UBLink技術團隊討論區

[david]

GPMC即群組原則管理控制台，與Windows 2000上傳統的群組原則編輯器截然不同，由一個全新的MMC管理單元及一整套指令碼化的接頭組成，提供了集中的群組原則管理方案，可以大大減少不正確的群組原則可能導致的網路問題並簡化群組原則相關的安全問題，解決群組原則佈署中的難點，減輕了IT管理員們在實施群組原則時所承擔的沉重包袱。

　　群組原則概述

　　相信"群組原則"(Group Policy)這個名詞已經為廣大的Windows用戶所知曉。微軟在Windows NT 4.0中早就有了關於原則的管理--原則編輯器--一個深受NT管理員歡迎的實用程序，但它個並不為大多數用戶所掌握並加以套用。為此，微軟在Windows 2000中不但徹底更新了目錄服務，而且推出了與這個目錄完全整合的原則管理--群組原則對像(GPO)。隨著Windows 2000的深入套用，群組原則的套用也隨之遍地開花，影響力遠遠超過了它的前身。可以說，群組原則組態的正確與否將與您整個網路息息相關--雖然您可以完全放棄它，然而，作為一種手段，群組原則的成功套用將起到事半功倍的效果。

　　GPMC的起源

　　當然，並不是每個人都成功了。隨著群組原則的深入套用，對這些群組原則的管理成了用戶最大的負擔，而部分用戶根本無法預料他所組態的群組原則會產生什麼樣的後果，很多時候結果大大出乎他們的意料。在微軟新聞組裡，恐怕最著名的群組原則問題就是"本機原則不允許您交互式登入"。GPMC(Group Policy Management Console，群組原則管理控制台)就是微軟在汲取遍佈全球的合作夥伴及大量客戶反饋的基礎上醞釀而成的。

　　GPMC由一個全新MMC管理單元及一整套指令碼化的接頭組成，提供了集中的群組原則管理方案，可以大大減少不正確的群組原則可能導致的網路問題並簡化群組原則相關的安全問題，解決群組原則佈署中的難點，減輕了IT管理員們在實施群組原則時所承擔的沉重包袱。

　　主要功能

　　在我撰寫這篇文章之時，GPMC還僅僅是一個Beta 2版本，微軟仍然在不斷地對它進行完善，以增強它的穩定性和易用性。GPMC僅僅是微軟提供給廣大用戶的一個實用軟體包，並不隸屬於微軟的Server或者Application產品。下載後的GPMC安裝程序只有4MB左右，真可謂小巧而實用。需要注意的是，GPMC僅能安裝在帶有SP1的Windows XP或者Windows Server 2003 Build 3602以後版本的電腦上，雖然它不支持安裝在Windows 2000的電腦上，但您仍然可以使用它管理一個Windows 2000域中的群組原則(但在支持的功能上有一定差別)。您在一台管理域的電腦上安裝GPMC之後，在系統管理工具中會增加"Group Policy Management"(GPM)表單項。當您試圖使用活動目錄用戶與電腦管理單元編輯一個群組原則時，系統將自動要求您開啟GPMC來管理群組原則，如圖1所顯示。

　　GPMC除了實現一般的群組原則管理工作，如新增、移除、修改外，還提供了複製、匯入、制作備份、恢復功能。更值得一提的是，GPMC中的群組原則報告功能對群組原則在電腦上的生效狀況提供了詳細的說明。

　　首次開啟GPM，僅顯示為一個空白的MMC界面。首先，我們來瀏覽一下GPMC左邊面板中提供的功能。右擊"Group Policy Management"，從關聯表單中按下"Add Forest…"，輸入一個現有的Windows 2000或Windows 2003域名。GPM自動連接相應的域控制器並顯示當前域的組織單元層次，這個層次與您在活動目錄用戶和電腦管理單元中看到的一模一樣。左面板中除了顯示活動目錄中組織單元層次外，還有4個特別引人注意的名稱：Default Domain Policy、Group Policy Objects、Group Policy Results、Group Policy Modeling。我們分別來看一下這4項功能。估計很多讀者從字面意思就可以意會到他們的功能。

　　Default Domain Policy。每當您新增一個Windows 2000域之後，系統自動產生兩個預設的群組原則對像：Default Domain Policy與Default Domain Controllers Policy(這個群組原則顯示在Domain Controllers容器裡)。如果您連接了多個域，在這裡會顯示出多個域預設的域群組原則。從右邊面板中，您可以檢視這個域群組原則的設定，增加或者移除管理原則被委託的用戶。圖2顯示的是一個典型的Default Domain Policy視圖。

　　Group Policy Objects。這個對象包括當前選定域的所有群組原則對象。在這裡您可以完成群組原則的增加、制作備份、恢復、重新命名、移除、匯入等一系列重要功能。按下任何一個群組原則名稱，都將在右面板中顯示一個與圖2類似的視圖。注意，當您按下這個對象中的Default Domain Policy或者Default Domain Controller Policy時，系統自動檢測與之相關的SYSVOL資料夾的權限，如發現有不一致現象，系統提示您需要修復，此時，按下"Yes"後系統自動完成修復程序。圖3顯示了Group Policy Objects對象的典型視圖與一般工作清單。

　　Group Policy Results。可能出乎您的意料，按下該對像之後，預設情況下(尤其是第一次使用)右面板中並不顯示任何對象。在這裡，其實是一個非常好的群組原則驗證"環境"，使用群組原則結果(Group Policy Result)可以驗證佈署到指定的用戶或者電腦的群組原則是否正確。右擊右面板空白區域，從關聯表單中選項"Group Policy Result Wizard…"，嚮導允許您指定希望驗證群組原則結果的電腦(被查詢的電腦必須支持RSoP Logging，Windows XP以後版本均支持該功能)，然後GPMC檢查出該電腦上載入的群組原則對像(一般地，對於一台加入域的電腦，至少有兩個群組原則對象，即預設域群組原則與本機原則)，經身份驗證後，GPMC查詢出這台電腦上原則的設定清單並且自動產生群組原則報告顯示在右面板中，圖4顯示的是報告的典型樣例。從報告的"Settings"與"Policy Events"(該項資料其實取自事件檢視器 )中您還可以獲得更多有價值的訊息。

　　一些有經驗的用戶會發現，該節點的功能與微軟在Windows 2000 Resource Kit中提供的gpresult.exe程序相類似，微軟文件"HOW TO: Use thesgroupsPolicy Results Tool in Windows 2000(support.microsoft.com/?id=321709)"詳細描述了如何使用gpresult.exe程序。可以說，Group Policy Results除了具有gpresult.exe的功能外，還提供了更豐富的訊息，而且它還是關於GUI--顯然更容易使用。

　　Group Policy Modeling。顧名思義，在這裡，您可以模擬出群組原則的執行結果，並且最終得出選定容器中有效的設定。尤其是對那些經多重繼承，重複載入群組原則對象的容器，對原則的生效狀態是最難以分辨了。群組原則模擬(Group Policy Modeling)旨在從容器中通過特定的查詢，得出所有群組原則組合後的有效設定，結果以HTML報告的形式顯示。需要注意的是，群組原則模擬僅支持Windows Server 2003的域控制器，如果您的GPMC連線到Windows 2000的域控制器，該節點是不可見的。對於早期版本的群組原則，群組原則建模以原則結果集(RSoP)計劃模式實現。

　　右擊"Group Policy Modeling"啟動(當然您也可以從任何一個容器的關聯表單中啟動)群組原則模擬嚮導。嚮導通過"Step by Step"的方式收集資料，您指定的資料越精確(因為嚮導允許您跳越一些步驟)，就意味著查詢結果越精確。但其中最重要的一步要您指定電腦組態與用戶組態的容器，如圖5所顯示。

　　完成相關資料的收集後，系統立即執行查詢，查詢結果顯示在右面板中。新增後的查詢自動儲存在Group Policy Modeling節點中。當您下次按下查詢名稱時，系統自動重新整理查詢結果。群組原則模擬對在複雜環境中高效、簡潔地佈署群組原則，提供了最佳的解決方案。更吸引人的是，群組原則模擬還支持群組原則的迴環處理功能，從Microsoft Windows 2000新聞組中關於群組原則部分可以看出，群組原則的迴環處理一直以來是許多IT管理員們最難理解、最難控制的一部分。

　　按下左面板中任意一個組織單元名稱，GPMC在右邊面板中顯示與這個組織單元或者域相關的群組原則組態情況，可以說，這裡所顯示的內容是整個GPM的中心所在。在這裡，您可以非常方便、清晰地看到選定的組織單元連接群組原則的情況。例如，如果在一個組織單元上指派了多個群組原則對象，當您按下該群組織單元時，右視窗中自動顯示與該群組織單元連接的群組原則對像(預設域原則自動套用到每個組織單元，所以在組織單元組不顯示)，顯示結果還包括群組原則是否有效、當前狀態等，您可以立即進行更改。群組原則的繼承，委託以分離的標籤頁方式顯示也顯示在同一視窗中，也就是說，現在您在單一視窗可以看到以前需要重複點擊、切換多個頁面才能看到的所有訊息，圖6顯示的是一個組織單元指定群組原則後顯示的預設視圖。右擊右視窗中任意一個群組原則名稱，從關聯表單中選項"Edit"系統開啟標準的群組原則編輯框。

　　右擊Windows 2000域名或者組織單元名稱，系統顯示與之相關聯的表單，從這個關聯表單中，您幾乎可以完成所有與群組原則相關的工作。圖7顯示的是右擊域名時出現的關聯表單，不難看出，除了管理群組原則外，表單中還提供了搜尋、更換域控制器、開啟活動目錄用戶與電腦管理單元等功能。

　　表單中最吸引人的莫過於"Search…"功能項。回想一下，當您在Windows 2000活動目錄中新增一系列群組原則之後，待套用一段時間再想把它找出來的時候，可能是最耗時的工作。Windows 2000並沒有提供一種機制，允許您從活動目錄檢索出現有的群組原則列表。而且隨著組織單元層次深度的增加，搜尋群組原則往往變得一籌莫展(可能這也是微軟推薦組織單元層次不要新增得太深的原因吧)。GPMC中的搜尋功能，對實現群組原則對象的搜尋提供了一個完整的解決方案。它允許您通過指定群組原則對像名稱、被群組原則對象的用戶組、GUID等項目中特定關鍵字的值列出整個站點中匹配條件的所有群組原則對象。相信搜尋功能是群組原則管理員使用GPMC最有吸引力的一面。圖8顯示的是一個典型的搜尋對話視窗。

　　還有個並不特別引人注意但功能非常強大的選項--WMI Filter。眾所周知，WMI在Windows網路的管理中扮演著重要的角色，隨著Windows版本的不斷更新，WMI也不斷地更新，在Windows XP中，微軟推出了WMIC。現在，WMI又介入到了群組原則中，它以WMI Filter(篩選器)的方式實現。GPMC中的WMI篩選器支持關於WMI規範的查詢來篩選CIMON(Common Information Model (CIM)-compliant object repository，一般訊息模型相容對像知識庫)資料庫中群組原則的作用。GPMC提供了每個群組原則連接到一個WMI篩選器進行過濾的能力。在"Group Policy Objects"節點中，雙按任意一個群組原則對象，在右面板中，按下"Scope"，在頁面底部就可以輕易地為這個群組原則指派一個WMI篩選器(如果您的GPMC連線到Windows 2000的森林，該選項是不可見的，WMI篩選器僅支持Windows Server 2003的域控制器)。

　　最佳實踐

　　以上我們粗略地瀏覽了一下GPMC中提供的強大功能。我們再來看一下GPMC在實際環境中的強大作用。右擊"Group Policy Objects"節點中的任何一個群組原則對象，您會發現這個關聯表單中提供了制作備份、恢復、匯入設定3項功能。與其他應用程式中的制作備份、恢復、匯入相類似，這些功能都是有效地解決群組原則在受損、工作不正常時的最佳手段，GPMC提供了十分強大的制作備份與恢復能力。

　　右擊群組原則名稱，從關聯表單中選取"Back Up…"，系統僅僅提示您為備份檔案輸入一個安全的資料夾名稱(為保證群組原則文件的安全性，強烈推薦備份檔案夾只有指定的管理員允許訪問)，然後系統自動完成制作備份程序。整個程序非常簡單，而且支持一個資料夾中制作備份多個群組原則或者同一個群組原則在同一目錄下制作備份多次。但需要注意的是，這個制作備份並不是完全的制作備份，相對於GPO"外置"的元件，如WMI Filter，IPSec Policy並不會被同時制作備份。

　　恢復程序也出乎意料的簡單，右擊您希望恢復的群組原則對象，從關聯表單中選取"Restore from Backup…"，連續兩次按下"下一步"之後，系統要求您從恢復列表中選項群組原則(在恢復之前，必須對這個群組原則做過制作備份，否則這個列表是空的，同理，如果同一個群組原則制作備份過多次，那麼根據制作備份時間顯示多個恢復版本，圖9說明了這種現象)，如果您已經無法回想起制作備份前原則的設定情況，按下對話視窗中的"View Settings"即可通過HTML檢視到所有設定(其實，這就是GPMC產生的報告)，選定恢復版本後，按下"下一步"*"完成"。Windows 2000用戶請注意，如果您通過Windows 2000的域控制器恢復群組原則，且這個群組原則包括軟體分發功能，那麼當群組原則生效後，分發的軟體可能再次被安裝。因此，建議您通過Windows 2003版的域控制器恢復群組原則對象。

　　最有意思的一項功能恐怕就是"Import Settings…"了。當您對一個群組原則對像執行匯入設定時，GPMC將移除原來的所有設定(因此建議您匯入前先制作備份。我也一直在想，既然是匯入，微軟為什麼不採取將新舊原則合併的方式，而非得移除原有設定不可？也許在正式版本中，微軟會把"合併設定"作為一個選項提供吧)，包括用戶設定與電腦設定，然後將指定的群組原則中所有的設定匯入進來。分析一下，您會發現，匯入列表中顯示的群組原則對像即您曾經所有制作備份過的群組原則，您可能會被這項功能深深地吸引。更令人驚奇的是，雖然設定匯入了，但是，最關鍵的部分--群組原則的安全性設定並沒有改變，也就是說沒有改變群組原則對像原來的套用範圍(對像)，沒有更改的其他設定包括委託(Delegation)、連接(Link)、WMI篩選器，這恰好與上面的"不完全"制作備份相符。

　　您可能會想：如果我的制作備份時間長了，制作備份量多了，相應的管理量也同樣增加了，這不是適得其反了嗎？微軟比我們想在更前面，右擊"Group Policy Objects"，然後選取"Manage Backups…"，系統顯示群組原則備份檔案對話視窗，如圖10所顯示。從對話視窗中可以看到，可以直接對備份檔案進行恢復、移除、檢視設定。如果您對這個制作備份饒有興致，不妨開啟儲存群組原則對像備份檔案的資料夾，您會發現所有文件均是XML格式。

　　總結

　　綜合上面GPMC的概述，GPMC對支持活動目錄中的群組原則對像管理提供了全新的機制，它對群組原則對象的制作備份、恢復、匯入、管理等方面的功能遠遠超出了Windows操作系統所提供的功能。當然並不僅限於此，GPMC更是一個解決方案，一種手段。關於HTML的報告，使每個群組原則的訊息一覽無遺，報告在GPMC中扮演著重要角色。很容易看出，GPMC是針對Windows Server 2003設計的，雖然您可以把它套用到Windows 2000的域中，但總會接收到各種各樣的"警告"訊息。然而，對熱衷於群組原則的您，無論在哪個平台，GPMC都會使您游刃有餘。同時，我們更殷切地期盼微軟推出一個更完善、更易用的GPMC。

本文節選自《Windows & .NET Magazine國際中文版》
作者/陳流浩

FYI:
http://www.microsoft.com/downloads/thankyou.aspx?familyId=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displayLang=zh-tw