Amministrazione di Windows
Controllo espanso con preferenze di Criteri di gruppo
Derek Melber
In un riepilogo delle:
- Compatibilità sistema operativo per preferenze di Criteri di gruppo
- Confronto tra e i criteri. le preferenze in aree di gestione
- Preferenze di con il GPME
- Amministrazione di preferenze di Criteri di gruppo
Contenuto
Compatibilità GPP
I criteri e preferenze
Struttura GPP e impostazioni
Configurazioni avanzate
Amministrazione GPP
Preferenze di Criteri di gruppo per il riscossa
È la somma dei
Tra le nuove tecnologie che Windows Server 2008 e Windows Vista portare, uno dei più interessante è Group Policy preferenze GPPs, che ora notevolmente espande che gli amministratori possono potenzialità dei criteri di gruppo. Preferenze di Criteri di gruppo specificare le impostazioni più di 3.000 in aree diverse 22 all'interno di un oggetto Criteri di gruppo e includere unità impostazione mapping della stampante e controllo dell'appartenenza al gruppo locale. E l'aspetto ottima è che non è necessario installare una nuova infrastruttura poiché la tecnologia funziona con l'infrastruttura di Active Directory esistente e la ambiente dei criteri di gruppo. È necessario installare solo un strumento di amministrazione e il client DLL per ottenere questo per l'utilizzo. In questo articolo, È necessario approfondire preferenze di Criteri di gruppo per illustrare le utilità e semplice sono per distribuire e amministrare.
Compatibilità GPP
GPPs possono essere amministrate soltanto in un ambiente Active Directory che contiene almeno un server Windows Server 2008 o desktop di Windows Vista, poiché queste sono le uniche possono supportare il nuovo gruppo di criteri di gestione console (GPMC). La console Gestione Criteri di gruppo è necessario per supportare e amministrare le impostazioni di GPP e avvia il nuovo gruppo di criteri gestione Editor (GPME) che visualizza GPPs che possono essere amministrati.
La situazione è molto diversa, tuttavia, quando si tratta di applicazione delle impostazioni associate con GPPs; per questo, sistemi operativi prima di Windows Server 2008 e Windows Vista sono supportati anche. In particolare, GPPs supportano Windows Server 2003 SP1 e Windows XP Professional SP2, nonché tutti i sistemi operativi che proviene dopo queste. Nella figura 1 viene illustrato quali sistemi operativi possono amministrare GPPs e che può essere applicato GPPs.
| Nella figura 1 operativo del supporto di sistema |
| Sistema operativo | Possibile applicare preferenze di Criteri di gruppo | Può gestire preferenze di Criteri di gruppo tramite GPME |
| Windows 2000 | Non è supportato | Non è supportato |
| Windows XP (x 86 e x 64) | Supportato con l'installazione di SP2 e CSE | Non è supportato |
| Windows Vista (x 86 e x 64) | Supportato con l'installazione di SP1 e CSE | Supportati con SP1 e RSAT installato |
| Windows Server 2003 (x 86 e x 64) | Supportato con l'installazione di SP1 e CSE | Non è supportato |
| Windows Server 2008 (x 86 e x 64) | Integrato | Integrato |
I criteri e preferenze
I termini "criteri" e "Preferenze" sono importanti per grasp con le nuove funzionalità di Criteri di gruppo. Le definizioni di criteri e le preferenze sono basate su alcune aree di gestione delle chiavi dei criteri di gruppo, tra cui imposizione, flessibilità, del Registro di sistema comportamento, assegnazione e interfaccia utente. Non un elenco completo, ma queste sono le aree che tendono a essere più importanti per gli amministratori.
Diamo un'occhiata i vantaggi principali preferenze forniscono in queste aree. Nella figura 2 sono ulteriori informazioni sulle differenze tra i criteri e le preferenze.
| Figura 2 dei criteri di gruppo preferenze e criteri * |
| Aree di gestione | Preferenze di Criteri di gruppo | Impostazioni dei criteri di gruppo |
| Imposizione | Non vengono applicate le preferenze. Interfaccia utente non sia disattivato. Preferenze possono essere aggiornate o applicate una sola volta. | Le impostazioni vengono applicate. Interfaccia utente è disattivato. Aggiornamento delle impostazioni. |
| Flessibilità | Creare facilmente elementi di preferenza per le impostazioni del Registro di sistema, file e così via. Importare le impostazioni del Registro di sistema singoli o diramazioni intero registro di sistema da un locale o un computer remoto. | L'aggiunta di impostazioni dei criteri richiede supporto dell'applicazione e la creazione di modelli amministrativi. Impossibile creare le impostazioni di criteri per la gestione dei file, cartelle e così via. |
| Criteri locali | Non è disponibile nei criteri di gruppo locale. | È disponibile in Criteri di gruppo locali. |
| Consapevolezza | Supporta le applicazioni con supporto per i criteri non gruppo. | Richiede le applicazioni con supporto di Group Policy |
| Percorso del Registro di sistema e il comportamento | Vengono sovrascritte le impostazioni originali. Rimozione dell'elemento preferenza non Ripristina l'impostazione originale. | Non vengono modificate le impostazioni originali. Memorizzati in diramazioni criteri del Registro di sistema. Rimozione ripristini di impostazione criterio delle impostazioni originali. |
| Filtri e di destinazione | Destinazione è granularità con un'interfaccia utente per ogni tipo di elemento di destinazione. Supporta assegnazione alla preferenza singola articoli di livello. | Il filtro è basato su Strumentazione gestione Windows (WMI) e richiede la scrittura delle query WMI. Supporta il filtro a un livello di oggetto Criteri di gruppo. |
| Interfaccia utente | Fornisce un'interfaccia familiare, facile da utilizzare per la maggior parte delle impostazioni di configurazione. | Fornisce un'interfaccia utente alternativa per la maggior parte delle impostazioni dei criteri. |
| *Table da di "gruppo criteri preferenze Overview" da Honeycutt Jerry |
Imposizione GPPs non vengono applicate, pertanto le configurazioni iniziali possono avvenire ma l'utente finale è nel controllo.
flessibilità GPPs consentono di aggiungere facilmente qualsiasi valore Registro di sistema, file o una cartella all'oggetto Criteri di gruppo per la gestione. Inoltre, poiché GPPs sono basati su XML, possono essere copiati e incollati in altri oggetti Criteri di gruppo in modo efficiente.
impostazioni del Registro di sistema Tutte le voci del Registro di sistema possono essere controllate anche quando il computer di destinazione o l'utente non è più in ambito di gestione dell'oggetto Criteri di gruppo in cui il valore di Registro di sistema viene configurato. I valori del Registro di sistema possono essere rimossi o mantenuti in posizione dopo l'oggetto Criteri di gruppo non ha effetto l'oggetto di destinazione.
assegnazione Ogni impostazione GPP fornisce più di 25 diversi filtri di destinazione per controllare o meno l'impostazione viene applicata l'oggetto di destinazione. Esempi di filtri includono l'intervallo di indirizzi IP, appartenenza al gruppo di protezione e corrispondenza del valore del Registro di sistema.
interfaccia utente L'interfaccia utente GPP è notevolmente più semplice e più semplici rispetto per altre impostazioni nell'oggetto Criteri di gruppo. Nella maggior parte dei casi, l'interfaccia configurazione reale è duplicato nell'oggetto Group Policy, rendendo la configurazione dell'impostazione della semplice e familiare.
Struttura GPP e impostazioni
Quando viene aperto un oggetto Criteri di gruppo nel GPME, criteri e le preferenze sono molto chiaramente separate, come illustrato nella Figura 3 , consentendo di vedere quali impostazioni compreso nuovo arena GPP. Questo è importante notare, come le preferenze si comportano diversamente da criteri. Quando si espandere i nodi preferenze in una configurazione di computer (vedere la Figura 4 ) o User Configuration (vedere nella figura 5 ), sono disponibili le impostazioni di numerose divisa in due categorie, delle impostazioni del Pannello di controllo e delle impostazioni di Windows.
Nella figura 3 il GPME separa i criteri di preferenze
.gif)
Nella figura 4 preferenze di configurazione del computer
.gif)
Nella figura 5 preferenze utente di configurazione
Configurazioni avanzate
È possibile controllare GPPs più granularly da altre impostazioni in un oggetto Criteri di gruppo utilizzando le opzioni disponibili nella scheda Common per ogni preferenze. Nella scheda comune sono le caselle di controllo per cinque impostazioni diverse, un'opzione per configurare l'assegnazione e una casella di testo per la descrizione la preferenza di oggetti Criteri di gruppo per la documentazione e la risoluzione dei problemi.
Interrompi elaborazione gli articoli in questa estensione se un errore Occurs Il comportamento predefinito di elaborazione dei criteri di gruppo è che tutte le impostazioni verranno elaborate, anche se sono presenti più impostazioni con CSE (client lato Extensions) stesso e una di queste impostazioni ha esito negativo. Se si desidera disporre l'elaborazione delle impostazioni all'interno di un'interruzione CSE sola dopo una delle impostazioni all'interno di questo CSE ha esito negativo, attivare questa opzione. Questa impostazione ha solo ambito dell'oggetto Criteri di gruppo.
esecuzione in registrato, nel contesto di protezione dell'utente (opzione di criteri utente) Applica impostazioni di Criteri di gruppo (criteri e preferenze uguali), si applicano utilizzando l'account sistema locale. Poiché l'account sistema locale ha solo accesso alle variabili d ' ambiente di sistema e le risorse locali, ovviamente il contesto utente non è disponibile. Affinché le variabili d ' ambiente dell'utente e risorse di rete a cui accedere, è possibile attivare questa opzione per processo preferenze di Criteri di gruppo utilizzando account dell'utente connesso.
rimuovere questo elemento quando non si È collegato non più Impostazioni GPP non vengono eliminate dal Registro di sistema quando l'oggetto Criteri di gruppo viene rimosso dall'utente o il computer, né vengono sono eliminati quando l'utente o il computer scende rientra nell'ambito della gestione dell'oggetto Criteri di gruppo. Per poter preferenze impostazioni rimosse quando l'oggetto Criteri di gruppo non è più applicabile per l'utente o un oggetto computer, questa opzione possono essere attivate (anche se è opportuno sottolineare che questa opzione non è disponibile per alcuni le estensioni, ad esempio quelli di Internet Explorer).
applicare una sola volta e non riapplica I criteri di gruppo sono un intervallo di aggiornamento predefinito, è di circa ogni 90 minuti. Questo aggiornamento è implementato in modo che le impostazioni di nuove possono essere applicate e le vecchie impostazioni riapplicate senza dover riavviare o re-logon utente o computer. Se si sta configurando l'impostazione di GPP solo deve essere utilizzato una sola volta al computer e mai aggiornamento, è possibile attivare questa impostazione. Questo è un meccanismo ottimo per stabilire la matrice iniziale delle configurazioni GPP può influire sulle, pur consentendo all'utente di creare un ambiente personalizzato modificando le impostazioni dopo l'accesso e non dispone sovrascritto.
Se le impostazioni rientrano in User Configuration, GPP verranno applicate le impostazioni una volta su ciascun computer l'utente accede. Se l'impostazione rientra in Computer Configuration, GPP applicherà l'impostazione di una volta per ogni computer. Si noti, tuttavia, che è un'applicazione di queste impostazioni una volta, a solo. Per aggiornare o riapplicare queste impostazioni, è necessario deselezionare questa opzione per attivare innanzitutto il.
assegnazione a livello di elemento Per impostazione predefinita, tutti gli utenti e computer che rientrano in ambito di gestione dell'oggetto Criteri di gruppo verrà visualizzato le impostazioni all'interno l'oggetto Criteri di gruppo. Per utilizzare queste impostazioni alle solo un sottoinsieme di utenti predefinito e computer di destinazione può essere utilizzato. Più di 25 elementi di destinazione diversi sono disponibili e possono essere utilizzati da soli o in combinazione con altri elementi. Figura 6 Mostra l'elenco completo delle opzioni di destinazione a livello di elemento.
Nella figura 6 è destinato a livello di elemento consente di controllare dinamicamente impostazioni GPP oggetti utente e computer
descrizione La casella di testo descrizione consente di documentare le impostazioni, opzioni e gli articoli di assegnazione per ogni impostazione GPP. Si tratta il testo viene visualizzato quando la preferenza particolare è selezionata in GPME, senza dover modificare GPP impostazione, come illustrato nella Figura 7 .
Amministrazione GPP
Amministrazione di GPPs è identico a quello di altre impostazioni dell'oggetto Criteri di gruppo. Catch solo, come precedentemente, è devono essere amministrati da un computer che esegue Windows Server 2008 o Windows Vista SP1.
.gif)
Nella figura 8 verrà aperto di finestra di dialogo Proprietà nuova unità quando viene creata una nuova impostazione dei criteri per il mapping dell'unità
Si supponga di che voler configurare un mapping unità sotto la parte in Configurazione utente per l'oggetto Criteri di gruppo. L'impostazione di preferenze per questo è posizionata configurazione utente | Preferences | impostazioni Windows | mapping unità. Facendo clic con il pulsante destro del mouse sull'impostazione di mapping unità, è possibile selezionare nuovo, unità mapped che creerà un nuovo criterio, come illustrato nella Figura 8 . Qui è possibile immettere le informazioni per mappare le unità, ad esempio posizione, un'etichetta per l'unità locale e una lettera di unità.
A questo punto, è possibile scegliere per il mapping di unità applicare a tutti gli utenti che rientrano in ambito di gestione dell'oggetto Criteri di gruppo oppure è possibile limitare gli utenti di ricevere l'impostazione della configurazione a livello di elemento di destinazione. È necessario impostare a livello di elemento che i controlli che gli utenti ricevono il mapping di unità in base all'appartenenza ai gruppi di protezione e che esegue un controllo rapido per verificare se si dispone di un file di programma (exe) specifico memorizzato nel computer di destinazione. È possibile eseguire questo controllo secondo perché la cartella condivisa in mapping contiene file che sono utili solo se si accede con tale file di programma.
Per rendere queste impostazioni di assegnazione del livello di elemento, scegliere la scheda nella finestra di dialogo Proprietà nuova unità comune. Quindi selezionare la casella di controllo accanto al livello di elemento di destinazione, quindi sul pulsante Targeting. Si apre nella finestra di dialogo per assegnazione a livello di elemento. Fare clic sull'elenco a discesa per destinazioni e scegliere dal gruppo di protezione. Quindi fare clic su Sfoglia, consentirà di configurare il gruppo appropriato di utenti personale Nell'esempio (vedere la Figura 9 ).
Ora verrà si desidera configurare il percorso del file exe. Selezionare file maiuscole dall'elenco a discesa destinazione per aggiungere i criteri. Quindi digitare il percorso del file, Files\ACME\HRBenefits.exe c:\Programmi\Microsoft, in questo esempio. (Nota: mapping unità e stampanti sia conforme aggiornamento dei criteri in primo piano oggetto Criteri di gruppo. Per ulteriori informazioni nel criterio in primo piano e dello sfondo aggiornamento, vedere l'articolo GPP Elaborazione dei criteri di gruppo.)
In seguito, la volta successiva che un utente accede disattivare e quindi in unità mappata appariranno, fornito che è un membro del gruppo di protezione personale e il file HRBenefits.exe sul computer. Se questi criteri non vengono soddisfatti, la lettera di unità non verrà visualizzato.
Nella Figura 9 è possibile combinare le opzioni di destinazione a livello di elemento
Preferenze di Criteri di gruppo per il riscossa
In questo campo è un elenco breve di alcuni dei problemi che sono risolti utilizzando GPPs:
- Correggere l'appartenenza al gruppo Administrators locale sul ogni desktop per includere Domain Admins e l'account dell'amministratore locale, ma non eliminare i membri esistenti del gruppo.
- Garantire che l'utente corrente del desktop non dispone di suo account utente al gruppo Administrators locale.
- Controllo Opzioni risparmio energia in ogni computer desktop per risparmio elettricità grande.
- Aggiornamento in corso l'area di servizio di configurazione in ogni server che esegue un servizio specifico in modo che la modalità di avvio servizio sia sempre automatica.
- Mapping delle stampanti in modo dinamico ad che quando gli utenti di computer portatili visitano Branch office 1, ottenere le stampanti appropriate. Allo stesso modo, quando si visita Branch office 2, ottenere le stampanti corrette per tale posizione.
È la somma dei
Preferenze di Criteri di gruppo sono semplici da gestire e distribuire. Poiché la tecnologia è compatibile con Windows Server 2003 SP1 e Windows XP SP2, quasi tutte le società possono sfruttare le nuove impostazioni e la possibilità che portare. Questo si ridurre il costo dell'implementazione e consente agli amministratori il controllo sul desktop che è necessario eseguire il processo in modo efficiente.
Combinando una buona progettazione distribuzione dei criteri di gruppo con livello di elemento di destinazione consente agli amministratori di creare configurazioni dinamiche desktop e server. Con più di 25 a livello di elemento di destinazione criteri disponibili, quasi tutte le impostazioni possono essere controllate da applicare solo quando appropriato. È possibile trovare ulteriori informazioni su Criteri di gruppo nel Resource Kit di Criteri di gruppo e anche il Criteri di gruppo di server Windows sito.
Melber Derek è un consulente indipendente, un trainer e un autore. Derek evangelizes tecnologia Microsoft, concentrandosi su Active Directory, Criteri di gruppo, protezione e gestione dei desktop. Derek regolarmente contribuisce a pubblicazioni in linea e stampa e ha scritto più di 10 libri di tecnologie, tra cui The Microsoft Windows Group Policy Resource Kit (Microsoft Press, 2008). È possibile raggiungere Derek in derekm@braincore. NET.