Windows 7 可管理性概觀
適用於: Windows 7
Windows 7 透過一系列可減少整體擁有成本的管理功能改進項目,協助您推動自動化、提升使用者生產力並提供彈性的管理控制來符合法規遵循需求。本文將提供每一項改進項目的概觀。
.gif "note") 備註 |
|---|
| 如需本文件的可下載版本,請參閱 Microsoft 下載中心。 |
IT 專業人員常常需要打理耗時的例行性工作。Windows 7 的完整指令碼功能可協助 IT 專業人員自動化這些工作來減少錯誤,同時改善管理效率,藉此提升整體產能:
Microsoft® Windows PowerShell™2.0 可讓 IT 專業人員輕鬆地在本機電腦或是網路上的遠端電腦建立與執行指令碼,並自動處理複雜的工作或是例行性的管理與疑難排解工作。
群組原則指令碼功能可讓 IT 專業人員透過自動化機制管理群組原則物件 (GPO) 與已登錄的設定,藉此提升 GPO 管理的效率與準確性。
除了功能強大的指令碼功能之外,Windows 7 還包含數項能夠提升使用者生產力並降低成本的功能:
內建的 Windows 疑難排解套件可讓使用者自行解決許多常見問題,而且 IT 專業人員可以建立自訂的疑難排解套件,進而將此功能延伸至內部應用程式。
改良過的系統還原工具會在 Windows 還原至早期某個狀態時,告知使用者哪些應用程式會受到影響。
新的問題步驟收錄程式可讓使用者記錄每一個點選動作的螢幕擷取畫面,以重現問題方便 IT 人員排除解決方案的問題。
資源監視器與可靠性監視器的改進項目可讓 IT 專業人員更快速地診斷效能、相容性與資源限制問題
為了方便 IT 部門因應層出不窮的安全需求並符合相關規範,Windows 7 同時支援下列功能:
AppLocker™ 可讓 IT 專業人員更靈活地設定原則以供應用程式及指令碼使用者加以執行或安裝,藉此提供更安全與容易管理的桌面。
稽核功能上的改善讓 IT 專業人員得以使用群組原則,針對檔案與登錄存取設定更完整的稽核機制。
系統管理員可以要求使用者透過群組原則使用 BitLocker To Go™,對卸除式存放裝置進行加密處理。
群組原則喜好設定定義了使用者可變更的預設設定,並針對對應的網路磁碟機、排程工作與其他非群組原則感知的 Windows 元件進行集中式管理。
DirectAccess 能夠平順地讓行動電腦與內部網路連線,以便讓 IT 專業人員在使用者具有網際網路連線能力時管理這些電腦
Windows 7 所提供的眾多改進項目可以有效地減少 IT 專業人員花在維護與排解疑難的時間、提升使用者生產力,同時促使 IT 部門更加符合法規需求。
提升的自動化性能
提升 IT 專業人員效率最有效的方法之一,就是透過使用自動化機制。透過自動化機制,先前 IT 專業人員需要花費數小時來完成的工作,現在只需要幾秒鐘就辦得到。藉由偵測問題並自動採取相關步驟來解決問題,IT 專業人員先前需要花費時間與人力去完成的工作,現在通通可以自動完成。自動化的另一項好處是,可以減少人為出錯的可能性。
對於 IT 專業人員來說,指令碼是最具彈性且威力最強大的自動化工具,因此 Windows 7 特地內建了改良的 Windows 指令碼環境:Windows PowerShell 2.0。與專為全職開發人員所設計的傳統程式設計語言不同的是,PowerShell 是專為系統管理員所設計的指令碼語言,而且不需熟悉 Microsoft Visual Basic®、Visual C++® 或是 C# 等複雜的開發語言就能輕鬆上手。
由於 PowerShell 可以使用 Windows 管理介面 (WMI),指令碼因此可執行 IT 專業人員想要自動化處理的大部分管理工作。您可以從 PowerShell 呼叫命令列工具,針對任何支援管理功能的系統層面啟用完整的控制。PowerShell 甚至可以充分應用 .NET Framework,讓您存取數千種功能強大的物件。
若要開發或執行 PowerShell 指令碼,您必須將其安裝到電腦上。PowerShell 2.0 可下載以搭配 Windows XP、Windows Server® 2003 與 Windows Vista 使用,並隨著 Windows Server 2008 一起出貨。在 Windows 7 中,PowerShell 2.0 會內建在作業系統中,因此 IT 專業人員可以在執行 Windows 7 的電腦上建立、散佈與執行 PowerShell 指令碼,不需要對組織裡的所有電腦部署額外的軟體或提供其他服務。
系統管理員使用 PowerShell 搭配 Windows 7 來執行的一些工作包括:
在排解疑難之前,遠端建立系統還原點
從遠端將電腦還原至系統還原點,以解決無法輕易修復的問題
遠端查詢已安裝的更新項目
編輯使用交易項目的登錄,以確保會實作變更群組
透過可靠性資料庫,從遠端檢查系統穩定性資料
下列章節會說明 Windows 7 中的重要 PowerShell 改進項目,可協助 IT 專業人員自動處理耗時的工作。
PowerShell 整合指令碼環境
PowerShell 指令碼是標準的文字檔。在 Windows Vista 與更早期的 Windows 版本中,內建的編輯器為「記事本」。雖然記事本很適合用來快速編輯文字檔,用來撰寫指令碼也很足夠,但是更好用的編輯器可以讓 IT 專業人員得以更有效率地學習與建立指令碼並進行除錯。
Windows 7 內含 PowerShell 整合指令碼環境 (ISE),這是一個包含除錯功能與互動式主控台的圖形化 PowerShell 開發環境,如圖 1 所示。
.jpg "設定精靈的啟動畫面")
圖 1: Windows PowerShell ISE
此編輯器可提供數項用以簡化指令碼開發的功能:
整合的環境。 一次到位的環境,讓您進行互動式殼層工作,並對指令碼進行編輯、執行與除錯。
**顏色區分的語法。**關鍵字、物件、內容、Cmdlet、變數、字串與其他語彙基元都會以不同的顏色顯示,以提高可讀性並減少錯誤。
**Unicode 支援。**與命令列不同的是,ISE 充分支援 Unicode、複雜指令碼與由右至左書寫的語言。
**選擇式叫用。**使用者可以選取 PowerShell 指令碼的任何一個部分並加以執行,然後在 [輸出] 窗格檢視結果。
**多重工作階段。**使用者最多可以在 ISE 中啟動八個獨立的工作階段 (PowerShell 索引標籤)。此功能可讓 IT 專業人員透過相同的應用程式,一一管理位於各自環境中的多個伺服器。
**指令碼編輯器。**指令碼編輯器包含完成索引標籤、自動縮排、行號、搜尋與取代,以及跳至行等諸多功能。
**除錯。**整合的視覺化指令碼除錯程式可讓使用者設定中斷點、逐步執行指令碼 (step into、step over 與 step out)、檢查呼叫堆疊並暫留在變數上以檢查其值。
**物件模型。**ISE 內建一個完整的物件模型,可讓使用者用來撰寫 PowerShell 指令碼以操作 ISE 本身。
**自訂能力。**ISE 可充分自訂,舉凡窗格大小與位置,乃至於文字大小及背景顏色等都在可自訂的範圍。
這些功能讓您可以更輕鬆地學習指令碼並立即提供更穩定的開發環境。
PowerShell Cmdlet
Cmdlet (發音方式:command-lets) 是 PowerShell 其中一種功能最強大的功能。Cmdlet 是 Windows PowerShell 環境中使用的工作導向命令。例如,PowerShell 內含的 Cmdlet 可:
將文字附加到檔案中
讀寫 XML 檔
管理服務
管理檔案與資料夾
PowerShell 2.0 支援超過 500 種全新的 Cmdlet,可用以管理用戶端電腦和伺服器、編輯登錄與檔案系統、執行 WMI 呼叫並連接至功能強大的 .NET Framework 開發環境。您也可以建立自訂的 Cmdlet,或是使用社群開發的延伸模組來擴充 PowerShell 功能。
PowerShell 遠端處理
在過去,為了管理遠端電腦,您需要透過「遠端桌面」來連接。一旦需要大規模 (或是自動化) 管理時,就會產生許多問題。PowerShell 2.0 推出 PowerShell 遠端處理功能,讓您執行 PowerShell 命令以進行自動化或互動式遠端管理。 今日,有效率的系統管理員會透過網路執行大多數的電腦管理工作。有了 Windows 7 和 PowerShell 2.0,您可以透過標準管理通訊協定 WS-Management (WS-MAN) 在遠端電腦上執行 Cmdlet。此通訊協定讓您建立可在一或多部遠端電腦上執行的指令碼,並讓您掌控遠端 PowerShell 工作階段以便直接在該電腦上執行命令。用途包括:
在客服人員來電期間建立系統還原點,方便您在必要時將電腦還原至目前狀態
變更防火牆規則,以保護電腦不受新發現弱點的攻擊
另一個用於在遠端 Windows 7 電腦上執行 PowerShell 指令碼的選項,就是使用 GPO 中定義的登入、登出、啟動與關機指令碼。舊版 Windows 僅支援針對這些指令碼指定一個命令檔。PowerShell 所提供的彈性與威力,遠較命令檔中的可用命令更高、更強
PowerShell 事件
許多應用程式都支援對重要的動作或事件提供立即通知。在 .NET 物件上,這些通知通常會以 WMI 事件或一般事件來表示。此外,Windows 本身會針對檔案活動、服務、程序等等公開有用的通知。這些事件形成了許多診斷與系統管理工作的基礎。在 Windows 7 中,PowerShell 2.0 藉由接聽、採取行動與轉送管理與系統事件,進而支援這項功能。IT 專業人員可以建立對系統事件同步回應 (在事件加入後立即回應) 或是非同步回應 (在稍後一段時間回應) 的 PowerShell 指令碼。如果您透過 PowerShell 遠端處理來登錄事件,甚至可以安排讓這些事件通知自動轉寄給中央電腦。
有了 PowerShell,彈性可以無限延伸。例如,您可以在檔案加入特定位置或從中移除時,建立可執行目錄管理的指令碼。您所建立的指令碼只有當多次加入特定事件或是在指定的時間內發生不同事件時,才能執行管理工作。您甚至可以建立會回應由自身內部應用程式所建立之事件的指令碼,以便執行與組織特定需求相關的管理工作。
除了所述功能之外,PowerShell 的事件功能還支援 WMI 與 .NET Framework 事件,其通知內容涵蓋範圍比標準事件記錄檔所提供的內容還要詳盡。例如,PowerShell 可以存取與服務啟動和停止、程序啟動、檔案變更等相關的事件。
自動化 GPO 管理
中大型主機內的 IT 專業人員常常需要建立許多 GPO,以定義從電腦桌面到螢幕保護程式逾時等各式各樣電腦設定。Microsoft 提供群組原則物件編輯器與群組原則管理主控台 (GPMC) 工具,供系統管理員建立與更新 GPO。但是,由於可能涉及到好幾千個設定,更新多個 GPO 不但相當耗時、繁瑣,而且也容易出錯。
在 Windows 7 問世之前,自動化 GPO 作業僅限於管理 GPO 本身。例如,IT 專業人員可建立或連結 GPO,但是無法變更其中的組態設定。存取 GPMC 應用程式設計介面 (API) 也需要應用程式開發人員的相關技巧。
一旦安裝了 Windows Server 2008 R2 遠端伺服器管理工具 (RSAT) (可從 microsoft.com 下載,其中包含 Windows 7 適用的 GPMC),就可以使用 PowerShell 同時自動化 GPO 管理與登錄型設定的組態 (透過 ADM 或 ADMX 系統管理範本取得)。此功能可讓 IT 專業人員透過下列 Cmdlet 充分掌控 GPO:
GPO Cmdlet
Backup-GPO |
Block-GPInheritance |
Copy-GPO |
Get-GPO |
Get-GPOReport |
Get-GPPermissions |
Get-GPPrefRegistryValue |
Get-GPRegistryValue |
Get-GPResultantSetOfPolicy |
Get-GPStarterGPO |
Import-GPO |
New-GPLink |
New-GPO |
New-GPStarterGPO |
Remove-GPLink |
Remove-GPO |
Remove-GPPrefRegistryValue |
Remove-GPRegistryValue |
Rename-GPO |
Restore-GPO |
Set-GPLink |
Set-GPPermissions |
Set-GPPrefRegistryValue |
Set-GPRegistryValue |
Get-GPInheritance |
您的組織也許需要為多個事業體建立不同的 GPO,而且每個 GPO 分別包含以下兩個不同的設定:螢幕保護程式啟動前的延遲時間,以及是否需要密碼來解除鎖定螢幕保護程式。在一個擁有六個事業體的組織裡,每個事業體都有不同的業務需求,系統管理員通常必須手動建立個別的 GPO,再分別透過 UI 定義各自的設定,過程可能非常耗時。有了 Windows 7 和 PowerShell,系統管理員可以撰寫 PowerShell 指令碼,以利用內含事業體名稱和唯一 GPO 設定的陣列。然後透過這個指令碼逐一查看該陣列,只需要幾秒鐘就可以建立每個 GPO。
透過群組原則執行 PowerShell
當您透過 Windows 2000 遞交群組原則時,系統管理員可以在使用者登入或登出,以及電腦啟動與關機時執行批次檔案形式的指令碼。此舉可讓系統管理員在這段期間設定環境的某些部分,或是執行其他程式。Windows 7 同時也引進了執行 PowerShell 指令碼的支援,讓系統管理員擁有更完整的工具,可在這些系統事件期間進行即時設定。
維持使用者生產力
對大多數人而言,電腦是他們工作中密不可分的一部分。一旦電腦出現問題,這些人很快就無法繼續工作。很明顯地,IT 人員必須在問題發生之際立即妥善處置;但是,解決問題時所衍生的 IT 人員成本也需要盡量降至最低才行。
Windows 7 提供許多全新與改良的工具,協助使用者與 IT 專業人員在成本因素的考量下,得以快速繼續工作。使用者可以自行解決許多問題,而不用事事尋求客服人員的協助;如果真的需要 IT 人員的協助,此工具也可讓 IT 專業人員快速地診斷並解決問題。
對使用者而言,進階的疑難排解功能可讓他們輕易地排除最常見的問題,但是 IT 人員或開發人員也可以開發自訂的疑難排解套件,來解決環境中常見的問題。一般而言,IT 專業人員必須與使用者一起花時間了解導致問題發生的種種情況。Windows 7 的全新問題步驟收錄程式可讓使用者將執行的步驟記錄下來以便重現問題,這對解決問題來說會有顯著的幫助。改良過的系統還原版本與 Windows RE 的自動安裝功能,都可以減少解決系統與啟動問題所需的時間。對 IT 專業人員來說,功能增強的資源監視器與可靠性監視器版本可以減少診斷問題所需的時間。
進階與自訂的疑難排解
任何一個 IT 部門的成立宗旨都是在成本與使用者產能之間取得平衡。達成這個目標的方式之一,就是盡可能地減少 IT 介入並快速地解決問題。Windows 7 新推出的 Windows 疑難排解平台是一套可擴充且功能強大的平台,可讓 IT 部門、軟體開發人員與協力廠商搭配運用 PowerShell 來加以自訂。Windows 疑難排解平台包含兩大主要元件:Windows 疑難排解套件與 Windows 疑難排解套件組建程式。
Windows 疑難排解套件
Windows 疑難排解套件收集了許多 PowerShell 指令碼,可在使用者核准之下,嘗試診斷問題並盡可能解決問題。疑難排解套件也可以針對特定功能執行持續的維護作業。 Windows 7 包含 20 個內建的疑難排解套件,可解決超過 100 個以上的基本問題。Microsoft 設計了疑難排解套件,使它與 Microsoft 客服來電的前十大問題類別產生關聯,包括電源效率、應用程式相容性、網路連線與音效。如圖 2 所示,疑難排解套件可以診斷複雜的問題,包括由多種情況所導致的問題,並提示使用者解決各個問題的秘訣。本圖下方同時列出 Windows 7 隨附的各項 Windows 疑難排解套件。
.jpg "IP 位址")
**圖 2:**可診斷問題的 Windows 疑難排解套件
Windows 7 疑難排解套件
Aero |
疑難排解導致電腦無法顯示 Aero 動畫與效果的問題。 |
播放音效 |
疑難排解導致電腦無法播放音效的問題。 |
錄製聲音 |
疑難排解導致電腦無法錄製聲音的問題。 |
印表機 |
疑難排解導致您無法使用印表機的問題 |
效能 |
調整 Windows 設定以協助改善整體運作速度與效能 |
維護 |
清除未使用的檔案與捷徑,並執行其他維護工作 |
電源 |
調整電源設定以提升電池使用壽命並減少電力的損耗 |
家用群組連線 |
疑難排解導致您無法檢視家用群組中的電腦或共用檔案的問題 |
硬體與裝置 |
疑難排解硬體與裝置的問題 |
瀏覽網頁 |
疑難排解導致您無法使用 Internet Explorer 瀏覽網頁的問題 |
安全地瀏覽網頁 |
調整設定以改善 Internet Explorer 的瀏覽器安全性 |
Windows Media Player 媒體櫃 |
疑難排解導致 Windows Media Player 媒體櫃無法顯示音樂與視訊的問題 |
Windows Media Player 設定 |
將 Windows Media Player 重設回預設值 |
使用 Windows Media Player 播放 DVD |
疑難排解導致 Windows Media Player 無法正常播放 DVD 的問題 |
使用 DirectAccess 與工作場所連線 |
透過網際網路連線至您的工作場所網路 |
連線至共用資料夾 |
存取其他電腦上的共用檔案與資料夾 |
連入此電腦的連線 |
允許其他電腦與您的電腦連線 |
網路介面卡 |
疑難排解乙太網路、無線網路或其他網路介面卡的問題 |
網際網路連線 |
連線至網際網路或特定的網站 |
程式相容性疑難排解員 |
疑難排解無法在此版本的 Windows 中運作的程式問題 |
Windows 疑難排解套件組建程式
Windows 疑難排解套件組建程式 (如圖 3 所示) 是隨附在 Windows 軟體開發套件 (SDK) 中的開發套件,內含可供 IT 專業人員和開發人員建置 Windows 疑難排解套件的圖形化工具。此工具套件可簡化將疑難排解套件中繼資料與連結加入 PowerShell 整合指令碼環境 (如本文件先前所述) 的作業,供您快速編製偵測、解析與驗證用途的指令碼。由於 PowerShell 功能非常強大,幾乎任何一種 Windows 和應用程式環境都可以加以檢查並進行設定。您可以透過群組原則喜好設定 (先前已討論過),將這些疑難排解套件複製到本機硬碟,或是直接將它們存放在中央檔案伺服器以進行部署。
.jpg "testlab.microsoft.com 的成員")
**圖 3:**Windows 疑難排解套件組建程式 (Windows 疑難排解工具組的一部分)
使用者可以透過「說明及支援中心」或「行動作業中心」手動啟動疑難排解作業,如圖 4 所示。也可以透過應用程式來啟動疑難排解,這樣組織就可以將 Windows 7 診斷工具設計為特定業務應用程式的一項功能。IT 專業人員可以從遠端執行疑難排解套件,並使用群組原則設定來限制使用者只能診斷問題,但不能修復問題。
.jpg "完整 DNS 名稱")
**圖 4:**Windows 行動作業中心
IT 專業人員也可以定期執行疑難排解套件,以自動處理維護作業。例如,您可以使用疑難排解套件來移除暫存檔案、檢查硬碟錯誤,或是確認系統時間。
Microsoft 負責管理 Windows 線上疑難排解服務,此服務可提供 Windows 7 使用者全新的疑難排解套件,並針對產品隨附的疑難排解套件提供更新項目以診斷新發現的問題。系統管理員可以透過群組原則停用此功能。
就像應用程式一樣,您可以使用受信任的憑證授權單位 (CA) 所發行的憑證,來簽署疑難排解套件。系統管理員接著可以透過群組原則設定,要求只能執行來自受信任發行者的疑難排解套件。疑難排解套件可以散發至本機電腦、在內部網路的網站上發行,或是存放在共用資料夾上。
系統管理員可以利用命令提示字元的互動方式或是回應檔等背景執行方式,除了可以使用疑難排解套件來簡化使用者的疑難排解程序之外,還可以利用它來加快複雜的診斷與測試程序。在這種情況中,系統管理員可以一邊執行疑難排解套件,一邊登入本機電腦或是從網路進行遠端登入。
問題步驟收錄程式
一般而言,疑難排解最複雜的部分就是重現可示範問題的情況,特別是當受影響的使用者在遠端工作或是透過電話聯絡時,情況更為複雜。如果 IT 人員無法重現使用者的問題,就無法輕易地診斷出問題根源。
Windows 7 對此難題的解決方案就是問題步驟收錄程式,如圖 5 所示。使用者只需要執行收錄程式,就可以記錄下重現問題之前所有執行步驟。使用者可以按一下 [開始錄製]、重現問題,並視需要輸入註解,然後按一下 [停止錄製],最後透過電子郵件傳送錄製內容或是與 IT 專業人員分享此錄製內容。
.jpg "1515293b-6d37-4de1-9a48-7989294fdc82")
**圖 5:**問題步驟收錄程式
每次當使用者按一下或輸入字元時,就會錄製該動作的螢幕擷取畫面,連同相關的記錄檔與軟體設定資料一併錄製進去。使用者的文字註解 (用來描述在電腦上發生,但卻未錄製的事情,例如,緩慢的回應速度或是過度的分頁處理) 也會同時擷取下來。
問題步驟收錄程式會建立 .MHT 檔 (一種將所有影像納入單一檔案的 HTML 文件類型),並以 zip 封存格式壓縮起來。IT 專業人員可以開啟 .MHT 檔案 (如圖 6 所示),以檢視螢幕擷取畫面並取得使用者動作的精確描述。
.jpg "0fd95fdf-a725-4e78-98e1-f18a2086034b")
**圖 6:**錄製的問題步驟
問題步驟收錄程式可以節省 IT 專業人員許多寶貴的時間。此外,它可以協助 IT 專業人員克服語言障礙,不管介面是哪種語言都能輕鬆診斷出問題。
系統還原
使用者有時候會遇到可靠性問題。例如,安裝項目可能會使用較不可靠的版本來更新驅動程式,或是某個應用程式使用不相容的版本來覆寫檔案。在某些情況下,解除安裝更新項目或應用程式無法回復已經執行的變更。Windows Vista 內建了 Windows 系統還原功能,讓您將系統「快照」存放在本機硬碟裡,而且會定期或是在下載系統更新項目或應用程式/裝置驅動程式安裝項目之前的時間點進行。
在回復還原點之後所做的所有系統變更時,先前版本的系統還原功能也會回復與問題無關的系統變更:
會移除在系統還原點之後安裝的應用程式與驅動程式
會還原在系統還原點之後移除的應用程式與驅動程式
這些舊版的 Windows 讓使用者或 IT 專業人員很難判斷哪些元件會因為還原至某個系統還原點而受到影響。當使用者發現某些應用程式無法使用時,可想而知這非常讓人沮喪。通常這些使用者會致電給支援中心尋求協助,而這又再次耗去 IT 專業人員的時間。 有了 Windows 7,使用者或 IT 專業人員可以在將 Windows 7 回復到先前狀態前,先檢視軟體變更清單 (依據 [新增/移除程式] 中列出的應用程式),如圖 7 所示。藉由提供更完整的系統還原結果描述 (例如移除應該保留的應用程式),IT 專業人員可以選擇不同的還原點,或是確保在還原之後重新安裝應用程式。
.jpg "dd06aedf-2040-4062-b27c-eaddbe7b7243")
**圖 7:**將受到系統還原影響的應用程式的系統還原描述
在 Windows 7 中,您也可以透過使用者所建立的系統映像取得還原點 (類似 Windows Vista 中的完整電腦備份功能),讓系統還原回復到遠比本機系統還原存放裝置所允許更遠的時間點。換句話說,外接式硬碟的備份也可以當作還原點使用。
就像 Windows 7 所提供的其他許多層面一樣,系統還原可讓 IT 專業人員藉由運用 PowerShell,提升工作的效率與生產力。PowerShell 可以建立系統還原點,或是將電腦還原至系統還原點,這些甚至都可在遠端進行。
因此,在接到支援中心來電時,IT 專業人員可以透過網路連線到某一台電腦,並在進行可能對該電腦穩定性產生不良影響的任何變更之前,先建立系統還原點。用來執行疑難排解或設定工作的指令碼可以自動建立系統還原點,以輕鬆回復變更。最後,IT 專業人員可以使用 PowerShell 指令碼將電腦回復至先前的系統還原點,甚至可透過網路來進行。
Windows 修復環境
無法啟動的電腦是讓 IT 專業人員最傷腦筋的其中一種狀況,這也是讓使用者最頭痛的問題,尤其是無法即時聯絡支援人員的行動使用者。如果使用者無法啟動 Windows,就無法存取軟體疑難排解工具來診斷並解決問題。更重要的是,他們將無法進行重要的銷售簡報或是建立預算。
為了協助使用者輕鬆解決啟動問題,Windows Vista 推出了兩項工具:Windows 修復環境與啟動修復工具。使用者或 IT 專業人員可以使用 Windows Vista DVD 來啟動電腦,進而啟動 Windows RE。Windows RE 內含的工具通常可以自動修復啟動問題,而不需要倚賴 IT 專業人員來進行疑難排解。
儘管 Windows RE 可以減少修復損毀之 Windows Vista 執行個體所需的時間,許多使用者要不是沒有 Windows Vista DVD,就是尚未將 Windows RE 安裝在電腦硬碟的其他磁碟分割中。此外,Windows Vista 並沒有直接告知使用者如何安裝 Windows RE。如果遠端使用者因為行動電腦上的 Windows 無法啟動而致電支援中心,IT 人員將很難解決他們的問題。但是,只要規劃妥當,IT 專業人員可以將 Windows RE 安裝到電腦硬碟的某個磁碟分割當中。如此一來,即使沒有 Windows Vista DVD 也能進入 Windows RE。
與 Windows Vista 一樣的是,Windows 7 內建 Windows RE,其中包含改良的系統復原工具版本,如圖 8 所示。最重大的改進項目則是 Windows RE 會在 Windows 7 安裝期間,自動安裝到本機硬碟中,確保即使手上沒有 Windows 7 DVD,仍舊可以使用這些工具。現在不管使用者怎麼安裝 Windows 7,都可以安心的操作,因為 Windows RE 與啟動修復這類的工具都是隨手可得。如果硬碟無法正常運作,IT 專業人員當然還是可以透過 Windows 7 DVD 來啟動 Windows RE。
.jpg "5dc073f8-8d6c-4baa-91a6-c9739809ac56")
**圖 8:**系統復原選項 (從 Windows RE 啟動)
有了 Windows 7,如果遠端使用者無法啟動 Windows,IT 專業人員可以教導使用者從電腦硬碟啟動 Windows RE 的程序。在這類情況中,系統復原工具通常會自動解決問題,無須任何人為進行疑難排解。只要幾分鐘,使用者就可以啟動 Windows 7 了。
當使用者想要透過系統映像備份還原系統,或是將系統還原至出廠狀態時,這些工具也可讓使用者透過 [復原控制台] 來啟動 Windows RE。復原控制台會引導使用者逐步完成本機使用者檔案備份、將電腦重新啟動至 Windows RE,以及啟動適當的復原應用程式等程序(請參閱圖 9)。您可以透過行動作業中心來存取復原控制台,因此 IT 與支援專業人員可以透過電話,輕易地引導遠端使用者逐步完成電腦還原程序。
.jpg "22f7e303-484a-4da7-890d-4bd9b2b1f72a")
**圖 9:**復原控制台畫面,可提供使用者一些系統還原選項
資源監視器
為了更充分地排除資源問題,IT 專業人員需要深入了解電腦的內部運作。問題越複雜,要解決問題就需要越詳盡的資訊。雖然「工作管理員」已經足以識別哪個程序耗用最多的處理器時間,IT 專業人員常常需要更能更強大的工具,來找出產生最大量的磁碟或網路 I/O 的程序以解決手上的問題。
Windows 7 內建增強的資源監視器版本,可針對個別程序提供此類詳盡的資源使用率資訊。如圖 10 所示,此資料使用的顯示格式可讓您快速存取大量的資訊,進而輕易地向下探查特定程序的細節。
.jpg "041e2b48-99ac-4d3e-a2dc-b5acf9ac4fc6")
**圖 10:**資源監視器
只要幾秒鐘,您就可以使用資源監視器來檢視:
哪一個程序耗用最多的處理器時間與記憶體
哪些服務是由 SvcHost.exe 程序所主控
程序正在存取哪些控點 (包括裝置、登錄機碼與檔案)
程序正在存取哪些模組 (包括 DLL)
哪些程序正在磁碟上讀取與寫入最多的資料
每個程序傳送及接收多少的網路資料
哪些程序正在接聽連入的網路連線,或是開啟了網路連線
每個程序使用了多少記憶體
此外,您可以終止程序,並在線上搜尋有關某個程序的資訊。有了資源監視器,IT 專業人員可以很快地找出效能與資源使用率問題的根源,進而減少疑難排解複雜問題所需的時間。
可靠性監視器
Windows Vista 所推出的可靠性監視器工具,能夠以時間表顯示與電腦整體穩定度相關的系統事件。這些事件包括軟體與裝置驅動程式的安裝或移除事件,應用程式失敗事件,以及不完整的關機事件。可靠性監視器已經證實是 IT 專業人員不可或缺的重要工具,因為它能讓專業人員針對問題快速回溯追蹤導致問題的系統變更。
Windows 7 現在將「可靠性監視器」與「問題報告及解決方案」整合,讓系統變更、事件與可能的解決方式彼此更密切關聯。圖 11 中的可靠性監視器內含特定日期的事件細節,包括失敗的應用程式安裝與安全性更新事件。
.jpg "d880fa99-9c23-4701-952e-b785d129ef47")
**圖 11:**可靠性監視器
Windows 7 同時透過 Windows 管理介面公開可靠性資料,藉此應強可靠性監視器功能。有了 WMI,您可以透過 PowerShell 指令碼與 WMI 相關的 Cmdlet,從遠端收集可靠性資料並加以處理。現在,IT 專業人員可透過主動方式或是在支援人員來電時,充分善用 WMI 來集中收集或檢查網路中所有 Windows 7 電腦的可靠性。
Microsoft System Center Operations Manager 這類其他管理工具可以集中監視所有 Windows 7 電腦的可靠性資料。或者,您可以建立自己的 PowerShell 指令碼,來監視可靠性並採取適當的行動。藉由集中監視可靠性資料,即使使用者不想致電給支援中心,您也可以找出影響使用者生產力的不可靠電腦。
彈性的管理控制
不管是由政府法規、客戶服務等級協定還是內部安全需求所定義,許多組織都擁有法規規範需求,因此必須集中定義並強制執行整個組織的組態設定。Windows 7 內含改良的功能與全新的技術,可協助 IT 專業人員更有效率地符合相關的法規需求:
AppLocker 可提供彈性的發行者規則,以針對使用者可以執行的應用程式簡化其控制作業。
改良的稽核功能讓 IT 專業人員可以使用群組原則,設定可以稽核的檔案與登錄值。
BitLocker 改進項目提供強制資料加密,包括卸除式存放裝置等。
群組原則喜好設定也會將群組原則的功能延伸至一般無法透過群組原則進行管理的應用程式與 Windows 元件,例如對應的網路磁碟機、本機使用者帳戶密碼與群組成員資格、排程的工作與登錄設定等。最後,隨著遠端使用者日益增加,IT 專業人員必須針對無法直接連線至公司網路的行動電腦強制進行一些組態設定。DirectAccess 能讓行動電腦連線至內部網路,以允許 IT 專業人員下載軟體更新項目、套用群組原則設定,並提供遠端管理功能。
結合這些改進項目之後,IT 專業人員在面對現今多數設定管理問題時,即可靈活應變。
AppLocker
如果使用者執行未獲授權的軟體,他們的電腦就會變成非常難以管理而且不安全。這些電腦的執行速度也會變慢,不但降低了使用者生產力,還導致更多對支援中心的致電需求。而且最重要的是,執行這些軟體會違反相關規範。
透過 Windows 7 所提供的 AppLocker,系統管理員可以更彈性地明確指定使用者可以執行的應用程式和指令碼。系統管理員甚至可以賦予使用者安裝特定應用程式的權限,並限制他們安裝其他應用程式。如此一來,IT 人員便可建立並維持標準的桌面環境。
AppLocker 包含一系列規則。其發行者規則可依據數位簽章賦予應用程式的存取權限,讓您得以透過單一規則允許執行多種版本的應用程式 (甚至是尚未發行的未來版本)。如圖 12 所示,您可以建立允許使用者在應用程式使用特定憑證簽署的情況下,執行 3.5 版與更新版本的規則。AppLocker 的發行者規則能夠讓 IT 人員直接部署新版的應用程式而無須更新規則,進而提升生產力。
.jpg "a95e454a-a9fc-43db-87e9-3e8e88d1e18d")
**圖 12:**AppLocker 規則
增強的稽核功能
Windows 7 透過詳細的稽核功能,讓 IT 專業人員得以深入了解哪些使用者可存取資訊、為何使用者遭到拒絕存取,以及誰變更了物件等詳細資訊。在舊版的 Windows 中,您只能透過指令碼來設定詳細的稽核。在 Windows 7 中,您可以使用群組原則設定來啟用子類別的稽核,如圖 13 所示。此稽核功能主要是為了協助組織符合相關法規與企業需求而設計。
.jpg "ff039bdd-e785-49f2-931b-cf7a2979acf0")
**圖 13:**使用群組原則設定稽核
IT 專業人員也可以透過群組原則設定,設定要稽核的檔案、登錄機碼與其他物件。在舊版的 Windows 中,IT 專業人員必須手動設定資源稽核或是撰寫可啟用稽核功能的指令碼,並在每一部電腦上執行這些指令碼。
強制資料加密
系統管理員可以透過群組原則設定,針對卸除式存放裝置集中設定 BitLocker 與 BitLocker To Go 加密功能。以下列出其中一些設定選項:
針對系統磁碟區、非系統磁碟區與卸除式存放裝置指定特定的需求
需要使用強式密碼、智慧卡,或是網域使用者認證來保護卸除式存放裝置
設定從系統磁碟區開機時的 PIN 長度下限
針對非系統磁碟區指定複雜密碼的複雜度與長度需求
設定復原非系統磁碟區的方式
需要針對卸除式存放裝置套用 BitLocker 加密 (如圖 14 所示),同時允許在唯讀模式下開啟未加密的裝置
.jpg "3ec29e1b-4a5f-4ac4-b83f-90356416f035")
**圖 14:**需要對卸除式磁碟機套用 BitLocker 加密
群組原則喜好設定
IT 專業人員可以使用群組原則設定,以一致的方式集中設定電腦。由於使用者無法變更群組原則設定,因此這些設定非常適合用來強制執行相關設定。但是,組織可能會認為並非每一個電腦設定項目都應該強制執行。IT 部門通常只想要設定預設值,但允許使用者依據個人喜好變更這些設定。例如,IT 人員可以設定當行動電腦上蓋闔上時,直接進入待機模式。但是,某些使用者可能因為個人因素想要變更這項設定。
IT 專業人員通常會在部署之前,在作業系統映像中指定預設值。他們通常必須設定許多不同的作業系統映像,以針對不同的使用者群組提供特定的預設值。或者,IT 專業人員可以建立指令碼來對應網路磁碟機、建立排程工作或是定義登錄設定。不管使用哪一種方法,這些喜好設定的管理工作都非常繁瑣。
在 Windows 7 中,您可以透過群組原則喜好設定,針對無法非群組原則感知的 Windows 元件設定預設值,包括:
對應的網路磁碟機
排程工作
快速鍵
環境變數
電源選項
印表機
地區選項
資料夾選項
Open Database Connectivity (ODBC) 資料來源
登錄設定
開始功能表設定
網際網路設定
本機使用者和群組
與傳統群組原則設定不同的是,群組原則喜好設定會指派使用者可以變更的預設值。IT 人員可以善用群組原則喜好設定來減少部署所需的 Windows 映像數目,因為 IT 人員可以定義群組原則喜好設定來設定預設值,而不用針對不同的設定建立個別的 Windows 映像。
除了定義喜好設定之外,您可以建立、取代、更新與刪除檔案、檔案群組以及資料夾。簡明的使用者介面 (如圖 15 所示) 可讓您將網路上的檔案同步至指定的目的地。例如,您可以透過此介面,將自訂的字典複製到每個使用者設定檔內的 %AppData% 資料夾中。此資料夾的介面可讓您定期刪除資料夾內容,方便您清除暫存檔案。
.jpg "f8422b0c-8f6c-46d6-8cc9-f868c82ca714")
**圖 15:**使用圖形化使用者介面設定群組原則設定
您不用透過 WMI 篩選器,就可以將群組原則喜好設定指派給 GPO 中的不同使用者或電腦群組。例如,系統管理員可以設定只能套用至行動電腦的喜好設定。
許多群組原則喜好設定都可以使用者在設定應用程式時,所存取的相同使用者介面來進行設定。例如,您可以透過類似於 Internet Explorer 本身提供的圖形化使用者介面,使用群組原則喜好設定來設定 Internet Explorer 選項,如圖 16 所示。同理,您可以利用類似於「裝置管理員」的瀏覽器來指定裝置。
.jpg "e7747e2d-cf0a-464d-a9c4-b8c048df9f2c")
**圖 16:**設定群組原則喜好設定
但是,群組原則喜好設定與群組原則設定之間還是有許多重要的差異。
群組原則喜好設定與群組原則設定的比較
群組原則喜好設定 |
群組原則設定 |
|
強制執行 |
喜好設定不會強制執行;使用者可以變更設定 |
設定會強制執行;會停用可變更設定的使用者介面 |
彈性 |
針對登錄設定與檔案輕鬆匯入或是建立喜好設定 |
新增設定需要應用程式支援與建立系統管理範本;使用者無法建立設定來管理檔案或資料夾 |
鎖定 |
可以針對特定使用者與群組選取個別的喜好設定 |
鎖定使用者需要撰寫 WMI 查詢 |
使用者介面 |
針對大多數喜好設定提供熟悉、容易使用的介面 |
針對大多數設定提供替代的使用者介面 |
DirectAccess
對 IT 部門來說,行動電腦是一大挑戰,因為它們必須與內部網路連線才能加以管理。遠離辦公室或是出差一段時間的使用者可能無法在幾週或幾個月內連線至內部網路。如此一來,這些行動電腦將無法下載更新的群組原則設定、重要的更新項目或是反惡意程式定義。
一般而言,遠端使用者可以透過虛擬私人網路 (VPN) 連線到內部網路資源。但是,透過 VPN 來連線對使用者而言會有些麻煩,因為需要執行幾個步驟,並等候幾秒鐘 (甚至是幾分鐘) 才能通過驗證。
Windows 7 與 Windows Server 2008 R2 共同推出 DirectAccess (請參閱圖 17),這項全新的解決方案可讓使用者在遠端工作時,就像在辦公室一樣方便。DirectAccess 利用 IPv6 與 IPSec 這類的技術優勢,讓遠端電腦自動、順暢地透過網際網路存取內部網路,而無須連接到虛擬私人網路 (VPN),同時也會提供企業安全與彈性的網路基礎結構。
.jpg "d7b14915-7741-472b-9fb2-eca8e72371da")
**圖 17:**Windows 7 中的 DirectAccess
例如,如果遠端使用者連線到當地咖啡館的無線熱點,DirectAccess 就會偵測到可用的網際網路連線,並自動與位於內部網路邊緣的 DirectAccess 伺服器建立連線。這時使用者就可以存取經系統管理員授權進行遠端存取的內部資源,例如內部共用項目、網站與應用程式等。
IT 部門可以在建立網際網路連線時,透過更新群組原則設定與散佈軟體更新項目等程序來管理行動電腦,即使這時使用者尚未登入也沒問題。這項彈性讓 IT 人員能夠定期服務遠端電腦,確保行動使用者隨時跟上最新的公司政策。
一般透過「資料夾重新導向」存放在內部伺服器中,以及透過「離線檔案與資料夾」進行本機快取的使用者資料,同時能夠因為持續性網路連線特性使得每個檔案自動與伺服器進行同步 (備份) 而獲益匪淺。使用者會感謝 DirectAccess 功能,因為它讓使用者得以自動連線至內部資源。IT 專業人員會感謝 DirectAccess 功能,因為它能讓行動電腦在與網際網路連線之後立即連線至內部網路,大幅改善了行動電腦的管理效率。行動電腦將隨時連線、獲得妥善管理,並保持在最新狀態。
摘要
Windows 7 是專為降低成本與提升 IT 部門生產力所設計,可以提升自動化程度並提供相關工具讓您快速地排除並解決問題。Windows PowerShell 2.0 是內建於 Windows 7 的企業等級指令碼引擎,能夠讓 IT 專業人員自動處理大部分的系統管理工作。IT 專業人員甚至可以自動處理群組原則物件的建立與設定工作,並針對具有複雜群組原則結構的組織簡化其原則定義。
Windows 7 同時讓使用者更有生產力。具體來說,IT 專業人員可以利用 PowerShell 來建立自訂的 Windows 疑難排解套件;此套件是專為解決其特定環境中常見的問題所設計。由於您可以擴充疑難排解功能,因此 IT 專業人員與特定業務應用程式開發人員可以設計出相關解決方案供使用者診斷問題,甚至解決內部應用程式的問題。而且透過 Windows 疑難排解平台解決本身問題的使用者,也不用致電支援中心請求協助。
至於那些仍需要支援中心協助的問題,Windows 7 則可讓 IT 專業人員快速地診斷並解決問題。任何人只要有過重現使用者所描述問題的窘境,都會感謝問題步驟收錄程式的幫忙;此程式可以記錄每一個點選動作的螢幕擷取畫面,讓您清楚知道哪些使用者動作導致該問題。資源監視器與可靠性監視器的改進項目可讓 IT 專業人員更快速地找出導致問題的程序,以及可能導致這些問題的系統變更。系統還原的更新項目可讓使用者或 IT 專業人員在啟動還原點之前,清楚了解將受到影響的應用程式和驅動程式。預設會安裝 Windows 修復環境,以便在危急情況或是無法使用 Windows 7 DVD 時得以順利存取。
Windows 7 也包含重大的「群組原則」增強功能,此工具可讓 IT 部門用來集中管理執行 Windows 的所有電腦。如果您想要透過一個管理更完善、更安全的桌面環境來限制使用者可以執行的應用程式,AppLocker 可讓您建立更彈性的規則,讓您套用至任何應用程式版本 (甚至是尚未發行的版本)。群組原則喜好設定可定義使用者預設值,讓您透過簡單的方式來建立可供使用者更新的初始設定,完全不需要修改部署映像。您也可以使用群組原則來套用 BitLocker 加密,即使是 USB 隨身碟之類的卸除式存放裝置也沒問題。最後,藉由啟用 DirectAccess,可以繼續妥善管理行動電腦、定期接收更新的群組原則設定、與伺服器同步資料檔案與接收軟體更新項目,因為每當電腦連線至網際網路時,這些電腦就會自動連入您的內部網路。
這些技術可讓 Windows 7 完成簡單的普世目標:讓 IT 專業人員更有生產力,進而減少桌面支援成本。