可获得正确的打印机。同时,当其访问“分支机构 2”时,也可获得该位置的正确打印机。
总结
利用组策略首选项可以轻松地进行管理和部署。由于此技术与 Windows Server 2003 SP1 和 Windows XP SP2 都兼容,因此几乎所有公司都可以从它们所引入的新设置和新功能中受益。这将减少实施成本并使管理员能够更有效地控制他们需要用来开展其工作的桌面。
通过将良好的组策略部署设计与项目级别导向相结合,可赋予管理员创建动态桌面和服务器配置的能力。在提供的超过 25 种的项目级别导向条件中,几乎每种设置都被控制用于最适合的情况。有关组策略的详细信息,请参阅组策略资源工具包,也可访问网站Windows Server 组策略。