組策略概述
相信"組策略"(Group Policy)這個名詞已經為廣大的
Windows用戶所知曉。
微軟在Windows NT 4.0中早就有了基於策略的管理--策略編輯器--一個深受NT
管理員歡迎的實用程式,但它個並不為大多數用戶所掌握並加以套用。為此,
微軟在Windows 2000中不但徹底更新了目錄服務,而且推出了與這個目錄完全集成的策略管理--
組策略對象(GPO)。隨著
Windows 2000的深入套用,組策略的套用也隨之遍地開花,影響力遠遠超過了它的前身。可以說,組策略配置的正確與否將與您整個網路息息相關--雖然您可以完全放棄它,然而,作為一種手段,組策略的成功套用將起到事半功倍的效果。
GPMC的起源
當然,並不是每個人都成功了。隨著組策略的深入套用,對這些組策略的管理成了用戶最大的負擔,而部分用戶根本無法預料他所配置的組策略會產生什麼樣的後果,很多時候結果大大出乎他們的意料。在
微軟新聞組裡,恐怕最著名的組策略問題就是"本地策略不允許您互動式登錄"。GPMC(Group Policy Management Console,組策略管理控制台)就是
微軟在汲取遍布全球的合作夥伴及大量客戶反饋的基礎上醞釀而成的。
GPMC由一個全新MMC管理單元及一整套腳本化的接口組成,提供了集中的組策略管理方案,可以大大減少不正確的組策略可能導致的網路問題並簡化組策略相關的安全問題,解決組策略部署中的難點,減輕了IT
管理員們在實施組策略時所承擔的沉重包袱。
主要功能
在我撰寫這篇文章之時,GPMC還僅僅是一個Beta 2版本,
微軟仍然在不斷地對它進行完善,以增強它的穩定性和易用性。GPMC僅僅是
微軟提供給廣大用戶的一個實用
軟體包,並不隸屬於微軟的Server或者Application產品。下載後的GPMC安裝程式只有4MB左右,真可謂小巧而實用。需要注意的是,GPMC僅能安裝在帶有SP1的Windows XP或者Windows Server 2003 Build 3602以後版本的計算機上,雖然它不支持安裝在Windows 2000的計算機上,但您仍然可以使用它管理一個Windows 2000域中的組策略(但在支持的功能上有一定差別)。您在一台
管理域的計算機上安裝GPMC之後,在管理工具中會添加"Group Policy Management"(GPM)選單項。當您試圖使用
活動目錄用戶與
計算機管理單元編輯一個組策略時,系統將自動要求您打開GPMC來管理組策略,如圖1所示。
GPMC除了實現一般的組策略管理任務,如創建、刪除、修改外,還提供了複製、導入、備份、恢復功能。更值得一提的是,GPMC中的組策略報告功能對組策略在計算機上的生效狀況提供了詳細的說明。
首次打開GPM,僅顯示為一個空白的MMC界面。首先,我們來瀏覽一下GPMC左邊
面板中提供的功能。右擊"Group Policy Management",從關聯選單中單擊"Add Forest…",輸入一個現有的Windows 2000或Windows 2003域名。GPM自動連線相應的
域控制器並顯示當前域的組織單元層次,這個層次與您在
活動目錄用戶和
計算機管理單元中看到的一模一樣。左面板中除了顯示
活動目錄中組織單元層次外,還有4個特別引人注意的名稱:Default Domain Policy、Group Policy Objects、Group Policy Results、Group Policy Modeling。我們分別來看一下這4項功能。估計很多讀者從字面意思就可以意會到他們的功能。
Default Domain Policy。每當您創建一個Windows 2000域之後,系統自動產生兩個默認的
組策略對象:Default Domain Policy與Default Domain Controllers Policy(這個組策略顯示在Domain Controllers容器里)。如果您連線了多個域,在這裡會顯示出多個域默認的域組策略。從右邊面板中,您可以查看這個域組策略的設定,添加或者刪除管理策略被委託的用戶。圖2顯示的是一個典型的Default Domain Policy視圖。
Group Policy Objects。這個對象包括當前選定域的所有
組策略對象。在這裡您可以完成組策略的添加、備份、恢復、
重命名、刪除、導入等一系列重要功能。單擊任何一個組策略名稱,都將在右面板中顯示一個與圖2類似的視圖。注意,當您單擊這個對象中的Default Domain Policy或者Default Domain Controller Policy時,系統自動檢測與之相關的SYSVOL資料夾的許可權,如發現有不一致現象,系統提示您需要修復,此時,單擊"Yes"後系統自動完成修復過程。圖3顯示了Group Policy Objects對象的典型視圖與常見任務清單。
Group Policy Results。可能出乎您的意料,單擊該對象之後,默認情況下(尤其是第一次使用)右面板中並不顯示任何對象。在這裡,其實是一個非常好的組策略驗證"環境",使用組策略結果(Group Policy Result)可以驗證部署到指定的用戶或者計算機的組策略是否正確。右擊右面板空白區域,從關聯選單中選擇"Group Policy Result Wizard…",嚮導允許您指定希望驗證組策略結果的計算機(被查詢的計算機必須支持
RSoP Logging,Windows XP以後版本均支持該功能),然後GPMC檢查出該計算機上載入的
組策略對象(一般地,對於一台加入域的計算機,至少有兩個組策略對象,即默認域組策略與本地策略),經身份確認後,GPMC查詢出這台計算機上策略的設定清單並且自動產生組策略報告顯示在右面板中,圖4顯示的是報告的典型樣例。從報告的"Settings"與"Policy Events"(該項數據其實取自
事件查看器)中您還可以獲得更多有價值的信息。
一些有經驗的用戶會發現,該節點的功能與
微軟在Windows 2000 Resource Kit中提供的
gpresult.exe程式相類似,微軟文檔"HOW TO: Use thesgroupsPolicy Results Tool in Windows 2000(support.microsoft.com/?id=321709)"詳細描述了如何使用gpresult.exe程式。可以說,Group Policy Results除了具有
gpresult.exe的功能外,還提供了更豐富的信息,而且它還是基於GUI--顯然更容易使用。
Group Policy Modeling。顧名思義,在這裡,您可以模擬出組策略的運行結果,並且最終得出選定容器中有效的設定。尤其是對那些經
多重繼承,重複載入
組策略對象的容器,對策略的生效狀態是最難以分辨了。組策略模擬(Group Policy Modeling)旨在從容器中通過特定的查詢,得出所有組策略組合後的有效設定,結果以HTML報告的形式顯示。需要注意的是,組策略模擬僅支持Windows Server 2003的
域控制器,如果您的GPMC連線到Windows 2000的域控制器,該節點是不可見的。對於早期版本的組策略,組策略建模以策略
結果集(
RSoP)計畫模式實現。
右擊"Group Policy Modeling"啟動(當然您也可以從任何一個容器的關聯選單中啟動)組策略模擬嚮導。嚮導通過"Step by Step"的方式收集數據,您指定的數據越精確(因為嚮導允許您跳越一些步驟),就意味著查詢結果越精確。但其中最重要的一步要您指定計算機配置與用戶配置的容器,如圖5所示。
完成相關數據的收集後,系統立即執行查詢,查詢結果顯示在右面板中。創建後的查詢
自動保存在Group Policy Modeling節點中。當您下次單擊查詢名稱時,系統自動刷新查詢結果。組策略模擬對在複雜環境中高效、簡潔地部署組策略,提供了最佳的解決方案。更吸引人的是,組策略模擬還支持組策略的迴環處理功能,從Microsoft Windows 2000新聞組中關於組策略部分可以看出,組策略的迴環處理一直以來是許多IT
管理員們最難理解、最難控制的一部分。
單擊左面板中任意一個組織單元名稱,GPMC在右邊面板中顯示與這個組織單元或者域相關的組策略配置情況,可以說,這裡所顯示的內容是整個GPM的中心所在。在這裡,您可以非常方便、清晰地看到選定的組織單元連結組策略的情況。例如,如果在一個組織單元上指派了多個
組策略對象,當您單擊該組織單元時,右視窗中自動顯示與該組織單元連結的組策略對象(默認域策略自動套用到每個組織單元,所以在組織單元組不顯示),顯示結果還包括組策略是否有效、當前狀態等,您可以立即進行更改。組策略的繼承,委託以分離的標籤頁方式顯示也顯示在同一視窗中,也就是說,現在您在單一視窗可以看到以前需要重複點擊、切換多個頁面才能看到的所有信息,圖6顯示的是一個組織單元指定組策略後顯示的默認視圖。右擊右視窗中任意一個組策略名稱,從關聯選單中選擇"Edit"系統打開標準的組策略編輯框。
右擊Windows 2000域名或者組織單元名稱,系統顯示與之相關聯的選單,從這個關聯選單中,您幾乎可以完成所有與組策略相關的任務。圖7顯示的是右擊域名時出現的關聯
選單,不難看出,除了管理組策略外,選單中還提供了搜尋、更換
域控制器、打開
活動目錄用戶與
計算機管理單元等功能。
選單中最吸引人的莫過於"Search…"功能項。回想一下,當您在Windows 2000
活動目錄中創建一系列組策略之後,待套用一段時間再想把它找出來的時候,可能是最耗時的工作。Windows 2000並沒有提供一種機制,允許您從
活動目錄檢索出現有的組策略列表。而且隨著組織單元層次深度的增加,查找組策略往往變得一籌莫展(可能這也是
微軟推薦組織單元層次不要創建得太深的原因吧)。GPMC中的搜尋功能,對實現
組策略對象的搜尋提供了一個完整的解決方案。它允許您通過指定
組策略對象名稱、被組策略對象的用戶組、GUID等項目中特定關鍵字的值列出整個站點中匹配條件的所有組策略對象。相信搜尋功能是組策略
管理員使用GPMC最有吸引力的一面。圖8顯示的是一個典型的搜尋對話框。
還有個並不特別引人注意但功能非常強大的選項--WMI Filter。眾所周知,WMI在Windows網路的管理中扮演著重要的角色,隨著Windows版本的不斷更新,WMI也不斷地更新,在Windows XP中,
微軟推出了WMIC。現在,WMI又介入到了組策略中,它以WMI Filter(篩選器)的方式實現。GPMC中的WMI篩選器支持基於WMI規範的查詢來篩選CIMON(Common Information Model (CIM)-compliant object repository,一般信息模型兼容對象
知識庫)資料庫中組策略的作用。GPMC提供了每個組策略連結到一個WMI篩選器進行過濾的能力。在"Group Policy Objects"節點中,雙擊任意一個
組策略對象,在右面板中,單擊"Scope",在頁面底部就可以輕易地為這個組策略指派一個WMI篩選器(如果您的GPMC連線到Windows 2000的森林,該選項是不可見的,WMI篩選器僅支持Windows Server 2003的
域控制器)。
最佳實踐
以上我們粗略地瀏覽了一下GPMC中提供的強大功能。我們再來看一下GPMC在實際環境中的強大作用。右擊"Group Policy Objects"節點中的任何一個
組策略對象,您會發現這個關聯
選單中提供了備份、恢復、導入設定3項功能。與其他應用程式中的備份、恢復、導入相類似,這些功能都是有效地解決組策略在受損、工作不正常時的最佳手段,GPMC提供了十分強大的備份與恢復能力。
右擊組策略名稱,從關聯選單中選取"Back Up…",系統僅僅提示您為
備份檔案輸入一個安全的資料夾名稱(為保證組策略檔案的安全性,強烈推薦備份資料夾只有指定的管理員允許訪問),然後系統自動完成備份過程。整個過程非常簡單,而且支持一個資料夾中備份多個組策略或者同一個組策略在同一目錄下備份多次。但需要注意的是,這個備份並不是完全的備份,相對於GPO"外置"的組件,如WMI Filter,IPSec Policy並不會被同時備份。
恢復過程也出乎意料的簡單,右擊您希望恢復的
組策略對象,從關聯選單中選取"Restore from Backup…",連續兩次單擊"下一步"之後,系統要求您從恢複列表中選擇組策略(在恢復之前,必須對這個組策略做過備份,否則這個列表是空的,同理,如果同一個組策略備份過多次,那么根據備份時間顯示多個恢復版本,圖9說明了這種現象),如果您已經無法回想起備份前策略的設定情況,單擊對話框中的"View Settings"即可通過HTML查看到所有設定(其實,這就是GPMC生成的報告),選定恢復版本後,單擊"下一步"*"完成"。Windows 2000用戶請注意,如果您通過Windows 2000的
域控制器恢復組策略,且這個組策略包括軟體分發功能,那么當組策略生效後,分發的軟體可能再次被安裝。因此,建議您通過Windows 2003版的
域控制器恢復
組策略對象。
最有意思的一項功能恐怕就是"Import Settings…"了。當您對一個
組策略對象執行導入設定時,GPMC將刪除原來的所有設定(因此建議您導入前先備份。我也一直在想,既然是導入,微軟為什麼不採取將新舊策略合併的方式,而非得刪除原有設定不可?也許在正式版本中,微軟會把"合併設定"作為一個選項提供吧),包括用戶設定與計算機設定,然後將指定的組策略中所有的設定導入進來。分析一下,您會發現,導入列表中顯示的
組策略對象即您曾經所有備份過的組策略,您可能會被這項功能深深地吸引。更令人驚訝的是,雖然設定導入了,但是,最關鍵的部分--組策略的安全性設定並沒有改變,也就是說沒有改變
組策略對象原來的套用範圍(對象),沒有更改的其他設定包括委託(Delegation)、連結(Link)、WMI篩選器,這恰好與上面的"不完全"備份相符。
您可能會想:如果我的備份時間長了,備份量多了,相應的管理量也同樣增加了,這不是適得其反了嗎?微軟比我們想在更前面,右擊"Group Policy Objects",然後選取"Manage Backups…",系統顯示組策略
備份檔案對話框,如圖10所示。從對話框中可以看到,可以直接對
備份檔案進行恢復、刪除、查看設定。如果您對這個備份饒有興致,不妨打開保存
組策略對象備份檔案的資料夾,您會發現所有檔案均是XML格式。
總結
綜合上面GPMC的概述,GPMC對支持
活動目錄中的
組策略對象管理提供了全新的機制,它對組策略對象的備份、恢復、導入、管理等方面的功能遠遠超出了Windows作業系統所提供的功能。當然並不僅限於此,GPMC更是一個解決方案,一種手段。基於HTML的報告,使每個組策略的信息一覽無遺,報告在GPMC中扮演著重要角色。很容易看出,GPMC是針對Windows Server 2003設計的,雖然您可以把它套用到Windows 2000的域中,但總會接收到各種各樣的"警告"信息。然而,對熱衷於組策略的您,無論在哪個平台,GPMC都會使您遊刃有餘。同時,我們更殷切地期盼微軟推出一個更完善、更易用的GPMC。