WindowsVista如何部署组策略?

系统 Windows
由于使用组策略可以集中进行桌面管理,因此能够提高工作效率。本文将帮助您对WindowsVista中提供的新功能和更新功能进行排序,并提供一些最佳操作来帮助您部署组策略。

在windows 系统中组策略的功能强大,这是系统管理员众所周知的事情。而本文将帮助您对WindowsVista中提供的新功能和更新功能进行排序,并提供一些最佳操作来帮助您部署组策略。

随着Windows(R)Vista(TM)的引入,现在可以使用组策略集中管理比Microsoft(R)WindowsServer(TM)2003中所能够处理的更多功能和组件行为。组策略设置的数量已从WindowsServer2003ServicePack1中的大约1,800个增加到WindowsVista和WindowsServer?2008中的大约2,500个。这样便提供了700多个新策略来帮助您管理桌面、安全和运行网络的所有其他方面。

组策略简介

由于使用组策略可以集中进行桌面管理,因此能够提高工作效率。集中管理桌面可以降低总拥有成本(TCO)。在衡量分布式计算机环境中的TCO时,最终用户工作效率低下是主要成本之一。以下各项会造成最终用户工作效率低下:

用户错误:例如,修改系统文件造成计算机无法操作。

复杂性:桌面上不重要的应用程序和功能让一些用户感到困惑或者需要其他培训。

未经批准的应用程序:通过电子邮件传递的应用程序、下载的应用程序或从可移动介质传输的应用程序都可能会威胁公司网络。

组策略有助于提高工作效率,这是因为可以使用组策略为用户和计算机定义策略设置和允许的操作。组合这些策略设置可以创建特定于用户工作职责和体验级别的桌面。

组策略不但应用于用户和客户端计算机,而且应用于成员服务器、域控制器和管理范围内的任何其他MicrosoftWindows计算机。默认情况下,应用于域的组策略(即在域级别应用,也就是ActiveDirectory用户和计算机根目录的上一级别)会影响域中的所有计算机和用户。

ActiveDirectory用户和计算机还提供了内置的域控制器组织单位。如果在该组织单位中保存了域控制器帐户,则可以使用组策略对象默认域控制器策略从其他计算机单独管理域控制器。组策略在WindowsServer2003和WindowsXP建立的基础上进行了扩展和改进,涵盖了更多的策略设置和扩展、更好的网络感知和可靠性以及更便捷的管理。

定义组策略

可以使用组策略通过创建组策略设置为用户和计算机组定义特定的配置。这些设置通过组策略对象编辑器(以前称为GPedit)指定并包含在组策略对象(GPO)中,该对象进而链接到ActiveDirectory容器,如站点、域或组织单位。这样,组策略设置将应用于这些ActiveDirectory容器中的用户和计算机。可以配置一次用户的工作环境,并依靠系统强制执行定义的策略。

此方法可使组策略将策略设置应用于这些ActiveDirectory容器中的用户和计算机。可以配置一次用户的工作环境,并依靠WindowsVista强制执行定义的策略设置。

组策略功能

可以创建确定Windows行为和保护用户和计算机安全的特定策略设置。以下各节描述了组策略的关键功能。

1.基于注册表的策略设置

实现基于注册表的策略设置是Windows中最常见的策略设置形式。可以使用组策略对象编辑器为应用程序和Windows定义基于注册表的策略设置。例如,在WindowsVista中,可以为所有受影响的用户启用一个将“运行”命令添加到“开始”菜单的策略设置。

2.安全设置

组策略提供了一些选项,可以通过这些选项为GPO范围内的计算机和用户设置安全选项。可以为本地计算机、域和网络指定安全设置。为提供附加保护,可以应用软件限制策略,防止用户基于路径、URL区域、哈希或发行者条件运行文件。可以通过为特定软件创建规则来指定此默认安全级别的例外。

3.软件限制策略设置

为抵御运行WindowsXP和WindowsServer2003的计算机上的病毒、有害应用程序以及对计算机的攻击,组策略提供了新的软件限制策略设置。现在可以使用策略设置标识在域中运行的软件,并控制其执行能力。

4.软件分发

可以使用组策略集中管理应用程序的安装、更新和删除。由于各组织可以部署和管理自定义桌面配置,因此可以花费更少的金钱逐个支持用户。软件可以分配给用户或计算机(强制软件分发)或发布给用户(允许用户通过“控制面板”中的“添加或删除程序”有选择地安装软件)。用户获得了执行工作所需的灵活性,不需要花时间自己配置系统。

可以使用组策略部署批准的程序包。例如,在用户无权安装应用程序的高托管桌面环境中,WindowsInstaller服务将代表用户执行安装。此外,对于高托管工作站,WindowsInstaller集成通过组策略实现的软件限制策略设置,将新安装限制在一个可接受软件列表中。

5.计算机和用户脚本

可以使用脚本在计算机启动和关闭以及用户登录和注销时自动执行任务。Windows脚本宿主支持的任何语言,包括VBScript、JavaScript、PERL和MS-DOS?样式的批处理文件(.bat和.cmd)。

6.文件夹重定向

使用文件夹重定向可以将重要的用户文件夹(如“文档”文件夹和“用户”文件夹)重定向到基于服务器的位置。文件夹重定向提供了对这些文件夹的集中管理,使您能够代表用户方便地备份和还原这些文件夹。

7.InternetExplorer维护

可以在支持组策略的计算机上管理和自定义MicrosoftInternetExplorer的配置。组策略对象编辑器包括InternetExplorer“维护”节点,使用该节点可以在运行Windows2000和更高版本的计算机上编辑InternetExplorer安全区域、隐私设置和其他参数。

WindowsVista组策略中的新增功能

在WindowsVista中,组策略增强功能显著改进了组策略实现的计划、分段、部署、管理、疑难解答和报告的能力。本节描述组策略中一些关键的新功能。

1.组策略管理控制台集成

组策略管理控制台(GPMC)是一种可编脚本的Microsoft管理控制台(MMC)管理单元,为在企业中管理组策略提供单一的管理工具。最初,GPMC作为MicrosoftWindows?XP和WindowsServer2003的单独下载组件提供。现在,它直接集成到操作系统中,与组策略对象编辑器一起作为管理组策略的标准工具。

2.部署电源管理设置

所有电源管理设置都已启用组策略,从而提供了潜在的巨大成本节约。通过组策略控制电源设置可让组织节省大量资金。可以通过单个组策略设置修改特定的电源设置,或者构建可使用组策略部署的自定义电源计划。

3.限制设备访问

可以集中限制在组织的计算机上安装设备。现在,能够创建策略设置以控制对设备(如USB设备、CD-RW驱动器、DVD-RW驱动器以及其他可移动介质)的访问。

4.安全设置的改进

Windows防火墙和IPsec组策略设置合并到了带高级安全扩展的Windows防火墙中,从而无需创建和维护重复的功能即可同时利用这两种技术的优势。这些组合的Windows防火墙和IPsec策略设置所支持的某些方案是通过Internet传输的服务器与服务器之间的安全通信,从而可根据信任关系或计算机的运行状况限制对域资源的访问权限,并且会保护与特定服务器的数据通信,以满足数据隐私和安全的法规要求。

5.扩展的InternetExplorer设置管理

可以打开并编辑InternetExplorer组策略设置,而不会根据管理工作站的配置意外更改策略设置状态。此更改取代了以前的行为,在以前的行为中,一些InternetExplorer策略设置会根据用于查看设置的管理工作站上启用的策略设置发生更改。

6.根据位置分配打印机

能够根据组织中的位置或地理位置分配打印机是WindowsVista中的一个新功能。当移动用户移动到不同位置时,组策略可以针对新的位置更新他们的打印机。回到其主要位置的移动用户可以看到其打印机仍为惯用的默认打印机。

7.为用户委派打印机驱动程序安装

管理员现在可以使用组策略为用户委派安装打印机驱动程序的能力。该功能通过限制管理凭据的分发来维护安全性。

新的或扩展的组策略设置摘要

若要查看新的或扩展的组策略设置类别摘要表,请参阅http://go.microsoft.com/fwlink/?LinkId=54020(可能为英文网页)。

组策略工具的范围组策略对象编辑器是Microsoft管理控制台(MMC)的一个管理单元,用于配置和修改单个组策略对象(GPO)中的组策略设置。

每个WindowsVista操作系统都有一个或多个本地组策略对象(LGPO)。策略设置通过组策略对象编辑器或通过脚本手动应用于LGPO。LGPO包含的策略设置比基于域的GPO少,特别是安全设置下的策略设置更少。在配置为独立客户端计算机时,LGPO不支持文件夹重定向、远程安装服务或组策略软件安装,但可以使用它们在此类计算机上提供安全操作环境。

管理员还需要能够快速修改整个网络环境中的多个用户和计算机的组策略设置。组策略对象编辑器提供了一个用于配置GPO中组策略设置的分层树结构。GPO然后可以链接到包含计算机或用户对象的站点、域和组织单位(OU)。请参见图1。

组策略对象编辑器由两个主要部分构成:用户配置和计算机配置,用户配置保存应用于用户的设置(在登录和定期进行后台刷新时),计算机配置保存应用于计算机的设置(在启动和定期进行后台刷新时)。这两部分又进一步分为可以设置的不同策略类型,如管理模板、安全或文件夹重定向。

为了高效地工作,您需要即时访问各个策略设置的功能和用途信息。对于管理模板策略设置,组策略对象编辑器直接在控制台的Web视图中提供了有关每个策略设置的信息。此信息称为说明文字。说明文字显示操作系统要求,定义策略设置,并且包含有关启用、禁用或不配置策略设置的效果的所有特定详细信息。

组策略管理控制台(GPMC)

组策略管理控制台(GPMC)是一个用于组策略管理的综合管理工具。GPMC随WindowsVista操作系统一起提供。

GPMC将ActiveDirectory管理工具的属性页上的现有组策略功能集成到了一个专门用于执行组策略管理任务的单独统一的控制台。GPMC还通过一些新功能扩展了管理能力。尽管仍然是使用ActiveDirectory管理工具来管理ActiveDirectory,但GPMC将这些工具的组策略管理功能替换为自己的管理功能。请参见图2。

注意

组策略管理控制台(GPMC)工具在两个版本中提供。

1.GPMC(1.0版)自2003年以来已提供下载,旨在用于配置WindowsServer2003环境和WindowsXP中的组策略。

2.GPMC(2.0版)内置在WindowsVista中,旨在用于配置所有Windows环境中的组策略。

请不要在WindowsVista中下载或使用旧版GPMC(1.0版),这是因为该版本与WindowsVista不兼容。

在混合环境中管理桌面

Vista上的组策略管理

MicrosoftWindowsVista引入了一种用来定义基于注册表策略设置的新格式。基于注册表的策略设置(位于组策略对象编辑器中的管理模板类别下)是使用基于标准的XML文件格式(也称为ADMX文件)定义的。这些新文件替换了使用自己的标记语言的ADM文件。ADMX文件的关键好处之一是支持多语言环境,这是使用ADM文件不容易实现的。组策略工具(组策略对象编辑器和组策略管理控制台)除增加了读取新的ADMX文件的功能外,其他大部分内容都没有更改。在大部分情况下,在进行日常组策略管理任务时不会注意到ADMX文件的存在。

有些情况下需要了解ADMX文件的结构方式以及它们的存储位置。WindowsVista或WindowsServer2008中包含的组策略工具可以识别ADMX和ADM文件。WindowsServer2003以及较早版本的Windows中包含的组策略工具只能识别ADM文件。

与ADM文件不同,ADMX文件不存储在各个GPO中。对于基于域的企业,还可以为ADMX文件创建能够由有权创建或编辑GPO的任何人访问的中央存储位置。组策略工具将继续识别与现有GPO关联的自定义ADM文件,但将忽略被ADMX文件取代的任何ADM文件:System.adm、Inetres.adm、Conf.adm、Wmplayer.adm和Wuau.adm。

组策略对象编辑器基于本地或可选ADMX中央存储中存储的ADMX文件自动读取和显示管理模板策略设置。组策略对象编辑器将自动显示GPO中存储的自定义ADM文件中定义的管理模板策略设置。仍可以使用添加/删除模板菜单选项添加或删除GPO的自定义ADM文件。当前位于由WindowsServer2003、WindowsXP和Windows2000提交的ADM文件中的所有组策略设置也可用于WindowsVista和WindowsServer2008ADMX文件。

ADMX文件在混合桌面环境中的实现

如果您是某个组织的管理员,该组织的环境是一个运行WindowsVista、WindowsXP和Windows2000的混合桌面环境,则需要清楚新的组策略设置。WindowsVista组策略设置仅可以与WindowsVista一起使用,在较早版本的Windows中将被忽略。

WindowsVista或WindowsServer2008的新策略设置只能从运行组策略对象编辑器或组策略管理控制台的WindowsVista或WindowsServer2008管理计算机上进行管理。此类策略设置仅在ADMX文件中定义,不在这些工具的WindowsServer2003、WindowsXP或Windows2000版本中公开。管理员需要使用WindowsVista或WindowsServer2008管理计算机上的组策略对象编辑器配置基于WindowsVista的新组策略设置。

WindowsServer2003、WindowsXP或Windows2000计算机上的组策略对象编辑器将无法正确显示可能在GPO中启用或禁用的新WindowsVista管理模板策略设置。而是会将与这些策略设置关联的注册表值显示在组策略对象编辑器中的“特别的注册表设置”下。

组策略对象编辑器和组策略管理控制台的WindowsVista版本可用于管理支持组策略的所有操作系统(WindowsVista、WindowsServer2008、WindowsServer2003、WindowsXP和Windows2000)。

当前存在于WindowsServer2003、WindowsXP和Windows2000的ADM文件中的管理模板策略设置可以从支持组策略的所有操作系统(WindowsVista、WindowsServer2003、WindowsXP和Windows2000)中进行配置。

组策略对象编辑器和组策略管理控制台的WindowsVista版本支持与WindowsServer2003和WindowsXP上这些工具版本进行互操作。例如,存储在GPO中的自定义ADM文件将由WindowsVista、WindowsServer2008、WindowsServer2003和WindowsXP上的组策略对象编辑器和组策略管理控制台使用。请参见表1。

组策略对象编辑器的WindowsVista版本支持与WindowsServer2000上的组策略对象编辑器版本进行互操作。例如,存储在GPO中的自定义ADM文件将由WindowsVista、WindowsServer2008和Windows2000上的组策略对象编辑器使用(GPMC不在Windows2000上运行)。

在早期版本的操作系统中,在创建组策略对象(GPO)时,所有默认的管理模板文件(ADMfiles)都存储在GPO中。存储成本大约是每个GPO4MB。在导致更改所有GPO的事件(例如,在从Windows2000域升级到WindowsServer2003域的过程中修改GPO上的权限)中,复制通信量将达到峰值。这种情况导致GPO之间的所有ADM文件立即进行复制,这会影响网络带宽可用性和性能。

在WindowsVista和WindowsServer2008中,此过程已替换为SYSVOL上的中央存储(包含新的ADMX文件)。与早期版本的Windows不同,使用WindowsVista创建的GPO不是每个都包含ADMX文件。此更改意味着通过更有效的DFS复制服务提供更少的数据复制。

只要所有组策略管理员都使用WindowsVista客户端,新的GPO就不会在GPO中包含ADM或ADMX文件。此更改的结果是每个GPO将节省大约4MB。在企业更新为使用新的DFS服务后,将使用仅复制GPO中的差异的DFS复制服务来复制GPO中包含的信息。在组策略管理员更改GPO后,这两个更改将大大减少所需的存储量和网络带宽。

表1WindowsVistaGPMC和下载GPMC的行为

行为WindowsVistaGPMC下载GPMC

可以管理WindowsServer2003、WindowsXP和Windows2000是可以管理WindowsVista和WindowsServer2008否多语言支持否可以读取自定义ADM文件是文件的默认位置GPO可以使用中央存储否在GPO中避免重复文件(SYSVOL过多)否添加GPO特定文件的选项(添加/删除模板)

仅ADM文件

仅ADM文件文件比较时间戳

最佳操作WindowsVista向Windows环境引入了800多个新的组策略设置。本节介绍将组策略设置从WindowsXP应用到WindowsVista所需的信息,解释基本管理概念并描述在管理安全策略时使用的最佳操作。

1.将组策略管理员的工作站升级到WindowsVista。现在,将从运行WindowsVista的计算机上执行所有组策略管理。

2.(可选)在SYSVOL上为每个ActiveDirectory主域控制器(PDC)创建一个中央存储,其中组策略由运行WindowsVista的管理员管理。使用组策略管理员的WindowsVista工作站中的ADMX/ADML文件填充每个PDC上的中央存储。请参阅“管理组策略ADMX文件循序渐进指南”,网址为:http://go.microsoft.com/fwlink/?LinkId=75124(可能为英文网页)。

3.创建新的GPO(或更新现有的GPO),以包括希望使用的新WindowsVista组策略设置。

注意您可能希望将这些GPO链接到将包含新加入WindowsVista域的工作站的OU。

注意在少数情况下,可能需要扩展AD架构以适应新设置。

4.按部署项目部署WindowsVista工作站。

注意根据需要,新的或更新的GPO将应用于WindowsVista工作站。

创建中央存储

中央存储是在每个域的域控制器上的SYSVOL目录中创建的文件夹结构。只需要在单个域控制器上为组织中的每个域创建一次中央存储。然后,文件复制服务会将中央存储复制到所有域控制器。建议在充当主域控制器模拟器FSMO角色的域控制器上创建中央存储,这是因为组策略管理控制台和组策略对象编辑器在默认情况下连接到主域控制器。

中央存储由根级别文件夹(包含所有ADMX中性语言文件)和子文件夹(包含ADMX特定语言资源文件)构成。

注意

在没有中央存储时,组策略对象编辑器将读取WindowsVista管理计算机上由本地GPO使用的ADMX文件的本地版本。若要执行此过程,您必须是ActiveDirectory中DomainAdministrators组的成员。

创建中央存储

1.在域控制器上为中央存储创建根文件夹%systemroot%\sysvol\domain\policies\PolicyDefinitions。

2.在%systemroot%\sysvol\domain\policies\PolicyDefinitions中为组策略管理员将使用的每种语言创建一个子文件夹。每个子文件夹都按照适当的ISO样式语言/区域性名称命名。有关ISO样式语言/区域性名称的列表,请参阅区域设置标识符(可能为英文网页)。例如,若要为美式英语创建子文件夹,请创建子文件夹:%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US。

使用ADMX文件填充中央存储

在WindowsVista中没有用于填充中央存储的用户界面。以下过程介绍了如何从域控制器使用命令行语法填充中央存储。

填充中央存储的步骤

1.打开命令窗口:单击“开始”,再单击“运行”并键入cmd,然后按Enter。

2.若要使用复制命令将所有ADMX中性语言文件(.admx)从WindowsVista管理工作站复制到域控制器上的中央存储,请键入:

copy%systemroot%\PolicyDefinitions\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\

3.若要使用复制命令将所有ADMX特定语言资源文件(.adml)从WindowsVista管理工作站复制到域控制器上的中央存储,请键入:

copy%systemroot%\PolicyDefinitions\[MUIculture]\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[MUIculture]\

例如,若要复制所有美式英语.adml文件,请键入以下内容:

copy%systemroot%\PolicyDefinitions\EN-US\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\

下载新架构

WindowsVista支持可以通过组策略设置配置的增强,这些设置由运行WindowsServer2008的域控制器所支持。若要让运行WindowsServer2003或WindowsServer2003R2的域控制器构成的ActiveDirectory服务环境支持这些增强,必须扩展ActiveDirectory架构。有关为支持WindowsVista无线和有线组策略增强所需的ActiveDirectory架构扩展的信息,请参阅http://go.microsoft.com/fwlink/?LinkId=70195(可能为英文网页)。

注意

仅当需要无线和有线组策略增强或者需要BitLocker组策略增强时才需要扩展架构。

对于BitLocker架构更改,请参考BitLockerActiveDirectory部署工具包中的ActiveDirectoryforBitLockerandTPM备份安装指南。

其他最佳操作

在开始使用WindowsVista组策略设置之前,请确保阅读这些指南和WindowsVista文档,因为这些指南和文档可以为您进行组策略设置打下坚实的基础。

使用GPMC备份和还原基于域的组策略对象(可能为英文网页)

使用WindowsVistaGPMC(2.0版)保存的备份与下载的GPMC版本(1.0版)不兼容。另外,下载的GMPC版本不备份组策略对象中包含的所有WindowsVista组策略设置。要获得最佳效果,请使用WindowsVistaGPMC(2.0版)备份和还原所有组策略对象。

针对IT专业人员的WindowsVista循序渐进指南(可能为英文网页)

这些循序渐进指南将帮助IT专业人员部署或迁移到WindowsVista。这些指南还提供了有关如何使用设备管理和安装(DMI)来控制设备安装以及如何管理ADMX文件的循序渐进信息。

WindowsVista组策略设置TechNet虚拟实验室(可能为英文网页)

这些实验室主要供负责管理ActiveDirectory域中的WindowsVista工作站的IT专业人员参考。这些实验室将探索新的和扩展的组策略设置。

有关WindowsVista组策略设置的示例,请参阅(可能为英文网页)。

若要通过“Crimson”事件管理和日志记录获得WindowsVista组策略事件日志示例项,请参阅(可能为英文网页)。

欲知更多有关WindowsVista部署组策略的知识,请点击WindowsVista组策略详解

【编辑推荐】

  1. 组策略命令详解
  2. 组策略如何限制域用户的权限?
  3. 组策略与注册表之间的区别和联系
  4. 组策略变成打开方式故障解决实例
  5. 组策略如何隐藏和禁用以及远程编辑?
责任编辑:韩亚珊 来源: 火魔网
相关推荐

2011-08-03 09:28:23

2011-07-26 10:09:07

组策略软件部署

2011-07-26 14:17:55

2010-12-27 15:22:47

组策略

2011-07-28 13:25:46

进入组策略

2011-07-21 17:08:41

组策略

2011-07-28 14:07:30

2011-08-01 18:16:43

组策略用户权利指派

2011-07-28 14:14:17

组策略组策略命令

2011-07-28 13:56:38

组策略组策略编辑器

2011-07-22 09:31:11

2010-04-30 17:07:03

组策略部署

2011-08-03 09:55:30

WindowsPowe组策略

2011-07-28 16:27:48

域控制器组策略

2016-10-09 09:28:22

Windows 10组策略配置

2011-07-20 14:43:29

组策略

2011-07-22 10:51:51

2011-08-03 10:48:07

2010-04-29 17:14:47

组策略自定义安装

2011-07-22 14:11:17

组策略
点赞
收藏

51CTO技术栈公众号