作为微软集中管理解决方案的组策略今年将庆祝它的10周岁生日。在管理上让人感到惊奇的是,微软并没有因为这个方案增加额外的成本,我仍然对组策略在当今的IT界没有得到足够的使用而感到诧异。它在同Windows 2000 Server一起发布后,通过10年的研讨会、会议讲座、书籍以及培训而变得很显然。
在Windows Server 2008的功能集合里面添加了新的组策略选项(GPPs)。在这样一篇文章中,可能不必解释GPPs是什么以及它们是如何工作的,重要的是这些“可选的(如果您想要这样的话)”的配置项目是如何实际地帮助Windows域解决问题的。
考虑到这一点,让我们来看看那五个必须实现的组策略选项。一旦您明白了它们能做什么,您一定会发现,它们非常适合您的环境。
因特网设置
第一个设置可能是到目前为止最痛苦的一个集中设置。基于其原始的界面以及完全的成功需要客户能实际保持您想要的设置,通过传统的组策略对Internet Explorer(IE)的内部设置进行配置历来就是一个噩梦。
早先Internet Explorer维护控制台的问题围绕于传统的组策略本身的局限性。使用该工具配置IE设置可以让您从一个样机(即正在运行控制台的机器)导入客户设置 ——真的没有其它东西了。这种错综复杂的接口往往强迫管理员在仅仅试图去查看什么设置被配置时,无意地进行了更改。
通过基于您想要配置的版本,对实际的IE属性屏幕的操作,会让对组策略选项(GPPs)的配置设置变得更符合逻辑。此外,GPPs可以在保持一些选项为必须的同时,让一些设置为可选。它们也有精确和易于使用的定位能力,以确保您将正确的设置发送到合适的计算机。
驱动映射
在一个没有对组策略选项提供支持的环境里,之所以保留登录脚本,其最大的原因是对驱动映射的需要。用户习惯于将H:作为主驱动,S:作为共享驱动(或其它任何您记住的名字)。当他们更换计算机时,需要对驱动器名进行重新设置,这让他们很沮丧。
使用用户配置下的驱动映射GPP,可以确保目标驱动器是基于它们是谁而不是它们在哪儿映射到用户集合。这对传统的需要手写并针对特定机器的登录脚本来说是一个大大的改进。
进一步讲,组策略选项不仅能创建并管理驱动映射,而且当您完成工作或者需要进行更改时,也可以对其进行移除。使用GPPs,您可以简单地通过修改驱动映射下的资源,来对其进行重配置。由于组策略处理延迟时间很少,您的用户会拥有一个几乎无缝地访问所需数据的解决方案。
服务
在计算机配置下还会发现另外一个用于管理服务,以及它们的启动模式、账户和恢复选项的增强工具。
如果您有一个需要对服务进行特别管理的安全政策或者兼容规则(在如今谁不需要这么做了?),您会发现服务GPP显著地提高了服务被正确配置的保证度。这个组策略选项有一个属性对话框,呈现域内的知名服务,为配置提供区域,并像所有的CPPs一样可以被设为可选或者所需的配置以及非常具体的任务。
此外,如果您的审核员需要看到您正确配置服务的可核实的证据,能用您的CPP设置本身来确切地看到:什么服务被锁定了、其原因是什么。
本地用户和组
几乎每一个IT环境中,都有将客户的用户和组转移到本地用户和组控制台以进行管理的需求。虽然每一个用户或者他/她的计算机都有个别的需求,几乎每一个环境都想将一个“本地IT”全局组添加到管理员组,以确保非域的技术人员可以对桌面进行访问。
用其它工具做这个历来就很难。许多环境都纠结于,在外出时,将组任务添加到他们的参考图像或者构建过程这一问题。一些更聪明的解决方案利用脚本来解决问题。
通过使用标记到本地计算机的组策略选项,您现在可以利用一个简单的屏幕就将正确的用户和组添加到目标计算机。有了这个控制台,您只需要添加组名和它们的成员,然后为GPP设置合适的计算机权限。接着,您就可以获取所需的访问,并可以在长期内确保其存在。
数据源
最后是为数据库驱动应用程序配置数据源这个多年的顽疾。即使是最坚毅的IT专业人员在回忆如何正确的设置计算机的ODBC连接时,有时也会抓头皮。但当您可以一次创建一个ODBC连接并提供给需要它的用户时,对于单独配置又何必担忧了?
这种配置可能伴随着用户配置下的数据源。使用这个控制台,可能可以创建ODBC连接、它的DSN、驱动、属性和登录信息,并立马标记到使用的应用程序需要连接的人。如果您的风格是操作大片的机器,也可将数据源作为计算机配置下的一个组策略选项。
这五个GPPs可以作为您的开始,但它们仅仅是组策略选项可以提供的集中配置的一小部分……没有什么代价!在我的下一篇文章中,我将更进一步地介绍任务GPP的细节。您会发现使用这个控制台(以及一点指令)的计划活动是非常容易的。
网友评论