Windows7和WS 2008R2組策略中新增功能
發布時間:2010-12-22 10:39:41
摘 要:我幾乎每天都收到電子郵件,詢問我“新版本 Windows 中的組策略將新增什么功能?”通過這個問題,我可以感覺到人們迫切希望了解新增功能和更改對 IT 專業人員有什么意義。
Windows 7 和 Windows Server 2008 R2 允許您使用 PowerShell 執行許多這樣的功能。過去在 GPMC 示例腳本中可以執行的操作現在使用 PowerShell 也可以實現:創建、鏈接、重命名、備份、復制和刪除 GPO 以及更多操作。
但是,可以使用可編寫腳本的方法配置 GPO 的內容是一個全新事物,并且現在只有將 PowerShell 用作腳本編寫方法時才可用。但先別高興得太早,我不得不提醒您并非組策略的所有 39 個區域都可以編寫腳本。事實上,只有兩個區域可以:注冊表策略和注冊表首選項。即便如此,這也是一個非常棒的開始。
在圖 3 中,您將看到我如何使用 Windows 7 中的內置 PowerShell,借助 cmdlet 導入模塊組策略先安裝特定組策略 cmdlet,然后使用新的組策略 cmdlet 創建新 GPO。
圖 3 使用 Windows 7 中內置的組策略 cmdlet 創建新 GPO。
組策略團隊的博客中發布了一組關于 Windows PowerShell 集成的項目。您可以登錄組策略團隊博客大概了解一下所有這些項目。
大型用戶界面更改:更新的 ADM 和 ADMX 用戶界面
組策略最顯著的一個更改是 GPME 中的“管理模板”部分。
圖 4 中顯示了一個新的“無選項卡”界面,將您創建新策略設置或處理現有策略設置所需的全部內容都放在了一個一站式頁面中。
圖 4 Windows 防火墻:“允許 ICMP 例外”對話框。
管理員現在可以將策略設置配置為“未配置”、“已啟用”或“已禁用”、評論策略設置、參閱“支持信息”、查看幫助(說明文字),以及處理選項中的任何可配置設置。
此更改的目標是使策略設置過程更直觀,將幫助集成到一起以及取消所有選項卡,這樣管理員就不必再來回切換選項卡。
大型附帶補充:內置 Starter GPO
Vista 版本的 GPMC 第一個提供了創建和使用 Starter GPO 的功能。Starter GPO 的設計理念是,某個管理員可以創建一個起點,而其他管理員使用該起點來創建他們的 GPO。在新的更新版本中并未對基本的體系結構和功能進行大的更改,但需要注意一個新的不同之處。
確切地說,當您使用 Windows 7 或 Windows Server 2008 R2 計算機創建 Starter GPO 的容器時,該容器使用一些內置 Starter GPO 自動進行填充。這些 Starter GPO 按照 Microsoft 最佳實踐并遵循 Windows Server 2008 安全指南。例如,其中一個內置 Starter GPO 是針對普通企業客戶端 (EC),而另一個稱為專用安全限制功能 (SSLF),使用的鎖定方法更勝一籌。
Windows 7 和 Windows Server 2008 R2 包括的 Starter GPO 同時適用于用戶和計算機端。Vista 和 Windows XP SP2 中也可以使用這些 Microsoft 創建的 Starter GPO(形式稍微有些舊)。
核心功能外的其他功能
現在,我們談論一下當使用 Windows 7 或 Windows Server 2008 R2 作為客戶端時,您可以控制的其他區域。我在這里談到的“客戶端”是指“接收組策略指令的計算機”(也可以是 Windows Server 2008 R2 計算機)。
此次補充規模很大,包括大約 300 個新的策略設置,其中大約 90 個僅針對 Internet Explorer 8(在 Vista 和 Windows XP 計算機中可用)。其他更改包括 BitLocker、BitLocker To Go 的新增設置管理和更新的設置管理,一個更新的任務欄、遠程桌面服務(以前稱為終端服務)、BranchCache、Windows 遠程管理 (WinRM) 以及其他控件堆。由于文章篇幅有限,我不能解釋所有新控件,但就一些我最喜愛的控件我將稍加解釋并提出個人見解。
針對電源選項更新的組策略首選項
IT 奇客喜歡組策略的主要原因之一就是控件數量,這樣他們就可以在桌面上一展所長。雖然組策略的主要任務是提供設置,然而,這些控件狂 IT 奇客有時卻很難向管理人員解釋清楚為什么組策略具有原始的“美元和理智”價值。但另一方面,組策略可以保證真正節約成本(如果使用正確):電源設置。
通過正確配置臺式計算機和便攜式計算機的電源設置,IT 管理員每年通常可以為公司節省數千美元。使用組策略可以簡化這種配置。
圖 5 顯示 Windows 7(和 Windows Server 2008 R2)GPMC 中可用的電源選項。
圖 5 “新電源計劃(Windows Vista 及更高版本)屬性”對話框。
仔細觀察圖 5 中對話框的標題,您會發現說的是“新電源計劃(Vista 及更高版本)屬性”。也就是說,這些設置對 Vista 和 Windows 7 均有效。需要注意以下內容:Windows 7 和 Windows Server 2008 R2 客戶端計算機會立刻知道如何進行處理接收到的指令,而 Vista 則不然。Vista 只是忽略這些指令(即使在 Windows Vista 及更高版本中已明確指出此功能可用)。這就是為什么 Vista 的基本組策略首選項的客戶端擴展需要一個即將發布的更新的原因所在。一旦發布并應用這個更新后,Vista 計算機將可以接受這些最新可用的指令。
針對計劃任務更新的組策略首選項
與更新的電源計劃設置類似,剛剛提到的是 Windows 7 和 Windows Server 2008 R2 中的 GPMC 中的其他任務計劃功能。圖 6 顯示計劃任務的新選項:計劃任務(Windows Vista 及更高版本)和即時任務(Windows Vista 及更高版本)。
圖 6 Windows 7 中的新 GPMC 任務計劃選項。
與電源計劃設置類似,Windows 7 計算機可以使用這些設置。Vista 計算機需要安裝一個更新才可以利用這些設置。
更新的軟件限制策略:AppLocker
AppLocker 的真實名稱是軟件限制策略版本 2 或 SRPv2。但是,在組策略界面(和文檔)中,你會發現這個新功能只稱為 AppLocker。
簡而言之,AppLocker 的目標就是幫助現代的 IT 組織決定應該在 Windows 7(及更高版本)計算機上運行哪些軟件以及不應該運行哪些軟件。原來的軟件限制策略 (SRP) 的作用已經無可挑剔,但 AppLocker 將軟件限制提升到了一個新的級別。AppLocker 的一個主要新功能是基于軟件發行者允許或限制軟件。要想利用此新功能,必須對您要允許或限制的軟件進行數字簽名(有關 AppLocker 的詳細信息,請參閱 Greg Shields 的“門門精通”專欄,“AppLocker:IT 行業的第一顆靈丹妙藥?”)。
接下來,您可以使用“創建可執行規則”對話框為不同的發行者設置規則。例如,您可以創建一條規則,指定只要 Adobe Reader 是 9.0 或更高版本就可以運行。您可以向上移動垂直滑塊,來指定目標系統上的所有版本、文件名和/或產品或發行者均有效。或者您還可以只選中“使用自定義值”復選框。
(責任編輯:企業網 來源:TechNet )
關鍵字:
版權所有: 非特殊聲明,均為本網站原創文章,轉載請指明出處:企業網D1net
