在 Windows Server 2008 和 Windows Vista 引入的諸多新技術(shù)中，最引人注目的當(dāng)屬“組策略***項”(GPP)，它現(xiàn)在可以極大地擴(kuò)展管理員對組策略的操作。在組策略對象 (GPO) 中，組策略***項在 22 個不同區(qū)域提供了 3,000 余種設(shè)置，另外還包括設(shè)置驅(qū)動器和打印機(jī)映射及控制本地組成員等。最重要的是，您無需安裝任何新基礎(chǔ)結(jié)構(gòu)，因為該技術(shù)完全適用于現(xiàn)有的 Active Directory 基礎(chǔ)結(jié)構(gòu)和組策略環(huán)境。您只需安裝管理工具和客戶端 DLL 即可開始工作。在本文中，我將對組策略***項進(jìn)行深入研究，以展示其實用性以及部署和管理的簡易性。

GPP 兼容性在用來管理 GPP 的 Active Directory 環(huán)境中，必須至少包含一個 Windows Server 2008 服務(wù)器或 Windows Vista 桌面，因為只有它們才支持新的組策略管理控制臺 (GPMC)。要支持和管理 GPP 設(shè)置必須借助 GPMC，而且 GPMC 還可以啟動新的組策略管理編輯器 (GPME)，在編輯器中將顯示可以進(jìn)行管理的 GPP。但是，在應(yīng)用與 GPP 相關(guān)聯(lián)的設(shè)置時情況則大不一樣；這時也支持 Windows Server 2008 和 Windows Vista 之前的操作系統(tǒng)。特別需要指出的是，GPP 可支持 Windows Server 2003 SP1 和 Windows XP Professional SP2 以及此后的所有操作系統(tǒng)。圖 1 匯總了可以管理 GPP 以及可以應(yīng)用 GPP 的操作系統(tǒng)。

策略和***項術(shù)語“策略”和“***項”對于掌握新的組策略功能至關(guān)重要。策略和***項的定義均基于組策略的某些關(guān)鍵管理區(qū)域，包括強(qiáng)制性、靈活性、注冊表行為、導(dǎo)向和用戶界面等。這并不是一份詳細(xì)的清單，但這些都是可能對管理員而言非常重要的區(qū)域。讓我們來看一下***項在這些區(qū)域中具有的主要優(yōu)點。圖 2 詳細(xì)介紹了策略與***項之間的差異。

強(qiáng)制性 GPP 是非強(qiáng)制性的；因此可進(jìn)行初始配置，但最終用戶仍處于可控狀態(tài)。靈活性 利用 GPP 可以輕松地向所管理的 GPO 中添加任何注冊表值、文件或文件夾。此外，由于 GPP 是基于 XML 構(gòu)建的，因此可將其高效率地復(fù)制并粘貼到其它 GPO 中。注冊表行為 所有注冊表條目都能夠加以控制，即使目標(biāo)計算機(jī)或用戶不再位于配置注冊表值的 GPO 管理范圍內(nèi)。當(dāng) GPO 不再對目標(biāo)對象產(chǎn)生影響后，可將注冊表值刪除，也可將其保持原位。導(dǎo)向 每個 GPP 設(shè)置都為控制操作提供了超過 25 種不同的導(dǎo)向篩選器（無論該設(shè)置是否會對目標(biāo)對象產(chǎn)生影響）。篩選器的示例有很多，例如 IP 地址范圍、安全組成員以及注冊表值匹配等。用戶界面 GPP 的用戶界面與 GPO 中的其它設(shè)置相比極為簡潔易用。在大多數(shù)情況下，GPO 中的“實際配置界面”是完全相同的，這可以讓用戶在配置設(shè)置時感到簡單而熟悉。
GPP 結(jié)構(gòu)和設(shè)置當(dāng) GPO 在 GPME 中打開時，策略和***項的區(qū)分界限非常明顯（如圖 3 所示），這就使得用戶可以輕松地了解到新 GPP 領(lǐng)域中都引入了哪些設(shè)置。對此需要特別加以注意，因為***項與策略具有不同的行為。當(dāng)展開“Computer Configuration”（計算機(jī)配置）圖 4）或“User Configuration”（用戶配置）（圖 5）下的“Preferences”（***項）節(jié)點時，會發(fā)現(xiàn)許多設(shè)置被劃分為兩類，即“Control Panel Settings”（控制面板設(shè)置）和“Windows Settings”（Windows 設(shè)置）。

 

圖 3 GPME 將策略與***項分隔開

圖 4 計算機(jī)配置***項

圖 5 用戶配置***項

高級配置

與 GPO 中的其它設(shè)置相比，利用每個***項的“Common”（普通）選項卡中的選項，您可以更精細(xì)地控制 GPP。“Common”（普通）選項卡包括五個用于不同設(shè)置的復(fù)選框、一個用于配置導(dǎo)向的選項以及一個用于描述 GPO ***項以便進(jìn)行記錄和故障排除的文本框。

出現(xiàn)錯誤時停止處理此擴(kuò)展中的項目組策略處理的默認(rèn)行為是處理所有設(shè)置，即使有多個設(shè)置具有相同的“客戶端擴(kuò)展”(CSE) 且其中某個設(shè)置失敗時也是如此。 如果希望使某個 CSE 中的設(shè)置過程在該 CSE 內(nèi)的任何一個設(shè)置失敗時停止，則啟用此選項。此設(shè)置僅具有當(dāng)前 GPO 的范圍。

在已登錄用戶的安全上下文中運行（用戶策略選項）在應(yīng)用組策略設(shè)置（策略和***項之類的設(shè)置）時，它們將使用本地系統(tǒng)帳戶來實施。很明顯，由于本地系統(tǒng)帳戶只能訪問系統(tǒng)環(huán)境變量和本地資源，因此用戶上下文不可用。為了能夠訪問用戶環(huán)境變量和網(wǎng)絡(luò)資源，可啟用此選項以使用登錄用戶的帳戶來處理組策略***項。

當(dāng)此項目不再適用時將其刪除 從用戶或計算機(jī)中刪除 GPO 時并不會從注冊表中刪除 GPP 設(shè)置，當(dāng)用戶或計算機(jī)脫離開 GPO 管理范圍時也不會刪除它們。要在 GPO 不再適用于用戶或計算機(jī)對象時將***項設(shè)置刪除，可啟用此選項（但應(yīng)注意此選項并不適用于某些擴(kuò)展，如用于 Internet Explorer 的擴(kuò)展）。

只應(yīng)用一次而不再重新應(yīng)用組策略有默認(rèn)的刷新間隔，大約每 90 分鐘刷新一次。執(zhí)行此刷新是為了使新設(shè)置能夠被應(yīng)用、舊設(shè)置能夠被重新應(yīng)用，而無需計算機(jī)或用戶重新啟動或重新登錄。如果當(dāng)前正在配置的 GPP 設(shè)置僅對計算機(jī)應(yīng)用一次且永不更新，則可啟用此設(shè)置。此機(jī)制在建立 GPP 能夠產(chǎn)生影響的初始配置數(shù)組時極為有用，同時它還允許用戶在登錄后通過更改設(shè)置來創(chuàng)建自定義的環(huán)境，而不會將原有設(shè)置覆蓋。

如果這些設(shè)置位于“User Configuration”（用戶配置）下，GPP 會在用戶登錄的每臺計算機(jī)上應(yīng)用一次這些設(shè)置。如果該設(shè)置位于“Computer Configuration”（計算機(jī)配置）下，GPP 會在每臺計算機(jī)上都應(yīng)用一次。但要注意，這是這些設(shè)置的一次性應(yīng)用。要更新或重新應(yīng)用這些設(shè)置，必須先取消選中此選項。

導(dǎo)向編輯器 默認(rèn)情況下，位于 GPO 管理范圍內(nèi)的所有用戶和計算機(jī)都將收到 GPO 中的這些設(shè)置。要將這些設(shè)置僅應(yīng)用到默認(rèn)用戶和計算機(jī)的某個子集，可使用導(dǎo)向來實現(xiàn)。有超過 25 種不同的導(dǎo)向項目可供使用；它們既可單獨使用也可與其他項目結(jié)合使用。圖 6 顯示了項目級別導(dǎo)向選項的完整列表。

圖 6 項目級別導(dǎo)向被用來動態(tài)控制用戶和計算機(jī)對象的 GPP 設(shè)置

說明“Description”（說明）文本框用于記錄各個 GPP 設(shè)置的設(shè)置、選項和導(dǎo)向項目。這是在 GPME 中選定特定***項設(shè)置時將會看到的文本，而無需對 GPP 設(shè)置本身進(jìn)行編輯，如圖 7 所示。

管理 GPP

GPP 的管理方式與其他 GPO 設(shè)置相同。唯一的不同之處如前面所述，即它們必須通過運行 Windows Server 2008 或 Windows Vista SP1 的計算機(jī)進(jìn)行管理。

假設(shè)您要在 GPO 的“User Configuration”（用戶配置）部分配置某個驅(qū)動器映射。其***項設(shè)置位于“User Configuration”（用戶配置）|“Preferences”（***項）|“Windows Settings”（Windows 設(shè)置）|“Drive Maps”（驅(qū)動器映射）下。通過右鍵單擊“Drive Maps”（驅(qū)動器映射）設(shè)置，可選擇“New—Mapped Drive”（新映射的驅(qū)動器）來創(chuàng)建新策略，如圖 8 所示。在此處輸入用于映射驅(qū)動器的信息，如位置、本地驅(qū)動器標(biāo)簽以及驅(qū)動器盤符等。

此時，您可以選擇將該驅(qū)動器映射應(yīng)用到 GPO 范圍內(nèi)的每個用戶，也可以通過配置項目級別的導(dǎo)向來限制接收該設(shè)置的用戶。您應(yīng)根據(jù)安全組成員身份來建立用于控制可接收驅(qū)動器映射的用戶的項目級別導(dǎo)向，并通過運行快速檢查來查看他們在其計算機(jī)上是否具有某個特定的程序 (.exe) 文件。之所以執(zhí)行第二項檢查，是因為當(dāng)前您映射的共享文件夾包含僅在使用該程序文件進(jìn)行訪問時才有用的文件。

要建立這些項目級別導(dǎo)向設(shè)置，請單擊“New Drive Properties”（新驅(qū)動器屬性）對話框中的“Common”（普通）選項卡。然后單擊“Item-level targeting”（項目級別導(dǎo)向）旁的復(fù)選項，再單擊“Targeting”（導(dǎo)向）按鈕。這將打開“Item-level targeting”（項目級別導(dǎo)向）對話框。單擊“Item Options”（項目選項）下拉列表，然后單擊“Security Group”（安全組）。接下來單擊“Browse”（瀏覽），即可配置相應(yīng)的組和示例中的 HR 用戶（請參閱圖 9）。

現(xiàn)在需要配置到 .exe 文件的路徑。從“Match type”（匹配類型）下拉列表中選擇“File Match”（文件匹配）來添加匹配條件。然后鍵入該文件的路徑，在本例中為 C:\Program Files\ACME\HRBenefits.exe。（注意：“Drive Maps”（驅(qū)動器映射）和“Printers”（打印機(jī)）都按照前臺 GPO 策略進(jìn)行刷新。有關(guān)前臺和后臺策略刷新的詳細(xì)信息，請參閱 GPP 文章組策略處理。）

此后，每當(dāng)用戶在注銷后再次登錄時，映射的驅(qū)動器都會顯示出來，但前提是該用戶是 HR 安全組的成員并且他的計算機(jī)上有 HRBenefits.exe 文件。如果不滿足這些條件，驅(qū)動器盤符將不會顯示。

圖 9 項目級別導(dǎo)向選項可加以合并

組策略***項前來解圍

這里是我利用 GPP 解決的一些問題的簡要清單：

總結(jié)

利用組策略***項可以輕松地進(jìn)行管理和部署。由于此技術(shù)與 Windows Server 2003 SP1 和 Windows XP SP2 都兼容，因此幾乎所有公司都可以從它們所引入的新設(shè)置和新功能中受益。這將減少實施成本并使管理員能夠更有效地控制他們需要用來開展其工作的桌面。

通過將良好的組策略部署設(shè)計與項目級別導(dǎo)向相結(jié)合，可賦予管理員創(chuàng)建動態(tài)桌面和服務(wù)器配置的能力。在提供的超過 25 種的項目級別導(dǎo)向條件中，幾乎每種設(shè)置都被控制用于最適合的情況。有關(guān)組策略的詳細(xì)信息，請參閱組策略資源工具包，也可訪問網(wǎng)站Windows Server 組策略。

Derek Melber是獨立的顧問、培訓(xùn)師及作家。Derek 負(fù)責(zé)推廣 Microsoft 技術(shù)，主要是 Active Directory、組策略、安全性以及桌面管理。Derek 定期編著在線及印刷出版物，他已編寫了 10 多本技術(shù)書籍，其中包括 Microsoft 于 2008 年出版的《The Microsoft Windows Group Policy Resource Kit》（Microsoft Windows 組策略資源工具包）

您可以通過 derekm@braincore.net 與 Derek 聯(lián)系。

原文地址

文章來源：TechNet中文網(wǎng)

【編輯推薦】

1. Windows 7和Windows Server 2008 R2的組策略中的新增功能
2. 五個必須立刻實施的Windows組策略選項
3. 網(wǎng)管運維必備 巧用組策略完成繁瑣工作