作為微軟集中管理解決方案的組策略今年將慶祝它的10周歲生日。在管理上讓人感到驚奇的是，微軟并沒(méi)有因?yàn)檫@個(gè)方案增加額外的成本，我仍然對(duì)組策略在當(dāng)今的IT界沒(méi)有得到足夠的使用而感到詫異。它在同Windows 2000 Server一起發(fā)布后，通過(guò)10年的研討會(huì)、會(huì)議講座、書籍以及培訓(xùn)而變得很顯然。

    在Windows Server 2008的功能集合里面添加了新的組策略選項(xiàng)（GPPs）。在這樣一篇文章中，可能不必解釋GPPs是什么以及它們是如何工作的，重要的是這些“可選的（如果您想要這樣的話）”的配置項(xiàng)目是如何實(shí)際地幫助Windows域解決問(wèn)題的。

    考慮到這一點(diǎn)，讓我們來(lái)看看那五個(gè)必須實(shí)現(xiàn)的組策略選項(xiàng)。一旦您明白了它們能做什么，您一定會(huì)發(fā)現(xiàn)，它們非常適合您的環(huán)境。

    用戶配置 | 因特網(wǎng)設(shè)置

    第一個(gè)設(shè)置可能是到目前為止最痛苦的一個(gè)集中設(shè)置�；�于其原始的界面以及完全的成功需要客戶能實(shí)際保持您想要的設(shè)置，通過(guò)傳統(tǒng)的組策略對(duì)Internet Explorer（IE）的內(nèi)部設(shè)置進(jìn)行配置歷來(lái)就是一個(gè)噩夢(mèng)。

    早先Internet Explorer維護(hù)控制臺(tái)的問(wèn)題圍繞于傳統(tǒng)的組策略本身的局限性。使用該工具配置IE設(shè)置可以讓您從一個(gè)樣機(jī)（即正在運(yùn)行控制臺(tái)的機(jī)器）導(dǎo)入客戶設(shè)置 ——真的沒(méi)有其它東西了。這種錯(cuò)綜復(fù)雜的接口往往強(qiáng)迫管理員在僅僅試圖去查看什么設(shè)置被配置時(shí)，無(wú)意地進(jìn)行了更改。

    通過(guò)基于您想要配置的版本，對(duì)實(shí)際的IE屬性屏幕的操作，會(huì)讓對(duì)組策略選項(xiàng)（GPPs）的配置設(shè)置變得更符合邏輯。此外，GPPs可以在保持一些選項(xiàng)為必須的同時(shí)，讓一些設(shè)置為可選。它們也有精確和易于使用的定位能力，以確保您將正確的設(shè)置發(fā)送到合適的計(jì)算機(jī)。

    用戶配置 | 驅(qū)動(dòng)映射

    在一個(gè)沒(méi)有對(duì)組策略選項(xiàng)提供支持的環(huán)境里，之所以保留登錄腳本，其最大的原因是對(duì)驅(qū)動(dòng)映射的需要。用戶習(xí)慣于將H:作為主驅(qū)動(dòng)，S:作為共享驅(qū)動(dòng)（或其它任何您記住的名字）。當(dāng)他們更換計(jì)算機(jī)時(shí)，需要對(duì)驅(qū)動(dòng)器名進(jìn)行重新設(shè)置，這讓他們很沮喪。

    使用用戶配置下的驅(qū)動(dòng)映射GPP，可以確保目標(biāo)驅(qū)動(dòng)器是基于它們是誰(shuí)而不是它們?cè)谀膬河成涞接脩艏�合。這對(duì)傳統(tǒng)的需要手寫并針對(duì)特定機(jī)器的登錄腳本來(lái)說(shuō)是一個(gè)大大的改進(jìn)。

    進(jìn)一步講，組策略選項(xiàng)不僅能創(chuàng)建并管理驅(qū)動(dòng)映射，而且當(dāng)您完成工作或者需要進(jìn)行更改時(shí)，也可以對(duì)其進(jìn)行移除。使用GPPs，您可以簡(jiǎn)單地通過(guò)修改驅(qū)動(dòng)映射下的資源，來(lái)對(duì)其進(jìn)行重配置。由于組策略處理延遲時(shí)間很少，您的用戶會(huì)擁有一個(gè)幾乎無(wú)縫地訪問(wèn)所需數(shù)據(jù)的解決方案。

    計(jì)算機(jī)配置 | 服務(wù)

    在計(jì)算機(jī)配置下還會(huì)發(fā)現(xiàn)另外一個(gè)用于管理服務(wù)，以及它們的啟動(dòng)模式、賬戶和恢復(fù)選項(xiàng)的增強(qiáng)工具。

    如果您有一個(gè)需要對(duì)服務(wù)進(jìn)行特別管理的安全政策或者兼容規(guī)則（在如今誰(shuí)不需要這么做了？），您會(huì)發(fā)現(xiàn)服務(wù)GPP顯著地提高了服務(wù)被正確配置的保證度。這個(gè)組策略選項(xiàng)有一個(gè)屬性對(duì)話框，呈現(xiàn)域內(nèi)的知名服務(wù)，為配置提供區(qū)域，并像所有的CPPs一樣可以被設(shè)為可選或者所需的配置以及非常具體的任務(wù)。

    此外，如果您的審核員需要看到您正確配置服務(wù)的可核實(shí)的證據(jù)，能用您的CPP設(shè)置本身來(lái)確切地看到：什么服務(wù)被鎖定了、其原因是什么。

    計(jì)算機(jī)配置 | 本地用戶和組

    幾乎每一個(gè)IT環(huán)境中，都有將客戶的用戶和組轉(zhuǎn)移到本地用戶和組控制臺(tái)以進(jìn)行管理的需求。雖然每一個(gè)用戶或者他/她的計(jì)算機(jī)都有個(gè)別的需求，幾乎每一個(gè)環(huán)境都想將一個(gè)“本地IT”全局組添加到管理員組，以確保非域的技術(shù)人員可以對(duì)桌面進(jìn)行訪問(wèn)。

    用其它工具做這個(gè)歷來(lái)就很難。許多環(huán)境都糾結(jié)于，在外出時(shí)，將組任務(wù)添加到他們的參考圖像或者構(gòu)建過(guò)程這一問(wèn)題。一些更聰明的解決方案利用腳本來(lái)解決問(wèn)題。

    通過(guò)使用標(biāo)記到本地計(jì)算機(jī)的組策略選項(xiàng)，您現(xiàn)在可以利用一個(gè)簡(jiǎn)單的屏幕就將正確的用戶和組添加到目標(biāo)計(jì)算機(jī)。有了這個(gè)控制臺(tái)，您只需要添加組名和它們的成員，然后為GPP設(shè)置合適的計(jì)算機(jī)權(quán)限。接著，您就可以獲取所需的訪問(wèn)，并可以在長(zhǎng)期內(nèi)確保其存在。

    用戶配置 | 數(shù)據(jù)源

    最后是為數(shù)據(jù)庫(kù)驅(qū)動(dòng)應(yīng)用程序配置數(shù)據(jù)源這個(gè)多年的頑疾。即使是最堅(jiān)毅的IT專業(yè)人員在回憶如何正確的設(shè)置計(jì)算機(jī)的ODBC連接時(shí)，有時(shí)也會(huì)抓頭皮。但當(dāng)您可以一次創(chuàng)建一個(gè)ODBC連接并提供給需要它的用戶時(shí)，對(duì)于單獨(dú)配置又何必?fù)?dān)憂了？

    這種配置可能伴隨著用戶配置下的數(shù)據(jù)源。使用這個(gè)控制臺(tái)，可能可以創(chuàng)建ODBC連接、它的DSN、驅(qū)動(dòng)、屬性和登錄信息，并立馬標(biāo)記到使用的應(yīng)用程序需要連接的人。如果您的風(fēng)格是操作大片的機(jī)器，也可將數(shù)據(jù)源作為計(jì)算機(jī)配置下的一個(gè)組策略選項(xiàng)。

    這五個(gè)GPPs可以作為您的開(kāi)始，但它們僅僅是組策略選項(xiàng)可以提供的集中配置的一小部分……沒(méi)有什么代價(jià)！在我的下一篇文章中，我將更進(jìn)一步地介紹任務(wù)GPP的細(xì)節(jié)。您會(huì)發(fā)現(xiàn)使用這個(gè)控制臺(tái)（以及一點(diǎn)指令）的計(jì)劃活動(dòng)是非常容易的。