Windows Vista
Windows Vista 中更強大的群組原則
Jeremy Moskowitz
摘要:
- 群組原則基礎結構
- 改善的網路覺察
- 新增的群組原則功能
Windows Vista 大幅度更新了群組原則基礎結構。而當世界各地的組織部署 Windows Vista 時,許多管理員可能不會注意到其工作方式已有所變更,因為群組原則功能中的許多變更
是以隱匿的方式完成。不過,管理員將會發現 Windows Vista™ 群組原則已經比舊版更為強大。
在 Windows Vista 之前,群組原則處理是在稱為 winlogon 的處理序中發生。Winlogon 必須負起大部分的責任,包括讓使用者登入其桌面,以及提供服務給不同的群組原則例行工作。而現在,群組原則本身就是一項 Windows® 服務。此外,其方式更為強硬,這表示此服務不但無法停止,管理員也無法取得群組原則權限的擁有權並藉此關閉這項服務。這些變更加強了群組原則引擎的整體可靠性。
而這只是個開端。現在讓我們更深入瞭解新群組原則中的幾項主要變更。
改善的網路覺察
在 Windows Vista 之前,群組原則引擎會嘗試判斷連結的快慢。接著會利用這項資訊建立將套用的原則設定。若是透過慢速連結,群組原則就不會傳送整個原則設定至您的系統,因為這樣可能需要相當長的下載時間。新的群組原則中仍保留這項協助功能。而改變的是計算目前網路頻寬的方式。
此速度是藉由傳送「網際網路控制訊息通訊協定」(ICMP) Ping 封包至網域控制站所決定。此方法在實際運用上已有許多問題。首先是許多管理員會關閉其路由器上的 ICMP。其次是,如果連線是透過經常延遲的連結 (像是衛星),那麼計算出的結果就不可靠。而在這些情況下也就無法保證群組原則引擎判斷出的連結速度是否為真。
此外,群組原則引擎無從得知電腦是否已從休眠或待機狀態復原。即使您在未連線六個月之後忽然再次撥入,群組原則引擎也不會得知。使用者可以使用執行 Windows XP 或 Windows 2000 的電腦撥入、查看電子郵件然後斷線,而這一連串動作並不會讓群組原則更新。大部分管理員會希望必要時能夠在從休眠或待機復原的系統上,或於長時間離線之後再次撥入的電腦上執行群組原則更新。
更新的 Windows Vista 群組原則變得更為聰明,能夠得知即時的網路連線狀態。主要的變更即在於,現在群組原則引擎在 Windows Vista 中是使用「網路定位知悉服務 2.0」(NLA) 處理常式。NLA 服務會在網域控制站可使用時提醒群組原則引擎。在取得與網域控制站的聯繫後,就可以依需要執行群組原則更新。
多項本機 GPO
在 Windows Vista 之前僅支援一項本機群組原則物件 (GPO)。如果您在命令提示字元中鍵入 GPEDIT.MSC,並且變更部分設定,就會影響每一位使用該電腦的使用者和管理員。通常當您要移除一般使用者 [開始] 功能表中的 [執行] 命令,但仍要讓管理員使用此命令時,就會是個問題。
新的多項本機 GPO 功能即利用 GPO 層解決了這個問題。此功能多半會在未加入 Active Directory 網域的系統上使用。不過,此功能對於企業使用者來說也會相當實用。
新的多項本機 GPO 功能是以分層為主,因此可能會稍微複雜 (請參閱 [圖 1])。預設的本機 GPO 仍然存在,而且會套用至本機電腦系統的內容,並影響系統上的所有使用者。此 GPO 同時定義電腦設定及使用者設定。
圖 1** 使用者的全部本機群組原則 **
第二層會影響本機系統 Administrators 群組或本機系統上非 Administrators 群組的成員。根據定義,使用者帳戶無法同時屬於這兩個群組。這一層會判斷使用者屬於本機系統管理員或是一般使用者,然後套用適當的 GPO (Administrators 或非 Administrators)。第三層會影響特殊命名的本機系統使用者帳戶。
以上就是三個可能的本機 GPO,三者都會影響任何登入電腦的特定使用者。例如,您可以使用這三個分層提供特定電腦上每一位使用者的設定、僅影響電腦上非 Administrators 的其他設定,以及僅影響該電腦上特定單一使用者的設定。
當然,如果系統已加入 Active Directory® 網域,則 Active Directory 群組原則物件會優先於本機原則。另外須注意的是,網域管理員可以選擇關閉 Windows Vista 的所有本機 GPO 處理。
錯誤訊息和疑難排解
Windows Vista 擁有全新的「事件日誌」系統。群組原則引擎會運用這套新的 Windows Eventing 6.0 系統 (一般稱為「事件日誌」) 並將事件分割成兩個特殊的日誌。一般熟知的「系統記錄」(現在稱為「管理日誌」) 負責記錄群組原則問題。如果群組原則引擎發生錯誤,該錯誤會在系統記錄中列為來自群組原則服務 (而非 Userenv 處理序)。
新的「應用程式與服務」日誌 (亦即「作業日誌」) 為群組原則專屬,其中保存作業事件。此日誌會實際取代繁瑣的 userenv.log 疑難排解檔案,因為群組原則引擎的每個步驟都會在此列出以方便讀取。
ADM 和 ADMX
早在開始使用 Windows NT® 4.0 時,ADM 檔就已提供群組原則中擁有的基本定義範本。雖然 ADM 檔並未控制群組原則中的一切,但是除了 [電腦設定] | [系統管理範本] 以外,這些檔案還須負責 [使用者設定] | [系統管理範本] 下的所有項目。
功能上來說,這些 ADM 檔案有些瑕疵。在 Windows Vista 之前的 Windows 版本中,每次建立新的 GPO,就得將一大堆 ADM 檔案複製到每個 GPO 資料夾中 (位於 SYSVOL 中),而每個 GPO 大約為 5MB。而這一大堆 GPO 造成 SYSVOL 上出現許多重複的系統範本檔,因而造成每個 5MB 容量中出現許多重複的項目。
此外,ADM 檔並不是非語言相關。ADM 檔是以一種語言建立,而使用該檔案的每個人都必須自行應付該語言。
為解決這些問題,Windows Vista 中的群組原則針對原則定義檔引進了新的 XML 格式稱為 ADMX。ADMX 檔本身即為非語言相關。不過,這些檔案必須搭配語言專用的 ADML 檔使用。您只要加入多個 ADML 檔搭配 ADMX 檔,就能輕鬆加入多種語言。
ADMX 格式支援中央存放區。如此即可避免複製重複的資訊,更能輕鬆更新 ADMX 檔。假設某個 Service Pack 更新了 ADMX 檔,那麼您只要將更新的檔案放入中央存放區就行了。網域中使用 Windows Vista 工作站的所有群組原則管理員都將能夠存取更新的 ADMX 檔。以往,您必須確認每位管理員的電腦都有正確的更新 ADM 檔,而這項工作相當具挑戰性。
網域管理員必須在 SYSVOL 上手動建立中央存放區,而且必須針對每個 Active Directory 網域執行一次此操作。建立中央存放區之後,使用 Windows Vista 電腦建立和管理 GPO 的所有管理員都會自動使用中央存放區。請注意,此為 Windows Vista 專屬的功能,而且檢查中央存放區是否存在的是已加入 Active Directory 網域的 Windows Vista 電腦。您不需等待下一版的 Windows Server® (代號為 "Longhorn"),也不必將使用者電腦轉換成 Windows Vista。無論網域是以 Windows Server Longhorn、Windows Server 2003 甚或 Windows 2000 為基礎,情況都相同。若要使用中央存放區,您只需要建立中央存放區,然後使用 Windows Vista 電腦建立或管理 GPO 即可。
如前述,ADMX 和 ADML 檔是以 XML 為基礎。XML 的主要益處在於使用業界標準的語言。不過值得一提的是,目前並沒有 ADMX 圖形化編輯器 (Microsoft 未打算發行任何圖形化編輯器)。此外,也沒有將 ADM 轉換成 ADMX 的工具可用於任何您可能擁有的自訂 ADM 範本。
Windows Vista 將隨附約 130 個 ADMX 檔,取代舊版 Windows 隨附的 6 到 8 個 ADM 檔。這些檔案位於 \Windows\PolicyDefinitions 目錄中,如 [圖 2] 所示。請注意,ADML 檔會存放在特定語言的子目錄中,例如 en-US 目錄用於英文 (美國)。
圖 2** \Windows\PolicyDefinitions 目錄中的 ADMX 檔 **(按影像可放大)
群組原則管理主控台
「群組原則管理主控台」(Group Policy Management Console,GPMC) 為 Windows XP 和 Windows Server 2003 的下載項目。可編寫指令碼的 Microsoft Management Console (GPMC) 提供了管理群組原則的單一管理工具。
GPMC 現已內建於 Windows Vista。這表示您可以隨時存取最佳的工具,以建立或編輯 GPO。只要在 Windows Vista 的 [開始 | 搜尋] 命令提示字元中鍵入 GPMC.MSC,就可以開始執行工作。
新的控制項目
Windows Vista 中擁有約 800 項新的原則設定。這些設定分布於多個不同的類別中,其中多項是您已熟知且倚賴的設定。此外,Windows Vista 還引進了一些相當棒的新類別,有些是前所未見的,有些則是沒有任何群組原則控制。
群組原則中增強的功能包括有線和無線網路原則、Windows 防火牆和 IPsec、列印管理、桌面殼層、遠端協助,以及 Tablet PC。請注意,更新的有線和無線原則可能需要整個樹系的架構更新 (如需相關的詳細資訊,請參閱 microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx)。
Windows Vista 群組原則中的新功能包括卸除式存放裝置管理、電源管理、使用者帳戶控制、Windows 錯誤報告、Network Access Protection 以及 Windows Defender。
若要控制單獨影響 Windows Vista 電腦的功能,則建立或編輯 GPO 時必須使用 Windows Vista 電腦 (或 Windows Server "Longhorn" 電腦)。這是因為舊版的作業系統無法識別這些 Windows Vista 專屬的新設定。
深入探討這些新功能的任何一項都會需要整篇文章,因此本文將不會深入每項功能的細節。不過,特別值得注意的是卸除式存放裝置管理功能和電源管理功能 (如 [圖 3] 所示)。我預料這些功能將廣泛成為系統管理員的利器。簡單來說,這些功能可讓您進一步控制能夠連接至 Windows Vista 的裝置,以及筆記型電腦、桌上型電腦和監視器將用來為公司節省開支的電源設定。
圖 3** 透過群組原則強制執行電源管理 **(按影像可放大)
只要利用 Windows Vista 中額外的電源管理設定,管理員就能選擇關閉或讓未使用的視訊顯示監視器進入低電源的「睡眠」模式。Environmental Protection Agency 的 Energy Star 網站上公佈的研究顯示,控制監視器的電源用量可讓每部監視器每年節省 $10 到 $30 美元。若您公司內有數百或數千部監視器,那麼省下的開支將會相當可觀。
至於卸除式存放裝置管理,請考慮下列情況:管理員想要讓學生使用 USB 快閃磁碟機存取校園資訊工作站上的論文報告、作業或其他文件。不過,基於可能發生的誤用以及潛在的安全性風險,學生「不」應擁有校園資訊工作站上 USB 磁碟機的寫入權限,除非是學校核准的 USB 磁碟機。這類裝置管理的細節可以使用 Windows Vista 群組原則設定來完成。
總結
如您所見,這些 Windows Vista 管理的改善內容都是在您未察覺的情況下發生。管理員將發現,Windows Vista 群組原則提供了強大而靈活的設定管理,其中包括大幅增加的可規劃設定,以及提升系統安全性的新資源 (還能降低成本)。
群組原則的進一步創新
本文中所述的大致上是將隨 Windows Vista 提供的功能。然而,群組原則團隊已開始構思未來的創新內容。更多的群組原則功能很可能會在 Windows Server "Longhorn" 期間提供。雖然這些功能不會在一開始隨 Windows Vista 提供,但仍可能透過 Service Pack 或其他附加元件機制提供給 Windows Vista。因此,即使這些即將提供的新功能隨時可能改變,未來仍會有三項預定的主要改善功能。而且可以確定的是,這些功能都不需要 Windows Server "Longhorn" 就能執行。
註解 其中一項經常要求的功能為加入描述每項 GPO 功能,或任何特定群組原則設定功能的註解。目前加入註解的唯一方法是,利用試算表追蹤記錄 GPO 和設定,然後在試算表中加入註解。輸入註解的功能將會是相當受歡迎的新增功能。
範本 管理員有時候會想要提供其他管理員開始建立自己的 GPO 的入門指示。群組原則範本將提供這項能力。管理員可先從使用範本開始進行,之後便能建立自己的自訂 GPO。Microsoft 可能會在初始的範本集中加入常用的案例,提供如何控制不同類型電腦的特定指導方針 (如需相關的詳細資訊,請查看常用案例文件和檔案 (英文))。
搜尋和篩選器 在看似數以百萬計的眾多原則設定中,有時候很難找到您需要的特定原則設定。幸好即將提供的搜尋功能將會讓您更容易搜尋原則設定的標題、說明文字和註解的內容。GPO 內啟用或停用的原則設定也將一目了然,因此更容易迅速變更發生錯誤的 GPO。
您可以瀏覽 Windows Server 意見入口網站,並提交額外的群組原則功能要求,網址為 windowsserverfeedback.com (英文)。
Jeremy Moskowitz 為群組原則中的 MCSE 和 MVP,他經營的 GPanswers.com 是有關群組原則的社群論壇。此外,他還舉辦為期兩天的群組原則密集訓練課程。他的最新著作為 Group Policy, Profiles and IntelliMirror, Third Edition (Sybex, 2005)。您可以透過下列網站連絡 Jeremy:www.GPanswers.com (英文)。感謝 Microsoft 群組原則團隊的 Mark Lawrence 協助提供相關參考資訊。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.