共用方式為


Windows 7

什麼 ’s 新 Windows 7,Windows Server 2008 R2 的群組原則中

Jeremy Moskowitz

 

綜覽:

  • 自動處理與 Windows PowerShell 的 GPO
  • ADM 和 ADMX tabless 介面
  • 內建的入門 GPO] 和 [新的原則設定

內容

更新的群組原則的核心功能
超過核心功能
了解更多資訊

我收到電子郵件幾乎每天人詢問,"什麼下來在新的 Windows 版本中的群組原則? 」在此的問題,我可以感覺知道什麼新功能和變更表示的 IT 專業人員的 eagerness。

我知道變更有時可以 stressful,但是我可以充滿信心地說是良好的所有新聞:有些功能強大且很棒的群組原則變更都包含在 Windows 7 和 Windows Server 2008 R2,但不太字根或不同。 IT 專業人員會獲益某些更新一些新功能,某些使用者介面更多內容,就說,但是沒有相關聯陡峭的學習曲線,頭痛。

群組原則的變更可以分成兩大類。 首先是 「 群組原則項目小組傳送:包括 [編輯系統 (群組 [原則] 管理主控台或 GPMC,和群組原則管理編輯器 」 或 GPME) 「 群組原則 」 中的 [群組原則引擎和新增和更新的功能的核心功能。 第二個其他小組提供管理其元件的項目使用群組原則:更新原則設定和功能控制項 GPME,我們都用來管理我們的目標電腦上新增及更新函式。 此的文件中我會討論這兩種類型的變更。

更新的群組原則的核心功能

Windows 7 和 Windows Server 2008 R2,群組原則團隊有隨附透過一個 smorgasbord 的功能及更新。 以下是 Windows 的什麼在最新更新傳遞 nonscientific 明細:一個大的修正程式、 一個大的更新、 一個大的新功能、 一個大的使用者介面變更及一個大的在立即加入。

大的修正:更新篩選器

更新篩選器更新 (適用於 Windows 7 和 Windows Server 2008 R2) 的 GPMC 中是歡迎的變更。 修正程式會抑制一個錯誤,因為 Windows Vista 的出貨的已。 的圖 1,您可以看到其中一項是包含在 [遠端伺服器管理工具組 (RSAT) 「 更新 GPMC 後被可用我最愛功能:[篩選選項] 對話方塊中。

fig1.gif

圖 1 篩選選項] 對話方塊。(按一下影像以放大圖片)

RSAT 的工作很簡單:讓您使用一個 Vista (或更新) 電腦控制您的網路從您所使用的電腦的各個面向,並提供您需要執行這項操作,工具包括更新的 GPMC。 此更新的 GPMC 有一些很棒的功能 ;其中一個圖形是能夠使用篩選來定義您要用來尋找只是您想要系統管理範本的群組原則設定的準則。 而問題是當 Vista 和其對應的 RSAT 出,篩選器無法運作,plagued 許多系統管理員的錯誤。

讓我將說明一些詳細錯誤。 圖 1 顯示 [篩選器] 對話方塊的 [啟用需求篩選器] 區段。 這一節的目標是簡單的:幫助您找出的系統管理範本] 原則設定是適用於特定的作業系統。

一種模式中啟用需求篩選器是包含設定 」 符合所有選取的平台。另一個是"包含設定符合任何選取的平台。 第一眼這兩種模式看起來非常類似。 但之間差異"all"和 「 任何 」是相當。 以下是應每個模式是屬於何種要一旦您選取它,並指定某些準則:

  • 「 包含符合所有選取的平台的設定值"應該會顯示只在指定的機器的型別上有效的原則設定。 因此如果選取 Windows XP 服務套件 (SP) 2,Vista 結果應該是在 Windows XP SP2,Vista 運作的原則設定。
  • 「 包含符合任何一個選取的平台的設定值"應該會顯示套用至任何選取的作業系統設定。 因此如果選取 Vista 和 Windows XP SP2 的所有設定套用至 Windows XP SP2 和適用於 Vista 的所有設定應該顯示。

這些篩選條件都為它們為有用聲音。 只有問題會是,與 Vista 和 Windows Server 2008 RSAT 都不正確地處理它們的版本。 如果您選取包含符合所有選取的平台,設定結果是通常只分數的實際適用於目標電腦的有效設定值。 而且如果您選取包含符合任何選取的平台,設定]沒有結果是會顯示。

根據要在群組原則團隊朋友,此修正程式應該是最後可下載版本的 Windows 7 RSAT 和在立即 RSAT 的 Windows Server 2008 R2 的一部份。

大的更新:部署到目標電腦上的 Windows PowerShell 指令碼

除非您住在一個岩石,您知道 Windows PowerShell 正獲得與系統管理員的下載排名。 但是一個問題已封鎖從採用 PowerShell 有些系統管理員。 尚未有簡單的方法,它們需要大部份的控制項的區域上運用其新 PowerShell 跑車讓:使用者和電腦的指令碼。

在 Windows 7 和 Windows Server 2008 R2 [RSAT 允許系統管理員指定 PowerShell 指令碼為登入或登出指令碼 (使用者) 及啟動或關機指令碼 (電腦)。 圖 2 會顯示 [啟動內容] 對話方塊中 GPME,在系統管理員可以指定的順序執行的 PowerShell 指令碼,並也何種類型的指令碼應該執行第一個:PowerShell 指令碼或非 PowerShell 指令碼 (但並不會顯示位於在 [啟動內容] 對話方塊中的 [指令碼] 索引標籤中)。

fig2.gif

[圖 2 啟動內容] 對話方中 Windows PowerShell 指令碼索引標籤。(按一下影像以放大圖片)

若要使用此功能,您要建立或編輯您的群組原則物件 (GPO) 從 Windows 7 或 Windows Server 2008 R2 電腦使用對應的 RSAT 工具 (其包含支援這項新功能的更新的 GPMC)。 在就另外在目標電腦必須是 Windows 7] 或 [Windows Server 2008 R2 PowerShell 指令碼] 執行。 較舊的電腦 (即使有 PowerShell 載入) 不有效的目標,而且不會執行指令電源 ­ Shell 登入、 登出、 啟動或關機碼。 一些協力廠商的解決方案可以部署至非-Windows 7 機器 PowerShell 指令碼可如果您需要這項功能。

大的功能:管理與 PowerShell 指令程式的登錄設定

許多系統管理員想要自動化的世界。 此一件好事。 確實,您可以想像為用戶端電腦的大型的自動化,在您的環境中運用群組原則 (所以您不需要執行周圍] 和 [發送] 按鈕)。 您的系統管理下一層級才能,您可以自動化您 GPO 本身的處理。

有些系統管理員必須運用現有群組原則 GPMC 範例指令碼 索引鍵的群組原則工作自動化。

Windows 7 和 Windows Server 2008 R2 可讓您使用 PowerShell 執行許多這些函式。 為何在 GPMC 的範例指令碼中的是,現在可能使用 PowerShell:建立、 連結、 重新命名、 備份、 複製及刪除 GPO,以及更多。

能夠設定的 GPO,使用可編寫指令碼的方法內容但是,才全新且現在可用您 PowerShell 作為您指令碼的方法。 就太 excited 之前先我應該提及的群組原則的不是所有 39 區域的可編寫指令碼。 確實,只有兩個是:登錄原則] 及 [登錄喜好設定]。 即使就因此很了不起的開始。

圖 3,可以查看如何我使用內建電源 ­ Shell Windows 7 中第一個安裝群組原則特定的 Cmdlet 使用 Cmdlet 的匯入模組 grouppolicy,然後以新 gpo 指令程式中建立一個新的 GPO。

fig3.gif

圖 3 建立新的 GPO 使用內建於 Windows 7 的群組原則指令程式。(按一下影像以放大圖片)

群組原則團隊部落格有關於 Windows PowerShell 整合項目的陣列。 您可以檢視所有的一目瞭簽出上的 [群組原則團隊部落格]。

大的使用者介面變更:更新的 ADM 並 ADMX 使用者介面

其中一個最顯著的 「 群組原則 」 變更是 [GPME [系統管理範本] 部分中。

新 tabless"介面,圖 4 所示將您需要建立新或操作現有的原則設定一個停止家商店網頁中的所有內容。

fig4.gif

圖 4 防火牆:允許 ICMP 例外規則] 對話方塊。 (按一下影像以放大圖片)

為尚未設定]、 [啟用] 或 [停用,請註解原則設定],查看支援] 的資訊、 檢視說明 (Explaintext),操作任何可設定的設定選項中,系統管理員現在可以設定原則設定。

這項變更的目標是要使原則設定經驗更具直覺性、 整合的說明和撤走的所有索引標籤,因此系統管理員並不需要再按一下 [位置。

大的在-方塊加法:內建的 「 入門 」 GPO

能夠建立及使用入門 GPO 第一次成為 Vista 版本的 「 GPMC 中可用。 入門 GPO 背後的其概念是系統管理員可以建立其他系統管理員建立的 GPO 時要使用的一個起點。 基本的架構和功能尚未變更在此新的更新,但一個新的區別是值得注意。

特別,使用 Windows 7 或 Windows Server 2008 R2 的電腦建立入門 GPO 的容器時容器會與某些內建的入門 GPO 自動填入。 這些入門 GPO 遵循 Microsoft 最佳作法,並對應到 Windows Server 2008 安全性指南 》。 就例如之一,這些內建的入門 GPO 是的平均企業用戶端 (EC) 的而另一個的更多鎖定的方法稱為專用的安全性限制功能 (SSLF)。

Windows 7 和 Windows Server 2008 R2 包括入門 GPO 的使用者和電腦的側邊。 這些的 Microsoft 建立入門 GPO 也有稍微較舊的表單) 中可使用 Windows XP SP2,Vista。

超過核心功能

現在讓我們討論的其他控制項時您正在使用 Windows 7 或 Windows Server 2008 R2 與用戶端區域部分。 當我說 「 用戶端 」我是說這裡,「 群組原則指示詞的接收電腦 」(即使它是 Windows Server 2008 R2 電腦)。

一個好是大約 300 新的原則設定,其中 90 或都是只針對網際網路總管 8 (也就是適用於 Vista] 和 [Windows XP 電腦)。 其他變更包括新] 和 [更新] 設定管理 BitLocker、 到 BitLocker、 一個更新的工作列、 遠端桌面服務 (用來呼叫終端機服務)、 BranchCache、 Windows 遠端管理 (WinRM) 及其他控制項的堆積。 我不能瀏覽此的文件中所有新的控制項,但我會讓您將最新關閉和個人探討部份我的最愛。

更新的群組原則喜好設定電源選項

其中一個主要原因 IT geeks (秋) 中使用群組原則的愛是它可讓它們在桌上型電腦上執行的控制項數量。 當群組原則] 的主要焦點設定傳遞但是,這些控制項 freak IT geeks 可以有時有困難說明給專案經理為什麼群組原則會有值原始 「 元 」 有意義。可以承諾 (如果適當地利用) 在一個區域的群組原則],但是,實際成本節約:電源設定。

藉由正確地設定桌上型電腦和膝上型電腦的電源設定,IT 系統管理員可以將通常儲存公司千分位元的年利率。 [群組原則] 可讓這類設定簡單。

圖 5 顯示於 Windows 7 (和 Windows Server 2008 R2) 的可用電源選項 GPMC。

fig5.gif

圖 5 新的電源計劃 (Windows Vista 及更新版本) 內容] 對話方塊。(按一下影像以放大圖片)

仔細查看的 [圖 5] 對話方塊的標題。 您會注意到它就會顯示新的電源計劃 (Vista 及更新版本) 屬性。 也就是說,這些設定是適用於 Vista] 和 [Windows 7。 以下是警告:Windows 7 和 Windows Server 2008 R2 的用戶端電腦會知道該怎麼處理這些指示詞立即 ;Vista 不會。 Vista 只會忽略指示詞 (即使該功能清楚地標示為 [為 Windows Vista 及更新版本)。 這是因為 Vista 需要一個很快-至--發行更新其基礎群組原則喜好設定的用戶端副檔名。 一旦使用並套用,Vista 電腦會服從這些新可用的指示詞。

排定的工作的更新的群組原則喜好設定

與更新的電源計劃的設定,只提到是,在 Windows 7 GPMC 中的其他任務排程功能及 Windows Server 2008 R2。 圖 6 顯示新的排程工作的選項:排程工作 (Windows Vista 及更新版本)] 和 [即時運算工作 (Windows Vista 及更新版本)。

fig6.gif

圖 6 新增 GPMC 任務排程中的選項 Windows 7。(按一下影像以放大圖片)

[[電源計劃] 設定類似 Windows 7 電腦已經準備好使用這些設定值。 Vista 電腦將需要等候更新,讓他們使用這些設定。

更新軟體限制原則:AppLocker

AppLocker 下的-罩名稱就軟體限制原則版本 2,SRPv2。 在 [群組原則] 介面中 (和文件中),但是,您會看到這稱為只 AppLocker 項新功能。

簡短地,AppLocker 的目標是協助聽寫的軟體應該,並在其 Windows 7 (和更新版本) 的電腦不應該執行的現代 IT 組織。 原始軟體限制原則 (SRP) 未在適當的工作,但 AppLocker 進行下一層級中的軟體限制]。 一個索引鍵的新 AppLocker 能力,是要允許或限制根據軟體的發行者的軟體。 若要利用這項新功能,您想要允許或限制的軟體必須數位簽章 (如更多有關 AppLocker,請參閱 Greg 盾交換的所有資料行的 geek"AppLocker:萬 IT 的第一個靈丹? 」)。

然後,使用 [建立可執行檔規則對話方塊,您設定規則的各種不同的發行者。 就例如您可以建立規則,指定它的 [確定],只要版本是 9.0 或更高,執行 Adobe 讀取器。 您可以將垂直滑桿移至指定的所有版本、 檔案名稱,及/或產品或發行者可以在目標系統上有效。 或者您可以是特定使用的自訂值核取方塊。

了解更多資訊

如您見 Windows 7 和 Windows Server 2008 R2 將許多的增強功能帶到 [群組原則中。 從 300 新原則設定值,這兩個更新群組原則偏好整合的 Windows PowerShell — 還有很多愛。 若要深入了解群組原則 Windows 7 和 Windows Server 2008 R2,您可以取出 群組原則團隊 部落格,以及我的部落格和訓練的資源在 的 GPanswers.com。

Jeremy Moskowitz 是群組原則 MVP。 他執行 GPanswers.com,群組原則],社群論壇,並在他的群組原則的主機類別中每年訓練數百個系統管理員。 Jeremy 也是 founder PolicyPak 軟體 (的 PolicyPak.com),讓控制項使用 「 群組原則的協力廠商應用程式的創新的附加元件 」 之。