组策略管理控制台

《组策略管理控制台》由会员分享，可在线阅读，更多相关《组策略管理控制台（6页珍藏版）》请在装配图网上搜索。

1、组策略管理控制台组策略管理控制台，与Windows 2000上传统的组策略编辑器截然不同，由一个 全新的MMC管理单元及一整套蛭化的接口组成，提供了集中的组策略管理方 案，可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全 问题，解决组策略部署中的难点，减轻了 IT管理员们在实施组策略时所承担的 沉重包袱。目录组策略概述GPMC的起源主要功能最佳实践组策略概述相信组策略(Group Policy)这个名词已经为广大的Windows用户所 知晓。微软在Windows NT 4.0中早就有了基于策略的管理-策略编辑器- 一个深受NT管理员欢迎的实用程序，但它个并不为大多数用户所掌握

2、并加 以应用。为此，微软在Windows 2000中不但彻底更新了目录服务，而且推 出了与这个目录完全集成的策略管理-组策略对象(GPO)。随着Windows 2000的深入应用，组策略的应用也随之遍地开花，影响力远远超过了它的 前身。可以说，组策略配置的正确与否将与您整个网络息息相关-虽然您 可以完全放弃它，然而，作为一种手段，组策略的成功应用将起到事半功 倍的效果。GPMC的起源当然，并不是每个人都成功了。随着组策略的深入应用，对这些组策 略的管理成了用户最大的负担，而部分用户根本无法预料他所配置的组策 略会产生什么样的后果，很多时候结果大大出乎他们的意料。在微软新闻组里，恐怕最著名的组策

3、略问题就是本地策略不允许您交互式登录。 GPMC(Group Policy Management Console ，组策略管理控制台)就是微软在 汲取遍布全球的合作伙伴及大量客户反馈的基础上酝酿而成的。GPMC由一个全新MMC管理单元及一整套脚本化的接口组成，提供了集 中的组策略管理方案，可以大大减少不正确的组策略可能导致的网络问题 并简化组策略相关的安全问题，解决组策略部署中的难点，减轻了IT管理员们在实施组策略时所承担的沉重包袱。主要功能在我撰写这篇文章之时，GPMC还仅仅是一个Beta 2版本，微软仍然在 不断地对它进行完善，以增强它的稳定性和易用性。GPMC仅仅是微软提供给广大用户的一

4、个实用 软件包，并不隶属于微软的Server或者Application 产品。下载后的GPMC安装程序只有4MB左右，真可谓小巧而实用。需要注 意的是，GPMC仅能安装在带有 SP1的Windows XP或者Windows Server 2003 Build 3602以后版本的计算机上，虽然它不支持安装在Windows 2000的计算机上，但您仍然可以使用它管理一个 Windows 2000域中的组策略（但在 支持的功能上有一定差别）。您在一台管理域的计算机上安装GPMC之后， 在管理工具中会添加Group Policy Management（GPM） 菜单项。当您试图 使用活动目录用户与计算

5、机管理单元编辑一个组策略时，系统将自动要求 您打开GPMC来管理组策略，如图1所示。GPMC除了实现一般的组策略管理任务，如创建、删除、修改外，还提 供了复制、导入、备份、恢复功能。更值得一提的是，GPMC中的组策略报告功能对组策略在计算机上的生效状况提供了详细的说明。首次打开GPM，仅显示为一个空白的MMC界面。首先，我们来浏览一下 GPMC左边面板中提供的功能。右击Group Policy Management，从关联菜 单中单击Add Forest，输入一个现有的 Windows 2000或Windows 2003 域名。GPM自动连接相应的域控制器并显示当前域的组织单元层次，这个层 次

6、与您在活动目录用户和计算机管理单元中看到的一模一样。左面板中除 了显示活动目录中组织单元层次外，还有4个特别引人注意的名称：Default Domain Policy 、 Group Policy Objects 、 Group Policy Results 、 Group Policy Modeling。我们分别来看一下这4项功能。估计很多读者从字面意 思就可以意会到他们的功能。Default Domain Policy。每当您创建一个 Windows 2000 域之后，系 统自动产生两个默认的 组策略对象:Default Domain Policy 与Default Domain Cont

7、rollers Policy（这个组策略显示在 Domain Controllers 容器 里）。如果您连接了多个域，在这里会显示出多个域默认的域组策略。从右 边面板中，您可以查看这个域组策略的设置，添加或者删除管理策略被委 托的用户。图2显示的是一个典型的Default Domain Policy视图。Group Policy Objects。这个对象包括当前选定域的所有 组策略对象 在这里您可以完成组策略的添加、备份、恢复、重命名、删除、导入等一系列重要功能。单击任何一个组策略名称，都将在右面板中显示一个与图2类似的视图。注意，当您单击这个对象中的Default Domain Policy

8、或者Default Domain Controller Policy 时，系统自动检测与之相关的 SYSVOL 文件夹的权限，如发现有不一致现象，系统提示您需要修复，此时，单击Yes后系统自动完成修复过程。图3显示了 Group Policy Objects对象 的典型视图与常见任务清单。Group Policy Results。可能出乎您的意料，单击该对象之后，默认 情况下（尤其是第一次使用）右面板中并不显示任何对象。在这里，其实是 一个非常好的组策略验证环境，使用组策略结果（Group Policy Result） 可以验证部署到指定的用户或者计算机的组策略是否正确。右击右面板空 白区域，

9、从关联菜单中选择Group Policy Resu lt Wizard，向导允许 您指定希望验证组策略结果的计算机（被查询的计算机必须支持RSoP Logging，Windows XP以后版本均支持该功能），然后GPMC检查出该计算机 上加载的组策略对象（一般地，对于一台加入域的计算机，至少有两个组策 略对象，即默认域组策略与本地策略），经身份确认后，GPMC查询出这台计 算机上策略的设置清单并且自动产生组策略报告显示在右面板中，图4显示的是报告的典型样例。从报告的Settings与Policy Events（该项数 据其实取自事件查看器）中您还可以获得更多有价值的信息。一些有经验的用户会发现

10、，该节点的功能与微软在Windows 2000 Resource Kit中提供的gpresult.exe程序相类似，微软文档HOW TO: Use thesgroupsPolicy Results Tool in Windows 2000（ 详细描述了如何使用 gpresult.exe 程序。可以说，Group Policy Results 除了具有 gpresult.exe 的功能外，还提供了更丰富的信息，而且它还是基于GUI-显然更容易使用。Group Policy Modeling。顾名思义，在这里，您可以模拟出组策略的 运行结果，并且最终得出选定容器中有效的设置。尤其是对那些经多重继承

11、，重复加载组策略对象的容器，对策略的生效状态是最难以分辨了。组 策略模拟（Group Policy Modeling）旨在从容器中通过特定的查询，得出所 有组策略组合后的有效设置，结果以HTML报告的形式显示。需要注意的是， 组策略模拟仅支持Windows Server 2003的域控制器，如果您的GPMC连接 到Windows 2000的域控制器，该节点是不可见的。对于早期版本的组策略， 组策略建模以策略结果集（RSoP）计划模式实现。右击Group Policy Modeling启动（当然您也可以从任何一个容器的 关联菜单中启动）组策略模拟向导。向导通过Step by Step的方式收集数

12、 据，您指定的数据越精确（因为向导允许您跳越一些步骤），就意味着查询 结果越精确。但其中最重要的一步要您指定计算机配置与用户配置的容器， 如图5所示。完成相关数据的收集后，系统立即执行查询，查询结果显示在右面板 中。创建后的查询 自动保存在Group Policy Modeling节点中。当您下次 单击查询名称时，系统自动刷新查询结果。组策略模拟对在复杂环境中高效、简洁地部署组策略，提供了最佳的解决方案。更吸引人的是，组策略 模拟还支持组策略的回环处理功能，从 Microsoft Windows 2000新闻组中关于组策略部分可以看出，组策略的回环处理一直以来是许多IT管理员们最难理解、最难控

13、制的一部分。单击左面板中任意一个组织单元名称，GPMC在右边面板中显示与这个 组织单元或者域相关的组策略配置情况，可以说，这里所显示的内容是整 个GPM的中心所在。在这里，您可以非常方便、清晰地看到选定的组织单 元链接组策略的情况。例如，如果在一个组织单元上指派了多个组策略对象，当您单击该组织单元时，右窗口中自动显示与该组织单元链接的组策 略对象（默认域策略自动应用到每个组织单元，所以在组织单元组不显示），显示结果还包括组策略是否有效、当前状态等，您可以立即进行更改。组 策略的继承，委托以分离的标签页方式显示也显示在同一窗口中，也就是 说，现在您在单一窗口可以看到以前需要重复点击、切换多个页面

14、才能看 到的所有信息，图6显示的是一个组织单元指定组策略后显示的默认视图。 右击右窗口中任意一个组策略名称，从关联菜单中选择Edit系统打开标准的组策略编辑框。右击Windows 2000域名或者组织单元名称，系统显示与之相关联的菜 单，从这个关联菜单中，您几乎可以完成所有与组策略相关的任务。图7显示的是右击域名时出现的关联 菜单，不难看出，除了管理组策略外，菜 单中还提供了搜索、更换 域控制器、打开活动目录用户与计算机管理单元 等功能。菜单中最吸引人的莫过于Search功能项。回想一下，当您在 Windows 2000活动目录中创建一系列组策略之后，待应用一段时间再想把 它找出来的时候，可能

15、是最耗时的工作。Windows 2000并没有提供一种机 制，允许您从活动且录检索出现有的组策略列表。而且随着组织单元层次 深度的增加，查找组策略往往变得一筹莫展（可能这也是微软推荐组织单元 层次不要创建得太深的原因吧）。GPMC中的搜索功能，对实现组策略对象的 搜索提供了一个完整的解决方案。它允许您通过指定组策略对象名称、被组策略对象的用户组、GUID等项目中特定关键字的值列出整个站点中匹配 条件的所有组策略对象。相信搜索功能是组策略 管理员使用GPMC最有吸引 力的一面。图8显示的是一个典型的搜索对话框。还有个并不特别引人注意但功能非常强大的选项 -WMI Filter。众所 周知，WMI

16、在Windows网络的管理中扮演着重要的角色，随着 Windows版本 的不断更新，WMI也不断地更新，在Windows XP中，微软推出了 WMIC。现 在，WMI又介入到了组策略中，它以WMI Filter（筛选器）的方式实现。GPMC 中的WMI筛选器支持基于WMI规范的查询来筛选CIMON（Common Information Model （CIM）-compliant object repository ，一般信息模型兼容对象 知识 库）数据库中组策略的作用。GPMC提供了每个组策略链接到一个WMI筛选器 进行过滤的能力。在Group Policy Objects节点中，双击任意一个

17、 组策 略对象，在右面板中，单击Scope，在页面底部就可以轻易地为这个组策略指派一个WMI筛选器（如果您的GPMC连接到Windows 2000的森林，该选 项是不可见的，WMI筛选器仅支持Windows Server 2003的域控制器）。最佳实践以上我们粗略地浏览了一下GPMC中提供的强大功能。我们再来看一下 GPMC在实际环境中的强大作用。右击Group Policy Objects节点中的任 何一个组策略对象，您会发现这个关联 菜单中提供了备份、恢复、导入设 置3项功能。与其他应用程序中的备份、恢复、导入相类似，这些功能都 是有效地解决组策略在受损、工作不正常时的最佳手段，GPMC提

18、供了十分强大的备份与恢复能力。右击组策略名称，从关联菜单中选取Back Up，系统仅仅提示您为 备份文件输入一个安全的文件夹名称（为保证组策略文件的安全性，强烈推 荐备份文件夹只有指定的管理员允许访问），然后系统自动完成备份过程。 整个过程非常简单，而且支持一个文件夹中备份多个组策略或者同一个组 策略在同一目录下备份多次。但需要注意的是，这个备份并不是完全的备 份，相对于GPO外置的组件，如WMI Filter，IPSec Policy并不会被同 时备份。恢复过程也出乎意料的简单，右击您希望恢复的组策略对象，从关联菜单中选取Resto re from Backup，连续两次单击下一步之后，系统

19、 要求您从恢复列表中选择组策略（在恢复之前，必须对这个组策略做过备 份，否则这个列表是空的，同理，如果同一个组策略备份过多次，那么根 据备份时间显示多个恢复版本，图9说明了这种现象），如果您已经无法回 想起备份前策略的设置情况，单击对话框中的 View Settings即可通过 HTML查看到所有设置（其实，这就是GPMC生成的报告），选定恢复版本后， 单击下一步*完成oWindows 2000用户请注意，如果您通过Windows 2000 的域控制器恢复组策略，且这个组策略包括软件分发功能，那么当组策略 生效后，分发的软件可能再次被安装。因此，建议您通过Windows 2003版的域控制器恢

20、复组策略对象。最有意思的一项功能恐怕就是Import Settings 了。当您对一个组策略对象执行导入设置时，GPMC将删除原来的所有设置（因此建议您导入前 先备份。我也一直在想，既然是导入，微软为什么不采取将新旧策略合并 的方式，而非得删除原有设置不可？也许在正式版本中，微软会把合并设置作为一个选项提供吧），包括用户设置与计算机设置，然后将指定的组 策略中所有的设置导入进来。分析一下，您会发现，导入列表中显示的组策略对象即您曾经所有备份过的组策略，您可能会被这项功能深深地吸引。 更令人惊讶的是，虽然设置导入了，但是，最关键的部分一组策略的安全性设置并没有改变，也就是说没有改变组策略对象原来

21、的应用范围（对象），没有更改的其他设置包括委托(Delegation)、链接(Link)、WMI筛选器，这 恰好与上面的不完全备份相符。您可能会想：如果我的备份时间长了，备份量多了，相应的管理量也 同样增加了，这不是适得其反了吗？微软比我们想在更前面，右击GroupPolicy Objects，然后选取Manage Backups，系统显示组策略备份文件对话框，如图10所示。从对话框中可以看到，可以直接对 备份文件进行 恢复、删除、查看设置。如果您对这个备份饶有兴致，不妨打开保存 组策 略对象备份文件的文件夹，您会发现所有文件均是XML格式。总结综合上面GPMC的概述，GPMC对支持活动目录中

22、的组策略对象管理提供 了全新的机制，它对组策略对象的备份、恢复、导入、管理等方面的功能 远远超出了 Windows操作系统所提供的功能。当然并不仅限于此，GPMC更是一个解决方案，一种手段。基于HTML的报告，使每个组策略的信息一览 无遗，报告在GPMC中扮演着重要角色。很容易看出，GPMC是针对Windows Server 2003设计的，虽然您可以把它应用到 Windows 2000的域中，但总 会接收到各种各样的警告信息。然而，对热衷于组策略的您，无论在哪 个平台，GPMC都会使您游刃有余。同时，我们更殷切地期盼微软推出一个 更完善、更易用的GPMC。recover.reg文件不能运行，显示“注册编辑已被管理员禁用”在XP、2000中已经是运行gpedit.msc，且改名为组策略编辑器了。运彳亍 gpedit.msc用户配置一一管理模板一系统一禁用注册表编辑工具=disable