管理Win2000Server环境中的WinXP(组图)

　　简介
　　
　　在 Windows Server 环境中部署运行 Windows XP 操作系统的客户端为管理员提供了新的选项策略设置和功能来管理组织中的台式机
　　
　　本文面向已经部署或正在计划部署 Active Directory 服务的组织有助于管理员对运行 Windows XP（Windows Professional 的后续产品）的计算机的策略设置进行管理Windows XP 的许多新功能——比如远程协助Windows Media Player 和错误报告——自身都带有组策略设置管理员可以利用这些设置对网络中的用户和计算机进行配置自定义和标准化
　　
　　组策略定义了管理员所需管理的用户桌面环境的各种组件比如用户可用的程序用户桌面上的程序以及开始菜单中的选项
　　
　　策略管理是 IntelliMirror 管理技术集的一部分该技术集最初是在 Windows 操作系统中引入的IntelliMirror 使用户数据软件和设置在整个分布式计算环境中都一直跟随着用户（无论他们是处于联机还是脱机状态）IntelliMirror 共有三个核心功能用户数据管理用户设置管理以及软件安装和维护可以单独或结合使用上述功能
　　
　　IntelliMirror 策略管理带来了两个重要的优点
　　
　　降低了管理桌面环境所需的总拥有成本由于可以部署和管理自定义的桌面配置因此组织可以花更少的资金来对用户提供个人支持用户获得了完成个人工作所需的灵活性而不必花时间亲自配置自己的系统
　　
　　提高了应用新功能的用户的生产力由于不管在何处登录用户的应用程序数据和设置都对他们可用因此他们可以实现更高的生产力而且可以远程安装和升级应用程序
　　
　　可以把运行 Windows XP 的客户端直接加入 Active Directory并处理目前应用于运行 Windows 的台式机的所有相同的策略任何运行 Windows 的客户端都将忽略仅应用到 Windows XP 的新的策略设置通过直接包含在组策略管理单元新的用户界面中说明文字可以更轻松地验证每项设置的操作系统要求及功能——管理员不必搜索文档来确定相关的策略
　　
　　本文阐述了
　　
　　Windows XP 中的策略设置提供了哪些新功能
　　
　　Windows XP 中的登录优化
　　
　　运用 Windows XP 管理客户端计算机
　　
　　通过策略结果集 (RSoP) 验证策略
　　
　　Windows XP 中的策略设置提供了哪些新功能
　　
　　Windows XP 包含经改进的策略设置管理使管理员可以对功能进行优化和管理或者关闭不想用的功能管理员可以从 Windows Server Active Directory部署 Windows XP 中的任何策略设置
　　
　　Windows XP 支持所有 Windows 策略
　　
　　Windows XP 完全支持 Windows 所带有的 个策略设置而且在某些情况下还对有关设置进行了改进例如改进了外壳设置以对有关项目（如开始菜单）提供更好的控制
　　
　　Windows XP 中新的策略设置
　　
　　借助 Windows XP 的 个新的策略设置组织可以按照自己的意愿来标准化新功能比如远程协助Windows Media Player 和开始菜单如果愿意的话管理员可以将桌面设置为使用 Windows 的典型用户界面本文附带了一份列有 Windows 和 Windows XP 的所有策略的电子表格有关详细信息请访问 Windows XP 网站具体地址为
　　
　　运行 Windows 的计算机忽略了 Windows XP 的策略设置
　　
　　Windows XP 中新的策略设置仅适用于运行 Windows XP 的计算机但会被所有运行 Windows 的计算机所忽略另外运行 Windows 的计算机不会受到 Windows XP 所附带的任何新策略的负面影响在 Windows XP 中查看策略设置时每个策略设置的具体要求都显示在说明文字的开头部分如下方图 的中间一栏所示
　　　
　　图 使用Windows XP 中的组策略管理单元
　　
　　用于管理策略的新用户界面
　　
　　组策略管理单元利用了 Windows XP 的 Web 视图功能让管理员可以更轻松地访问和验证策略设置所上方图 所示管理员可以定位所要的策略查看有关功能及所支持的环境（比如仅 Windows XP 或 Windows ）的说明文字
　　
　　集成的联机帮助
　　
　　借助可搜索的集成的帮助文件用户可以更轻松地了解和跟踪策略设置除了管理单元直接附带的说明文字外用户还可以通过按键盘上的 F 键获得有关具体领域的帮助信息譬如如果在组策略管理单元中选中了管理模板节点并按F键就可以直接转到有关管理模板的帮助部分从而可以查找具体的 HTML 帮助文件比如下方图 所示的 systemadm 文件
　　　
　　图 在 Windows XP 中查看集成的联机帮助
　　
　　Windows XP 中的登录优化
　　
　　在默认情况下Windows XP 在启动和登录时不会等待网络完成初始化任何现有的用户在登录时都使用了缓存凭据从而实现了更短的登录时间由于计算机不会等待网络完全启动因此一旦网络可用就将在后台（异步地）应用组策略下方表 对比了 Windows 和 Windows XP Professional 处理策略的具体方式
　　
　　表 Windows 和 Windows XP 中的策略处理
　　　
　　启动时间指用户从开机到看到 CtrlAltDelete 屏幕之间的这段时间而登录时间指从启动后到用户可以在计算机上开始展开工作之间的这段时间
　　
　　与 Windows 中的同步处理相比Windows XP Pro 中的异步处理实现了更快速的启动和登录Windows 要求用户等待所有策略应用之后才能启动计算机会话不过在 Windows XP Pro 中当用户首次登录计算机时仍会处理所有组策略设置
　　
　　更改某些组策略设置需要重复登录三次才能生效
　　
　　因为后台刷新是 Windows XP 的默认行为所以有些策略扩展（比如软件安装和文件夹重定向）可以需要多达三次的登录才会成功应用所作的更改
　　
　　存在这种情况是因为无法在异步或后台应用策略的期间应用软件安装和文件夹重定向只有在同步处理时才能应用这些扩展
　　
　　这里有一个示例情境显示了策略的应用方式
　　
　　管理员向用户 A 部署了一个软件包
　　
　　用户 A 快速登录后系统在后台（异步地）应用了策略
　　
　　由于策略应用是异步的因此这时无法安装预定要安装的软件相反该计算机被打上了标记指示需要安装该软件
　　
　　用户下次登录时计算机会以同步的方式登录用户从而允许安装该软件包（这与 Windows 完全相同）因此这里需要多登录一次才能安装软件
　　
　　对于高级文件夹重定向由于策略是根据安全组成员身份来评估的因此需要三次登录第一次登录用于更新缓存的用户对象（及安全组成员身份）第二次登录是让策略检测安全组成员身份中所作的更改并要求执行前台策略应用而第三次登录则是在前台实际应用文件夹重定向策略
　　
　　更改某些用户对象属性可能需要重复登录两次才能生效
　　
　　启用了快速登录优化后将缓存所有用户登录用户登录信息会在登录后进行更新这就使得只有当第二次登录时才会检测到对用户对象属性（比如添加漫游配置文件路径主目录或用户对象登录脚本）所作的更改在第二次登录时系统会检测到用户拥有一个漫游用户配置文件HOMEDIR 或用户对象登录脚本并对该用户禁用快速登录优化（不过用户计算机仍会执行快速启动）
　　
　　恢复 Windows 登录处理
　　
　　某些管理员可能想确保通过单次登录或启动计算机就能应用文件夹重定向软件安装或漫游用户配置文件设置即 Windows 的默认状态为了对 Windows XP 实现该操作管理员需要启用计算机启动和登录时总是等待网络设置（位于组策略管理单元的 Computer Configuration\Administrative Templates\System\Logon 下）
　　
　　通过 Windows XP 管理模板文件管理客户端计算机
　　
　　管理员指定的组策略设置包含在组策略对象 (GPO) 内而组策略对象反过来又与所选定的 Active Directory 对象（站点域或组织单位）相关联组策略不仅应用于用户和客户端计算机而且也应用于成员服务器域控制器以及处在管理范围内的任何基于 Windows 或 Windows XP 的其它计算机为了对特定的一组用户创建具体的桌面配置管理员需使用组策略管理单元（也称为组策略编辑器）
　　
　　为了管理 Windows XP 客户端管理员需要一台运行 Windows XP 的计算机并带有已更新的管理模板文件 (adm)这些文件为组策略管理单元控制台树中的管理模板文件夹下的条目提供策略信息如下方图 所示
　　
　　Windows XP 包含以下经过更新的管理模板文件
　　
　　Systemadm 用于核心设置
　　
　　Wmplayeradm用于 Windows Media 设置
　　
　　Confadm用于 NetMeeting 会议软件
　　
　　Inetresadm用于 Internet Explorer
　　　
　　图 在 Windows XP 中查看管理模板策略
　　
　　升级到最新的管理模板文件
　　
　　若有比 GPO 中的 adm 文件更新的文件计算机将自动用较新的 adm 文件来更新 GPO为了实现这一点用户需要在 INF 目录中拥有最新的 adm 文件
　　
　　升级 adm 文件
　　
　　在 Windows XP 计算机上定位所要的 adm 文件（这些文件位于 Windows/INF 目录中）
　　
　　将 systemadm 及任何其它的 adm 文件到复制到一个文件共享中
　　
　　到一台基于 Windows 的计算机上在组策略管理单元中打开一个 GPO
　　
　　右键单击管理模板并选择添加/删除模板如下方图 所示
　　　
　　图 添加/删除模板
　　
　　弹出添加/删除模板对话框后删除基于 Windows 的 adm 文件并添加基于 Windows XP 的 adm 文件
　　
　　对每个 GPO 重复执行上述步骤
　　
　　最佳操作方法
　　
　　在混合环境中使用 Windows XP adm 文件管理 GPO
　　
　　尽量对 Windows XP 和 Windows 应用相同的策略设置以便使漫游用户获得一致的体验
　　
　　在部署之前测试各种设置的互操作性
　　
　　仅在使用 GPO 的客户端计算机上配置策略设置不要通过其它方法创建这些注册表值
　　
　　通过策略结果集 (RSoP) 验证策略
　　
　　借助策略结果集 (RSoP)管理员可以评估并预测对于特定的计算机或用户以及一组计算机或一组用户策略的工作方式有何不同当在多个级别（比如站点域域控制器和组织单位）上应用策略时结果可能会出现冲突若设置了存在冲突的策略则很难进行跟踪并加以更改RSoP 可帮助管理员确定所要应用的最终的策略集并跟踪策略优先级从而使疑难解答变得更加容易
　　
　　RSoP 如何运作
　　
　　RSoP 是一种查询引擎可轮询现有的策略然后报告查询的结果它会按照站点域域控制器和组织单位 (OU)来轮询现有的策略RSoP 从 CIMOM 数据库（通常称为WMI） 收集有关信息
　　
　　除了检查组策略设置的策略外RSoP 还会检查任何与特定的用户或计算机相关联的应用程序的软件安装并报告有关查询的结果RSoP 会详细汇报管理员所配置的策略设置具体包括管理模板文件夹重定向Internet Explorer 维护安全性以及脚本
　　
　　策略结果集工具
　　
　　Windows XP 让用户可以更轻松地验证在特定的计算机上应用了哪些策略管理员可使用几种工具对用户和计算机运行 RSoP
　　
　　RSoP 管理单元
　　
　　GPResult 命令行工具
　　
　　帮助和支持中心的 RSoP 报告工具
　　
　　使用 RSoP 管理单元
　　
　　RSoP 管理单元允许用户对给定的用户或计算机验证有效的策略RSoP 完全支持远程操作管理员可以指示该管理单元检查域上任何计算机或用户的策略
　　
　　运行 RSoP 管理单元
　　
　　作为管理员登录到使用 Windows XP 的域
　　
　　依次单击开始和运行并键入MMC将弹出微软管理控制台
　　
　　在文件菜单上单击添加／删除管理单元弹出添加/删除管理单元对话框后单击添加
　　
　　在可用的独立管理单元对话框中选择策略结果集并单击添加
　　
　　弹出 RSoP 向导的欢迎页面后单击下一步出现模式选择页面后单击下一步
　　
　　当出现计算机选择页面时可以浏览到所要显示其设置的计算机否则向导将检查运行 RSoP 的计算机单击下一步
　　
　　当出现用户选择页面时可以选择所要查看其策略设置的用户（在本例中管理员选择了用户 Cynthia如下方图 所示）单击下一步
　　　
　　图 在 RSoP 向导中选择一个目标用户
　　
　　出现选择摘要页面后单击下一步这时向导会显示完成页面单击完成关闭添加独立的管理单元对话框
　　
　　在添加/删除管理单元对话框中单击确定RSoP 结果会显示在控制台中如下方图 所示
　　　
　　图 RSoP 结果
　　
　　可以在左侧窗格中扩展策略树并定位任何已对目标用户生效的策略在本例中RSoP 显示用户 Cynthia 受通过 GPO Kiosklockdown 启用的各种策略的约束
　　　
　　图 在 RSoP 结果中查看已启用的策略
　　
　　使用 Group Policy Results Tool (GPResultexe) 命令行工具
　　
　　这是一种命令行工具用于在要测试组策略的计算机上运行因为可以对任何计算机或用户应用重叠的策略级别所以组策略会在登录时生成一个策略的结果集Gpresult 可显示在登录时对计算机上的用户执行的策略的结果集
　　
　　在本地计算机上运行 GPResult
　　
　　依次单击开始和运行然后输入cmd打开命令窗口
　　
　　键入gpresult将输出重定向到一个文本文件如下方图 所示
　　　
　　图 将 GPResult 数据定向到文本文件
　　
　　输入notepad gptxt打开该文件将显示相关的结果如下方图 所示
　　　
　　图 通过 GPResult 验证策略
　　
　　帮助和支持中心的 RSoP 报告工具
　　
　　虽然对管理员来说用途有限但普通用户可以在自己的计算机上运行帮助和支持中心的 RSoP 报告工具来验证策略设置该工具提供了有关计算机上运行的大多数有效策略的直观易懂的报告
　　
　　打开组策略帮助和支持中心的 RSoP 工具
　　
　　单击开始再单击帮助和支持中心
　　
　　在选择一个任务下方选择使用工具查看您的计算机信息并分析问题
　　
　　单击高级系统信息然后单击查看应用的组策略设置
　　
　　注意还可以通过在浏览器中输入以下 URL 地址生成该报告hcp://system/sysinfo/#
　　
　　当收集完系统信息后RSoP 结果将出现在屏幕上可以打印或保存该报告也可以将其发送给管理员在本例中报告最先显示的几个条目如下方图 所示
　　　
　　图 在帮助和支持中心里查看 RSoP 报告
　　
　　部署自定义的 RSoP 工具
　　
　　有关 RSoP 的详细信息（包括有关开发 RSoP 工具的文档）请参阅Microsoft Platform SDK
　　
　　总结
　　
　　本文面向已经部署或计划部署 Active Directory 服务的组织分别阐述了以下几方面的内容
　　
　　Windows XP 中的策略设置提供了哪些新功能除了支持 Windows 的 个策略外Windows XP 还附带了 多个新的策略所有 Windows XP 策略都不会损害 Windows 计算机仅会被忽略
　　
　　Windows XP 中的登录优化Windows XP 支持快速登录缩短了登录时的延迟时间软件安装或文件夹重定向等一些策略需要多次登录才能生效
　　
　　通过 Windows XP 管理客户端计算机管理员可使用 Windows XP 中最新的管理模板文件管理 Windows Server Active Directory 中的策略设置包含每个策略的说明文字和操作系统要求的新用户界面使得策略管理变得更加简单针对策略设置的新的帮助文件允许用户根据关键词来搜索特定的策略
　　
　　策略结果集 (RSoP)用户和管理员验证哪些策略对给定的用户和特定的计算机有效一些新工具可使管理员对域中的任何计算机或用户有效的策略设置用户可通过直观易懂的报告（可从帮助和支持中心访问）验证本地计算机上的策略设置