组策略规划和部署指南
可以使用 Windows Server2008 组策略来管理计算机和用户组配置,包括以下各项所对应的选项:基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server2008 中新增的组策略首选项是二十多个组策略扩展,用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。
可以使用 Windows Server2008 组策略来管理计算机和用户组配置,包括以下各项所对应的选项:基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server2008 中新增的组策略首选项是二十多个组策略扩展,用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比,首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息,请参阅组策略首选项概述(可能为英文网页)。
通过使用组策略,您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂,例如,大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案,您可以提供组织所需的标准化功能、安全性以及管理控制。
组策略概述
组策略在运行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外,还可以配置很多服务器特定的操作和安全设置,以便使用组策略帮助管理服务器计算机。
您创建的组策略设置包含在 GPO 中。若要创建和编辑 GPO,请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选定 Active Directory 站点、域和组织单位 (OU),您可以将 GPO 中的策略设置应用于这些 Active Directory 对象中的用户和计算机。OU 是可以分配组策略设置的最低级别的 Active Directory 容器。
为指导您的组策略设计决策,您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和 IT 要求。通过分析当前的环境和用户要求,使用组策略定义要实现的业务目标,以及按照这些准则设计组策略基础结构,您可以确定最符合组织需要的方法。
用于实现组策略解决方案的过程
用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。
在规划组策略设计时,请确保设计 OU 结构以简化组策略管理并符合服务级别协议。应制订使用 GPO 的正确操作步骤。确保您了解组策略互操作性问题,并确定是否打算使用组策略进行软件部署。
在设计阶段:
- 定义组策略的应用范围。
- 确定适用于所有企业用户的策略设置。
- 基于角色和位置对用户和计算机进行分类。
- 基于用户和计算机要求规划桌面配置。
规划完善的设计有助于确保成功部署组策略。
部署阶段从测试环境中的暂存过程开始。该过程包括:
- 创建标准桌面配置。
- 筛选 GPO 的应用范围。
- 指定默认组策略继承的例外情况。
- 委派组策略管理。
- 使用组策略建模评估有效的策略设置。
- 使用组策略结果评估这些结果。
暂存过程至关重要。应在测试环境中全面测试组策略实现,然后再将其部署到生产环境中。完成暂存和测试后,请使用 GPMC 将 GPO 迁移到生产环境中。应考虑循环反复的组策略实现:并非部署 100 种新组策略设置,而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。
最后,制订使用组策略以及通过 GPMC 解决 GPO 问题的控制过程以准备维护组策略。
备注 |
---|
Microsoft 高级组策略管理 (AGPM) 通过提供全面的更改控制和增强的 GPO 管理来扩展 GPMC 功能。有关 AGPM 的详细信息,请访问 Microsoft 桌面优化包 (MDOP) 网站 (http://go.microsoft.com/fwlink/?LinkId=100757)(可能为英文网页)。 |
在设计组策略解决方案之前需要执行的操作
在设计组策略实现之前,您需要了解当前的组织环境并需要在以下几个方面执行预备步骤:
- Active Directory:确保林中所有域的 Active Directory OU 设计都支持应用组策略。有关详细信息,请参阅本指南后面部分中的设计支持组策略的 OU 结构。
- 网络:确保您的网络符合更改和配置管理技术的要求。例如,由于组策略使用完全限定的域名,因此,您必须在林中运行目录名称服务 (DNS) 才能正确处理组策略。
- 安全:获取域中当前使用的安全组的列表。在委派组织单位管理责任以及创建需要安全组筛选的设计时,应与安全管理员紧密合作。有关筛选 GPO 的详细信息,请参阅本指南后面部分中的定义组策略的应用范围中的“将 GPO 应用于选定的组(筛选)”。
- IT 要求:获取域中的管理所有者以及企业的域和 OU 管理标准的列表。这样,您便可以制订正确的委派计划并确保正确继承组策略。
备注 |
---|
组策略取决于网络、安全和 Active Directory;因此,了解这些技术是至关重要的。强烈建议先熟悉这些概念,然后再实现组策略。 |
组策略的管理要求
若要使用组策略,您的组织必须使用 Active Directory,并且目标桌面和服务器计算机必须运行 Windows Server2008、Windows Vista、Windows Server2003 或 WindowsXP。
默认情况下,只有 Domain Admins 或 Enterprise Admins 组的成员能够创建和链接 GPO,但您可以将此任务委派给其他用户。有关组策略管理要求的详细信息,请参阅本指南后面部分中的委派组策略管理。
GPMC
GPMC 跨组织的多个林以统一的方式管理组策略的各个方面。可以使用 GPMC 管理网络中的所有 GPO、Windows Management Instrumentation (WMI) 筛选器以及与组策略有关的权限。可以将 GPMC 视为主要的组策略访问点,GPMC 界面中提供了所有组策略管理工具。
GPMC 包含一组用于管理组策略的可编脚本界面以及一个基于 MMC 的用户界面 (UI)。Windows Server2008 附带提供了 32 位和 64 位版本的 GPMC。
GPMC 提供了以下功能:
- 导入和导出 GPO。
- 复制和粘贴 GPO。
- 备份和还原 GPO。
- 搜索现有的 GPO。
- 报告功能。
- 组策略建模。用于模拟策略的结果集 (RsoP) 数据以规划组策略部署,然后再在生产环境中实现组策略。
- 组策略结果。用于获取 RSoP 数据以查看 GPO 交互和解决组策略部署问题。
- 支持迁移表以便于跨域和林导入和复制 GPO。迁移表是一个文件,可以将对源 GPO 中的用户、组、计算机和通用命名约定 (UNC) 路径的引用映射到目标 GPO 中的新值。
- 在 HTML 报告中报告 GPO 设置和 RSoP 数据,您可以保存和打印这些报告。
- 可编脚本的界面,可以在其中执行 GPMC 中提供的所有操作。不过,无法使用脚本编辑 GPO 中的各个策略设置。
备注 |
---|
Windows Server2008 不包含 GPMC 早期版本提供的 GPMC 示例脚本。不过,您可以从组策略管理控制台示例脚本(可能为英文网页)中下载适用于 Windows Server2008 的 GPMC 示例脚本。有关使用 GPMC 示例脚本的详细信息,请参阅本指南后面部分中的使用脚本管理组策略。 |
使用 GPMC 可大大提高组策略部署的可管理性;由于它提供了改进且简化的组策略管理界面,您可以充分利用组策略的强大功能。
设计支持组策略的 OU 结构
在 Active Directory 环境中,可通过将 GPO 链接到站点、域或 OU 来分配组策略设置。通常,大多数 GPO 是在 OU 级别分配的,因此,请确保 OU 结构支持基于组策略的客户端管理策略。您还可以在域级别应用某些组策略设置,尤其是密码策略等设置。只有很少的策略设置是在站点级别应用的。设计完善的 OU 结构可反映组织的管理结构并利用 GPO 继承,这种结构可以简化组策略的应用过程。例如,设计完善的 OU 结构可防止复制某些 GPO,以便将这些 GPO 应用于组织的不同部分。如果可能,请创建 OU 以委派管理权限和帮助实现组策略。
OU 设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。以下 OU 设计建议解决了委派和作用域问题:
- 委派管理权限:可以在域中创建 OU,并将对特定 OU 的管理控制委派给特定用户或组。OU 结构可能会受委派管理权限的要求的影响。
- 应用组策略:在设计 OU 结构时,应主要考虑要管理的对象。您可能需要创建一种结构,按靠近顶级的工作站、服务器和用户组织 OU。根据您的管理模型,您可以将基于地理位置的 OU 视为其他 OU 的子或父 OU,然后为每个位置复制这种结构以避免在不同的站点中进行复制。只有在以下情况下才能在下面添加 OU:这种做可使组策略应用更清晰,或者您需要在这些级别下面委派管理。
通过使用 OU 包含同类对象(如用户或计算机对象,但不能同时包含两者)的结构,您可以轻松禁用 GPO 中不应用于特定类型对象的部分。图 1 中说明的 OU 设计方法降低了复杂性,并提高了组策略的应用速度。请记住,链接到高层 OU 结构的 GPO 是默认继承的,因而不需要将 GPO 复制或链接到多个容器。
在设计 Active Directory 结构时,最重要的注意事项是简化管理和委派过程。
将组策略应用于新用户和计算机帐户
默认情况下,新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。无法将组策略直接应用于这些容器,但它们会继承链接到域的 GPO。若要将组策略应用于默认 Users 和 Computers 容器,您必须使用新的 Redirusr.exe 和 Redircomp.exe 工具。
Redirusr.exe(用于用户帐户)和 Redircomp.exe(用于计算机帐户)是 Windows Server2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置,以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域。这些工具位于 %windir%\system32 中包含 Active Directory 服务角色的服务器上。
通过为每个域运行一次 Redirusr.exe 和 Redircomp.exe,域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的 OU。这样,管理员就可以使用组策略管理这些未分配的帐户,然后再将其分配给最终放置这些帐户的 OU。请考虑使用组策略提高新用户和计算机帐户的安全性,以限制用于这些帐户的 OU。
有关重定向用户和计算机帐户的详细信息,请参阅 Microsoft 知识库中的文章 324949“在 Windows Server2003 域中重定向用户和计算机容器”(http://go.microsoft.com/fwlink/?LinkId=100759)。
站点和复制注意事项
在确定适合的策略设置时,请注意 Active Directory 的物理特性,其中包括站点的地理位置、域控制器的物理位置以及复制速度。
GPO 存储在 Active Directory 和每个域控制器上的 Sysvol 文件夹中。这些位置具有不同的复制机制。如果怀疑可能未在域控制器中复制 GPO,请使用 Resource Kit 工具组策略对象 (Gpotool.exe) 帮助诊断问题。
有关 Gpotool.exe 的详细信息,请参阅“Microsoft 帮助和支持”(http://go.microsoft.com/fwlink/?LinkId=109283)。若要下载 Windows Server2008 Resource Kit 工具,请参阅 Microsoft 下载中心上的“Windows Server2008 Resource Kit 工具”(http://go.microsoft.com/fwlink/?LinkId=4544)(可能为英文网页)。
如果出现慢速链接问题(通常是到远程站点的客户端的链接),问题可能出在域控制器位置上。如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值 500 千比特/秒,则仅默认应用管理模板(基于注册表)设置、新无线策略扩展和安全设置。不会默认应用所有其他组策略设置。不过,您可以使用组策略修改此行为。
可以使用组策略慢速链接检测策略,为 GPO 中的用户和计算机内容更改慢速链接阈值。如有必要,您还可以调整在慢速链接阈值以下处理的组策略扩展。甚至可以根据需要,将本地域控制器放在远程位置以满足您的管理需要。
符合服务级别协议
某些 IT 组使用服务级别协议来指定应运行的服务。例如,服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能使用计算机,等等。服务级别协议通常会设置服务响应标准。例如,服务级别协议可能定义了允许用户接收新软件应用程序或访问以前禁用的功能的时间长度。可能会影响服务响应的问题有:站点和复制拓扑、域控制器位置以及组策略管理员位置。
若要缩短处理 GPO 所需的时间,请考虑使用下面的某种策略:
- 如果 GPO 仅包含计算机配置或用户配置设置,请禁用不适用的策略设置部分。在执行此操作后,目标计算机不会扫描禁用的 GPO 部分,从而缩短了处理时间。有关禁用 GPO 的某些部分的信息,请参阅本指南后面的禁用 GPO 中的用户配置或计算机配置设置。
- 如果可能,请将一些较小的 GPO 合并为一个 GPO。这可减少应用于用户或计算机的 GPO 数量。通过将较少的 GPO 应用于用户或计算机,可以缩短启动或登录时间,并且可以更轻松地解决策略结构问题。
- 对 GPO 所做的更改将复制到域控制器中,并导致将新的内容下载到客户端或目标计算机上。如果需要经常更改很大或很复杂的 GPO,请考虑创建一个新 GPO,其中仅包含定期更新的部分。请测试这种方法以确定最大限度减少对网络的影响和缩短目标计算机的处理时间能带来多大好处,而使 GPO 结构变得更复杂而容易出现故障的可能性有多大,是否利大于弊。
- 您应该实现组策略更改控制过程,并记录对 GPO 所做的任何更改。这可能有助于解决和纠正出现的 GPO 问题。这种做还有助于满足要求保留日志的服务级别协议的要求。请考虑使用 AGPM 来实现 GPO 更改控制过程和管理 GPO。
定义组策略目标
在规划组策略部署时,请确定具体的业务要求以及组策略如何帮助实现这些要求。然后,您可以确定最适合的策略设置和配置选项以满足您的要求。
每个组策略实现的目标因用户位置、工作需要、计算机体验和企业安全要求而异。在某些情况下,您可能会从用户的计算机中删除一些功能以防止其修改系统配置文件(这可能会中断计算机运行),或者删除并非用户工作时必不可少的应用程序。在其他情况下,您可能会使用组策略配置操作系统选项、指定 Internet Explorer 设置或制订安全策略。
清楚地了解当前的组织环境和要求有助于设计出最符合组织需要的计划。应收集有关用户类型(操作工人和数据输入员)以及现有和计划的计算机配置的的信息,这一点至关重要。您可以根据这些信息来定义组策略目标。
评估现有的企业行为准则
为帮助您确定要使用的适合组策略设置,请先评估企业环境中的当前行为准则,其中包括如下因素:
- 各种类型的用户的用户要求。
- 当前 IT 角色,如划分到不同管理员组的各种管理任务。
- 现有的企业安全策略。
- 服务器和客户端计算机的其他安全要求。
- 软件分发模型。
- 网络配置。
- 数据存储位置和步骤。
- 当前的用户和计算机管理。
定义组策略目标
接下来,请确定以下内容(作为定义组策略目标的一部分):
- 每个 GPO 的用途。
- 每个 GPO 的所有者 — 请求策略设置并负责进行维护的人。
- 要使用的 GPO 数量。
- 要链接每个 GPO 的相应容器(站点、域或 OU)。
- 每个 GPO 中包含的策略设置类型以及用户和计算机的相应策略设置。
- 何时设置组策略默认处理顺序的例外情况。
- 何时设置组策略的筛选选项。
- 要安装的软件应用程序及其位置。
- 用于重定向文件夹的网络共享。
- 要运行的登录、注销、启动和关机脚本的位置
规划持续的组策略管理
在设计和实现组策略解决方案时,规划持续的组策略管理也是非常重要的。通过确定管理步骤以跟踪和管理 GPO,可以确保按预定方式实现所有更改。
若要简化和控制持续的组策略管理,我们建议您:
- 始终使用以下预部署过程暂存组策略部署:
- 使用组策略建模了解新 GPO 如何与现有 GPO 进行交互。
- 在模拟生产环境的测试环境中部署新 GPO。
- 使用组策略结果了解在测试环境中实际应用的 GPO 设置。
- 使用 GPMC 定期备份 GPO。
- 使用 GPMC 在组织中管理组策略。
- 除非必要,否则不要修改默认域策略或默认域控制器策略。相反,应在域级别创建新的 GPO,并对其进行设置以覆盖默认策略设置。
- 为 GPO 定义有意义的命名约定,以清楚地说明每个 GPO 的用途。
- 仅为每个 GPO 委派一个管理员。这可防止一个管理员的工作被另一个管理员的工作所覆盖。
在 Windows Server2008 和 GPMC 中,您可以将编辑和链接 GPO 的权限委派给不同的管理员组。如果未确定适合的 GPO 控制步骤,委派的管理员可能具有重复的 GPO 设置,或者创建的 GPO 与另一个管理员设置的策略设置发生冲突或不符合企业标准。这些冲突可能会对用户的桌面环境产生不利影响,增加拨打的支持电话次数并且更难解决 GPO 问题。
确定互操作性问题
在混合环境中规划组策略实现时,您需要考虑可能出现的互操作性问题。Windows Server2008 和 Windows Vista 包含很多新组策略设置,Windows Server2003 或 WindowsXP 中不使用这些设置。不过,即使组织中的客户端和服务器计算机主要运行的是 Windows Server2003 或 WindowsXP,您也应该使用 Windows Server2008 中包含的 GPMC,因为它包含最新的策略设置。如果将包含较新策略设置的 GPO 应用于不支持该策略设置的以前操作系统,并不会出现问题。
运行 Windows Server2003 或 WindowsXP Professional 的目标计算机直接忽略仅在 Windows Server2008 或 Windows Vista 中支持的策略设置。若要确定将哪些策略设置应用于哪些操作系统,请在策略设置说明中查看“支持的平台”信息,它说明了哪些操作系统可以读取该策略设置。
确定何时应用组策略更改
由于对 GPO 的更改必须先复制到相应的域控制器中,因此可能不会在用户桌面上立即应用对组策略设置的更改。此外,客户端使用 90 分钟刷新周期(随机偏差最多约为 30 分钟)来检索组策略。因此,很少会立即应用更改的组策略设置。GPO 组件存储在 Active Directory 和域控制器的 Sysvol 文件夹中。将 GPO 复制到其他域控制器是由两个独立机制完成的:
- Active Directory 中的复制是由 Active Directory 的内置复制系统控制的。默认情况下,在同一站点的域控制器之间复制时,通常需要不到一分钟的时间。如果您的网络速度比 LAN 慢,此过程可能会较慢。
- Sysvol 文件夹复制是由文件复制服务 (FRS) 或分布式文件系统复制 (DFSR) 控制的。在站点中,每 15 分钟进行一次 FRS 复制。如果域控制器位于不同的站点中,则会按设置的间隔根据站点拓扑和复制计划执行复制过程;最低间隔为 15 分钟。
备注 |
---|
如果务必为特定站点中的特定用户或计算机组立即应用更改,您可以连接到与这些对象最接近的域控制器,然后在该域控制器上进行配置更改,以使这些用户最先获得更新的策略设置。 |
策略刷新间隔
刷新组策略的主要机制是启动和登录。还会定期按其他间隔刷新组策略。策略刷新间隔影响应用 GPO 更改的速度。默认情况下,运行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的客户端和服务器每 90 分钟检查一次 GPO 更改,随机偏差最多为 30 分钟。
运行 Windows Server2008 或 Windows Server2003 的域控制器将每 5 分钟检查一次计算机策略更改。可以使用以下某种策略设置更改该轮询频率:“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。不过,建议不要缩短刷新间隔时间,因为这可能会增加网络通信量并在域控制器上产生额外的负载。
触发组策略刷新
如有必要,您可以从本地计算机中手动触发组策略刷新,而无需等待执行自动后台刷新。为此,您可以在命令行中键入 gpupdate 以刷新用户或计算机策略设置。无法使用 GPMC 触发组策略刷新。gpupdate 将在运行该命令的本地计算机上触发后台策略刷新。
有关 gpupdate 命令的详细信息,请参阅本指南后面的更改组策略刷新间隔。
备注 |
---|
某些策略设置(如文件夹重定向和软件应用程序分配)要求用户注销并重新登录,然后这些设置才会生效。只有在重新启动计算机后,才会安装分配给计算机的软件应用程序。 |
确定与软件安装有关的问题
虽然可以使用组策略安装软件应用程序(尤其是小型或中型组织),但您需要确定它是否为最符合组织需要的解决方案。在使用组策略安装软件应用程序时,只有在重新启动计算机或用户登录后,才会安装或更新分配的应用程序。
使用 System Center Configuration Manager 2007(以前称为 Systems Management Server (SMS))部署软件可提供基于组策略的软件部署中没有的企业级功能,例如,基于清单确定目标、状态报告和计划。因此,您可以使用组策略配置桌面和设置系统安全和访问权限,但使用 Configuration Manager 传送软件应用程序。这种方法允许将应用程序安装安排在非核心工作时间进行,从而提供了带宽控制。
具体选择哪些工具取决于您的要求、您的环境以及是否需要使用 Configuration Manager 提供的附加功能和安全性。有关 Configuration Manager 的信息,请参阅 System Center Configuration Manager (http://go.microsoft.com/fwlink/?LinkId=109285)(可能为英文网页)。
设计组策略模型
您的主要目标是,根据业务要求设计 GPO 结构。应牢记组织中的计算机和用户,并确定必须在组织中强制实施的策略设置以及适用于所有用户或计算机的策略设置。还要根据类型、功能或工作角色确定用于配置计算机或用户的策略设置。然后,将这些不同类型的策略设置划分到 GPO 中,并将其链接到相应的 Active Directory 容器。
还要牢记组策略继承模型以及确定优先级的方式。默认情况下,较低级别的所有 OU 将继承链接到较高级别 Active Directory 站点、域和 OU 的 GPO 中设置的选项。不过,在较低级别链接的 GPO 可能会覆盖继承的策略。
例如,您可能会使用在较高级别链接的 GPO 来分配标准桌面墙纸,但希望使用某种 OU 获取不同的墙纸。为此,您可以将第二个 GPO 链接到该特定较低级别 OU。由于较低级别 GPO 是最后应用的,因此,第二个 GPO 将覆盖域级 GPO,并为该特定较低级别 OU 提供一组不同的组策略设置。不过,您可以使用“阻止继承”和“强制”修改这种默认继承行为。
以下准则可帮助定制组策略设计以满足组织的需要:
- 确定是否必须为特定的用户或计算机组强制实施任何策略设置。请创建包含这些策略设置的 GPO,将其链接到相应的站点、域或 OU,然后将这些链接指定为“强制”。通过设置该选项,您可以强制实施较高级别 GPO 的策略设置,以防止较低级别 Active Directory 容器中的 GPO 覆盖这些设置。例如,如果在域级别定义一个特定的 GPO 并指定强制实施该 GPO,该 GPO 包含的策略将应用于该域下面的所有 OU;链接到较低级别 OU 的 GPO 无法覆盖该域组策略。
备注 |
---|
应慎用“强制”和“阻止策略继承”功能。如果经常使用这些功能,可能会导致很难解决策略问题,因为其他 GPO 的管理员不容易弄清楚为什么应用了或未应用某些策略设置。 |
- 确定哪些策略设置适用于整个组织,并考虑将这些设置链接到域上。还可以使用 GPMC 复制 GPO 或导入 GPO 策略设置,从而在不同的域中创建相同的 GPO。
- 将 GPO 链接到 OU 结构(或站点),然后使用安全组有选择地将这些 GPO 应用于特定用户或计算机。
- 对组织中的计算机类型和用户的角色或工作职能进行分类,将它们划分到 OU 中,创建 GPO 以便根据需要为每个 OU 配置环境,然后将 GPO 链接到这些 OU。
- 准备暂存环境以测试基于组策略的管理策略,然后再将 GPO 部署到生产环境中。应将此阶段视为暂存您的部署。这是一个关键步骤,有助于确保组策略部署满足您的管理目标的要求。本指南后面的暂存组策略部署中介绍了该过程。
定义组策略的应用范围
若要定义 GPO 的应用范围,请考虑以下问题:
- 要将 GPO 链接到什么地方?
- 将使用 GPO 上的哪种安全筛选? 通过使用安全筛选,您可以优化哪些用户和计算机将接收并应用 GPO 中的策略设置。安全组筛选可以确定是将 GPO 统一应用于组、应用于用户还是应用于计算机;无法有选择地对 GPO 中的不同策略设置使用安全组筛选。
- 将应用哪些 WMI 筛选器? 通过使用 WMI 筛选器,您可以根据目标计算机的属性动态确定 GPO 作用域。
还要记住将默认继承 GPO,GPO 是累积性的,它影响 Active Directory 容器及其子容器中的所有计算机和用户。其处理顺序如下所示:本地组策略、站点、域和 OU,最后处理的 GPO 将覆盖先前的 GPO。默认继承方法是,评估从离计算机或用户对象最远的 Active Directory 容器开始的组策略。离计算机或用户最近的 Active Directory 容器将覆盖较高级别 Active Directory 容器中设置的组策略,除非为该 GPO 链接设置了“强制(禁止替代)”选项,或者已将“阻止策略继承”策略设置应用于域或 OU。将先处理 LGPO,因此,链接到 Active Directory 容器的 GPO 中的策略设置将覆盖本地策略设置。
另一个问题是,虽然可以将多个 GPO 链接到一个 Active Directory 容器上,但需要注意处理优先级。默认情况下,优先处理“组策略对象链接”列表(显示在 GPMC 的“链接的组策略对象”选项卡中)中链接顺序最低的 GPO 链接。不过,如果一个或多个 GPO 链接设置了“强制”选项,则设置为“强制”的最高 GPO 链接优先。
简单地说,“强制”是一个链接属性,“阻止策略继承”是一个容器属性。“强制”优先于“阻止策略继承”。此外,还可以使用四种其他方式禁用 GPO 本身的策略设置:可以禁用 GPO,GPO 可以禁用其计算机设置,禁用其用户设置或禁用其所有设置。
GPMC 大大简化了这些任务,您可以通过它查看组织中的 GPO 继承,并从某个 MMC 控制台中管理链接。图 2 说明了 GPMC 中显示的组策略继承。
备注 |
---|
若要查看到域、站点或 OU 的 GPO 链接的继承和优先级的完整详细信息,您必须具有包含 GPO 链接的站点、域或 OU 以及 GPO 的读取权限。如果您具有站点、域或 OU 的读取访问权限,但没有链接到此处的某个 GPO 的读取访问权限,该 GPO 将显示为“不可访问的 GPO”,您无法读取该 GPO 的名称或其他信息。 |
确定所需的 GPO 数量
所需的 GPO 数量取决于设计方法、环境复杂性、目标以及项目范围。如果某个林中包含多个域或者有多个林,您可能会发现每个域中所需的 GPO 数量是不同的。与较小且比较简单的域相比,支持非常复杂的业务环境的域(具有不同的用户数量)通常需要更多的 GPO。
随着支持组织所需的 GPO 数量的增加,组策略管理员的工作量也会有所增加。可以采取一些措施来简化组策略管理。通常,如果某些策略设置应用于一组给定的用户或计算机,并由一组常用的管理员进行管理,则应将其划分到单个 GPO 中。再者,如果不同的用户或计算机组具有相同要求,并且只有几个组需要进行增量更改,请考虑使用链接到 Active Directory 结构中的较高级别的单个 GPO,将这些相同要求应用于所有这些用户或计算机组中。然后,再添加几个额外的 GPO,以便仅在相关 OU 中应用增量更改。可能并非始终能够使用这种方法,这种方法也并非始终有效,因此,您可能需要指定该准则的例外情况。如果是这种情况,请确保对其进行跟踪。
备注 |
---|
最多支持使用 999 个 GPO 来处理任一用户或计算机上的 GPO。如果超过最大数,将无法再处理 GPO。此限制仅影响相同应用的 GPO 数量;它不影响可以在域中创建和存储的 GPO 数量。 |
应考虑到应用于计算机的 GPO 数量会影响启动时间,应用于用户的 GPO 数量会影响登录到网络上所需的时间。链接到用户的 GPO 数量越大(尤其是这些 GPO 中的策略设置数量越大),用户登录时处理这些 GPO 所需的时间就越长。在登录过程中,只要为用户设置了“读取”和“应用组策略”权限,就会应用用户站点、域和 OU 层次结构中的每个 GPO。在 GPMC 中,“读取”和“应用组策略”权限是作为一个单位(称为安全筛选)进行管理的。
如果使用安全筛选并删除给定用户或组的“应用组策略”权限,则还会删除读取权限,除非由于某些原因要求该用户具有读取访问权限。(如果使用的是 GPMC,则不必担心这种情况,因为 GPMC 自动执行此操作。)如果未设置“应用组策略”权限,但设置了“读取”权限,GPO 链接到的 OU 层次结构中的任何用户或计算机仍会检查(但不应用)GPO。这种检查过程略微增加登录时间。
始终在测试环境中测试组策略解决方案,以确保所定义的策略设置不会过度延长显示登录屏幕所需的时间,并且这些设置符合桌面服务级别协议。在该暂存阶段,使用测试帐户登录以测定几个 GPO 对环境中的对象的实际影响。
链接 GPO
若要将 GPO 的策略设置应用于用户和计算机,您需要将 GPO 链接到站点、域或 OU。可以使用 GPMC 添加一个或多个到每个站点、域或 OU 的 GPO 链接。请记住,创建和链接 GPO 是一个敏感权限,只应将该权限委派给值得信任且了解组策略的管理员。
将 GPO 链接到站点
如果将一些策略设置(如某些网络或代理配置设置)应用于特定物理位置中的计算机,则可能只有这些策略设置适于添加到基于站点的策略设置中。由于站点和域是独立的,因此,站点中的计算机可能需要跨域将 GPO 链接到站点上。在这种情况下,请确保连接状况良好。
如果策略设置并不明确对应于单个站点中的计算机,则最好将 GPO 分配给域或 OU 结构,而不是分配给站点。
将 GPO 链接到域
如果要将 GPO 应用于域中的所有用户和计算机,请将 GPO 链接到该域上。例如,安全管理员通常实现基于域的 GPO 以强制实施企业标准。他们可能需要这些 GPO 并启用 GPMC“强制”选项,以确保其他管理员无法覆盖这些策略设置。
重要事项 |
---|
如果需要修改默认域策略 GPO 中包含的策略设置,我们建议您创建新的 GPO 实现此目的,将其链接到域上,然后设置“强制”选项。通常,不要修改默认域策略 GPO 或默认域控制器策略 GPO。 |
顾名思义,默认域策略 GPO 也会链接到域上。默认域策略 GPO 是在安装域中的第一个域控制器以及管理员第一次登录时创建的。该 GPO 包含域范围的帐户策略设置、密码策略、帐户锁定策略以及 Kerberos 策略,它是由域中的域控制器强制实施的。所有域控制器从默认域策略 GPO 中检索这些帐户策略设置的值。要将帐户策略应用于域帐户,必须在链接到域的 GPO 中部署这些策略设置。如果在较低级别(如 OU)设置帐户策略设置,这些策略设置仅影响该 OU 和子 OU 中的计算机上的本地帐户(非域帐户)。
在对默认 GPO 进行任何更改之前,请确保使用 GPMC 备份 GPO。如果默认 GPO 更改出现问题,并且无法恢复到以前或初始状态,您可以使用下一节中介绍的 Dcgpofix.exe 工具重新创建初始状态的默认策略。或者,如果使用的是 AGPM,将保留所做的任何更改的记录,因此,您可以恢复到以前或初始状态。
还原默认域策略 GPO 和默认域控制器 GPO
Dcgpofix.exe 是一个命令行工具,在发生灾难而无法使用 GPMC 时,可以使用该工具将默认域策略 GPO 和默认域控制器 GPO 完全还原为原始状态。Dcgpofix.exe 是 Windows Server2008 和 Windows Server2003 附带提供的,它位于 C:\Windows\system32\ 文件夹中。
Dcgpofix.exe 仅还原生成默认 GPO 时其中包含的策略设置。Dcgpofix.exe 不还原管理员创建的其他 GPO;它仅用于默认 GPO 灾难恢复。
备注 |
---|
Dcgpofix.exe 不保存通过应用程序(如 Configuration Manager 或 Exchange)创建的任何信息。 |
Dcgpofix.exe 语法如下所示:
DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]
表 1 说明了在使用 Dcgpofix.exe 工具时可以使用的命令行选项。
表 1 Dcgpofix.exe 命令行选项
选项 | 选项说明 |
---|---|
/ignoreschema |
默认情况下,Windows Server2008 附带提供的 Dcgpofix 版本仅适用于 Windows Server2008 域。此选项将绕过架构检查,以允许其在非 Windows Server2008 域上工作。 |
/target:DOMAIN 或 |
指定应重新创建默认域策略。 |
/target:DC 或 |
指定应重新创建默认域控制器策略。 |
/target:BOTH |
指定应重新创建默认域策略和默认域控制器策略。 |
有关 Dcgpofix.exe 的详细信息,请参阅 Dcgpofix.exe (http://go.microsoft.com/fwlink/?LinkId=109291)(可能为英文网页)。
将 GPO 链接到 OU 结构
GPO 通常链接到 OU 结构,因为这可提供最大的灵活性和可管理性。例如:
- 您可以将用户和计算机移入或移出 OU。
- 如有必要,可以重新排列 OU。
- 您可以使用一些具有相同管理要求的较小用户组。
- 您可以根据管理用户和计算机的管理员对其进行组织。
通过将 GPO 划分为面向用户的 GPO 和面向计算机的 GPO,有助于使组策略环境更易于理解,并且可以简化故障排除过程。不过,要将用户和计算机组件拆分为单独的 GPO,您可能需要使用更多的 GPO。一种补救措施是,配置“GPO 状态”设置以禁用不应用的 GPO 用户或计算机配置部分,并缩短应用给定 GPO 所需的时间。
更改 GPO 链接顺序
在每个站点、域和 OU 中,链接顺序控制应用 GPO 的顺序。若要更改链接优先级,您可以更改链接顺序,即,将列表中的每个链接向上或向下移动到相应位置。对于给定站点、域或 OU,编号最小的链接具有最高的优先级。
例如,如果添加 6 个 GPO 链接,并随后决定要为添加的最后一个链接指定最高优先级,您可以调整 GPO 链接的链接顺序,以使该链接的链接顺序为 1。若要更改站点、域或 OU 的 GPO 链接的链接顺序,请使用 GPMC。
使用安全筛选将 GPO 应用于选定的组
默认情况下,GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。不过,您可以在 GPO 上使用安全筛选以修改其效果:通过修改 GPO 权限仅将其应用于特定用户、Active Directory 安全组成员或计算机。通过将安全筛选和 OU 中的相应位置相结合,您可以将任何一组给定的用户或计算机作为目标。
要将 GPO 应用于给定用户、安全组或计算机,该用户、组或计算机必须具有 GPO 的“读取”和“应用组策略”权限。默认情况下,“经过身份验证的用户”将“读取”和“应用组策略”权限设置为“允许”。这两个权限是作为一个单位使用 GPMC 中的安全筛选进行管理的。
若要设置给定 GPO 的权限,以便仅将 GPO 应用于特定用户、安全组或计算机(而不是应用于所有经过身份验证的用户),请在 GPMC 控制台树中包含该 GPO 的林和域中展开“组策略对象”。单击该 GPO,然后在细节窗格的“作用域”选项卡上的“安全筛选”下面,删除“经过身份验证的用户”,单击“添加”,然后添加新的用户、组或计算机。
例如,如果仅希望 OU 中的一部分用户接收 GPO,请从“安全筛选”中删除“经过身份验证的用户”。然后,添加一个具有安全筛选权限的新安全组,其中包含要接收 GPO 的那些用户。仅位于 GPO 链接到的站点、域或 OU 中的该组成员能够接收 GPO;位于其他站点、域或 OU 中的组成员不会接收 GPO。
您可能需要禁止将某些组策略设置应用于 Administrators 组成员。若要完成此操作,您可以执行以下操作之一:
- 为管理员创建一个单独的 OU,并将该 OU 放在应用了大多数管理设置的层次结构以外。这样,管理员就不会接收为管理的用户提供的大多数策略设置。如果该单独 OU 是域的直接子域,则管理员只能接收链接到域或站点的 GPO 中的策略设置。通常,仅在此处链接广泛适用的常规策略设置,因此,让管理员接收这些策略设置是可以接受的。如果不希望管理员接收这些设置,您可以在管理员的 OU 上设置“阻止继承”选项。
- 仅在执行管理任务时让管理员使用单独的管理帐户。在不执行管理任务时,仍会对管理员进行管理。
- 在 GPMC 中使用安全筛选,以便只有非管理员能够接收策略设置。
应用 WMI 筛选器
可以使用 WMI 筛选器来控制如何应用 GPO。每个 GPO 可以链接到一个 WMI 筛选器上;但同一 WMI 筛选器可以链接到多个 GPO 上。在将 WMI 筛选器链接到 GPO 之前,您必须先创建该筛选器。在处理组策略期间,将在目标计算机上评估 WMI 筛选器。只有在 WMI 筛选器评估结果为 true 时,才会应用 GPO。在基于 Windows2000 的计算机上,将忽略 WMI 筛选器并始终应用 GPO。
备注 |
---|
我们建议您将 WMI 筛选器主要用于例外情况管理。这些筛选器提供了一个强大的解决方案,以便将 GPO 应用于特定用户和计算机,但由于每次处理组策略时都会评估 WMI 筛选器,这会增加启动和登录时间。另外,WMI 筛选器没有超时。因此,只有在必要时才能使用这些筛选器。 |
通过使用 GPMC,您可以为 WMI 筛选器执行下列操作:创建和删除、链接和取消链接、复制和粘贴、导入和导出以及查看和编辑属性。
只有在域中至少有一个域控制器运行的是 Windows Server2008 或 Windows Server2003,或者在该域中使用 /Domainprep 选项运行了 ADPrep 时,才能使用 WMI 筛选器。否则,GPO 的“作用域”选项卡上的“WMI 筛选”部分以及该域下面的“WMI 筛选器”节点不存在。请参阅图 3 以帮助您确定本节中介绍的内容。
设置 WMI 筛选选项
WMI 将显示目标计算机中的管理数据。该数据可能包括硬件和软件清单、设置以及配置信息,其中包括注册表、驱动程序、文件系统、Active Directory、SNMP、Windows 安装程序以及网络中的数据。管理员可以创建 WMI 筛选器以控制是否应用 GPO,这些筛选器包含一个或多个基于此数据的查询。将在目标计算机上评估筛选器。如果 WMI 筛选器评估结果为 true,则会将 GPO 应用于该目标计算机;如果筛选器评估结果为 false,则不会应用 GPO。在基于 Windows2000 的客户端或服务器目标上,将忽略 WMI 筛选器并始终应用 GPO。如果没有任何 WMI 筛选器,则始终应用 GPO。
可以使用 WMI 筛选器,根据各种对象和其他参数来确定组策略设置的目标。表 2 说明了可以为 WMI 筛选器指定的示例查询条件。
表 2 示例 WMI 筛选器
查询的 WMI 数据 | 示例查询条件 |
---|---|
服务 |
运行 DHCP 服务的计算机 |
注册表 |
填充了指定注册表项的计算机 |
Windows 事件日志 |
最后五分钟报告审核事件的计算机 |
操作系统版本 |
运行 Windows Server2003 和更高版本的计算机 |
硬件清单 |
具有 Pentium III 处理器的计算机 |
硬件配置 |
在级别 3 启用网络适配器的计算机 |
服务关联 |
具有任何依赖于 SQL 服务的服务的计算机 |
WMI 筛选器包含一个或多个 WMI 查询语言 (WQL) 查询。WMI 筛选器应用于 GPO 中的每个策略设置,因此,如果管理员要为不同策略设置指定不同的筛选要求,则必须创建单独的 GPO。在基于安全组成员身份确定并筛选可能的 GPO 列表后,将在目标计算机上评估 WMI 筛选器。
虽然可以将基于组策略的软件部署与 WMI 筛选器相结合来执行有限的基于清单的软件部署目标设置,但建议不要将其作为通常的作法,原因如下:
- 每个 GPO 只能有一个 WMI 筛选器。如果应用程序具有不同的清单要求,则您需要多个 WMI 筛选器,因而需要多个 GPO。增加 GPO 数量会影响启动和登录时间,并且还会增加管理开销。
- WMI 筛选器评估可能需要很长时间才能完成,因此,它们可能会延长登录和启动时间。具体需要多少时间取决于查询结构。
示例 WMI 筛选器
如上所述,WMI 筛选器非常适于作为例外情况管理工具。通过按照特定条件进行筛选,您可以将特定 GPO 的目标指定为仅限特定的用户和计算机。下一节介绍了 WMI 筛选器以说明这一技术。
基于操作系统的目标设置
在本示例中,管理员要部署一个企业监视策略,但希望仅将基于 Windows Vista 的计算机作为目标。管理员可以创建如下 WMI 筛选器:
Select * from Win32_OperatingSystem where Caption like "%Vista%"
大多数 WMI 筛选器使用 Root\CimV2 命名空间;默认情况下,将在 GPMC 用户界面中填充此选项。
由于在基于 Windows2000 的计算机上忽略 WMI 筛选器,因此,在这些计算机上始终应用筛选的 GPO。不过,您可以使用以下方法解决该问题:使用两个 GPO,并为具有 Windows2000 设置的 GPO 指定较高的优先级(通过使用链接顺序)。然后,使用 WMI 筛选器筛选该 Windows2000 GPO,并且仅在操作系统是 Windows2000(而不是 Windows Vista 或 WindowsXP)时才应用该筛选器。基于 Windows2000 的计算机将接收 Windows2000 GPO 并覆盖 Windows Vista 或 WindowsXP GPO 中的策略设置。Windows Vista 或 WindowsXP 客户端将接收 Windows Vista 或 WindowsXP GPO 中的所有策略设置。
基于硬件清单的目标设置
在本示例中,管理员希望仅将新网络连接管理器工具分发到具有调制解调器的桌面。管理员可以使用以下 WMI 筛选器,将这些桌面指定为目标以部署该程序包:
Select * from Win32_POTSModem Where Name = " MyModem"
如果将组策略与 WMI 筛选器一起使用,请记住 WMI 筛选器应用于 GPO 中的所有策略设置。如果不同部署具有不同的要求,则需要使用不同的 GPO,每个 GPO 具有其自己的 WMI 筛选器。
基于配置的目标设置
在本示例中,管理员不希望在支持多播的计算机上应用 GPO。管理员可以使用以下筛选器确定支持多播的计算机:
Select * from Win32_NetworkProtocol where SupportsMulticasting = true
基于磁盘空间数量和文件系统类型的目标设置
在本示例中,管理员希望将 C、D 或 E 分区上的可用空间超过 10 兆字节 (MB) 的计算机作为目标。这些分区必须位于一个或多个本地固定磁盘中,并且它们必须运行 NTFS 文件系统。管理员可以使用以下筛选器确定满足这些条件的计算机:
SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:" OR Name = " D:" OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"
在上一示例中,DriveType = 3 表示本地磁盘,FreeSpace 单位为字节(10 MB = 10,485,760 字节)。
创建 WMI 筛选器的步骤
-
在 GPMC 控制台树中,在要添加 WMI 筛选器的林和域中右键单击“WMI 筛选器”。
-
单击“新建”。
-
在“新建 WMI 筛选器”对话框中,在“名称”框中键入新 WMI 筛选器的名称,然后在“描述”框中键入该筛选器的说明。
-
单击“添加”。
-
在“WMI 查询”对话框中,保留默认命名空间,或执行以下某种操作以指定其他命名空间:
- 在“命名空间”框中,键入要用于 WMI 查询的命名空间的名称。默认值为 root\CimV2。大多数情况下,您不需要更改该值。
- 单击“浏览”,从列表中选择一个命名空间,然后单击“确定”。
-
在“查询”框中键入 WMI 查询,然后单击“确定”。
-
若要添加更多查询,请重复步骤 4 至 6 以添加各个查询。
-
在添加所有查询后,单击“保存”。
现在,便可以链接 WMI 筛选器了。
使用组策略继承
它通常用于定义企业标准 GPO。就本文而言,“企业标准”是指应用于组织中范围很广的一组用户的策略设置。适合定义企业标准 GPO 的示例方案是一项业务要求,它规定了:“只有经过特别授权的用户能够访问命令提示符或注册表编辑器。”在为不同用户组自定义策略设置时,组策略继承可以帮助您应用这些企业标准。
要实现此目的,一种方法是在链接到 OU(如用户帐户 OU)的 GPO(如标准用户策略 GPO)中设置“阻止访问命令提示符”和“阻止访问注册表编辑工具”策略设置。这会将这些策略设置应用于该 OU 中的所有用户。然后创建一个 GPO(如管理员用户策略 GPO),以明确允许管理员访问命令提示符和注册表编辑工具。将该 GPO 链接到管理员 OU,以覆盖标准用户策略 GPO 中配置的策略设置。图 4 中说明了这种方法。
如果另一个用户组需要访问命令提示符,但不需要访问注册表,您可以创建另一个 GPO 以允许他们执行此操作。仍会拒绝访问注册表编辑工具,因为新 GPO 不会覆盖标准用户策略 GPO 中指定的注册表工具设置。通常,企业标准 GPO 包含的策略设置和配置选项比前面插图显示的内容多。例如,企业标准 GPO 通常用于完成以下操作:
- 删除所有可能对用户有害和无关紧要的功能。
- 为成员服务器和工作站定义访问权限、安全设置以及文件系统和注册表权限。
通常,GPO 将分配给 OU 结构,而不是域或站点。如果围绕用户、工作站和服务器构造 OU 模型,则可以更方便地确定和配置企业标准策略设置。还可以禁用 GPO 中不应用的用户或计算机部分,以使组策略更易于管理。
在为安全相关策略设置(如受限制的组成员身份、文件系统访问权限和注册表访问权限)设置默认值时,一定要了解这些策略设置适用于“以最后写入的内容为主”原则,并且不会合并这些策略设置。以下示例说明了这一原则。
示例:“以最后写入的内容为主”原则
管理员创建一个默认工作站 GPO,它将本地 Power Users 组成员定义为 Technical Support 和 Help Desk 组。Business Banking 组要将 Business Banking Support 组添加到此列表中,然后创建一个新的默认工作站 GPO 以实现此目的。除非新 GPO 指定所有三个组均为 Power User 成员,否则,仅 Business Banking Support 组具有受影响的工作站的高级用户权限。
部署组策略
在部署组策略之前,请确保您熟悉使用 GPO 的步骤,其中包括创建 GPO、导入策略设置、备份和还原 GPO、编辑和链接 GPO、设置 GPO 默认继承的例外情况、筛选 GPO 应用、委派管理、使用组策略建模进行规划以及使用组策略结果评估 GPO 应用。
在进行生产部署之前,应始终在安全环境中全面测试 GPO。在部署之前,GPO 规划、设计和测试工作越充分,越容易创建、实现和维护最佳的组策略部署。但不要过份夸大在此环境中进行测试和试部署的重要性。测试环境应与模拟的生产环境尽可能保持一致。
在测试并验证设计的所有重要变化方案和部署策略后,设计工作才算完成。在使用特定策略设置(如安全设置以及桌面和数据管理)配置 GPO 后,才能全面测试 GPO 实现策略。对于网络中的每个用户和计算机组,请分别执行此操作。应使用测试环境来开发、测试和验证特定的 GPO,并充分利用 GPMC 建模向导和结果向导。
另外,还要考虑迭代的组策略实现。即,并非部署 100 种新组策略设置,而是暂存并且最初仅部署几种策略设置以验证组策略基础结构是否正常工作。
有关暂存组策略的详细信息,请参阅本指南中的暂存组策略部署。
创建和使用 GPO
由于会立即应用对 GPO 的更改,因此,在测试环境中全面测试 GPO 之前,请将 GPO 与其生产位置(站点、域或 OU)取消链接。在开发 GPO 时,请将其与测试 OU 保持链接或取消链接。
本节介绍了创建和部署 GPO 的过程。有关在部署之前测试组策略配置的详细信息,请参阅本指南中的暂存组策略部署。
以下步骤介绍了如何使用 GPMC 创建和编辑 GPO。
创建未链接的 GPO
-
在 GPMC 控制台树中,在要创建新的未链接 GPO 的林和域中右键单击“组策略对象”。
-
单击“新建”。
-
在“新建 GPO”对话框中,指定新 GPO 的名称,然后单击“确定”。
可以使用以下步骤编辑 GPO。
编辑 GPO
-
在 GPMC 控制台树中,展开包含要编辑的 GPO 的林和域中的“组策略对象”。
-
右键单击要编辑的 GPO,然后单击“编辑”。
-
在控制台树中,根据需要展开项目,以查找包含要修改的策略设置的项目。单击某个项目,以便在细节窗格中查看关联的策略设置。
-
在细节窗格中,双击要编辑的策略设置名称。请注意,某些策略设置(如用于部署新软件安装程序包的策略设置)使用特有的用户界面。
-
在“属性”对话框中,根据需要修改策略设置,然后单击“确定”。
链接 GPO 的步骤
将 GPO 中的策略设置应用于用户和计算机的主要方法是,将 GPO 链接到 Active Directory 中的容器。GPO 可以链接到 Active Directory 中的三种类型的容器:站点、域和 OU。每个 GPO 可以链接到多个 Active Directory 容器。
GPO 是针对各个域分别存储的。例如,如果将 GPO 链接到某个 OU,该 GPO 实际并未位于该 OU 中。GPO 是针对每个域的对象,可以将其链接到林中的任意位置。GPMC 中的 UI 可帮助指明链接和实际 GPO 之间的差异。
在 GPMC 中,可使用以下任一方法将现有 GPO 链接到 Active Directory 容器:
- 右键单击某个站点、域或 OU 项目,然后单击“链接现有 GPO”。此步骤相当于在安装 GPMC 之前在“Active Directory 用户和计算机”管理单元中提供的“组策略”选项卡上选择“添加”。此步骤要求 GPO 在域中已存在。
- 从“组策略对象”项目下面,将一个 GPO 拖到要将该 GPO 链接到的 OU 中。此拖放功能仅在相同的域中有效。
也可以使用 GPMC 同时创建并链接新的 GPO,如下一节中所述。
创建并链接 GPO
若要创建 GPO 并将其链接到站点、域或 OU,您必须先在域中创建 GPO,然后再进行链接。
以下步骤相当于在安装 GPMC 之前在“Active Directory 用户和计算机”管理单元中提供的“组策略”选项卡上单击“新建”。虽然在 GPMC 中将此操作显示为一个操作,但会执行以下两个操作:在域中创建一个 GPO,然后将新 GPO 链接到站点、域或 OU。
创建 GPO 并将其链接到站点、域或 OU
-
在 GPMC 控制台树中,展开包含要链接的 GPO 的林和域中的“组策略对象”。
-
右键单击某个域或 OU 项目,然后单击“在这个域中创建 GPO 并在此处链接”。
-
在“新建 GPO”对话框中,键入新 GPO 的名称,然后单击“确定”。
可以使用以下步骤取消 GPO 链接(即,从 GPO 中删除到站点、域或 OU 的链接)。
从站点、域或 OU 中删除到 GPO 的链接
-
在 GPMC 控制台树中,展开包含要取消链接的 GPO 的林和域中的“组策略对象”。
-
单击要取消链接的 GPO。
-
在细节窗格中,单击“作用域”选项卡。
-
如果显示以下消息,请单击“确定”以关闭该消息(还可以指定在创建并链接新 GPO 时不再显示该消息):
“您已经选择了到组策略对象 (GPO) 的链接。除了对链接属性的更改,您在此处的更改对于 GPO 是全局性的,并影响此 GPO 链接的所有其他位置。”
-
在“链接”部分中,右键单击具有要删除的链接的 Active Directory 对象,然后单击“删除链接”。
备注 |
---|
删除到 GPO 的链接与删除 GPO 并不相同。如果仅删除到 GPO 的链接,则 GPO 仍然存在,其他域中到该 GPO 的所有其他现有链接也存在。不过,如果删除某个 GPO,则会提示您删除该 GPO 以及选定域中到该 GPO 的所有链接。执行此操作并不会从其他域中删除到该 GPO 的链接。请确保在其他域中删除到该 GPO 的链接,然后再从此域中删除该 GPO。 |
禁用 GPO 中的用户配置或计算机配置设置
如果创建 GPO 以便仅设置用户相关策略设置,您可以禁用 GPO 中的计算机配置设置。执行此操作会略微缩短计算机启动时间,因为不必评估 GPO 中的计算机配置设置以确定任何策略设置是否存在。如果仅配置计算机相关策略设置,请禁用 GPO 中的用户配置设置。
请查看图 5 以确定后续步骤中引用的 GPMC 项目。
禁用 GPO 中的用户配置或计算机配置设置
-
在 GPMC 控制台树中,展开包含要禁用的策略设置的 GPO 所在的林和域中的“组策略对象”。
-
右键单击包含要禁用的策略设置的 GPO。
-
在“GPO 状态”列表中,选择以下选项之一:
- 已禁用所有策略设置
- 已禁用计算机配置设置
- 已启用(默认设置)
- 已禁用用户配置设置
站点链接的 GPO 的特殊注意事项
链接到站点的 GPO 可能适合用来为代理设置、打印机和网络相关设置设置策略。链接到站点容器的任何 GPO 将应用于该站点中的所有计算机,而无论该计算机属于林中的哪个域。此行为具有以下含义:
- 确保计算机不要通过 WAN 链接访问站点 GPO,这会产生严重的性能问题。
- 默认情况下,要管理站点 GPO,您需要是 Enterprise Admins 组的成员或林根域中的 Domain Admins 组的成员。
- 与相同站点中的域控制器之间的 Active Directory 复制相比,不同站点中的域控制器之间的复制发生的频率较小,并且仅在预定时间进行。站点之间的 FRS 复制不是由站点链接复制计划决定的;这不是站点内的问题。 目录服务复制计划和频率是连接站点的站点链接的属性。默认站点间复制频率为三小时。若要更改此频率,请使用下列步骤。
更改站点间复制频率
-
打开“Active Directory 站点和服务”。
-
在控制台树中,依次展开“站点”、“站点间的传输”和“IP”,然后单击某个站点间传输文件夹,其中包含要配置站点间复制的站点链接。
-
在细节窗格中,右键单击要配置站点间复制频率的站点链接,然后单击“属性”。
-
在“常规”选项卡的“复制频率”中,键入或选择复制间隔的分钟数。
-
单击“确定”。
-
更改复制频率或计划可能会显著影响组策略。例如,假定将复制频率设置为三小时或更长的时间,创建一个 GPO 并将其链接到跨几个站点的域中的 OU。您可能需要等待几小时,该 OU 中的所有用户才能收到 GPO。
如果 OU 中的大多数用户位于远程位置,并且该站点中有一个域控制器,则可以在该站点的域控制器上执行所有组策略操作以解决站点间复制延迟问题。
使用环回处理来配置用户策略设置
“用户组策略环回处理模式”策略设置是一个高级选项,旨在使计算机配置对任何登录用户都保持不变。此策略设置适用于某些包含特殊用途计算机的严密管理的环境,如教室、公共信息亭和招待所。例如,您可能需要为特定服务器(如终端服务器)启用此策略设置。通过启用环回处理模式策略设置,可以指示系统为登录到计算机上的任何用户应用基于计算机的相同用户策略设置。
如果将 GPO 应用于用户,当这些用户登录到任何计算机时,通常会将一组相同的用户策略设置应用于这些用户。通过在 GPO 中启用环回处理策略设置,您可以配置基于用户登录到的计算机的用户策略设置。无论哪个用户登录,都会应用这些策略设置。在启用环回处理模式策略设置时,您必须确保同时启用 GPO 中的计算机配置和用户配置设置。
可通过使用 GPMC 编辑 GPO 并在“计算机配置\策略\管理模板\系统\组策略”下面启用“用户组策略环回处理模式”策略设置来配置环回策略设置。可以使用以下两个选项:
- 合并模式:在该模式下,将在登录过程中收集用户的 GPO 列表,然后收集计算机的 GPO 列表。接下来,将计算机的 GPO 列表添加到用户的 GPO 末尾。因此,计算机的 GPO 优先级比用户的 GPO 高。如果策略设置发生冲突,将应用计算机 GPO 中的用户策略设置,而不是用户的正常策略设置。
- 替换模式:在该模式下,不收集用户的 GPO 列表。相反,仅使用基于计算机对象的 GPO 列表,并将该列表中的用户配置设置应用于用户。
委派组策略管理
您的组策略设计可能要求委派某些组策略管理任务。确定组策略管理控制的集中或分散程度是评估组织需求的最重要因素之一。在使用集中管理模型的组织中,IT 组为整个公司提供服务、做出决策和制订标准。在使用分散管理模型的组织中,每个业务部门管理其自己的 IT 组。
您可以委派以下组策略任务:
- 管理各个 GPO(例如,授予 GPO 的编辑或读取访问权限)
- 在站点、域和 OU 上执行以下组策略任务:
- 管理给定站点、域或 OU 的组策略链接
- 为该容器中的对象执行组策略建模分析(不适用于站点)
- 为该容器中的对象读取组策略结果数据(不适用于站点)
- 创建 GPO
- 创建 WMI 筛选器
- 管理和编辑各个 WMI 筛选器
根据组织的管理模型,您需要确定最适于在站点、域和 OU 级别处理的配置管理内容。您还需要确定如何在每个站点、域和 OU 级别的管理员或管理组之间进一步细分该级别的责任。
在确定是否在站点、域或 OU 级别委派权限时,请记住以下注意事项:
- 如果将权限设置为继承到所有子容器,在域级别委派的权限将影响域中的所有对象。
- 在 OU 级别委派的权限可能仅影响该 OU,也可能会影响该 OU 及其子 OU。
- 如果在可能的最高 OU 级别分配控制,则可以更轻松、更有效地管理权限。
- 在站点级别委派的权限可能会跨域,并且可能会影响 GPO 所在的域以外的域中的对象。
以下几节介绍了如何使用 GPMC 执行这些委派任务。
委派单个 GPO 的管理
通过使用 GPMC,您可以轻松将 GPO 权限授予其他用户。GPMC 在任务级别管理权限。GPO 有五个允许的权限级别:读取、编辑、编辑/删除/修改安全性、读取(从安全筛选)和自定义。这些权限级别对应于一组固定的低级别权限。表 3 说明了每个选项的相应低级别权限。
表 3 GPO 权限选项和低级别权限
GPO 权限选项 | 低级别权限 |
---|---|
读取 |
允许读取访问 GPO。 |
读取(从安全筛选) |
无法直接设置该设置,但如果用户具有 GPO 的“读取”和“应用组策略”权限,则会显示此设置;它是使用 GPO 的“作用域”选项卡上的安全筛选设置的。 |
编辑设置 |
允许读取、写入、创建以及删除子对象。 |
编辑设置,删除、修改安全性 |
允许读取、写入、创建以及删除子对象;删除、修改权限以及修改所有者。除了未设置“应用组策略”权限以外,这会授予对 GPO 的完全控制权。 |
自定义 |
任何其他权限组合(如拒绝权限)将显示为自定义权限。无法通过单击“添加”来设置自定义权限。只能通过单击“高级”并直接修改权限来设置这些权限。 |
若要为用户或组授予 GPO 权限,请使用以下步骤。
为用户或组授予 GPO 权限
-
在 GPMC 控制台树中,展开包含要编辑的 GPO 的林和域中的“组策略对象”。
-
单击要授予权限的 GPO。
-
在细节窗格中,单击“委派”选项卡。
-
单击“添加”。
-
在“选择用户、计算机或组”对话框中,指定要授予权限的用户或组,然后单击“确定”。
-
在“添加组或用户”对话框的“权限”下面,单击要为用户或组授予的权限级别,然后单击“确定”。
请注意,无法使用“委派”选项卡设置“应用组策略”权限(用于安全筛选)。由于“应用组策略”权限用于设置 GPO 的作用域,因此,该权限是在 GPMC 中的 GPO“作用域”选项卡上进行管理的。若要为用户或组授予 GPO 的“应用组策略”权限,请在相关 GPO 的“作用域”选项卡上单击“添加”,然后指定该用户或组。该用户或组的名称将显示在“安全筛选”列表中。在“作用域”选项卡上为用户授予“安全筛选”权限时,您实际设置了“读取”和“应用组策略”权限。
表 4 列出了 GPO 的默认安全权限设置。
表 4. GPO 的默认安全权限
安全组 | 权限 |
---|---|
Authenticated Users |
读取(从安全筛选) |
ENTERPRISE DOMAIN CONTROLLERS |
读取 |
Domain Admins、Enterprise Admins、Creator Owner、SYSTEM |
编辑设置,删除、修改安全性 |
备注 |
---|
由于管理员也属于 Authenticated Users 组,默认情况下,他们将“应用组策略”访问控制项 (ACE) 设置为“允许”。因此,如果他们位于链接了 GPO 的容器中,则也会为其应用策略设置。 |
在站点、域和 OU 上委派组策略任务
可以在 Active Directory 中针对每个容器委派以下三个组策略任务(权限):
- 将 GPO 链接到 Active Directory 容器(站点、域或 OU)
- 为该容器(域和 OU)中的对象执行组策略建模分析
- 为该容器(域和 OU)中的对象读取组策略结果数据
若要委派管理任务,您必须使用 GPMC 授予与相应 Active Directory 容器上的任务对应的权限。
默认情况下,Domain Admins 组的成员具有域和 OU 的 GPO 链接权限,Enterprise Admins 和林根域中的 Domain Admins 组的成员可以管理到站点的链接。您可以使用 GPMC 将权限委派给其他组和用户。
默认情况下,仅限 Enterprise Admins 和 Domain Admins 组具有组策略建模的访问权限以及组策略结果数据的远程访问权限。可通过在 GPMC 中设置相应权限,将此数据的访问权限委派给较低级别的管理员。
以下步骤介绍了如何通过修改 Active Directory 容器的相应权限来委派组策略管理任务。
在站点、域或 OU 上委派组策略管理任务
-
在 GPMC 中,单击要委派组策略管理任务的站点、域或 OU 的名称。
-
在站点、域或 OU 的细节窗格中,单击“委派”选项卡。
-
在“权限”列表中,单击以下选项之一:“链接 GPO”、“执行组策略建模分析”或“读取组策略结果数据”。请注意,仅“链接 GPO”适用于站点。
-
若要将任务委派给新用户或组,请单击“添加”,然后指定要添加的用户或组。
-
若要修改现有权限的“应用于”设置(即,更改为特定用户或组授予的权限所适用的 Active Directory 容器),请在“用户和组”列表中右键单击该用户或组,然后单击“仅该容器”或“该容器及子项”。
-
若要从授予了指定权限的组或用户列表中删除现有组或用户,请在“组和用户”列表中单击该用户或组,然后单击“删除”。请注意,您必须是 Domain Admins 组的成员才能执行此操作。
-
添加或删除自定义权限:
- 在“安全”选项卡上单击“高级”。
- 在“组或用户名”下面,单击要更改权限的用户或组。
- 在“权限”下面,根据需要修改权限,然后单击“确定”。
委派创建 GPO 的权限
在域中创建 GPO 的功能是一个在每个域上管理的权限。默认情况下,只有 Domain Admins、Enterprise Admins、Group Policy Creator Owners 和 SYSTEM 组的成员能够创建新的 GPO。
只有 Domain Admins 组的成员可以将 GPO 创建权限委派给任何组或用户。可以使用两种方法为组或用户授予此权限,这两种方法授予完全相同的权限:
- 在 Group Policy Creator Owners 组中添加组或用户。这是在 GPMC 出现之前可以使用的唯一方法。
- 使用 GPMC 为组或用户明确授予创建 GPO 的权限。为此,请在 GPMC 控制台树中单击“组策略对象”,单击“委派”选项卡,然后根据修改权限。
当 Group Policy Creator Owners 组的非管理员成员创建 GPO 时,该用户将成为 GPO 的创建者所有者,并且可以编辑和修改 GPO 的权限。不过,Group Policy Creator Owners 组的成员无法将 GPO 链接到容器,除非为这些成员单独委派了在特定站点、域或 OU 上执行此操作的权限。如果非管理员成为 Group Policy Creator Owners 组的成员,则仅为该用户授予对其所创建的 GPO 的完全控制权。Group Policy Creator Owner 成员没有对不是他们创建的 GPO 的权限。
备注 |
---|
当管理员创建 GPO 时,Domain Admins 组的成员将成为该 GPO 的创建者所有者。默认情况下,Domain Admins 组的成员可以编辑域中的所有 GPO。 |
链接 GPO 的权限与创建 GPO 和编辑 GPO 的权限是分开委派的。请务必为要创建和链接 GPO 的组委派这两个权限。默认情况下,非 Domain Admins 无法管理链接,这可防止他们使用 GPMC 创建和链接 GPO。不过,如果非 Domain Admins 是 Group Policy Creator Owners 组的成员,则可以创建未链接的 GPO。在非 Domain Admin 创建未链接的 GPO 后,Domain Admin 或已委派将 GPO 链接到容器的权限的其他用户可以根据需要链接该 GPO。
由于 Group Policy Creator Owners 组是一个域全局组,它不能包含域外部的成员。因此,如果要为域外部的用户委派创建 GPO 的权限,您必须改用 GPMC 为这些用户明确授予相应的权限。
为此,请在域中创建一个新的域本地组(例如,“GPCO—External”),为该组授予在域中创建 GPO 的权限,然后将外部域中的域全局组添加到该组中。对于该域中的用户和组,应继续使用 Group Policy Creator Owners 组授予创建 GPO 的权限。
委派创建 WMI 筛选器的权限
可以为用户或组委派以下两个权限级别之一以创建 WMI 筛选器:
- 创建者所有者:允许用户或组在域中创建新的 WMI 筛选器,但不授予管理其他用户所创建的 WMI 筛选器的权限。
- 完全控制:允许用户或组创建 WMI 筛选器,并授予对域中的所有 WMI 筛选器的完全控制权,其中包括在为用户授予此权限后创建的新筛选器。
可以使用 GPMC 来委派这些权限。在 GPMC 控制台树中,单击“WMI 筛选器”。在细节窗格中,单击“委派”选项卡,然后根据需要委派权限。
委派管理各个 WMI 筛选器的权限
可以为用户或组委派以下两个权限级别之一以管理单个 WMI 筛选器:
- 编辑:允许用户或组编辑选定的 WMI 筛选器。
- 完全控制:允许用户或组编辑、删除和修改选定 WMI 筛选器的安全性。
可以使用 GPMC 来委派这些权限。在 GPMC 控制台树中,单击要委派权限的 WMI 筛选器。在细节窗格中,单击“委派”选项卡,然后根据需要委派权限。
请注意,所有用户都具有所有 WMI 筛选器的“读取”访问权限。GPMC 不允许删除此权限。如果删除了“读取”权限,目标计算机上的组策略处理将会失败。
定义组策略操作步骤
为便于将来的组策略管理,应拟定操作步骤以确保按授权和可控制的方式对 GPO 进行更改。尤其是,确保在部署到生产环境之前,正确暂存所有新 GPO 以及现有 GPO 中的更改。还应该定期创建 GPO 备份。
在某些组织中,可能由不同团队负责管理组策略的不同内容。例如,软件部署团队通常关注“用户配置\策略\软件设置\软件安装”和“计算机配置\策略\软件设置\软件安装”下面的策略设置。该团队不太可能会对与项目有关的其余策略设置(如脚本和文件夹重定向)感兴趣。
为降低复杂性并最大限度降低出现错误的可能性,请考虑为不同管理员组创建单独的 GPO。或者,也可以将管理员的访问权限限制为他们有权更改的组策略部分。可以使用“受限的/许可的管理单元\扩展管理单元”策略设置来限制管理员可以访问的管理单元。在“用户配置\策略\管理模板\Windows 组件\Microsoft 管理控制台”下面编辑 GPO 时,可以使用此策略设置。“受限的/许可的管理单元\扩展管理单元”策略设置与可使用 GPMC 附带的编辑器访问的 UI 有关。请注意,某些团队可能需要访问多种类型的扩展管理单元。
备注 |
---|
MMC 策略设置仅影响可使用 MMC 访问的 UI;如果使用编程方法编辑组策略,则可以编辑任何 GPO 设置。 |
要了解这些设置和其他组策略设置的详细信息,请在编辑 GPO 时双击详细窗格中的策略设置,然后在策略的“属性”对话框中单击“说明”选项卡。请注意,如果启用了“扩展的视图”,在单击策略设置时,将始终显示此信息。默认情况下,将启用该视图。
指定域控制器以编辑组策略
在每个域中,GPMC 使用相同域控制器执行该域中的所有操作。这包括对位于该域中的 GPO 以及该域中的所有其他对象(如 OU 和安全组)的所有操作。
GPMC 还使用相同域控制器执行站点上的所有操作。该域控制器用于读取和写入任何给定站点上存在的 GPO 链接的相关信息,但 GPO 本身的相关信息是从 GPO 所在的域的域控制器中获取的。
默认情况下,在控制台中添加新域时,GPMC 使用在该域中具有主域控制器 (PDC) 模拟器操作主机角色的域控制器来执行该域中的操作。默认情况下,GPMC 使用用户域中的 PDC 模拟器来管理站点。
为避免发生复制冲突,选择域控制器是管理员的一个重要考虑事项。这是特别重要的,因为 GPO 数据位于 Active Directory 和 Sysvol 中,而它们依靠独立的复制机制将 GPO 数据复制到域中的不同域控制器。如果两个管理员在不同域控制器上同时编辑同一 GPO,一个管理员写入的更改可能会被另一个管理员覆盖,具体取决于复制延迟。
为避免出现此情况,GPMC 将每个域中的 PDC 模拟器作为默认域控制器。这有助于确保所有管理员使用相同的域控制器,并防止造成数据丢失。不过,您可能并非始终希望管理员使用 PDC 编辑 GPO。例如,如果管理员位于远程站点上,或者 GPO 针对的用户或计算机大多位于远程站点上,则管理员可以选择使用远程位置的域控制器。例如,如果您是在日本的管理员,而 PDC 模拟器在纽约,则依靠 WAN 链接访问纽约 PDC 模拟器可能是很不方便的。
重要事项 |
---|
如果多个管理员管理一个公共 GPO,则在编辑特定 GPO 时,所有管理员应使用同一个域控制器以避免在 FRS 中发生冲突。 |
若要指定用于林中的给定域或所有站点的域控制器,请使用 GPMC 中的“更改域控制器”命令。在任一情况下,都可以使用以下四个选项:
- 具有 PDC 模拟器操作主机令牌的域控制器(默认选项)
- 任何可用的域控制器
- 任何可用的运行 Windows Server2003 或更新版本的域控制器
- 此域控制器(在这种情况下,您必须选择域控制器。)
每次打开保存的控制台时,都会使用选定的选项,直到您更改了该选项。
此首选项保存在 .msc 文件中,在打开该 .msc 文件时将使用此首选项。通常,建议您不要使用“任何可用的域控制器”选项,除非执行的是只读操作。
组策略处理和慢速链接
有时,当连接速度低于指定的阈值时,不会应用组策略。因此,如果组策略解决方案要求通过慢速链接或使用远程访问应用策略,您需要考虑慢速链接检测的策略设置。
虽然慢速链接和远程访问有关,但两者的组策略处理方式并不相同。将计算机连接到 LAN 并不意味着一定就是快速链接;远程访问连接也不意味着就是慢速链接。默认情况下,如果任何速率低于 500 千比特/秒 (Kbps),组策略就会将其视为慢速链接。可以使用组策略来更改该阈值。下一节介绍了组策略处理阶段以及 Windows Server2008 中的组策略如何测量链接速度。
组策略处理阶段
组策略处理分为三个阶段。每个处理阶段包含一部分处理方案。在处理组策略时,组策略服务将依次访问每个方案以逐步过渡到下一个阶段。组策略处理阶段如下所示:
- 预处理阶段:指示初始组策略处理,并收集处理组策略所需的信息。
- 处理阶段:使用在预处理阶段收集的信息依次处理每个组策略扩展,这会将策略设置应用于用户或计算机。
- 后处理阶段:报告策略处理实例结束,并记录处理是成功结束、已处理但出现警告还是处理失败。
组策略服务依靠与域控制器成功进行通信,以检索计算机特定的信息和用户特定的信息。此外,该服务还使用域控制器查找计算机或用户范围内的 GPO。
组策略如何测量链接速度
对于 Windows Server2008 中的组策略,已改进了慢速链接检测过程。对于 Windows Server2003 中的组策略,客户端使用 Internet 控制消息协议 (ICMP) 搜索其域控制器,以确定域控制器是否可用以及客户端和域控制器之间的链接速度。在 Windows Server2008 中,组策略服务使用网络位置感知 (NLA) 服务对客户端和域控制器之间的当前 TCP 通信进行采样以确定链接速度。这种采样是在预处理阶段进行的。
在组策略服务找到域控制器后,它会立即请求 NLA 服务开始对域控制器所在的网络接口上的 TCP 带宽进行采样。组策略服务将继续执行预处理阶段,即,与域控制器进行通信以查找当前计算机的角色(成员或域控制器)、登录的用户以及计算机或用户范围内的 GPO。然后,组策略服务请求 NLA 服务停止对 TCP 通信进行采样,并根据采样结果提供计算机和域控制器之间的估计带宽。如上所述,当 NLA 服务采样结果低于 500 Kbps 时,组策略默认将其视为慢速链接。
可以使用策略设置定义慢速链接以应用组策略,如以下几节中所述。
为慢速链接检测指定组策略设置
您可以部分控制通过慢速链接处理的组策略扩展。默认情况下,在通过慢速链接进行处理时,并不会处理组策略的所有组件。表 5 列出了通过慢速链接处理组策略的默认设置。
表 5 通过慢速链接处理组策略的默认设置
设置 | 默认 |
---|---|
安全性 |
打开(无法禁用) |
IP 安全设置 |
打开 |
EFS |
打开 |
软件限制策略 |
打开 |
无线 |
打开 |
管理模板 |
打开(无法禁用) |
软件安装 |
关闭 |
脚本 |
关闭 |
文件夹重定向 |
关闭 |
QoS 数据包计划程序 |
打开 |
磁盘配额 |
关闭 |
Internet Explorer 区域映射 |
打开 |
IE 维护 |
打开 |
组策略首选项 |
打开 |
Windows 搜索 |
打开 |
部署的打印机连接 |
关闭 |
802.3 组策略 |
打开 |
Microsoft 脱机文件 |
打开 |
可以使用组策略设置定义慢速链接以应用和更新组策略。默认情况下,将低于 500 Kbps 的速率定义为慢速链接。
若要为计算机指定组策略慢速链接检测设置,请在编辑 GPO 时使用位于“计算机配置\策略\管理模板\系统\组策略”中的“组策略慢速链接检测”策略设置。连接速度的测量单位为 Kbps。
若要为用户配置该策略设置,请使用“用户配置\策略\管理模板\系统\组策略”中的“组策略慢速链接检测”策略设置。
对于用户配置文件,“用户配置文件的慢速网络连接超时”策略设置位于“计算机配置\策略\管理模板\系统\用户配置文件”节点中。通过使用该策略设置,组策略可以检查用户配置文件所在的文件服务器的网络性能。此步骤是必需的,因为用户配置文件可以存储在任意位置,并且该服务器可能不支持 IP。在配置该策略设置时,您必须同时使用 Kbps 和毫秒来指定连接速度。
重要事项 |
---|
如果启用了“不检测慢速网络连接”策略设置,则会忽略“用户配置文件的慢速网络连接超时”策略设置。 如果启用了“删除缓存的漫游配置文件副本”策略设置,则在系统检测到慢速连接时不会加载漫游配置文件的本地副本。 |
为通过慢速链接处理的客户端扩展设置计算机策略
组策略几乎完全是作为一系列客户端扩展实现的,如安全性、管理模板和文件夹重定向。可以在计算机策略中为每个客户端扩展配置慢速链接行为。在处理组策略时,可以使用这些策略设置指定客户端扩展的行为。每个策略设置最多有三个选项。“允许通过慢速网络连接进行处理”选项控制通过慢速链接的处理策略设置。其他两个选项可用于指定不应在后台处理策略设置;或者,即使未更改策略设置,也要更新并重新应用策略设置。有关客户端扩展的策略的详细信息,请参阅本指南中的为慢速链接检测指定组策略。
某些扩展会移动大量数据,因此,通过慢速链接进行处理可能会影响性能。默认情况下,仅通过慢速链接处理管理模板和安全相关策略设置。
您可以为以下策略设置配置组策略处理设置:
- 软件安装
- IP 安全设置
- EFS 恢复
- 磁盘配额
- Internet Explorer 维护
- 脚本
- 文件夹重定向
- 注册表
- 安全性
- 有线
- 无线
- 组策略首选项
本指南后面的使用组策略控制客户端扩展介绍了如何配置这些策略设置。
组策略和远程访问连接
通过远程访问连接处理组策略与通过慢速链接进行处理不同。组策略是在远程访问连接期间应用的,如下所示:
- 在通过远程连接登录到目标计算机之前,如果用户单击选择一个远程连接选项,并且该计算机是远程访问服务器属于或信任的域的成员,则会应用用户和计算机组策略设置。但不会处理基于计算机的软件安装策略设置,也不会运行基于计算机的启动脚本,因为计算机策略通常是在登录屏幕出现之前处理的。不过,对于远程连接,将在登录过程中通过后台刷新完成计算机策略应用。
- 在处理完缓存的凭据并建立远程访问连接后,不会应用组策略(后台刷新期间除外)。
组策略不会应用于作为工作组成员的计算机,因为计算机策略从不应用于工作组中的计算机。
使用组策略控制客户端扩展
一些组策略组件包含客户端扩展(通常作为 .dll 文件实现),它们负责在目标计算机上处理和应用组策略设置。
对于每个客户端扩展,GPO 处理顺序是从 GPO 列表中获取的,该列表是组策略引擎在处理期间确定的。每个客户端扩展将处理生成的 GPO 列表。
计算机策略用于控制每个组策略客户端扩展的行为。每个策略最多包含三个选项,而某些策略包含更具体的配置选项。在编辑 GPO 时,可通过打开“计算机配置\策略\管理模板\系统\组策略”文件夹并双击相应扩展的策略,为客户端扩展配置计算机策略。
您可以设置以下计算机策略选项:
- 允许通过慢速网络连接进行处理。少数几个扩展会传输大量数据,因此,通过慢速链接进行处理可能会使性能下降。默认情况下,仅通过慢速链接处理管理模板和安全策略设置。您可以设置此策略,以批准通过慢速链接处理其他客户端扩展。若要控制将哪些链接视为慢速链接,请使用组策略慢速链接检测策略设置。有关详细信息,请参阅本指南中的为慢速链接检测指定组策略。
- 周期性后台处理期间不要应用。Windows 将在启动时应用计算机策略,然后每 90 分钟重新应用一次。另外,它在用户登录到计算机时应用用户策略,然后大约每 90 分钟在后台重新应用一次。通过使用“周期性后台处理期间不要应用”选项,您可以覆盖这种行为并禁止在后台运行组策略。
备注 |
---|
软件安装和文件夹重定向扩展仅在启动时和用户登录到网络时处理组策略,以避免在用户可能打开了应用程序和文件时在后台处理这些策略的风险。 |
- 即使尚未更改组策略对象也进行处理。如果服务器上的 GPO 未发生更改,通常不必将其频繁重新应用于目标计算机,除非要覆盖可能的本地更改。由于以本地管理员身份运行的用户可以修改存储组策略设置的注册表部分,因此,您可能希望根据需要在登录过程中或周期性后台处理期间重新应用这些策略设置,以便将计算机恢复为所需的状态。
例如,假定组策略为某个文件定义了一组特定的安全选项。然后,具有管理凭据的用户登录并更改了这些安全选项。您可能希望启用“即使尚未更改组策略对象也进行处理”选项,以便在下次刷新策略时重新应用组策略中指定的安全选项。相同注意事项也适用于应用程序:在启用该选项的情况下,如果组策略安装了一个应用程序,但用户删除了该应用程序或其图标,下次用户登录到计算机时将重新显示该应用程序。
默认情况下,每 16 小时(960 分钟)应用一次组策略提供的安全策略设置,即使 GPO 未发生更改。可以使用以下子项中的注册表项 MaxNoGPOListChangesInterval 更改此默认时间:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.
此项的数据类型为 REG_DWORD,值为分钟数。
注意 |
---|
不正确地编辑注册表可能会对系统造成严重损坏。在更改注册表之前,应备份计算机上任何有价值的数据。 |
组策略和 Sysvol
GPO 中的策略设置信息存储在以下两个位置:Active Directory 和域控制器的 Sysvol 文件夹。Active Directory 容器称为组策略容器;Sysvol 文件夹中包含组策略模板。组策略容器包含用于将 GPO 部署到域、OU 和站点的属性。组策略容器还包含组策略模板的路径,该模板存储了大多数组策略设置。
组策略模板中存储的信息包括安全设置、脚本文件以及用于部署应用程序、首选项和基于管理模板的组策略设置的信息。管理模板(.ADMX 文件)为“管理模板”下面显示的项目提供了组策略设置信息。在 Windows Server2008 的组策略中,您可以在本地存储管理模板,也可以在 Sysvol 中集中存储管理模板。若要集中存储管理模板,您必须先在相应域控制器上的 Sysvol 共享中创建 PolicyDefinitions 文件夹,然后将要在域中应用的管理模板文件复制到该文件夹中。
对 Sysvol 的更新将复制到域中的所有域控制器,这会导致增加网络通信量和域控制器上的负载。因此,要最大限度降低该操作在域中造成的影响,我们建议您在非核心工作时间安排将管理模板复制到 Sysvol 的操作。 |
Windows Server 2008 和 Windows Vista 中的管理模板文件分为 .ADMX(与语言无关)和 .ADML(语言特定的)文件。这两种文件格式替代 Windows 早期版本中使用的 .ADM 文件格式,后者使用专用的标记语言。.ADML 文件是基于 XML 的 ADM 语言文件,这些文件存储在语言特定的文件夹中。例如,英语(美国).ADML 文件存储在名为 “en-US”的文件夹中。默认情况下,本地计算机上的 %Systemroot%\PolicyDefinitions 文件夹存储在该计算机上启用的所有语言的所有 .ADMX 文件和 .ADML 文件。
若要下载 Windows Server 2008 管理模板文件,请参阅“Windows Server 2008 的管理模板 (ADMX)”(http://go.microsoft.com/fwlink/?LinkId=116434)(可能为英文网页)。
在 Sysvol 文件夹中存储 ADMX 文件的优点
创建和使用管理模板中央存储有两个主要优点。第一个优点是复制的域管理模板中央存储位置。Windows Server2008 附带的 GPMC 始终使用管理模板中央存储,而不是使用本地版本的管理模板。这样,您就可以为整个域提供一组认可的管理模板。
在 Sysvol 文件夹中存储管理模板的另一个优点是,可以提供各种不同语言的管理模板。对于跨不同国家/地区或使用不同语言的环境来说,这是非常有用的。例如,如果将管理模板存储在 Sysvol 文件夹中,一个域的管理员可以使用英语查看管理模板策略设置,而同一个域的另一个管理员可以使用法语查看相同的策略设置。
有关管理 ADMX 文件以及如何创建中央存储的详细信息,请参阅“管理组策略 ADMX 文件循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=75124)(可能为英文网页)。
在 Sysvol 文件夹中存储 ADMX 文件的缺点
创建和使用管理模板中央存储的优点是非常突出的;但也存在一些小缺点。在编辑、建模或报告 GPO 时,GPMC 将读取整个管理模板文件集。因此,GPMC 必须通过网络读取这些文件。如果决定创建管理模板中央存储,应始终将 GPMC 连接到最近的域控制器上。
备注 |
---|
中央存储产生的额外网络通信仅限于 GPMC 用户。应用和处理组策略的客户端不会读取管理模板。 |
更新 Sysvol
在 Windows Vista 之前的 Microsoft Windows 版本的组策略中,如果在本地计算机上修改管理模板策略设置,则会使用新 ADM 文件自动更新域中的域控制器上的 Sysvol 共享。在 Windows Server 2008 和 Windows Vista 的组策略中,如果在本地计算机上修改管理模板策略设置,则不会使用新 ADMX 或 ADML 文件自动更新 Sysvol。实现的这种行为更改可降低网络负载和磁盘存储要求;在不同区域设置中编辑管理模板策略设置时,还可以防止 ADMX 文件和 ADML 文件之间发生冲突。若要确保任何本地更新在 Sysvol 中也反映出来,您必须手动将更新的 ADMX 或 ADML 文件从本地计算机上的 PolicyDefinitions 文件夹复制到相应域控制器上的 Sysvol\PolicyDefinitions 文件夹中。
更改组策略刷新间隔
可以使用以下策略设置之一更改默认刷新策略间隔设置:“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。通过使用这些策略设置,您可以指定 0 到 64,800 分钟(45 天)的更新频率。
重要事项 |
---|
如果将刷新间隔设置为 0 分钟,计算机将尝试每 7 秒更新一次组策略。由于此类更新可能会干扰用户的工作并增加网络通信量,因此,很短的更新间隔仅适用于测试环境。 |
若要防止在使用计算机时更新组策略,您可以启用“关闭组策略的后台刷新”策略设置。如果启用了该策略设置,系统将等到当前用户注销系统后再更新组策略设置。
计算机的组策略刷新间隔
此策略设置指定了 Windows 在后台更新计算机组策略的频率。它仅为计算机组策略设置指定了后台更新频率。默认情况下,Windows 在后台每 90 分钟更新一次计算机组策略,随机偏差为 0–30 分钟。除了后台更新以外,还始终在系统启动时更新计算机组策略。该策略设置位于“计算机配置\策略\管理模板\系统\组策略”下面。
域控制器的组策略刷新间隔
此策略设置指定了 Windows 在域控制器后台更新组策略的频率。默认情况下,Windows 在域控制器上每 5 分钟更新一次组策略。该策略设置位于“计算机配置\策略\管理模板\系统\组策略”下面。
用户的组策略刷新间隔
此策略设置仅为用户组策略设置指定 Windows 在后台更新组策略的频率。除了后台更新以外,还始终在用户登录时更新用户组策略。该策略位于“用户配置\策略\管理模板\系统\组策略”下面。
关闭组策略后台刷新
此策略设置禁止 Windows 在使用计算机时应用组策略设置。该策略设置适用于计算机、用户和域控制器的组策略。该策略设置位于“计算机配置\策略\管理模板\系统\组策略”项目下面。
运行命令行选项以刷新策略
从给定计算机中,您可以使用 Gpupdate.exe 工具刷新部署到该计算机上的策略设置。表 6 介绍了 Gpupdate.exe 参数。Gpupdate.exe 工具可以在 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 环境中使用。
Gpudate.exe 工具使用以下语法:
gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync]
表 6 Gpudate.exe 参数
参数 | 描述 |
---|---|
/target:{computer|user} |
根据指定的目标,Gpupdate.exe 将处理计算机策略设置和/或当前用户策略设置。默认情况下,将处理计算机和用户策略设置。 |
/force |
重新应用所有策略设置并忽略处理优化。默认情况下,仅应用更改的策略设置。 |
/wait:value |
指定策略处理等待完成的秒数。默认值是 600 秒。值为 0 表示不等待;-1 表示无限期等待。 |
/logoff |
在策略刷新完成后注销。对于不是在后台刷新周期处理而是在用户登录时处理的组策略客户端扩展(如用户软件安装和文件夹重定向),必须使用此选项。如果未调用要求用户注销的扩展,此选项将不起作用。 |
/boot |
在策略刷新完成后重新启动计算机。对于不是在后台刷新周期处理而是在计算机启动时处理的组策略客户端扩展(如计算机软件安装),必须使用此选项。如果未调用要求重新启动计算机的扩展,此选项将不起作用。 |
/sync |
强制使下一个前台策略应用保持同步。前台组策略处理是在计算机启动和用户登录时完成的。可以使用 /target 参数为用户和/或计算机指定前台策略应用。如果指定了此参数以及 /force 和 /wait 参数,则忽略 /force 和 /wait 参数。 |
/? |
在命令提示符下显示帮助。 |
使用组策略建模和组策略结果评估组策略设置
在生产环境中部署组策略之前,务必确定配置的各种策略设置的效果以及它们的总体效果。评估组策略部署的主要机制是创建暂存环境,然后使用测试帐户进行登录。这是了解所有应用的 GPO 设置的影响和交互的最好方法。要创建成功管理的环境,暂存组策略部署是至关重要的。有关详细信息,请参阅本指南中的暂存组策略部署。
对于至少包含一个 Windows Server2008 域控制器的 Active Directory 网络,可以使用 GPMC 中的组策略建模模拟将 GPO 部署到任何目标计算机的情况。查看 GPO 实际应用情况的主要工具是使用 GPMC 中的组策略结果。
使用组策略建模模拟策略的结果集
GPMC 中的组策略建模向导可以计算模拟的 GPO 实际效果。组策略建模还可以模拟如下因素:安全组成员、WMI 筛选器评估以及将用户或计算机对象移到不同 Active Directory 容器中的效果。这种模拟是由在运行 Windows Server2008 或 Windows Server2003 的域控制器上运行的服务执行的。将 HTML 格式报告这些计算的策略设置,并在 GPMC 中的选定查询细节窗格的“设置”选项卡上显示这些设置。若要展开和隐藏每个项目下面的策略设置,请单击“隐藏”或“显示全部”,以便查看所有策略设置或只查看几种设置。若要执行组策略建模,您必须至少有一个运行 Windows Server2008 或 Windows Server2003 的域控制器,并且在包含要运行查询的对象的域或 OU 上必须具有“执行组策略建模分析”权限。
若要运行该向导,请在 GPMC 控制台树中右键单击“组策略建模”(或 Active Directory 容器),然后单击“组策略建模向导”。如果从 Active Directory 容器中运行该向导,该向导将使用该容器的轻型目录访问协议 (LDAP) 可分辨名称填充用户和计算机的“容器”字段。
在完成该向导后,显示的结果就像来自单个 GPO 一样。这些结果还会保存为查询,由 GPMC 的“组策略建模”中的新项目表示。在“入选的 GPO”标题下面,还会显示负责每种策略设置的 GPO。也可以右键单击查询项目,然后单击“高级查看”以查看更详细的优先级信息(例如,尝试设置策略设置但没有成功的 GPO)。在执行此操作时,将会打开“策略的结果集”管理单元。在策略的结果集中查看策略设置的属性时,请注意,每种策略设置都有一个“优先级”选项卡。
切记,组策略建模不包括评估任何本地 GPO 的操作。因此,在某些情况下,您可能会看到模拟结果和实际结果存在差异。可通过右键单击查询并单击“保存报告”来保存建模结果。
备注 |
---|
Windows Server2008 和 WindowsVista 中包含一种新策略设置,即,“关闭本地组策略对象处理”。可以使用该设置禁用本地组策略处理。该策略设置位于“计算机配置\策略\管理模板\系统\组策略”下面。 |
使用组策略结果确定策略的结果集
可以使用组策略结果向导从目标计算机中获取 RSoP 数据,以确定哪些组策略设置对用户或计算机有效。与组策略建模相比,组策略结果显示的是应用于目标计算机的实际组策略设置。目标计算机必须运行 WindowsXP Professional 或更高版本。
将以 HTML 格式报告这些策略设置,并在 GPMC 浏览器窗口中的选定查询细节窗格的“摘要”和“设置”选项卡上显示这些设置。可以单击隐藏或显示全部以展开和折叠每个项目下面的策略设置,以便查看所有策略设置或只查看几种设置。若要远程访问用户或计算机的组策略结果数据,您必须在包含该用户或计算机的域或 OU 上具有“远程访问组策略结果数据”权限,或者您必须是相应计算机上的本地 Administrators 组的成员并具有到目标计算机的网络连接。
可通过右键单击“组策略结果”项目并单击“组策略结果向导”来运行该向导。
在完成该向导后,GPMC 将创建一个报告,以显示在向导中指定的用户和计算机的 RSoP 数据。在“入选的 GPO”标题下面,将显示负责“设置”选项卡上的每种策略设置的 GPO。
可通过右键单击查询并单击“保存报告”来保存这些结果。
使用 Gpresult.exe 评估策略设置
可以在本地计算机上运行 Gpresult.exe 以获取与 GPMC 中的组策略结果向导相同的数据。默认情况下,Gpresult.exe 返回运行该工具的计算机上的有效策略设置。
对于 Windows Server2008 和 Windows Vista Service Pack 1,Gpresult.exe 使用以下语法:
gpresult [/s<computer> [/u<domain>\<user> /p<password>]] [/scope {user|computer}] [/user<TargetUserName>] [/r|/v|/z] [/x|/h<filename>[/f]]
表 7 说明了 Gpresult.exe 参数。
表 7 Gpresult.exe 参数
参数 | 描述 |
---|---|
/s <computer> |
指定远程计算机的名称或 IP 地址。(请勿使用反斜杠。)默认为本地计算机。 |
/u <domain>\<user> |
请使用由 <User> 或 <Domain\User> 指定的用户的帐户权限运行该命令。默认设置是使用当前登录到执行该命令的计算机上的用户的权限。 |
/p <password> |
指定在 /u 参数中指定的用户帐户的密码。 |
/scope {user|computer} |
显示用户或计算机结果。有效的 /scope 参数值是 user 或 computer。如果省略 /scope 参数,Gpresult 将显示用户和计算机策略设置。 |
/user <TargetUserName> |
指定要显示 RSoP 数据的用户的用户名。 |
/r |
显示 RSoP 摘要数据。 |
/v |
指定输出显示详细策略信息。 |
/z |
指定输出显示组策略的所有可用信息。由于此参数生成的信息比 /v 参数多,因此,请在使用此参数时将输出重定向到一个文本文件(例如,gpresult /z >policy.txt)。 |
/x <filename> |
使用 <filename> 参数指定的文件名,以 XML 格式将报告保存在某个位置中(在 Windows Server2008 和 Windows Vista SP1 中有效)。 |
/h <filename> |
使用 <filename> 参数指定的文件名,以 HTML 格式将报告保存在某个位置中(在 Windows Server2008 和 Windows Vista SP1 中有效)。 |
/f |
强制要求 Gpresult 覆盖在 /x 或 /h 参数中指定的文件名。 |
/? |
在命令提示符下显示帮助。 |
在计算机上运行 Gpresult.exe
-
打开权限提升的命令提示符。若要打开权限提升的命令提示符,请单击「开始」,右键单击“命令提示符”,然后单击“以管理员身份运行”。
-
在命令提示符下,键入 gpresult /h gpresult.html /f。
-
在命令提示符下,键入 Start gpresult.html 以查看该文件。
备份、还原、迁移和复制 GPO
GPMC 提供了备份、还原、迁移和复制现有 GPO 的机制。这些功能对于在发生错误或灾难时保持组策略部署是至关重要的。通过使用这些功能,有助于避免手动重新创建丢失或损坏的 GPO 并重新执行规划、测试和部署阶段。当前的组策略操作计划应包括定期备份所有 GPO。请通知所有组策略管理员如何使用 GPMC 还原 GPO。
GPMC 还提供了在相同域中以及不同域之间复制和导入 GPO 的功能。例如,可以使用 GPMC 将现有 GPO 从现有域迁移到新部署的域中。您可以复制 GPOs,或者将一个 GPO 中的策略设置导入到另一个 GPO 中。这样做可以节省很多时间并避免不必要的麻烦,您只要重复使用现有 GPO 的内容即可。如果在环境间配置了正确的信任关系,则可以通过复制 GPO 直接从暂存阶段过渡到生产阶段。导入 GPO 可将策略设置从备份的 GPO 传输到现有 GPO 中,这对于源域和目标域之间没有信任关系的场合特别有用。如果要重复使用现有的 GPO,也可以通过复制方便地将 GPO 从一个生产环境移到另一个生产环境。
将 GPMC 与 GPO 一起使用
若要创建 GPO 备份,您必须至少具有 GPO 的读取访问权限,并具有存储备份的文件夹的写入访问权限。请参阅图 6 以帮助您确定下列步骤中引用的内容。
使用 GPMC 备份 GPO 和查看 GPO 备份
备份操作可将生产 GPO 备份到文件系统中。备份位置可以是您具有写入访问权限的任意文件夹。在备份 GPO 后,必须使用 GPMC 显示和处理备份文件夹的内容,您可以使用 GPMC UI 显示和处理这些内容,也可以使用脚本以编程方式进行显示和处理。不要直接通过文件系统处理存档的 GPO。在备份 GPO 后,请通过 GPMC 使用导入和还原操作来处理存档的 GPO。
备注 |
---|
可以将相同 GPO 的多个实例备份到同一位置,因为 GPMC 可唯一地标识每个备份实例,并提供了选择要使用的存档 GPO 实例的机制。例如,在通过 GPMC 查看备份文件夹的内容时,您可以选择仅显示最新的备份。如果在更改 GPO 后对其进行备份,并且以后需要还原该 GPO 的以前版本,这可能是非常有用的。 |
备份域中的所有 GPO
-
在 GPMC 控制台树中,展开包含要备份的 GPO 的林或域。
-
右键单击“组策略对象”,然后单击“全部备份”。
-
在“备份组策略对象”对话框中,输入要将 GPO 备份存储到的位置的路径。或者,也可以单击“浏览”,找到要存储 GPO 备份的文件夹,然后单击“确定”。
-
键入要备份的 GPO 的说明,然后单击“备份”。
-
在完成备份操作后,将显示一个摘要,其中列出了成功备份的 GPO 数量以及未备份的任何 GPO。
-
单击“确定”。
备份特定 GPO
-
在 GPMC 控制台树中,展开包含要备份的 GPO 的林或域中的“组策略对象”。
-
右键单击要备份的 GPO,然后单击“备份”。
-
在“备份组策略对象”对话框中,输入要将 GPO 备份存储到的位置的路径。或者,也可以单击“浏览”,找到要存储 GPO 备份的文件夹,然后单击“确定”。
-
键入要备份的 GPO 的说明,然后单击“备份”。
-
在完成备份操作后,将显示一个摘要,以指示备份是否成功完成。
-
单击“确定”。
查看 GPO 备份列表
-
在 GPMC 控制台树中,展开包含要备份的 GPO 的林或域。
-
右键单击“组策略对象”,然后单击“管理备份”。
-
在“管理备份”对话框中,输入要查看的 GPO 备份的存储位置路径。或者,也可以单击“浏览”,找到包含 GPO 备份的文件夹,然后单击“确定”。
-
若要指定仅在“已备份的 GPO”列表中显示最新版本的 GPO,请选中“只显示每一个 GPO 的最新版本”复选框。单击“关闭”。
重要事项 |
---|
为了保护备份的 GPO,请确保只有经过授权的管理员有权访问将 GPO 保存到的文件夹。请使用备份 GPO 的文件系统上的安全权限。 |
使用 GPMC 还原 GPO
您也可以还原 GPO。此操作将备份的 GPO 还原到从中备份 GPO 的同一域中。无法将 GPO 从备份还原到与 GPO 原始域不同的域中。
还原现有 GPO 的以前版本
-
在 GPMC 控制台树中,展开包含要还原的 GPO 的林或域中的“组策略对象”。
-
右键单击要还原到以前版本的 GPO,然后单击“从备份还原”。
-
在打开“还原组策略对象向导”时,请按照向导中的说明进行操作,然后单击“完成”。
-
在完成还原操作后,将显示一个摘要,以指示还原是否成功完成。单击“确定”。
还原删除的 GPO
-
在 GPMC 控制台树中,展开包含要还原的 GPO 的林或域。
-
右键单击“组策略对象”,然后单击“管理备份”。
-
在“管理备份”对话框中,单击“浏览”,然后找到包含备份的 GPO 的文件。
-
在“已备份的 GPO”列表中,单击要还原的 GPO,然后单击“还原”。
-
当系统提示您确认还原操作时,单击“确定”。
-
在完成还原操作后,将显示一个摘要,以指示还原是否成功完成。单击“确定”。单击“关闭”。
备份和还原 WMI 筛选器数据、IPsec 策略设置和到 OU 的链接
到 WMI 筛选器和 IPsec 策略的链接存储在 GPO 中,它们是作为 GPO 的一部分备份的。在还原 GPO 时,如果基本对象在 Active Directory 中仍存在,则会保留这些链接。不过,到 OU 的链接不是备份数据的一部分,在还原操作期间不会还原这些链接。
在这些过程中,不会备份或还原存储在 GPO 外部的策略设置,如 WMI 筛选器数据和 IPsec 策略设置。若要备份和还原少数几个 WMI 筛选器,您可以在 GPMC 中单击“WMI 筛选器”项目或该项目下面的特定 WMI 筛选器,然后根据需要使用“导入”或“导出”命令。有关如何导入或导出 WMI 筛选器的信息,请参阅 GPMC 帮助中的“导入 WMI 筛选器”和“导出 WMI 筛选器”。由于每次只能使用这些命令导入或导出一个 WMI 筛选器,因此,只有在需要备份或还原几个 WMI 筛选器时,才建议您使用这种方法。
若要备份和还原大量 WMI 筛选器,您可以使用 Ldifde 命令行工具,如“自定义检查 - 导入和导出 WMI 筛选器”中所述 (http://go.microsoft.com/fwlink/?linkid=109519)(可能为英文网页)。
备注 |
---|
Ldifde 是内置到 Windows Server2008 中的命令行工具。如果安装了 AD DS 或 Active Directory 轻型目录服务 (AD LDS) 服务器角色,则会提供该工具。若要使用 Ldifde,您必须从提升权限的命令提示符中运行 Ldifde 命令。有关详细信息,请参阅“Ldifde”(http://go.microsoft.com/fwlink/?LinkId=110104)(可能为英文网页)。 |
如果将 IPsec 策略分配给 GPO,则会记录指向该 IPsec 策略的指针,它位于 GPO 属性 ipsecOwnersReference 内。GPO 本身只包含对 IPsec 策略的 LDAP 可分辨名称引用。组策略仅用于将策略分配传递给计算机的 IPsec 服务。然后,计算机的 IPsec 服务从 Active Directory 中检索 IPsec 策略,在本地维护当前的策略缓存,并使用 IPsec 策略本身中指定的轮询间隔将其保持最新状态。
若要备份和还原 IPsec 策略设置,您必须使用“IP 安全策略管理”管理单元中的“导出策略”和“导入策略”命令。通过使用“导出策略”命令,您可以导出所有本地 IPsec 策略,然后将其保存在具有 .ipsec 扩展名的文件中。
使用 GPMC 复制 GPO 和导入 GPO 设置
在 GPMC 中,您可以在相同域中以及不同域之间复制 GPO,以及将组策略设置从一个 GPO 导入到另一个 GPO 中。在生产环境中进行部署之前,请在暂存过程中执行这些操作。还可以使用这些操作,将 GPO 从一个生产环境迁移到另一个生产环境。
虽然包含 GPO 的策略设置集合在逻辑上是单一实体,但单个 GPO 的数据以多种不同的格式存储在多个位置中。一些数据包含在 Active Directory 中,另外一些数据存储在域控制器上的 Sysvol 文件夹中。这意味着,不能简单地通过将文件夹从一个计算机复制到另一个计算机来复制 GPO。不过,GPMC 提供了内置支持,您可以安全且相对简单地执行此操作。
复制操作可将当前的现有 GPO 复制到所需的目标域中。在该过程中,将始终创建一个新 GPO。目标域可以是您有权创建新 GPO 的任何受信任域。只需在 GPMC 中添加所需的林和域,然后使用 GPMC 从一个域中复制所需的 GPO 并将其粘贴(或拖放)到另一个域中。若要复制 GPO,您必须具有在目标域中创建 GPO 的权限。
在复制 GPO 时,除了复制 GPO 中的策略设置以外,您还可以复制 GPO 的随机访问控制列表 (DACL)。它用于确保复制操作期间创建的 GPO 与原始 GPO 具有相同的安全筛选和委派选项。
通过导入 GPO,您可以将策略设置从备份的 GPO 传输到现有 GPO。GPO 导入仅传输 GPO 设置;它不会修改目标 GPO 上的现有安全筛选或链接。GPO 导入对于在不受信任的环境之间迁移 GPO 非常有用,因为您只需要访问备份的 GPO,而无需访问生产 GPO。由于导入操作仅修改策略设置,因此,只要具有目标 GPO 的编辑权限就可以执行该操作。
在复制或导入 GPO 时,如果 GPO 包含的安全主体或 UNC 路径在复制到目标域时可能需要进行更新,您可以指定一个迁移表。可以使用迁移表编辑器 (MTE) 创建和编辑迁移表。下一节“使用迁移表”中介绍了迁移表。
复制 GPO
-
在 GPMC 控制台树中,展开包含要复制的 GPO 的林和域中的“组策略对象”。
-
右键单击要复制的 GPO,然后单击“复制”。
-
请执行下列操作之一:
- 若要将 GPO 副本放在与源 GPO 相同的域中,请右键单击“组策略对象”,然后单击“粘贴”。
- 若要将 GPO 副本放在不同的域中(在相同或不同的林中),请展开目标域,右键单击“组策略对象”,然后单击“粘贴”。
- 如果要在域中进行复制,请单击“新 GPO 使用默认权限”或“保留现有权限”,然后单击“确定”。
-
如果要复制到另一个域或从另一个域中进行复制,请按照向导中的说明执行操作,然后单击“完成”。
将策略设置从备份的 GPO 导入到某个 GPO
-
在 GPMC 控制台树中,展开包含要将策略设置导入到的 GPO 的林和域中的“组策略对象”。
-
右键单击要将策略设置导入到的 GPO,然后单击“导入设置”。
-
在打开“导入设置向导”时,请按照打开的向导中的说明进行操作,然后单击“完成”。
-
在完成导入操作后,将显示一个摘要,以指示导入是否成功完成。单击“确定”。
使用迁移表
由于 GPO 中的某些数据是域特定的数据,在直接复制到另一个域时可能会失效,因此,GPMC 提供了迁移表。迁移表是一个简单的表格,它指定了源值和目标值之间的映射。图 7 显示了 GPMC 的 MTE 中的迁移表。
在复制或导入操作期间,迁移表会将 GPO 中的引用转换为可在目标域中使用的新引用。通过使用迁移表,可以在导入或复制操作过程中将安全主体和 UNC 路径更改为新值。迁移表是使用 .migtable 文件扩展名存储的,这些迁移表实际上是 XML 文件。您无需了解 XML 即可创建或编辑迁移表;GPMC 提供了用于处理迁移表的 MTE。
迁移表包含一个或多个映射项。每个映射项包含源类型、源引用和目标引用。如果在执行导入或复制操作时指定了迁移表,在将策略设置写入到目标 GPO 时,将使用目标项替换对源项的每个引用。在使用迁移表之前,请确保迁移表中指定的目标引用已经存在。
以下项目可能包含安全主体,可以使用迁移表对其进行修改:
- 以下类型的安全策略设置:
- 用户权限分配
- 受限制的组
- 系统服务
- 文件系统
- 注册表
- 高级文件夹重定向策略设置
- 复制操作期间保留的 GPO DACL
- 软件安装对象的 DACL,仅在指定了复制 GPO DACL 的选项时才保留
另外,以下项目可能包含 UNC 路径,可能需要在导入或复制操作过程中将这些路径更改为新值,因为可能无法从 GPO 迁移到的域中访问原始域中的服务器:
- 文件夹重定向组策略设置
- 软件安装组策略设置
- 对存储在源 GPO 外部的脚本的引用(例如,登录和启动脚本)。在 GPO 复制或导入操作过程中不会复制脚本本身,除非脚本存储在源 GPO 内部。
有关使用迁移表的详细信息,请参阅本指南中的暂存组策略部署。
维护组策略
在部署后,当组织及其需求发生变化时以及随着您的组策略经验不断丰富,您可能需要对组策略实现进行日常维护和修改。通过确定用于创建、链接、编辑、导入策略设置以及备份和还原 GPO 的控制步骤,您可以最大限度减少由于未正确规划组策略部署而拨打的技术支持电话。您还可以简化解决 GPO 问题的过程,并有助于降低网络中的计算机的总拥有成本。
通过确定 GPO 控制机制,您可以创建满足以下条件的 GPO:
- 符合企业标准。
- 确保策略设置不会与其他人员设置的策略设置发生冲突。
为了帮助解决 GPO 问题,您可以使用 GPMC 组策略结果向导查找可能的组策略部署错误。有关该工具的详细信息,请参阅本指南中的使用组策略建模和组策略结果评估组策略设置。在将新组策略设置部署到生产环境中之前,还可以使用 GPMC 组策略建模向导评估它产生的后果。
每次部署新的技术解决方案(如无线网络)时,您都需要重新检查组策略配置,以确保其与新技术保持兼容。为了帮助管理各种技术,组策略提供了一些策略设置,例如,用于无线网络 (IEEE 802.11) 策略的策略设置(位于“计算机配置\策略\Windows 设置\安全设置”中)、用于终端服务的策略设置(位于“计算机配置\策略\管理模板\Windows 组件”和“用户配置\策略\管理模板\Windows 组件”中)以及用于很多其他技术的策略设置。
修改组策略设置可能会带来非常严重的后果。在执行组策略维护时,您需要在部署之前采取适当的预防措施,以便在暂存环境中测试建议的更改并评估其效果。
用于重命名域的组策略注意事项
域名是使组策略实现保持正常运行的重要部分。在 Windows Server2008 家族中,可以使用 Windows Server2008 附带的域重命名工具(Rendom.exe 和 GPfixup.exe)来重命名域。域重命名工具提供了一种安全且受支持的方法来重命名 Active Directory 林中的一个或多个域(以及应用程序目录分区)。
重要事项 |
---|
在域重命名完成后,请确保使用 GPMC 备份所有 GPO。在重命名某个域后,您无法还原在域重命名之前进行的备份。 |
重命名一个或多个域是一个非常复杂的过程,您需要全面规划并充分了解域重命名步骤。还必须修改任何受影响的 GPO,以使其正常工作。若要修改 GPO,请使用 Windows Server2008 附带的 Gpfixup.exe 工具。Gpfixup.exe 可以修复每个重命名的域中的 GPO 和 GPO 引用。在执行域重命名操作后,必须修复 GPO 和组策略链接以更新这些 GPO 及其链接中嵌入的旧域名。
重要事项 |
---|
有关域重命名过程的详细信息,请参阅 Windows Server2008 技术中心 (http://go.microsoft.com/fwlink/?LinkId=100876)(可能为英文网页)。 |
使用脚本管理组策略
您可以下载使用 GPMC 界面的示例脚本,以及为 GPMC 支持的很多操作编写脚本。GPMC 示例脚本是脚本工具包的基础,可以使用该工具包来解决特定的管理问题。例如,可以运行查询以查找域中所有具有重复名称的 GPO,或者生成域中禁用或部分禁用了策略设置的所有 GPO 的列表。这些脚本还说明了关键脚本对象和方法,以简要说明可以使用 GPMC 完成的很多管理任务。有关这些脚本的信息,请参阅“组策略控制台脚本示例”(http://go.microsoft.com/fwlink/?LinkId=109520)(可能为英文网页)。
默认情况下,在下载 GPMC 示例脚本时,这些脚本将安装在 Program Files\Microsoft Group Policy\GPMC Sample Scripts 文件夹中。这些示例脚本将输出回显到命令窗口,必须使用 Cscript.exe 运行这些脚本。如果 Cscript.exe 不是默认脚本主机,则需要在命令行中明确指定 Cscript.exe。例如,键入 d: \Program Files\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf。若要将 Cscript.exe 作为默认脚本主机,请在命令行中键入 cscript //h:cscript。
很多示例脚本依靠 Lib_CommonGPMCFunctions.js 文件中包含的常见 helper 函数库。如果将这些脚本复制到其他位置,您还必须将此库文件复制到该位置,以使脚本示例能够正常工作。
暂存组策略部署
Windows Server2008 组策略提供了非常强大的功能,以便在组织中部署配置更改。与组织中的任何其他更改一样,组策略部署和持续更新要求进行周密规划和测试,以确保实现具有高可用性且安全可靠的基础结构。通过使用 GPMC 中包含的功能,您可以创建测试/暂存/生产部署过程,以确保在组策略部署期间实现可预测性和一致性。
组策略暂存概述
组策略是一个功能强大的工具,可用于在组织中配置 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 操作系统。要影响数百台甚至上千台计算机中的配置,您必须制订完善的更改管理措施,以确保对 GPO 的更改在目标(用户和计算机)上产生预期的结果。
大多数组织都制订了更改管理过程,以确保在非生产环境中对新配置或部署进行严格测试,然后再将其部署到生产环境中。
在很多更改管理过程中,组织将区分测试环境和暂存环境;前者用于测试更改,后者是一个用于模拟生产环境的全新环境,它是在将更改部署到生产环境之前经过的最后一站。在本节中,“测试”和“暂存”术语可以互换,均将其作为物理环境进而不进行区分。不过,如果您的更改管理过程需要单独的测试和暂存环境,您可以使用本节中介绍的方法创建这些环境。
对于确保成功部署组策略更改来说,有效的更改管理过程同样是非常重要的,因为组策略能够影响包括计算机上部署的软件的注册表设置和安全设置在内的所有内容。除了组策略实现的很多配置设置以外,还可以将 GPO 链接到一组不同的作用域,并且可以按用户、计算机或安全组筛选其效果。要确保基于 Windows 的基础结构安全可靠地运行,在测试环境中暂存 GPO 并在生产环境中部署这些 GPO 之前测试各种效果是至关重要的。要在基于 Active Directory 的基础结构中成功部署组策略,创建暂存环境是至关重要的。您可以选择几个选项来创建此类环境。这些选项是使用 GPMC 中的功能启用的。
可以将基于 GPMC 控制台的功能与脚本结合使用,以创建模拟生产环境的暂存环境。然后,可以使用暂存环境来测试新 GPO 或更改的 GPO。在验证这些 GPO 后,您可以使用 GPMC 将其迁移到生产域中。
组策略暂存过程
暂存组策略的过程包括创建模拟生产环境的暂存环境,在暂存环境中测试新的组策略设置,然后在生产环境中部署这些策略设置。所使用的具体部署方法取决于暂存环境配置。
在搭建组策略的暂存环境时,最初只需要确定可用于建类似于生产环境的基础结构的硬件,然后设置相应的逻辑结构。接下来,您可以使用 GPMC 中的工具将生产组策略设置导入到暂存环境中。在创建该环境后,组策略测试涉及在模拟生产用户和计算机的测试用户和计算机上实现更改并测试其效果。在验证更改后,您可以再次使用 GPMC 中的工具,将更改的组策略设置或新组策略设置迁移到生产环境中。
您需要持续维护组策略并继续评估更改。因此,您需要始终将暂存环境与生产环境保持同步。可以随时使用 GPMC 工具(如示例脚本以及备份、复制和导入功能)来维护暂存环境。
备注 |
---|
可以使用基于 Windows Server2008 虚拟机监控程序的虚拟化来帮助创建和测试各种不同的组策略方案。通过使用虚拟机,您可以创建一个安全的独立环境,以便准确地模拟物理服务器和客户端的运行情况。有关 Windows Server2008 虚拟化的信息,请参阅“虚拟化和合并”(http://go.microsoft.com/fwlink/?LinkId=109521)(可能为英文网页)。 |
GPMC 部署暂存和维护功能
GPMC 包含几种用于暂存和维护组策略的功能:
- 用于规划组策略部署的组策略建模向导。
- 用于查看 GPO 交互和排除故障的组策略结果向导。
- 使用单个 Microsoft 管理控制台 (MMC) 界面 (GPMC) 在组织中管理组策略的功能。管理操作包括导入和导出、复制、备份和还原 GPO。
要对组策略暂存,最重要的 GPMC 功能是备份、导入、复制和迁移表。通过使用这些功能,您可以在林和域之间暂存和迁移 GPO。
备份和导入
GPMC 提供了备份一个或多个 GPO 的功能。可随后使用这些备份将各个 GPO 还原为以前的状态(使用还原操作),也可以将策略设置导入到现有 GPO 中以覆盖任何以前的策略设置。还原操作仅用于将 GPO 还原到从中备份该 GPO 的同一域中。
相比之下,导入操作用于以下场合:备份是使用同一域、不同域甚至不同的不受信任林(如独立于生产林的测试林)中的任何 GPO 创建的。请注意,虽然还原和导入功能均适用于以前备份的 GPO,但还原还提供了其他功能。您将使用备份、导入和复制操作暂存 GPO,并将其迁移到生产环境中。
图 8 显示了导入操作。在这种情况下,测试林中的 GPO X 包含一些分配了“本地登录”用户权限的安全主体。将备份该 GPO,然后将其导入到生产林中。在导入操作期间,将原始安全主体映射到生产域中存在的新安全主体。
复制
通过使用 GPMC 中的复制功能,您可以右键单击某个 GPO,从一个域中复制该 GPO,然后将其粘贴到新域中。在复制操作中,在将 GPO 复制到新域时,将会创建一个新 GPO。它不同于导入操作,后者将清除并覆盖现有的 GPO。不过,仅将源 GPO 中的策略设置复制到新 GPO 中。不会将源 GPO 的作用域管理 (SOM) 链接、ACL 和 WMI 筛选器链接复制到新 GPO 中。复制操作要求源域信任目标域。若要执行复制操作,您必须是本地 Administrators 组成员或具有以下权限的委派用户:
- 源 GPO 和源域的读取权限。
- 在目标域(要将新 GPO 复制到的域)中创建 GPO 的权限。
通过使用导入和复制操作,GPMC 支持在源和目标 GPO 中对安全主体和 UNC 引用之间执行这些对象映射的功能。
图 9 显示了复制操作。在这种情况下,将一个 GPO 从域 B 迁移到域 C,并将它的几个关联安全主体映射到域 C 中的新主体。
迁移表
GPO 可以在策略设置中包含对安全主体和 UNC 路径的引用。例如,在安全策略设置中,您可以控制哪些用户和组可以启用和停止特定 Windows 服务。图 10 显示了可应用于信使服务的安全设置。在这种情况下,可以使用迁移表将这些安全设置从暂存环境中的安全主体映射到生产环境中的安全主体。
此外,GPO 还具有一个安全描述符,其中包含的 DACL 可用于控制处理 GPO 的计算机、用户或组以及可创建、修改和编辑 GPO 的用户。在将 GPO 从一个域部署到另一个域时,也可以将 GPO 的 DACL 中包含的安全主体考虑在内。
迁移表还支持 UNC 路径映射,这些路径可能位于软件安装、文件夹重定向或脚本策略中。若要解决测试和生产环境之间存在的这些路径的差异,您可以在迁移组策略设置时使用迁移表替换服务器和共享名称。
如果将在另一个域或林中创建的 GPO 迁移到生产环境中,您需要修改关联的安全主体引用以反映在生产域中找到的引用。GPMC 提供了一个 MTE,可用于为安全主体和 UNC 路径创建映射文件。MTE 创建一个具有 .migtable 扩展名的 XML 格式的文件;该文件为 GPO 迁移指定了源和目标安全主体或 UNC 路径。有关 MTE 的详细信息,请参阅本指南后面的创建迁移表。
创建暂存环境
暂存并部署组策略的第一步是创建暂存环境。此步骤包括构建一个模拟生产环境的测试基础结构,可以使用该结构测试新组策略设置或更改的组策略设置,而不会影响生产用户和计算机。
此时,您需要确定暂存环境位置及其与生产环境之间的信任关系。您可以选择:
- 在生产林中创建暂存域。
- 创建与生产林没有信任关系的暂存林。
- 创建与生产林有信任关系的暂存林。
每个选项都具有优缺点,如表 8 中所述。
表 8 选择暂存方法
方法 | 优点 | 缺点 |
---|---|---|
生产林中的暂存域 |
|
|
与生产林没有信任关系的暂存林 |
|
|
与生产林有信任关系的暂存林 |
|
|
在选择暂存方法时,请考虑表 8 中介绍的优缺点。在选择暂存方法后,您便可以确定暂存环境的硬件要求了。
硬件要求
无论选择了哪种暂存方法,都必须配备一些额外的专用硬件来搭建暂存环境。所需的硬件数量取决于需要执行的测试类型以及具体的组策略测试要求。例如,包含使用慢速网络链接的计算机的生产环境可能会影响 Windows 应用组策略的方式,因为不会通过慢速链接应用某些组策略设置。测试环境应反映这种情况,以使您准确了解组策略更改如何影响生产环境,这一点是非常重要的。在这种情况下,GPMC 可以为您提供帮助,它提供了相应功能以模拟通过慢速链接的组策略处理的影响。不过,您可能无法完全模拟生产环境,除非在暂存环境中配备足够多的专用系统和网络硬件。您的目标是搭建一个测试和暂存环境,该环境反映了在组策略应用新 GPO 或更改的 GPO 时生产环境中的计算机和用户的性能和行为。
准备暂存环境
在选择暂存方法并设置硬件后,请在暂存服务器上安装 Windows Server2008 和 Active Directory 以准备同步生产和暂存环境的配置。大多数情况下,应确保暂存和生产环境中的计算机运行相同的操作系统、Service Pack 和修补程序。这对于确保获得一致的测试结果至关重要。此外,还要确保配置与生产环境相同的支持基础结构,例如,DNS、分布式文件系统 (DFS) 和相关服务。尤其是,DNS 对正确处理 GPO 至关重要。如果决定使用的暂存方法将暂存域或 OU 结构放在生产林中,则可以使用现有生产 DNS 基础结构中的名称服务。
重要事项 |
---|
可以使用 Windows Server2008 GPMC 来管理 Windows Server2008、Windows Server2003 和 Windows2000 域中的 GPO。 |
如果构建一个单独的暂存林,您需要解决名称服务集成问题。名称服务可能包括 DNS 或 Windows Internet 名称服务 (WINS),具体取决于所创建的信任类型。您可能需要为暂存环境创建一个单独的 DNS 基础结构。这尤其适用于以下情况:您使用生产林中的安全 Active Directory 集成的 DNS,因为安全 Active Directory 集成的区域无法支持动态注册来自外部林的客户端。如果计划在暂存和生产林之间建立信任关系,每个林中的名称服务基础结构必须能够识别另一个林中的名称服务基础结构。在为暂存环境完全配置部署组策略所需的基本元素后,下一步是同步暂存和生产环境。
同步暂存和生产环境
在创建反映生产环境的基本暂存基础结构后,您需要确保两个环境中的所有安全设置和 GPO 设置完全相同。同步还要求确保两个环境中的 OU、用户、计算机和组具有充分的代表性,因为您需要能够测试生产环境中存在的 GPO 链接和安全组筛选效果。
任何测试环境的目标都是确保尽可能与生产环境接近。您可以下载和运行两个 GPMC 示例脚本(即 CreateXMLFromEnvironment.wsf 和 CreateEnvironmentFromXML.wsf),以帮助进行初始同步以及将测试环境与生产环境始终保持同步。如前面所述,GPMC 示例脚本默认安装在 Program Files\Microsoft Group Policy\GPMC Sample Scripts 文件夹中。
CreateXMLFromEnvironment.wsf 脚本针对生产域运行,将与策略有关的所有信息存储在 XML 格式的文件中,然后创建在生产域中找到的 GPO 的备份。请注意,每次只能针对一个域运行此脚本,而不能针对整个林运行。CreateEnvironmentFromXML.wsf 脚本使用 CreateXMLFromEnvironment.wsf 创建的 XML 格式的文件以及任何备份 GPO,在暂存域中重新创建生产域中的 GPO 和其他对象。表 9 介绍了 CreateXMLFromEnvironment.wsf 捕获的对象和策略设置,并说明了可在运行该脚本时使用命令行选项捕获的其他对象。
表 9 CreateXMLFromEnvironment.wsf 捕获的对象
对象类型 | 由脚本捕获 | 其他命令行选项 |
---|---|---|
域或 OU 的所有 GPO 和 GPO 设置 |
是 |
若要捕获 GPO 设置,您必须使用 /TemplatePath 选项提供模板路径,以指定存储备份 GPO 的文件系统位置。如果未指定模板路径,则不会备份 GPO。 可以使用 /ExcludePermissions 选项排除 GPO 权限。 |
组织单位 |
是 |
可以将 /StartingOU 选项与 OU 的 DN 样式路径一起使用,以便仅捕获 OU 树的一部分。 |
GPO 链接和链接属性(例如,已禁用、阻止继承) |
是,但不会捕获站点对象上的链接 |
无 |
与策略有关的权限 |
是 |
可以使用 /ExcludePermissions 选项排除权限。 |
WMI 筛选器 |
是 |
无 |
用户 |
可选 |
不会捕获用户帐户,除非使用了 /IncludeUsers 选项。 |
安全组 |
是 |
默认情况下,此脚本仅捕获 OU 中定义的安全组。可以使用 /IncludeAllGroups 选项,将其扩展到包含用户容器以及域根中的所有组。 |
计算机 |
否 |
无 |
站点 |
否 |
无 |
在使用 CreateXMLFromEnvironment.wsf 脚本时,请记住以下几点:首先,如果使用 /IncludeUsers 选项捕获用户对象,在暂存域中重新创建这些对象时,您需要为捕获的每个用户提供一个密码。为此,请手动编辑生成的 XML 文件,然后为每个用户添加一个密码。
此外,如果任何用户未在 XML 文件中指定密码,CreateEnvironmentfromXML.wsf 脚本将提示您提供密码。对于未在 XML 文件中指定密码的任何用户,将为其提供该密码。还要注意,该脚本不捕获计算机。这是因为 Active Directory 中的计算机对象与物理硬件资源相对应,生产和暂存环境中的这些资源可能并不相同。最后,该脚本既不捕获站点,也不捕获站点上的 GPO 链接。由于站点可以跨多个域,并且可能会影响 Active Directory 复制,因此,最好在暂存环境中手动重新创建这些对象(以及这些对象上的 GPO 链接)。
示例:从生产环境中创建 XML 格式的文件
假定生产域的名称为 Contoso.com。您要导出组策略设置和相关信息,以便创建新的暂存域以进行 GPO 测试。在本示例中,假定您要捕获整个域中的 GPO 并包括用户帐户和组。若要导出所需的信息,请完成以下任务:
从生产环境中创建 XML 文件
-
确保您具有生产域的足够权限以提取所需的数据。您必须具有读取要捕获的所有对象的权限,其中包括 GPO、OU、用户和组(及其成员)。
-
创建一个文件夹以存储 XML 格式的文件,它描述了该脚本收集的信息。
-
创建一个文件夹以存储该脚本提取的 GPO 的备份。
-
从安装文件夹中运行 CreateXMLFromEnvironment.wsf 脚本。如果 cscript.exe 不是默认 Windows Script Host (WSH) 引擎,则必须在脚本名称前面添加 cscript 命令。对于本示例,请在命令行中键入以下命令:
Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
该命令在运行该脚本的文件夹中创建一个 XML 格式的文件,即 production.xml。备份的 GPO 是在当前文件夹(名为 GPObackups)的子文件夹中创建的。如果在 production.xml 和 GPObackups 路径前面添加反斜杠 (\),则会导致该脚本使用相对路径,并在运行该脚本的当前目录中创建该 XML 文件和备份 GPO 文件夹。使用相对路径可简化将 XML 和备份复制到不同位置(以便从中进行还原)的过程。
该脚本在域级别 Contoso.com 开始捕获。您也可以在 OU 级别运行该脚本;在这种情况下,除了 /Domain 选项以外,您还应使用 /StartingOU 选项。如果排除 /Domain 选项,则假定是当前域。/DC 选项通知脚本使用 contoso-dc1 域控制器,而 /TemplatePath 选项指定将捕获的所有 GPO 的备份存储在 GPOBackup 文件夹中。最后,/IncludeUsers 选项确保该脚本还会捕获用户帐户。
注意 |
---|
可以在文本编辑器或任何 XML 编辑器中打开和编辑 CreateXMLFromEnvironment.wsf 脚本生成的 XML 格式的文件。但要注意,XML 格式的文件必须遵循特定的语法。如果更改了该语法,可能会影响 CreateEnvironmentFromXML.wsf 脚本读取输入文件的功能。 |
在通过运行 CreateXMLFromEnvironment.wsf 脚本捕获生产环境后,您需要运行 CreateEnvironmentFromXML.wsf 脚本,并将 CreateXMLFromEnvironment.wsf 输出的 .XML 格式的文件作为输入。您必须从暂存域中运行 CreateEnvironmentFromXML.wsf 脚本;如果已配置了与暂存域的信任关系,则可以从不在暂存域上的计算机中运行该脚本。
将生产 GPO 导入到暂存域中
CreateEnvironmentFromXML.wsf 脚本提供了几个不同的选项,用于限定在暂存环境中创建的 GPO。最简单的选项包括将从生产域中创建的 XML 格式的文件提供给该脚本,以及有选择性地将该脚本的操作定向到暂存域中的域控制器。该脚本将在暂存域中创建 GPOs 和相关对象,它们与从生产域中捕获的数据相对应。如果需要修改该过程,可使用该脚本提供的以下命令行选项:
- Undo。该选项从暂存环境中删除 XML 格式的文件所指定的所有对象(GPO、GPO 权限、OU、WMI 筛选器、用户和组)。如果需要恢复对暂存域所做的更改,此选项是非常有用的。
- ExcludePolicy Settings。此选项在目标域中创建 GPO,但不导入策略设置。如果不想导入任何 GPO 中的策略设置,而只想创建可能已捕获的任何 OU、用户以及用户,请使用此选项。
- ExcludePermissions。此选项导致该脚本忽略 XML 格式的文件中包含的任何组策略相关权限。相反,在暂存环境中创建新的 GPO 和其他对象时,将为其指定默认权限。
- MigrationTable。此选项允许指定使用 MTE 创建的 .migtable 文件,以便指定生产环境 GPO 设置中的安全主体和 UNC 路径到暂存环境中的相应安全主体和 UNC 路径的映射。
- ImportDefaultGPOs。此选项将策略设置导入到默认域策略和默认域控制器策略中,但前提是在 XML 文件中指定了这些 GPO 的策略设置。如果未指定此选项,则不会修改这些 GPO。
- CreateUsersEnabled。此选项创建启用的用户帐户,而不是禁用的用户帐户。
- PasswordForUsers。此选项允许为未在 XML 文件中指定密码的任何用户指定使用的密码。未在 XML 文件中指定密码的所有用户将使用相同密码。
- Q。此选项在安静模式下运行脚本,但前提是在命令行中提供了所有必需的参数。如果未使用此选项,将提醒您此脚本只应用于创建暂存环境;如有必要,还会提示您为未在 XML 文件中定义密码的任何用户提供密码。
示例:通过 XML 格式的文件填充暂存域
假定暂存环境是 test.contoso.com 域,并且该域与本章前面捕获的生产域在同一个林中。即使暂存域与生产域不在同一林中,填充暂存域的步骤也是相同的,但可能需要不同的安全主体映射(通过迁移表实现)。
通过 XML 文件填充暂存环境
-
确保在暂存域中使用足够的权限来运行 CreateEnvironmentFromXML.wsf 脚本。运行脚本的用户应为 Domain Admins 成员,或者在该域中具有等效的访问权限。
-
确保您具有在生产域中运行 CreateXMLFromEnvironment.wsf 创建的 XML 格式的文件和备份 GPO 的访问权限。
在运行 CreateEnvironmentFromXML.wsf 时,您仅在命令行选项中引用 XML 格式的文件(而不是备份 GPO 位置)。该文件包含备份 GPO 文件的路径。因此,在为 CreateEnvironmentFromXML.wsf 指定该 XML 文件时,该脚本使用在运行 CreateXMLFromEnvironment.wsf 脚本时指定的文件夹中的任何备份 GPO 文件。如果使用示例:从生产环境中创建 XML 格式的文件中所示的命令运行 CreateXMLFromEnvironment.wsf,该 XML 文件将指示备份位于当前文件夹的子文件夹中。如果在运行 CreateXMLFromEnvironment.wsf 时没有使用相对路径,可以使用三种方法确保 CreateEnvironmentFromXML.wsf 能够找到所需的文件:
- 将指定文件夹结构从创建位置复制到运行 CreateEnvironmentFromXML.wsf 的本地计算机上的相同路径中。
- 在最初创建 XML 格式的文件时指定一个网络共享,而不是本地驱动器(还必须能够从运行 CreateEnvironmentFromXML.wsf 的位置访问该共享)。
- 编辑 XML 格式的文件,将备份 GPO 文件的路径条目改为指向不同位置。
-
从 GPMC 安装文件夹的脚本文件夹中运行 CreateEnvironmentFromXML.wsf。如果 cscript.exe 不是默认 WSH 引擎,则必须在脚本名称前面添加 cscript 命令。对于本示例,请在命令行中键入以下命令:
Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
该脚本生成一条警告,指出该脚本仅用于创建暂存环境,然后提示您输入用户对象的密码。在运行该脚本时,如果使用 /Q 选项并使用 PasswordForUsers 选项提供密码,则不会显示这些消息。如果确认要继续,该脚本将在处理 XML 文件和 GPO 时提供状态。然后,您可以使用 Active Directory 用户和计算机以及 GPMC 验证是否成功创建了用户、组以及 GPO,以确认是否正确完成了所有步骤。
将暂存和生产环境保持同步
可以使用 CreateXMLFromEnvironment.wsf 和 CreateEnvironmentFromXML.wsf 脚本通过生产环境创建初始暂存环境。但组策略维护(包括测试新 GPO 和更改的 GPO)是一项需要保持连续性的的工作。如何持续将暂存环境与生产环境保持同步呢?这两个脚本提供了一种非全有即全无的方法来填充 GPO;但它们还不够具体,无法仅捕获和导入特定的 GPO。
通过使用 GPMC 中的备份和导入功能,您可以有选择性地在生产环境和暂存环境之间同步特定的 GPO。可以使用备份功能创建生产 GPO 的策略设置和安全设置的备份。然后,可以导入备份以覆盖暂存域中的现有 GPO,从而与生产 GPO 保持同步。有关备份和导入 GPO 的详细信息,请参阅部署示例。
在暂存环境中测试组策略
在创建暂存环境并与生产环境同步组策略后,您可以开始测试计划的组策略更改。测试组策略的最好机制是组合使用 GPMC 提供的组策略结果和组策略建模工具,并使用测试环境中的实际用户帐户和计算机处理实际 GPO。
在将新 GPO 设置应用于计算机和用户时,如果需要验证是否实际应用了所有预期策略设置,组策略结果功能是非常有用的。可以使用组策略建模来确定在 Active Directory 命名空间中更改用户或计算机位置的效果,确定更改用户或计算机的组成员身份的效果,或观察慢速链接或环回策略的效果。可以使用组策略建模功能来测试更改的效果(但未实际进行更改);而组策略结果功能显示实际发生的情况。组策略结果在目标计算机上运行,因此,您必须具有该计算机的访问权限。组策略建模在域控制器上运行,因此,必须有一个域控制器才能运行建模进程。请注意,通过使用组策略建模,您可以模拟运行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP Professional 的计算机上的策略设置。切记,组策略建模模拟策略处理情况,而组策略结果显示实际处理的策略的效果。
以测试用户身份登录以进行测试
测试组策略的首选方法也是最佳方法是,对暂存域 GPO 进行实际更改,然后使用测试用户帐户登录到工作站上,观察更改效果以测试结果。这样,您就可以观察更改是如何影响用户的。
使用组策略结果进行测试
如果测试计算机上安装了 GPMC,则可以使用 GPMC 中的组策略结果向导来获取已应用于用户和计算机的 GPO 的详细报告。否则,您可以使用命令行版本的组策略结果来创建已应用于用户或计算机的 GPO 的报告。然后,您可以相应地在测试 GPO 中进行任何所需的更改。在为给定用户和计算机处理所有组策略后,可以使用组策略结果通知您应用的策略设置。这些结果是通过在处理组策略的 Windows Server2008、Windows Vista、Windows Server2003 或 WindowsXP 计算机上查询 RSoP 收集的。因此,该向导将返回实际应用的策略设置,而不是预期的策略设置。这与使用带 /h 参数的 Gpresult.exe 时生成的输出相同。
有关组策略结果向导的详细信息,请参阅本指南中的使用组策略建模和组策略结果评估组策略设置。
使用组策略建模进行测试
测试组策略的第二种方法是,在对环境进行实际更改之前,使用 GPMC 中的组策略建模向导模拟对环境的更改。在进行生产部署之前,可以使用组策略建模对用户和计算机对象执行虚构测试,观察在进行如下更改时如何应用组策略设置:将用户或计算机对象移到不同的 OU 中、更改其安全组成员身份或更改有效的 WMI 筛选器。但要注意,使用组策略建模获取的结果是模拟的策略设置,而不是实际策略设置。因此,在模拟符合需要的方案后,最好始终使用组策略结果向导验证预期的策略设置。
由于无法使用组策略建模指定对 GPO 中的策略设置的建议更改,因此,您需要对暂存 GPO 进行建议的更改,然后对给定 OU、用户或计算机运行组策略建模向导以确定策略的结果集。
通过使用组策略建模,您还可以模拟计算机通过慢速网络链接处理策略时的组策略行为,这可以确定处理哪些组策略扩展。如果计算机通过慢速网络链接连接到域控制器上,则不会处理软件安装和文件夹重定向等组策略扩展。
组策略建模可以模拟慢速链接速度,可以使用此结果来确定所模拟的用户和计算机的有效策略设置。此外,组策略建模还支持测试组策略环回处理的效果。在启用环回处理的情况下,将在计算机中应用相同策略设置,而无论哪个用户登录到该计算机上。请注意,您必须在组策略建模向导中指定要模拟环回处理;默认情况下,不会模拟环回处理。
在使用组策略建模向导时,您可以指定慢速链接检测和/或环回处理。对于环回处理,您可以选择是替换还是合并用户特定的策略。替换模式将用户的所有正常策略设置替换为应用于计算机对象的 GPO 用户配置中定义的那些设置(环回策略设置)。合并模式将用户的正常策略设置与环回策略设置合并在一起。当用户的正常策略设置中的策略项目与环回策略设置发生冲突时,将应用环回设置。
备注 |
---|
组策略建模进程在域控制器上运行。相比之下,Gpresult 或组策略结果向导在处理组策略的 Windows Server2008、WindowsVista、Windows Server2003 或 WindowsXP 计算机运行。组策略结果使用 RSoP WMI 提供程序生成有关组策略处理的信息。组策略建模依靠 Windows Server2008 或 Windows Server2003 域控制器上的策略的结果集提供程序服务来执行分析。 |
有关组策略建模向导的详细信息,请参阅本指南中的使用组策略建模和组策略结果评估组策略设置。
准备进行生产部署
在暂存环境中全面测试对组策略的更改后,您几乎就可以在生产环境中部署新 GPO 或更改的 GPO 了。不过,在执行此操作之前,您需要评估是否要在迁移过程中将 GPO 中包含的安全主体或 UNC 路径映射到不同的值。
确定迁移映射要求
暂存环境可能是生产环境中的测试域、受信任的单独测试林或不受信任的单独测试林。对于每种情形,在生产环境中部署新 GPO 或更改的 GPO 时,您可能需要创建并使用迁移表。迁移表可满足以下三种不同类型的映射要求:
- 在将一个或多个 GPO 迁移到生产环境时,您需要将这些 GPO 的每个访问控制项 (ACE) 映射到不同的安全主体。GPO 的 ACE 描述了哪些用户、计算机和计算机组将处理该 GPO,以及哪些用户或用户组可以查看、编辑或删除 GPO 中的策略设置。
- 您需要在一个或多个 GPO 中定义的安全或文件夹重定向策略设置中映射安全主体。具体来说,通过使用用户权限分配、受限制的组、文件系统、注册表或系统服务等策略,您可以指定可访问或配置这些资源的特定用户或组。该用户或组的安全标识符 (SID) 存储在 GPO 中,在迁移 GPO 时必须修改安全标识符以反映生产域用户或组。
- 在定义引用 UNC 路径的软件安装、文件夹重定向或脚本策略设置时,您需要映射 UNC 路径。例如,您使用的 GPO 可能引用在远程服务器的外部路径(如 Netlogon 共享)中存储的脚本。在迁移 GPO 时,可能需要将该路径映射到不同的路径。UNC 路径通常特定于给定环境,在将 GPO 迁移到生产环境时可能需要更改这些路径。
如果满足上述三种条件,您需要创建一个迁移表,用于在迁移测试 GPO 时将这些 GPO 中的值映射到生产域中的正确值。
创建迁移表
可以使用 GPMC 附带的 MTE 创建和编辑迁移表。可通过以下任一方式访问该表:
- 在 GPMC 复制或导入操作期间,您可以启动 MTE 并创建或编辑迁移表。在这种情况下,MTE 将在单独窗口中启动,您可以在其中创建新的迁移表或编辑现有的迁移表。
- 在将 GPO 迁移到生产环境之前,您可以在独立模式下启动 MTE(与导入或复制操作无关)并创建或编辑迁移表。
您还可以使用示例脚本创建迁移表,如本节后面所述。
提前创建迁移表的一个优点是,您可以在开始部署之前确保所定义的迁移设置恰好是所需的设置。因此,在准备将测试 GPO 移到生产环境时,您应该先为需要迁移的 GPO 创建一个或多个迁移表。请注意,一个迁移表可用于多个 GPO。对于给定的暂存域-生产域迁移,您可以使用一个包含所有可能的安全主体和 UNC 路径组合的迁移表。在这种情况下,您只需将相同迁移表应用于从暂存域部署到生产域的每个 GPO 即可,将会正确映射匹配的那些主体和路径。
使用独立的 MTE
若要在独立模式下启动 MTE,请从 GPMC 安装文件夹中运行 Mtedit.exe。MTE 启动时将打开一个空迁移表,您可以在网格中键入项以手动进行填充,也可以使用某种自动填充方法自动填充该表。
自动填充迁移表
开始创建迁移表的最简便方法是,使用可从 MTE 的“工具”菜单中访问的自动填充功能之一。您可以通过备份 GPO 和实时 GPO 自动填充迁移表。若要自动填充迁移表,请使用以下步骤。
自动填充迁移表
-
选择通过实时 GPO 还是备份 GPO 自动填充迁移表。在准备好将暂存环境中的 GPO 迁移到生产环境时,您可以对暂存环境中的实时 GPO 执行“从 GPO 写入”以启动迁移表。通过备份 GPO 自动填充迁移表的过程是相同的,但必须提供备份 GPO 的路径。在这种情况下,如果有多个备份的 GPO,则会显示一个列表,您可以从中进行选择。请注意,在自动填充单个迁移表时,您可以选择多个 GPO 或备份 GPO。这样,便可使用一个迁移表迁移域中的所有 GPO。
-
选择是否包括 GPO 的 DACL 中的安全主体。在自动填充迁移表时,您可以选择包含 GPO 的 DACL 中的安全主体的选项。如果选择该选项,则会在具有 GPO 设置中引用的安全主体的表中包含 GPO 的 DACL 中的安全主体。不会在迁移表中重复列出相同的源安全主体。MTE 支持多种可映射的不同对象类型,如表 10 中所述。
表 10 迁移表中支持的对象类型
对象类型 用于映射 用户
单个用户帐户。
域全局组
域全局组。
域本地组
域本地组。
通用组
通用组。
计算机
计算机名称。例如,可以为单个计算机授予 GPO 的 “读取”和“应用组策略” 权限。
UNC 路径
用于软件安装策略的 UNC 路径。
任意文本或 SID
未确定的安全主体。例如,您可以按名称引用 GPO 中的安全主体,而不是按 SID 引用(键入为“administrators”而不是“DomainX\Administrators”);或者无法解析安全主体以确定类型。
如果设置了受限制的组安全策略并输入组名而不是解析实时域的名称,则可能会出现这种类型的映射。 在这种情况下,组名将以指定的名称(而不是相应的 SID)存储在 GPO 中。MTE 将此类安全主体视为“任意文本或 SID”。
此外,您还可以在 MTE 中输入 原始 SID。在这种情况下,由于 MTE 无法识别该对象类型,因此,必须将其指定为“任意文本或 SID”。
-
修改每个安全主体和 UNC 路径的“目标名称”。在填充迁移表后,您可以选择修改每个记录的“目标名称”字段。默认“目标名称”值为“与源相同”,这表示目标 GPO 中使用的安全主体或 UNC 路径与源 GPO 相同。在这种情况下,直接复制该值而不进行修改,并且映射不会完成任何更改。通常,在将 GPO 从测试环境迁移到生产环境时,您需要为一个或多个源项更改此字段。若要更改目标字段,您可以键入一个项,或者右键单击该字段,然后单击相应的菜单项。
-
可以使用两个菜单项:“浏览”和“设置目标”。如果选择“浏览”,则可以在任何受信任的域中选择安全主体。如果选择“设置目标”,则可以选择以下三个选项之一:
- 无目标。如果指定“无目标”,则在迁移时不会在目标 GPO 中包含该安全主体。该选项不适用于 UNC 路径项。
- 按相对名称映射。如果指定“按相对名称映射”,则假定该安全主体名称已在目标域中存在,并且将使用该目标名称进行映射。例如,如果源名称为 test.contoso.com 域的 Domain Admins,并且要将 GPO 迁移到 contoso.com 域,则会将 Domain Admins@test.contoso.com 名称映射到 Domain Admins@contoso.com。要成功完成导入或复制操作,该组必须在目标域中已存在。该选项不适用于 UNC 路径项。
- 与源相同。如果指定“与源相同”,将在源和目标 GPO 中使用相同的安全主体。实际上,安全项保持不变。请注意,只有在从与生产域相同的林的测试域中迁移时,或者从信任生产林的不同林中的测试域中迁移时,此选项才适用。成功映射源名称的要求是,生产林中的用户和计算机可以解析该名称。
目标名称可以使用的选项存在几个限制。UNC 路径仅支持“与源相同”选项,或者您可以手动输入不同的 UNC 路径。指定为“任意文本或 SID”的安全主体不支持“按相对名称映射”。
此外,一定要注意,如果从一种组类型映射到另一种组类型,则会出现一条警告。例如,如果源主体是“域全局组”并选择“域本地组”作为目标,则会提醒您目标名称的类型与源名称类型。如果随后尝试验证该文件,验证过程将会失败,但仍可以使用迁移表来执行迁移。请注意,迁移表不支持映射到内置安全组,如 Administrators 组。
如果需要从 MTE 中删除某一行,请选择所需的行,右键单击该行,然后单击“删除”。
-
验证迁移表。在保存迁移表之前,最好先验证该文件。为此,请在“工具”菜单中单击“验证”。验证过程将确定生成的文件的 XML 格式是否有效,并从迁移的角度验证目标名称是否有效。例如,如果输入目标的 UNC 路径,但该路径不存在,验证过程将返回一条警告。具体而言,验证过程执行以下操作:
- 验证目标安全主体和 UNC 路径是否存在。
- 检查具有 UNC 路径的源项的目标是否为“按相对名称映射”或“无目标”(不支持这些目标)。
- 检查表中的每个目标项的类型与 Active Directory 中的类型是否匹配。
如果手动输入数据,验证过程对确保输入错误不会妨碍成功迁移特别重要。请注意,映射文件验证可能会失败,因为编辑该文件的用户无法解析该文件中指定的安全主体或 UNC 路径。不过,这并不意味着该文件在迁移过程中无法按预期方式工作,前提是执行迁移的用户可以解析安全主体和 UNC 名称。验证消息将指示表中是否存在语法错误,或者验证程序是否根本无法解析安全主体名称或 UNC 路径。如果名称解析失败,请确保在实际迁移过程中具有源和目标资源的足够访问权限。
-
在编辑完该表后,请单击“文件”,然后单击“保存”以保存生成的 .migtable 文件。
手动输入迁移表项
如果选择不使用自动填充功能,或者需要手动输入数据,请务必采用正确的格式才能使迁移表有效。表 11 显示了迁移表中支持的每种对象类型的正确格式。请注意,源和目标字段中都需要使用这些格式。
表 11 迁移对象所需的格式
对象类型 | 所需的格式 |
---|---|
用户 |
a. UPN — 用户@UPN 后缀 b. SAM — NetBIOS 域名\用户 c. DNS — DNS 域名\用户 例如,MonicaB@contoso.com、contoso\MonicaB 或 contoso.com\MonicaB。 |
域全局组 |
a. UPN — 组@UPN 后缀 b. SAM — NetBIOS 域名\组 c. DNS — DNS 域名\组 例如,DomainAdmins@contoso.com、contoso\DomainAdmins 或 Contoso.com\DomainAdmins。 |
域本地组 |
a. UPN — 组@UPN 后缀 b. SAM — NetBIOS 域名\组 c. DNS — DNS 域名\组 例如,Administrators@contoso.com、contoso\Administrators 或 Contoso.com\Administrators。 |
通用组 |
a. UPN — 组@UPN 后缀 b. SAM — NetBIOS 域名\组 c. DNS — DNS 域名\组 例如,EnterpriseAdmins@contoso.com、contoso\EnterpriseAdmins 或 contoso.com\EnterpriseAdmins。 |
计算机 |
a. UPN — 计算机名$@UPN 后缀 b. SAM — NetBIOS 域名\计算机名$ c. DNS — DNS 域名\计算机名$ 例如,server1$@contoso.com、contoso\server1$ 或 contoso.com\server1$。$ 表示计算机的隐藏计算机帐户。 |
UNC 路径 |
\\服务器名\共享名\。例如,\\server1\packages。 |
任意文本或 SID |
SID 的字符串或字符串表示形式。例如,“MonicaB”或“S-1-5-21-1473733259-1489586486-3363071491-1005”。不能在目标字段中指定 SID。 |
使用脚本创建迁移表
如果需要自动完成创建迁移表的过程,您可以使用 GPMC 示例脚本 CreateMigrationTable.wsf。还可以使用该脚本(而不是使用 MTE)生成初始迁移表,然后使用 MTE 修改该表。
CreateMigrationTable.wsf 脚本支持使用当前 GPO 或备份 GPO 位置自动填充迁移表。还可以让脚本从域的所有 GPO 中读取数据。在这种情况下,将在迁移表中插入在暂存域的 GPO 中找到的所有可能的安全主体,并且可以将该单个迁移表用于从该暂存域到生产域的任何 GPO 迁移。
请注意,该脚本始终包含属于 GPO 的 DACL 一部分的安全主体;而 MTE 则不同,它提供了排除这些安全主体的选项。该脚本还包含将目标名称设置为“按相对名称映射”的选项,而不是将其设置为默认的“与源相同”。可以使用 /MapByName 选项来实现相对名称。
以下命令说明了如何使用该脚本。在此命令中,名为 Finance OU Desktop Policy
的 GPO 位于名为 staging.contoso.com
的暂存域中。此命令通过当前 GPO 自动填充名为 FinanceStaging.migtable
的迁移表:
Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com
若要通过此 GPO 的备份(而不是实时副本)创建迁移表,只需将 /BackupLocation 选项添加到命令语法中,并提供一个包含该 GPO 备份副本的文件夹路径。请注意,如果使用 /BackupLocation 选项,并且有多个备份 GPO 位于该文件夹路径中,则会使用所有可用的备份 GPO 来填充迁移表。
最后的部署准备工作
作为生产部署之前的最后一步,您应该备份暂存 GPO。如果使用 GPO 导入执行从暂存到生产的迁移,则需要使用备份。如果暂存环境位于生产域不信任的单独林中,或者需要更新已在生产环境中存在的现有 GPO,则必须使用这种方法。可以使用 GPMC 备份一个或多个 GPO,也可以使用 BackupGPO.wsf 示例脚本备份暂存域中的单个或所有 GPO。若要在 GPMC 控制台树中使用 GPMC 备份 GPO,请右键单击要备份的 GPO,然后单击“备份”。
若要使用 BackupGPO.wsf 备份 GPO,请从 Program Files\Microsoft Group Policy\GPMC Sample Scripts 文件夹中运行该脚本。以下命令行语法会将域 staging.contoso.com
中的 GPO Finance OU Workstation Security Policy
备份到文件夹 c:\gpobacks
:
Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup prior to prod" /domain:staging.contoso.com
上述语法包含指示备份目的注释。
将暂存的 GPO 部署到生产环境中
在建立暂存环境、将其与生产环境进行同步、测试新 GPO 和更改的 GPO 以及创建迁移表后,您就可以开始执行实际生产部署了。
部署预防措施
若要确保为用户提供不间断的服务,在将暂存的 GPO 迁移到生产环境时,最好采取一些预防措施。虽然迁移新 GPO 的过程通常速度很快,而不会对生产用户或计算机产生不利影响,但仍要尽量避免此类更改,以最大限度减少受影响的用户数。通常,可以在非工作时间执行此操作,即,网络上的用户未处于活动状态时。
切记,在更新 GPO 时,应先在特定域的 GPMC 当前针对的域控制器上执行更新。如果使用 GPMC 执行迁移操作,您可以在控制台树中单击“域”项目,以检查管理的每个域当前使用的域控制器。若要在迁移更改之前更改域控制器,请在 GPMC 控制台树中右键单击域名,单击“更改域控制器”,然后指定新的域控制器。
GPO 复制
切记,GPO 更改将按照 Active Directory 和 Sysvol 复制拓扑进行传播,因此,可能需要很长的时间才能复制到世界各地的 Active Directory 部署中的所有位置。还要记住,GPO 包含两个部分:一部分作为 Active Directory 的一部分进行存储并复制,另一部分作为 Sysvol 的一部分进行存储和复制。由于这是两个需要在网络上复制的单独对象,因此,需要在应用新 GPO 之前对它们进行同步。
可以使用 GPMC 查看在给定域控制器上的复制状态。在 GPMC 控制台树中,展开包含要应用的 GPO 的林或域中的“组策略对象”,单击要检查的 GPO,然后单击细节窗格中的“详细信息”选项卡。如果 GPO 是在域控制器上同步的,则用户和计算机配置的 Active Directory 和 Sysvol 版本号完全相同。不过,用户版本号不必与计算机版本号相匹配。
执行部署的要求
在准备将暂存的 GPO 迁移到生产环境中时,要注意的主要要求是您是否有目标 GPO 的足够权限。通常,您只需要具有源域的读取访问权限即可完成部署。根据暂存环境的配置情况,您可能需要在迁移之前执行一些特定步骤。如果要执行复制操作,您需要具有足够的权限才能在目标域中创建新的 GPO。如果要导入备份 GPO,您需要能够读取备份文件(而无论这些文件在什么位置),并且具有足够权限修改作为导入操作目标的目标域中的现有 GPO。最后,对于每个需要迁移表的 GPO,应确保为其创建的迁移表存储在您在执行迁移时可以访问的位置。以下清单简要说明了在运行迁移之前验证的项目:
- 对于复制操作:确保源域信任目标域,并且您在目标域上具有 GPO 创建权限。可以使用 GPMC 确认您是否在域中具有 GPO 创建权限。在 GPMC 控制台树中,展开目标域中的“组策略对象”,然后单击“委派”选项卡以检查哪些用户或组可以在该域中创建新的 GPO。
- 对于导入操作:确保您具有备份 GPO 文件的访问权限,并且具有目标 GPO 的 GPO 编辑设置权限。
- 如果使用的是迁移表 (.migtable):确保您具有从 GPMC 中访问文件的权限。
部署示例
以下两个示例说明了如何将 GPO 从暂存环境部署到生产环境。在第一个示例中,暂存域与生产域位于同一林中。在第二个示例中,暂存域位于生产域不信任的单独林中。如果使用生产域信任的单独暂存林,这些步骤与第一个示例(暂存域是生产林的一部分)相同。
暂存到单个林中的生产域,或从受信任的暂存林中暂存
如果暂存域是生产林的一部分,或者是生产域信任的单独暂存林,则部署方法取决于 GPO 是新 GPO 还是更改的 GPO。如果 GPO 是新 GPO 并且在生产域中不存在,请使用复制方法来部署新 GPO。如果部署对现有 GPO 的更新,则必须使用导入方法,使用备份暂存 GPO 中的设置更新生产 GPO 的设置。
在本示例中,将使用 GPMC 在生产域中部署暂存域中名为 Sales OU Workstation Security Policy 的新 GPO。图 11 说明了暂存和生产域配置并显示了附带的迁移表。
在开始部署之前,请在 GPMC 中加载源和目标域。如果要从受信任的单独林中进行复制,请在 GPMC 中打开这两个林。
使用复制方法部署新的 GPO
-
在 GPMC 控制台树中,展开暂存域中的“组策略对象”。
-
右键单击计划复制的 GPO,然后单击“复制”。
-
在 GPMC 控制台树中,右键单击生产域中的“组策略对象”,然后单击“粘贴”。将打开复制向导。
-
在复制向导的欢迎页上,单击“下一步”。
-
选择“从原始 GPO 保留或迁移权限”,然后单击“下一步”。
通过使用此选项,您可以使用迁移表将暂存 GPO 的 DACL 映射到生产对等项。如果选择第一个选项(“新 GPO 使用默认权限”),该 GPO 将接收应用于生产域中的任何新 GPO 的默认权限。
-
在向导扫描完源 GPO 以确定任何安全主体或 UNC 路径映射要求后,单击“下一步”。
-
在“正在迁移引用”页上,选择“使用此迁移表将项目映射到新 GPO 中的新值”。
通过使用此选项,您可以选择部署过程中使用的迁移表。由于要将新 GPO 从暂存环境迁移到生产环境,因此,您必须选择此选项。“从源完全复制”备用选项使新 GPO 中的所有安全主体和 UNC 路径与源 GPO 完全相同。
-
如果在迁移表不包含源 GPO 中存在的安全主体或 UNC 路径时希望整个迁移失败,请在同一页上选择“独占使用迁移表”。
如果选择此选项,向导将尝试使用指定的迁移表映射所有安全主体和 UNC 路径。这对于确保迁移表涵盖所有安全主体和 UNC 路径非常有用。
-
单击“下一步”。
-
在向导完成页上,确认您指定了正确迁移选项,然后单击“完成”。
在单击“完成”后,将会开始迁移暂存 GPO。切记,新 GPO 是在生产域中创建的,但尚未链接到任何容器对象上。
-
在向导完成复制操作后,右键单击要将复制的 GPO 链接到的 Active Directory 站点、域或 OU,然后选择“链接现有 GPO”。
-
在“选择 GPO”对话框中,选择刚复制的 GPO。
在链接新 GPO 并完成复制后,GPO 将在生产域中处于活动状态。
使用脚本执行复制部署
也可以使用 CopyGPO.wsf 脚本执行复制部署。该脚本使用单个命令将 GPO 从暂存域复制到生产域中。若要执行上述步骤中所述的相同复制操作,请使用以下命令:
Cscript CopyGPO.wsf "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL
该命令中的前两个参数为源和目标 GPO 指定了相同名称。后面四个参数指定了源和目标域名以及每个域中的域控制器。/migrationtable 参数指定了要使用的迁移表,/CopyACL 参数用于保留源 GPO 中的 DACL 并使用指定的迁移表将源 DACL 映射到生产域对等项。
从不受信任的暂存林部署到生产域
如果要部署生产林不信任的暂存林中的 GPO,唯一的部署选项是导入操作。也可以使用导入将对现有 GPO 的更新部署到生产域中,即使暂存域和生产域之间存在信任关系。
导入操作前提条件
在本示例中执行部署之前,请确保执行以下操作:
- 如果使用 GPMC 部署新的 GPO,您需要在可作为导入操作目标的生产域中创建一个新的空 GPO。切记,GPMC 导入操作的工作方式是,将策略设置从备份 GPO 导入到现有目标 GPO 中。不过,您也可以在导入过程中使用 ImportGPO.wsf 脚本自动创建新的 GPO。
- 在开始导入之前,请确保备份暂存域中计划部署到生产域的 GPO。此步骤是必需的,因为导入操作使用备份 GPO,而不是实时 GPO。
- 如果使用 GPMC 而不是脚本执行导入,您可以在完成导入之前备份当前的生产 GPO。应始终在部署新版本之前备份现有的生产 GPO,以防出现部署问题。这样,您就可以从 GPMC 中执行还原操作以还原以前的 GPO 版本。
在执行这些任务后,请使用以下步骤通过导入操作将新 GPO 部署到生产环境中。
使用导入操作将新 GPO 部署到生产域中
-
在 GPMC 控制台树中,展开生产域中的“组策略对象”。
-
右键单击要更新的 GPO,然后单击“导入设置”。将打开导入设置向导。
-
在欢迎页上,单击“下一步”。
-
在“备份 GPO”页上,单击“备份”,以便在执行导入之前备份现有的生产 GPO。
-
在“备份组策略对象”对话框中,指定 GPO 备份的存储位置,键入备份说明,然后单击“备份”。
-
在 GPO 备份完成后,将显示一条消息,以指示备份成功完成。单击“确定”。
-
在“备份 GPO”页上,单击“下一步”。
-
在“备份位置”页上,指定包含要导入的暂存 GPO 备份的文件夹。
您必须具有暂存 GPO 备份文件夹的访问权限。如果备份是在暂存林中的服务器上完成的,您可能需要使用暂存林中的凭据,将某个驱动器映射到运行导入操作的计算机中的该文件夹。
-
单击“下一步”。
-
在“源 GPO”页上,单击要导入的暂存 GPO,然后单击“下一步”。
-
在“正在扫描备份”页上,向导将扫描备份中的策略设置以确定对需要传输的安全主体或 UNC 路径的引用,然后显示扫描结果。
-
单击“下一步”。
-
在“正在迁移引用”页上,选择“使用此迁移表将项目映射到新 GPO 中的新值”,然后指定为此迁移创建的迁移表的路径。
通过使用此选项,您可以选择部署过程中使用的迁移表。由于要从与生产域没有信任关系的暂存域中部署 GPO,您必须使用迁移表迁移安全主体和 UNC 路径信息。否则,生产域无法解析在不受信任的林中引用的安全主体和 UNC 路径。
-
如果在迁移表不包含源 GPO 中存在的安全主体或 UNC 路径时希望整个迁移失败,请在同一页上选择“独占使用迁移表”。
如果迁移表涵盖了在备份版本中找到的所有安全主体,请使用此选项仅导入 GPO。
-
单击“下一步”。
-
在向导完成页上,确认您指定了正确迁移选项,然后单击“完成”。在单击“完成”后,将会开始迁移暂存 GPO。在向导完成导入操作后,将显示一条消息,以指示成功完成导入。
-
单击“确定”。
如果创建了新生产 GPO 以执行此导入,您必须将新 GPO 链接到相应的容器对象。若要将 GPO 链接到相应的容器对象,请在 GPMC 控制台树的生产域中右键单击要将导入的 GPO 链接到的 Active Directory 站点、域或 OU,单击“链接现有 GPO”,指定要链接的 GPO,然后单击“确定”。在链接新 GPO 并完成复制后,GPO 将在生产域中处于活动状态。
使用脚本执行导入部署
也可以使用 ImportGPO.wsf 脚本执行导入部署。通过使用该脚本,您可以将备份 GPO 导入到生产域中。如果目标 GPO 尚未存在,该脚本还会在此过程中创建新的 GPO 以接收导入。若要执行上述步骤中所述的相同导入操作,请键入以下命令:
Cscript ImportGPO.wsf c:\gpobacks "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com
此命令中的第一个参数指定备份 GPO 文件的位置。第二个参数指定作为导入来源的备份 GPO 的名称(您也可以提供备份 ID,这是备份实用程序生成的 128 位 GUID 值,用于唯一地标识备份)。第三个参数指定要导入到的目标 GPO 的名称。/CreateIfNeeded 参数指示目标 GPO 是否尚未存在,应在执行导入之前创建目标 GPO。/MigrationTable 参数指定迁移表文件的路径和名称。/Domain 参数提供目标域的 DNS 名称。
回滚
如果在从暂存环境部署到生产环境后 GPO 出现问题,回滚部署的最佳方法是使用创建的备份 GPO 还原原始 GPO。也可以使用 RestoreGPO.wsf 脚本执行还原过程。在部署过程中,最好创建一组脚本,以便通过 RestoreGPO.wsf 自动回滚所有更改。如果需要执行回滚,您可以随时使用该脚本,并且可最大限度减少用户中断。
组策略的其他资源
- 组策略技术中心 (http://go.microsoft.com/fwlink/?LinkId=109523)(可能为英文网页)。
- Windows Server2008 的帮助和支持中心中的“组策略”(http://go.microsoft.com/fwlink/?LinkId=109524)(可能为英文网页)。
- 有关使用 GPMC 帮助部署组策略的详细信息,请参阅 GPMC 中的帮助。
- 在 GPMC 中进行编辑时默认扩展视图中的特定组策略设置的帮助(选择某个组策略设置以查看该策略设置的详细信息)。
- Windows Server2008 命令行参考 A-Z 列表中的命令行工具(如 Dcgpofix.exe、Gpupdate.exe 和 Gpresult.exe)详细信息 (http://go.microsoft.com/fwlink/?LinkId=109525)(可能为英文网页)。