群組原則
深入探討進階群組原則管理
Derek Melber
摘要:
- AGPM 安裝與架構
- 離線編輯 GPO
- 以 AGPM 進行變更管理
- 嚴重損壞修復
最近由 Microsoft 併購的 DesktopStandard 公司曾推出一項可以完全掌控群組原則物件的產品。我認為每一家使用 Active Directory 的企業,都應該執行這個工具 — 進階群組原則管理 (AGPM)。
AGPM 的用途相當廣泛,包括離線編輯群組原則物件 (GPO)、變更管理、更新原則與委派的工作流程等等。本文將探討它的內部運作方式,讓您深入瞭解這個令人耳目一新的超值產品。
首先讓我做一下背景介紹。AGPM 最初名叫 GPOVault,Microsoft 在併購 DesktopStandard 之後,將它改名為 AGPM,並且將它合併到 Microsoft® Desktop Optimization Pack (MDOP)。您目前只能透過 Microsoft 軟體保證所涵蓋的 Windows Vista® 桌上型授權取得 MDOP。
就我使用這些隨附工具的經驗來看,我認為 MDOP 絕對是近來 Microsoft 最令人驚豔的產品了。MDOP 包含五種不同的工具,每一種都令人印象深刻,組合起來就成為絕倫的超值工具組。有關 MDOP 的詳細資訊,請參閱 MDOP 網站:windowsvista.com/optimizeddesktop。
AGPM 安裝與架構
GPM 安裝架構的設計相當輕巧簡便 — 只有一個伺服器元件和一個用戶端 (系統管理) 元件。伺服器元件應該是安裝在該網域的成員伺服器上;它不會改變 Active Directory®、結構描述或其他任何目錄服務。必要的話,AGPM 也可以安裝在網域控制站。
伺服器安裝架構會安裝一項服務,要求使用網域型服務帳戶,AGPM 可以從這裡代表使用者存取現場實際執行的群組原則物件。這個安裝架構也要求有個 AGPM 系統管理員,負責掌控 AGPM 當中所有的設定,例如,委派和初始 GPO 管理。
用戶端則必須安裝在執行 Windows Vista、並且已具備一般系統管理功能的電腦上 (最有可能是在網路和 Active Directory 的系統管理員的桌上型電腦上)。用戶端現在必須將 AGPM 設定指向 AGPM 伺服器,建立與封存的連線。AGPM 用戶端會使用群組原則管理主控台 (GPMC) 介面,以變更控制節點的形態出現,如 [圖 1] 所示。
![[圖 1] AGPM 已完全整合至 GPMC 以提供使用便利性](images/cc137721.fig01.gif)
[圖 1]** AGPM 已完全整合至 GPMC 以提供使用便利性 **(按影像可放大)
AGPM 用戶端所要存取的檔案,是以基本的檔案格式儲存在 AGPM 伺服器上。這是儲存這些檔案最簡單的方法,而這樣也很容易備份整個 AGPM 封存。大部分的 AGPM 功能都使用內建的 GPMC API,因此也可達成完美的整合,以及善用該產品。AGPM 並不會使用資料庫;它把 GPO 儲存在一個資料夾,並且由一份資訊清單負責控制封存中所有 GPO 與上層 GPO 的關聯。這種作法可以確保所有的 GPO 都具備唯一的 GUID,但在將它置於生產環境時,正確的 GUID 會在部署時與 GPO 相關聯。
AGPM 離線編輯
AGPM 最基本的功能,是在生產環境以外的地方離線編輯 GPO。大家都知道,使用預設 GPMC 來編輯 GPO 會產生錯誤的設定,這些錯誤設定會立即推入生產環境,因而很可能導致慘重的後果。
APGM 是藉由「控制」GPO 來處理 GPO 的編輯。受到控制的 GPO (如 [圖 2] 所示),可以在不介入生產環境的情況下離線編輯。
![[圖 2] 受控制 GPO 是存放在 AGPM 封存中,而且可以離線編輯](images/cc137721.fig02.gif)
[圖 2]** 受控制 GPO 是存放在 AGPM 封存中,而且可以離線編輯 **(按影像可放大)
控制 GPO 其實很簡單。未受控制的 GPO (如 [圖 3] 所示),會列出所有尚未與 AGPM 封存相關聯的 GPO。當您在其中一個 GPO 按一下滑鼠右鍵之後,就會出現一個當中有包含 [控制] 的功能表。您可以選取 [控制] 功能表選項,將 GPO 從實際執行位置 (系統磁碟區或 SYSVOL、網域控制站上的共用區) 複製到 AGPM 封存。您可以同時控制多個 GPO;只要按住 Shift 鍵或 Control 鍵,再選取 GPO,就會顯示您希望控制的 GPO 清單,接著再按一下滑鼠右鍵,就可以存取 [控制] 功能表選項了。您還是用群組原則物件編輯器 (GPOE) 來編輯控制的 GPO,我們只是換一種方式,把 AGPM 完全整合到 GPMC。
![[圖 3] 您可選取 [控制] 功能表選項將未控制的 GPO 放在封存中](images/cc137721.fig03.gif)
[圖 3]** 您可選取 [控制] 功能表選項將未控制的 GPO 放在封存中 **(按影像可放大)
AGPM 系統管理委派
接下來讓我們回頭看看 AGPM 處理委派的方式,首先我們要檢查如何使用 GPMC 委派 GPO 系統管理。在 GPMC 中,您可以授與使用者五項不同的委派工作:建立 GPO、連結 GPO、編輯 GPO、管理 GPO,以及讀取 GPO。
這些委派都是在 GPMC 介面當中完成。它們全由與 GPMC 中不同節點相關聯之 [委派] 索引標籤所列的使用者和群組所控制。我們所關心的是那些容許建立新 GPO,以及編輯和管理現有 GPO 的委派。
在 GPMC 建立 GPO,是由與群組原則物件節點相關聯的 [委派] 索引標籤負責,如 [圖 4] 所示。AGPM 安裝之後,您就可以從清單中移除所有有權建立 GPO 的使用者和群組,而不必從 [委派] 索引標籤移除系統、電腦或電腦群組。建立 GPO 的工作現在是由控制 AGPM 服務的服務帳戶負責處理。這個帳戶會獲得委派的權限,代表所有從 AGPM 內獲有「建立 GPO」和「部署」委派權限的使用者和群組來建立 GPO。
![[圖 4] GPO 的建立是由 GPMC 中的 [群組原則物件] 節點上的 [委派] 索引標籤上的帳戶清單所控制](images/cc137721.fig04.gif)
[圖 4]** GPO 的建立是由 GPMC 中的 [群組原則物件] 節點上的 [委派] 索引標籤上的帳戶清單所控制 **(按影像可放大)
這項建立 GPO 的新功能可以區分職責,並保護生產網路。在理想的情況下,GPO 會先經過建立、設定和驗證之後,才從 AGPM 環境部署到生產環境,這樣一來,就比較不會產生在不用 AGPM 時所碰到的錯誤設定。
與編輯或管理 GPO 相關聯的委派,也是同樣的情況。在 GPMC 中,這些委派是在與每一個 GPO 相關聯的 [委派] 索引標籤上設定,如 [圖 5] 所示。
![[圖 5] 編輯和管理 GPO 是與每個 GPO 個別產生關聯](images/cc137721.fig05.gif)
[圖 5]** 編輯和管理 GPO 是與每個 GPO 個別產生關聯 **(按影像可放大)
但是安裝 AGPM 之後,就必須從群組原則物件節點下面所列的每一個 GPO 移除這些委派,以限制所有的系統管理員編輯 AGPM 外面的 GPO。這基本上是把 GPO 的所有系統管理轉交 AGPM,以便執行離線編輯、變更管理以及嚴重損壞修復等工作。
您必須透過手動方式移除在 AGPM 外面編輯 GPO 的使用者和群組。AGPM 的安裝和設定,並不會移除在生產環境中編輯 GPO 的任何使用者或群組。由於控制 AGPM 服務的服務帳戶,將代表使用者從 AGPM 修改生產 GPO,因此不必在每一個 GPO 的 [委派] 索引標籤列出任何使用者或群組 (不過您不應該從這些 [委派] 索引標籤移除電腦和電腦群組)。
當所有在 GPMC 編輯 GPO 的委派全部移除之後,就會拒絕所有系統管理員從 GPMC 編輯 GPO 的能力,如 [圖 6] 所示。
![[圖 6] 系統管理員一旦遭到此動作拒絕委派,便無法從 GPMC 編輯 GPO。](images/cc137721.fig06.gif)
[圖 6]** 系統管理員一旦遭到此動作拒絕委派,便無法從 GPMC 編輯 GPO。 **(按影像可放大)
為了決定最終設定,您必須把所有需要編輯 GPO 的系統管理員,全部加入 AGPM 內適當的存取控制清單 (ACL) 當中。如果您希望系統管理員能夠編輯封存中所有的 GPO,請將他的使用者帳戶加入到有權在 AGPM 網域層級編輯的群組中,如 [圖 7] 所示。如果您只容許系統管理員編輯 AGPM 封存中的少數幾個 GPO,請在每一個 GPO 當中進行這項設定 (見 [圖 8])。
![[圖 7] [網域委派] 索引標籤容許設定在封存中編輯所有 GPO](images/cc137721.fig07.gif)
[圖 7]** [網域委派] 索引標籤容許設定在封存中編輯所有 GPO **(按影像可放大)
![[圖 8] 編輯個別的 GPO 需要在 GPO 的 ACL 上設定](images/cc137721.fig08.gif)
[圖 8]** 編輯個別的 GPO 需要在 GPO 的 ACL 上設定 **(按影像可放大)
AGPM GPO 變更管理
AGPM 有一項超棒的優點是,它可以追蹤對封存中的 GPO 所做的所有變更。由於這是自動化的程序,因此您不必安裝、設定或管理它。當透過 AGPM 用戶端介面來管理 GPO 時,同時也會在背景追蹤所有的變更。
這個程序大大強化了預設 GPMC 處理 GPO 管理的方式,因為預設的 GPMC 並沒有自動化或甚至是內建功能可以追蹤 GPO 的變更。而這是多年來最為群組原則系統管理員垢病的一點,現在總算獲得圓滿解決了。
AGPM 變更管理功能會追蹤所有可能對 GPO 所做的重要修改。除了 GPO 的變更之外,變更管理系統也會協助稽核或追蹤整體的系統管理。每次進行的 GPO 編輯和變更,變更管理系統都會監視、追蹤和記錄下列各項:修改 GPO 的日期和時間、負責變更的使用者、原始 GPO 設定,以及對 GPO 設定所做的修改。
追蹤所有變更是連續不間斷的動作,因此您必須知道是由哪些動作觸發自動化追蹤。您可以在 AGPM 用戶端介面中,用滑鼠右鍵按一下 [控制] 索引標籤下的 GPO,然後選取 [簽出] 功能表選項,如 [圖 9] 所示。
![[圖 9] 簽出 GPO 將觸發自動化程序來追蹤變更](images/cc137721.fig09.gif)
[圖 9]** 簽出 GPO 將觸發自動化程序來追蹤變更 **(按影像可放大)
您必須按照這個程序來編輯 GPO,這一點我將在下一節討論。即使 GPO 被簽出之後在沒有做任何變更的情況下很快又被簽回,這個動作還是會被封存起來。由於 GPO 是企業不可或缺的一部分,因此這個工具甚至還會追蹤發生變更的可能性。
簽出程序是在 AGPM 內強制執行,因為您借助某種機制,來追蹤進行 GPO 變更的系統管理員。一個 GPO 一次只能由一名系統管理員簽出。如果系統管理員簽出 GPO 之後,卻無法將它簽回,AGPM 系統管理員也可以利用內建機制將它簽回。
AGPM GPO 編輯
只要安裝 AGPM 用戶端,您就可以存取 AGPM 封存。一旦在 AGPM 工具內授與編輯或完全控制的委派,您就可以編輯儲存的 GPO。GPO 被簽出之後,您可以在 GPO 按一下滑鼠右鍵,選取 [編輯] 功能表選項編輯它 (注意:如果您只能編輯 AGPM 封存中部分的 GPO,可能是因為您在封存中只獲有部分而不是所有 GPO 的委派能力)。
Microsoft 在併購 DesktopStandard 之後,又併購了 PolicyMaker,並且將後者改名為群組原則喜好設定。這組群組原則功能被合併到 Windows Server® 2008 所附隨的 GPMC 中。群組原則喜好設定容許系統管理員設定平常無法透過群組原則設定的應用程式或 Windows 元件,並且根據一組豐富的目標法則,將它套用到特定的使用者或電腦上。群組原則喜好設定已經與 Windows Server 2008 中的 GPMC 和 AGPM 完全整合。
AGPM GPO 部署
AGPM 是基於效率與工作流程的考量而設計。GPO 現在透過使用 AGPM ,管理起來更加穩定,也更容易掌控,因此現在可以讓系統管理員只編輯 GPO,而不能將它部署到生產環境。在 AGPM 當中,這是透過介面、對話方塊以及工作機制順利得到控制。舉個例說,如果只具備編輯權限的系統管理員想要部署 GPO,系統便會封鎖它。接著系統管理員會看到一個對話方塊,讓他與具有部署委派權限的系統管理員溝通。這項工作流程功能會同時傳送一封電子郵件給收件人,還有副本收件人,並且將 GPO 置於唯一狀態。這個唯一狀態位於 AGPM 介面的 [擱置中] 索引標籤下面。GPO 在這裡被標示為 [擱置中部署],讓系統管理員得以快速檢視其上有執行動作的每一個 GPO 的狀態。
具有部署委派權限的 AGPM 系統管理員只要用滑鼠右鍵按一下 GPO,選取 [核准] 功能表選項,就可以部署擱置中的 GPO 。如果 GPO 需要部署,並且列在 [受控制] 索引標籤當中 (而不是列在 [擱置中] 索引標籤當中),同一名系統管理員只需要用滑鼠右鍵按一下這個 GPO,選取 [部署] 就可以了。委派權限既已授與,GPO 便會馬上部署到生產環境。
AGPM GPO 設定報告與比較
GPMC 介面有一個功能強大的 [設定] 對話方塊,是透過一個同名索引標籤加以存取。這個 [設定] 對話方塊可以完整呈現 GPO 中所有的設定,幫助您在將近 3000 個左右的群組原則設定當中,找出已經設定好的 GPO。
由於 AGPM 可以封存已修改的 GPO,因此 GPMC 中的 [設定] 索引標籤不會讓您看到已編輯的 GPO 中的設定。AGPM 介面會提供另一個解決方案,以及其他更多的方法。
如果您要查看任何一個 GPO 中的設定,最好先檢視所有變更的歷史清單。若要取得這份清單,只要按兩下 AGPM 中 [受控制] 索引標籤內的任何一個 GPO 即可。您可以在這個介面用滑鼠右鍵按一下任何一個 GPO 版本,選取 [設定報告],接著就會建立一份報告,列出該版 GPO 中所有的設定。這個報告檔是採用方便的 HTML 格式,不過您也可以用 XML 格式建立它。
雖然這個報告檔很有用,不過如果能夠比較同一個 GPO 的兩種版本,那就更方便了。這個功能可讓您看到這一版到另一版的變動,或者比較同一個 GPO 的兩個完全不同版本 (如果您的 GPO 正擱置部署,也可以使用這項功能,因為它可讓您看到擱置中 GPO 以及生產 GPO 之間的差異)。如果要查看這份報告,可反白顯示歷程記錄檢視中的兩個不同 GPO,然後用滑鼠右鍵按一下其中一個。
差異報告中的彩色編碼相當有用,尤其當您在部署擱置中 GPO 之前,希望先確認它有哪些變更時更是方便。紅色反白顯示的設定,代表已經從生產 GPO 刪除、無法再用於擱置中 GPO 的設定。藍色設定代表變更的設定,綠色設定代表擱置中 GPO (而不是生產 GPO) 中新的變更。
這項 AGPM 功能不知可以幫您省下多少手動比較 GPO 設定的時間,此外,也可以完美記錄一段時間的 GPO — 每一個版本都可以報告並且列印。
AGPM GPO 嚴重損壞修復
即使只對 GPO 做一項改變,都有可能在網路上的一或多部電腦引起軒然大波。但是有了預設 GPMC,就可以更正這種錯誤設定。不過,您必須採用適當的手動步驟,分別備份變更前與變更後的生產 GPO,如果沒有備份,要從嚴重損壞修復就沒那麼容易了。
AGPM 對於這種情況倒是能夠應付自如。因為在整個 GPO 的歷程記錄當中,所有的 GPO 都有完整備份,因此您可以很方便的開啟 GPO 的歷程記錄,選取您要重新部署的 GPO 版本。
有了 AGPM,群組原則的管理就變得順暢無阻。多年來,系統管理員一直希望具備離線掌控和管理 GPO 的能力,而 AGPM 果然不負眾望,簡潔了當的提供這項功能。另外,AGPM 也提供了一項非常強大的變更管理解決方案,不僅能夠追蹤變更 GPO 的主要區域,還能夠讓您輕鬆的比較 GPO 以及進行嚴重損壞修復。您可以利用內建於 AGPM 的委派模型,將所有的系統管理員轉交 AGPM,對 GPO 進行所有的編輯作業,這項功能會自動備份 GPO 變更,並且移除所有生產 GPO 的嚴重損壞事件。這項服務所提供的功能實在不勝枚舉,無法在此一一討論,不過您可以在 AGMP 手冊中,找到許多有關範本、節點連結復原、SMTP 設定及其他資訊。
Derek Melber 是一名獨立的顧問、培訓講師暨作者。他負責教授和宣導 Microsoft 技術,主重 Active Directory、群組原則、安全性和桌面管理。Derek 定期撰寫線上和書面出版品,技術方面的著述多達 10 本以上,其中包括《Microsoft Windows Group Policy Guide》(Microsoft Press,2005 年)。您可以透過電子郵件與他聯絡:derekm@braincore.net。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.