继上文WindowsVista如何部署组策略?之后,本文继续介绍WindowsVista组策略的相关知识。
组策略常见方案(可能为英文网页)
此程序包包含一系列组策略对象(GPO),其中列举了一些常见的桌面方案。它们包括轻托管、移动和kiosk方案及其他方案。
GPMC脚本
GPMC包括一组用于自动执行许多常见的GPO管理任务的编写脚本界面。使用这些编写脚本界面,可以管理组策略环境,其中包括生成GPO设置报告、创建和复制GPO以及查找未链接的GPO。WindowsVista未包含任何脚本。有关GPMC脚本的详细信息,请参阅http://go.microsoft.com/fwlink/?linkid=31191(可能为英文网页)
多语言问题
在WindowsVista中,管理模板设置分为可供所有组策略管理员使用的中性语言(.admx文件)和特定语言资源(.adml文件)。这些文件允许使用组策略工具根据管理员配置的语言调整他们的UI。将新语言添加到一组策略定义可以通过提供可用的特定语言资源文件来完成。
例如,组策略管理员可以从配置为英语的WindowsVista管理工作站创建组策略对象(GPO)。该管理员保存该GPO并将其链接到跨地理边界部署的域。巴黎的同事使用GPMC浏览同一域并选择使用英语创建的GPO。她可以用法语查看并编辑策略设置。创建此GPO的原始组策略管理员仍可以其本地语言英语查看所有设置,包括法语管理员进行的更改。
在迁移或升级到WindowsVista后的组策略更改
在迁移或升级到WindowsVista之后,将会重新应用组策略,就好像全新安装的一样。对于Windows域中的客户端,应用组策略就好像计算机刚加入域或者用户首次登录一样。在域中首次应用组策略时,每个扩展要么迁移其策略设置要么应用这些策略设置。在升级之后,组策略引擎将像全新安装那样处理策略设置,重新生成所有RSoP数据,并设置其缓存的所有值。下表提供了特定于每个组件的升级或迁移的详细信息。
组策略引擎不迁移。RSoP
在升级之后,不需要迁移RSoP数据,这是因为在首次重新启动过程中将重新应用所有策略设置。
本地GPO
迁移本地GPO。
迁移组MLGPO。
迁移用户MLGPO。
注意当升级WindowsVista的不同SKU时,将迁移MLGPO数据。
迁移本地GPO。
迁移组MLGPO。
客户端扩展
客户端扩展保留注册表中的注册数据。扩展注册表项位于
HKLM\Software\
Microsoft\WindowsNT\
CurrentVersion\Winlogon\
GPExtensions
注意每个客户端扩展将升级自己的信息。
ADM模板
以前提供的ADM文件被替换为ADMX文件。
在升级过程中保留自定义ADM文件。
迁移Software\Policy注册表项下的所有策略设置和值。
不迁移首选项设置。
在首次登录后的第一次重新启动时重新应用域中的所有策略设置。
自动迁移通过组策略安装的所有应用程序。
自动迁移%windir%\system32\appmgmt下的所有文件。
迁移注册表下的以下所有项和值:
HKLM|HKCUSoftware\Microsoft\Windows\CurrentVersion\GroupPolicy\Appmgmt
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Diagnostics下的值“appmgmtdebuglevel”
GPMC和GPEdit
删除GPMC的以前版本。
在升级后保留脚本文件夹,包括使用GPMC的以前版本安装的任何GPMC脚本。
将迁移以下GPMC配置数据:
当前直接存储在控制台文件(msc)中的信息(如上次连接的域或林)
工具中的注册表项和首选项(备份文件夹位置、ADM文件选项等)
对于GPEdit,将迁移任何首先项,如默认GPO名称。
不迁移。
注意
有关在迁移过程中移动的注册表项列表,请参见附录B。
验证组策略设置-策略的结果集(RSoP)
所有组策略处理信息都被收集并存储在本地计算机上的通用信息模型对象管理(CIMOM)数据库中。然后,可以通过使用WindowsManagementInstrumentation的工具访问此信息,如列表、内容和每个GPO的处理详细记录。
在记录模式(组策略结果)中,策略的结果集(RSoP)将在目标计算机上查询CIMOM数据库,接收有关策略的信息,并将其显示在GPMC中。在计划模式(组策略建模)中,RSoP使用组策略目录访问服务(GPDAS)在域控制器上模拟策略的应用。GPDAS模拟GPO的应用,并将它们传递到域控制器上的虚拟客户端扩展。在将信息传回并显示在GPMC中之前,此模拟的结果将存储在域控制器上的本地CIMOM数据库中。
使用GPMC的RSoP
在ActiveDirectory环境中,管理员使用GPMC来管理组策略。GPMC在网络上为管理员提供了组策略环境的持久性视图,包括所选林中的GPO、GPO链接、站点、域和组织单位(OU)。使用GPMC,管理员可以执行以前只能通过ActiveDirectory管理工具的“组策略”选项卡执行的任何管理任务。
还可以使用GPMC生成预测网络上GPO累计效果或报告特定用户或计算机上GPO累计效果的RSoP数据。此外,管理员还可以使用GPMC执行以前从来不可能执行的GPO操作,如备份和还原GPO,复制GPO,甚至将GPO迁移到其他林。还可以使用WMI脚本读取或生成GPO设置的HTML或XML报告。
在使用GPMC时存在某些限制,这是因为它无法在RSoP中检索多个本地组策略对象(MLGPO),并且GPMC报告不显示带高级安全设置的Windows防火墙。
验证当前生效的实际策略设置
策略的结果集(RSoP)管理单元是一个Microsoft管理控制台(MMC)工具。管理员使用RSoP管理单元可以报告和计划组策略对象的累计效果。尽管可以使用RSoP管理单元报告和计划组策略的效果,但其许多功能已包含在组策略管理控制台(GPMC)中,这为网络管理员提供了更好的体验。RSoP管理单元有一些限制,因为它不报告所有设置(例如,不报告许多新的WindowsVista设置),并且不能在RSoP中检索远程计算机。尽管可以继续使用RSoP管理单元在WindowsVista中收集第三方组策略扩展的RSoP数据,但不建议使用该管理单元。
在确定策略是否应用于用户或计算机时,建议使用GPMC报告这一工具。但是,GPMC不能与MLGPO一起使用。尽管无法将GPMC报告用于MLGPO,但可以在组策略操作日志中查看此信息。
WindowsVista设置的使用用户帐户控制(UAC)的主要目的是减少操作系统的暴露和攻击面。UAC通过要求所有用户在标准用户模式下运行来实现这一点。该限制可以将用户的更改权限降至最低,从而避免了由于用户所做更改而造成计算机稳定性下降,还避免了无意中使网络受到已感染到计算机但尚未被检测出的恶意软件所传播的病毒的侵害。
通过UAC,您可以使用有限权限运行大多数应用程序、组件和进程,但对于特定的管理任务和应用程序功能可能需要“提升权限”。Windows通过对每个用户使用两个访问令牌做到这一点:有限访问令牌和提升的访问令牌。访问令牌用于标识用户、用户组和用户的权限。系统使用访问令牌控制对安全对象的访问,并控制用户在本地计算机上执行各种与系统相关的操作能力。
用于本地管理员的提升令牌包含并启动所有管理权限。UAC要求本地管理员在尝试执行仅系统任务或管理任务时使用其提升令牌。用于本地管理员的有限令牌包含所有管理权限;但这些权限是被禁用的。这允许Windows查看管理用户和常规用户,并提供了提升他们权限的选项。
默认情况下,登录到WindowsVista的所有用户都使用他们的完整令牌来处理组策略和登录脚本。但是,他们使用有限的用户令牌加载桌面和所有后续进程。对于权限和组而言,非管理有限令牌和提升令牌大部分是相同的。因此,使用非管理有限用户令牌启动的进程可以查看使用非管理提升令牌启动的进程。Windows允许此情况是因为查看应用程序不需要任何提升权限即可查看由提升令牌启动的进程。
Windows以同样的方式处理本地登录的管理员。组策略和登录脚本进程使用提升用户令牌,桌面和所有后续进程使用有限令牌。不过,在有限用户令牌和提升用户令牌之间存在着权限差异。因此,Windows将限制使用有限令牌启动的进程与使用提升令牌启动的进程共享信息的能力。
UAC可能阻止组策略登录脚本正确工作。例如,域环境包含一个组策略对象,该对象包含映射网络驱动器的登录脚本。非管理用户从WindowsVista计算机登录到域。在WindowsVista加载桌面之后,非管理用户启动Windows资源管理器。此用户将看到映射的驱动器。在同一环境中,管理用户从WindowsVista计算机登录到域。在WindowsVista加载桌面之后,管理用户启动Windows资源管理器。此用户将看不到映射的驱动器。
当管理用户登录时,Windows将使用提升令牌处理登录脚本。该脚本实际运行并映射驱动器。不过,Windows将阻止映射的网络驱动器的视图,因为在使用提升令牌映射驱动器时桌面使用的是有限令牌。
为解决此问题,管理用户应在有限用户令牌下映射网络驱动器。此映射通过使用附录A中所示的launchapp.wsf脚本完成,它是通过使用任务计划程序计划命令进行的。任务计划程序在完整管理令牌下启动脚本,从而允许Windows资源管理器、其他有限令牌进程和提升令牌进程查看映射的网络驱动器。
配置launchapp.wsf推迟执行登录脚本的步骤
1.将登录脚本和launchapp.wsf脚本复制到网络共享位置。
2.启动组策略管理控制台(GPMC)。在GPMC中,右键单击要修改的GPO,然后单击“编辑”。
3.在“用户配置”节点中,展开“Windows设置”,然后单击“脚本”。
4.右键单击“登录”,然后单击“属性”。
5.在“登录属性”对话框中,单击“添加”。
6.在“脚本名称”框中,键入launchapp.wsf
7.在“脚本参数”框中,键入logon.bat的完整路径和名称。
在WindowsVista中,组策略从Winlogon进程中移出,并作为单独的服务运行。组策略客户端负责应用由管理员通过组策略组件为计算机和用户配置的设置。在服务管理单元中,启动、停止、暂停和恢复组策略客户端的选项不可用。这是因为,如果客户端服务停止或被禁用,将无法应用设置,并且无法通过组策略管理应用程序和组件。如果客户端服务停止或被禁用,则依赖于组策略组件的任何组件或应用程序将无法正常工作。
需要重新启动或登录的策略设置
本部分中基于注册表的组策略设置在启用时需要重新启动或登录。本部分中带项目符号的条目包含组策略设置的名称,后跟其功能。
登录
不允许使用窗口动画:此策略设置控制窗口动画的显示,如还原、最小化和最大化窗口时的动画。
不允许桌面组合:此策略设置控制某些图形的呈现方式,并有助于其他功能,包括Flip、Flip3D和任务栏缩略图。
不允许调用Flip3D:此策略设置禁用3D窗口转换程序。
指定默认颜色:此策略设置控制用户不指定颜色时窗口框架的默认颜色。
不允许更改颜色:此策略设置控制更改窗口框架颜色的能力。
详细与正常状态消息:此策略设置指示系统显示非常详细的状态消息。
设置要在登录时间过期时执行的操作:此策略设置控制登录用户的登录时间到期时要采取哪种操作。
设置要在登录时间过期时执行的操作:此策略设置控制登录用户的登录时间到期时要采取哪种操作。此操作包括锁定工作站、断开用户连接或完全注销用户。
在用户登录期间报告登录服务器何时不可用:此策略控制如果在登录期间无法联系登录服务器,并且用户已经使用以前存储的帐户信息登录时是否应通知登录的用户。
自定义用户界面:此策略设置指定备用用户界面。
关闭TabletPC触摸屏输入:此策略设置关闭触摸屏输入,允许用户使用手指与计算机交互。
关闭WindowsDefender:此策略设置关闭WindowsDefender实时保护,即不再计划扫描。
关闭旧版的远程关机界面:此策略设置控制旧版的远程关机界面(命名管道)。需要管道远程功能才能从远程WindowsServer2003或WindowsXP系统关闭此系统。
WindowsVista在组合使用漫游用户配置文件和文件夹重定向时可以提供许多优势。将用户数据重定向到中心网络位置可以减少用户配置文件的大小,使用户数据随时可用,并通过传输较少的数据提高用户登录和注销性能。结合使用文件夹重定向和漫游用户配置文件可让用户在WindowsVista和WindowsXP计算机之间共享漫游数据。
运行WindowsVista的计算机无法读取从WindowsXP创建的漫游用户配置文件。这对于具有漫游用户配置文件但必须从WindowsVista和WindowsXP计算机漫游的用户而言是一个问题。WindowsVista文件夹重定向解决了此问题。
使用文件夹重定向可以重定向随WindowsVista用户配置文件一起提供的所有常见文件夹。使用此功能可以将WindowsXP用户配置文件中的文件夹与WindowsVista配置文件中的文件夹共享。例如,可以在WindowsVista和WindowsXP之间共享收藏夹。可以将WindowsVista中的收藏夹重定向到WindowsXP同步漫游用户配置文件中的收藏夹的同一位置。
使用以下白皮书中的方案3创建一个或多个文件夹重定向策略,以允许用户与WindowsVista和WindowsXP共享漫游用户数据。白皮书中的共享路径是用户的漫游用户文件夹的共享路径。
有关其他信息,请访问http://go.microsoft.com/fwlink/?LinkId=73435(可能为英文网页)。
网络访问保护和网络位置感知
网络访问保护(NAP)是WindowsVista、WindowsServer2008(现在处于试用版测试阶段)和WindowsXP的一个策略增强平台,它通过强制符合系统健康要求(例如,确保客户端具有最新的操作系统并安装了防病毒更新)更好地保护网络资产。使用NAP可以创建自定义健康策略,以便在允许访问或通信之前验证计算机健康情况,自动更新符合要求的计算机可以确保能够继续符合要求,并有选择地将不符合要求的计算机限制到一个有限网络,直到它们成为符合要求的计算机。
当客户端计算机尝试访问网络时,它必须提供其系统健康状态。如果客户端计算机无法证明其符合系统健康策略,则它对网络的访问将被限制到一个包含服务器资源的有限网段,以便能够补救遵从性问题。在安装更新之后,客户端计算机将再次请求访问网络。如果符合要求,客户端计算机将被授予无限制访问。
请记住,NAP不是一个安全解决方案。它旨在防止具有不安全配置的计算机连接到网络,而不是保护网络不受具有有效凭据集的恶意用户和满足当前健康要求的计算机的攻击。
在客户端计算机一端,网络位置感知(NLA)功能可以确保系统在建立到域控制器的连接时接收通知,并且组策略服务决定是否对该事件应用策略设置。不过,NLA无法识别从隔离环境(也就是NAP环境)到公司环境的转换;因此,当计算机从隔离区出来时,NLA将不向组策略提供网络通知。
由于在隔离之后NLA不提供有关成功网络连接的通知,因此可以提供以下解决办法。NAP组件在日志文件中记录一个事件。管理员需要编写一个检测此事件的脚本,该脚本调用gpupdate以确保组策略在成功进行VPN连接时刷新。
通过利用NLA,WindowsVista可以更快地响应网络更改,在组策略刷新之前不再有长达90分钟的延迟。如果跳过以前的策略设置应用程序周期(或者失败),则组策略将在到域控制器的网络连接可用时进行重试。这是对以前版本的组策略的重要改进,因为消除了组策略对ICMP的依赖性。
使用组策略管理WindowsVista功能
WindowsVista有许多可以通过组策略管理的新功能,其中包括电源管理、设备安装和使用以及安全设置。下面是帮助您配置这些功能的循序渐进指南列表。
WindowsVista打印管理循序渐进指南(可能为英文网页)
通过组策略控制设备安装和使用的循序渐进指南(可能为英文网页)
管理组策略ADMX文件循序渐进指南(可能为英文网页)
以下链接中引用的电子表格列出了随WindowsVistaRC1交付的管理模板文件(admx/adml)中包括的计算机策略设置和用户配置。此电子表格中包括的策略设置涵盖WindowsVistaRC1、MicrosoftWindowsServer2003、WindowsXPProfessional和Windows2000。这些文件用于在使用组策略对象编辑器(也称为GPEdit)编辑组策略对象(GPO)时公开策略设置。
http://go.microsoft.com/fwlink/?linkid=54020(可能为英文网页)
解决组策略问题
若要解决组策略问题,您需要了解组策略及其支持技术(如Microsoft?ActiveDirectory?目录服务和文件复制服务[FRS])之间的交互,以及管理、部署和应用组策略对象本身的方式。了解这些内容之后,即可以使用特定的工具帮助您找到确定并解决问题的办法。
WindowsVista中的组策略基础结构发生了很大改变。组策略处理不再存在于Winlogon进程中,而是作为自己的服务承载。此外,组策略引擎不再依赖于userenv.dll中的跟踪日志记录。因此,不再有userenv日志文件。
较早版本的Windows中的许多组策略疑难解答都依赖于在组件userenv.dll内部启用的日志记录。这在%WINDIR%\Debug\Usermode文件夹中创建了名为userenv.log的日志文件。此日志文件包含支持数据的功能跟踪说明。此外,配置文件加载和卸载功能共享此日志文件,使日志有时难以诊断。此日志文件与策略的结果集Microsoft管理控制台(RSoPMMC)结合使用,是诊断和解决组策略问题的主要方式。
在WindowsVista中,组策略被视为其自己的具有新组策略服务的组件,该服务是一个在Svchost进程下运行的独立服务,用于读取和应用组策略。新服务包括事件报告的更改。以前显示在应用程序日志中的组策略事件消息现在显示在系统日志中。事件查看器列出了这些具有Microsoft-Windows-GroupPolicy事件源的新消息。组策略操作日志将取代以前的userenv日志记录。操作事件日志提供特定于组策略处理的改进的事件消息。
本文对于windowsvista组策略的相关介绍希望能够对读者有所帮助,更多有关组策略的知识还有待于读者去探索和学习。
【编辑推荐】
