相信"組策略"(Group Policy)這個名詞已經為廣大的Windows使用者所知曉。微軟在Windows NT 4.0中早就有了基於策略的管理--策略編輯器--一個深受NT管理員歡迎的實用程式,但它個並不為大多數使用者所掌握並加以應用。為此,微軟在Windows 2000中不但徹底更新了目錄服務,而且推出了與這個目錄完全整合的策略管理--組策略物件(GPO)。隨著Windows 2000的深入應用,組策略的應用也隨之遍地開花,影響力遠遠超過了它的前身。可以說,組策略配置的正確與否將與您整個網路息息相關--雖然您可以完全放棄它,然而,作為一種手段,組策略的成功應用將起到事半功倍的效果。
右擊"Group Policy Modeling"啟動(當然您也可以從任何一個容器的關聯選單中啟動)組策略模擬嚮導。嚮導透過"Step by Step"的方式收集資料,您指定的資料越精確(因為嚮導允許您跳越一些步驟),就意味著查詢結果越精確。但其中最重要的一步要您指定計算機配置與使用者配置的容器,如圖5所示。
完成相關資料的收集後,系統立即執行查詢,查詢結果顯示在右面板中。建立後的查詢自動儲存在Group Policy Modeling節點中。當您下次單擊查詢名稱時,系統自動重新整理查詢結果。組策略模擬對在複雜環境中高效、簡潔地部署組策略,提供了最佳的解決方案。更吸引人的是,組策略模擬還支援組策略的迴環處理功能,從Microsoft Windows 2000新聞組中關於組策略部分可以看出,組策略的迴環處理一直以來是許多IT管理員們最難理解、最難控制的一部分。
還有個並不特別引人注意但功能非常強大的選項--WMI Filter。眾所周知,WMI在Windows網路的管理中扮演著重要的角色,隨著Windows版本的不斷更新,WMI也不斷地更新,在Windows XP中,微軟推出了WMIC。現在,WMI又介入到了組策略中,它以WMI Filter(篩選器)的方式實現。GPMC中的WMI篩選器支援基於WMI規範的查詢來篩選CIMON(Common Information Model (CIM)-compliant object repository,一般資訊模型相容物件知識庫)資料庫中組策略的作用。GPMC提供了每個組策略連結到一個WMI篩選器進行過濾的能力。在"Group Policy Objects"節點中,雙擊任意一個組策略物件,在右面板中,單擊"Scope",在頁面底部就可以輕易地為這個組策略指派一個WMI篩選器(如果您的GPMC連線到Windows 2000的森林,該選項是不可見的,WMI篩選器僅支援Windows Server 2003的域控制器)。
綜合上面GPMC的概述,GPMC對支援活動目錄中的組策略物件管理提供了全新的機制,它對組策略物件的備份、恢復、匯入、管理等方面的功能遠遠超出了Windows作業系統所提供的功能。當然並不僅限於此,GPMC更是一個解決方案,一種手段。基於HTML的報告,使每個組策略的資訊一覽無遺,報告在GPMC中扮演著重要角色。很容易看出,GPMC是針對Windows Server 2003設計的,雖然您可以把它應用到Windows 2000的域中,但總會接收到各種各樣的"警告"資訊。然而,對熱衷於組策略的您,無論在哪個平臺,GPMC都會使您遊刃有餘。同時,我們更殷切地期盼微軟推出一個更完善、更易用的GPMC。
相信"組策略"(Group Policy)這個名詞已經為廣大的Windows使用者所知曉。微軟在Windows NT 4.0中早就有了基於策略的管理--策略編輯器--一個深受NT管理員歡迎的實用程式,但它個並不為大多數使用者所掌握並加以應用。為此,微軟在Windows 2000中不但徹底更新了目錄服務,而且推出了與這個目錄完全整合的策略管理--組策略物件(GPO)。隨著Windows 2000的深入應用,組策略的應用也隨之遍地開花,影響力遠遠超過了它的前身。可以說,組策略配置的正確與否將與您整個網路息息相關--雖然您可以完全放棄它,然而,作為一種手段,組策略的成功應用將起到事半功倍的效果。
右擊"Group Policy Modeling"啟動(當然您也可以從任何一個容器的關聯選單中啟動)組策略模擬嚮導。嚮導透過"Step by Step"的方式收集資料,您指定的資料越精確(因為嚮導允許您跳越一些步驟),就意味著查詢結果越精確。但其中最重要的一步要您指定計算機配置與使用者配置的容器,如圖5所示。
完成相關資料的收集後,系統立即執行查詢,查詢結果顯示在右面板中。建立後的查詢自動儲存在Group Policy Modeling節點中。當您下次單擊查詢名稱時,系統自動重新整理查詢結果。組策略模擬對在複雜環境中高效、簡潔地部署組策略,提供了最佳的解決方案。更吸引人的是,組策略模擬還支援組策略的迴環處理功能,從Microsoft Windows 2000新聞組中關於組策略部分可以看出,組策略的迴環處理一直以來是許多IT管理員們最難理解、最難控制的一部分。
單擊左面板中任意一個組織單元名稱,GPMC在右邊面板中顯示與這個組織單元或者域相關的組策略配置情況,可以說,這裡所顯示的內容是整個GPM的中心所在。在這裡,您可以非常方便、清晰地看到選定的組織單元連結組策略的情況。例如,如果在一個組織單元上指派了多個組策略物件,當您單擊該組織單元時,右視窗中自動顯示與該組織單元連結的組策略物件(預設域策略自動應用到每個組織單元,所以在組織單元組不顯示),顯示結果還包括組策略是否有效、當前狀態等,您可以立即進行更改。組策略的繼承,委託以分離的標籤頁方式顯示也顯示在同一視窗中,也就是說,現在您在單一視窗可以看到以前需要重複點選、切換多個頁面才能看到的所有資訊,圖6顯示的是一個組織單元指定組策略後顯示的預設檢視。右擊右視窗中任意一個組策略名稱,從關聯選單中選擇"Edit"系統開啟標準的組策略編輯框。
右擊Windows 2000域名或者組織單元名稱,系統顯示與之相關聯的選單,從這個關聯選單中,您幾乎可以完成所有與組策略相關的任務。圖7顯示的是右擊域名時出現的關聯選單,不難看出,除了管理組策略外,選單中還提供了搜尋、更換域控制器、開啟活動目錄使用者與計算機管理單元等功能。
選單中最吸引人的莫過於"Search…"功能項。回想一下,當您在Windows 2000活動目錄中建立一系列組策略之後,待應用一段時間再想把它找出來的時候,可能是最耗時的工作。Windows 2000並沒有提供一種機制,允許您從活動目錄檢索出現有的組策略列表。而且隨著組織單元層次深度的增加,查詢組策略往往變得一籌莫展(可能這也是微軟推薦組織單元層次不要建立得太深的原因吧)。GPMC中的搜尋功能,對實現組策略物件的搜尋提供了一個完整的解決方案。它允許您透過指定組策略物件名稱、被組策略物件的使用者組、GUID等專案中特定關鍵字的值列出整個站點中匹配條件的所有組策略物件。相信搜尋功能是組策略管理員使用GPMC最有吸引力的一面。圖8顯示的是一個典型的搜尋對話方塊。
還有個並不特別引人注意但功能非常強大的選項--WMI Filter。眾所周知,WMI在Windows網路的管理中扮演著重要的角色,隨著Windows版本的不斷更新,WMI也不斷地更新,在Windows XP中,微軟推出了WMIC。現在,WMI又介入到了組策略中,它以WMI Filter(篩選器)的方式實現。GPMC中的WMI篩選器支援基於WMI規範的查詢來篩選CIMON(Common Information Model (CIM)-compliant object repository,一般資訊模型相容物件知識庫)資料庫中組策略的作用。GPMC提供了每個組策略連結到一個WMI篩選器進行過濾的能力。在"Group Policy Objects"節點中,雙擊任意一個組策略物件,在右面板中,單擊"Scope",在頁面底部就可以輕易地為這個組策略指派一個WMI篩選器(如果您的GPMC連線到Windows 2000的森林,該選項是不可見的,WMI篩選器僅支援Windows Server 2003的域控制器)。
最佳實踐
以上我們粗略地瀏覽了一下GPMC中提供的強大功能。我們再來看一下GPMC在實際環境中的強大作用。右擊"Group Policy Objects"節點中的任何一個組策略物件,您會發現這個關聯選單中提供了備份、恢復、匯入設定3項功能。與其他應用程式中的備份、恢復、匯入相類似,這些功能都是有效地解決組策略在受損、工作不正常時的最佳手段,GPMC提供了十分強大的備份與恢復能力。
右擊組策略名稱,從關聯選單中選取"Back Up…",系統僅僅提示您為備份檔案輸入一個安全的資料夾名稱(為保證組策略檔案的安全性,強烈推薦備份資料夾只有指定的管理員允許訪問),然後系統自動完成備份過程。整個過程非常簡單,而且支援一個資料夾中備份多個組策略或者同一個組策略在同一目錄下備份多次。但需要注意的是,這個備份並不是完全的備份,相對於GPO"外接"的元件,如WMI Filter,IPSec Policy並不會被同時備份。
恢復過程也出乎意料的簡單,右擊您希望恢復的組策略物件,從關聯選單中選取"Restore from Backup…",連續兩次單擊"下一步"之後,系統要求您從恢復列表中選擇組策略(在恢復之前,必須對這個組策略做過備份,否則這個列表是空的,同理,如果同一個組策略備份過多次,那麼根據備份時間顯示多個恢復版本,圖9說明了這種現象),如果您已經無法回想起備份前策略的設定情況,單擊對話方塊中的"View Settings"即可透過HTML檢視到所有設定(其實,這就是GPMC生成的報告),選定恢復版本後,單擊"下一步"*"完成"。Windows 2000使用者請注意,如果您透過Windows 2000的域控制器恢復組策略,且這個組策略包括軟體分發功能,那麼當組策略生效後,分發的軟體可能再次被安裝。因此,建議您透過Windows 2003版的域控制器恢復組策略物件。
最有意思的一項功能恐怕就是"Import Settings…"了。當您對一個組策略物件執行匯入設定時,GPMC將刪除原來的所有設定(因此建議您匯入前先備份。我也一直在想,既然是匯入,微軟為什麼不採取將新舊策略合併的方式,而非得刪除原有設定不可?也許在正式版本中,微軟會把"合併設定"作為一個選項提供吧),包括使用者設定與計算機設定,然後將指定的組策略中所有的設定匯入進來。分析一下,您會發現,匯入列表中顯示的組策略物件即您曾經所有備份過的組策略,您可能會被這項功能深深地吸引。更令人驚訝的是,雖然設定匯入了,但是,最關鍵的部分--組策略的安全性設定並沒有改變,也就是說沒有改變組策略物件原來的應用範圍(物件),沒有更改的其他設定包括委託(Delegation)、連結(Link)、WMI篩選器,這恰好與上面的"不完全"備份相符。
您可能會想:如果我的備份時間長了,備份量多了,相應的管理量也同樣增加了,這不是適得其反了嗎?微軟比我們想在更前面,右擊"Group Policy Objects",然後選取"Manage Backups…",系統顯示組策略備份檔案對話方塊,如圖10所示。從對話方塊中可以看到,可以直接對備份檔案進行恢復、刪除、檢視設定。如果您對這個備份饒有興致,不妨開啟儲存組策略物件備份檔案的資料夾,您會發現所有檔案均是XML格式。
總結
綜合上面GPMC的概述,GPMC對支援活動目錄中的組策略物件管理提供了全新的機制,它對組策略物件的備份、恢復、匯入、管理等方面的功能遠遠超出了Windows作業系統所提供的功能。當然並不僅限於此,GPMC更是一個解決方案,一種手段。基於HTML的報告,使每個組策略的資訊一覽無遺,報告在GPMC中扮演著重要角色。很容易看出,GPMC是針對Windows Server 2003設計的,雖然您可以把它應用到Windows 2000的域中,但總會接收到各種各樣的"警告"資訊。然而,對熱衷於組策略的您,無論在哪個平臺,GPMC都會使您遊刃有餘。同時,我們更殷切地期盼微軟推出一個更完善、更易用的GPMC。