Windows 7 和 Windows Server 2008 R2 允许您使用 PowerShell 执行许多这样的功能。过去在 GPMC 示例脚本中可以执行的操作现在使用 PowerShell 也可以实现:创建、链接、重命名、备份、复制和删除 GPO 以及更多操作。
但是,可以使用可编写脚本的方法配置 GPO 的内容是一个全新事物,并且现在只有将 PowerShell 用作脚本编写方法时才可用。但先别高兴得太早,我不得不提醒您并非组策略的所有 39 个区域都可以编写脚本。事实上,只有两个区域可以:注册表策略和注册表首选项。即便如此,这也是一个非常棒的开始。
在图 3 中,您将看到我如何使用 Windows 7 中的内置 PowerShell,借助 cmdlet 导入模块组策略先安装特定组策略 cmdlet,然后使用新的组策略 cmdlet 创建新 GPO。
图 3 使用 Windows 7 中内置的组策略 cmdlet 创建新 GPO。
组策略团队的博客中发布了一组关于 Windows PowerShell 集成的项目。您可以登录组策略团队博客大概了解一下所有这些项目。
大型用户界面更改:更新的 ADM 和 ADMX 用户界面
组策略最显著的一个更改是 GPME 中的“管理模板”部分。
图 4 中显示了一个新的“无选项卡”界面,将您创建新策略设置或处理现有策略设置所需的全部内容都放在了一个一站式页面中。
图 4 Windows 防火墙:“允许 ICMP 例外”对话框。
管理员现在可以将策略设置配置为“未配置”、“已启用”或“已禁用”、评论策略设置、参阅“支持信息”、查看帮助(说明文字),以及处理选项中的任何可配置设置。
此更改的目标是使策略设置过程更直观,将帮助集成到一起以及取消所有选项卡,这样管理员就不必再来回切换选项卡。
大型附带补充:内置 Starter GPO
Vista 版本的 GPMC 第一个提供了创建和使用 Starter GPO 的功能。Starter GPO 的设计理念是,某个管理员可以创建一个起点,而其他管理员使用该起点来创建他们的 GPO。在新的更新版本中并未对基本的体系结构和功能进行大的更改,但需要注意一个新的不同之处。
确切地说,当您使用 Windows 7 或 Windows Server 2008 R2 计算机创建 Starter GPO 的容器时,该容器使用一些内置 Starter GPO 自动进行填充。这些 Starter GPO 按照 Microsoft 最佳实践并遵循 Windows Server 2008 安全指南。例如,其中一个内置 Starter GPO 是针对普通企业客户端 (EC),而另一个称为专用安全限制功能 (SSLF),使用的锁定方法更胜一筹。
Windows 7 和 Windows Server 2008 R2 包括的 Starter GPO 同时适用于用户和计算机端。Vista 和 Windows XP SP2 中也可以使用这些 Microsoft 创建的 Starter GPO(形式稍微有些旧)。
核心功能外的其他功能
现在,我们谈论一下当使用 Windows 7 或 Windows Server 2008 R2 作为客户端时,您可以控制的其他区域。我在这里谈到的“客户端”是指“接收组策略指令的计算机”(也可以是 Windows Server 2008 R2 计算机)。
此次补充规模很大,包括大约 300 个新的策略设置,其中大约 90 个仅针对 Internet Explorer 8(在 Vista 和 Windows XP 计算机中可用)。其他更改包括 BitLocker、BitLocker To Go 的新增设置管理和更新的设置管理,一个更新的任务栏、远程桌面服务(以前称为终端服务)、BranchCache、Windows 远程管理 (WinRM) 以及其他控件堆。由于文章篇幅有限,我不能解释所有新控件,但就一些我最喜爱的控件我将稍加解释并提出个人见解。
针对电源选项更新的组策略首选项
IT 奇客喜欢组策略的主要原因之一就是控件数量,这样他们就可以在桌面上一展所长。虽然组策略的主要任务是提供设置,然而,这些控件狂 IT 奇客有时却很难向管理人员解释清楚为什么组策略具有原始的“美元和理智”价值。但另一方面,组策略可以保证真正节约成本(如果使用正确):电源设置。
通过正确配置台式计算机和便携式计算机的电源设置,IT 管理员每年通常可以为公司节省数千美元。使用组策略可以简化这种配置。
图 5 显示 Windows 7(和 Windows Server 2008 R2)GPMC 中可用的电源选项。
图 5 “新电源计划(Windows Vista 及更高版本)属性”对话框。
仔细观察图 5 中对话框的标题,您会发现说的是“新电源计划(Vista 及更高版本)属性”。也就是说,这些设置对 Vista 和 Windows 7 均有效。需要注意以下内容:Windows 7 和 Windows Server 2008 R2 客户端计算机会立刻知道如何进行处理接收到的指令,而 Vista 则不然。Vista 只是忽略这些指令(即使在 Windows Vista 及更高版本中已明确指出此功能可用)。这就是为什么 Vista 的基本组策略首选项的客户端扩展需要一个即将发布的更新的原因所在。一旦发布并应用这个更新后,Vista 计算机将可以接受这些最新可用的指令。
针对计划任务更新的组策略首选项
与更新的电源计划设置类似,刚刚提到的是 Windows 7 和 Windows Server 2008 R2 中的 GPMC 中的其他任务计划功能。图 6 显示计划任务的新选项:计划任务(Windows Vista 及更高版本)和即时任务(Windows Vista 及更高版本)。
图 6 Windows 7 中的新 GPMC 任务计划选项。
与电源计划设置类似,Windows 7 计算机可以使用这些设置。Vista 计算机需要安装一个更新才可以利用这些设置。
更新的软件限制策略:AppLocker
AppLocker 的真实名称是软件限制策略版本 2 或 SRPv2。但是,在组策略界面(和文档)中,你会发现这个新功能只称为 AppLocker。
简而言之,AppLocker 的目标就是帮助现代的 IT 组织决定应该在 Windows 7(及更高版本)计算机上运行哪些软件以及不应该运行哪些软件。原来的软件限制策略 (SRP) 的作用已经无可挑剔,但 AppLocker 将软件限制提升到了一个新的级别。AppLocker 的一个主要新功能是基于软件发行者允许或限制软件。要想利用此新功能,必须对您要允许或限制的软件进行数字签名(有关 AppLocker 的详细信息,请参阅 Greg Shields 的“门门精通”专栏,“AppLocker:IT 行业的第一颗灵丹妙药?”)。
接下来,您可以使用“创建可执行规则”对话框为不同的发行者设置规则。例如,您可以创建一条规则,指定只要 Adobe Reader 是 9.0 或更高版本就可以运行。您可以向上移动垂直滑块,来指定目标系统上的所有版本、文件名和/或产品或发行者均有效。或者您还可以只选中“使用自定义值”复选框。
