組策略管理控制臺,與Windows 2000上傳統的組策略編輯器截然不同,由一個全新的MMC管理單元及一整套腳本化的接口組成,提供了集中的組策略管理方案,可以大大減少不正確的組策略可能導致的網絡問題并簡化組策略相關的安全問題,解決組策略部署中的難點,減輕了IT管理員們在實施組策略時所承擔的沉重包袱。
組策略概述
相信"組策略"(Group Policy)這個名詞已經為廣大的Windows用戶所知曉。微軟在Windows NT 4.0中早就有了基于策略的管理科學策略編輯器--一個深受NT管理員歡迎的實用程序,但它個并不為大多數用戶所掌握并加以應用。為此,微軟在Windows 2000中不但徹底更新了目錄服務,而且推出了與這個目錄完全集成的策略管理--組策略對象(GPO)。隨著Windows 2000的深入應用,組策略的應用也隨之遍地開花,影響力遠遠超過了它的前身。可以說,組策略配置的正確與否將與您整個網絡息息相關--雖然您可以完全放棄它,然而,作為一種手段,組策略的成功應用將起到事半功倍的效果。
GPMC的起源
當然,并不是每個人都成功了。隨著組策略的深入應用,對這些組策略的管理成了用戶最大的負擔,而部分用戶根本無法預料他所配置的組策略會產生什么樣的后果,很多時候結果大大出乎他們的意料。在微軟新聞組里,恐怕最著名的組策略問題就是"本地策略不允許您交互式登錄"。GPMC(Group Policy 管理學 Console,組策略管理控制臺)就是微軟在汲取遍布全球的合作伙伴及大量客戶反饋的基礎上醞釀而成的。
GPMC由一個全新MMC管理單元及一整套腳本化的接口組成,提供了集中的組策略管理方案,可以大大減少不正確的組策略可能導致的網絡問題并簡化組策略相關的安全問題,解決組策略部署中的難點,減輕了IT管理員們在實施組策略時所承擔的沉重包袱。
主要功能
在我撰寫這篇文章之時,GPMC還僅僅是一個Beta 2版本,微軟仍然在不斷地對它進行完善,以增強它的穩定性和易用性。GPMC僅僅是微軟提供給廣大用戶的一個實用軟件包,并不隸屬于微軟的Server或者Application產品。下載后的GPMC安裝程序只有4MB左右,真可謂小巧而實用。需要注意的是,GPMC僅能安裝在帶有SP1的Windows XP或者Windows Server 2003 Build 3602以后版本的計算機上,雖然它不支持安裝在Windows 2000的計算機上,但您仍然可以使用它管理一個Windows 2000域中的組策略(但在支持的功能上有一定差別)。您在一臺管理域的計算機上安裝GPMC之后,在管理工具中會添加"Group Policy Management"(GPM)菜單項。當您試圖使用活動目錄用戶與計算機管理單元編輯一個組策略時,系統將自動要求您打開GPMC來管理組策略,如圖1所示。
GPMC除了實現一般的組策略管理任務,如創建、刪除、修改外,還提供了復制、導入、備份、恢復功能。更值得一提的是,GPMC中的組策略報告功能對組策略在計算機上的生效狀況提供了詳細的說明。
首次打開GPM,僅顯示為一個空白的MMC界面。首先,我們來瀏覽一下GPMC左邊面板中提供的功能。右擊"Group Policy Management",從關聯菜單中單擊"Add Forest…",輸入一個現有的Windows 2000或Windows 2003域名。GPM自動連接相應的域控制器并顯示當前域的組織單元層次,這個層次與您在活動目錄用戶和計算機管理單元中看到的一模一樣。左面板中除了顯示活動目錄中組織單元層次外,還有4個特別引人注意的名稱:Default Domain Policy、Group Policy Objects、Group Policy Results、Group Policy Modeling。我們分別來看一下這4項功能。估計很多讀者從字面意思就可以意會到他們的功能。
Default Domain Policy。每當您創建一個Windows 2000域之后,系統自動產生兩個默認的組策略對象:Default Domain Policy與Default Domain Controllers Policy(這個組策略顯示在Domain Controllers容器里)。如果您連接了多個域,在這里會顯示出多個域默認的域組策略。從右邊面板中,您可以查看這個域組策略的設置,添加或者刪除管理策略被委托的用戶。圖2顯示的是一個典型的Default Domain Policy視圖。
Group Policy Objects。這個對象包括當前選定域的所有組策略對象。在這里您可以完成組策略的添加、備份、恢復、重命名、刪除、導入等一系列重要功能。單擊任何一個組策略名稱,都將在右面板中顯示一個與圖2類似的視圖。注意,當您單擊這個對象中的Default Domain Policy或者Default Domain Controller Policy時,系統自動檢測與之相關的SYSVOL文件夾的權限,如發現有不一致現象,系統提示您需要修復,此時,單擊"Yes"后系統自動完成修復過程。圖3顯示了Group Policy Objects對象的典型視圖與常見任務清單。
Group Policy Results。可能出乎您的意料,單擊該對象之后,默認情況下(尤其是第一次使用)右面板中并不顯示任何對象。在這里,其實是一個非常好的組策略驗證"環境",使用組策略結果(Group Policy Result)可以驗證部署到指定的用戶或者計算機的組策略是否正確。右擊右面板空白區域,從關聯菜單中選擇"Group Policy Result Wizard…",向導允許您指定希望驗證組策略結果的計算機(被查詢的計算機必須支持RSoP Logging,Windows XP以后版本均支持該功能),然后GPMC檢查出該計算機上加載的組策略對象(一般地,對于一臺加入域的計算機,至少有兩個組策略對象,即默認域組策略與本地策略),經身份確認后,GPMC查詢出這臺計算機上策略的設置清單并且自動產生組策略報告顯示在右面板中,圖4顯示的是報告的典型樣例。從報告的"Settings"與"Policy Events"(該項數據其實取自事件查看器)中您還可以獲得更多有價值的信息。
一些有經驗的用戶會發現,該節點的功能與微軟在Windows 2000 Resource Kit中提供的gpresult.exe程序相類似,微軟文檔"HOW TO: Use thesgroupsPolicy Results Tool in Windows 2000(support.microsoft.com/?id=321709)"詳細描述了如何使用gpresult.exe程序。可以說,Group Policy Results除了具有gpresult.exe的功能外,還提供了更豐富的信息,而且它還是基于GUI--顯然更容易使用。
Group Policy Modeling。顧名思義,在這里,您可以模擬出組策略的運行結果,并且最終得出選定容器中有效的設置。尤其是對那些經多重繼承,重復加載組策略對象的容器,對策略的生效狀態是最難以分辨了。組策略模擬(Group Policy Modeling)旨在從容器中通過特定的查詢,得出所有組策略組合后的有效設置,結果以HTML報告的形式顯示。需要注意的是,組策略模擬僅支持Windows Server 2003的域控制器,如果您的GPMC連接到Windows 2000的域控制器,該節點是不可見的。對于早期版本的組策略,組策略建模以策略結果集(RSoP)計劃模式實現。
右擊"Group Policy Modeling"啟動(當然您也可以從任何一個容器的關聯菜單中啟動)組策略模擬向導。向導通過"Step by Step"的方式收集數據,您指定的數據越精確(因為向導允許您跳越一些步驟),就意味著查詢結果越精確。但其中最重要的一步要您指定計算機配置與用戶配置的容器,如圖5所示。
完成相關數據的收集后,系統立即執行查詢,查詢結果顯示在右面板中。創建后的查詢自動保存在Group Policy Modeling節點中。當您下次單擊查詢名稱時,系統自動刷新查詢結果。組策略模擬對在復雜環境中高效、簡潔地部署組策略,提供了最佳的解決方案。更吸引人的是,組策略模擬還支持組策略的回環處理功能,從Microsoft Windows 2000新聞組中關于組策略部分可以看出,組策略的回環處理一直以來是許多IT管理員們最難理解、最難控制的一部分。
單擊左面板中任意一個組織單元名稱,GPMC在右邊面板中顯示與這個組織單元或者域相關的組策略配置情況,可以說,這里所顯示的內容是整個GPM的中心所在。在這里,您可以非常方便、清晰地看到選定的組織單元鏈接組策略的情況。例如,如果在一個組織單元上指派了多個組策略對象,當您單擊該組織單元時,右窗口中自動顯示與該組織單元鏈接的組策略對象(默認域策略自動應用到每個組織單元,所以在組織單元組不顯示),顯示結果還包括組策略是否有效、當前狀態等,您可以立即進行更改。組策略的繼承,委托以分離的標簽頁方式顯示也顯示在同一窗口中,也就是說,現在您在單一窗口可以看到以前需要重復點擊、切換多個頁面才能看到的所有信息,圖6顯示的是一個組織單元指定組策略后顯示的默認視圖。右擊右窗口中任意一個組策略名稱,從關聯菜單中選擇"Edit"系統打開標準的組策略編輯框。
右擊Windows 2000域名或者組織單元名稱,系統顯示與之相關聯的菜單,從這個關聯菜單中,您幾乎可以完成所有與組策略相關的任務。圖7顯示的是右擊域名時出現的關聯菜單,不難看出,除了管理組策略外,菜單中還提供了搜索、更換域控制器、打開活動目錄用戶與計算機管理單元等功能。
菜單中最吸引人的莫過于"Search…"功能項。回想一下,當您在Windows 2000活動目錄中創建一系列組策略之后,待應用一段時間再想把它找出來的時候,可能是最耗時的工作。Windows 2000并沒有提供一種機制,允許您從活動目錄檢索出現有的組策略列表。而且隨著組織單元層次深度的增加,查找組策略往往變得一籌莫展(可能這也是微軟推薦組織單元層次不要創建得太深的原因吧)。GPMC中的搜索功能,對實現組策略對象的搜索提供了一個完整的解決方案。它允許您通過指定組策略對象名稱、被組策略對象的用戶組、GUID等項目中特定關鍵字的值列出整個站點中匹配條件的所有組策略對象。相信搜索功能是組策略管理員使用GPMC最有吸引力的一面。圖8顯示的是一個典型的搜索對話框。
還有個并不特別引人注意但功能非常強大的選項--WMI Filter。眾所周知,WMI在Windows網絡的管理中扮演著重要的角色,隨著Windows版本的不斷更新,WMI也不斷地更新,在Windows XP中,微軟推出了wmic。現在,WMI又介入到了組策略中,它以WMI Filter(篩選器)的方式實現。GPMC中的WMI篩選器支持基于WMI規范的查詢來篩選CIMON(Common Information Model (CIM)-compliant object repository,一般信息模型兼容對象知識庫)數據庫中組策略的作用。GPMC提供了每個組策略鏈接到一個WMI篩選器進行過濾的能力。在"Group Policy Objects"節點中,雙擊任意一個組策略對象,在右面板中,單擊"Scope",在頁面底部就可以輕易地為這個組策略指派一個WMI篩選器(如果您的GPMC連接到Windows 2000的森林,該選項是不可見的,WMI篩選器僅支持Windows Server 2003的域控制器)。
最佳實踐
以上我們粗略地瀏覽了一下GPMC中提供的強大功能。我們再來看一下GPMC在實際環境中的強大作用。右擊"Group Policy Objects"節點中的任何一個組策略對象,您會發現這個關聯菜單中提供了備份、恢復、導入設置3項功能。與其他應用程序中的備份、恢復、導入相類似,這些功能都是有效地解決組策略在受損、工作不正常時的最佳手段,GPMC提供了十分強大的備份與恢復能力。
右擊組策略名稱,從關聯菜單中選取"Back Up…",系統僅僅提示您為備份文件輸入一個安全的文件夾名稱(為保證組策略文件的安全性,強烈推薦備份文件夾只有指定的管理員允許訪問),然后系統自動完成備份過程。整個過程非常簡單,而且支持一個文件夾中備份多個組策略或者同一個組策略在同一目錄下備份多次。但需要注意的是,這個備份并不是完全的備份,相對于GPO"外置"的組件,如WMI Filter,IPSec Policy并不會被同時備份。
恢復過程也出乎意料的簡單,右擊您希望恢復的組策略對象,從關聯菜單中選取"Restore from Backup…",連續兩次單擊"下一步"之后,系統要求您從恢復列表中選擇組策略(在恢復之前,必須對這個組策略做過備份,否則這個列表是空的,同理,如果同一個組策略備份過多次,那么根據備份時間顯示多個恢復版本,圖9說明了這種現象),如果您已經無法回想起備份前策略的設置情況,單擊對話框中的"View Settings"即可通過HTML查看到所有設置(其實,這就是GPMC生成的報告),選定恢復版本后,單擊"下一步"*"完成"。Windows 2000用戶請注意,如果您通過Windows 2000的域控制器恢復組策略,且這個組策略包括軟件分發功能,那么當組策略生效后,分發的軟件可能再次被安裝。因此,建議您通過Windows 2003版的域控制器恢復組策略對象。
最有意思的一項功能恐怕就是"Import Settings…"了。當您對一個組策略對象執行導入設置時,GPMC將刪除原來的所有設置(因此建議您導入前先備份。我也一直在想,既然是導入,微軟為什么不采取將新舊策略合并的方式,而非得刪除原有設置不可?也許在正式版本中,微軟會把"合并設置"作為一個選項提供吧),包括用戶設置與計算機設置,然后將指定的組策略中所有的設置導入進來。分析一下,您會發現,導入列表中顯示的組策略對象即您曾經所有備份過的組策略,您可能會被這項功能深深地吸引。更令人驚訝的是,雖然設置導入了,但是,最關鍵的部分--組策略的安全性設置并沒有改變,也就是說沒有改變組策略對象原來的應用范圍(對象),沒有更改的其他設置包括委托(Delegation)、鏈接(Link)、WMI篩選器,這恰好與上面的"不完全"備份相符。
您可能會想:如果我的備份時間長了,備份量多了,相應的管理量也同樣增加了,這不是適得其反了嗎?微軟比我們想在更前面,右擊"Group Policy Objects",然后選取"Manage Backups…",系統顯示組策略備份文件對話框,如圖10所示。從對話框中可以看到,可以直接對備份文件進行恢復、刪除、查看設置。如果您對這個備份饒有興致,不妨打開保存組策略對象備份文件的文件夾,您會發現所有文件均是XML格式。
總結
綜合上面GPMC的概述,GPMC對支持活動目錄中的組策略對象管理提供了全新的機制,它對組策略對象的備份、恢復、導入、管理等方面的功能遠遠超出了Windows操作系統所提供的功能。當然并不僅限于此,GPMC更是一個解決方案,一種手段。基于HTML的報告,使每個組策略的信息一覽無遺,報告在GPMC中扮演著重要角色。很容易看出,GPMC是針對Windows Server 2003設計的,雖然您可以把它應用到Windows 2000的域中,但總會接收到各種各樣的"警告"信息。然而,對熱衷于組策略的您,無論在哪個平臺,GPMC都會使您游刃有余。同時,我們更殷切地期盼微軟推出一個更完善、更易用的GPMC。
參考資料 >