GPMC即组策略管理控制台,与Windows 2000上传统的组策略编辑器截然不同,由一个全新的MMC管理单元及一整套脚本化的接口组成,提供了集中的组策略管理方案,可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题,解决组策略部署中的难点,减轻了IT管理员们在实施组策略时所承担的沉重包袱。
  组策略概述
  相信"组策略"(Group Policy)这个名词已经为广大的Windows用户所知晓。微软在Windows NT 4.0中早就有了基于策略的管理--策略编辑器--一个深受NT管理员欢迎的实用程序,但它个并不为大多数用户所掌握并加以应用。为此,微软在Windows 2000中不但彻底更新了目录服务,而且推出了与这个目录完全集成的策略管理--组策略对象(GPO)。随着Windows 2000的深入应用,组策略的应用也随之遍地开花,影响力远远超过了它的前身。可以说,组策略配置的正确与否将与您整个网络息息相关--虽然您可以完全放弃它,然而,作为一种手段,组策略的成功应用将起到事半功倍的效果。
  GPMC的起源
  当然,并不是每个人都成功了。随着组策略的深入应用,对这些组策略的管理成了用户最大的负担,而部分用户根本无法预料他所配置的组策略会产生什么样的后果,很多时候结果大大出乎他们的意料。在微软新闻组里,恐怕最著名的组策略问题就是"本地策略不允许您交互式登录"。GPMC(Group Policy Management Console,组策略管理控制台)就是微软在汲取遍布全球的合作伙伴及大量客户反馈的基础上酝酿而成的。
  GPMC由一个全新MMC管理单元及一整套脚本化的接口组成,提供了集中的组策略管理方案,可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题,解决组策略部署中的难点,减轻了IT管理员们在实施组策略时所承担的沉重包袱。
  主要功能
  在我撰写这篇文章之时,GPMC还仅仅是一个Beta 2版本,微软仍然在不断地对它进行完善,以增强它的稳定性和易用性。GPMC仅仅是微软提供给广大用户的一个实用软件包,并不隶属于微软的Server或者Application产品。下载后的GPMC安装程序只有4MB左右,真可谓小巧而实用。需要注意的是,GPMC仅能安装在带有SP1的Windows XP或者Windows Server 2003 Build 3602以后版本的计算机上,虽然它不支持安装在Windows 2000的计算机上,但您仍然可以使用它管理一个Windows 2000域中的组策略(但在支持的功能上有一定差别)。您在一台管理域的计算机上安装GPMC之后,在管理工具中会添加"Group Policy Management"(GPM)菜单项。当您试图使用活动目录用户与计算机管理单元编辑一个组策略时,系统将自动要求您打开GPMC来管理组策略,如图1所示。
  GPMC除了实现一般的组策略管理任务,如创建、删除、修改外,还提供了复制、导入、备份、恢复功能。更值得一提的是,GPMC中的组策略报告功能对组策略在计算机上的生效状况提供了详细的说明。
  首次打开GPM,仅显示为一个空白的MMC界面。首先,我们来浏览一下GPMC左边面板中提供的功能。右击"Group Policy Management",从关联菜单中单击"Add Forest…",输入一个现有的Windows 2000或Windows 2003域名。GPM自动连接相应的域控制器并显示当前域的组织单元层次,这个层次与您在活动目录用户和计算机管理单元中看到的一模一样。左面板中除了显示活动目录中组织单元层次外,还有4个特别引人注意的名称:Default Domain Policy、Group Policy Objects、Group Policy Results、Group Policy Modeling。我们分别来看一下这4项功能。估计很多读者从字面意思就可以意会到他们的功能。
  Default Domain Policy。每当您创建一个Windows 2000域之后,系统自动产生两个默认的组策略对象:Default Domain Policy与Default Domain Controllers Policy(这个组策略显示在Domain Controllers容器里)。如果您连接了多个域,在这里会显示出多个域默认的域组策略。从右边面板中,您可以查看这个域组策略的设置,添加或者删除管理策略被委托的用户。图2显示的是一个典型的Default Domain Policy视图。
  Group Policy Objects。这个对象包括当前选定域的所有组策略对象。在这里您可以完成组策略的添加、备份、恢复、重命名、删除、导入等一系列重要功能。单击任何一个组策略名称,都将在右面板中显示一个与图2类似的视图。注意,当您单击这个对象中的Default Domain Policy或者Default Domain Controller Policy时,系统自动检测与之相关的SYSVOL文件夹的权限,如发现有不一致现象,系统提示您需要修复,此时,单击"Yes"后系统自动完成修复过程。图3显示了Group Policy Objects对象的典型视图与常见任务清单。
  Group Policy Results。可能出乎您的意料,单击该对象之后,默认情况下(尤其是第一次使用)右面板中并不显示任何对象。在这里,其实是一个非常好的组策略验证"环境",使用组策略结果(Group Policy Result)可以验证部署到指定的用户或者计算机的组策略是否正确。右击右面板空白区域,从关联菜单中选择"Group Policy Result Wizard…",向导允许您指定希望验证组策略结果的计算机(被查询的计算机必须支持RSoP Logging,Windows XP以后版本均支持该功能),然后GPMC检查出该计算机上加载的组策略对象(一般地,对于一台加入域的计算机,至少有两个组策略对象,即默认域组策略与本地策略),经身份确认后,GPMC查询出这台计算机上策略的设置清单并且自动产生组策略报告显示在右面板中,图4显示的是报告的典型样例。从报告的"Settings"与"Policy Events"(该项数据其实取自事件查看器)中您还可以获得更多有价值的信息。
  一些有经验的用户会发现,该节点的功能与微软在Windows 2000 Resource Kit中提供的gpresult.exe程序相类似,微软文档"HOW TO: Use thesgroupsPolicy Results Tool in Windows 2000(support.microsoft.com/?id=321709)"详细描述了如何使用gpresult.exe程序。可以说,Group Policy Results除了具有gpresult.exe的功能外,还提供了更丰富的信息,而且它还是基于GUI--显然更容易使用。
  Group Policy Modeling。顾名思义,在这里,您可以模拟出组策略的运行结果,并且最终得出选定容器中有效的设置。尤其是对那些经多重继承,重复加载组策略对象的容器,对策略的生效状态是最难以分辨了。组策略模拟(Group Policy Modeling)旨在从容器中通过特定的查询,得出所有组策略组合后的有效设置,结果以HTML报告的形式显示。需要注意的是,组策略模拟仅支持Windows Server 2003的域控制器,如果您的GPMC连接到Windows 2000的域控制器,该节点是不可见的。对于早期版本的组策略,组策略建模以策略结果集(RSoP)计划模式实现。
  右击"Group Policy Modeling"启动(当然您也可以从任何一个容器的关联菜单中启动)组策略模拟向导。向导通过"Step by Step"的方式收集数据,您指定的数据越精确(因为向导允许您跳越一些步骤),就意味着查询结果越精确。但其中最重要的一步要您指定计算机配置与用户配置的容器。
  完成相关数据的收集后,系统立即执行查询,查询结果显示在右面板中。创建后的查询自动保存在Group Policy Modeling节点中。当您下次单击查询名称时,系统自动刷新查询结果。组策略模拟对在复杂环境中高效、简洁地部署组策略,提供了最佳的解决方案。更吸引人的是,组策略模拟还支持组策略的回环处理功能,从Microsoft Windows 2000新闻组中关于组策略部分可以看出,组策略的回环处理一直以来是许多IT管理员们最难理解、最难控制的一部分。
  单击左面板中任意一个组织单元名称,GPMC在右边面板中显示与这个组织单元或者域相关的组策略配置情况,可以说,这里所显示的内容是整个GPM的中心所在。在这里,您可以非常方便、清晰地看到选定的组织单元链接组策略的情况。例如,如果在一个组织单元上指派了多个组策略对象,当您单击该组织单元时,右窗口中自动显示与该组织单元链接的组策略对象(默认域策略自动应用到每个组织单元,所以在组织单元组不显示),显示结果还包括组策略是否有效、当前状态等,您可以立即进行更改。组策略的继承,委托以分离的标签页方式显示也显示在同一窗口中,也就是说,现在您在单一窗口可以看到以前需要重复点击、切换多个页面才能看到的所有信息,图6显示的是一个组织单元指定组策略后显示的默认视图。右击右窗口中任意一个组策略名称,从关联菜单中选择"Edit"系统打开标准的组策略编辑框。
  右击Windows 2000域名或者组织单元名称,系统显示与之相关联的菜单,从这个关联菜单中,您几乎可以完成所有与组策略相关的任务。图7显示的是右击域名时出现的关联菜单,不难看出,除了管理组策略外,菜单中还提供了搜索、更换域控制器、打开活动目录用户与计算机管理单元等功能。
  菜单中最吸引人的莫过于"Search…"功能项。回想一下,当您在Windows 2000活动目录中创建一系列组策略之后,待应用一段时间再想把它找出来的时候,可能是最耗时的工作。Windows 2000并没有提供一种机制,允许您从活动目录检索出现有的组策略列表。而且随着组织单元层次深度的增加,查找组策略往往变得一筹莫展(可能这也是微软推荐组织单元层次不要创建得太深的原因吧)。GPMC中的搜索功能,对实现组策略对象的搜索提供了一个完整的解决方案。它允许您通过指定组策略对象名称、被组策略对象的用户组、GUID等项目中特定关键字的值列出整个站点中匹配条件的所有组策略对象。相信搜索功能是组策略管理员使用GPMC最有吸引力的一面。图8显示的是一个典型的搜索对话框。
  还有个并不特别引人注意但功能非常强大的选项--WMI Filter。众所周知,WMI在Windows网络的管理中扮演着重要的角色,随着Windows版本的不断更新,WMI也不断地更新,在Windows XP中,微软推出了WMIC。现在,WMI又介入到了组策略中,它以WMI Filter(筛选器)的方式实现。GPMC中的WMI筛选器支持基于WMI规范的查询来筛选CIMON(Common Information Model (CIM)-compliant object repository,一般信息模型兼容对象知识库)数据库中组策略的作用。GPMC提供了每个组策略链接到一个WMI筛选器进行过滤的能力。在"Group Policy Objects"节点中,双击任意一个组策略对象,在右面板中,单击"Scope",在页面底部就可以轻易地为这个组策略指派一个WMI筛选器(如果您的GPMC连接到Windows 2000的森林,该选项是不可见的,WMI筛选器仅支持Windows Server 2003的域控制器)。
  最佳实践
  以上我们粗略地浏览了一下GPMC中提供的强大功能。我们再来看一下GPMC在实际环境中的强大作用。右击"Group Policy Objects"节点中的任何一个组策略对象,您会发现这个关联菜单中提供了备份、恢复、导入设置3项功能。与其他应用程序中的备份、恢复、导入相类似,这些功能都是有效地解决组策略在受损、工作不正常时的最佳手段,GPMC提供了十分强大的备份与恢复能力。
  右击组策略名称,从关联菜单中选取"Back Up…",系统仅仅提示您为备份文件输入一个安全的文件夹名称(为保证组策略文件的安全性,强烈推荐备份文件夹只有指定的管理员允许访问),然后系统自动完成备份过程。整个过程非常简单,而且支持一个文件夹中备份多个组策略或者同一个组策略在同一目录下备份多次。但需要注意的是,这个备份并不是完全的备份,相对于GPO"外置"的组件,如WMI Filter,IPSec Policy并不会被同时备份。
  恢复过程也出乎意料的简单,右击您希望恢复的组策略对象,从关联菜单中选取"Restore from Backup…",连续两次单击"下一步"之后,系统要求您从恢复列表中选择组策略(在恢复之前,必须对这个组策略做过备份,否则这个列表是空的,同理,如果同一个组策略备份过多次,那么根据备份时间显示多个恢复版本,图9说明了这种现象),如果您已经无法回想起备份前策略的设置情况,单击对话框中的"View Settings"即可通过HTML查看到所有设置(其实,这就是GPMC生成的报告),选定恢复版本后,单击"下一步"*"完成"。Windows 2000用户请注意,如果您通过Windows 2000的域控制器恢复组策略,且这个组策略包括软件分发功能,那么当组策略生效后,分发的软件可能再次被安装。因此,建议您通过Windows 2003版的域控制器恢复组策略对象。
  最有意思的一项功能恐怕就是"Import Settings…"了。当您对一个组策略对象执行导入设置时,GPMC将删除原来的所有设置(因此建议您导入前先备份。我也一直在想,既然是导入,微软为什么不采取将新旧策略合并的方式,而非得删除原有设置不可?也许在正式版本中,微软会把"合并设置"作为一个选项提供吧),包括用户设置与计算机设置,然后将指定的组策略中所有的设置导入进来。分析一下,您会发现,导入列表中显示的组策略对象即您曾经所有备份过的组策略,您可能会被这项功能深深地吸引。更令人惊讶的是,虽然设置导入了,但是,最关键的部分--组策略的安全性设置并没有改变,也就是说没有改变组策略对象原来的应用范围(对象),没有更改的其他设置包括委托(Delegation)、链接(Link)、WMI筛选器,这恰好与上面的"不完全"备份相符。
  您可能会想:如果我的备份时间长了,备份量多了,相应的管理量也同样增加了,这不是适得其反了吗?微软比我们想在更前面,右击"Group Policy Objects",然后选取"Manage Backups…",系统显示组策略备份文件对话框,如图10所示。从对话框中可以看到,可以直接对备份文件进行恢复、删除、查看设置。如果您对这个备份饶有兴致,不妨打开保存组策略对象备份文件的文件夹,您会发现所有文件均是XML格式。
  总结
  综合上面GPMC的概述,GPMC对支持活动目录中的组策略对象管理提供了全新的机制,它对组策略对象的备份、恢复、导入、管理等方面的功能远远超出了Windows操作系统所提供的功能。当然并不仅限于此,GPMC更是一个解决方案,一种手段。基于HTML的报告,使每个组策略的信息一览无遗,报告在GPMC中扮演着重要角色。很容易看出,GPMC是针对Windows Server 2003设计的,虽然您可以把它应用到Windows 2000的域中,但总会接收到各种各样的"警告"信息。然而,对热衷于组策略的您,无论在哪个平台,GPMC都会使您游刃有余。同时,我们更殷切地期盼微软推出一个更完善、更易用的GPMC。
 
使用GPMC随心所欲管理组策略
1、什么是GPMC?
(1)管理组策略新的管理工具;
     管理组策略的可脚本化的接口集
     MMC Snap-in,基于这些接口
     无 Web方式,以Web发布,不能取代AD工具
2、GPMC设计目标
(1)统一化的组策略管理工具(一站式)
(2)更好的可视化UI(用户接口)
(3)对组策略有序的访问
(4)最终提高组策略的易用性

GPMC运行所需
1、Windows Server 2003
2、Windows XP with
(1)SP1
(2).NET Framework
(3)GPMC在Windows XP professional上运行时需要要Gpedit.dll版本
5.1.2600.1186或更高版本。通过修复程序可更新该版本(GPMC会自动安装)
(4)Hotfix QEF326469(自动安装,是用更新Gpedit.dll版本5.1.2600.1186)

GPMC可管理windows 2000的域(但是无WMI Filter及GP建模功能)和windows 2003的域。

域控制器问题:
1、避免修改默认的组策略:
(1)Default Domain Policy
(2)Default Domain Controllers policy
例外:
(1)帐号策略应该只在Default Domain policy上设置,不要在域级别上的任何其他组策略上使用。
(2)域控制器的用户权利应该只在Default Domain controllers policy上设置。
2、避免在域控制器上安装自动修改安全策略的应用程序
3、确保所有域控制器接受一致的组策略
(1)不要针对具体的域控制器过滤组策略
(2)所有域控制器应该保留在Domain controllers OU内

OU设计考虑要素
1、先考虑组策略可能带来的问题再规划OU的设计
2、用户和计算机对象
(1)    不要将用户和计算机对象放在同一OU内
(2)    定义用户和计算机的角色再创建和角色对应的OU
3、用户帐号必须在父OU上有读权限才能在子OU上获取组策略
文件夹生定向:
1、让系统为每个用户自动创建文件夹以避免设置错误的ACL;
2、如要删除重定向,使用“重定向到本地用户配置文件”选项;
3、使用EFS,加密本地缓存,而不是服务器上的文件夹。

确保计算机帐号能访问:
1、软件分发点(针对计算机帐号设置的应用程序)
2、启动/关机脚本

SYSVOL
1、不要对SYSVOL中的策略文件夹更改;
2、不要调整SYSVOL文件夹上的ACLs
3、只能通过管理工具管理SYSVOL和活动目录(如:GPEdit,GPMC,AD Users and Computers)

备份
1、规律地备份GPO(GPMC包含样本脚本)
2、确保GPO备份文件夹是安全的

性能
1、每用户/计算机对象应用的组策略越少越好
2、禁用GPO中未使用的用户或计算机部分(例GPO是针对用户设置的,那就就应该禁用计算机设置)
3、保守使用WMI过滤器
4、尽量避免跨域GPO链接