Windows Vista
Windows Vista 中更强大的组策略
Jeremy Moskowitz
概览:
- 组策略的基础架构
- 改进了网络识别特性
- 新增的组策略功能
Windows Vista 中彻底更新了组策略的基础架构。然而当 Windows Vista 在全世界的组织中部署时,许多管理员可能并不会发现组策略功能的全新变化到底给组策略的操作
带来了什么变化。不过管理员们将会发现,Windows Vista™ 的组策略比以前 Windows 版本中的组策略更加强大。
在 Windows Vista 之前,组策略的处理过程在一个称为 winlogon 的进程中发生。Winlogon 有许多作用,其中包括让用户登录到桌面,以及维护各种各样的组策略操作。现在组策略有了自己的 Windows® 服务。而且更为牢固,这意味着无法停止该服务,管理员也无法获取组策略的权限所有权来将其关闭。这些更改增强了组策略引擎的整体可靠性。
而这仅仅是开始。让我们更深入地来看看对新的组策略所做的一些重大更改。
改进了网络识别特性
在 Windows Vista 之前,组策略引擎会尝试判断您是通过低速链路还是高速链路登录系统。然后它会据此来帮助设置要使用的策略设置。如果使用低速链路,组策略不会将全部组策略设置发送给系统,因为全部发送要耗费相当多时间进行下载。这种辅助方式在新的组策略中仍然存在。然而,所做的改变是计算当前网络带宽的方法。
确定这个速度的方法是向域控制器发送网际控制消息协议 (ICMP) Ping 数据包。这种方法在实际应用中会出现许多问题。第一,许多管理员会关闭路由器上的 ICMP。第二,如果连接使用了高延时链路(如卫星),那么计算结果就不可靠。在这些情况下,组策略引擎没有任何有保证的方法来确定该链路是否真正是高速链路。
而且,当机器从休眠或待机模式恢复时,组策略引擎完全无法知道所发生的变化。组策略引擎也不会知晓您是不是断开网络六个月后又突然拨入网络。使用运行 Windows XP 或 Windows 2000 的机器,用户可以拨号上网、收取电子邮件然后断开连接—所有这些操作都不会刷新组策略。大多数管理员都希望,能够在从休眠或待机状态恢复的系统或长期断开连接后重新拨号的计算机上,根据需要执行组策略刷新。
经过更新的 Windows Vista 组策略具有足够的智能程度,可以实时识别网络连接情况。主要变化在于,在 Windows Vista 中,组策略引擎使用了 Network Location Awareness 2.0 (NLA) 处理程序。一旦有域控制器可用,NLA 服务就会向组策略引擎发出通知。而且,在这种情况下,会根据需要执行组策略刷新。
多个本地 GPO
在 Windows Vista 面世之前,系统仅支持一个本地组策略对象 (GPO)。如果您在命令提示符中键入 GPEDIT.MSC,然后更改某些设置,那么所做的更改会影响到使用这台机器的所有用户和管理员。这样就常常会出现问题,比如以下情形:您要从开始菜单中删除普通用户的 Run(运行)命令,但要为管理员保留该命令,这就无法实现。
新的多个本地 GPO 工具使用 GPO 层解决了这个问题。这个功能很可能主要在没有加入 Active Directory 域的系统上使用。然而,公司用户可能同样会发现这个功能很有用。
新的多个本地 GPO 工具基于层,可能稍有点复杂(见图 1)。仍然有一个默认的本地 GPO,应用于本地计算机系统环境并影响系统上的所有用户。这个 GPO 用于定义 Computer Settings(计算机设置)和 User Settings(用户设置)。
图 1** 用户的全部本地组策略 **
第二层会影响本地系统管理员组的成员或本地系统上的非管理员。根据定义,一个用户帐户不能同时属于这两个组。这个层会判断该用户是一个本地系统管理员还是一个普通用户,然后应用相应的 GPO(管理员或非管理员)。第三层会影响明确指定的本地系统用户账户。
所以本机上的任何一个用户都可能受到三个本地 GPO 的影响。例如,您可以使用这三个层来为特定机器上的每个用户提供设置,较多的设置只影响该机器上的非管理员,而最终设置只影响该机器上的一个用户。
当然,如果系统已经加入一个 Active Directory® 域,那么该 Active Directory 组策略对象会优先于本地策略。还应注意,域管理员可以选择关闭 Windows Vista 的所有本地 GPO 过程。
错误消息和故障诊断
Windows Vista 具有全新的事件日志系统。组策略引擎利用这一新的 Windows Eventing 6.0 系统(通常称为“事件日志”)并将事件分别归入两组特定的日志中。我们熟悉的系统日志(现在是管理日志)中包含了各种组策略错误。如果组策略引擎发生了一个错误,那么这个错误将会被记入系统日志,并说明来自组策略服务(而不是 Userenv 进程)。
新的应用程序和服务日志(这是一个操作日志)是特别为组策略设置的,用于存储操作事件。为了方便阅读,会在这个日志中列出组策略引擎执行的每个步骤,这个日志也因此基本上取代了使用不便的 userenv.log 故障诊断文件。
ADM 和 ADMX
从 Windows NT® 4.o 时代开始,ADM 文件就用于为组策略可执行的操作提供基础定义模板。ADM 文件并不能管理组策略中的所有操作,但它们可用于除 Computer Configuration(计算机配置)| Administrative Templates(管理模板)之外的 User Configuration(用户配置)| Administrative Templates(管理模板)下的所有配置。
从功能上来说,这些 ADM 文件有一些缺陷。在 Windows Vista 之前的 Windows 版本中,每次创建一个新的 GPO 时,都要将大量 ADM 文件复制到每个 GPO 的文件夹(位于 SYSVOL 中)中,每个 GPO 的这个文件夹都达到大约 5MB 大小。由于有许多 GPO,所以在 SYSVOL 下会放置许多重复的系统模板文件,进而这些 5MB 大小的数据块中创建了大量副本。
此外,ADM 文件与语言相关联。一个 ADM 文件是用一种语言创建的,任何使用该文件的用户都必须使用预定的语言选项。
Windows Vista 中的组策略解决了这些问题,它引入了一种新的基于 XML 的格式用于策略定义文件,这种新格式称为 ADMX。ADMX 文件本身不与语言关联。然而,它们必须配合使用某种语言特定的 ADML 文件。您只需要添加更多的 ADML 文件与一个 ADMX 文件配套,就可以方便地添加多种语言。
ADMX 格式支持中心库。这样就消除了所有重复信息的复制操作,使得更新 ADMX 文件的操作更为方便。假设要更新一个 ADMX 文件,可能要安装 service pack—您只需将更新的文件放入中心库即可。该域中使用 Windows Vista 工作站的所有组策略管理员都可以访问这个更新的 ADMX 文件。而在以前,您需要确保每个管理员的机器上都有所有更新的 ADM 文件的正确副本,那时,这已经是一个相当严峻的挑战了。
域管理员需要在 SYSVOL 手动创建中心库,要为各个 Active Directory 域创建一次。创建了中心库之后,使用 Windows Vista 机器的所有管理员创建和管理 GPO 时都会自动使用这个中心库。请注意这是 Windows Vista 的一个特有功能,Windows Vista 机器要加入一个 Active Directory 域检查是否存在中心库。您不需要等待代号为 Longhorn 的下一个 Windows Server® 版本,也不需要将您的用户的机器都转换到 Windows Vista。不管域是基于 Windows Server Longhorn、Windows Server 2003 甚至 Windows 2000,都可以进行该操作。为了使用中心库,您只需要创建中心库,然后使用 Windows Vista 机器来创建或管理 GPO。
我们已经说过,ADMX 和 ADML 文件都基于 XML。XML 的主要优点是采用了业界标准语言。有必要指出的是,虽然还没有 ADMX 图形编辑器(微软也没有发布这样一个编辑器的计划)。也没有可用于将您的自定义 ADM 模板从 ADM 转换为 ADMX 的工具。
Windows Vista 将附带大约 130 个 ADMX 文件,这些文件将取代以前的 Windows 版本附带的 6 到 8 个 ADM 文件。这些文件位于 \Windows\PolicyDefinitions 目录,如图 2 所示。请注意这些 ADML 文件存放在指定语言的子目录下,如 en-US 目录下存放美国英语版本。
图 2** 在 \Windows\PolicyDefinitions 目录下的 ADMX 文件 **(单击该图像获得较大视图)
组策略管理控制台
Group Policy Management Console,即 GPMC,需要下载后安装到 Windows XP 和 Windows Server 2003 上。GPMC 是一个可编写脚本的 Microsoft 管理控制台,提供了一个可以简单管理组策略的具。。
GPMC 现在已完全成为 Windows Vista 的组成部分。这意味着只要您准备创建或编辑 GPO,您都能方便地使用这个最适宜该任务的工具。只要在 Windows Vista Start(开始)| Search(搜索)命令提示符下键入 GPMC.MSC,就可以开始创建或编辑过程了。
要管理的新内容
Windows Vista 带有大约 800 种新的策略设置。这些策略设置可划分为多个类别,其中有许多您已经了解并在使用。但 Windows Vista 还加入了一些很棒的新类别,这些类别完全没有出现过或缺少组策略控件。
组策略增强的方面包括有线和无线联网策略、Windows 防火墙和 IP 安全、打印管理、桌面外壳、远程协助和 Tablet PC。请注意更新后的有线和无线策略可能要求进行全面的方案更新(有关这方面的详细信息,请参阅 microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx)。
Windows Vista 组策略中新增的控制范围包括可移除存储设备管理、电源管理、用户帐户控制、Windows 错误报告、网络访问保护以及 Windows Defender。
要控制这些特定的影响 Windows Vista 机器的方面,您必须使用 Windows Vista 机器(或 Windows Longhorn Server 机器)来创建或编辑 GPO。这是因为较早的操作系统无法识别这些 Windows Vista 特有的新设置。
探究其中任何一个方面都需要整篇文章的篇幅,所以这里无法深入探讨每个方面。不过,可移除存储设备管理功能和电源管理功能(见图 3)特别值得一提。我想这些功能将给所有管理员带来巨大便利。总之,这些方面可以合理细致地管理可以连接到 Windows Vista 的设备和应用到便携式计算机、台式机和显示器的电源设置种类,从而可用来节约公司开支。
图 3** 通过组策略加强电源管理 **(单击该图像获得较大视图)
使用 Windows Vista 中新增的电源管理设置,管理员可以选择关闭视频显示器,或将非活动的视屏显示器设置为低能耗的“睡眠”模式。发表在环境保护局的能源之星网站上的论文显示,通过控制显示器的耗电,每台显示器每年能节省 10 到 30 美元。当您的公司里有几百台或者几千台显示器时,节约的费用就确有意义了。
至于可移除的存储设备管理,请考虑以下情况:管理员希望允许学生使用他们的 USB 闪存来存取学期论文、课外作业或其他位于任何校园机房工作站上的文档。然而,由于可能使用不当,以及潜在的安全风险,应禁止学生在校园机房工作站上对 USB 驱动器进行写入操作—当然,除非是经过学校批准的 USB 驱动器。使用 Windows Vista 组策略设置,可以进行如此细致的设备管理。
总结
您能看到,Windows Vista 管理功能的这些改进是彻底而全面的。管理员会发现,Windows Vista 组策略提供了强大灵活的配置管理功能,并显著增加了可配置的设置和新资源,从而提高了系统的安全性(实际上降低了成本)。
组策略的前景展望
当 Windows Vista 上市时,您将或多或少看到本文介绍的各种功能。不过,组策略团队已经在考虑下一个将推出的版本了。更多的组策略功能很可能出现在 Windows Longhorn Server 设计进度表中。虽然 Windows Vista 最初上市时不具备这些功能,但它们很可能通过 Service Pack 或其他一些加载项方法添加到 Windows Vista 中。所以,尽管这些即将提供的功能可能发生变化,但有三个重要方面的改进已经确定。而且要澄清的是,没有 Windows Longhorn Server 这些功能可以正常使用。
注释 一个备受关注的特性是为每个 GPO 或任何特定的组策略设置的用途增加注释的功能。的功能现在,进行注释的唯一方法是将您的 GPO 和设置记录到电子数据表等工具中,然后再添加注释。增加输入注释的功能将会很受欢迎。
模板 有时一个管理员希望为其他管理员指定一个创建自己的 GPO 的起点。组策略模板将提供这个功能。使用模板开始创建过程,管理员就能够继续创建他们自己的定制 GPO。Microsoft 很有可能将常见方案添加到最初的模板组中,并提供如何控制各类机器的具体指导。(有关该功能的详细信息,请参阅常见方案文档和文件。)
搜索和筛选器 由于策略设置众多,因此要找到所需的特定策略设置有时是相当不容易的。幸运的是,将要提供的搜索功能将使得按照策略设置的标题、说明文字和注释进行搜索更为方便。您还能一目了然地得知在 GPO 中启用或禁用的策略设置,从而能够更方便地快速更改错误的 GPO。
您可以访问 Windows Server Feedback Portal 提交更多的组策略功能请求,网址为 windowsserverfeedback.com。
Jeremy Moskowitz是 MCSE 和组策略方面的 MVP,他管理着 GPanswers.com,这是一个关于组策略的社区论坛。他还负责一个为期两天的组策略深入培训课程。他的最新著作是《组策略:配置文件和智能镜像》(Group Policy, Profiles and IntelliMirror) 第三版 (Sybex, 2005)。请通过 www.GPanswers.com 联系 Jeremy。感谢 Microsoft 组策略团队的 Mark Lawrence 为写作本文提供的帮助。
© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.