GPMC攻略

GPMC—完全控制网络中的组策略一、组策略概述相信“组策略”（GP）这个名词已经为广大的Windows用户所知晓。Microsoft在WindowsNT4.0中早就有了基于策略的管理—策略编辑器—一个深受NT管理员欢迎的实用程序，但这个并不为大多数用户所掌握并加以应用。为此，Microsoft在Windows2000中不但彻底更新了目录服务，而且推出了与这个目录完全集成的策略管理—组策略对象（GPO）。随着Windows2000的深入应用，组策略的应用也随之遍地开花，影响力远远超过了它的前身。可以说，组策略配置的正确与否将与您整个网络息息相关—虽然您可以完全放弃他，然而，作为一种手段，组策略的成功应用将起到事半功倍的效果。二、GPMC的起源当然，并不是每个人都成功了。每个人随着组策略的深入应用，对这些组策略的管理成了他们最大的负担，而部分用户根本无法预料他所配置的组策略会产生什么样的后果，很多时候结果大大出乎他们的意料。在Microsoft新闻组里，恐怕最著名的组策略问题就是“本地策略不允许您交互式登录”。GPMC—GroupPolicyManagementConsole就是Microsoft在汲取遍布全球的合作伙伴及大量客户反馈的基础上酝酿而成的。GPMC由一个全新MMC管理单元及一整套脚本化的接口组成，提供了集中的组策略管理方案，可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题，解决组策略部署中的难点，减轻了IT管理员们在实施组策略时所肩负的沉重包袱。三、细看GPMC在我结束这篇文章之时，GPMC还仅仅是一个Beta2版本，Microsoft仍然在不断地对它进行完善，以增强它的稳定性和易用性。GPMC仅仅是Microsoft提供给广大用户的一个实用软件包，并不隶属于Microsoft的Server或者Application产品。下载后的GPMC安装程序只有4M左右，真可谓小巧而实用。需要注意的是，GPMC仅能安装在带有SP1的WindowsXP或者WindowsServer2003Build3602以后版本的计算机上，虽然它不支持安装在Windows2000的计算机上，但您仍然可以使用它管理一个Windows2000域中的组策略（但在支持的功能上有一定差别）。您在一台管理域的计算机上安装GPMC之后，在管理工具中会添加“GroupPolicyManagement”（GPM）菜单项。当您试图使用活动目录用户与计算机管理单元编辑一个组策略时，系统将自动要求您打开GPMC来管理组策略，如图1所示：图1：GPMC自动禁用原有的组策略编辑方法GPMC除了实现一般的组策略管理任务，如创建，删除，修改外，还提供了复制，导入，备份，恢复功能。更值得一提的是，GPMC中的组策略报告功能对组策略在计算机上的生效状况提供了详细的说明。首次打开GPM，仅显示为一个空白的MMC界面。首先，我们来浏览一下GPMC左边面板中提供的功能。右击“GroupPolicyManagement”，从关联菜单中单击“AddForest…”，输入一个现有的Windows2000或Windows2003域名。GPM自动连接相应的域控制器并显示当前域的组织单元层次，这个层次与您在活动目录用户与计算机管理单元中看到的是一模一样的。左面板中除了显示活动目录中组织单元层次外，还有四个特别引人注意的名称：DefaultDomainPolicy，GroupPolicyObjects，GroupPolicyResults，GroupPolicyModeling。我们分别来看一下这四项功能。估计很多读者从字面意思就可以意会到他们的功能。DefaultDomainPolicy。每当您创建一个Windows2000域之后，系统自动产生两个默认的组策略对象：DefaultDomainPolicy与DefaultDomainControllersPolicy（这个组策略显示在DomainControllers容器里）。如果您连接了多个域，在这里会显示出多个域的默认的域组策略。从右边面板中，您可以查看这个域组策略的设置，添加或者删除管理策略的被委托的用户。图2显示的是一个典型的DefaultDomainPolicy视图。图2：DefaultDomainPolicy视图GroupPolicyObjects。这个对象包括当前选定域的所有组策略对象。在这里您可以完成组策略的添加，备份，恢复，重命名，删除，导入等一系列重要功能。单击任何一个组策略名称，都将在右面板中显示一个与图2类似的视图。注意，当您单击这个对象中的DefaultDomainPolicy或者DefaultDomainControllerPolicy时，系统自动检测与之相关的—SYSVOL文件夹的权限，如发现有不一致现象，系统提示您需要修复，此时，单击Yes后系统自动完成修复过程。图3显示了GroupPolicyObjects对象的典型视图与常见任务清单。图3：GPO对象的典型视图与常见任务清单GroupPolicyResults。可能出乎您的意料，单击该对象之后，默认情况下（尤其是第一次使用）右面板中并不显示任何对象。在这里，其实是一个非常好的组策略验证“环境”，使用组策略结果（GroupPolicyResult）可以验证部署到指定的用户或者计算机的组策略是否正确。右击右面板空白区域，从关联菜单中选择“GroupPolicyResultWizard……”，向导允许您指定希望验证组策略结果的计算机（被查询的计算机必须支持RSoPLogging，WindowsXP以后版本均支持该功能），然后GPMC检查出该计算机上加载的组策略对象（一般地，对于一台加入域的计算机，至少有二个组策略对象，即默认域组策略与本地策略），经身份确认后，GPMC查询出这台计算机上策略的设置清单并且自动产生组策略报告显示在右面板中，图4显示的是报告的典型样例。从报告的“Settings”与“PolicyEvents”（该项数据其实取自事件查看器）中您还可以获得更多更有价值的信息。图4：GPO查询结果报告一些有经验的用户会发现，该节点的功能与Microsoft在Windows2000ResourceKit中提供的gpresult.exe程序相类似，Microsoft文档HOWTO:UsetheGroupPolicyResultsToolinWindows2000（=321709）详细描述了如何使用gpresult.exe程序。可以说，GroupPolicyResults除了具有gpresult.exe的功能外，还提供了更丰富的信息，而且它还是基于GUI—显然更容易使用。GroupPolicyModeling。顾名思义，在这里，您可以模拟出组策略的运行结果，并且最终得出选定容器中有效的设置。尤其是对那些经多重继承，重复加载组策略对象的容器，对策略的生效状态是最难以分辨了。组策略模拟（GroupPolicyModeling）旨在从容器中通过特定的查询，得出所有组策略组合后的有效设置，结果以HTML报告的形式显示。需要注意的是，组策略模拟仅支持WindowsServer2003的域控制器，如果您的GPMC连接到Windows2000的域控制器，该节点是不可见的。对于早版本的组策略，组策略建模以策略结果集（RSoP）计划模式实现。右击“GroupPolicyModeling”启动（当然您也可以从任何一个容器的关联菜单中启动GroupPolicyModeling）组策略模拟向导。向导通过“StepbyStep”的方式收集数据，您指定的数据越精确（因为向导允许您跳越一些步骤），意味着查询结果也更精确。但其中最重要的一步要您指定计算机配置与用户配置的容器，如图5所示。图5：指定计算机与用户容器完成相关数据的收集后，系统立即执行查询，查询结果显示在右面板中。创建后的查询自动保存在GroupPolicyModeling节点中。当您下次单击查询名称时，系统自动刷新查询结果。组策略模拟对在复杂环境中高效，简洁地部署组策略，提供了最佳的解决方案。更吸引人的是，组策略模拟还支持组策略的回环处理功能，从MicrosoftWindows2000新闻组中关于组策略部分可以看出，组策略的回环处理一直以来是许多IT管理员们最难理解，最难控制的一部分。单击左面板中任意一个组织单元名称，GPMC在右边面板中显示与这个组织单元或者域相关的组策略配置情况，可以说，这里所显示的内容是整个GPM的中心所在，在这里，您可以非常方便，清晰地看到选定的组织单元链接组策略的情况，例如，如果在一个组织单元上指派了多个组策略对象，当您单击该组织单元时，右窗口中自动显示与该组织单元链接的组策略对象（默认域策略自动应用到每个组织单元，所以在组织单元组不显示），显示结果还包括组策略是否有效，当前状态等，您可以立即进行更改。组策略的继承，委托以分离的标签页方式显示也显示在同一窗口中，也就是说，您现在单一窗口可以看到以前需要重复点击、切换多个页面的所有信息，图6显示的是一个组织单元指定组策略后显示的默认视图。右击右窗口中任意一个组策略名称，从关联菜单中选择“Edit”系统打开标准的组策略编辑框。图6：组织单元组策略状况一览右击Windows2000域名或者组织单元名称，系统显示与之相关联的菜单，从这个关联菜单中，您几乎可以完成所有与组策略相关的任务。图7显示的是右击域名时显示的关联菜单，不难看出，除了管理组策略外，菜单中还提供了搜索，更换域控制器，打开活动目录用户与计算机管理单元等功能。图7：右击域名产生的菜单菜单中最吸引人莫过于“Search…”功能项。回想一下，当您在Windows2000活动目录中创建一系列组策略之后，待应用一段时间再想把它找出来的时候，可能是最耗时的工作。Windows2000并没有提供一种机制，允许您从活动目录检索出现有的组策略列表。而且随着组织单元层次深度的增加，查找组策略往往变得一筹莫展（可能这也是Microsoft推荐组织单元层次不要创建得太深的原因吧）。GPMC中的搜索功能，对实现组策略对象的搜索提供了一个完整的解决方案。它允许您通过指定组策略对象名称，被组策略对象的用户组，GUID等项目中特定关键字的值列出整出站点中匹配条件的所有组策略对象，相信搜索功能是组策略管理员使用GPMC最有吸引力的一面。图8显示的是一个典型的搜索对话框。图8：组策略对象搜索有个并不特别引人注意，但功能非常强大的选项—WMIFilter。众所周知，WMI在Windows网络的管理中扮演着重要的角色，随着Windows版本的不断更新，WMI也不断地更新，在WindowsXP中，Microsoft推出了WMIC。现在，WMI又介入到了组策略中，它以WMIFilter（筛选器）的方式实现。GPMC中的WMI筛选器支持基于WMI规范的查询来筛选CIMON（CommonInformationModel(CIM)-compliantobjectrepository，一般信息模型兼容对象知识库）数据库中的组策略的作用。GPMC提供了每个组策略链接到一个WMI筛选器进行过滤的能力。在“GroupPolicyObjects”节点中，双击任意一个组策略对象，在右面板中，单击“Scope”，在页面底部就可以轻易地为这个组策略指派一个WMI筛选器（如果您的GPMC连接到Windows2000的森林，该选项是不可见的，WMI筛选器仅支持WindowsServer2003的域控制器。）。四、最佳实践上面我们粗略地浏览了一下GPMC中提供的强大功能。我们再来看一下GPMC在实际环境中的强大作用。右击“GroupPolicyObjects”节点中的任何一个组策略对象，您会发现这个关联菜单中提供了备份，恢复，导入设置三项功能。与其他应用程序中的备份，恢复，导入相类似，这些功能都是有效地解决组策略在受损，工作不正常时的最佳手段，GPMC提供了十分强大的备份与恢复