Compartilhar via

  • Artigo

Windows 7

O que ’s novo na diretiva de grupo para o Windows 7 e o Windows Server 2008 R2

Jeremy Moskowitz

 

Visão geral:

  • Filtros RSAT atualizados
  • GPO automatizado lidar com o Windows PowerShell
  • Interface tabless para ADM e ADMX
  • GPOs de Starter interna e novas configurações de diretiva

Conteúdo

Recursos de Core de diretiva de grupo atualizados
Além dos recursos principais
Aprender

Recebo email quase todos os dias de pessoas me, perguntar "O que está programado para diretiva de grupo na nova versão do Windows?" Essa pergunta, pode se sentir um eagerness saber o que os novos recursos e alterações serão significam para profissionais de TI.

Eu sei que alteração às vezes pode ser desgastante, mas pode dizer com segurança a notícia é boa todos os: Alguns poderosas, organizadas alterações de diretiva de grupo estão incluídas no Windows Server 2008 R2 e Windows 7, mas nada muito radical ou diferentes. Profissionais de TI beneficiarão de algumas atualizações, alguns recursos novos e alguns ajustes de interface do usuário, por exemplo, mas sem dores de cabeça associados steep curvas de aprendizado.

As alterações de diretiva de grupo podem ser divididas em duas amplas categorias. Primeiro são os itens a diretiva de grupo da equipe entrega: principal funcionalidade, inclusive o mecanismo de diretiva de grupo e recursos novos e atualizados na diretiva de grupo edição sistema (Group Policy Management Console, ou GPMC e Editor de gerenciamento de diretiva de grupo ou GPME). Segundo itens que fornecem outras equipes a gerenciar seus componentes estão usando diretiva de grupo: atualizado as configurações de diretiva e controles de recurso dentro GPME que todos nós usar para gerenciar as funções novas e atualizadas em nossas máquinas de destino. Neste artigo, falarei ambos os tipos de alterações.

Recursos de Core de diretiva de grupo atualizados

Para Windows Server 2008 R2 e Windows 7, a equipe de diretiva de grupo chegou por meio de com um aperitivos de recursos e atualizações. Eis a divisão nonscientific o que é entregue na atualização mais recente do Windows: uma correção grande, uma grande atualização, um novo recurso grande, um usuário grande alteração de interface e uma adição a-caixa grande.

A correção grande: Filtros atualizados

Os filtros atualizados no GPMC atualizado (disponível para Windows 7 e Windows Server 2008 R2) são alterações bem-vindas. As correções de squash um bug que já existe desde o Windows Vista é fornecido. do Figura 1, você pode ver um dos meus recursos favoritos está disponível desde o GPMC atualizado, contido dentro as RSAT de servidor remoto administração Toolkit (): a caixa de diálogo Opções de filtro.

fig1.gif

Figura 1 caixa de diálogo de opções de filtragem de. (Clique na imagem para uma visão ampliada)

Trabalho do RSAT é simples: Para permitir que você usar uma Vista (ou posterior) da máquina para controlar vários aspectos da rede do computador que você usar e para fornecer as ferramentas necessárias para fazer isso, incluindo o GPMC atualizado. O GPMC atualizado tem alguns recursos claro;uma delas é a capacidade de usar filtros para definir os critérios que você deseja usar para localizar apenas as configurações de diretiva de grupo modelos administrativos que você deseja. O problema era que quando Vista e seu RSAT correspondente veio, os filtros não funcionar, um bug plagued muitos administradores.

Deixe-me explicar o bug um pouco mais detalhadamente. A Figura 1 mostra a seção ativar filtros de requisitos da caixa de diálogo filtros. O objetivo desta seção é simples: Para ajudar você a descobrir quais configurações de diretiva de modelos administrativos são válidas para sistemas operacionais específicos.

Um modo em ativar filtros requisitos é "Configurações incluir que correspondam a todas as plataformas selecionadas." A outra é "incluir configurações que correspondam a qualquer das plataformas selecionadas. À primeira vista, os dois modos parecem muito semelhantes. Mas a diferença entre "all"e "qualquer"é significativo. Aqui está o que cada modo deve para fazer depois de selecioná-lo e especificar alguns critérios:

  • "Incluir configurações que coincidir com todas as plataformas selecionadas"deve mostrar configurações de diretiva que são válidas somente nos tipos de máquinas especificados. Portanto, se você selecionar Vista e Windows XP Service Pack (SP) 2, o resultado deve ser configurações de diretiva que funcionam somente no Windows XP SP2 e no Vista.
  • "Incluir configurações que correspondam a qualquer das plataformas selecionadas"deve mostrar configurações que se aplicam a qualquer um dos selecionados sistemas operacionais. Portanto, se você selecionar o Windows XP SP2 e Vista, as configurações de todos os que se aplicam ao Windows XP SP2 e as configurações todos os que se aplicam ao Vista devem ser exibidas.

Esses filtros são tão úteis quanto eles som. O único problema é que com a versão Vista e Windows Server 2008 do RSAT, nenhuma delas funcionou corretamente. Se você selecionou "Incluir configurações que coincidir com todas as plataformas selecionadas"o resultado era muitas vezes uma fração mera de configurações válidas foram realmente aplicáveis a computadores de destino. E se você marcada "incluem configurações que correspondam a nenhuma das plataformas selecionadas"sem resultados já foram exibidos.

Acordo com a meus amigos da equipe de diretiva de grupo, essa correção deve ser parte da versão final que pode ser baixado do RSAT para o Windows 7 e RSAT o em pronta para o Windows Server 2008 R2.

A atualização do grande: Implantação de scripts do Windows PowerShell em máquinas de destino

A menos que você está morando em uma pedra, você sabe que o Windows PowerShell está ganhando popularidade com os administradores de sistema. Mas um problema bloqueou alguns administradores de adoção de PowerShell. Não tenha havido uma maneira simples de-los para aproveitar sua novas muscle PowerShell sobre uma área em que eles precisam maior controle: scripts de usuário e computador.

A RSAT no Windows 7 e no Windows Server 2008 R2 permite que administradores especificar scripts do PowerShell como logon ou scripts de logoff (para o usuário) e inicialização ou scripts de desligamento (para o computador). Figura 2 mostra a caixa de diálogo Propriedades de inicialização no GPME, em que o administrador pode especificar a ordem na quais os scripts de PowerShell executados e também o tipo de scripts deve ser executado primeiro: Scripts do PowerShell ou os scripts não-PowerShell (que não são mostrados, mas estão localizados na guia scripts na caixa de diálogo Propriedades de inicialização).

fig2.gif

Figura 2 o guia de scripts do Windows PowerShell de na caixa de diálogo Propriedades de inicialização. (Clique na imagem para uma visão ampliada)

Para usar este recurso, você precisa criar ou editar seu objetos de diretiva de grupo (GPOs) de um Windows 7 ou o Windows Server 2008 R2 máquina com as ferramentas RSAT correspondentes (que contêm um GPMC atualizado para oferecer suporte a essa nova funcionalidade). Além disso, o computador de destino deve ser Windows 7 ou Windows Server 2008 R2 para scripts do PowerShell para executar. Computadores mais antigos (mesmo com o PowerShell carregado) não são alvos válidos e não executam energia ­ scripts de logon, logoff, inicialização ou desligamento do shell. Algumas soluções de terceiros que podem implantar scripts do PowerShell em máquinas não-Windows 7 estarão disponíveis se você precisar desse recurso.

O recurso de grande: Manipulação de configurações do registro com Cmdlets do PowerShell

Muitos administradores de sistema gostam de automatizar seu mundo. Este uma coisa boa. Na verdade, você pode pensar aproveitando diretiva de grupo em seu ambiente, como a automação em massa de suas máquinas cliente (para que você não precise executar ao redor e botões de ação). Para fazer a administração para o próximo nível, convém para automatizar a manipulação de seus próprios GPOs.

Alguns administradores têm aproveitou o existente diretiva de grupo GPMC exemplo scripts para automatizar tarefas de diretiva de grupo de chaves.

7 Do Windows e Windows Server 2008 R2 permitem que você usar o PowerShell para executar muitas dessas funções. O que era possível nos scripts de exemplo do GPMC agora é possível usar o PowerShell: Criando, vincular, renomear, backup, copiando e excluindo GPOs, bem como muito mais.

A capacidade para configurar o conteúdo de um GPO usando um método programável, no entanto, é totalmente nova e agora está disponível apenas quando você usa PowerShell como seu método de script. Antes de você receber muito empolgados, Devo mencionar que nem todas as 39 áreas da diretiva de grupo são programáveis. Na verdade, apenas duas são: A diretiva de registro e registro preferência. Mesmo assim, é um tremendo início.

do Figura 3, pode ver como Estou usando o internos avançados ­ shell no Windows 7 para instalar primeiro os cmdlets específicos de diretiva de grupo usando o cmdlet importação módulo grouppolicy e criar um novo GPO com o cmdlet novo gpo.

fig3.gif

Figura 3 criando um novo GPO usando cmdlets de diretiva de grupo embutido no Windows 7. (Clique na imagem para uma visão ampliada)

Blog da equipe de diretiva de grupo tem uma matriz de itens sobre integração de Windows PowerShell. Você pode exibir todos eles em um piscar de olhos fazendo check-out o Blog da equipe diretiva de grupo.

Grande alteração de interface do usuário: Atualizado ADM e ADMX User Interface

Uma das alterações mais surpreendentes diretiva de grupo está na seção Modelos administrativos do GPME.

Um novo "tabless"interface, mostrada na de Figura 4, coloca todo o conteúdo que precisa para criar novo ou manipulação de configurações de diretiva existentes em uma loja de conveniência de uma página.

fig4.gif

Figura 4 Firewall do Windows: Permitir que a caixa de diálogo exceções de ICMP. (Clique na imagem para uma visão ampliada)

Os administradores agora podem configurar uma configuração de diretiva como não configurado, ativado ou desativado, fazer comentários sobre uma configuração de diretiva, consulte as informações com suporte no, exibir a Ajuda (Explaintext) e manipular qualquer definições configuráveis em Opções.

O objetivo dessa alteração é tornar a experiência de configuração de diretiva mais intuitiva, integrar ajuda e retirar todas as guias para que os administradores não precisam clique mais de um local para outro.

Adição grande in-the-Box: GPOs Starter interno

A capacidade de criar e usar GPOs Starter foi primeiramente disponibilizada na versão Vista do GPMC. A idéia por trás de um GPO Starter é que um administrador pode criar um ponto de partida para outros administradores usar ao criar seus GPOs. A arquitetura básica e a funcionalidade não foi alterado nesta nova atualização, mas uma distinção nova é notável.

Especificamente, quando você usa uma máquina Windows 7 ou o Windows Server 2008 R2 para criar o recipiente do GPO Starter, o recipiente é preenchido automaticamente com alguns GPOs Starter interno. Esses GPOs Starter siga práticas recomendadas da Microsoft e mapear para o Windows Server 2008 Security Guide. Por exemplo, um desses GPOs Starter interno é para uma média Enterprise Client (EC) e outro, com uma abordagem mais bloqueada, é chamado especializada segurança limitada funcionalidade (SSLF).

7 Do Windows e Windows Server 2008 R2 incluem Starter GPOs para o usuário e computador. Esses GPOs de Starter a Microsoft criou também estão disponíveis (no formulário um pouco mais antigo) para Vista e Windows XP SP2.

Além dos recursos principais

Agora vamos falar sobre algumas das áreas de controle adicional que você obtém quando você estiver trabalhando com Windows 7 ou o Windows Server 2008 R2 como um cliente. E quando digo "cliente"aqui, Quero dizer que "o computador receber diretivas de diretiva de grupo"(mesmo se ele for um computador Windows Server 2008 R2).

Uma ótima adição é cerca de 300 novas configurações de diretiva, dos quais 90 ou isso servem apenas para o Internet Explorer 8 (que está disponível para máquinas de vista e o Windows XP). Outras alterações incluem gerenciamento de configurações novas e atualizadas para BitLocker, BitLocker Ir, uma barra de tarefas atualizada, serviços área de trabalho remota (que usado para ser denominada Serviços de terminal), BranchCache, gerenciamento remoto do Windows (WinRM) e heaps de outros controles. Eu não ser capaz de explorar todos os novos controles neste artigo, mas eu lhe dará um backup pessoal e fechar examinar alguns dos Meus Favoritos.

Atualizado preferências de diretiva de grupo para opções de energia

Um dos motivos principais IT geeks outono de amor com diretiva de grupo é a quantidade de controle permite que eles exercer nas áreas de trabalho. Quando o foco principal da diretiva de grupo é configurações de entrega, entretanto, esses aficionados IT controle freak podem às vezes, ter dificuldade explicando para gerentes por que a diretiva de grupo tem valor bruto "dólares e sentido. Em uma área da diretiva de grupo, no entanto, real economias de custo pode ser Prometida (se utilizado corretamente): configurações de energia.

Definindo corretamente as configurações de energia de desktops e laptops, os administradores de TI podem geralmente salvar suas empresas milhares de dólares ao ano. A diretiva de grupo torna fácil como configurar.

Figura 5 mostra as opções de energia disponíveis no Windows 7 (e Windows Server 2008 R2) GPMC.

fig5.gif

Figura 5 novo plano de energia (Windows Vista e posterior) caixa de diálogo Propriedades. (Clique na imagem para uma visão ampliada)

Observe atentamente o título da caixa de diálogo no do Figura 5. Você observará que ela diz novo plano de energia (Vista e posterior) propriedades. Isto é que, essas configurações são válidas para Vista e Windows 7. Eis a limitação: Computadores cliente Windows 7 e Windows Server 2008 R2 serão saber o que fazer com essas diretivas imediatamente;Vista será não. Vista simplesmente irá ignorar as diretivas (mesmo que o recurso é rotulado claramente como o Windows Vista e posterior). Isso ocorre porque Vista precisa de uma atualização em breve-para-ser-liberado às extensões de cliente de suas preferências de diretiva grupo subjacente. Depois de disponíveis e aplicado, Vista máquinas abraçar a essas diretivas recém-disponíveis.

Atualizado preferências de diretiva de grupo para tarefas agendadas

Semelhante ao atualizado é plano de energia configurações mencionadas funcionalidade adicional de agendamento de tarefas no GPMC no Windows 7 e Windows Server 2008 R2. Figura 6 mostra as novas opções para agendar tarefas: Tarefa agendada (Windows Vista e posterior) e tarefa imediata (Windows Vista e posterior).

fig6.gif

Figura 6 GPMC novo agendamento de tarefas Opções no Windows 7. (Clique na imagem para uma visão ampliada)

Como as configurações do plano de energia, computadores Windows 7 estão prontas para usar essas configurações. Vista máquinas precisará esperar por uma atualização que permitirá a eles utilizar essas configurações.

Diretivas de restrição de software atualizado: AppLocker

O nome em escopo AppLocker é diretivas de restrição de software versão 2 ou SRPv2. A interface de diretiva de grupo (e na documentação do), no entanto, você verá esse novo recurso chamado simplesmente AppLocker.

Resumidamente, o objetivo de AppLocker é ajudar organizações de TI modernas determinam qual software deve e não deve executar em seus computadores Windows 7 (e posteriores). A diretivas de restrição de software (SRP) original fez um trabalho decente, mas AppLocker leva as restrições de software para o próximo nível. AppLocker uma nova chave capacidade é permitir ou restringir o software com base no Editor do software. Para aproveitar esse novo recurso, o software que você deseja permitir ou restringir deve ser assinado digitalmente (para obter mais informações sobre AppLocker, consulte Greg ShieldsGeek da coluna Trades All, "AppLocker: Do é primeira panacéia?").

Em seguida, usando a caixa de diálogo Criar executável regras, você define regras para vários editores. Por exemplo, você pode criar uma regra especificando que há problemas para executar o Adobe Reader desde que seja a versão 9.0 ou posterior. Você pode mover até o controle deslizante vertical para especificar que todas as versões, nomes de arquivo, e/ou produtos ou editores podem ser válidos em sistemas de destino. Ou você pode ser específica com a caixa de seleção Usar valores personalizados.

Aprender

Como você pode ver, o Windows 7 e Windows Server 2008 R2 levam muita aprimoramentos à diretiva de grupo. Das 300 configurações de diretiva nova, para os dois atualizados preferências de diretiva de grupo, para a integração do Windows PowerShell — há muito a amar. Para saber mais sobre diretiva de grupo no Windows 7 e Windows Server 2008 R2, você pode verificar saída o blog da equipe de diretiva de grupo, bem como Meus recursos de blog e treinamento em do GPanswers.com.

Jeremy Moskowitz é um MVP de diretiva de grupo. Ele é executado de GPanswers.com de, um fórum comunitário para a diretiva de grupo e treina centenas de administradores de cada ano em suas classes de mestre de diretiva de grupo. Jeremy também é fundador da Software PolicyPak (do PolicyPak.com), que torna um complemento inovador para aplicativos de terceiros controle usando a diretiva de grupo.