我?guī)缀趺刻於际盏诫娮余]件，詢問我“新版本 Windows 中的組策略將新增什么功能？”通過這個問題，我可以感覺到人們迫切希望了解新增功能和更改對 IT 專業(yè)人員有什么意義。

我知道變化有時會給人造成壓力，但是我可以信心十足地說這些新增功能都非常不錯：Windows 7 和 Windows Server 2008 R2 中包括一些功能強大、簡潔的組策略更改，但是這些更改并不是根本性的更改，或者說與以前沒有太大區(qū)別。IT 專業(yè)人員不需要經(jīng)歷令人頭痛的高難度學習歷程，就可以從一些更新、新增功能和用戶界面調(diào)整等內(nèi)容中獲益。

組策略更改可分為兩大類。第一類是組策略團隊提供的項目：核心功能，包括組策略引擎和組策略編輯系統(tǒng)（組策略管理控制臺，簡稱 GPMC；和組策略管理編輯器，簡稱 GPME）中的新增和更新功能。第二類是其他團隊提供的、用于管理他們使用組策略的組件的項目：更新的策略設(shè)置和 GPME 中的功能控件，我們都使用這些控件來管理目標計算機上的新增和更新的功能。在本文中，我對這兩種更改都做了介紹。

更新的組策略核心功能

對于 Windows 7 和 Windows Server 2008 R2，組策略團隊研究了大量功能和更新。以下內(nèi)容對 Windows 最新更新中提供的內(nèi)容進行了非科學分類：一個大型修補程序、一個大型更新、一個大型新增功能、一個大型用戶界面更改和一個大型附帶補充。

大型修補程序：更新的篩選器

更新后的 GPMC 中的更新篩選器（適用于 Windows 7 和 Windows Server 2008 R2）這項更改很受歡迎。這些修補程序解決了自 Windows Vista 發(fā)布以來一直懸而未決的一個錯誤。在圖 1 中，您可以看到我最喜愛的功能之一，此功能包含在遠程服務(wù)器管理工具 (RSAT) 中，自從更新 GPMC 后就一直可用：“篩選器選項”對話框。

圖 1“篩選器選項”對話框。（單擊圖像可查看大圖）

RSAT 的任務(wù)很簡單：允許您使用 Vista（或更高版本）計算機控制網(wǎng)絡(luò)的各個方面，從您使用的計算機到提供執(zhí)行此操作所需的工具，包括更新的 GPMC。這個更新的 GPMC 提供了一些簡潔的功能；其中之一就是使用篩選器定義條件，這些條件用于僅查找您所需的“管理模板組策略”設(shè)置。但問題在于，當使用 Vista 及其相應(yīng)的 RSAT 時，這些篩選器就不能運行，出現(xiàn)一個令管理員頭疼的錯誤。

我來稍微詳細地解釋一下這個錯誤。圖 1 顯示了“篩選器”對話框中的“啟用需求篩選器”部分。該部分的目標很簡單：就是幫助您了解哪些管理模板策略設(shè)置對特定操作系統(tǒng)有效。

“啟用條件篩選器”中的一種模式是“包括與所有選定平臺匹配的設(shè)置”。另一種模式是“包括與任何選定平臺匹配的設(shè)置”。從表面看，這兩種模式非常相似。但是主要區(qū)別在于“所有”和“任何”。以下是當您選擇每種模式并指定一些條件后，每種模式應(yīng)該執(zhí)行的任務(wù)：

• “包括與所有選定平臺匹配的設(shè)置”應(yīng)該顯示僅在指定類型的計算機上才有效的策略設(shè)置。因此，如果您選擇 Windows XP Service Pack (SP) 2 和 Vista，顯示的結(jié)果應(yīng)該是僅在 Windows XP SP2 和 Vista 上運行的策略設(shè)置。

• “包括與任何選定平臺匹配的設(shè)置”應(yīng)該顯示適用于任何選定操作系統(tǒng)的設(shè)置。因此，如果您選擇 Windows XP SP2 和 Vista 兩者，應(yīng)該顯示適用于 Windows XP SP2 的所有設(shè)置以及適用于 Vista 的所有設(shè)置。

這兩種篩選器的作用名副其實。唯一的問題是，使用 Vista 和 Windows Server 2008 版本的 RSAT 時，兩者都不能正常運行。如果選擇了“包括與所有選定平臺匹配的設(shè)置”，結(jié)果中通常僅有一小部分是真正適用于目標計算機的有效設(shè)置，而如果您選擇“包括與任何選定平臺匹配的設(shè)置”，則不會顯示任何結(jié)果。

據(jù)我在組策略團隊中的朋友們所說，此修補程序應(yīng)該屬于 Windows 7 的最終可下載版本的 RSAT 和 Windows Server 2008 R2 的系統(tǒng)自帶 RSAT 的一部分。

大型更新：將 Windows PowerShell 腳本部署到目標計算機

只要您的消息不閉塞，就應(yīng)該了解 Windows PowerShell 正日益受到系統(tǒng)管理員的青睞。但是一個問題卻妨礙了一些管理員使用 PowerShell。至今還沒有找到一種簡單的方法，幫助管理員在他們最需要控制的領(lǐng)域利用 PowerShell 的新增功能：用戶和計算機腳本。

Windows 7 和 Windows Server 2008 R2 中的 RSAT 允許管理員將 PowerShell 腳本指定為登錄或注銷腳本（對于用戶）和啟動或關(guān)閉腳本（對于計算機）。圖 2 顯示 GPME 中的“開始屬性”對話框，管理員可以在其中指定 PowerShell 腳本的運行順序，還可以指定應(yīng)該首先運行哪種腳本類型：PowerShell 腳本或非 PowerShell 腳本（這種腳本沒有顯示，位于“開始屬性”對話框中的“腳本”選項卡中）。

圖 2 “開始屬性”對話框中的“Windows PowerShell 腳本”選項卡。（單擊圖像可查看大圖）

要使用此功能，您需要使用相應(yīng)的 RSAT 工具（包含支持此新功能的更新的 GPMC），創(chuàng)建或編輯 Windows 7 或 Windows Server 2008 R2 計算機上的組策略對象 (GPO)。此外，運行 PowerShell 腳本的目標計算機必須是 Windows 7 或 Windows Server 2008 R2。更舊版本的計算機（即使加載了 PowerShell）是無效的目標計算機，不能運行 PowerShell 登錄、注銷、啟動或者關(guān)閉腳本。如果您需要將 PowerShell 腳本部署到非 Windows 7 計算機，可以借助某些第三方解決方案。

大型功能：使用 PowerShell Cmdlet 處理注冊表設(shè)置

許多系統(tǒng)管理員喜歡周圍的事物自動進行。這是件好事。實際上，您可以考慮在您的環(huán)境中利用組策略，實現(xiàn)客戶端計算機的大量自動化（這樣，您就不必忙忙碌碌執(zhí)行大量操作）。要將管理工作提升一個級別，您可能希望 GPO 實現(xiàn)自動處理。

一些管理員已經(jīng)利用現(xiàn)有組策略 GPMC 示例腳本自動執(zhí)行主要組策略任務(wù)。

Windows 7 和 Windows Server 2008 R2 允許您使用 PowerShell 執(zhí)行許多這樣的功能。過去在 GPMC 示例腳本中可以執(zhí)行的操作現(xiàn)在使用 PowerShell 也可以實現(xiàn)：創(chuàng)建、鏈接、重命名、備份、復(fù)制和刪除 GPO 以及更多操作。

但是，可以使用可編寫腳本的方法配置 GPO 的內(nèi)容是一個全新事物，并且現(xiàn)在只有將 PowerShell 用作腳本編寫方法時才可用。但先別高興得太早，我不得不提醒您并非組策略的所有 39 個區(qū)域都可以編寫腳本。事實上，只有兩個區(qū)域可以：注冊表策略和注冊表首選項。即便如此，這也是一個非常棒的開始。

在圖 3 中，您將看到我如何使用 Windows 7 中的內(nèi)置 PowerShell，借助 cmdlet 導入模塊組策略先安裝特定組策略 cmdlet，然后使用新的組策略 cmdlet 創(chuàng)建新 GPO。

圖 3 使用 Windows 7 中內(nèi)置的組策略 cmdlet 創(chuàng)建新 GPO。（單擊圖像可查看大圖）

組策略團隊的博客中發(fā)布了一組關(guān)于 Windows PowerShell 集成的項目。您可以登錄組策略團隊博客大概了解一下所有這些項目。

大型用戶界面更改：更新的 ADM 和 ADMX 用戶界面

組策略最顯著的一個更改是 GPME 中的“管理模板”部分。

圖 4 中顯示了一個新的“無選項卡”界面，將您創(chuàng)建新策略設(shè)置或處理現(xiàn)有策略設(shè)置所需的全部內(nèi)容都放在了一個一站式頁面中。

圖 4 Windows 防火墻：“允許 ICMP 例外”對話框。（單擊圖像可查看大圖）

管理員現(xiàn)在可以將策略設(shè)置配置為“未配置”、“已啟用”或“已禁用”、評論策略設(shè)置、參閱“支持信息”、查看幫助（說明文字），以及處理選項中的任何可配置設(shè)置。

此更改的目標是使策略設(shè)置過程更直觀，將幫助集成到一起以及取消所有選項卡，這樣管理員就不必再來回切換選項卡。

大型附帶補充：內(nèi)置 Starter GPO

Vista 版本的 GPMC 第一個提供了創(chuàng)建和使用 Starter GPO 的功能。Starter GPO 的設(shè)計理念是，某個管理員可以創(chuàng)建一個起點，而其他管理員使用該起點來創(chuàng)建他們的 GPO。在新的更新版本中并未對基本的體系結(jié)構(gòu)和功能進行大的更改，但需要注意一個新的不同之處。

確切地說，當您使用 Windows 7 或 Windows Server 2008 R2 計算機創(chuàng)建 Starter GPO 的容器時，該容器使用一些內(nèi)置 Starter GPO 自動進行填充。這些 Starter GPO 按照 Microsoft 最佳實踐并遵循 Windows Server 2008 安全指南。例如，其中一個內(nèi)置 Starter GPO 是針對普通企業(yè)客戶端 (EC)，而另一個稱為專用安全限制功能 (SSLF)，使用的鎖定方法更勝一籌。

Windows 7 和 Windows Server 2008 R2 包括的 Starter GPO 同時適用于用戶和計算機端。Vista 和 Windows XP SP2 中也可以使用這些 Microsoft 創(chuàng)建的 Starter GPO（形式稍微有些舊）。

核心功能外的其他功能

現(xiàn)在，我們談?wù)撘幌庐斒褂?Windows 7 或 Windows Server 2008 R2 作為客戶端時，您可以控制的其他區(qū)域。我在這里談到的“客戶端”是指“接收組策略指令的計算機”（也可以是 Windows Server 2008 R2 計算機）。

此次補充規(guī)模很大，包括大約 300 個新的策略設(shè)置，其中大約 90 個僅針對 Internet Explorer 8（在 Vista 和 Windows XP 計算機中可用）。其他更改包括 BitLocker、BitLocker To Go 的新增設(shè)置管理和更新的設(shè)置管理，一個更新的任務(wù)欄、遠程桌面服務(wù)（以前稱為終端服務(wù)）、BranchCache、Windows 遠程管理 (WinRM) 以及其他控件堆。由于文章篇幅有限，我不能解釋所有新控件，但就一些我最喜愛的控件我將稍加解釋并提出個人見解。

針對電源選項更新的組策略首選項

IT 奇客喜歡組策略的主要原因之一就是控件數(shù)量，這樣他們就可以在桌面上一展所長。雖然組策略的主要任務(wù)是提供設(shè)置，然而，這些控件狂 IT 奇客有時卻很難向管理人員解釋清楚為什么組策略具有原始的“美元和理智”價值。但另一方面，組策略可以保證真正節(jié)約成本（如果使用正確）：電源設(shè)置。

通過正確配置臺式計算機和便攜式計算機的電源設(shè)置，IT 管理員每年通常可以為公司節(jié)省數(shù)千美元。使用組策略可以簡化這種配置。

圖 5 顯示 Windows 7（和 Windows Server 2008 R2）GPMC 中可用的電源選項。

圖 5 “新電源計劃（Windows Vista 及更高版本）屬性”對話框。（單擊圖像可查看大圖）

仔細觀察圖 5 中對話框的標題，您會發(fā)現(xiàn)說的是“新電源計劃（Vista 及更高版本）屬性”。也就是說，這些設(shè)置對 Vista 和 Windows 7 均有效。需要注意以下內(nèi)容：Windows 7 和 Windows Server 2008 R2 客戶端計算機會立刻知道如何進行處理接收到的指令，而 Vista 則不然。Vista 只是忽略這些指令（即使在 Windows Vista 及更高版本中已明確指出此功能可用）。這就是為什么 Vista 的基本組策略首選項的客戶端擴展需要一個即將發(fā)布的更新的原因所在。一旦發(fā)布并應(yīng)用這個更新后，Vista 計算機將可以接受這些最新可用的指令。

針對計劃任務(wù)更新的組策略首選項

與更新的電源計劃設(shè)置類似，剛剛提到的是 Windows 7 和 Windows Server 2008 R2 中的 GPMC 中的其他任務(wù)計劃功能。圖 6 顯示計劃任務(wù)的新選項：計劃任務(wù)（Windows Vista 及更高版本）和即時任務(wù)（Windows Vista 及更高版本）。

圖 6 Windows 7 中的新 GPMC 任務(wù)計劃選項。（單擊圖像可查看大圖）

與電源計劃設(shè)置類似，Windows 7 計算機可以使用這些設(shè)置。Vista 計算機需要安裝一個更新才可以利用這些設(shè)置。

更新的軟件限制策略：AppLocker

AppLocker 的真實名稱是軟件限制策略版本 2 或 SRPv2。但是，在組策略界面（和文檔）中，你會發(fā)現(xiàn)這個新功能只稱為 AppLocker。

簡而言之，AppLocker 的目標就是幫助現(xiàn)代的 IT 組織決定應(yīng)該在 Windows 7（及更高版本）計算機上運行哪些軟件以及不應(yīng)該運行哪些軟件。原來的軟件限制策略 (SRP) 的作用已經(jīng)無可挑剔，但 AppLocker 將軟件限制提升到了一個新的級別。AppLocker 的一個主要新功能是基于軟件發(fā)行者允許或限制軟件。要想利用此新功能，必須對您要允許或限制的軟件進行數(shù)字簽名（有關(guān) AppLocker 的詳細信息，請參閱 Greg Shields 的“門門精通”專欄，“AppLocker：IT 行業(yè)的第一顆靈丹妙藥？”）。

接下來，您可以使用“創(chuàng)建可執(zhí)行規(guī)則”對話框為不同的發(fā)行者設(shè)置規(guī)則。例如，您可以創(chuàng)建一條規(guī)則，指定只要 Adobe Reader 是 9.0 或更高版本就可以運行。您可以向上移動垂直滑塊，來指定目標系統(tǒng)上的所有版本、文件名和/或產(chǎn)品或發(fā)行者均有效?；蛘吣€可以只選中“使用自定義值”復(fù)選框。

了解更多信息

您可以看到，Windows 7 和 Windows Server 2008 R2 中的組策略添加了很多增強功能。從 300 個新的策略設(shè)置，到兩個更新的組策略首選項以及 Windows PowerShell 集成 — 為您帶來了很多驚喜。要了解有關(guān) Windows 7 和 Windows Server 2008 R2 中組策略的更多信息，您可以瀏覽組策略團隊博客，還可以查看位于 GPanswers.com 網(wǎng)站上的我的博客和培訓資源。

Jeremy Moskowitz 是組策略 MVP。他負責管理的 GPanswers.com 是一個關(guān)于組策略的社區(qū)論壇，其“組策略負責人課堂”每年培訓數(shù)百名管理員。Jeremy 還是 PolicyPak 軟件 (PolicyPak.com) 的創(chuàng)始人，該軟件利用創(chuàng)新加載項通過組策略控制第三方應(yīng)用程序。

原文出處

文章來源：TechNet中文網(wǎng)

【編輯推薦】

1. Windows Server 2008 R2：入門
2. 數(shù)據(jù)保護：Windows Server 2008 R2 中的備份基礎(chǔ)
3. 如何使用配置文件安裝SQL Server 2008 R2
4. 如何使用SysPrep安裝SQL Server 2008 R2