Share via

  • Articolo

Windows 7

Che cosa ’s nuovo in Criteri di gruppo per Windows 7 e Windows Server 2008 R2

Jeremy Moskowitz

 

Panoramica:

  • Filtri RSAT aggiornati
  • OGGETTO automatico gestione con Windows PowerShell
  • Interfaccia tabless per ADM e ADMX
  • GPO Starter incorporato e nuove impostazioni di criteri

Contenuti

Funzionalità di base Criteri gruppo aggiornato
Oltre le funzionalità di base
Ulteriori informazioni

Viene visualizzato posta elettronica quasi ogni giorno da persone chiedere, "Che cos'è provenienti per criteri di gruppo nella nuova versione di Windows?" In questa domanda, È possibile ritiene un eagerness conoscere le nuove funzionalità e le modifiche verranno significato per i professionisti IT.

So che che modifica può talvolta essere stressful, ma è possibile pronunciare protetta che la notizia è buona tutti: Alcune potenti e ben modifiche di criteri di gruppo sono incluse in Windows Server 2008 R2 e Windows 7, ma non troppo radicale o diverso. I professionisti IT potranno beneficiare alcuni aggiornamenti, alcune delle nuove funzionalità e alcune modifiche di specifiche di interfaccia utente, ad esempio, ma senza i problemi associati ripida curve di formazione.

Le modifiche dei criteri di gruppo possono essere suddivisi in due ampie categorie. In primo luogo i criteri di gruppo sono gli elementi team esegue: funzionalità di base, incluse le funzionalità di nuove e aggiornate e il modulo criteri di gruppo nei criteri di gruppo Modifica sistema (Group Policy Management Console o console Gestione criteri di gruppo ed Editor gestione criteri di gruppo o GPME). Secondo gli elementi che altri team di fornire a gestire i componenti utilizza criteri di gruppo: aggiornate le impostazioni dei criteri e controlli di funzionalità all'interno GPME che tutti utilizzare per gestire le funzioni nuove e aggiornate su questo computer di destinazione. In questo articolo, riferiscono entrambi i tipi di modifiche.

Funzionalità di base Criteri gruppo aggiornato

Per Windows 7 e Windows Server 2008 R2, il team Criteri di gruppo è disponibili un smorgasbord delle funzionalità e aggiornamenti. Ecco la suddivisione nonscientific di ciò che viene recapitato nell'aggiornamento più recente di Windows: una correzione grande, un aggiornamento di grandi dimensioni, una grande funzionalità, un utente di grande interfaccia modifica e un'addizione nella casella grande.

La correzione di grande: Filtri aggiornati

I filtri aggiornati nella console GPMC aggiornato (disponibile per Windows 7 e Windows Server 2008 R2) sono le modifiche di benvenuto. Le correzioni appiattire un bug che è stato intorno al rilascio di Windows Vista. In di figura 1, è possibile visualizzare una delle funzionalità che preferisco che è stato disponibile dopo la GPMC aggiornata, contenuta in remoto Server amministrazione Toolkit (RSAT): la finestra di dialogo Opzioni di filtro.

fig1.gif

Figura 1 finestra di dialogo Opzioni di filtro di. (fare clic sull'immagine per ingrandirla)

Processo del RSAT è semplice: Consente di utilizzare una vista (o versione successiva) del computer per controllano vari aspetti della rete dal computer è utilizzare e per fornire gli strumenti necessari per effettuare questa operazione, inclusi la GPMC aggiornata. Questa console aggiornato dispone di alcune funzionalità ben;uno di questi è la capacità utilizzare filtri per definire i criteri che si desidera utilizzare per trovare solo le impostazioni dei modelli amministrativi di Group Policy che si desidera. Il problema è che quando Vista e il corrispondente RSAT, i filtri non funziona, un bug che tormentato molti amministratori.

Lasciatemi spiegare il bug in qualche modo più dettagliato. Nella figura 1 viene illustrata la sezione di Attiva requisiti filtri della finestra di dialogo filtri. L'obiettivo di questa sezione è semplice: Consente di determinare le impostazioni di modelli amministrativi dei criteri sono valide per i sistemi operativi.

Una modalità all'interno Attiva requisiti filtri è "Impostazioni include che soddisfano tutte le piattaforme selezionate." L'altra è "include impostazioni che corrispondono a uno delle piattaforme selezionate. A prima vista, le due modalità sembrare molto simili. Ma la differenza tra "all"e "qualsiasi"è notevole. Di seguito è ciò che ogni modalità dovrebbe per eseguire una volta specificare alcuni criteri e selezionare la:

  • "Include impostazioni che corrispondono a tutte le piattaforme selezionate"deve Visualizza le impostazioni dei criteri sono validi solo su tipi di computer specificato. Pertanto, se si seleziona Windows XP Service Pack (SP) 2 e la vista, il risultato sarà impostazioni che lavorare solo su Windows XP SP2 e Vista.
  • "Include impostazioni che corrispondono a uno delle piattaforme selezionate"dovrebbe essere visualizzato impostazioni applicabili a uno dei sistemi operativi selezionati. Pertanto se si seleziona sia in Windows XP SP2 e in Vista, tutte le impostazioni che si applicano a Windows XP SP2 e tutte le impostazioni applicabili alla vista devono essere visualizzate.

Questi filtri sono utile appena audio. L'unico problema è che con la versione di vista e Windows Server 2008 di RSAT, nessuno di essi funzionava correttamente. Se è stato selezionato "Include impostazioni che corrispondono a tutte le piattaforme selezionate"il risultato era spesso una frazione semplice delle impostazioni valide sono state effettivamente applicabile ai computer di destinazione. E se si è selezionato "include impostazioni che corrispondono a uno delle piattaforme selezionate"Nessun risultato mai visualizzato.

In base ai miei amici nel team Criteri di gruppo, questa correzione dovrebbe rientrare della versione finale di Windows 7 del e nella casella per Windows Server 2008 R2 scaricabile.

L'aggiornamento di grande: Distribuzione di Windows PowerShell script per il computer di destinazione

A meno che non è presenti in un rock, si sa che Windows PowerShell sta per essere popolarità con gli amministratori di sistema. Ma un problema ha bloccato alcuni amministratori di adozione di PowerShell. Non è stata presente in modo semplice per poter sfruttare le muscle PowerShell nuovo su un'area in cui devono il massimo controllo: script utente e computer.

Gli RSAT in Windows 7 e Windows Server 2008 R2 consente agli amministratori di specificare gli script PowerShell come accesso o gli script di disconnessione (per l'utente) e avvio o script di arresto del sistema (per il computer). Nella figura 2 viene illustrata la finestra di dialogo Avvio proprietà nel GPME si in cui l'amministratore può specificare l'ordine in cui script di PowerShell eseguiti e si anche il tipo di script deve essere eseguita primo: Script PowerShell o non di PowerShell script (che non vengono visualizzati, ma si trovano all'interno della scheda di script nella finestra di dialogo Proprietà di avvio).

fig2.gif

Nella figura 2 scheda Windows PowerShell script di della finestra di dialogo Proprietà di avvio. (fare clic sull'immagine per ingrandirla)

Per utilizzare questa funzionalità, è necessario creare o modificare gli oggetti di criteri di gruppo (GPO) da un Windows 7 o di un computer Windows Server 2008 R2 con gli strumenti RSAT corrispondenti (che contengono un GPMC aggiornato per supportare questa nuova funzionalità). Inoltre, il computer di destinazione è Windows 7 o Windows Server 2008 R2 per gli script PowerShell eseguire. Computer meno recenti (anche con PowerShell caricato) non valide di destinazioni e non eseguire Power ­ shell accesso, disconnessione, avvio o arresto script. Alcune soluzioni di terze parti che è possono distribuire script PowerShell macchine Windows 7 sono disponibili se necessaria questa funzionalità.

La funzionalità di grande: La modifica delle impostazioni di registro di sistema con i cmdlet di PowerShell

Molti amministratori di sistema da automatizzare il mondo. Questo una cosa positiva. In realtà, è possibile considerare utilizzo di criteri di gruppo nell'ambiente in uso come l'automazione di massa di computer client (in modo che non sia necessario eseguire e i pulsanti di comando). Per utilizzare l'amministrazione al livello successivo, si desidera automatizzare la gestione dei GPO stessi.

Alcuni amministratori hanno sfruttato l'esistente GPO GPMC esempio script per automatizzare le attività chiave di criteri di gruppo.

Windows 7 e Windows Server 2008 R2 consentono di utilizzare PowerShell per eseguire molte di queste funzioni. Che cosa è stato possibile negli script di esempio di GPMC è ora possibile utilizzo di PowerShell: creazione, collegamento, ridenominazione, backup, copia ed eliminazione di oggetti Criteri di gruppo, nonché molto altro ancora.

La possibilità di configurare il contenuto di un GPO utilizzando un metodo di script, tuttavia, è completamente nuovo e sono ora disponibili solo quando si utilizza PowerShell come metodo di script. Prima di ottenere troppo entusiasmo, È necessario segnalare che non tutte le 39 aree dei criteri di gruppo sono script. Solo due in realtà, sono: Criteri del Registro di sistema e preferenze del Registro di sistema. Anche in questo caso, si tratta di un avvio straordinario.

In di figura 3, visualizzarla come Sto utilizzando l'incorporato Power ­ shell in Windows 7 per installare prima i cmdlet di specifici criteri di gruppo utilizzando il grouppolicy del modulo di importazione cmdlet e quindi creare un nuovo oggetto Criteri di gruppo con il cmdlet di nuovo di gpo.

fig3.gif

Nella figura 3 creazione di un nuovo GPO utilizzando il cmdlet di criteri di gruppo incorporate in Windows 7. (fare clic sull'immagine per ingrandirla)

Blog del team Criteri di gruppo dispone di una matrice di elementi relative all'integrazione di Windows PowerShell. È possibile visualizzare tutti in un immediato controllando uscita il il Blog del Team Criteri di gruppo.

La modifica di interfaccia utente grande: Aggiornato ADM e ADMX User Interface

Uno delle modifiche più importante di criteri di gruppo è nella sezione Modelli amministrativi del GPME.

Un nuovo "tabless"interfaccia, illustrata in di figura 4, inserisce tutto il contenuto che è necessaria per creazione o modifica di impostazioni dei criteri esistenti in una pagina di una interruzione-shop.

fig4.gif

Nella figura 4 Windows Firewall: Consentire la finestra di dialogo eccezioni ICMP. (fare clic sull'immagine per ingrandirla)

Gli amministratori possono ora configurare un'impostazione di criterio non configurato, attivato o disattivato, inserire commenti sull'impostazione di un criterio, vedere le informazioni supportati su, visualizzare la Guida (Explaintext) e modificare le impostazioni configurabili all'interno di opzioni.

L'obiettivo di questa modifica è rendere più intuitivo l'esperienza di impostazione del criterio, integrare la Guida in linea e hanno tutte le schede in modo gli amministratori non sia necessario fare clic su da un luogo a altro più.

Aggiunta di grande in-the-casella: GPO Starter incorporato

La possibilità di creare e utilizzare oggetti Criteri di gruppo Starter prima è diventato disponibile nella versione Vista della console Gestione criteri di gruppo. L'idea dietro un oggetto Group Policy Starter è che un amministratore può creare un punto di partenza per altri amministratori da utilizzare per la creazione i GPO. L'architettura fondamentale e la funzionalità non è stato modificato molto in questo nuovo aggiornamento, ma una nuova distinzione è rilevante.

In particolare, quando si utilizza un computer Windows 7 o Windows Server 2008 R2 per creare il contenitore dell'oggetto Starter, il contenitore viene popolato automaticamente con alcuni GPO Starter incorporato. Questi GPO Starter seguire le procedure consigliate Microsoft e Windows Server 2008 Security Guide sono mappati. Ad esempio, uno di questi GPO Starter incorporato è per un client di organizzazione medio (EC) e un altro, con un approccio più bloccata, viene chiamato specializzato protezione limitata funzionalità (SSLF).

Windows 7 e Windows Server 2008 R2 includono Starter GPO per l'utente e il computer. Questi GPO Microsoft creato di Starter sono inoltre disponibili (in formato leggermente meno recente) per Vista e Windows XP SP2.

Oltre le funzionalità di base

Ora si parla di alcune delle aree di maggiore controllo, viene visualizzato quando si lavora con Windows 7 o Windows Server 2008 R2 come client. E quando si pronuncia "client"In questo caso, intendo per "il computer riceve le direttive di criteri di gruppo"(anche se si tratta di un computer Windows Server 2008 R2).

Un'addizione grande è di circa 300 nuove impostazioni, di cui 90 o operazione sono destinate solo Internet Explorer 8 (che è disponibile per computer Vista e Windows XP). Altre modifiche includono la gestione delle impostazioni di nuove e aggiornate per BitLocker, BitLocker Vai, una barra delle applicazioni aggiornata, servizi di desktop remoto (utilizzato per chiamare servizi terminal), BranchCache, gestione remota Windows (WinRM) e heap di altri controlli. Non essere in grado di esplorare tutti i nuovi controlli in questo articolo, ma fornirà un aspetto personale e di chiusura di in alcune pagine preferite.

Aggiornate le preferenze di criteri di gruppo per opzioni risparmio energia

Uno dei motivi principali IT geeks autunno in amore con criteri di gruppo è la quantità di controllo che consente di esercitare sul desktop. Quando l'elemento attivo principale dei criteri di gruppo è le impostazioni di recapito, tuttavia, questi geeks IT appassionato di controllo può talvolta avere difficoltà a spiegare a responsabili perché criteri di gruppo ha il valore non elaborato "dollari e utile." In un'area dei criteri di gruppo, tuttavia, reale risparmi sui costi può essere promessa (se utilizzato correttamente): impostazioni di risparmio energia.

Configurare correttamente le impostazioni di risparmio energia di desktop e portatili, gli amministratori IT possono salvare in genere le società migliaia di dollari all'anno. Criteri di gruppo consente tale configurazione semplice.

Nella figura 5 vengono visualizzati le opzioni di risparmio energia disponibili nel Windows 7 (e il Windows Server 2008 R2) GPMC.

fig5.gif

Nella figura 5 nuovo piano di risparmio energia (Windows Vista e versioni successive) della finestra di dialogo Proprietà. (fare clic sull'immagine per ingrandirla)

Osservare con attenzione il titolo della finestra di dialogo in di figura 5. Si noterà che è visualizzato il nuovo piano di risparmio energia (vista e versioni successive) proprietà. Dire che è che queste impostazioni sono valide per entrambi Vista e Windows 7. Ecco l'avvertenza: I computer client Windows 7 e Windows Server 2008 R2 saprà cosa fare con queste direttive subito;Non vista. Vista semplicemente ignorerà le direttive (anche se la funzionalità è denominata chiaramente come Windows Vista e versioni successive). Ecco perché vista deve essere un aggiornamento al più presto-a--rilascio alle estensioni lato client delle preferenze di Criteri gruppo sottostante. Una volta disponibile e applicato, computer Vista verrà adottare queste direttive appena disponibile.

Aggiornato le preferenze di criteri di gruppo per operazioni pianificate

Analogamente all'aggiornato le impostazioni di piano di risparmio energia descritti in precedenza è ulteriori funzionalità di programmazione delle attività nella console GPMC in Windows 7 e Windows Server 2008 R2. Nella figura 6 vengono illustrate le nuove opzioni per la pianificazione delle attività: Pianificare attività (Windows Vista e versioni successive) e immediata delle operazioni (Windows Vista e versioni successive).

fig6.gif

Nella figura 6 GPMC nuova programmazione delle attività Opzioni in Windows 7. (fare clic sull'immagine per ingrandirla)

Analogamente alle impostazioni piano di risparmio energia, Windows 7 computer pronti utilizzare queste impostazioni. Computer Vista dovrà attendere per un aggiornamento che consentirà di utilizzare queste impostazioni.

Criteri di restrizione software aggiornato: AppLocker

Il nome in dettaglio AppLocker è criteri di restrizione software versione 2 o SRPv2. Nell'interfaccia di criteri di gruppo e nella documentazione, tuttavia, si noterà questa nuova funzionalità denominata semplicemente AppLocker.

In breve, l'obiettivo di AppLocker è per moderne organizzazioni IT dettare il software che non devono essere eseguito sul proprio computer di Windows 7 (e versioni successive) o deve. Il criteri di restrizione software (SRP) originale è stato un processo appropriata, ma AppLocker accetta le restrizioni software al livello successivo. Una chiave nuova AppLocker capacità è di consentire o limitare il software nel server di pubblicazione del software. Per usufruire di questa nuova funzionalità, il software che si desidera consentire o limitare deve essere firmato digitalmente (per ulteriori informazioni su AppLocker, vedere Greg Shields'Appassionato di colonna All Trades, "AppLocker: Del è primo panacea?").

Quindi utilizza la finestra di dialogo Crea regole eseguibile, impostare regole per vari editori. Ad esempio, è possibile creare una regola specificando che è OK per eseguire Adobe Reader, purché la versione 9.0 o successiva. È possibile spostare su un dispositivo di scorrimento verticale per specificare che tutte le versioni, nomi di file, e/o prodotti o publishers può essere valido in sistemi di destinazione. Oppure può essere specifico con la casella di controllo utilizza valori personalizzati.

Ulteriori informazioni

Come si può vedere, Windows 7 e Windows Server 2008 R2 portare numerosi miglioramenti dei criteri di gruppo. Dalle impostazioni del criterio 300 nuovo, per i due aggiornato preferenze di criteri di gruppo, per l'integrazione di Windows PowerShell, c'è molto a Preferiti. Per ulteriori informazioni su criteri di gruppo in Windows 7 e Windows Server 2008 R2, è possibile estrarre il blog di del team Criteri di gruppo, così come risorse blog e formazione in di GPanswers.com.

Jeremy Moskowitz è un MVP per criteri di gruppo. Viene eseguito GPanswers.com, un forum della comunità per criteri di gruppo e di training centinaia di amministratori ogni anno nelle classi suo principale di criteri di gruppo. Jeremy è inoltre fondatore di Software PolicyPak (di PolicyPak.com), che rende un componente aggiuntivo innovativo alle applicazioni di terze parti di controllo mediante i criteri di gruppo.