Windows 7 可管理性概述
应用到: Windows 7
Windows 7 引入了许多可管理性增强功能,这些增强功能可通过帮助增加自动化、提高用户生产效率以及提供灵活的管理控制来满足合规性要求,从而降低总拥有成本。本文档提供有关所有这些改进的概述。
.gif "note") 备注 |
|---|
| 有关本文档的可下载版本,请访问 Microsoft 下载中心(可能为英文网页)。 |
IT 专业人员通常需要负责重复且耗时的任务。Windows 7 全面的脚本功能可通过自动化这些任务提高 IT 专业人员的生产效率,从而减少错误同时提高管理效率:
Microsoft(R) Windows PowerShell(TM) 2.0 可使 IT 专人员通过网络在本地 PC 或远程 PC 上轻松创建和运行脚本。自动化复杂的任务或重复性的管理及疑难解答任务。
组策略脚本可使 IT 专业人员以自动化的方式管理组策略对象 (GPO) 和基于注册表的设置,从而提高 GPO 管理的效率和准确性。
除了强大的脚本功能,Windows 7 还包含多个可提高用户生产效率并降低成本的功能:
内置的 Windows 疑难解答程序包可使最终用户独立解决许多常见问题,而 IT 专业人员则可以创建自定义的疑难解答程序包,从而将此功能扩展为内部应用程序。
将 Windows 返回到较早状态时,会通知用户对系统还原工具的改进可能会影响到的应用程序。
新问题步骤记录器可使用户记录可重现问题的向导式的屏幕截图,为 IT 专业人员解决问题提供方便。
资源监视器和可靠性监视程序的改进可使 IT 专业人员更快地诊断性能、兼容性和资源限制问题
对于需要满足不断增长的安全需求和合规性要求的 IT 部门,Windows 7 还支持下列功能:
AppLocker(TM) 可使 IT 专业人员更加灵活地设置应用程序和脚本用户用于运行和安装的策略,提供更加安全和可管理的桌面。
审核功能方面的改进可使 IT 专业人员使用组策略配置更全面的文件和注册表访问的审核。
管理员能够通过组策略要求用户使用 BitLocker To Go(TM) 对可移动的存储设备加密。
组策略首选项可定义用户可以更改的默认配置,并提供对映射网络驱动器、计划任务和其他不为组策略感知的 Windows 组件的集中管理。
DirectAccess 能够将移动计算机与内部网络无缝连接,以使 IT 专业人员在用户连接到 Internet 时管理这些计算机。
总之,Windows 7 中引入的功能改进能够减少 IT 专业人员花费在维护和疑难解答上的时间、提高用户生产效率并使 IT 部门更好地满足合规性要求。
提高自动化
提高 IT 专业人员工作效率最好的方法之一是使用自动化。通过使用自动化,以前需要花费 IT 专业人员几个小时的任务能够在几秒钟之内完成。通过检测问题并自动执行步骤解决问题,完全可以实现 IT 专业人员以前手动执行的流程的自动化。另外一个好处是自动化过程还能够减少人工出错的可能性。
脚本对 IT 专业人员而言是最灵活和最强大的自动化工具,因此 Windows 7 中包含改进版本的 Windows 脚本环境:Windows PowerShell 2.0。与专为全职开发人员设计的传统编程语言不同,PowerShell 是为系统管理员设计的脚本语言,它不需要理解复杂的开发语言,如 Microsoft Visual Basic(R)、Visual C++(R) 或 C#。
由于 PowerShell 可以使用 Windows Management Interface (WMI),因此脚本几乎可以执行任何 IT 专业人员希望自动执行的管理任务。可以从 PowerShell 调用命令行工具,它允许对支持管理的系统各个方面的完全控制权限。PowerShell 甚至可以利用完整的 .NET Framework,提供对数以千计的强大对象的访问权限。
若要开发或运行 PowerShell 脚本,必须将该脚本安装在计算机上。PowerShell 2.0 随 Windows Server 2008 提供,可通过下载用于 Windows XP、Windows Server(R) 2003 和 Windows Vista。在 Windows 7 中,PowerShell 2.0 内置在操作系统中,因此 IT 专业人员可以在运行 Windows 7 的计算机上创建、分发和运行 PowerShell 脚本,无需向其组织中的 PC 部署或服务其他软件。
管理员在 Windows 7 中使用 PowerShell 处理的部分任务包括:
在疑难解答之前,远程创建系统还原点
将计算机远程还原到系统还原点,以解决难以解决的问题
远程查询已安装的更新
使用事务编辑注册表,确保已实施一组更改
远程检查可靠性数据库的系统稳定性数据
以下部分介绍对 Windows 7 中 PowerShell 的关键改进,以帮助 IT 专业人员自动执行耗时的任务。
PowerShell 集成脚本环境
PowerShell 脚本是标准的文本文件。在 Windows Vista 和较早版本的 Windows 中,记事本作为内置编辑器使用。虽然记事本是快速编辑文本文件的理想选择,也能够满足编写脚本的要求,但是更加强大的编辑器会使 IT 专业人员更加有效地学习、创建和调试脚本。
Windows 7 提供的 PowerShell 集成脚本环境 (ISE) 是一种图形 PowerShell 开发环境,包含调试功能和交互式控制台,如图 1 中所示。
.jpg "配置向导的开始屏幕")
**图 1:**Windows PowerShell ISE
该编辑器提供了多个可简化脚本开发的功能:
**集成环境。**交互式 Shell 任务的一站式服务,还可用于编辑、运行和调试脚本。
**语法着色。**以不同的颜色显示关键字、对象、属性、cmdlet、变量、字符串和其他令牌,可提高可读性并减少错误。
**Unicode 支持。**与命令行不同,ISE 完全支持 Unicode、复杂脚本和从右到左的语言。
**选择性调用。**用户可以选择并运行 PowerShell 脚本的任何部分,并在输出窗格中查看结果。
**多个会话。**用户在 ISE 中可以最多启动 8 个独立会话(PowerShell 选项卡)。此功能可以使 IT 专业人员从同一应用程序管理不同环境下的多个服务器。
**脚本编辑器。**脚本编辑器包括选项卡完成、自动缩进、行编号、搜索和替换以及转到下列行等其他功能。
**调试。**集成的可视脚本调试程序可使用户设置断点、单步调试脚本(Step Into、Step Over 和 Step Out),检查调用堆栈以及悬停在变量上方以查看其值。
**对象模型。**ISE 中包含完整的对象模型,它允许用户编写用于自行操作 ISE 的 PowerShell 脚本。
**自定义功能。**ISE 可实现完全自定义,从窗格的大小和位置到文本大小和背景颜色。
这些功能使学习编写脚本的过程变得更加轻松,并提供了更加强大的全新开发环境。
PowerShell Cmdlet
Cmdlet(发音为 command-lets)是 PowerShell 最强大的功能之一。cmdlet 是面向任务的命令,可在 Windows PowerShell 环境中使用。例如,PowerShell 包含的 cmdlet 能够:
将文本附加到文件
读取和编写 XML 文件
管理服务
管理文件和文件夹
PowerShell 2.0 支持超过 500 种的新 cmdlet,它们可用于管理客户端计算机和服务器、编辑注册表和文件系统、执行 WMI 调用以及连接强大的 .NET Framework 开发环境。还可以通过创建自定义 cmdlet 扩展 PowerShell 或使用社区开发的扩展。
PowerShell 远程处理
过去,为了管理远程计算机,需要通过远程桌面与该计算机连接。这样使大规模(或自动化)管理变得十分困难。PowerShell 2.0 引入的 PowerShell 远程处理可使您对自动或交互式远程管理运行 PowerShell 命令。 如今,高效的管理员能够执行网络中绝大部分的计算机管理任务。通过使用 Windows 7 和 PowerShell 2.0,可以使用标准管理协议 WS-Management (WS-MAN) 对远程计算机运行 cmdlet。此功能可使您创建在一个或多个远程计算机上运行的脚本并控制远程 PowerShell 会话,以便直接对该计算机执行命令。此功能的用途包括:
在技术支持呼叫期间创建系统还原点,以便在必要时将计算机还原到当前状态
更改防火墙规则,防止计算机受到新发现的漏洞的攻击
对远程 Windows 7 计算机运行 PowerShell 脚本的另一个选项是使用在 GPO 中定义的登录、注销、启动和关机脚本。较早版本的 Windows 仅支持指定这些脚本的命令文件。PowerShell 提供的功能远比命令文件的功能更加灵活和强大
PowerShell 事件
许多应用程序都支持对重要操作或事件的即时通知。这些通知通常以 WMI 事件或 .NET 对象上的事件的方式发布。此外,Windows 本身也会发布有关文件活动、服务、流程等帮助性通知。这些事件是许多诊断任务和系统管理任务的基础。在 Windows 7 中,PowerShell 2.0 通过侦听、操作和转发管理和系统事件来支持发布通知。IT 专业人员可以创建与系统事件同步(添加事件后立即响应)或异步(稍后)响应的 PowerShell 脚本。如果通过 PowerShell 远程处理注册事件,还可以将这些事件通知自动转发到中心计算机。
PowerShell 能够为您带来无限的灵活性。例如,可以在向某个位置添加文件或从中删除文件时创建执行目录管理的脚本。仅在多次添加某个特定事件,或指定时间内出现不同的事件时,才能创建执行管理任务的脚本。还可以创建对内部应用程序创建的事件做出响应的脚本,以执行组织需求特定的管理任务。
除了这些功能,PowerShell 事件还支持 WMI 和 .NET Framework 事件,这些事件中包含的通知比标准事件日志中的通知更加详细。例如,PowerShell 能够访问与启动和停止、进程启动和文件更改等服务有关的事件。
自动管理 GPO
大中型企业中的 IT 专业人员通常需要创建许多 GPO,用于定义从计算机桌面到屏幕保护程序超时的计算机设置。Microsoft 提供的组策略对象编辑器和组策略管理控制台 (GPMC) 工具可使管理员创建和更新 GPO。但是,由于存在数以千计可能的设置,更新多个 GPO 将是一项耗时、重复且容易出错的任务。
在 Windows 7 之前的版本中,自动执行 GPO 仅限于 GPO 管理本身。例如,IT 专业人员可以创建或链接 GPO,但是不能更改其中的配置设置。若要访问 GPMC 应用程序编程接口 (API),还需要应用程序开发人员的技能集。
在安装 Windows Server 2008 R2 远程服务器管理工具 (RSAT)(可从包含面向 Windows 7 的 GPMC 的 microsoft.com 下载)后,可以使用 PowerShell 实现自动执行 GPO 管理和基于注册表设置的配置(可通过 ADM 或 ADMX 管理模板获取这些设置)。此功能可使 IT 专业人员通过下列 cmdlet 完全控制 GPO:
GPO Cmdlet
Backup-GPO |
Block-GPInheritance |
Copy-GPO |
Get-GPO |
Get-GPOReport |
Get-GPPermissions |
Get-GPPrefRegistryValue |
Get-GPRegistryValue |
Get-GPResultantSetOfPolicy |
Get-GPStarterGPO |
Import-GPO |
New-GPLink |
New-GPO |
New-GPStarterGPO |
Remove-GPLink |
Remove-GPO |
Remove-GPPrefRegistryValue |
Remove-GPRegistryValue |
Rename-GPO |
Restore-GPO |
Set-GPLink |
Set-GPPermissions |
Set-GPPrefRegistryValue |
Set-GPRegistryValue |
Get-GPInheritance |
可能您的组织需要针对多个业务部门创建不同的 GPO,并且每个 GPO 都根据下列两个不同的设置而变化:屏幕保护程序开始前的延迟以及解锁屏幕保护程序是否需要密码。在拥有 6 个业务部门的组织中,每个部门都有不同的业务要求,管理员通常需要为每个部门手动创建 GPO 并在 UI 中定义设置,这是一项非常耗时的任务。通过使用 Windows 7 和 PowerShell,管理员能够编写使用数组的 PowerShell 脚本,该数组包含业务单位名称和唯一 GPO 设置。然后该脚本将循环访问数组,并在迅速创建所有的 GPO。
通过组策略执行 PowerShell
随 Windows 2000 交付的组策略允许管理员在用户登录或注销以及计算机启动和关机时执行基于批处理文件的脚本。从而使管理员在这段时间内配置环境部件或执行其他程序。Windows 7 同样引入对执行 PowerShell 脚本的支持,它为管理员提供了更全面的工具,支持他们在这些系统事件期间进行实时配置。
保持用户的高效性
对大多数人而言,计算机已经成为他们日常工作中必不可少的一部分。如果计算机问题层出不穷,这些人员的工作效率会迅速降低。很明显,IT 专业人员必须迅速解决他们所遇到的问题;但是,在解决问题时所需的 IT 相关成本也必须降至最低。
Windows 7 提供了许多新增和改进的工具,它们将有助于用户和 IT 专业人员在不触及底线的情况下回归到高效状态。用户可以在不呼叫技术支持的情况下独立解决许多问题;在需要 IT 帮助时,可使 IT 专业人员迅速诊断并解决问题。
对用户而言,高级疑难解答功能可以使他们轻松解决多数常见问题,而 IT 或开发人员也可以开发自定义疑难解答程序包,以解决自己所在环境中的常见问题。通常,IT 专业人员需要花费一定的时间向用户了解导致问题出现的原因。Windows 7 新的问题步骤记录器可使用户记录自己所采取的步骤,以便重现问题,这样会在很大程度上提高工作效率。改进版本的系统还原和 Windows RE 自动安装能够减少解决系统和启动问题所需的时间。对 IT 专业人员而言,增强版本的资源监视器和可靠性监视程序能够减少诊断问题所需的时间。
高级和自定义疑难解答功能
所有 IT 组织的共同目标是在确保提高用户效率的同时降低成本。实现此目标的方法之一是在尽可能减少 IT 专业人员干预的情况下迅速解决问题。Windows 7 新增的 Windows 疑难解答平台是一个可扩展和功能强大的平台,IT 部门、软件开发人员和第三方都可以通过使用 PowerShell 自定义该平台。Windows 疑难解答平台包括两个关键组件:Windows 疑难解答程序包和 Windows 疑难解答程序包生成器。
Windows 疑难解答程序包
Windows 疑难解答程序包是 PowerShell 脚本的集合,这些脚本可尝试诊断问题并在用户批准的情况下解决该问题(如果可能)。疑难解答程序包还能够执行对特定功能的日常维护。 Windows 7 包括 20 个内置疑难解答程序包,可解决 100 多种原因导致的问题。Microsoft 设计的疑难解答程序包涉及到 Microsoft 技术支持呼叫的前 10 个类别,其中包括电源效率、应用程序兼容性、网络和声音。如图 2 中所示,疑难解答程序包能够诊断各种复杂问题,其中包括由多种情况引起的复杂问题,并向用户提示如何解决这些问题。随 Windows 7 提供的 Windows 疑难解答程序包的列表显示在图 2 之后。
.jpg "IP 地址")
**图 2:**Windows 疑难解答程序包正在诊断问题
Windows 7 疑难解答程序包
Aero |
解决阻止计算机显示 Aero 动画和效果的问题 |
播放声音 |
解决影响计算机播放声音的问题 |
录音 |
解决影响计算机录音的问题 |
打印机 |
解决影响打印机使用的问题 |
性能 |
调整 Windows 中有助于提高整体速度和性能的设置 |
维护 |
清理未使用的文件和快捷方式并执行其他维护任务 |
电源 |
调整电源设置以延长电池寿命并减少电源消耗 |
家庭组网络 |
解决阻止查看家庭组中的计算机或共享文件的问题 |
硬件和设备 |
解决与硬件和设备有关的问题 |
浏览 Web |
解决阻止通过 Internet 资源管理器浏览 Web 的问题 |
安全地浏览 Web |
调整 Internet 资源管理器中的设置以提高浏览器的安全性 |
Windows Media Player 媒体库 |
解决阻止在 Windows Media Player 媒体库中播放音乐和电影的问题 |
Windows Media Player 设置 |
将 Windows Media player 重置为默认设置 |
使用 Windows Media Player 播放 DVD |
解决阻止在 Windows Media Player 中播放 DVD 的问题 |
使用 DirectAccess 连接到工作区 |
通过 Internet 连接到工作区网络 |
连接到共享文件夹 |
访问其他计算机上的共享文件和文件夹 |
到此计算机的传入连接 |
允许其他计算机连接到您的计算机 |
网络适配器 |
以太网适配器、无线网络适配器或其他网络适配器的疑难解答 |
Internet 连接 |
连接到 Internet 或连接到特定网站 |
程序兼容性疑难解答 |
解决不在此版本的 Windows 中运行的程序的问题 |
Windows 疑难解答程序包构建程序
Windows 疑难解答程序包构建程序(如图 3 中所示)是一种开发工具包,它随 Windows 软件开发工具包 (SDK) 一起提供,并包含可供 IT 专业人员和开发人员生成 Windows 疑难解答程序包的图形工具。此工具包能够简化将疑难解答程序包元数据和链接添加到 PowerShell 集成脚本环境(曾在本文的前面部分讨论)以供创作检测、解析和验证脚本的过程。由于 PowerShell 非常强大,因此几乎可以检查和配置 Windows 和应用程序环境的任何元素。可以通过使用组策略首选项(将在稍后讨论)将疑难解答程序包复制到本地硬盘来部署它们,也可以只将它们存储在中心文件服务器上。
.jpg "testlab.microsoft.com 的成员")
**图 3:**Windows 疑难解答程序包构建程序,Windows 疑难解答工具包的一部分
疑难解答可以由用户从帮助和支持中心或操作中心手动启动,如图 4 中所示。疑难解答也可以从应用程序内部启动,允许组织将 Windows 7 诊断工具设计为该组织行业应用程序的功能之一。IT 专业人员可以远程执行疑难解答程序包,并使用组策略设置限制用户诊断(而不是解决)问题。
.jpg "DNS 全名")
**图 4:**Windows 操作中心
IT 专业人员还能够定期运行疑难解答程序包进行自动维护。例如,可以使用疑难解答程序包删除临时文件,检查硬盘是否存在错误或确认系统时间。
Microsoft 可承载 Windows 联机疑难解答服务,该服务将向 Windows 7 的用户提供最新的疑难解答程序包以及产品随附的程序包的更新,以便诊断新发现的问题。管理员可以通过策略组禁用此功能。
和应用程序一样,可以使用受信任的证书颁发机构 (CA) 颁发的证书对疑难解答程序包进行签名。然后,管理员可以使用组策略设置仅从信任的发行者运行疑难解答程序包。疑难解答程序包可以分发给本地计算机或在 Intranet 网站上发布,也可以存储在共享文件夹中。
除了简化最终用户的疑难解答过程,管理员还可以使用疑难解答程序包加快复杂诊断和测试程序的速度,方法是从命令提示符以交互方式运行程序包或使用答案文件自动运行程序包。在这种情况下,管理员可以在登录到本地计算机时或通过网络以远程方式运行疑难解答程序包。
问题步骤记录器
通常情况下,疑难解答过程中最复杂的方面是重现问题出现时的条件,特别是当受影响的用户正在远程办公或通过电话沟通时。如果 IT 专业人员不能重现用户的问题,他们将无法轻松诊断问题的起因。
面对这一僵局,Windows 7 的解决方案是使用问题步骤记录器,如图 5 中所示。在出现可重现的问题时,用户只需运行该记录器就能够记录所采取的步骤。用户单击“开始记录”并重现该问题,在适当的位置输入备注,再单击“停止记录”,然后通过电子邮件将记录发送给 IT 专业人员或与 IT 专业人员共享该记录。
.jpg "1515293b-6d37-4de1-9a48-7989294fdc82")
**图 5:**问题步骤记录器
每次用户单击或输入时,记录器都会记录操作的屏幕截图以及相关的日志和软件配置数据。还会捕获用户对计算机上发生的某些情况说明的文本备注(未记录),例如响应速度慢或过多的页面调度。
问题步骤记录器将创建一个压缩在 zip 存档的 .MHT 文件(HTML 文件的一种,在单个文件中包含图像)。如图 6 中所示,IT 专业人员可以打开 .MHT 文件,查看屏幕截图并获取用户操作的准确说明。
.jpg "0fd95fdf-a725-4e78-98e1-f18a2086034b")
**图 6:**记录的问题步骤
问题步骤记录器能够帮助 IT 专业人员节约大量宝贵时间。此外,它还能够克服语言障碍,无论是否存在语言差异,IT 专业人员都能够诊断问题。
系统还原
用户有时可能会遇到一些可靠性问题。例如,安装时可能会更新版本不太可靠的驱动程序,或更新可能使用不兼容版本覆盖文件的应用程序。在某些情况下,卸载更新或应用程序不会取消所做的每项更改。Windows Vista 中包含的 Windows 系统还原可用于定期还原本地硬盘上的系统“快照”,或将其还原到下载系统更新或应用程序/设备驱动程序安装之前的某个点。
在回滚自还原点以来所做的所有系统更改时,以前版本的系统还原也会与该问题无关的系统更改执行逆向操作:
在系统还原点之后安装的应用程序和驱动程序将会删除
在系统还原点之后删除的应用程序和驱动程序将会还原
对用户或 IT 专业人员而言,使用以前版本的 Windows 通过还原到系统还原点来确定会受到影响的组件是件困难的事情。可以预见,当用户发现部分应用程序不再可用时一定会非常沮丧。通常,这些用户会呼叫技术支持中心寻求帮助,再次耗费 IT 专业人员的时间。 通过使用 Windows 7,用户或 IT 专业人员在将 Windows 7 回滚到较早的状态之前可以查看软件更改的列表(基于“添加/删除程序”中列出的应用程序),如图 7 中所示。通过提供更完整的系统还原结果说明,如删除本应保留的应用程序,IT 专业人员可以选择其他还原点或确定稍后将重新安装该应用程序。
.jpg "dd06aedf-2040-4062-b27c-eaddbe7b7243")
**图 7:**将会受到系统还原影响的应用程序的系统还原说明
在 Windows 7 中,还原点还可以从最终用户创建的系统映像获取(类似于 Windows Vista 中的完整 PC 备份),以允许系统还原及时回滚到比本地系统还原存储允许的更远的点。换句话说,外部硬盘的备份也可以用于还原点。
与 Windows 7 的许多其他方面一样,系统还原可使 IT 专业人员通过使用 PowerShell 进一步提高效率和生产率。PowerShell 能够创建系统还原点或将计算机还原到系统还原点,甚至可以远程执行这些操作。
因此,IT 专业人员在呼叫技术支持中心的同时,可以先连接到网络中的计算机并创建一个系统还原点,然后再 进行任何可能会对计算机的稳定性产生负面影响的更改。执行疑难解答或配置任务的脚本将自动创建系统还原点,以允许轻松还原所做的更改。最后,IT 专业人员可以使用 PowerShell 脚本将计算机还原到较早的系统还原点,甚至可以跨网络执行此操作。
Windows 恢复环境
IT 专业人员经常碰到的麻烦问题是计算机无法启动,这也是最令用户沮丧的情况,特别是无法立即得到工作人员支持的移动用户。如果用户无法启动 Windows,就无法访问软件疑难解答工具,更不用说诊断和解决问题。更重要的是,他们甚至无法提供重要的销售演示或创建预算。
为了帮助用户轻松解决启动问题,Windows Vista 引入了两种工具:Windows 恢复环境和启动修复工具。用户或 IT 专业人员可以通过从 Windows Vista DVD 引导计算机来启动 Windows RE。Windows RE 随附的工具通常能够自动解决启动问题,不需要 IT 专业人员进行疑难解答。
尽管 Windows RE 能够减少修复中断的 Windows Vista 实例所需的时间,但是许多用户没有 Windows Vista DVD,或者没有在 PC 硬盘的单独分区上安装 Windows RE。此外,Windows Vista 并不提供直接安装 Windows RE 的方法。如果远程用户呼叫支持中心的原因是移动计算机无法启动 Windows,那么 IT 专业人员将很难解决这个问题。但是,通过适当的规划,IT 专业人员可以在计算机硬盘的分区上安装 Windows RE,从而在不使用 Windows Vista DVD 的情况下提供 Windows RE。
和 Windows Vista 一样,Windows 7 也提供 Windows RE,其中包括改进版本的系统恢复工具,如图 8 中所示。最重要的改进是,Windows RE 能够作为 Windows 7 安装程序的一部分自动安装在本地硬盘上,确保在没有 Windows 7 DVD 的情况下也能够使用这些工具。现在,无论使用哪种方式安装 Windows 7,都能确保用户始终可以使用 Windows RE 以及诸如启动修复之类的工具。当然,即使硬盘不能正常工作,IT 专业人员仍然能够从 Windows 7 DVD 启动 Windows RE。
.jpg "5dc073f8-8d6c-4baa-91a6-c9739809ac56")
**图 8:**系统恢复选项,从 Windows RE 启动
在 Windows 7 中,如果远程用户无法启动 Windows,IT 专业人员可以告知用户从计算机硬盘启动 Windows RE 的流程。在这类情况下,系统恢复工具通常能够自动解决问题,无需任何手动疑难解答。用户在几分钟之内就能够启动 Windows 7。
如果用户希望从系统映像备份还原系统或将系统还原到出厂设置,这些工具还允许用户从恢复控制面板启动 Windows RE。恢复控制面板将引导用户完成从备份本地用户文件、将计算机重新启动到 Windows RE 及启动相应恢复应用程序的整个流程。(请参阅图 9。)由于可以从操作中心访问恢复控制面板,所以 IT 和支持专业人员能够通过电话轻松引导远程用户完成还原计算机的流程。
.jpg "22f7e303-484a-4da7-890d-4bd9b2b1f72a")
**图 9:**恢复控制面板屏幕,它为用户提供系统还原选项
资源监视器
为了更彻底地解决资源问题,IT 专业人员需要深入了解计算机的内部工作情况。问题越复杂,解决该问题所需的信息就要越详细。虽然任务管理器足以明确哪个进程正在占用大部分处理器时间,但是 IT 专业人员仍然需要一个更强大的工具来明确哪个进程正在生成大部分磁盘或网络 I/O,以解决当前问题。
Windows 7 中包括增强版本的资源监视器,该监视器能够按进程提供这类详细的资源利用信息。如图 10 中所示,此数据的显示格式有助于迅速访问大量信息,从而通过此数据轻松地深入了解进程特定的详细信息。
.jpg "041e2b48-99ac-4d3e-a2dc-b5acf9ac4fc6")
**图 10:**资源监视器
可以使用资源管理器迅速查看:
哪些进程正在占用大部分处理器时间和内存
SvcHost.exe 进程中承载了哪些服务
进程正在访问哪些句柄(包括服务、注册表项和文件)
进程正在访问哪些模块(包括 DLL)
哪些进程正在向磁盘读取和写入大量分数据
每个进程正在发送和接收的网络数据分别是多少
哪些进程正在侦听传入网络连接或打开网络连接
每个进程正在使用的内存分别是多少
此外,还可以结束进程并联机搜索有关某个进程的信息。通过使用资源监视器,IT 专业人员能够迅速确定性能和资源占用问题的来源,减少解决复杂问题所需的时间。
可靠性监视程序
Windows Vista 中引入了可靠性监视程序,它是一种工具,可提供与 PC 整体稳定性相关的系统事件的时间线。这些事件包括安装和删除软件和设备驱动程序、应用程序故障和不干净的关闭。可靠性监视程序可使 IT 专业人员迅速追踪到引起问题的系统更改,这对 IT 人员非常有用。
在 Windows 7 中,可靠性监视程序如今已经与问题报告和解决方案集成,能够更好地关联系统更改、事件和潜在的解析。在图 11 中,可靠性监视程序提供了有关特定日期的事件的详细信息,包括失败的应用程序安装和安全更新。
.jpg "d880fa99-9c23-4701-952e-b785d129ef47")
**图 11:**可靠性监视程序
Windows 7 还通过使用 Windows Management Interface 公开可靠性数据,来增强可靠性监视程序。通过使用 WMI,可以远程收集可靠性数据,并使用 PowerShell 脚本和 WMI 相关的 cmdlet 对这些数据进行处理。现在,无论是以主动方式还是在技术支持呼叫期间,IT 专业人员都可以利用 WMI 在整个网络中集中收集或检查 Windows 7 计算机的可靠性。
其他管理工具(如 Microsoft System Center Operations Manager)能够集中监视来自所有 Windows 7 计算机的可靠性数据。此外,还可以创建自己的 PowerShell 脚本,来监视可靠性并采取相应的操作。通过集中监视可靠性数据,即使用户不愿意呼叫支持中心,也仍然能够确认影响用户生产效率的不可靠的计算机。
灵活的管理控制
无论是政府法规、客户服务级别协议还是内部安全要求,许多组织都面临合规性要求,而且必须在整个组织集中定义和强制执行配置设置。Windows 7 中提供的改进功能和新技术有助于 IT 专业人员有效满足合规性要求:
AppLocker 通过提供灵活的发布者规则,可简化对用户能够运行的应用程序的控制。
改进的审核功能可使 IT 专业人员使用组策略配置要审核的文件和注册表值。
BitLocker 改进可提供数据加密强制执行,包括可移动存储设备。
组策略首选项还将组策略的范围扩展到通常无法通过组策略管理的应用程序和 Windows 组件,如映射网络驱动器、本地用户帐户密码和组成员身份、计划任务和注册表设置。最后,随着远程工作人员的大量增加,需要对没有直接连接到企业网络的移动 PC 强制执行配置设置,这对 IT 专业人员来说很关键。DirectAccess 可以保持移动 PC 与内部网络的连接状态,以允许 IT 专业人员下载软件更新、应用组策略设置并提供远程管理。
此外,这些改进还为 IT 专业人员提供了在解决当今大部分配置管理问题时所需的灵活性。
AppLocker
如果用户运行未经授权的软件,他们的计算机可能会因此变得难以管理并且面临巨大风险。计算机的运行速度也会变慢,这会降低用户的生产效率并生成更多的支持中心呼叫。并且最重要的是,运行这类软件是违背合规性规则的。
通过使用 Windows 7 中的 AppLocker,管理员将拥有比以往更多的灵活性,可以准确指定用户能够运行的应用程序和脚本。管理员还可以授予用户安装特定的应用程序的权限并限制他们安装其他应用程序的能力。这样可以使 IT 专业人员构建和保持更加标准化的桌面环境。
AppLocker 包含大量规则。它的发行者规则将基于应用程序的数字签名授予对该应用程序的访问权限,从而可使要运行的多个版本的应用程序服从单个规则(甚至包括尚未发行的未来版本)。如图 12 中所示,如果应用程序使用特定证书签名,则可以创建一个规则,允许用户运行该应用程序的 3.5 及更高版本。AppLocker 的发行者规则允许 IT 专业人员在不用更新规则的情况下部署新版本的应用程序,以提高生产效率。
.jpg "a95e454a-a9fc-43db-87e9-3e8e88d1e18d")
**图 12:**AppLocker 规则
增强的审核功能
Windows 7 提供了详细的审核功能,可使 IT 专业人员了解有权访问信息的人员、用户访问被拒绝的原因以及更改对象的人员。在以前版本的 Windows 中,详细审核只能通过脚本进行配置。在 Windows 7 中,可以使用组策略设置启用对子类别的审核,如图 13 中所示。该审核可以协助组织满足各项规范和业务要求。
.jpg "ff039bdd-e785-49f2-931b-cf7a2979acf0")
**图 13:**使用组策略配置审核功能
IT 专业人员还可以使用组策略设置配置要审核的文件、注册表项和其他对象。在以前版本的 Windows 中,IT 专业人员需要手动配置资源审核,或编写支持审核的脚本并分别在每台计算机上运行这些脚本。
强制数据加密
管理员可以使用组策略设置集中配置 BitLocker 和 BitLocker To Go,对可移动存储进行加密。部分配置选项包括:
指定系统卷、非系统卷和可移动存储的特定要求
要求强密码、智能卡或域用户凭据保护可移动存储设备
设置中等长度的 PIN,以便从系统卷引导
指定非系统卷的密码复杂性和长度要求
配置可以恢复非系统卷的方式
如图 14 中所示,要求对可移动存储设备进行 BitLocker 加密,同时仍然允许在只读模式下打开未加密的设备
.jpg "3ec29e1b-4a5f-4ac4-b83f-90356416f035")
**图 14:**要求对可移动驱动器进行 BitLocker 加密
组策略首选项
IT 专业人员可以使用组策略设置集中统一地对计算机进行配置。因为用户无权更改组策略设置,所以 IT 专业人员是托管这些配置的最佳人选。但是,组织可能并不认为计算机配置的所有元素都需要托管。通常,IT 部门只需要配置默认设置,但允许用户根据自己的喜好更改其他设置。例如,IT 部门可能会将移动计算机配置为当计算机的盖子合上时即进入待机模式。但是,由于个人喜好不同,一些用户可能不喜欢这种设置。
IT 专业人员通常会在部署之前指定操作系统映像中的默认值。通常情况下,他们必须配置许多不同的操作系统映像,以便为不同的用户组提供特定的默认设置。此外,IT 专业人员还可以创建用于映射网络驱动器、创建计划任务或定义注册表设置的脚本。无论使用哪种方法,管理所有这些不同的喜好是件麻烦的事情。
在 Windows 7 中,可以使用组策略首选项为不为组策略感知的 Windows 组件配置默认值,其中包括:
映射网络驱动器
计划任务
快捷方式
环境变量
电源选项
打印机
区域选项
文件夹选项
开放式数据库连接 (ODBC) 数据源
注册表设置
开始菜单设置
Internet 设置
本地用户和组
与传统的组策略设置不同,用户可以更改组策略首选项分配的默认值。IT 专业人员可以利用组策略首选项减少部署所需的 Windows 映像的数量,原因是他们可以定义组策略首选项来配置默认设置,而不是为不同的配置创建不同的 Windows 映像。
除了定义首选项,还可以创建、替换、更新和删除文件、文件组以及文件夹。如图 15 中所示,直观的用户界面允许您将网络中的文件同步到指定的目标位置。例如,可以使用此界面将自定义目录复制到每个用户配置文件的 %AppData% 文件夹中。文件夹界面允许您定期删除文件夹的内容,这样有助于清除临时文件。
.jpg "f8422b0c-8f6c-46d6-8cc9-f868c82ca714")
**图 15:**使用图形用户界面配置组策略设置
可以将组策略首选项分配到 GPO 中不同的用户或计算机组,无需使用 WMI 筛选器。例如,管理员可以配置仅适用于移动计算机的首选项。
许多组策略首选项都可以使用用户访问配置应用程序的用户界面进行配置。例如,可以使用组策略首选项配置 Internet 资源管理器选项,方法是使用与 Internet 资源管理器自身提供的用户界面类似的图形用户界面,如图 16 中所示。同样,可以使用类似于设备管理器的浏览器指定设备。
.jpg "e7747e2d-cf0a-464d-a9c4-b8c048df9f2c")
**图 16:**配置组策略首选项
但是,在组策略首选项和组策略设置之间仍然存在很大区别。
组策略首选项和组策略设置的比较
组策略首选项 |
组策略设置 |
|
强制 |
首选项是非强制性的;用户可以更改设置 |
设置是强制性的;用于更改设置的用户界面为禁用状态 |
灵活性 |
可轻松导入或创建注册表设置和文件的首选项 |
若要添加设置,需要应用程序支持和创建管理模板;用户无法创建用于管理文件或文件夹的设置 |
目标 |
可以将单个首选项作为特定用户和组的目标 |
目标用户需要编写 WMI 查询 |
用户界面 |
为大多数首选项提供熟悉、易于使用的界面 |
为大多数设置提供备用的用户界面 |
DirectAccess
移动计算机是 IT 部门面临的一大挑战,因为只有这些计算机连接到内部网络时才能对它们进行管理。远离总部办公或出游较长时间的用户可能几周甚至几个月都无法连接到内部网络。因此,这些移动计算机将无法下载更新的组策略设置、关键更新或反恶意软件定义。
通常,远程用户通过虚拟专用网络 (VPN) 与内部网络资源连接。但是,由于 VPN 需要许多步骤,而且身份验证也需要几秒钟(甚至是几分钟),所以有些用户认为使用 VPN 非常麻烦。
Windows 7 和 Windows Server 2008 R2 引入了 DirectAccess(请参阅图 17),这是一项新的解决方案,可使用户在远程工作时享受与在办公室相同的工作体验。DirectAccess 充分利用 IPv6 和 IPSec 等技术,在为企业提供安全灵活的网络基础结构的同时,可使远程计算机通过 Internet 自动、无缝地访问内部网络,无需连接到虚拟专用网络 (VPN)。
.jpg "d7b14915-7741-472b-9fb2-eca8e72371da")
**图 17:**Windows 7 中的 DirectAccess
例如,如果远程用户在本地的咖啡厅连接到无线热点,DirectAccess 将检测到 Internet 连接可用并自动建立与内部网络边缘的 DirectAccess 服务器的连接。用户将能够访问管理员已授予远程访问权限的内部资源,如内部共享、网站和应用程序。
IT 部门可在建立 Internet 连接时(或用户登录之前)通过更新组策略设置和分发软件更新来管理移动计算机。这种灵活性可以使 IT 专业人员定期维护远程计算机,并确保移动用户始终了解公司的最新策略。
用户数据通常通过文件夹重新定向存储在内部服务器并通过脱机文件和文件夹进行本地缓存,由于网络连接的持续性还可使所有文件都与服务器自动同步(备份)。用户将在很大程度上受益于 DirectAccess,因为它能够使移动计算机自动连接到内部资源。IT 专业人员也给予 DirectAccess 高度评价,因为该工具能够在用户连接到 Internet 时将移动计算机与内部网络连接,显著提高移动计算机的可管理性。这样,移动计算机能够始终保持连接、管理和最新的状态。
摘要
Windows 7 旨在通过提高自动化程度并提供能够迅速解决问题的工具,来降低成本并提高 IT 部门的生产效率。随 Windows 7 提供的 Windows PowerShell 2.0 是企业规模的脚本引擎,它可使 IT 专业人员实现系统管理各方面工作的自动化。IT 专业人员还可以实现创建和配置组策略对象的自动化,以简化具有复杂组策略结构的组织的策略定义。
Windows 7 还能够帮助用户提高产生效率。值得一提的是,IT 专业人员可以使用 PowerShell 创建自定义 Windows 疑难解答程序包,以便解决其特定环境中的常见问题。由于疑难解答可进行扩展,所以 IT 专业人员和行业应用程序开发人员可以设计可供用户访问的解决方案,并通过内部应用程序诊断和解决问题。用户可以使用 Windows 疑难解答平台独立解决问题,不需要呼叫支持中心。
对于仍然需要呼叫支持中心的问题,Windows 7 可支持 IT 专业人员迅速诊断和解决这些问题。正在为重现用户描述的问题而烦恼的人士将会受益于问题步骤记录器,它能够捕获向导式的屏幕截图,显示导致问题的用户操作步骤。对资源监视器和可靠性监视程序的改进可使 IT 专业人员迅速确认导致问题的进程以及可能导致这些问题的系统更改。对系统还原的更新可使用户或 IT 专业人员在激活还原点之前了解将会受到影响的应用程序和驱动程序。在默认情况下将安装 Windows 恢复环境,以便在紧急情况或 Windows 7 DVD 不可用时访问它。
Windows 7 还包括对组策略的重要增强,IT 部门可以使用该工具集中管理运行 Windows 的计算机。如果希望拥有更易于管理和安全的桌面环境,并且该桌面环境可以限制用户能够运行的应用程序,AppLocker 将使您创建更加灵活的规则,并且这些规则适用于任何版本的应用程序(甚至尚未发布的版本)。组策略首选项可为用户定义默认设置,它能够提供在不用修改部署映像的情况下建立初始配置的简单方法,并且用户可以更新这些配置。还可以使用组策略要求 BitLocker 加密,甚至对可移动存储设备进行加密,如 USB 闪存驱动器。最后,通过启用 DirectAccess,移动计算机会在用户连接到 Internet 时自动与内部网络连接,有助于继续对这些计算机进行管理,包括定期接收更新的组策略设置、与服务器同步数据文件和接收软件更新。
这些技术使 Windows 7 实现了简单通用的目标:通过提高 IT 专业人员的生产效率来降低桌面支持的成本。